サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2024.4.24 セキュリティ対策

内部不正対策は万全ですか?営業秘密漏えい増加の背景とその対策を解説

近年、企業内での内部不正のニュースが相次いでいます。
信頼性の土台を揺るがす内部不正行為は、単なる経済的損失だけでなく信頼や評判の喪失にもつながります。
なぜこのような内部不正が増加しているのか、そしてどのようにしてこれに対処すべきなのか、その背景と解決策について解説していきます。

内部不正対策は万全ですか?サイバー攻撃対策だけでは足りない営業秘密漏えい増加の背景とその対策を解説

一般的な内部不正の範囲

内部不正とは、広義の意味では組織や企業内部の従業員や関係者が、その地位や権限を悪用して法律や倫理に反する行為を行うことを指します。
資金の横領、機密情報の盗み出し、偽の請求書の作成などが具体例として挙げられますが、ここではIPA(独立行政法人情報処理推進機構)のガイドラインに合わせて、下記を内部不正として説明させていただきます。

組織における内部不正

内部不正とは違法行為だけでなく、情報セキュリティに関する内部規程違反等の違法とまではいえない不正行為も内部不正に含まれます。

具体的な内部不正の行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を対象とします。
また、内部者が退職後に在職中に得ていた情報を漏えいする行為等についても、内部不正として取り扱います。

引用:IPA(独立行政法人情報処理推進機構)の「組織における内部不正防止ガイドライン」

内部不正で流出する営業秘密とは

営業秘密とは企業が独自の価値を持つために保持している非公開情報です。
近年、個人情報漏洩のリスクについては広く認知され、対策を立てている企業が多いようですが、重要情報や情報資産といった、いわゆる「営業秘密」 の持ち出し・漏えいの内部不正は、まだまだ課題として認識されていないように見受けられます。

以下は、一般的な営業秘密の具体的な例です。

・製造ノウハウ・アイデア
・製品仕様・設計図
・研究開発情報(計画、実験・失敗データ)
・顧客情報・仕入先情報
・販売情報(見積書、プレゼン資料)
・各種契約(契約内容、関連情報)
・他社から受け取った情報 など
(出典)独立行政法人 工業所有権情報・研修館(INPIT)はじめての「営業秘密管理」

これらはごく一般的な例であり、企業によってはこれら以外にも多くの営業秘密を有しています。
これらの情報は会社の規模や業種に関わらず、その企業が創意工夫や試行錯誤を繰り返して得た成果であり、競合他社に対抗できる強み、市場での差別化を可能にする重要な要素となっています。

特に中小企業においては、残念ながらこういった営業秘密の漏洩が、企業価値の毀損につながる重大リスクであるという認識がまだまだ浸透していなく、対策を講じている企業が少ないように見受けられます。 このような大切な秘密情報は、一度漏洩してしまうと決して元には戻らず、もしこれらが流出してしまったら会社の強みに陰りがでることになってしまいます。

内部不正の増加の背景

外部からのサイバー攻撃

サイバー攻撃や情報セキュリティ上の脅威が増加し、社内の内通者がサイバー攻撃を手引きする手口も増えており、従来の内部不正行為よりも洗練された手法が登場しています。
そういった中で、急速なテレワークの取組みが急速にあたり、情報管理・利用のあり方が変容しつつある中でリスクの評価が遅れ、想定していない情報漏えいにつながるケースが増加しています。

サイバー攻撃の脅威については、下記の記事をお読みください。
▼サイバー攻撃の脅威とは?目的や攻撃別の手口事例を紹介

組織の弱点や不備

IPAのインタビュー調査によると、内部不正リスクを軽視し対策を講じていなかったために、事故を発生させてしまった企業が多く見られ「自社では内部不正は発生しないだろう」、「自社の従業員に不正行為をするものはいない」と考えそもそも対策の必要性に気づいていなかったと結果が出ています。

内部不正は、機会・動機・正当化が揃うと発生しやすいと言われています。
例えば、組織内の適切な内部統制や監督が欠如している場合、従業員が不正行為を行う可能性が高まります。
また、システムやデータへの不適切なアクセスや適切な権限管理が行われていない場合、従業員が容易に不正な取引やアクセスを行うことができてしまいます。
そして組織内の監査機能が十分に機能していない場合、不正行為を早期に発見することも難しくなります。
もうひとつ、職場内で倫理意識が低い、あるいは不正行為を容認する文化が根付いている場合、従業員が不正行為に走るリスクが高まります。
組織の指導者や管理職が倫理的な行動を示さない場合、従業員の行動にも悪影響を与える可能性があります。
これらの弱点や不備が内部不正を容易にし、組織全体の信頼性に影響を与える可能性があるため、適切な対策を講じることが重要です。

雇用の流動化

現在日本の労働市場は終身雇用を前提とした働き方ではなく、転職を前提とした働き方にシフトしており雇用の流動化が進んでいるといえます。
転職する従業員が増加することに伴い、転職時に自分が有利になるように重要情報を不正に持ち出すケースが増えています。
また、単に従業員自身が利益を得るために不正行為に手を染めるケースも増えています。
その典型例としては、従業員等によって顧客情報が不正に売られたことによる個人情報の大量漏えい、製品情報が退職の際に不正に持ち出されたことによる技術情報の漏えい等が挙げられます。
2014年に業務再委託先社員による大規模な個人情報漏えい・転売事件が発生したほか、2012年以降 1,000億円規模の損害賠償を請求した技術情報漏えい事件が複数回も発生しています。

退職する従業員の復讐心

退職する従業員が組織に不満を持っていた場合、腹いせとして重要データ等の改ざんや破壊、削除を行うケースも見受けられるようになりました。
職場での人間関係や評価・待遇への不満から、雇用終了間際に手を染めてしまうことが多いようです。
根本の問題はコミュニケーション不足等から生まれるものですが、防止のために雇用終了前の一定期間から重要情報をシステム管理部門等の管理下に置くことが望まれます。

確立された内部不正対策法が手薄

IPAのアンケート調査によると、内部不正行為は発覚しても会社の信用に関わるため、組織内部で処理されてしまったり、和解方向へ向かう傾向にあり、事件化や訴訟に発展するなどの必要性がない限り組織の外部に知られることは稀のようです。
ニュース等で取り上げられる内部不正は、訴訟へ発展してしまったケースのみと考えられるため、内部不正の発生する要因や効果的な対策等について組織を越えた情報共有がされず、対策を模索しているのが現状です。
現時点では集合知的な確固とした内部不正対策のフレームワークがないまま、対策法が組織ごとに分散しているといえますが、金融機関では古くから内部不正へのリスクシナリオに対するセキュリティ対策が徹底されているため、そういった成功例から学ぶことも一つの方法です。

朗報:営業秘密・限定提供データの保護の強化

悪いニュースばかりではありません。
2023年の不正競争防止法等の改正により、営業秘密・限定提供データの保護の強化がされました。
改正前は産業スパイ等が営業秘密を不正取得した場合、不利益を被った企業側が損害賠償の請求や内部不正者の刑事告訴にあたり、元従業員等そもそも営業秘密となる生産方法を取得できる立場にいるものが、漏えいをした場合は立件が厳しい状況でした。 しかし2023年改正では、「元々営業秘密にアクセス権限のある者(元従業員、業務委託先等)が、その営業秘密が記録された媒体等を許可なく複製等(領得)した場合」でも、「不正な経緯を知らずに転得したがその経緯を事後的に知った者」でも、悪質性が高いと認められるようになりました。

出典:経済産業政策局 知的財産政策室・特許庁 制度審議室「不正競争防止法等の一部を改正する法律【知財一括法】の概要」

内部不正の対策

IPAでは組織における内部不正の防止を主眼とした「組織における内部不正防止ガイドライン」によると、組織における内部不正防止では、経営者の関与が非常に重要であり、経営者のリーダーシップによる基本方針の策定及び組織的な管理体制の構築が必要とされています。

内部不正に起因する事故は、企業価値の毀損につながるリスクである点をまず経営者が認識し、情報の適切な管理・取り扱いを求める受け身的な対応だけでなく、企業の価値の維持・向上に努めることも含めて、法令遵守の観点から、その対策に関して組織の内外に責任を持ち、積極的に関与し推進していくことが必要です。
また、具体的な実施策の策定及び周知徹底には、組織全体での取り組みが不可欠です。
先に記載した「雇用の流動化」や「退職する従業員の復讐心」等の問題もあることから、経営と人事の一体的な改革が必要といえるでしょう。

その上で、これらの対策を組み合わせることで、組織は内部不正を防止し、リスクを最小限に抑えることができます。

1. リスク評価と内部統制の強化

組織は定期的なリスク評価を実施し、不正の発生可能性が高い領域を特定します。その後、適切な内部統制を確立し、組織全体でコンプライアンスと透明性を確保します。これには、権限管理、取引の監視、内部監査の実施などが含まれます。

2. 情報セキュリティの強化

組織は情報セキュリティのプロセスや技術を強化し、機密情報へのアクセスを制限します。これには、強固なパスワードポリシーやアクセス制御、暗号化などが含まれます。さらに、セキュリティ意識向上プログラムを導入し、従業員がセキュリティに対する意識を高めるよう促します。

3. 教育と意識向上活動

内部不正を容認するような組織文化や風土が存在する場合、従業員の倫理意識や行動に影響を与え、不正行為を助長する可能性がある。
組織は従業員に対して内部不正のリスクや対処方法について教育し、意識向上活動を実施します。従業員が不正行為の重大性を理解し、適切な行動を取ることができるようにするためです。

4. 不正行為の報告と対応

組織は不正行為の報告手順を確立し、従業員が匿名で不正を報告できる仕組みを提供します。また、不正が発生した場合には、迅速かつ適切に対処し、適切な調査や監査を行います。さらに、再発防止策を実施し、同様の不正が再び起こらないようにします。

5. 法的および倫理的規制の順守

組織は法的および倫理的規制に適合し、組織が適切な規制に準拠することを確認します。これには、情報セキュリティ法や個人情報保護法などの法律や規制への準拠が含まれます

情報の格付け区分は適切に

重要情報をその重要度に合わせて格付け区分し、その区分に応じて取り扱い可能な役職員の範囲(例:職位、職種等)を定めなければなりません。
顧客名簿等の個人情報、技術ノウハウ等の営業秘密、重要なデータ等の重要情報とそれ以外の情報を区別しないと、役職員は保護する必要のある重要情報が分からず、重要情報を知らずに漏らしてしまう恐れがあります。
また、重要情報を格付け区分して区分に応じた適切な管理をしないと、対策が不十分であったり、対策にコストをかけすぎたりしてしまいます。
そして、これらの管理ができていないと、不正を犯した内部者の責任を追及できないことがあります。また、経営者が組織の管理責任を問われることも十分あり得ますのでご注意ください。


内部不正の対策の詳細は、下記資料をご確認ください。
▼IPA「組織における内部不正防止ガイドライン 日本語版 第5版(2022年4月改訂)」

内部不正に備えるために

ここまで内部不正対策についてお伝えしてきましたが、こういった備えを行っても残念ながら情報漏えいのリスクをゼロにすることはできません。

営業秘密の漏えいにサイバー保険が有効

しかしサイバー保険で営業秘密の漏えいについて、補償があることをご存じでしょうか。
サイバー保険に加入しておくことで、万が一の際に生じる損害や多大な労力から自社を守ることが可能です。
もし情報漏えいについて備えたい場合には、下記の記事もお読みください。
▼サイバー保険の必要性とは?必要な理由と個人情報漏洩保険との違いをプロが徹底解説

今、営業秘密の漏えいや情報漏えいについてお悩みであれば、ぜひこの機会に検討してみてはいかがでしょうか。

サイバー保険を選ぶ際は、大手保険会社の中で比較、検討することをおすすめします。
当サイトの運営会社ファーストプレイスでは、下記5社のサイバー保険を取り扱っています。
サイバー保険を扱う大手メガ損保5社の保険料を無料で一括見積もり・比較いたします。

【取り扱いのある保険会社】
東京海上日動火災保険株式会社
三井住友海上火災保険株式会社
損害保険ジャパン株式会社
あいおいニッセイ同和損害保険株式会社
AIG損害保険株式会社

ご興味のある方はこの機会にぜひ、サイバー保険 一括見積りサイトよりご相談ください。

関連タグ

関連記事
ACCSS RANKING アクセスランキング
CATEGORY カテゴリ

運営会社について

ファーストプレイスは、
サイバー保険を扱うプロフェッショナルです

当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

運営会社について

pagetopへ