内部不正による情報漏えい、手段のトップはUSBメモリ

内部不正経験者の半数以上がシステム管理者だった。

[ITmedia]

　情報処理推進機構（IPA）は3月3日、「内部不正による情報セキュリティインシデント実態調査」の報告書を公開した。企業関係者による情報の持ち出しではUSBメモリが多く使われ、不正経験者の半数以上をシステム管理者が占めるなどの実態が判明した。

　この調査は2012年に続いて2回目。今回は民間企業の従業員3652人と内部不正の経験者200人にアンケートを行った。

　それによると、内部不正の経験者が起こした内部不正の内訳は、「うっかりミスや不注意によるルール違反や規定違反」が66.5％で最も多く、「顧客情報等の職務で知りえた情報の持ち出し」(58.5％)、と「個人情報を売買するなど職務で知りえた情報の目的外利用」（40.5％）が続く。

内部不正の内訳（IPAより）

　また、内部不正を行った理由では「ルールを知っていたが、うっかり違反した」「ルールを知らずに違反した」が全体の58.0％を占める一方、「業務が忙しく、終わらせるために持ち出す必要があった」「処遇や待遇に不満があった」など故意によるケースは42.0％だった。

内部不正をした理由（同）

　情報を持ち出す手段では「USBメモリ」が43.6％で最多だったが、上述の故意によるケースでは53.0％と高い。以下は「電子メール」が34.3％、「PC」が25.5％で電子的な方法が上位を占めた。

　持ち出した情報の種類別に見ると、いずれも「USBメモリ」が最も多いが、「顧客情報」や「技術情報」ではPCや電子メール、紙媒体による持ち出しの割合も高く、「製造計画」では電子メールとWebアップロードによる持ち出しの割合が目立っている。

情報の種類別の持ち出し方法（同）

　内部不正の経験者の内訳は、「システム管理者（兼務）」「システム管理者」が51％を占めた。ここれに「一般社員相当」（14.5％）、「係長・主任相当」（13.5％）、「課長担当」（9.5％）が続く。

内部不正経験者の内訳（同）

　なお、内部不正で効果的と思われる対策には、経営者・システム管理者、内部不正経験者ともに「ネットワークの利用制限」「重要情報にアクセスした人の監視」「重要情報は特定職員のみアクセス可能」が挙げられた。経営者・システム管理者では下位だった「職務上の成果物を公開した場合の罰則規定を強化する」「社内の監視体制を強化する」が、内部不正経験者では上位に挙がるなど、効果的な対策での意識のギャップも浮かび上がっている。

効果的だと思う対策の比較（同）