近年、企業や組織内での内部不正が増加しており、その深刻な影響が社会全体に及んでいます。内部不正は組織の信頼性を揺るがし、経済的な損失や倫理的な問題を引き起こす可能性があります。
ここでは内部不正の概念や原因、そしてその防止策について考察し、信頼と透明性の重要をお伝えします。
【2024年10月9日更新】
内部不正の定義と種類
内部不正とは、一般的に従業員や企業関係者によって企業内部の重要情報(営業秘密・個人情報・重要技術情報)や情報システム等の情報資産の窃取、持ち出し、漏洩、消去、破壊等を指します。また、従業員が退職後に在籍中に得た情報を漏洩する行為についても内部不正となります。
誤って情報を流出させてしてしまった場合も内部不正に当たります。内部不正が発生すると企業の信用失墜につながり、組織の健全な運営を妨げ、大規模な損失の原因になるため対策が必要です。
内部不正=機密情報や個人情報を漏洩とイメージすることが多いですが、内部不正には大きく分けると4つの種類があります。
1.機密情報や個人情報の流失・漏洩・消去
2.資金の着服や不正な取引(横領)
3.違法残業、賃金未払いなどの労働基準法違反
4.ハラスメント
これらの行為は、個人の欲望や組織内の不適切な文化、社内体制の不備などによって引き起こされることが多いです。近年、特に問題視されているのがやはり情報漏洩に関するものです。テレワークやSNSの普及による影響が大きいと言えるでしょう。
(参考:IPA内部不正防止ガイドラインhttps://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf)
(参考:労働基準法https://laws.e-gov.go.jp/law/322AC0000000049/#65)
内部不正が発生する原因
内部不正はなぜ発生してしまうのでしょうか。
内部不正が発生する原因として主に2つに分類されます。
1.人的要因
2.技術的要因
1.人的要因
人的要因とは、人によって引き起こされる原因のことです。人的要因には、故意に重要情報を持ち出されること以外にシステムの誤操作など誤って情報を流出させてしまうヒューマンエラーによるものも含まれます。
なかでも、故意に行われる内部不正は個人的な動機が関わるため、人が不正を働く心理についての理解も必要です。
不正を働く心理は「動機」「機会」「正当化」の3つの要素からモデル化したものが「不正のトライアングル」と言われ、この3要素が揃うと不正が起こりやすくなると言われています。「不正のトライアングル」とは、1950年代にアメリカの犯罪学者ドナルド・R・クレッシーが提唱した理論です。
不正行為が起こりやすくなる3要素
「動機」
個人が不正行為に至る内的な誘因を指します。
一般的に動機は個人の内面に根差しているため、不正発生前に外部から察知するのは困難です。
・個人的な借金や家族の教育費などにより、金銭を得るため。
・業務内容や待遇に対して不満があるため。
・失敗や損失を隠蔽するため。
・過度な業績目標によるプレッシャーのため。
「機会」
不正を行うための手段や環境が整っている状態を指します。
悪意のある人物がいる状況下で容易に不正が実行できる環境を放置しておくことは、不正行為を誘引することになります。
・重要情報の管理者が一人しかいない。
・監視体制が整備されていない。
・パスワードが未設定。
・上司などのチェック機能の欠如。
「正当化」
不正行為を合理化する思考過程を指します。
自分の行為に理由をつけて正当化することで、不正行為に対する罪悪感を薄れさせる要因です。
個人の価値観や倫理観に深く根差す一方で、企業の風土や文化の影響も大きく受ける部分です。そのため、不正を許容しない企業文化の構築やコンプライアンス教育の徹底により緩和することが可能です。
・企業の利益にもなるから良い。
・他の人もやっているから構わない。
・会社が自分を正当に扱ってくれないのだから仕方がない。
2.技術的要因
技術的要因とは、内部不正を未然に防止する仕組みが整備されていないことを指します。人的要因によって内部不正が発生してしまう状況であったとしても、仕組みの面で内部不正が不可能な状況になっていれば不正行為には至りません。
一方で、何らかの技術的対策を講じていたとしても、その施策に効果がないことを内部関係者が把握しているようなら、むしろ内部不正を誘発する原因となり得ます。
本来権限の与えられていない従業員も情報にアクセスできるようになってしまい、内部不正のリスクが高まるでしょう。
また企業によっては、誰が情報にアクセスしたのか追跡できないシステムを使用している場合、履歴が記録されていないこともあります。内部不正が起こってしまっても経路の検出や追跡が困難で、調査に時間がかかってしまう可能性があります。
・重要情報へのアクセス・操作ログを確認しておらず、不正の検出や追跡ができない状態にしている。
・セキュリティ対策が適切に施されておらず、パスワードなどの重要情報が漏洩しやすい。
・重要な情報にアクセス権限を設けておらず、権限のない従業員のアクセスを許している。
参考:弁護士保険内部不正とは?発生原因、防止対策を事例付きで解説https://mikata-ins.co.jp/lab/jigyo/060923
参考:探偵事務所【2022年最新】内部不正の種類と最新手口、事例まとめhttps://sat-sagasu.com/naibufusei
参考:不正のトライアングルとは不正のトライアングルとは?基本理論や事例、防止策について解説https://www.abitus.co.jp/column_voice/cfe/column_voice13.html
内部不正の影響
内部不正は組織や企業に深刻な影響を与えます。まず財政的な損失が発生する可能性があります。不正な資金の流失や不正会計によって企業の収益や信用が損なわれることがあります。また、内部不正は企業のイメージや信頼性を大きく損ね、場合によっては組織の継続が不可能になることがあります。
2024年1月、IPA(独立行政法人情報処理推進機構)は、「情報セキュリティ10大脅威 2024」を公表しました。この報告書によると、3位に「内部不正による情報漏えい等の被害」6位に「不注意による情報漏えい等などの被害」がランクインしております。このランキングはIPAが選出した脅威候補の中から、情報セキュリティ分野の研究者や企業の実務担当者などが審議・投票をしたうえで決定したもので、「内部不正による情報漏えい等の被害」に関しては、2016年に初めて選出されて以降、毎年連続でランクインしているほど問題視されています。
引用:情報処理推進機構 情報セキュリティ10大脅威 2024 ttps://www.ipa.go.jp/security/10threats/10threats2024.html
「内部不正による情報漏えい等の被害」は、2022年5位⇒2023年4位⇒2024年3位と年々ランキングが上昇しており、「不注意による情報漏えい等などの被害」もまた、2022年10位⇒2023年9位⇒2024年6位と上昇傾向にあります。
以上のように、内部不正によるリスクは過去から重要視されており、ガイドラインも整備されていますが、内部不正による事件が後を絶ちません。
実際に起きた個人情報漏洩事例
事例1:ベネッセ顧客漏事件 セキュリティの不備
2014年6月顧客からの問い合わせにより、ベネッセコーポレーションが管理する顧客情報が社外に漏洩している疑いが浮上し、社内調査の結果、データベースから情報が不正に持ち出されていた事実が判明しました。システム開発・運用を株式会社シンフォーム(ベネッセホールディングスの100%子会社)に任せており、株式会社シンフォームでは同業務の一部を他の企業に委託、さらに委託先企業は別の企業に再委託していました。
その再委託企業の社員による犯行でした。
ベネッセコーポレーションにて名寄せ作業を実施した結果によると、流出した顧客情報は、3,504万件(4,858万人分)と推定されました。(流出延べ件数2億1,639万件に及ぶ)
この事件を受け、犯行当時のベネッセホールディングス社長とベネッセコーポレーション社長が引責辞任する事態となりました。また、事件処理に260億円の特別損失を計上をしました。
事件の問題点
①書き出し制御システムの不備
パソコン内のデータを外部記録媒体に書き出せないようにする制御システムが機能しない状態でした。
②重要情報の取り扱いに関するルールの不備
重要情報を取り扱う執務室内に私物パソコンの持ち込みは禁止していたが、スマートフォンについての制限はしておらず、執務室への入退に当たっての持ち込み防止策は取られていませんでした。(所持品確認など)
③情報へのアクセス範囲未区分による制限の不備
顧客情報全体にアクセス可能のために起こった事件であり、重要度に則し情報を適切に区分し、顧客情報にアクセスできないように制限されていれば、未然に防止できるものでした。
④監査ログの不備
アクセスログを定期的に監査する体制が整っておらず、異常な操作履歴を把握できていませんでした。
⑤アラートシステムの不備
業務用パソコンとサーバーとの間の通信量に異常があった場合、担当者にメールにて通知があるはずであったが、未設定でした。
⑥情報セキュリティ関係統括責任者及び担当部署の不明確
ベネッセグループでは、情報の活用面については、体制を構築していました。しかしながら、情報セキュリティに関しては、全体の統括責任者や担当部署を明確にしていませんでした。
このように、情報活用に偏重した状況が放置されていたのは、ベネッセグループ経営陣のITリテラシーの不足によるものと言わざるを得ません。
本事件の留意すべきポイントとしては、株式会社シンフォームがシステム業務を広範にアウトソーシングしていたことにより、事業者としての責任感を喪失し、業務委託先の従業員に対する監視を怠っていたことが問題でした。企業側がアウトソーシングのリスクを考慮し、適切な監視措置を講じる必要があります。
個人情報の漏えいは、経済的損失だけにとどまらず、長年築いてきた信用を一瞬で失いかねないリスクも併せ持ちます。事業価値の維持のためにも、個人情報の適切な取り扱いは一層優先して取り組むべき経営課題で、改めて情報保護に対する取り組み強化が求められます。
参考:B&Tブックス 日刊工業新聞社 「なぜ、企業は不祥事を繰り返すのか」ベネッセの顧客情報漏えい事件
事例2:船場吉兆の食品偽装
■2007年に船場吉兆 菓子販売に関する保健所への告発により食品偽装が発覚。
船場𠮷兆(せんばきっちょう)は高級料亭として、大阪市中央区に存在した𠮷兆グループの料亭で、船場本店を中心に大阪市中央区と福岡で店舗を展開していました。2007年不祥事騒動を起こし、2008年5月28日、全店を閉店し廃業に至りました。
不正事件の詳細
2007年10月27日:消費期限・賞味期限偽装
2007年11月9日:鶏肉・牛肉の産地偽装
2007年11月16日:味噌漬けの産地偽装
2008年5月2日:食べ残しの使いまわしが発覚
この他にも、無許可での梅酒造りなど多くの不祥事が内部告発により相次いで発覚。この事件が発端となり「船場吉兆」は2008年6月には負債は8億円で自己破産に追い込まれるという事態になりました。
参考:トウシル https://media.rakuten-sec.net/articles/-/41529
参考:Wikipedia https://ja.wikipedia.org/wiki/%E8%88%B9%E5%A0%B4%E5%90%89%E5%85%86船場吉兆
内部不正の防止策
内部不正を防止するためには、不正ができない体制と環境を構築することが大切です。
IPA(独立行政法人情報処理推進機構)が公表している「組織における内部不正防止ガイドライン」では、5 つを状況的犯罪予防理論に基づいた内部不正防止の基本原則としています。内部不正を防止するためには、犯罪の機会や動機を低減し、犯罪を予防するという状況的犯罪予防の考え方を基に、不正防止の対策を講じることが効果的とされています。そのためには、組織全体での努力が必要です。まず、組織の風土を整えることが重要です。倫理的な行動や透明性を重視する文化、従業員が正当な手段で成功を収めることができる環境を作る必要があります。
【内部不正防止の基本5原則】
1.犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
引用:IPA組織における内部不正防止ガイドラインhttps://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
2.捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
3.犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで 犯行を防ぐ
4.犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
5.犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
上記はあくまでも指針であり、具体的な対策について手順等を細かく指示するものではありません。そのため、組織や企業は組織内の監査体制の強化や内部通報窓口を設置するなど、効果的かつ効率的な対策が必要です。
内部不正防止の基本的な対策
①アクセス制御の強化
最小権限の原則に従い、アクセス権を適切に付与しましょう。利用者IDやアクセス権が適切に付与されていないと重要情報を不正に利用される恐れがあります。異動や退職によって不要になった利用者IDやアクセス権は、速やかに削除するよう徹底しましょう。
委託先の情報セキュリティも管理する必要があります。秘密保持契約で責任の所在や対応方法を明確にし、委託先の情報セキュリティへの対策状況を定期的に確認しましょう。
②セキュリティ教育の周知徹底とルール化
従業員に対して情報セキュリティの重要性を教育し、不正行為のリスクについて意識を高めることが重要です。特に、データのコピー制限やWebアクセス制御、私用端末の持ち込み禁止を行うことで情報資産の持ち出しを困難にすることが可能です。情報資産の持ち出しができないようするためのルール設定や使用制限をすることが必要です。
また、業務で知り得た情報やノウハウを外部に漏らすことを禁止するなど、本来の目的から逸脱した取り扱いをしてはならない旨を就業規則などに明記しましょう。反した場合には、罰則が適用されることの明記も有効です。
③ログの記録と分析
アクセスログや操作ログなどを記録し、定期的に監査することで不正の前兆となる行為を把握でき、早期発見できます。万が一不正が発覚した場合も、原因の特定や影響範囲の調査が容易になります。
また、重要なデータを暗号化し、万が一の漏洩時にも情報が保護されるようにします。
④職場環境の整備
軽微な不正を放置すると、「これくらいなら大丈夫」という意識が組織全体に広がります。その結果、内部不正が起こりやすい環境を作り出すことになってしまうので注意が必要です。従業員同士の信頼関係の維持・向上や、罰則規定の整備などを行い、不正が起こりづらい環境を作ることが大切です。
また、業務内容を相互にチェックして牽制する体制を作る、体制面の対策強化を図ることも重要です。
⑤実務的な内部通報窓口の設置
内部通報窓口を設置することで、企業内部の不正行為を早期発見でき、改善策を講じることができます。また、情報の透明性を高め、コンプライアンスの徹底や企業イメージ向上、業績向上にも貢献します。
内部通報窓口に相談しにくい場合がある場合、社外相談窓口があれば第三者機関(日本公益通報サービス株式会社)が通報者の保護をしながら企業へ代行して伝えることができます。また、第三者機関(日本公益通報サービス株式会社)であれば匿名で通報することも可能なため従業員のプライバシーを尊重することができます。
社外窓口(日本公益通報サービス株式会社)を設置することが内部不正の早期発見につながります
参考:IPA組織における内部不正防止ガイドラインhttps://www.ipa.go.jp/security/guide/hjuojm00000055l0-att/ps6vr7000000jvcb.pdf
情報セキュリティナビhttps://www.johosecuritynavi.com/?p=2728
参考:ビズオーシャン【事例紹介あり】内部不正への対策フローとトラブルを防ぐポイントhttps://journal.bizocean.jp/corp02/b01/3710/
まとめ
内部不正は組織の信頼性や発展に深刻な損害をもたらします。また、内部不正は故意によるものだけではなく、情報管理の意識欠如を含めた人為的な理由が原因で発生する可能性もあります。不正行為の早期発見をすることにより、問題の深刻化を食い止めることができます。組織全体で内部不正の防止に取り組むことで、公正な倫理観のある企業文化を築くことができます。内部通報窓口を社内だけでなく社外へ設置し第三者機関が代行することは、企業の長期的な継続可能性を確保するために必要なものです。
パワハラ防止法・改正公益通報者保護法対策の窓口整備はお任せください。
社外通報窓口の必要性
ハラスメントの被害者はとても傷つきセンシティブな精神状態になっています。上司や同僚に相談しても、後から加害者から報復を受けることを恐れて通報を躊躇してしまうことが考えられます。セクシャルハラスメントの被害者が女性の場合、男性の上司や社内窓口担当者へ話をすることを躊躇し泣き寝入りする可能性もあります。
こうした状況に対応するために女性が相談窓口担当の「社外通報窓口」の設置が必要です。社外通報窓口は、組織内の従業員がいつでも安心して相談できる独立した窓口です。外部に設置された相談窓口は中立的な立場から問題の解決を支援し通報者を守ります。
組織内ではハラスメントの予防意識を高めるためのコーポレートガバナンス(※1)を充実させる努力が求められます。ハラスメントのないリスクカルチャー(※2)を築くことが企業の信頼につながります。
従業員が安心して働ける環境を確保するためには内部通報窓口を外部委託し、内部通報制度を充実させることが不可欠です。些細なことでも従業員の声を聴き、ハラスメントの予防と解決に向けて協力し、より健全な職場環境を作っていきましょう。
日本公益通報サービス株式会社のハラスメント相談窓口(内部通報窓口)では、
傾聴スキルが豊富な女性スタッフが優しい心で対応致します。
日本公益通報サービス株式会社(略称:JWBS)では、業界最安値で企業のハラスメント相談窓口を代行します。社内のハラスメント対策に、弊社のハラスメント外部窓口代行を是非ご利用ください。
(※1)「コーポレートガバナンス」とは、企業が経営を適切に行い、株主や利害関係者の利益を守るための制度や仕組みのことを指します。
(※2)リスクカルチャーとは、組織や社会において、リスクに対する意識や態度、価値観のことを指します。
日本公益通報サービス株式会社(略称:JWBS)が企業の内部通報窓口を代行し、従業員や顧客の声を集め、循環取引などの内部不正や整備の不備に対する真偽の確認と対策立案を支援するとともに、従業員の心と健康づくりを支援いたします。
令和2年6月「公益通報者保護法」が一部改正、「改正公益通報者」が一部改正され、令和4年6月1日から施行されました。法改正により従業員数300人を超える事業者には、内部通報に適切に対応するための必要な体制の整備が義務付けられます。具体的には、通報窓口の設置や通報者の不利益な取り扱いの禁止、通報者情報の保護などが求められます。
しかしながら、社内でこれらの体制整備を実施することは、多大な負担となる場合がございます。そこで、日本公益通報サービス株式会社では、業界最安値で内部通報窓口サービスを提供いたします。通報者が安心してご相談いただけるハラスメント相談窓口を代行させていただき、明るく働きやすい職場環境をつくるお手伝いを致します。
◆日本公益通報サービス株式会社とは
内部通報窓口を代行し、不正、不備に対する真偽の確認と対策立案を支援します。
お悩み事の早期解決のために、通報窓口が万全のサポート体制をもって企業をバックアップします。
◆日本公益通報サービス株式会社について
本社: 〒231-0023
神奈川県横浜市中区山下町2番地 産業貿易センタービル9階
代表者: 代表取締役社長 小塚 直志
設立: 2023 年 3月
資本金: 1000万円
事業内容: 当社では、企業危機管理、働きやすい職場づくりなど、長期的な健康経営に取り組む事業者様をさまざまな形でサポートいたします。
■内部不正・ハラスメント・コンプライアンス外部相談窓口サービス
・専門家(弁護士、社会保険労務士、公認不正検査士、産業カウンセラー、心理カウンセラー)によるアドバイス
・社内周知のサポート
■各種セミナー・説明会の実施サービス
・内部不正防止対策セミナー
・ハラスメント対策セミナー
・内部通報制度説明会
■適性診断・基礎能力診断サービス
貴社で活躍する従業員の傾向を詳細に分析
■ハラスメント理解度チェックテスト
貴社の職場のハラスメント理解度をチェック
企業サイト: https://jwbs.co.jp/
