情報漏えいニュースの考察~内部犯罪・内部不正行為によるインシデント編~

デジタル化が進みさまざまな企業が膨大なデータを扱うようになりました。その一方で、情報漏えいに関するニュースは後を絶ちません。

NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 情報セキュリティインシデントに関する調査報告書では、情報漏えいの発生原因としては、「内部犯罪・内部不正行為」は2.9%となっています。

数値としては低いものの、2019年12月に大きく報道された不正転売による神奈川県データ流出事件など、社会問題として取り上げられる事例多くもあります。このようなインシデントを企業が起こさないようにするためにはどのようなことに気をつける必要があるのでしょうか。

 

「内部犯罪・内部不正行為」による情報漏えいとは

「内部犯罪・内部不正行為」とは具体的にどのようなものを指すのでしょうか。NPO日本ネットワークセキュリティ協会の定義によると、「社員・派遣社員などの内部の人間が情報を悪用するという目的のために情報を不正に落ち出す行為」が該当します。

外部の人間が不正アクセスをした場合でも、内部の人間の積極的な不正行為があれば「内部犯罪・内部不正行為」に該当します。

 

内部犯罪・内部不正行為による情報漏えい事例

実際にどのような事例があるのか、「内部犯罪・内部不正行為」による事例をいくつかご紹介します。

 

事例1 神奈川県データ流出事件

2019年12月に神奈川県庁で行政情報が入ったHDを管理するリース会社の社員がHDを不正に転売されるインシデントが発生しました。オークションサイトで落札したユーザーがデータ復旧をしたところ、神奈川県の情報であることが発覚。

転売したHDは合計18個のうち9個が所在不明で、大規模な情報漏えい事件として話題になりました。

 

事例2  英語圏ユーザー12万人分の個人情報流出

2019年、セキュリティソフトを販売している会社が、海外市場で個人向け製品を利用している顧客情報12万人の情報を意図的に持ち出し第三者に提供しているというインシデントが発覚しました。

インシデントは詐欺被害を懸念したユーザーからの相談により発覚しました。社内調査をしたところ、特定の従業員がサポート情報のデーターベースにアクセスして顧客情報を持ち出していたことがわかりました。

 

事例3 元従業員によるUSBメモリ不正コピー

2018年医療機器メーカーの元従業員が、医療機関から提供した患者情報やアンケート調査データ2603件を不正に持ち出し書類送検されたというインシデントが発生しました。

元従業員は、もともと機密情報に関わる仕事に従事していました。退職の意思表示をしたので調査を行ったところ、不正に情報を持ち出していることが発覚したようです。

 

「内部犯罪・内部不正行為」による情報漏えいの考察

「内部犯罪・内部不正行為」はなぜ発生してしまうのでしょうか。問題点を考察しながら、解決策を考えていきましょう。

 

背景と課題

そもそもなぜこのような内部不正が起きてしまうのでしょうか。発生してしまう原因としていくつかの理由が考えられます。

 

課題1 社員教育の徹底のなさ

内部不正が起きる原因として、社員の情報セキュリティ低さが問題として考えられます。情報セキュリティ意識の低い社員は、機密情報が入った端末が一度外に流出すると、どのようなトラブルに発展するか、想像できないケースがほとんどです。

「たかだかデータ」と社員が考えていると、情報漏えいが発生して企業の信用を失い会社として大きな損失になることに気づいていません。このような認識の甘さの原因は、研修制度の甘さにあります。

特に、「内部犯罪・内部不正行為」を行う社員は委託社員をはじめとした非正規のケースが少なくありません。正社員だけでなく、非正規社員の情報セキュリティに対する意識改革も必要になります。

 

課題2 認識の甘さ

神奈川県で発生した情報漏えいでは、自治体と企業のセキュリティに関する認識の甘さが結果的に不正転売を招きました。実際に、神奈川県の廃棄するファイルサーバにデータ暗号化などがなされていなかったこと、神奈川県がデータ消去の完了に関しての確認などを怠ったこと、県の担当者が取引先のリース会社が廃棄を再委託した企業のことを知らなかったことなどが挙げられます。

物理的な破壊をしているかどうかを神奈川県側がリース会社に確認をしていたら、不正転売を防ぐことができた可能性があります。

情報を外部に持ち出す際は、さまざまなリスクが考えられます。依頼者としての認識の甘さから情報漏えいが発生することも考えられるので注意が必要です。

 

課題3 環境の見直し

いくらセキュリティ対策や不正を防止する管理システムを構築しても、社内の環境が、不正をしやすい状況になっていると、ルールの隙間をかいくぐり「内部犯罪・内部不正行為」が発生してしまう恐れがあります。

「内部犯罪・内部不正行為」が起きない環境を実現するためには、企業内のシステムを再度見直し、何が足りないかを検討する必要があると認識しておきましょう。

 

「内部犯罪・内部不正行為」を防ぐ解決手段

内部犯行や内部不正行為による情報漏えいを防ぐためには、従来のセキュリティ対策だけでは情報漏えいを防ぐことができません。どのようなことに気をつけるべきなのでしょうか。企業ができる対策方法を検討していきましょう。

 

対策1 情報教育の徹底

内部不正の中には、データを取り扱う重要性を十分に理解せず、軽い気持ちで内部不正を行って、結果的に大きな情報漏えいインシデントになってしまう例も珍しくありません。このような犯行を防ぐために重要なことは、情報教育の徹底です。

不正な操作により情報漏えいが発覚した時、1人社員のミスにとどまらず、会社全体の信頼を失うことを派遣社員やアルバイトを含む全従業員が自覚する必要があります。社員の情報に関する危機意識を高めるために、情報教育をしっかり行いましょう。

情報教育は定期的に行うことで、社員の情報への意識を高く維持することが可能なので、数ヶ月に1度研修を実施する制度を整備するよう心がけてください。

 

対策2 内部不正がすぐに発覚する環境を作る

誰かが内部不正を行ったらすぐに発覚してしまう環境を構築することも大切です。例えば、誰がいつサーバやシステムにログインしたかなどのアクセスログを監視システムや、機密情報を扱う端末やセキュリティルーム前に監視カメラを設置するだけでも効果が期待できます。

 

対策3 情報漏えいが発生した際のリスク回避

社員が意図的に情報を持ち出したとしても、データを簡単に移動したり見たりすることができないような措置も重要です。例えば、機密情報が入ったファイルを暗号化しておくことで、データを持っていたとしても情報を見ることができないことになります。

不正に情報を入手しても不正を行う人が利益が得にくい状況を作ることで、内部不正をするメリットがないことを認識させることが可能です。

 

対策4 退職者のID削除

内部事情を知っている元社員の不正アクセスを防止するため、退職者のID削除も迅速にしておく必要があります。退職後も仮想デスクトップなどへアクセスできる状態を放置していると、不正アクセスの可能性が高まります。

このような状況をつくらないためにも、退職者のIDは退職後すぐに、アクセスができないよう対処することを心がけてください。

 

まとめ

「内部犯罪・内部不正行為」は情報漏えいの中でも社内の意識改革と管理システムの強化を行えば、被害を未然に防ぐことが可能です。今回紹介した対策を参考にし、インシデントが発生しない環境づくりを心がけましょう。

あわせて読みたい

お見積・無料お試し








製品・コラム





フルワイプに対応したエンドポイントセキュリティ・TRUST DELETE prime
遠隔データ消去ソフト TRUST DELETE Biz
SMS Push遠隔消去ソフト TRUST DELETE Bizパナソニック版
VAIO PC向け遠隔消去情報漏えい対策ソリューション
FUJITSU 在宅勤務・テレワーク向け遠隔データ消去ソリューション
管理サーバーデバイス監視ソシューション TRUST DELETE OP
パソコンの不正持ち出し抑止ソフト OneBe Guard
モバイルデバイス監視ソフト OneBe UNO
ホイールパッドユーティリティ WheelPad Touch
在宅勤務・テレワークのパソコン運用管理用文書テンプレート集 モバイルPC管理テンプレート

エンドポイントの
情報漏えい対策を考えるコラム

2020.05.31
データ消去証明書って何?~「データ適正消去実行証明書」ができた背景から仕組みを解説~
2019年に発生した神奈川県庁のHDD転売による情報漏えいのインシデント(本コラム「緊急 神奈川県庁データ漏えい事故についての見解」参照)では、PCの廃棄に関するずさんな管理が自治体で行われていたこと......
2020.05.15
パソコンのデータ消去を行う業者の探し方・選び方
パソコンを廃棄する場合、「データを消去して廃棄する」と考えるのが一般的です。しかし、正しい手順で消去をおこなっているでしょうか。データ消去をしたつもりでもデータ復旧が可能なことがあります。 もし、この......
2020.05.09
情報漏えいニュースの考察~内部犯罪・内部不正行為によるインシデント編~
デジタル化が進みさまざまな企業が膨大なデータを扱うようになりました。その一方で、情報漏えいに関するニュースは後を絶ちません。 NPO日本ネットワークセキュリティ協会が2019年に発表した「2018年 ......
2020.05.02
【応募締切間近】今こそ助成金を活用してテレワークを導入しよう! 東京都が「事業継続緊急対策(テレワーク)助成金」を拡大~その申請方法や注意点を解説~
東京都は、以前より「事業継続緊急対策(テレワーク)助成金」により企業のテレワーク導入を支援していましたが、新型コロナウイルス対策の一環として、2019年にテレワーク普及促進に割り当てていた約35億円か......
2020.04.25
情報漏えいニュースの考察~誤操作によるインシデント編~
企業は、顧客、クライアントからの大切な情報を管理する立場です。その企業が情報漏えいを防ぐためには、社員への教育と情報管理が必要不可欠で、多くの企業が取り組んでいるはずです。しかし、情報漏えいのニュース......