内部不正による情報漏洩とそれに伴う業務停止の脅威は、サイバー攻撃などの外部脅威と合わせて企業が取り組むべきセキュリティ対策が不可欠である。本稿では企業における内部不正対策としてのコンプライアンス対策と企業防衛として重要資産(Crown Jewel)を守るアプローチを考察する。
近年、従業員による不正行為などの内部脅威は、セキュリティ対策上の重要な視点となっている。IPA(独立行政法人 情報処理推進機構)の「情報セキュリティ10大脅威2017」においても「内部不正による情報漏洩とそれに伴う業務停止」は3年連続で5位以内に位置しており、重大なセキュリティ脅威といえる。しかし、外部攻撃による情報漏洩と比較して内部不正による情報漏洩は発覚するまでの時間が長期化する傾向にあり、検知も難しい。そのため、予防対策が重要であり、とりわけ内部統制やコンプライアンスの強化といった人的対策に目を向けなければならない。それでは、どのような就業環境や労働条件が内部不正を引き起こすのだろうか。米国の組織犯罪研究者であるドナルド・R・クレッシー氏による「不正のトライアングル」理論によると、①動機・プレッシャー、②機会、③正当化の3つの環境が揃うと内部不正が起こるとされている(図1)。
不正のトライアングル理論によると、例えば、始めに仕事上の過剰ノルマによる高負荷、人事評価の不満などによるモチベーションの低下が「動機」となり、内部統制上、不正可能な脆弱な環境が該当者にルールに従う必要がないと感じさせる「機会」を生み、正当に評価がされていないので換金して労働の対価に変えても問題ないなどと、犯罪を「正当化」すると不正が発生するとされている。