従業員による情報流出増加
近年、従業員や業務委託先などによって組織の情報が漏えいする内部不正の事案が増えている。雇用や人材の流動化に伴い、転職前後に転職元の従業員権限を悪用して機密情報を取得するケースなども多く確認されており、これらの不正による情報流出が企業経営に大きな影響を及ぼすこともある。
独立行政法人情報処理推進機構(IPA)が公開する「情報セキュリティ10大脅威2024」(以下、10大脅威2024)においても内部不正は、昨年よりワンランクアップして組織の脅威で3位となっている。ここで、10大脅威2024の解説書にて取り上げられた被害事例を紹介する。
■元勤務先に不正アクセスし、社内情報を削除
23年1月、電気機器製造企業の元従業員が電子計算機損壊等業務妨害罪などの疑いで警視庁に逮捕された。同従業員は退職後に元同僚や元上司のIDやパスワードを悪用し、社内ネットワークやクラウドに不正アクセスして、人事や技術、顧客に関する情報を削除していた。人間関係を理由に退職しており、嫌がらせが目的だったとみられている。データ復旧には約660万円を要した。
■前職場が保有する名刺情報を転職先に提供
23年9月、人材アウトソーシング企業の元従業員が、個人情報保護法違反(不正提供)などの疑いで警視庁に逮捕された。同従業員は同業他社に転職する直前に、転職元の名刺情報管理システムにログインするためのIDとパスワードを転職先の従業員に共有していた。不正に取得された名刺情報は転職先の営業活動に使用され、成約事例もあったという。
■顧客情報を持ち出し、名簿業者に販売
23年9月、情報サービス企業は、同社に勤務していた元派遣社員が、顧客情報の不正な持ち出しを行っていたことを公表した。同派遣社員は、13年7月から23年1月の間に、自身が運用に関わっていたコールセンターのシステムに、管理者アカウントを悪用して不正アクセスし、少なくとも69組織の顧客情報928万件をUSBメモリーにコピーして持ち出していた。持ち出した顧客情報を名簿業者に販売し、1000万円以上を対価として受け取っていたとみられ、逮捕された。
未然防止へ網羅的対策を
内部不正を防止するためには、さまざまなケースを想定して網羅的な対策が必要となる。10大脅威2024の解説書では主な対策を解説しているが、詳しくはIPAが公開する「組織における内部不正防止ガイドライン」を確認していただきたい。
また、IPAは3月21日、映像で知る情報セキュリティの新作動画「今、そこにある脅威~内部不正による情報流出のリスク~」を公開した。本動画は内部不正の概要や対策などをドラマ仕立てで学べる映像コンテンツで、組織の経営者・管理者層を対象に、内部不正が起きる要因や主な手口、不正を起こさないための五つのポイントなどを解説している。被害を未然に防ぐために設けるべき社内ルールについても紹介しているので、組織内のリスク低減に活用していただきたい。
(独立行政法人情報処理推進機構・江島将和)
動画はこちら(映像コンテンツ一覧)を参照
