昨今、情報漏えいに関するニュースやトピックスが増加しています。
それもそのはず、漏洩した情報が人ごとではなく、私達にも関係しているかもしれないからです。

現在は、Webサイトやアプリを利用しての生活が主流になりつつあり、そのWebサイトやアプリを利用する為には、
個人情報や決済時に使用するクレジットカード情報等、様々な情報を登録する必要があります。
登録した情報が漏洩したら誰でも脅威を感じます。その様な事故を防ぐために、Webサイトやアプリはリリースする前や定期的に
「セキュリティ診断」を行い、利用者が安心できるよう企業も努めています。
ちなみに弊社も「セキュリティ脆弱性診断 」のサービスを保有しています。

しかし、情報漏えいの大半は、攻撃者による外部からの攻撃よりも、内部の関係者によるものの方が多いのです。
以降の情報は、2022年4月に改訂された「組織における内部不正防止ガイドライン」から抜粋したものになります。

参考
IPA 組織における内部不正防止ガイドライン

< 営業秘密の漏えいがあった企業での漏えい経路 >

• 中途退職者(役員・正規社員)による漏えい：36.3%
• 現職従業員等の誤操作・誤認等による漏えい：21.2%
• 現職従業員等のルール不徹底による漏えい：19.5%
• 現職従業員等による金銭目的等の具体的な動機をもった漏えい：8.0%　　

その内部犯行を防止するためには、

　「経営課題として経営者・経営陣が真摯に取り組まなければなりません。」

ともあります。

なぜ経営者・経営陣が真摯に取り組まなければならないのか、それは下記の「内部不正防止の基本原則」を
見て頂ければわかるとおり、経営者・経営陣の意識や協力が重要になってくるからです。

< 内部不正防止の基本原則 >

• 犯行を難しくする（やりにくくする）：対策を強化することで犯罪行為を難しくする
• 捕まるリスクを高める（やると見つかる）：管理や監視を強化することで捕まるリスクを高める
• 犯行の見返りを減らす（割に合わない）：標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
• 犯行の誘因を減らす（その気にさせない）：犯罪を行う気持ちにさせないことで犯行を抑止する
• 犯罪の弁明をさせない（言い訳させない）：犯行者による自らの行為の正当化理由を排除する

内部関係者が原因で起きた不正事例集もありましたので、掲載します。
事例集を読んでみると、危機感を感じたり、定期的にフローや社員の認識を確認する重要性を感じます。
また、日々進化する世の中ですので、既存で行っている確認方法や認識がそのままでよいかと言う確認も必要であり、
時には情報を更新し、新たな確認方法や認識の向上も図って行かなければと感じます。
この記事を読んで頂いた方、セキュリティに対する意識が少しでも向上して頂ければ幸いです。

IPA 組織における内部不正防止ガイドライン（日本語版） 第5版ガイドライン 付録Ⅰ：内部不正事例集

カテゴリ	概要	主な原因
金銭の着服	地方金融機関において、営業員が休眠口座の預金を着服した。	営業成績のよい営業員を配置転換せずにいたこと及び相互に監視しない環境であったことから、不正行為が見つかりにくい環境であった。
重要なデータ等の持ち出し	中小企業において、システム管理者が社長のPC の設定を変更して社長宛のメールを自身のメールアカウントに転送して読んでいた。	この企業には、システム管理者を担当する社員が1 人しかおらず、内部不正を行っても見つかりにくい環境であった。また、この社員は、システム管理者に求められる規範意識が低かったことも考えられる。
重要なデータ等の外部への漏えい	ノートPC が机の上に山積み状態で長期間放置されていた環境で、ノートPC が知らぬ間に紛失していた。その後の調査によって、ノートPC が売却されていることが発覚したが、犯人は不明であった。	ノートPC の管理がされておらず、フロアに入れるものであれば誰でも持っていくことができた。
営業秘密の外部への漏えい	企業において、社員が機密情報の入ったCD-ROM を持ち出し、機密情報を換金していた。この社員は、情報システムから機密情報を取り出す際に、部下に仕事の一環と説明して正規の手続きで機密情報の入ったCD-ROM を作らせて、隠蔽を図っていた。	機密情報の入ったCD-ROM の持ち出し管理がされていなかった。
プログラムの外部への漏えい	企業において、開発者が「自身が開発したソース等は自分のもの」「他のプロジェクトでも役立ちそう」という認識から、開発ソース等を外部のオンラインストレージにアップロードして持ち出していた。	開発者は「開発物は企業の所有物である」との認識がなかった。また、外部のオンラインストレージ等の使用を制限していなかった。
営業秘密の外部への漏えい	企業において、システム管理者が機密情報を繰り返し持ち出して換金していた。繰り返す度に機密情報の持ち出し行為がエスカレートしていった。	システム管理者の操作を監視することになっていたが、担当者が確認を怠っていたため、機密情報を繰り返し持ち出された。また、システム管理者の権限を分散せず、1 人に権限が集中していたことも考えられる。
営業秘密の外部への漏えい	企業において、在宅勤務の社員が、自宅のPC からインターネットを介して企業の情報システムに接続し、機密情報を取得して換金していた。在宅勤務は、監視の目が届きにくいことから、オフィスと比べて内部不正が発生しやすい環境である。	在宅勤務等によるインターネットを介しての情報システム及び機密情報へのアクセスを制限していなかった。また、在宅勤務において必要な情報以外にもアクセスしていないかを監視していなかったことも考えられる。
退職時のプログラムの持ち出し	企業において、社員が転職先で利用する目的で退職時に開発物をまとめてダウンロードして持ち出した。	開発物を持ち出して転職先で利用してはいけないという認識がなかった。また、多量なファイルへのアクセス等の通常の業務と異なる事象が発見された場合の確認や対策が実施されていなかった。
退職時のシステムの破壊	企業において、営業社員がリストラによって退職する際に、PC のパスワードを無断で変更し、変更したパスワードを忘れたとして通知しなかった。	雇用終了前の一定期間から、PC の管理権限を企業側においていなかった。
退職時の顧客情報（営業秘密）の持ち出し	企業において、ある部門の社員（複数名）が新会社立上げを考え一斉に退職する際に、顧客情報（営業秘密）を新会社で利用する目的で持ち出した。	営業秘密を不正に持ち出して、使用する行為が、不正競争防止法違反にあたるという認識が乏しかった。
顧客情報（営業秘密）の外部への漏えい	企業において、委託先のサイト構築・運営会社の従業員が不正行為と知りつつもその企業の顧客情報を他社に渡していた。その他社はその顧客情報を使って営業活動を行っていた。	委託先のサイト構築・運営会社の情報セキュリティ対策が十分であることを確認できていなかったことが考えられる。
退職時の技術情報（営業秘密）の外部への漏えい	製造販売メーカーにおいて、元従業員がこの製造販売メーカーの設計図面を利用して同業他社で同種の製品を製造して販売していた。	退職時に重要情報の資産等の返却がしっかりと行われていなかった。
個人情報の外部への漏えい	企業において、メンテナンス業務を委託した際に、渡した個人情報が再委託先のアルバイトによって複製され換金された。	委託先の重要情報の管理体制を明確にし、再委託先までの管理ができていなかった。
退職後の営業秘密の持ち出し	企業において、元従業員がインターネットから企業ネットワークへのリモートアクセス接続サービスを使って、機密情報を持ち出していた。	企業ネットワークへのリモートアクセス接続サービスにおいて、元従業員のアカウントが削除されていなかった。
不適切に管理された個人情報の窃取	教育機関において、先生が生徒の成績等の情報をUSB メモリで持ち出した際に、盗難に遭い生徒の情報が漏えいしてしまった。	生徒の情報を暗号化していなかった。
不適切に管理された個人情報の窃取	教育機関において、個人のスマートフォンの業務利用を黙認されていた環境でスマートフォンが盗難に遭い、スマートフォン内の個人情報が漏えいした。	個人のスマートフォンの業務利用を黙認し、適切な利用範囲を定めて運用していなかった。
顧客情報（営業秘密）の持ち出し	金融機関のATM の保守管理業務を委託している企業の社員が、ATM の取引データから顧客のカード情報を不正に取得した。この情報から偽装キャッシュカードを作成・所持し、現金を引き出した。	プロジェクト責任者であった元社員に権限が集中し、1 人でカードの偽装が可能だった。また、相互に監視する体制も十分でなかった。
退職時の技術情報（営業秘密）の外部への漏えい	企業において、業務提携先の元社員が、企業の研究データを不正に持ち出し、転職先の海外企業に提供していた。	待遇への不満が動機のひとつであった。また、退職前には情報の持ち出し等の内部不正が発生しやすいことから、記録媒体の利用制限、重要情報へのアクセス履歴等のログの記録により、監視する必要があった。
個人情報の持ち出し	企業において、顧客データベースを保守管理するグループ会社の業務委託先の社員が、販売目的で個人情報を不正に取得し、持ち出した。	私物を持ち込むことが可能だった。また、業務用PC には記録媒体を接続できないよう対策がされていたが、最新型のスマートフォンを接続した場合に記録媒体として認識されてしまい、データをコピーし持ち出すことができた。さらに、企業は業務委託先以降のセキュリティ対策が不十分であることを確認していなかった。
個人情報の外部への漏えい	企業において、業務委託先の従業員が、顧客情報を不正に持ち出し、自宅に設置している個人所有のNAS(Network Attached Storage)に保存していた。NAS の認証機能の設定が不適切だったため、インターネット上に顧客情報が流出した。	業務委託先のセキュリティ対策について、定期的な確認ができておらず、顧客情報の取扱いや管理体制の不備に気づけなかった。
個人情報の持ち出し	企業において、従業員が、顧客からWeb の問い合わせフォームに入力された内容を、個人のアドレスにも送信するよう設定し、問い合わせ内容を不正に入手していた。	従業員であれば誰でも設定変更できる状態であった。また、漏えい疑義に際しては、ログの保管期間が短く、必要なログが残っていなかったため、原因究明調査に時間がかかった。
営業秘密の外部への漏えい	企業において、従業員が、会社が貸与していたスマートフォンにインストールしたアプリを利用して、会社のパソコンに接続し、Wi-Fi 経由で機密情報を外部に持ちだした。	許可されたソフトウェア以外のものをスマートフォンにインストールして利用した。また、会社のパソコンが、許可されていないアクセスポイント等と制限なく、Wi-Fi 接続できる状態であった。
重要データ等の持ち出し	企業において、元従業員が、在職中に重要情報をメールに添付し、複数回に分けて自宅のアドレスに送っていたことが発覚した。	個人のメールアドレスへの送信や外部宛てのメールに対するモニタリングや確認を行っていなかった。営業秘密を不正に取得し、転職先等で利用することは不正競争防止法違反にあたるという認識が不足していたと考えられる。
技術情報（営業秘密）の外部への漏えい	企業において、防衛・宇宙部門に在籍していた従業員が、防衛・宇宙関連の営業秘密にあたる技術情報を海外政府に提供した。	従業員の出身国であった海外政府からのアプローチを受けた。
個人情報の暴露	自治体において、職員が、所属していた部署から貸し出されたパソコンから同自治体職員の個人情報含むファイルを入手し、新聞社にファイル添付したメールを送信した。	部署から貸し出されたパソコンの中に、個人情報を含むファイルがゴミ箱内に残されていた。待遇への不満や、自治体での情報管理についてマスコミに告発することで認められたいといった自己顕示欲の発露があった。
退職時のプログラムの破壊	企業において、従業員が、退職前に開発中のシステムのソースコードを自分のノートパソコンから削除した。	処遇に不満があった。企業側は変更管理プログラムマネージャーにソースコードを提出することを義務付けていなかった。
退職後の営業秘密の持ち出し	企業において、従業員が、退職後に企業のシステム内の機密情報に不正アクセスしていた。	業績不振を理由に解雇されることに不満があった。退職後に共有アカウントのパスワードが変更されていなかった。
プログラムの改ざん	金融機関において、従業員が、債券売買のためのリスク評価プログラムの取引のリスクを少しずつ増加させるようプログラムを改ざんした。	経営陣に不満を抱いていた。プログラミング実施者以外の者によるプログラム変更管理がなされていなかった。システムのベースラインやファイルのハッシュ値を比較するツールの定期的な使用がなされていなかった。
プログラムの改ざん	企業において、従業員が会社から支給されたコンピュータにハッキングツールをインストールし、他の従業員の認証情報を盗み、外部の共犯者に渡した。共犯者は会社のWebサイトにその認証情報を用いて不正アクセスし、Web サイトを改ざんした。	会社から支給されたコンピュータにハッキングツールをインストールすることが可能であった。
顧客情報（営業秘密）・個人情報の持ち出し	企業において、共同開発先として委託した自社の海外現地法人の従業員が業務用パソコンへ取引先情報および個人情報を含むデータを許可なくダウンロードし、海外のクラウドストレージサービスの個人アカウントへアップロードした。	海外現地法人の従業員に対する教育による内部不正対策の周知徹底が十分でなかった。
プログラムの破壊	病院施設において、ハッキンググループのリーダーでもあった夜間勤務の警備員が、医療機関のコンピュータに不正にアクセスし、プログラムに攻撃を行った。	コンピュータは鍵のかかった部屋に設置していたものの、警備員のセキュリティキーを使って物理的にアクセスしていた。
金銭の着服	企業において、元役員が、退職日の夜、有効なままであった電子キーカードを使ってアクセスコードを入手し、上級管理職2 人のコンピュータを使用して、海外口座に電子送金を行い、国外逃亡した。	退職日の夜に電子キーカードが有効な状態であった。