サイバー攻撃だけじゃない! 内部不正による情報漏えい事件

サイバー攻撃だけじゃない! 内部不正による情報漏えい事件

顧客情報や技術情報などの重要な情報が漏えいする問題は、外部からのサイバー攻撃によってのみ起きるわけではありません。むしろ隠されているものも含めれば、被害数が圧倒的に多く、被害額が甚大になるのは「内部不正」による情報漏えいです。内部不正の実態や事例について解説していきます。

内部不正とは? サイバー攻撃だけじゃない情報漏えい

内部不正とは、企業の従業員や関係者などの内部者によって、機密情報などの情報が窃取・持ち出し・漏えい・消去・破壊・悪用されること、あるいは内部者のミスによって流出してしまうことを言います。内部者には企業の正規従業員や役員以外にも、外注業者・業務委託先・契約社員・退職者などが含まれます。

内部不正には「故意による」ものと、過失などの「故意が認められない」ものがあります。IPAの調査報告書によれば、故意による内部不正は42.0%、故意が認められない内部不正が58.0%となっています。

また経済産業省の調査によれば、「営業秘密の漏えい者」として挙げられるのは「中途退職者(正社員)による漏えい」が最も多く50.3%、続いて「現職従業員等のミスによる漏えい」が26.9%、「金銭目的等の動機を持った現職従業員による漏えい」が10.9%などとなっています。

内部不正による情報漏えいの特徴

内部不正による情報漏えいなどによって企業が被る被害額は、外部からのサイバー攻撃や不正アクセスによる被害額に比べて甚大になる傾向があると言われています。コストの内容は直接的なビジネス損失、信用喪失による顧客の減少などに加え、調査費用、ダメージコントロール(事後処置)などが挙げられます。

さらに、内部不正による情報漏えいなどは公表されない傾向が強く、表に出ていない事件も多数あると推測されます。IPAの調査報告書によると、実際に内部不正についての企業アンケート結果では、「社内規定に従って懲戒処分などをした」という回答が50%を超えるものの、「懲戒処分や起訴はしなかった」という回答も30%を超えています。また「被害届を含む警察への相談」、「刑事告訴・告発」、「民事訴訟」をしたという企業の割合もそれぞれ9~14%程度に過ぎません。

内部不正による事件が組織内部で処理され、外部に公開されることが稀なのは、それが会社の信用に関わる問題であり、イメージダウンなどにつながることを恐れる体質があるためです。こうしたことから不正防止の参考にできる詳しい経緯についての報告も少なく、内部不正に関する情報はまだまだ不足しているのが現状です。そのため対策が追いついていない企業が多い点も問題となっています。

誰がどのようにしてデータを持ち出すのか

故意ではない内部不正には、「ルールを知っていたにもかかわらずうっかり違反した」というケースが最も多く、その半数以下の割合で「ルールを知らずに違反した」というケースが続きます。例えば悪意のない内部者が、相手を間違えてメールやFAXを送信してしまう、ネット上に公開してしまうなどの事例があります。また重要書類や記録媒体を紛失、廃棄した際に盗まれてしまう事例も見られます。

では故意の内部不正にはどのようなケースがあるのでしょうか。

故意の内部不正の動機は、不当だと思う解雇通知を受けたことや、給与や賞与、社内人事、上司の仕事の取り組み方や上司の人間性などへの不満、職場での人間関係のトラブルなどが引き金になるようです。

またこうした不満以外に、社内で頻繁にルール違反が行なわれている、顧客情報を簡単に持ち出せることを知っている、ルールに違反した際の罰則がない、社内の誰にも知られずに顧客情報などの重要な情報を持ち出す方法を知っている、といった状況・環境に乗じて行為に至るケースも多くあるようです。

漏えいした情報の種類は、顧客情報、技術情報、営業計画、製造計画、開発物品などが主なものとなっています。経路・媒体は、情報の種類にかかわらずUSBメモリが最も多く、他にはメール、Webへのアップロード、SNS、スマートフォン、ハードディスクドライブ、パソコンなどがあります。

内部不正による情報漏えい事例

具体的な事例としては、大手電機メーカーの研究データ(営業秘密)を、業務提携していた半導体メーカーの技術者が取得し、海外の企業がその研究データを提供することを条件にヘッドハンティングした事件が有名です。
海外の競合他社に技術情報を奪われたことで、損害額は1,000億円を超えたとも言われています。元技術者は2014年に不正競争防止法(営業秘密開示)容疑で逮捕され、また大手電機メーカーは容疑者と海外企業に対し1,090億円余りの賠償などを求める訴訟を起こしましたが、このうち海外企業については約330億円の和解金を支払うとの条件で和解に合意しました。

また、翌年2015年には、家電量販店の元課長が退職する前に事務所のパソコンに遠隔操作ソフトをインストール、競合企業に転職した後、その会社の業務用パソコンから遠隔操作と元部下を使って営業秘密情報を取得したとして、同じく不正競争防止法(営業秘密開示)容疑で逮捕されています。この場合、元いた会社のパソコンを遠隔操作したとしてもデータを転送するための操作をするにはIDとパスワードが必要ですが、その会社では事務作業の都合から退職後90日間は元社員のIDなどを有効にする設定をしていました。

サイバー攻撃の脅威が注目される一方で、こうした多くの内部不正事件も起きています。内部不正が企業に与えるダメージは大きく、厳格な対策が必要です。内部不正・内部犯行の対策については、「内部犯行による情報漏えいを防止する効果的な手段」を参考にしてください。