社員やパートナーを信頼することは大切ですが、「うちの社員に限って不正はしない」「信頼関係があるから大丈夫」という性善説に頼った組織運営は非常に危険です。内部不正や情報漏えい事件の多くは、信頼に甘えた統制の緩みを突いて発生します。「人の善意」にセキュリティを丸投げする組織は、いずれ深刻な裏切りに遭遇し破綻しかねません。本記事では、内部不正リスクの実態と組織的な対策(ログ監査・権限管理・監視体制の強化など)について経営層向けに解説します。

“うちの社員は大丈夫”の危うさ:内部不正の現実

情報セキュリティにおいて、内部脅威(インサイダーリスク)は外部攻撃以上に看過できない問題です。実際、内部不正が一度起きれば、金銭的被害だけでなく企業の信用低下に伴う売上減少、調査対応費用など、その被害額は外部攻撃より大きくなりやすいと指摘されています。しかし内部犯行は会社として公にしたがらないケースも多く、表面化しない事例が多数存在すると言われます。IPAの調査では、内部不正を起こした者に「懲戒処分や起訴をしなかった」企業が30.9%に上ったというデータもあります。つまり、水面下では多くの“不都合な真実”が揉み消されている可能性が高いのです。

うちの社員を信用している」「性善説で運用しているから細かい制限はしない」という組織ほど、この見えない内部リスクを孕んでいます。残念ながら、どんな組織にもごく一部には悪意を持つ者、あるいは魔が差す者が存在するものです。99.9%の善良な社員を守るには、0.1%の不正を抑止する仕組みが必要という言葉もあります。性善説に基づきノーチェックで権限を与える運用では、内部不正の土壌を自ら作っているようなものです。

内部不正の典型例としては、以下のようなケースがあります。

  • 機密情報の持ち出し
    • 善良に見えた社員が退職時に顧客データを競合に持ち出す、あるいは金銭目的で名簿業者に売却するケース。実際、ベネッセでは契約社員が約3,500万件の個人情報を不正持ち出し、大規模漏えい事件となりました。この事件では、発覚後の補償費用等に莫大なコストと信用失墜を招いています。
  • 経理担当者の着服
    • 資金管理を一人の社員に任せきりにしていた結果、長年にわたり少額ずつ横領され累積で巨額の損失が出るケース。権限の集中とチェック不在が原因です。
  • IT管理者の特権悪用
    • システム管理者(いわゆる「神アカウント」)がアクセスログを改ざんしたり、権限を悪用して競合に有利な情報を提供していたケース。特権IDを信頼のもとにノーチェックで使わせていたことが問題でした。

これらは決して特殊な例ではありません。内部不正の脅威は常に存在し、発生すれば企業の基盤を揺るがすことを、経営陣は肝に銘じる必要があります。

内部不正はなぜ起きるのか:組織の欠陥と時間の問題

内部不正は突然生まれるわけではなく、組織内のさまざまな欠陥と人間の動機が組み合わさって徐々に醸成されます。犯罪心理学では「不正のトライアングル」として以下の3要素が揃うと不正が発生しやすいとされます。

  • 動機(プレッシャー)
    • 金銭的困窮、昇進への焦り、上司や会社への不満など、本人に不正に手を染める動機がある。
  • 機会
    • 不正が可能な環境・仕組みがある。一人に権限が集中し監視がない、規程が緩い、ログが見られていない等、やろうと思えばバレずにできてしまう状況。
  • 正当化
    • 「これは本当の悪事ではない」「自分は正当な報酬を得ていないから取り戻すだけ」等、本人が不正を合理化する心理。

組織として対策できるのは主に真ん中の「機会」を減らすことです。動機や正当化は個人の内面要因ですが、機会は組織設計で潰すことができます。例えば「一人に経理を任せない」「特権アクセスは複数人の承認制にする」「操作ログを必ず記録・定期監査する」など、不正が物理的・システム的にできない or 割に合わない仕組みを整備します。Proofpoint社の提唱する標語に「99.99%の善良な従業員を守るために0.01%の不正を抑止する」というものがありますが、要は大多数の善良な人が安心して働ける環境を守るために、わずかな悪意の目を摘む仕掛けが必要だということです。

経営層が見落としがちなのは、「内部不正は起きる前提で時間の問題」という事実です。幸いまだ事件化していないだけで、統制の穴はいずれ突かれます。特に退職者長年勤続者による不正は多発しています。退職直前に情報を持ち出されたり、長年信頼していた社員がある日横領で発覚したり。ですから、「今は何も起きていないから大丈夫」とは決して言えません。起きていないのではなく、気付いていないだけかもしれないのです。

信頼と統制は両立する:組織が講ずべき内部統制策

性善説を否定すると「社員を信用しないのか?」と反発を招くかもしれません。しかし、信頼と統制は両立します。むしろ適切な統制がある方が大多数の善良な社員は安心して働けるのです。「まともに働いている自分たちが、少数の不心得者のせいで疑われたり被害を受けるのは御免だ」というのが本音でしょう。ここで経営層が取るべき具体策をいくつか挙げます。

  • アクセス権限の最小化と分離
    • 社員一人ひとりに与える情報・システムへの権限は業務上必要最小限に留め、重要資産へのアクセスは複数人の目が入るようにします(権限分離の原則)。たとえば特権IDは必ず複数の管理者で管理し、一人の判断で使えないようにする、重要データの閲覧は二要素認証や承認制にするなど。これにより「機会」を大幅に削減できます。
  • ログ監査と異常検知
    • 社内システムの操作ログを詳細に記録し、定期的またはリアルタイムで監査します。例えば大容量の機密データを外部に送信した形跡、深夜に通常ありえないアクセスをした履歴などをSIEM等のツールで検知しアラートを上げる仕組みです。悪事を働けば確実にログに残り見つかるとなれば、不正の抑止力になります。監査ログは人事評価とは切り離し、「怪しい挙動があれば上長含めて事実確認する」仕組みをルール化しておくとよいでしょう。
  • 定期的なジョブローテーションと休暇取得奨励
    • 長期間同じ職務を一人に任せると不正が潜みやすくなります。定期的な担当替えや強制休暇取得(その間に代替者が業務をチェックする)などで不正の継続を困難にします。特に経理・調達・情報システム部門などリスクの高い部門には有効です。
  • 内部通報制度と保護
    • 不正の兆候を従業員が密かに感じ取ることもあります。そうした声を拾う内部通報制度(ホットライン)を整備し、通報者が不利益を被らないことを保証しましょう。内部の目が監視網に加わることで、経営が気付かない隠れた問題を炙り出せます。もちろん通報があった際には、速やかな調査と是正措置を取ることが重要です。
  • セキュリティ意識向上教育
    • 従業員全員に対し、内部不正の怖さと対策を周知する研修を実施します。ただし「社員を疑え」という内容ではなく、「もし不正を見聞きしたら声を上げてほしい」「あなた自身が狙われる可能性もある(ソーシャルエンジニアリングの警戒)」といった協力を仰ぐトーンで伝えることがポイントです。99%の善良な社員が主体的に内部リスクに目を光らせてくれれば、内部不正は大幅に減らせます。

これらの対策はいずれも、社員を過度に締め付けたり監視社会にするものではありません。「ルールで縛る」というより「仕組みで守る」アプローチです。重要なのは経営層が「信頼しているからチェックしない」ではなく、「信頼しているからこそ公正にチェックする」姿勢を示すことです。ガバナンスの効いた組織では、社員もまた安心して働けるのです。

善意に頼らない仕組みが組織の信頼を高める

最後に強調したいのは、善意に依存しない統制こそが、結果的に組織全体の信頼性を高めるという点です。顧客や取引先は、内部統制がしっかりした会社に安心感を覚えます。にもあるように、経営層が率先して明確なセキュリティ体制を示せば「この会社は安全だ」と評価され、ビジネス上の信用力も向上します。逆に内部から情報漏えい事件でも起これば、一瞬で信用は崩壊し市場から淘汰されかねません。

また、社内的にも「性悪説」は決して悪いことではありません。むしろ健全なセキュリティ文化の構築につながります。社員にとっても「みんなが見守り合いフェアに働ける職場」の方が、不正が横行しているかもしれない疑心暗鬼の職場よりはるかに生産的です。ルールで縛るのではなく文化で守る組織へとシフトするために、まずは経営層が内部統制の重要性を繰り返し発信してください。セキュリティ担当任せにせず、トップメッセージとして「当社は社員を信頼している。しかしチェックも必ず行う。問題があれば組織全体で正し、善良な社員が安心して働ける環境を守る」と宣言しましょう。

人の善意は尊重すべきですが、経営はそれだけに頼ってはいけません。「Trust, but verify(信用せよ、しかし確認せよ)」という有名な言葉があります。まさに信頼と検証のバランスを保つことが持続的な組織運営の秘訣です。善意に依存しない強固な仕組みづくりこそ、長期的に見て全社員と会社を守る最善の策であると心得ましょう。