リスク・フォーカスレポート

情報セキュリティ編 第一回(2012.8)

2012.08.29
印刷

1.はじめに

 組織における顧客情報・個人情報・機密情報の漏洩や流出が組織に与える損害は、情報漏洩の検出/エスカレーション(原因究明)と顧客への通知、事後対応等の直接的なコストに加えて、顧客離れに伴う事業面での損失、株価の下落、信用の失墜、そして長期にわたる営業効率の悪化、システムの再構築など一過性のクライシスではすまされない大きな負担となっている。

 そのうえ、例え、技術的なセキュリティ対策やマニュアルの整備、研修の実施や誓約書の提出等、内部統制システムを構築することによって、情報漏洩リスクを一定程度低減できたとしても、「人」が介在する以上、「人」に起因する運用上のリスク(=人的脅威)をゼロにすることはできない。特に、人的脅威の中でも、「故意による内部犯行」は、発生した場合に大きな被害・影響をもたらすものであり、したがって、その対策についても、その他の情報セキュリティ上の類型とは異なる対応が必要である。

2.内部不正による情報漏洩概観

 日本ネットワークセキュリティ協会が実施した

2010年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~

によると、原因が内部者の不正である(事件)件数は少ないものの、インシデント1件あたりの個人情報流出数が第1位の不正アクセス(13万8492人)に次ぎ多い(7万8457人)ことから、発生時の影響が多大であることがわかる。さらに最近、企業における情報漏洩リスクの一つとしてクローズアップされている産業スパイなどの例に見られるような個人情報以外の潜在的な(表沙汰にならない、隠蔽される)発生・流出件数も考えると、その数は相当な規模に膨れあがることが予想され、看過できない重要な問題であるといえる。

【内部不正による漏洩事例】

    • 証券会社システム担当部長代理による顧客データ持ち出し・売却
      証券会社のシステム担当であった部長代理が、同社のデータベースに不正にアクセスし148万人の顧客データを持ち出し、うち5万人分を名簿業者に売却していたことが判明した。
      読売新聞2009年11月13日など
    • 保険代理店から名簿業者に顧客情報の売却
      廃業した保険代理店から、外資系保険会社4社の顧客情報2万5000件以上が名簿業者に売却されていた事件が発生した。また、翌月には同じ保険代理店から、通信販売会社の顧客情報3万5000件が売却されていたことも明らかになった。
      読売新聞2011年8月16日など

 上記も含め、幾つかの内部不正事例からもわかるように、情報漏洩リスク(紛失、流出、改竄、盗難)への対策として、情報システムセキュリティ対策や社内のマネジメントシステム(体制、ルール)を強化し、日々の運用において推進していく必要があるのは当然である。

 しかし、普段の業務の中で、個人の裁量が入り込んだ「組織的な意思」とかけ離れた判断や、意思決定・行動などが属人的な裁量に任されているが故に不正を生じさせうる活動プロセスが厳然として存在する。内部不正を防ぐためには、不正者が不正行為を働く「動機」や、「機会」や「正当化」(いわゆる不正のトライアングル)の提供といった背景等の特徴を明らかにすることにより、その対策を講じる必要がある。

3.内部不正による情報漏洩対策を考える

 企業・組織内の情報漏洩に関わる内部不正は、防止のための方策として、不正者が不正行為を働く動機や背景等の特徴を明らかにすることが必要である。

 内部の脅威に注目した取組みと研究調査として、財団法人社会安全研究財団は、「情報セキュリティにおける人的脅威対策に関する調査研究報告書」において、その環境等に予防の観点をおいた環境犯罪学や犯罪心理学の理論を援用している。

 上記、調査報告書では―――

  • 犯罪者となるリスクを持つ人については、犯罪者が犯罪に至る「機会」や「動機」を取り除き、犯罪者となるリスクを持つ人を減少させるための対策や、犯罪者になることを抑制する力を強化するための方策が考えられる。これは、劣悪な組織環境が不正の原因になっているのであれば、そのような組織環境を改善することや社会的な規範を順守する価値観を持つよう教育する、などが挙げられる。
  • 潜在的な被害者(物)については、潜在的な被害者(物)が持つ犯罪被害への抵抗性を高めるための対策が考えられる。これは、侵入窃盗の被害に遭いにくい家屋作りのために「戸締りを完全にする」「窓のガラスを割れにくいものにし、面格子や雨戸を付ける」といった対策をとることが挙げられる。
  • 環境については、犯罪を誘発する「環境」を作らない、あるいは減らすための対策が考えられる。これは、潜在的な内部不正者に「結果的に(or絶対に)損する(得はしない)」と知らしめる環境を設計することも環境についての重要な対策となるとしている。

 上記調査概要からも明らかなように、情報セキュリティ事案における、内部不正者による「動機」や「機会」、「正当化」による犯行の成立を未然に防ぐための総合的な対策が講じられるべきである。

 つまり、情報セキュリティ事案も、他の犯罪と同様に、犯罪者となるリスクを持つ人、潜在的な被害者(物)、環境のそれぞれについてバランスの取れた、整合性のある対策群を構築していく必要がある。

4.不正のトライアングル理論

 本項目では、上記項目でも述べた、内部不正に関しての着目すべき理論の一つである「不正のトライアングル理論」を軸に、より発展させた考え方を紹介していきたい。

 「不正のトライアングル理論」とは、

    1. 犯行に至る動機/プレッシャー
    2. 犯行を行いやすい機会
    3. 犯行を自己正当化する事由

 の3つの要因により、内部不正が誘発されるとする理論である。

 これらの要因を取り除くための情報セキュリティ事案における牽制策とは、不正を犯すことを思い止まらせ(動機及び正当化事由に対する手当て)、問題の発生を抑制し、関連行為を牽制する(犯行機会に対する手当て)ということであり、具体的には、トップによる情報セキュリティ確保に対する強い意思表明、情報セキュリティ教育・訓練、監視の徹底などの対策が挙げられる。

 予防策としては、不正/過失行為の発生原因を排除した上で、利用権限の制限やアクセス権の定期的見直し、また定期的な保守などが挙げられる。また、検知策としては不正アクセスの監視、取得ログなどの相互監視などが挙げられるなど、このような総合的な対策の組み合わせによるアプローチが重要である。

 さらに一歩進めて、内部不正の発生に関する内部要因の自然的発生の抑制をも考えた場合、環境(労務環境・労務形態・実態)に働き掛けて、不正を引き起こすことが、誰の眼にも、合理的に、また長期的に割に合わないという状況(仕掛け・シナリオ)を創出し、周知するという対策を明確に打ち出すべきである。

 そのためには、何と言っても所属する組織文化の醸成こそが各種対策を有効なものとすることを強く認識する必要がある。本来善良であるにも関わらず、性弱という人間の本性に働き掛けて、「不正の誘惑に負けない」「不正なる企図はそもそも持たない」「不正行為結果の影響(デメリット)は、必ず不正動機の思惑(メリット)レベルを上回る」とする確固たる自信、即ち、内部不正を受け付けない、或いは生まない組織文化の醸成と持続的な発展・定着を真に志向すべきだと言えよう。

 これは、犯罪原因論の組織運用・組織文化への適用でもあり、組織の構成員たる人は、組織とは無関係な「個人」としての弱さを内在しているということを忘れずに、その弱さを際立たせない組織文化の醸成・構築に取り組むべきである。何もこれは内部不正に絡んだ情報漏洩に限ったことではない。すべての企業不祥事に関して、従業員に対する企業倫理教育と実践の姿勢とは、そのような組織文化のなかで強固に育まれるものであるとの意識改革が企業人に求められている。

Back to Top