内部不正は、企業や組織に潜む見えない脅威です。従業員が信頼された立場を利用して行うこの不正行為は企業に計り知れない損害を与えかねません。この記事では、内部不正がどのようにして発生し、企業や組織、従業員にどのような影響を及ぼすのかを実際に起きた事例をもとに解説いたします。
そもそも内部不正とは?
内部不正は、企業や組織の信頼を基盤とする情報を管理する立場にある者が、その情報を不正に利用したり、企業の資源を私的に横領する行為を含みます。不正の動機は多岐にわたり、個人的な財務問題から職場での不満、あるいは単純な利益追求まで様々です。組織内部の不正は、その隠蔽性の高さから発見が遅れがちであり、発覚した時にはすでに大きな損害が生じている場合が多いです。その影響は財務的な損失だけでなく、企業のブランドイメージや市場での信用度にも及びます。
内部不正が起こることで想定される被害
内部不正による被害は、金銭的損失だけに留まらず、企業文化や従業員の士気にも悪影響を及ぼします。特に、重要な商業秘密や顧客データが外部に漏れた場合、その損害は回復が非常に困難であり、企業の存立自体を脅かす事態にもなり得ます。従業員間の信頼関係の破壊や業界内での評判の低下も、内部不正が引き起こす間接的ながら深刻な被害です。
内部不正が発生する原因
内部不正の背景には、個人的な利益の追求だけでなく、職場環境の問題や組織のコントロールシステムの不備などがあります。従業員が直面する経済的なプレッシャーや職場での不公正、上司との関係悪化などが不正行為への誘因となることがあります。また、組織が成長する過程で、内部管理システムが追い付かず、不正が行いやすい環境が生まれることも原因の一つです。
実際に起きた内部不正の事例
内部不正は企業や組織にとって予測しにくく、かつ深刻な損害をもたらす事件です。
ここでは、実際に起きた内部不正の事例をご紹介します。
発表日付 | 企業名 | 概要 |
---|---|---|
2019年8月 | 神奈川県平塚市 ※同市HP引用 | 2019年8月平塚市議会に立候補した元同市職員が、自身の選挙に関し、有権者にハガキを送るために市民3万人分の個人情報を持ち出した。 同市は、職員用のPCにはアクセス制限を行っていたが、退職者に関して公共施設予約システム用のPCには接続制限がされておらず、このPCを利用してファイルを取得していた。 |
2022年8月 | 島根県立中央病院 ※同病院HP引用 | 2022年8月島根県立中央病院は、病院患者2万4,563名の電子カルテ情報をはじめ、職員・委託企業従業員6,180名の個人情報などが保存されていた端末を修理に出した後に同端末を紛失した。その後、同端末の受け取りをめぐり修理業者と意見の食い違いがあり、紛失の詳細は明らかになっていない。業者側は端末を受け取っていないと回答しており、引き渡しに関する書類の取り交わしも確認できないため、受け取りの真偽は不明。 |
2022年8月 | 厚生労働省 ※同省HP引用 | 2022年8月厚生労働省が管理する国家指定の難病患者のデータファイルを研究者に提供する際、人為的なミスにより本来削除されるべき5,640名分の個人情報を記載したまま提供してしまった。ダブルチェックなどの対策を含めた再発防止策を策定し、再発防止策が実行されるまでの間、第三者提供を停止すると発表。 |
2023年3月 | NTTドコモおよびNTTネクシア ※同社公式HP引用 | NTTドコモは、「ぷらら」と「ひかりTV」の顧客情報が流出した可能性があると発表した。業務を委託していたNTTネクシアの元派遣社員による不正行為により、約596万件の顧客情報が外部に持ち出された。流出した情報には氏名、住所、電話番号などが含まれているが、クレジットカード情報や金融機関口座情報などの決済関連情報は含まれていないとのこと。 |
2023年6月 | 鳥栖保健福祉事務所及び鳥栖市内の宿泊療養施設 ※同社公式HP引用 | 鳥栖保健福祉事務所及び鳥栖市内の宿泊療養施設において、委託先の業務に従事したスタッフ1名が、自身の携帯電話端末を使い、コロナ陽性者1名の個人情報が記載された資料を撮影し、その写真を自身のSNS上に投稿した。 |
2023年11月 | 株式会社ダイナックホールディングス ※同社公式HP引用 | 子会社のダイナックパートナーズが運営を受託しているゴルフ場「オータニにしきカントリークラブ」のレストランに勤務する従業員が、業務で知り得た顧客2人の個人情報を本人のSNSに投稿していた。 |
内部不正の対策とは
ウイルス対策の徹底
最新のウイルス対策ソフトウェアを導入し、常に更新を保つことで、マルウェアやランサムウェアによる攻撃から企業のシステムを守ります。また、従業員への定期的なセキュリティ研修を行い、不審なメールの開封を避ける、不明なUSBデバイスを接続しないなど、基本的なセキュリティ意識を高めることが重要です。
アクセス権の管理
アクセス権限を厳格に管理し、必要最小限の権限のみを付与する「最小特権の原則」を徹底します。また、アクセス権限の定期的な見直しと、離職者のアクセス権限の速やかな削除を行い、不正アクセスのリスクを減らします。
PC端末等や個人端末の管理
業務用のPCやモバイル端末には、適切なセキュリティ対策を施し、不正な利用を防ぎます。個人端末の業務利用については、セキュリティポリシーを明確に策定し、従業員に周知徹底させることが必要です。
外部メディアの管理の徹底
外部メディアの利用ポリシーを設定し、未承認のデバイスの接続を禁止します。また、承認されたメディアについても、定期的なセキュリティチェックを行い、不正なデータ持ち出しを防ぎます。
職場環境の整備
開かれたコミュニケーションを促進し、従業員が不満や懸念を安心して表明できる職場環境を整えます。公正な評価制度や適切な報酬体系を確立し、従業員のモチベーション維持に努めることが、内部不正を防ぐ上で非常に効果的です。
これらの対策は、単独で実施するよりも相互に補完し合うことでその効果を最大限に発揮します。内部不正は予測が難しく、発生してからでは取り返しのつかない被害を及ぼす可能性があるため、組織としての継続的な取り組みと従業員一人ひとりの意識向上が求められます。
アクトのサイバーセキュリティ対策支援
アクトが提供するEDR+SOCサービス「セキュリモ」は、サイバー攻撃に対してAIでリアルタイム検知し、攻撃内容の可視化と分析内容を報告するPCやサーバーのセキュリティサービスです。弊社SOCチームが、グローバルトップクラスの検知率・防御力を持ったEDR(SentinelOne、Cybereason)のおまかせ運用を実現します。
アクトはSentinelOneとMSSP契約を持つ正式パートナーかつ、国内唯一のIRパートナーであり、 平常時からインシデント対応までお客さま負担をかけることなく、最高レベルのサイバーセキュリティをご提供します。
また、IT導入補助金対象サービスの『データお守り隊』もご提供しております。
EDR+SOC+簡易サイバー保険をお手頃価格でパッケージしたサービスです。補助金を申請することで低コストで高度なサイバーセキュリティ対策を実現できます。
ご興味がございましたら下記よりご確認ください。