実務BOX

2014年03月24日

組織内部の不正行為にはトップダウンで全社的な取り組みを

現状チェックと対策ポイントの見直しで効果的に内部不正を防止

組織内部の不正行為にはトップダウンで全社的な取り組みを

 

現状チェックと対策ポイントの見直しで効果的に内部不正を防止

現状チェックと対策ポイントの見直しで効果的に内部不正を防止
2014年に入り、金融機関や行政機関において業務に携わる者による情報窃取等の不正行為の報道がありました。安心して任せておいた担当者が不正に組織のお金を私的に流用した事件です。独立行政法人情報処理推進機構(以下、IPA)では、このような組織内部の不正な行為を防止するための注意を促しています。
■内部不正の発生要因は「不正のトライアングル」
専門家によれば、不正行為は、「不正のトライアングル」という「動機・プレッシャー」、「機会」、「正当化」の3 つの要因が全て揃った時に発生すると言われています※。
【不正のトライアングルを参考にした内部不正の3つの要因】
・「動機・プレッシャー」:プレッシャー(業務量、ノルマ等)や処遇への不満など。内部不正行為に至るきっかけとなる。
・「機会」:技術(ITシステム・ネットワーク)や物理的な環境及び組織のルールなど、内部者による不正行為の実行を可能、または容易にする環境のこと。
・「正当化」:良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など、内部者が不正行為を自ら納得させるための自分勝手な理由付け。
不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。
(2)内部不正が発生する仕組み
専門家によれば、不正行為は、「不正のトライアングル」という「動機・プレッシャー」、「機会」、「正当化」の3 つの要因※5が全て揃った時に発生すると言われています※6。
不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。
(3)潜在する内部不正のリスクについて
多くの場合、内部者が不正行為を働く職場には、組織のルールに反した些細な内部不正が隠れている傾向があります※7。また、そもそもルールがない、ルールがあっても不備がある、といった場合もあります。 内部者が不正行為に至る環境を経営層が認識し、内部不正を発生させない対策と環境の整備が重要です。 
1.権限が分散されていない
特定のシステム管理者に多くの権限が集中している場合、第三者の目を避け単独で顧客のクレジットカード情報などの重要情報を持ち出し、不正に使用し、さらにそれらの操作履歴を消すことも可能になります。
2.システム管理者の監視ができていない
システム管理者のアクセスや操作の履歴等のログを記録しても、その記録を監視していません。そのため、不正行為の前兆となる行為を検知することができず、発見が遅れ、被害が拡大します。
3.職場環境が不適切、または処遇に不満がある
劣悪な労働環境では内部不正が発生する可能性が高まります。例えば、多大な業務量や長時間勤務など、高負荷な状況が続くと、それがプレッシャーになり社内ルールに違反してまでも業務を遂行しようと、内部不正に至る可能性があります。また、昇進・昇格や給与等の処遇への不満、上司や同僚とのコミュニケーション不足も内部不正の要因です。
■内部不正防止の対策例
前述した内部不正を防止するための具体策と、IPAが2012年7月に実施した「組織内部者の不正行為によるインシデント調査」からデータを引用したポイント解説を以下に示します。
1.適切な権限管理
多くの組織は、IDやアクセス権の管理が重要であることを理解しています。以下の点に注意し、適切に権限が管理されているか再チェックしましょう。
・特定のシステム管理者に権限が集中しないように権限を分散する。
・システム管理者同士が相互に監視し、不正を行うことが困難な環境を作る。
【ポイント解説】
企業の経営者・システム管理者が考える「効果があると思う対策」は、「重要情報は特定の職員のみアクセスできるようになっている」ことが1位、「情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」が2位であり、アクセス管理による対策が重視されています。
しかし、昨今では、効率を求めIT化を進めるうちに、気づいたら特定のシステム管理者が多くの権限を持っていたというケースもあるため、アクセス管理だけでなく、適切な監視ができているか再度確認しましょう。
2.ログの記録と従業員への通知
「ログを残しておく」ことは、万一不正が発生しても追跡調査することを可能にし、また「ログを記録していることを従業員に知らせる」ことは、内部不正の抑止に高い効果が期待できます。重要情報へのアクセス及び操作の履歴等のログを記録するとともに、以下の点に注意しましょう。
・システム管理者のログは、システム管理者以外の者が、定期的に確認し監視する。
・抑止の観点から、業務担当者にログが記録されていることを通知する。
【ポイント解説】
社員が考える最も抑止力が高い対策は「社内システムの操作の証拠が残る(54.2%)」ですが、経営者およびシステム管理者は、21項目中19位でした。
管理される側の社員と管理する側の経営者・管理者との間で有効と考える対策にギャップが見られ、経営者が講じる対策は社員への抑止力として必ずしも効果的に機能していない可能性があります。
3.職場環境や処遇の見直し
従業員に不正行為を踏みとどまらせる対策として、職場環境の整備が挙げられます。
経営者やマネジメント層が、昇進・昇格や給与等について公平で客観的と思っていても、従業員が納得していると限りません。また、特定の従業員に常態的に負荷がかかっている状況を経営層が気づいていないかもしれません。  内部不正防止の観点から、以下を参考に職場環境について、見直しましょう。
・適正な労働環境
職場環境や労働環境を整備して、業務量や勤務時間を適正化する。また、特定の従業員の業務負荷が極端に高い状況を是正する。
・良好なコミュニケーション
相談しやすい環境を整備し、業務の支援や上司や同僚との良好なコミュニケーションがとれる職場環境づくりを推進する。
・公平な人事評価
公平で客観的な人事評価を整備し、従業員が評価内容を理解、納得できるよう、人事評価結果を説明する機会を設ける。また、適切な人員配置及び配置転換をする。
【ポイント解説】
従業員が不正行為を働く動機を高める要因だと考えるのは、組織における処遇面の不満に関する項目が上位3つを占めています。特に、1位の「不当だと思う解雇通告を受けた(34.2%)」は、2位の「給与や賞与に不満がある(23.2%)」、3位の「社内の人事評価に不満がある(22.7%)」と比較して、割合が多くなっています。
■内部不正を防止するための現状把握と対策の検討
IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン※」(以下、ガイドライン)を策定し、公開しています。
ガイドラインを効果的に活用するには、最初にチェックシートで対策の現状を把握し、次に、その結果を基に必要な対策項目を検討します(図2、3参照)。具体的な実施策の検討には、各対策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド※」が参考になります。
IPA「組織における内部不正防止ガイドライン」
http://www.ipa.go.jp/security/fy24/reports/insider/index.html
JNSA「内部不正対策ソリューションガイド」
http://www.jnsa.org/result/2013/surv_acci/index.html
IPA3月の呼びかけ
http://www.ipa.go.jp/files/000036946.pdf

 

2014年に入り、金融機関や行政機関において業務に携わる者による情報窃取等の不正行為の報道がありました。安心して任せておいた担当者が不正に組織のお金を私的に流用した事件です。独立行政法人情報処理推進機構(以下、IPA)では、このような組織内部の不正な行為を防止するための注意を促しています。


■内部不正の発生要因は「不正のトライアングル」

専門家によれば、不正行為は、「不正のトライアングル」という

 「動機・プレッシャー」「機会」「正当化」

の3 つの要因が全て揃った時に発生すると言われています。


【不正のトライアングルを参考にした内部不正の3つの要因】

・「動機・プレッシャー」:プレッシャー(業務量、ノルマ等)や処遇への不満など。

内部不正行為に至るきっかけとなる。

・「機会」:技術(ITシステム・ネットワーク)や物理的な環境及び組織のルール

・・など、内部者による不正行為の実行を可能、または容易にする環境のこと。

「正当化」:良心の呵責を乗り越える都合の良い解釈や他人への責任転嫁など、

内部者が不正行為を自ら納得させるための自分勝手な理由付け。


不正のトライアングルでは、3つの要因の低減が内部不正を防止するために有効としています。中でも能動的に組織が対策できるのは「動機・プレッシャー」と「機会」の低減です。

 

■潜在する内部不正のリスクについて

多くの場合、内部者が不正行為を働く職場には、組織のルールに反した些細な内部不正が隠れている傾向があります。また、そもそもルールがない、ルールがあっても不備がある、といった場合もあります。 内部者が不正行為に至る環境を経営層が認識し、内部不正を発生させない対策と環境の整備が重要です。 


1.権限が分散されていない

特定のシステム管理者に多くの権限が集中している場合、第三者の目を避け単独で顧客のクレジットカード情報などの重要情報を持ち出し、不正に使用し、さらにそれらの操作履歴を消すことも可能になります。


2.システム管理者の監視ができていない

システム管理者のアクセスや操作の履歴等のログを記録しても、その記録を監視していません。そのため、不正行為の前兆となる行為を検知することができず、発見が遅れ、被害が拡大します。


3.職場環境が不適切、または処遇に不満がある

劣悪な労働環境では内部不正が発生する可能性が高まります。例えば、多大な業務量や長時間勤務など、高負荷な状況が続くと、それがプレッシャーになり社内ルールに違反してまでも業務を遂行しようと、内部不正に至る可能性があります。また、昇進・昇格や給与等の処遇への不満、上司や同僚とのコミュニケーション不足も内部不正の要因です。


■内部不正防止の対策例

前述した内部不正を防止するための具体策と、IPAが2012年7月に実施した「組織内部者の不正行為によるインシデント調査」からデータを引用したポイント解説を以下に示します。


1.適切な権限管理

多くの組織は、IDやアクセス権の管理が重要であることを理解しています。以下の点に注意し、適切に権限が管理されているか再チェックしましょう。


・特定のシステム管理者に権限が集中しないように権限を分散する。

・システム管理者同士が相互に監視し、不正を行うことが困難な環境を作る。


【ポイント解説】

企業の経営者・システム管理者が考える「効果があると思う対策」は、「重要情報は特定の職員のみアクセスできるようになっている」ことが1位、「情報システムの管理者以外に情報システムへのアクセス管理が操作できないようになっている」が2位であり、アクセス管理による対策が重視されています。


しかし、昨今では、効率を求めIT化を進めるうちに、気づいたら特定のシステム管理者が多くの権限を持っていたというケースもあるため、アクセス管理だけでなく、適切な監視ができているか再度確認しましょう。


2.ログの記録と従業員への通知

「ログを残しておく」ことは、万一不正が発生しても追跡調査することを可能にし、また「ログを記録していることを従業員に知らせる」ことは、内部不正の抑止に高い効果が期待できます。重要情報へのアクセス及び操作の履歴等のログを記録するとともに、以下の点に注意しましょう。


・システム管理者のログは、システム管理者以外の者が、定期的に確認し監視する。

・抑止の観点から、業務担当者にログが記録されていることを通知する。


【ポイント解説】

社員が考える最も抑止力が高い対策は「社内システムの操作の証拠が残る(54.2%)」ですが、経営者およびシステム管理者は、21項目中19位でした。


管理される側の社員と管理する側の経営者・管理者との間で有効と考える対策にギャップが見られ、経営者が講じる対策は社員への抑止力として必ずしも効果的に機能していない可能性があります。


3.職場環境や処遇の見直し

従業員に不正行為を踏みとどまらせる対策として、職場環境の整備が挙げられます。


経営者やマネジメント層が、昇進・昇格や給与等について公平で客観的と思っていても、従業員が納得していると限りません。また、特定の従業員に常態的に負荷がかかっている状況を経営層が気づいていないかもしれません。  内部不正防止の観点から、以下を参考に職場環境について、見直しましょう。


・適正な労働環境

職場環境や労働環境を整備して、業務量や勤務時間を適正化する。また、特定の従業員の業務負荷が極端に高い状況を是正する。

・良好なコミュニケーション

相談しやすい環境を整備し、業務の支援や上司や同僚との良好なコミュニケーションがとれる職場環境づくりを推進する。

・公平な人事評価

公平で客観的な人事評価を整備し、従業員が評価内容を理解、納得できるよう、人事評価結果を説明する機会を設ける。また、適切な人員配置及び配置転換をする。


【ポイント解説】

従業員が不正行為を働く動機を高める要因だと考えるのは、組織における処遇面の不満に関する項目が上位3つを占めています。特に、1位の「不当だと思う解雇通告を受けた(34.2%)」は、2位の「給与や賞与に不満がある(23.2%)」、3位の「社内の人事評価に不満がある(22.7%)」と比較して、割合が多くなっています。



■内部不正を防止するための現状把握と対策の検討

IPAでは、内部不正による事故・事件の発生を防止するための環境整備に役立つよう、2013年3月に「組織における内部不正防止ガイドライン※」(以下、ガイドライン)を策定し、公開しています。


内部不正防止ガイドライン 300pix.PNG

組織における内部不正防止ガイドライン(IPA作成)

 

ガイドラインを効果的に活用するには、最初にチェックシートで対策の現状を把握し、次に、その結果を基に必要な対策項目を検討します(図2、3参照)。具体的な実施策の検討には、各対策に必要な製品、ソリューションが紹介された、日本ネットワークセキュリティ協会(JNSA)の「内部不正対策ソリューションガイド※」が参考になります。



IPA「組織における内部不正防止ガイドライン」

http://www.ipa.go.jp/security/fy24/reports/insider/index.html


JNSA「内部不正対策ソリューションガイド」

http://www.jnsa.org/result/2013/surv_acci/index.html



IPA3月の呼びかけ

http://www.ipa.go.jp/files/000036946.pdf

 

PAGE TOP