デジタル化が進みさまざまな企業が膨大なデータを扱うようになりました。その一方で、情報漏えいに関するニュースは後を絶ちません。
NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書では、情報漏えいの発生原因としては、「内部犯罪・内部不正行為」は2.9%となっています。
数値としては低いものの、2019年12月に大きく報道された不正転売による神奈川県データ流出事件など、社会問題として取り上げられる事例多くもあります。このようなインシデントを企業が起こさないようにするためにはどのようなことに気をつける必要があるのでしょうか。
「内部犯罪・内部不正行為」による情報漏えいとは
「内部犯罪・内部不正行為」とは具体的にどのようなものを指すのでしょうか。NPO日本ネットワークセキュリティ協会の定義によると、「社員・派遣社員などの内部の人間が情報を悪用するという目的のために情報を不正に落ち出す行為」が該当します。
外部の人間が不正アクセスをした場合でも、内部の人間の積極的な不正行為があれば「内部犯罪・内部不正行為」に該当します。
内部犯罪・内部不正行為による情報漏えい事例
実際にどのような事例があるのか、「内部犯罪・内部不正行為」による事例をいくつかご紹介します。
事例1 神奈川県データ流出事件
2019年12月に神奈川県庁で行政情報が入ったHDを管理するリース会社の社員がHDを不正に転売されるインシデントが発生しました。オークションサイトで落札したユーザーがデータ復旧をしたところ、神奈川県の情報であることが発覚。
転売したHDは合計18個のうち9個が所在不明で、大規模な情報漏えい事件として話題になりました。
事例2 英語圏ユーザー12万人分の個人情報流出
2019年、セキュリティソフトを販売している会社が、海外市場で個人向け製品を利用している顧客情報12万人の情報を意図的に持ち出し第三者に提供しているというインシデントが発覚しました。
インシデントは詐欺被害を懸念したユーザーからの相談により発覚しました。社内調査をしたところ、特定の従業員がサポート情報のデーターベースにアクセスして顧客情報を持ち出していたことがわかりました。
事例3 元従業員によるUSBメモリ不正コピー
2018年医療機器メーカーの元従業員が、医療機関から提供した患者情報やアンケート調査データ2603件を不正に持ち出し書類送検されたというインシデントが発生しました。
元従業員は、もともと機密情報に関わる仕事に従事していました。退職の意思表示をしたので調査を行ったところ、不正に情報を持ち出していることが発覚したようです。
「内部犯罪・内部不正行為」による情報漏えいの考察
「内部犯罪・内部不正行為」はなぜ発生してしまうのでしょうか。問題点を考察しながら、解決策を考えていきましょう。
背景と課題
そもそもなぜこのような内部不正が起きてしまうのでしょうか。発生してしまう原因としていくつかの理由が考えられます。
課題1 社員教育の徹底のなさ
内部不正が起きる原因として、社員の情報セキュリティ低さが問題として考えられます。情報セキュリティ意識の低い社員は、機密情報が入った端末が一度外に流出すると、どのようなトラブルに発展するか、想像できないケースがほとんどです。
「たかだかデータ」と社員が考えていると、情報漏えいが発生して企業の信用を失い会社として大きな損失になることに気づいていません。このような認識の甘さの原因は、研修制度の甘さにあります。
特に、「内部犯罪・内部不正行為」を行う社員は委託社員をはじめとした非正規のケースが少なくありません。正社員だけでなく、非正規社員の情報セキュリティに対する意識改革も必要になります。
課題2 認識の甘さ
神奈川県で発生した情報漏えいでは、自治体と企業のセキュリティに関する認識の甘さが結果的に不正転売を招きました。実際に、神奈川県の廃棄するファイルサーバにデータ暗号化などがなされていなかったこと、神奈川県がデータ消去の完了に関しての確認などを怠ったこと、県の担当者が取引先のリース会社が廃棄を再委託した企業のことを知らなかったことなどが挙げられます。
物理的な破壊をしているかどうかを神奈川県側がリース会社に確認をしていたら、不正転売を防ぐことができた可能性があります。
情報を外部に持ち出す際は、さまざまなリスクが考えられます。依頼者としての認識の甘さから情報漏えいが発生することも考えられるので注意が必要です。
課題3 環境の見直し
いくらセキュリティ対策や不正を防止する管理システムを構築しても、社内の環境が、不正をしやすい状況になっていると、ルールの隙間をかいくぐり「内部犯罪・内部不正行為」が発生してしまう恐れがあります。
「内部犯罪・内部不正行為」が起きない環境を実現するためには、企業内のシステムを再度見直し、何が足りないかを検討する必要があると認識しておきましょう。
「内部犯罪・内部不正行為」を防ぐ解決手段
内部犯行や内部不正行為による情報漏えいを防ぐためには、従来のセキュリティ対策だけでは情報漏えいを防ぐことができません。どのようなことに気をつけるべきなのでしょうか。企業ができる対策方法を検討していきましょう。
対策1 情報教育の徹底
内部不正の中には、データを取り扱う重要性を十分に理解せず、軽い気持ちで内部不正を行って、結果的に大きな情報漏えいインシデントになってしまう例も珍しくありません。このような犯行を防ぐために重要なことは、情報教育の徹底です。
不正な操作により情報漏えいが発覚した時、1人社員のミスにとどまらず、会社全体の信頼を失うことを派遣社員やアルバイトを含む全従業員が自覚する必要があります。社員の情報に関する危機意識を高めるために、情報教育をしっかり行いましょう。
情報教育は定期的に行うことで、社員の情報への意識を高く維持することが可能なので、数ヶ月に1度研修を実施する制度を整備するよう心がけてください。
対策2 内部不正がすぐに発覚する環境を作る
誰かが内部不正を行ったらすぐに発覚してしまう環境を構築することも大切です。例えば、誰がいつサーバやシステムにログインしたかなどのアクセスログを監視システムや、機密情報を扱う端末やセキュリティルーム前に監視カメラを設置するだけでも効果が期待できます。
対策3 情報漏えいが発生した際のリスク回避
社員が意図的に情報を持ち出したとしても、データを簡単に移動したり見たりすることができないような措置も重要です。例えば、機密情報が入ったファイルを暗号化しておくことで、データを持っていたとしても情報を見ることができないことになります。
不正に情報を入手しても不正を行う人が利益が得にくい状況を作ることで、内部不正をするメリットがないことを認識させることが可能です。
対策4 退職者のID削除
内部事情を知っている元社員の不正アクセスを防止するため、退職者のID削除も迅速にしておく必要があります。退職後も仮想デスクトップなどへアクセスできる状態を放置していると、不正アクセスの可能性が高まります。
このような状況をつくらないためにも、退職者のIDは退職後すぐに、アクセスができないよう対処することを心がけてください。
まとめ
「内部犯罪・内部不正行為」は情報漏えいの中でも社内の意識改革と管理システムの強化を行えば、被害を未然に防ぐことが可能です。今回紹介した対策を参考にし、インシデントが発生しない環境づくりを心がけましょう。