目次 1. はじめに 本調査の実施概要 既存調査研究のまとめ 海外の調査研究 国内における既存調査 関連する心理学の理論 本調査における定義と分類 事例調査

組織内部者の不正行為による

インシデント調査

－ 調査報告書 －

目 次

１.

はじめに ... 1

２.

本調査の実施概要 ... 3

３.

既存調査研究のまとめ ... 4

３.１ 海外の調査研究 ... 4 ３.２ 国内における既存調査 ... 7 ３.３ 関連する心理学の理論 ... 9 ３.４ 本調査における定義と分類 ... 12

４.

事例調査 ... 14

４.１ 内部不正の概況 ... 14 ４.２ 判例調査概要 ... 17 ４.３ インタビュー調査概要 ... 20 ４.４ 本調査における内部不正のモデル... 24

５.

アンケート調査及び分析結果 ... 26

５.１ アンケート調査概要 ... 26 ５.２ 集計結果の分析と考察 ... 57

６.

まとめ ... 66

７.

参照文献 ... 68

付録１：事例集（インタビュー調査） ... 69

付録２：事例集（判例調査） ... 71

付録３：アンケート調査票 ... 72

CERT は、米国 CERT/CC の登録商標または商標です。

VERIZON, VERIZON BUSINESS などは、米国 VERIZON および、その他の国における登録商標または商 標です。

１. はじめに

企業や組織で、不正アクセスやウイルス感染、情報漏えい等の情報セキュリティの事故（以下、インシデント） の発生が連日のように報道されている。その被害は増加傾向にあり、ますます深刻化している。近年のインシデ ントは、これまでの愉快犯的な行為から、経済的利得や組織活動の妨害へと犯罪の目的が変化・多様化して いる。 インシデントは、発生場所の観点から、組織の外部からの攻撃と内部における不正行為の大きく 2 つに分類 することができる。組織外部からのサイバー攻撃は、インターネットから組織のネットワークへのウイルスや DDoS 攻撃、標的型攻撃メール等がある。一方、組織内部で起きるのが、内部者による不正行為である。内部 者は、情報や情報システムにアクセスする権限を持つ者の場合が多く、アクセス制御等による技術的な対策の みでは限界がある。そのため、不正行為が発生する環境要因や心理的要因等についても考慮する必要があ る。

インシデントの発生状況をみると、米国 CERT の 2011 CyberSecurity Watch Survey では、2010 年に 発生した全てのサイバー犯罪のうち、標的型攻撃などの組織の外部からの攻撃に起因するものが 73%を占め、 残りが組織の内部者による不正行為によって引き起こされたものと報告されている。

また、Verizon のレポートである 2012 Data Breach Investigations report[1] では両者の差が更に顕 著で、全データ漏洩/侵害事例において、外部からの攻撃によって引き起こされたものの割合が９5％であるの に対して、内部者によるものは（業務上のビジネスパートナーによるものを含めても）わずか 3％しかない（残り の 2%は内部と外部の両方に関わるもの）。このように、サイバー犯罪の発生件数は、外部からの攻撃によるサ イバー犯罪が大きな割合を占めている。また、日本ネットワークセキュリティ協会（以下、JNSA1_{）が 2010 年に} 実施した「2010 年のインシデントに関する調査」2_{によると、内部者の不正行為}3_{による個人情報の漏えいに関} するインシデントは 2005 年から 2010 年の間、毎年の全ての漏えい人数のうち、4%から 30％を占めている。

インシデント発生による被害額の観点では、前述の CyberSecurity Watch Survey の報告によると、外部 からの攻撃によるものと、内部者の不正行為によるものについてどちらの被害額が大きいかの質問に対して、 外部からの攻撃が 38％であり、内部者による不正行為が 33％であった。このように、件数は少ないものの、組 織が受ける被害額の大きさでは、同程度の割合と認識されており、内部者による不正行為は看過できないも のである。内部者は価値のある重要な情報の場所を知っており、社内の情報システムの知識やアクセス権をも つことから、内部者による不正行為が発生すると被害が大きくなると考えられる。例えば、Ponemon Institute が発表した、Second Annual Cost of Cyber Crime Study によると、内部者の不正行為による年単位で計 算された 2010 年、2011 年の平均被害額はおよそ 10 万米ドルであり、これは Denial of Service（約 19 万 米ドル）、Web-based attacks（約 14 万米ドル）、Malicious code（約 12 万 5 千米ドル）に次いで大きい額 である。 （ボット、ウイルスなどによる平均額はおよそ 2 千米ドルである）。 これらから内部者による不正行為は、組織として対策を講じなければならない重要な課題の 1 つであること は明らかである。しかし、国内における組織の内部者による不正行為に関する国内での実証的な取り組みは、 2010 年に公表された(財)社会安全研究財団による「情報セキュリティにおける人的脅威対策に関する調査 報告書」[1] があるのみである。この報告書では、サイバー犯罪で検挙された事例として、悪意を持った内部者 の不正行為を対象に分析している。ただし、JNSA が 2010 年に実施した「2010 年のインシデントに関する調 査～発生確率編～」によると内部者の不正行為には、必ずしも悪意を持っていたとは言い難い「うっかりミス」 や業務遂行上迫られた「ルール違反」等の事案が多数あると指摘しているものの、そのような犯罪として立件 に至らない事例は含まれていない。内部者の不正行為に関して、犯罪として立件に至った重大なインシデント

1 _{JNSA:Japan Network Security Association} 2 _{http://www.jnsa.org/result/incident/2010.html}

3 _{JNSA の調査では、社員、管理下にある他社社員（派遣社員など）が、不正アクセス、その他の不正な行為によって情報を持ち}

の事案の分析である。この重大なインシデント（情報セキュリティの事故）は、ハインリッヒの法則の重大な事 故・災害と捉えることができる。ハインリッヒの法則では、1 件の重大な事故・災害の背景には、29 件の軽微な 事故・災害が起こっており、300 件もの「ヒヤリ・ハット4_{」が起きていると言われる。犯罪として立件に至った重} 大なインシデントの背景にある、犯罪として立件に至らなかったものや、ヒヤリ・ハットに関するものも発生しない ように対策を講じる必要がある。 内部者による不正行為の対策を検討するには、犯罪として立件に至らない事例やヒヤリ・ハットに関する事 例について情報収集が必要である。しかし、これらの情報は、「風評被害が発生する恐れ」や「利害関係者との 調整がつかない」等の理由から公開されることが稀であり、情報共有も困難である。したがって、実態が把握さ れておらず、これまで内部者による不正行為の発生しやすい環境や、効果的な対策等の検討が難しかった。 本調査は、内部者による不正行為の対策を検討していくために、内部者による不正行為に関する実態を明ら かにする基礎的な調査である。ここで、以降、「うっかりミス」、「企業内のルール違反」等を含めた全体の内部者 の不正行為を「内部不正」とし、その中で、犯罪として立件に至ったものを特に「内部犯行」と呼ぶこととする。 本調査では、内部不正の誘発要因、及びそれに対する抑止・防止対策の考察に関して、既存調査[2]とは異 なるアプローチをとる。既存調査では、調査対象事例を基に誘発要因を導出し、対策を考察している。それに対 して本調査では、組織に所属する幅広い人々を対象として内部不正に関わる実態を明らかにするために、Web アンケートを使って意識調査を行い、その中で主に、どのような要因が不正行為をしたいという気持ちをどの程 度高めるか、どのような抑止・防止策が不正行為への気持ちをどの程度低下させるかに関して尋ねるという方 法をとる。

4 _{重大な事故や災害に至らないが、重大事故につながりかねない事故寸前の危険な事例のこと}

２. 本調査の実施概要

本調査は、図 1 の流れのように、文献調査と事例調査を行って事例を分析し、事例分析をもとに内部不正 の誘発要因や効果的な対策についてアンケート調査を行い、その結果を考察した。以下に、本調査の流れや実 施内容について説明する。 ・ 文献調査 （3 章） 内部不正に関する国内外の関連調査報告書や、犯罪を心理学や環境の観点から捉えた研究につ いて調査した。 ・ 事例調査 (4 章) 内部不正の調査に関わった調査員、対策を立案するコンサルタント、企業の CISO、及び法律家な どの協力を得て内部不正に関して未遂（1 件）も含め、20 件の事例を収集した。その際、公開されて いる内部犯行の事例と比較するために判例調査も行い、10 件の事例を収集した。 ・ 事例分析 (4 章) 収集した事例から、内部不正と内部犯行の傾向の比較や、内部不正者の特性に関する分析を行い、 代表的な２つの想定モデルを策定した。そして、この 2 つの想定モデルの内部不正の誘発要因につ いて考察した。 ・ アンケート調査 (5 章) 内部不正対策される側の社員や職員を対象にした 3,000 人の Web アンケートと、内部不正対策 する側の経営者及びシステム管理者を対象とした 110 人のアンケートの 2 つを実施した。社員や 職員への Web アンケートでは、事例分析の代表的な 2 つの想定モデルをもとにシナリオを設定し、 そのシナリオにおいて、内部不正の誘発要因や効果的な対策について質問した。また、経営者及び システム管理者へのアンケートでは、効果的な対策について質問した。これらのアンケート結果を集 計・分析した。 ・ まとめ (6 章) 本調査の結果をまとめる。 図 1 調査概要図

文献調査

事例調査

事例分析

アンケート調査

まとめ

３. 既存調査研究のまとめ

本章では、内部不正に係る既存の関連調査や研究を紹介し、これらの調査や研究を参照して、本報告書の 内部不正者や内部不正の定義、内部不正の分類や引き起こす要因等を示す。海外の調査研究を３.１節、国内 の調査を３.２節で述べる。さらに、内部不正者の心理面や行動面から予防・防止するという観点から犯罪心理 学について３.３節で述べる。 ３.１ 海外の調査研究

米国では、CERT の Insider Threat Study team5_{が 1996 年から 2002 年までに 150 の内部犯行の事} 例を収集し、重要インフラを含む特定部門の事例分析を行い、2009 年に発表した”Common Sense Guide to Prevention and Detection of Insider Threat”[8]の中で内部犯行の予兆の検知、犯行に対する防護 のためのベストプラクティスを公表している6_{。本節では、CERT の調査研究における内部犯行者の定義や内} 部犯行の分類等について概説する。

３.１.１ CERT Insider Threat Study による内部犯行の定義

CERT が 2008 年に報告している Insider Threat Study（以降 ITS）[7] では、内部犯行者を定義し、内部 犯行を 3 つに分類している。内部犯行者の定義は、表 1 の 3 つの条件を満たす者としている。なお、内部犯行 者の定義や内部犯行の分類概要などの和訳は、国内調査[1] を参照した。 表 1 内部犯行者の定義 ・現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー ・組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持って いる、もしくは持っていた者 ・意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をも たらした者 ITS では、内部犯行を 3 つに分類し、それぞれの概要と特徴を示している。また、内部犯行のポイントについて もまとめている。内部犯行の分類及び特徴を表 2、内部犯行のポイントを表 3 に示す。 表 2 内部犯行の分類概要及び特徴 分類 概要・特徴 １ システム悪用 (Employee Fraud) 概要 組織の財やサービスをごまかし(deception）やぺてん(trickery）で手に入れる 特徴 ・ しばしば内部者の金銭的問題が関係する。 ・ 1/3 のケースで、外部の手引き者が存在した。情報改ざんについては、同 僚がおぜん立てすることが多い。 ・ 内部脅威者のストレスを引き起こすものが観察される。（例えば借金、家族 問題等） ２ 情報の持ち出し (Theft of Information) 概要 機密や知財に関連する情報などを組織から盗み出す 特徴 ・ 内部脅威者は、情報窃取のリスクに関連する個人的な傾向（personal predispositions）をもつ。たとえば、期待に反した待遇（報酬、昇進、オンラ イン活動への自由、倫理感、プロジェクト期限等他）についての不満を持っ

5 _{Insider Thread Center , http://www.cert.org/insider_threat/}

分類 概要・特徴 ている。 ・ 組織を辞めた後に侵入可能なように、アクセス経路を作っていることが多 い。 ・ 前兆があるが、ほとんどの場合、組織は技術的な前兆を見落としている。 ・ 管理者は、前兆を見逃がさないようにモニタリングをすべきで、そのように ポリシーを策定すべきである。 ・ 信頼（Trust）は、リスクを軽減する。 ３ 破壊行為 (IT Sabotage) 概要 特定個人、組織(含む組織のデータ、システム、日常業務）に損失を与えるという 意志に基づいた悪意ある行動 特徴 ・ IP7_{を金銭目的で売ろうとするものは少なく、むしろ、転職や起業などの際} の自己のビジネスの優位のため、また、外国政府などへ持ち出す。 ・ IP を盗む者は、たいてい、科学者、エンジニア、プログラマやセールスパー ソンである。 ・ 盗む対象は、通常の業務で扱っている情報が多いので、これを防ぐのは困 難である。 ・ 転職、処遇などの組織への不満、肩書などはすべて情報を盗む意思決定 に影響する。 ・ 情報は、さまざまな手法を使い、退職から 1 ヶ月以内に盗まれている。 ・ 退職の 1 ヶ月前と 1 ヶ月後の合わせて 2 ヶ月のモニターが必要である。こ の間の外部とのやり取りをすべてログしておくべきである。 表 3 内部犯行調査で明らかになったポイント 1. 多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している 2. 多くの内部犯行者の不満は期待が裏切られたことに端を発する 3. 処罰や(従業員にとって)好ましくない出来事が破壊行為の発生確率を上げる 4. 多くの場合、犯行の兆候を示す振る舞いが確認されている。しかしそれらは看過さ れる 5. 内部犯行者は侵入するため、そして痕跡を隠すために組織の経営層に気づかれぬ ように裏口を設ける。大半の行為は退職後にその裏口を用いて行われる 6. 組織は技術的な前兆を見落としている 7. 物理的、技術的アクセス制御の欠如が破壊行為を容易にする ３.１.２ 知的財産等を対象とした既存調査 知的財産に係る内部犯行が近年注目されていることから、CERT は知的財産を対象とした内部犯行を積極 的に分析しており、2010 年に「Spotlight On : Insider Threat from Trusted Business Partners」[11] を 公表している。この調査報告書では、知的財産（Intellectual Property：以下 IP とする）を特許、著作権、商標、 意匠、科学的公式、ソースコードの一部であり、顧客に関する機密情報のような財産的な情報（Proprietary Information）を含めた独自・創造的な発想と定義している。そして、内部者である「信頼あるビジネスパートナ ー（Trusted Business Partner（以下、TBP））」による IP の盗難のケースに焦点を当てて考察している。TBP やこれに関連した項目に関して、同調査では表 4 のように定義している。

表 4 知的財産に関する内部犯行の定義及び分類 用語 定義内容等 IP の盗難 内部者が IT を利用し、IP を組織から盗むことを指す。但し、ID 8_{の盗難は除かれ} る。 TBP 契約に基づいて、ある組織（企業、団体）に向けてサービスを提供する外部企業・ 団体（組織的 TBP）または部外者（個人的 TBP）を指す。このサービスを提供する ためには、組織は、TBP に対して特許データ、重要資料、内部インフラの構成等 の情報へのアクセス権限を提供しなければならない。組織的 TBP の例としては、 組織から、顧客向けのサポート業務を委託された企業があり9_{、一方、個人的 TBP} の例としては、その組織と個人契約を締結するコンサルタントや契約社員及び臨 時の社員（パートタイム）等が含まれる10_。 TBP に関係する内部犯行の事例は、「内部犯行者のポジション」、「アクセス権限の種類」、「場所」、「動機」、 大きく 5 つの内部犯行の項目に分類されている。各 5 項目において、2 つの TBP（組織的 TBP、個人的 TBP) と詳細化した種類で発生割合として、表 5 のような結果を得ている。 表 5 IP 盗難事例の詳細 項目 種類 組織的 TBP 個人的 TBP 犯行者のポジション 技術系 27% 79% 非技術系 73% 21% アクセスの種類 許可済み 100% 38% 未許可 0% 62% 場所 TBP 82% 53% 対象組織 0% 3% TBP と対象組織の双方 18% 0% リモート環境 0% 44% 内部犯行分類 システム悪用 82% 12% 情報の持ち出し 18% 24% 破壊行為 0% 65% 動機 経済的利得 73% 12% 復讐 0% 53% 競合 8% 18% 名声・風評 8% 3% 不明 8% 15% TBP との関係も含めた内部犯行の低減及び検出に関するアドバイスは表 6 の通りである。

8 _{ID:Identification} 9 _{このような組織と組織的 TBP との関係は、組織的関係(organizational relationship)とレポート内で呼ばれている。} 10 _{このような組織と個人的 TBP との関係は、個人的関係(individual relationship)とレポート内で呼ばれている。}

表 6 内部犯行の低減・検出に関するアドバイス 1. TBP のポリシーと処理手順を理解すること11 2. アクセスが許可された IP をモニターすること 3. アクセス権限を管理すること 4. TBP の人事ポリシーと処理手順を理解すること12 5. 職場で起こるネガティブな問題点を予測し、管理すること 6. 関係者のアクセス権限を削除した際、システム上でも確実に実施すること 7. 責務の分離を強化すること 8. 情報を保護する責任が TBP にもあることを、明確に契約に記述すること ３.２ 国内における既存調査 国内における事例に基づいた分析として注目すべき文書は、（財）社会安全研究財団 より 2010 年 3 月 に公表された「情報セキュリティにおける人的脅威対策に関する調査報告書」[1] である。 この報告書では、CERT の分析や調査を参照し、警察機関の有する事件資料を基にした内部犯行の事例 調査について報告している。

この報告書では、収集した 30 事例について多次元尺度法（Multi Dimensional Scaling）13_{による事件の} 類型化を行い、事例を「システム悪用」「情報流出Ⅰ（道具的犯行）」「情報流出Ⅱ（表出的犯行）」「破壊行為」 の 4 つのタイプに分けている。「情報流出Ⅰ（道具的犯行）」は、CERT の報告書の表 2 の「情報の持ち出し」 に対応しており、「情報流出Ⅱ（表出的犯行）」を追加している。「情報流出Ⅰ（道具的犯行）」「情報流出Ⅱ（表 出的犯行）」の定義は以下のとおりである。 ・情報流出Ⅰ（道具的犯行）： 「情報持ち出しなどの違反行為が、ある目的（たとえば情報売却による金銭獲得）に沿った合理的な手段 となっている」事例 ・情報流出Ⅱ（表出的犯行）： 「情報持ち出しなどの違反行為が、心理的満足を得る（たとえば鬱憤晴らし、情報を把握することで心理的 な優位性を保つ）手段となっている」事例 4 つのタイプの特徴を把握するために、表 7 のように「個人的・人格的特徴」「環境要因」「犯行状況」につい て示す。

11 _{ここで言うポリシー、手続きとは、組織的TBP 内での物理的セキュリティ、従業員教育、従業員の経歴調査、セ} キュリティ対応手順、或いはその他の（不測の事態に備えての）防護策などのことである。 12 _{TBP は従業員の経歴を徹底的に調査し、大丈夫と判断してから重要なデータの扱いを任せることを、TBP と業務} 契約を結んでいる組織は主張すべきと、ここでは言っている。 13 _{分類対象物の関係を低次元空間において点の布置で表現する多変量解析の一手法。}

表 7 国内調査による内部犯行の特徴 種類 内容及び特徴 システム悪用 情報流出Ⅰ （道具的犯行） 情報流出Ⅱ （表出的犯行） 破壊行為 個人的・人格的な特徴 （IT 能力／技術） 業務で使用している端 末が使用できる程度の IT 技術の者が多くを占 めていた。（高い IT 能 力を有さない） システム管理などの 相対的に高い IT 技 術を有する者が多 い。 情報流出Ⅰと同じ 傾向。 情報流出Ⅰと同 じ傾向。 環境要因 業務の専 門性 分業化され、専門化された業務に就いている者が多く、業務の監視性については、全体的 に低い状況であった。 職場への 不満 何らかの不満を抱えて いる者が多い。 不満を感じていない 者が相対的に多い。 システム悪用と同 じ傾向。 情報流出Ⅰと同 じ傾向。 犯行状況 動機 経済的な逼迫感。 システム悪用と同じ 傾向。 嫌がらせや鬱積し た感情の発散。 情報流出Ⅱと同 じ傾向。 その他 個々の事例や分類によって大きく異なり、日常業務で使用していたシステムに、組織の内 部または外部からアクセスして犯行を行った事例や、情報収集のためキーロガーを利用し ていた事例、他の従業員のメールを自宅で自動受信設定していた事例もあった。 また、ルーティンアクティビティ理論[3] （２．３．１節）を用い、内部犯行発生に不可欠な 3 つの要素（「動機づ けられた犯罪者」「潜在的な被害者」「監視性の低い環境」）の観点から、実施可能な対策を考察している。例 えば、「動機づけられた犯罪者」では、時期に応じた対策と情報システム面からのポイント（システム開発者、運 用者による犯行を防ぐための対策）は表 8 の通りである。 表 8 国内既存調査における対策のポイント 対策・ポイント _{詳細項目 内容} 時期に応じた対策 入社前 ・採用予定者が担当することとなる職務を遂行するために必要な 適性を有しているかのチェックを行う。 ・情報及び情報システムの取り扱い及び利用に関して契約に盛 り込み及び違反した場合の措置についても書き込んでおく。 ・労働条件、処遇条件について採用時に明確化しておく。 在職中 ・職場全体のコミュニケーションを良くしておく。 ・抑止システムの整備及び兆候の把握。 退職期 コミュニケーションが重要、アカウントの無効化。 退職後 退職後もモニターが必要であることを認識すべき。 情報システム面からのポ イント システム運用 システム開発者・運用者による犯行を防ぐための対策として以 下のポイントがある。 ・システム開発・運用は複数の者で担当する。 ・システムへのアクセス権限を適切に管理する。 ・実際の業務に当たっても一人に任せきりにしない。 ・チェックシステムを導入しておく。

３.３ 関連する心理学の理論 不正行為者が、その置かれた環境との相互作用に影響されることを前提とし、その環境について一定のパ ターンを分析、導出できれば、その結果を予防に利用できると考えられる。本節では、内部不正の分析に関係 すると考えられる犯罪心理学や環境犯罪学の 3 つの理論（ルーティンアクティビティ理論、状況的犯罪予防、 不正のトライアングル）について概説する。 ３.３.１ ルーティンアクティビティ理論 犯罪心理学では、集団や犯罪行為に影響を与える犯罪者の行動と心的プロセスを分析している。図 1 に示 すのは、犯罪の三角形といわれるものである。ルーティンアクティビティ理論（Routine Activity Theory）では、 犯罪者、犯行対象物、場所の 3 つの要因が重なった場合に犯行が発生するとしている。犯罪を未然に防ぐため にはこれらを同時に起こさないよう、外側の三角形で表現している要素「監視者」「行動規制者」「管理」が必 要であることを示している。

問題

場所 犯行対象 犯罪者 監視者 管理者 行動規範者

_問題

場所 犯行対象 犯罪者 監視者 管理者 行動規範者 要因 対策 （動機づけられた）犯罪者 行動規範者 （潜在的な）犯行対象物 監視者 （監視性の低い）場所 管理者 図 1 ルーティンアクティビティ理論の概要図 (出典) (財)社会安全研究財団：「環境犯罪学と犯罪分析」[3] より引用 ３.３.２ 状況的犯罪予防 ルーティンアクティビティ理論では、違反者の意図や目標対象に対して、外部からのコントロールや抑止が 困難な場合もある。一方で、監視者の設置などによって外部からのコントロールを可能な「環境」を適切に定め ることを主眼として、犯罪機会の低減、予防する研究に、状況的犯罪予防の理論がある。状況的犯罪予防とは、 「ある特定の犯罪問題を削減するための、極めて実践的かつ効果的な手段」と定義され、犯罪に関連する多く のプロセスや要因について予防するための方策を検討するために用いられる。状況的犯罪予防は、犯罪予防 策として表 9 の 5 つに分類される。 表 9 状況的犯罪予防における犯罪予防策の 5 分類 (1) 犯行を難しくする：技術的な対策を強化することで犯罪行為を難しくする (2) 捕まるリスクを高める：管理や監視を強化することで捕まるリスクを高める (3) 犯行の見返りを減らす：犯行を難しくするための技術的対策によって、犯行者から適切な目 標物を遠ざけることや隠すことが困難な場合に適用 (4) 犯行の挑発を減らす：外部からの挑発による犯罪行為を抑止 (5) 犯罪を容認する言い訳を許さない：犯行者による自らの行為の正当化理由を排除する

状況的犯罪予防には、直接的に犯罪を防止する対策から間接的に犯罪を防止及び抑止する対策まで含ま れている。上記で説明した 5 分類は、更に各々5 つに細分化されており、合計で 25 分類の対策が定義されて いる。状況的犯罪予防を参考にすると、25 分類の対策の観点から犯罪防止および抑止について検討可能で ある。図 3 では、この 25 分類を情報セキュリティ対策に対応させた例を示している。 ３.３.３ 不正のトライアングル ACFE の創設者でもあるドナルド・R・クレッシーは、横領の発生要因は脆弱な内部統制や不十分な監視シ ステムが根本的な原因ではなく、当事者が雇用主の信頼に意図的に背くことにより不正行為が発生すると分 析している。具体的には、動機・プレッシャー（他人に打ち明けられない経済的な問題）を抱え、機会（この問題 が自分の経済的に信頼されている立場を利用すれば、秘密裏に解決できること）を意識し、正当化（その解決 策を実行しても、信頼された人物としての自分のイメージを損なわないですむような理由付け）を考えつく時に 発生すると考え、この「動機・プレッシャー」、「機会」、「正当化」を不正のトライアングルと定義している14_{（図 2} を参照）。 不正のトライアングルに基づいて内部不正対策を行う場合には、不正のトライアングルの 3 つの要因に関し て低減する対策を検討することになる。例えば、作業のモニタリングを実施する等の対策を実施することで内部 不正を行う「機会」を低減させて、内部不正の件数の低減を図ることができる。

動機・

プレッシャー

機会

正当化

図 2 不正のトライアングル

14 _{Donald R. Cressey "Fraud Triangle"、及び Other People’s Money : A Study in the Social Psychology of}

犯行を難しくする 捕まるリスクを高める 犯行の見返りを減らす 犯行の挑発を減らす 犯罪を容認する言い訳を許さない 1.犯行対象を防御的に強化する ・スクリーンロックの設定 ・アクセス制御の設定 ・退職者の ID 削除/確認者設置 ・パスワードポリシーの設定 ・PC の物理チェーンロック、固定具 ・盗用防止スクリーン 6.監視者を増やす ・複数人での作業環境の設定 ・防犯ベルの設置 ・特権階級の分散化/管理者の増員 ・個人情報売買の監視 ・アクセスログの監視 11.標的を隠す ・電子ファイルのアクセス権限の設定 ・PC/USB メモリの保管場所設定 16.欲求不満やストレスを減ら す ・職場での円滑なコミュニケーショ ンの推進 ・上司や同僚に頻繁に相談できる環境 整備 ・適切な人事・作業管理（業務量の軽 減） 21.規則を決める ・情報セキュリティポリシーの策定 ・個人情報管理策の作成 ・就業規則 ・障害対策等の手順の明確化 ・管理/運用策の策定 ・雇用契約 2.施設への出入を制限する ・ID カード（身分証明）の確認 ・電子カードアクセス ・手荷物検査 7.自然監視を補佐する ・守りやすい空間の設計（外部から見えるガ ラス面積の拡大） ・オフィスのフリースペース化 ・投書箱による密告者をサポートする 12.対象を排除する ・電子ファイルのアクセス権限の設定 ・PC の持込許可制度 ・業務上で必要な閲覧項目を絞る ・紙の廃棄/溶解処理 17.対立を避ける ・情報セキュリティの管理部門を設置 し、上司との対立を避ける ・適切な人事・作業管理（業務量の軽 減） 22.指示を掲示する ・情報セキュリティポリシーの掲示 ・個人情報管理策の掲示 ・就業規則の掲示 ・目的外利用の禁止の掲示 ・不正事例の掲示（匿名） 3.出口で検査をする ・ID カード（身分証明）の確認 ・手荷物検査 ・メールやネットの監視 8.匿名性を減らす ・ID カード、社員バッチの携帯 ・ID による管理 ・持ち出し台帳による管理 13.所有物を特定する ・PC/USB メモリに登録番号シールを つける ・電子ファイル/紙ファイルに管理番号 をつける ・複写台帳管理 18.感情の高ぶりを抑える ・パワハラの禁止 ・人種的中傷の禁止 ・適切な人事・作業管理（業務量の軽 減） 23.良心に警告する ・持ち出し厳禁であることを掲示 ・管理レベルを表示／印字 ・不正競争防止法などの研修・教育 ・ルール厳守への自己サイン 4.犯罪者をそらす ・通路／出入り口の閉鎖 ・物理レベルに応じた入退制限 ・金属探知器 9.現場管理者の利用 ・CCTV（監視カメラ）の設置 ・機密情報へのアクセスは複数人による作 業制限 14.市場を阻止する ・不正競争防止法 ・不正監査/不正検査 ・個人情報売買の禁止/監視 19.仲間からの圧力を緩和する ・適切な人事・作業管理（業務量の軽 減） 24.遵守を補佐する ・利用 PC/USB メモリの登録管理/貸 出規則を簡単にする ・施錠保管キャビネットの設置 ・シュレッダーの設置 ・相談窓口の整備 5.道具や対抗手段を制御する ・非登録の PC/CD/USB メモリの持込/持 出/書出し禁止 ・携帯電話の持ち込み禁止 ・メールやネットの利用制限・禁止（フィルタ リング等） 10.フォーマルな監視体制を強化す る ・侵入警報装置 ・警備員 15.利益を否定する ・重要情報の暗号化 ・重要情報にノイズや電子透かし 各種ウォーターマークを注入 20.模倣犯を阻止する ・インシデントの手口の公開を慎重に する ・インシデントの証跡を残さない 25.薬物・アルコールを規制す る ・職場での飲酒禁止/検査 ・アルコールなしの行事 図 3 状況的犯罪予防（ＩＴセキュリティ対策版） （出典）5 カテゴリ 25 分類は、(財)社会安全研究財団：「環境犯罪学と犯罪分析」 P191 を参考とし、セキュリティ対策の例を作成

３.４ 本調査における定義と分類 CERT や社会安全研究財団の調査や研究では、組織内で発生した犯罪を対象としており、内部犯行を防ぐ ために多くの示唆を与えている。 本報告書は、組織内で発生したインシデントとして、内部犯行を含む内部不正を対象としている。国内の組 織などでの情報漏えい事案などをみると、情報セキュリティの内部の不正者によるルール違反等は、必ずしも 悪意がないものや、犯罪として立件されないものが多く含まれている。前述したハインリッヒの法則を内部不正 に適用すると、内部犯行を重大な事故とし、裁判に至らないケースやルール違反を軽微な事故やヒヤリ・ハット として位置付けることが可能である。内部犯行と内部不正はインシデントの規模のみが違うと考えると、内部不 正の調査では、ITS 及び国内の調査研究の内部犯行の予兆や対策のポイントなどが参考になると考えられる。 したがって、本調査では CERT と（財）社会安全研究財団の報告書 [2]（以降、既存調査という）における定義 を参考にして、内部不正者の定義や内部不正について分類する。 ３.４.１ 内部不正者の定義 既存調査では、内部犯行者を、「正当なアクセス権限を所持している。または、正当なアクセス権限を所持し ていた」と定義している。 本調査の事例では、アクセス権限を持たない者による不正行為（上司が使用している USB メモリを不正に 入手する等）も見られ、このような事例を含めることで、より多くの事例を調査対象とすることができると考えら れる。以上のことから、本調査の内部不正を行う者の定義は、「アクセス権を持っていない者」も含め、その定義 内容を表 10 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。 表 10 本調査における内部不正者の定義 1. 現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー 2. 組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持っている 者、及びアクセス権を持っていない者 3. 意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をもたら した者 ３.４.２ 内部不正行為の対象情報及び分類 既存調査では、内部犯行の分類である「情報持ち出し」で対象となる情報は、「機密や知財に関する情報」 である。また、「道具的犯行」で対象となる情報は、「換金のための情報」と定義されている。 一方、本調査の対象範囲を考慮した場合、「情報持ち出し」で対象となる情報は、機密や知財に関係ない情 報や重要な情報とはいえない情報（例えば、職場の雰囲気や上司の近況情報などの情報）なども考えられる。 また、換金の目的では、情報のみでなく、PC 等の物理的な情報資産の持ち出しも考えられる。 「道具的犯行」及び「表出的犯行」で対象となる情報でも、上司の近況情報など、換金のための情報とはい えない情報もあることが考えられる。これらの機密や知財に関係ない情報や換金のための情報とはいえない 情報は、企業内で重要情報と定められていない場合も考えられるが、その情報が漏えいすることで間接的に 企業に負の影響を与える場合も考えられる。 以上のことから、本調査の内部不正で対象とする情報の定義は、「その他の情報」も含め、その分類内容を 表 11 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。

表 11 本調査における内部不正の分類 1. シ ス テ ム 悪 用 (Employee Fraud) - シ ス テ ム 悪 用 : 組 織 の 財 や サ ー ビ ス を ご ま か し (deception）やぺてん(trickery）で手に入れる 2. 情報の持ち出し(Theft of Information) - 機密や知財に関連する情報及びその他の情報資産 などを組織から盗み出す ・ 「道具的な犯行」：情報セキュリティの違反行為が金銭的な利得を得るための不正。換金の ための情報及びその他の情報や情報資産を獲得するといった目的に沿 った合理的な手段として不正が行われる。 ・ 「表出的な犯行」：蓄積した不満の発散や嫌がらせによる不正。情報の把握、持ち出し、公開 等を行うことで心理的な優位性を保つなど、心理的満足のために情報セ キュリティ違反行為がなされている。 3. 破壊行為(IT Sabotage) - 特定個人、組織(組織のデータ、システム、日常業務含む）に損失を 与えるという意志に基づいた悪意ある行動

４. 事例調査

本章では、はじめに公開情報をもとに内部不正の概況を述べたのちに、具体的な事例調査として裁判の判 例調査とインタビュー調査の結果を説明する。また、これらの事例調査の結果から本調査における内部不正の モデルを示す。そして、そのモデルから内部不正の発生要因について分析した。 ４.１ 内部不正の概況 CERT や Verizon の報告書では、内部不正が原因となったインシデントの割合について述べられている。本 節では、内部不正の発生に関して、断片的ではあるが情報を提供しているものを紹介する。

Computer Security Institute (CSI)の 2010/2011 Computer Crime and Security Survey によると、 回答者である 149 人の IT 管理者のうちマルウェア感染を報告した企業が 67％もあったのに対して、内部者に よる業務目的以外のコンピュータの使用を報告したのは 25％、不正アクセス、権限昇格は 13％となっている。 Cyber-Ark による Snooping Survey 2011 によると、職場で破壊行為、或いは IT セキュリティ違反行為 に遭遇したことがある IT 関連スタッフ及び役職の人の数は、全体の 18％を占めている（表 12 参照）。これ以 外にも、全体で 24％の回答者が自身で、或いは同僚が不正アクセスを行ったことがあると答えている（表 13 参照）。 表 12 職場で破壊行為、或いは IT セキュリティ違反行為に遭遇した人の数、割合 EMEA 15 _{US C-Level} 人数 % 人数 % 人数 % 遭遇した 121 21% 137 16% 11 16% 遭遇していない 303 54% 452 53% 44 63% 分からない 139 25% 269 31% 15 21% 合計 563 100% 858 100% 70 100% （引用）2011 年度版 Snooping Survey、Cyber-Ark16 表 13 機密情報にアクセスするために管理者パスワードを使用したことがある、或いは同僚がそうしたことが ある人の数、割合 EMEA US C-Level 人数 % 人数 % 人数 % 使用あり 177 31% 175 20% 18 25% 使用なし 228 41% 420 49% 34 48% 分からない 158 28% 264 31% 19 27% 合計 563 100% 859 100% 71 100% （引用）2011 年度版 Snooping Survey、Cyber-Ark

Cisco による白書”Data Leakage Worldwide: Common Risks and Mistakes Employees Make”では、10 か国で従業員 100 人、IT 管理者 100 人に対して行われた調査のうち、以下の 5 つの 内部不正に関して、調査結果が報告されている。

（１）会社内で使用許可の無いアプリケーションの利用

 従業員全体のうち、78%が会社内のパソコンから個人使用の e-mail にアクセスしたことがある。

15 _{Europe, the Middle East and Africa の略}

 従業員全体のうち、63%が、会社のパソコンを業務目的以外（たとえばオンラインショッピング、インタ ーネットバンキングなど）に毎日利用している。  従業員全体のうち、83%が、会社のパソコンを業務目的以外に時々利用している。  IT 管理者全体のうち、70％は、会社で発生するデータ漏洩・損失事故の半分は、そのような従業員 のパソコンの利用に起因していると信じている。 （２）業務で利用するコンピュータの悪用  中国では 42％、ブラジルでは 26%、インドでは 20%の従業員が、会社のセキュリティポリシーを無視 し、設定を迂回している。  ブラジルでは 47％、インドでは 27％、イギリスでは 26％、イタリアでは 22％、ドイツでは 24％の従業 員が、会社の機密情報を部外者と共有したことがある。  中国では 43％、インドでは 28％の従業員が、会社で使用する機器を管理者に無断で、部外者と共 有したことがある。  全体では、32％の回答者が仕事上で使用する機器を同僚と共有、19％が家族、友人と共有したこと がある。  63％が少なくとも、1 日に 1 回は会社の PC を個人使用している。 （３）不正アクセス 表 14 従業員によるネットワーク、或いは立ち入り禁止区域への不正アクセスのケースに遭遇したことがある IT 管理者の割合。 アメリカ ブラジル イギリス フランス ドイツ 遭遇した 46% 49% 36% 30% 26% 遭遇していない 47% 41% 55% 63% 62% 分からない 7% 10% 9% 7% 12% イタリア 中国 日本 インド オーストラリア 全体 遭遇した 40% 63% 28% 37% 30% 39% 遭遇していない 48% 32% 64% 49% 58% 52% 分からない 12% 5% 8% 14% 12% 10%

（引用）2011 年度版 Data Leakage Worldwide: Common Risks and Mistakes Employees Make

 管理者の 46％が中企業、大企業の方が、小企業よりもそのような不正アクセスが横行している。  管理者の 32％は小企業でもそのような不正アクセスが頻繁に発生していると回答している。  ドイツでは 22％の従業員が、部外者に付添なしでオフィスを歩き回らせている。 （４）リモート環境のセキュリティ  46％の従業員が、家で仕事をしているときに、業務用パソコンと個人使用のパソコンの間で、業務で 使用しているファイルを送受信したことがある。  75％以上の従業員は公共の場で、リモート環境で仕事をしているときに、プライバシーガードを使用 していない。（この傾向は、ブラジル、インド、中国で顕著である。）  68％の従業員は、公共の場において電話で業務上の話をするときに、声を落として話さない。  家で働く従業員の 13％は、会社のネットワークにアクセスができないので、自分の個人使用のメール アカウントから、同僚、顧客に仕事上のメールを送る。

(5)

パスワード、ログイン/ログアウト手順の悪用  全体では 18％の従業員が、自身のパスワードを同僚と共有し、特に、中国、インド、イタリアでは 25％ がそうしている。  全体では、少なくとも 3 人に１人の従業員が、長時間机から離れる際に、パソコンをロックせずにログ

オンの状態に放置している。  20％の従業員は、システムへのログイン、パスワード情報を自分の会社のパソコン内に保存、紙に書 いて机の上、鍵のかかっていないキャビネットなどに置きっ放し、或いはパソコンに貼り付けている。  インド、イタリア、イギリスでは、10％の従業員が、職場のネットワークへのログイン、パスワード情報を 記したメモを机の上に置きっ放しにしている。その結果、パソコンが盗まれた場合、盗難者が機密デ ータにアクセスできてしまう状態になっている。  イギリス、フランスでは 5％の従業員が個人の口座（金融機関の口座も含む）のログイン、パスワード 情報を印刷したものを机の上に置きっ放しにしている。  中国では 28％の従業員が、自身の金融機関の口座にアクセスするためのログイン、パスワード情報 を会社で使用する機器に保存している。 ここで挙げられている内部不正の多くは、犯罪として立件されないようなケースであるが、これらの報告結果 は、それがごく一部でのみ発生するレアケースである可能性が低いことを示唆している。 VERIZON 社が、アメリカ合衆国シークレットサービス（USSS17_{）と共同で公表している過去 3 年間にわた} る調査結果は、（データ漏洩／侵害限定ではあるが）内部不正がどのような職種の人によって行われているの か報告している（表４参照）。それによると、一番多いのが一般従業員で、以下、財務/会計スタッフ、幹部と続く。 報告書でも指摘されているが、高い権限を持った人のみがそれを使って機密データ、価値の高い情報を窃取 するのではなく、権限の低い人もその権限レベルで入手できる（換金可能な）情報を不正に入手しようとする。 表 4 内部者によるデータ漏洩/侵害の割合 内部不正者のタイプ 割合 一般従業員／エンドユーザー 85% 財務／会計スタッフ 22% 経営幹部／上級管理職 11% ヘルプデスクスタッフ 4% システム／ネットワーク管理者 3% ソフトウェア開発者 2% 不明 1% その他 1% （引用）2011 年度 データ漏えい／侵害 調査報告書、VERIZON18

17 _{USSS：United States Secret Service}

４.２ 判例調査概要 ４.２.１ 判例収集 判例調査では、まず、判例データベースを使用して判例を検索し、内部犯行に該当する判例を抽出する作業 を行った。判例収集の目的、手順などは表 15 の通りである。 表 15 判例収集方法 項目 内容 目的 内部犯行における、動機、手口、発生環境、被害状況などの詳細情報を得る。 情報源 裁判所ウェブサイトを含む判例データベース 調査方法 1)内部犯行の公開情報を基に、判例に含まれると考えられるキーワードを幾つか決める。 2)上記のデータベースを使い、判例のキーワード検索を行う。 （検索キーワード及びその結果は表 16 を参照） 3)上記 2）の各検索結果グループ（No.1～11）から 10 件程度の判例情報をチェックし、内部犯行 の定義に該当する判例があるか確認する。具体的には、判例における、内部者（元従業員を含 む）、内部犯行と IT システムとの関連性、内部犯行の対象と情報資産及び IT システムや IT サー ビスとの関連性、内部犯行によって組織の情報が受けた影響（機密性、完全性、可用性）を確認 する。 4)内部犯行に該当する事例があると判断された 4 つのグループ（検索結果 No.5､No.6､No.10､ No.11)から､最新の判例を中心に 10 件選別する｡その判例の選別に当たっては､下記の｢その 他条件｣に該当するかどうかを基準にした｡ その他条件 個別調査を検討している判例が以下の条件を満たすかどうかをチェック ･判例中の内部犯行行為を､表 10 にある内部不正の 4 分類のうちのどれかに特定できる ･判例要旨に､不正行為者､対象､動機､監視性に関する情報が含まれている 表 16 判例調査対象グループ 検索結果 No. 検索キーワード19 該当件数 １ 内部、不正、情報、横領 １４７件 ２ 内部、不正、情報、流出 ２４８件 ３ 内部、不正、情報、アクセス １６４件 ４ 内部、不正、情報、妨害 ４７８件 ５ 営業秘密、流出 ６６件 ６ 営業秘密、アクセス １１１件 ７ 営業差止等請求事件 １０件 ８ 個人情報、横領 ４０件 ９ 個人情報、漏洩 ５７件 １０ 電子計算機、背任 ９件 １１ 電子計算機、詐欺 ４６件

19 _{キーワード検索においては、「不正」という言葉が使われているが、検索対象となっているのは犯罪事例のみであり、「うっかり} ミス」、「ルール違反」などのケースは対象になっていない。

４.２.２ 判例調査で得られた傾向 判例調査の結果から得られた傾向を報告する。判例調査で得られた事例数は、合計 10 事例である。これら の事例を分類すると、「道具的な犯行」が 9 件、「道具的な犯行」と「表出的な犯行」の双方に分類できる事例 （道具的な犯行且つ表出的な犯行の事例）が 1 件であった。そのため、表 17 では、「道具的な犯行」が 10 件、 「表出的な犯行」が 1 件となる。裁判の際、企業が現従業員を相手取るケースはほとんどなく、企業の元従業員 や委託先の従業員が被告であるケースが多い。 表 17 判例調査件数分類 システム悪用 道具的な犯行 表出的な犯行 破壊行為 不明 該当件数 ０件 １０件 １件 ０件 ０件 次に、個々の犯罪事例を別の観点から分類するために、３.３.１節で紹介したルーティンアクティビティ理論を 利用した。個々の事例を、「動機づけられた犯罪者はどのような職種についていたのか（動機づけられた犯罪 者）」、「犯行対象物は何であったか（潜在的な犯行対象物）」、「犯行発生場所の監視性は高かったか/低かっ たか（監視性の低い場所）」といった観点から分類することにした。更に、「動機づけられた犯罪者はどのような 職種についていたのか」に関して言えば、この中に「動機」、「犯罪者」の二つの要素があることから、これを「犯 罪者の職種は何であったか」、「犯罪者の動機は何であったのか」の二つに分解した。 この 4 つの観点に基づく結果は図 4 及び表 18 の通りである｡不正行為者は 5 種類､犯行対象物は 5 種 類､動機は 4 種類､監視性は 2 種類となった（表 18）｡図 4 を見ると、不正行為者は､開発者が 50%と最も多 く､次いで一般社員が 30%､管理職とその他がそれぞれ 10%である｡対象は開発情報と顧客情報がそれぞれ 50%と最も多く､動機は転職･起業が 90%である｡監視性については、内部犯行が行われた環境において業 務に対する監視者が設定されていた事実（IT システムによって重要情報に対する不正な操作を管理者に通知 する等の機能が利用されていた場合も含む)があったと確認できた場合に｢高い｣､その事実が無かった場合 や確認できない場合に｢低い｣とした｡今回の調査では､全ての事例において､その事実が確認できなかったた め､｢監視性は低い｣が 100%となっている｡

一般社員（元社員を 含む）30.0% ＩＤ・パスワード 0.0% 金銭 10.0% 高い 0.0% 管理職 10.0% 開発情報 50.0% 情報 0.0% 低い 100.0% その他 10.0% 顧客情報 50.0% 転職・起業 90.0% 社内情報 0.0% 開発者(元従業員) 50.0% システム管理者 0.0% 物理装置 0.0% 組織・上司への不満 0.0% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 不正行為者 対象 動機 監視性 図 4 判例調査結果の詳細分類 (n=10) 表 18 判例調査結果の詳細分類(n=10) 分類 項目 件数 比率 犯罪行 為者 一般社員 （元社員を含む） 3 30% 管理職・経営者 2 20% その他 1 10% 開発者 （元従業員） 4 40% システム管理者 0 0% 対象 ID・パスワード 0 0% 開発情報 5 50% 顧客情報 5 50% 社内情報 0 0% 物理装置 0 0% 動機 金銭 1 10% 情報 0 0% 転職・起業 9 90% 組織・上司への不 満 0 0% 監視性 高い 0 0% 低い 10 100% 不正行為者を軸に対象、動機、及び監視性を分離した結果を表 19 に示す。開発者については、全てのケー スで、対象は開発情報であり、動機は転職目的が多い（動機については、不満且つ転職の事例があったため 合計６件である）。一般社員については、全てのケースにおいて、対象は顧客情報であり、動機は転職目的であ る。また、監視性は低い。 表 19 判例調査結果（不正行為者） 対象 動機 監視性 社内 情報 顧客 情報 ID・パス ワード 開発 情報 物理 装置 不満 情報 転職 金銭 高い 低い 一般社員 （元社員を含む） 0 3 0 0 0 0 0 3 0 0 3 システム管理者 0 0 0 0 0 0 0 0 0 0 0 開発者 （元従業員） 0 0 0 5 0 １ 0 5 0 0 5 管理職 0 1 0 0 0 0 0 1 0 0 1 その他 0 1 0 0 0 0 0 0 1 0 1

４.３ インタビュー調査概要 ４.３.１ インタビュー事例収集 インタビュー調査では、主にインシデントに関わった調査員、及び企業の CISO、法律家などから協力を 得て、表 20 に示した調査概要に基づき、面談形式で確認した。 表 20 インタビュー事例収集プロセス 項目 内容 目的 内部不正における、動機、手口、発生環境、被害状況などの詳細情報を得る。ここでいう内部不正に は、内部犯行に加えて、「うっかりミス」や「組織内でのルール違反」など（の内部犯行扱いになって いないもの）も含まれる。 調査対象者 インシデントに関わった調査員、及び企業の CISO、法律家など 調査方法 上記の調査対象者に対してインタビューを実施する。内部不正の傾向の把握、個々の事例の具体 的な情報の収集、事例が発生した環境及び内部不正防止対策実施状況に関する情報の収集の 3 つの目的に沿ってインタビュー調査を実施するため、インタビュー項目を表 21、表 22 のように設 定した。 その他 個別調査を検討しているインタビュー事例が以下の条件を満たすかどうかをチェック ・事例中の内部不正行為を、表１０にある内部不正の４分類のうちのどれかに特定できる ・不正行為者、対象、動機、監視性に関する情報がインタビュー回答に含まれている 表 21 インタビュー調査項目（内部不正の傾向、個別事例、不正発生時の環境に関する情報収集） 共通インタビ ュー項目 1. 内部不正事例の件数、代表的な事例の概要 例えば、次の①～④のうち、どの内部不正や内部犯行が多く発生しているか （①システム悪用、②情報持ち出し（道具的犯行）、③情報持ち出し（表出的犯行）、④破壊行為） 2. 内部不正の変遷や最近の傾向 3. 内部不正が発生した背景、想定される環境、動機、及び対象となる情報等の入手・持ち出し方法 4. 内部不正行為者の振る舞い（不自然な行動等）と、そのような不正行為を抑止・予防するための対 策（管理策等を含む） 個別事例に関 する項目 1． 動機及び環境（主に共通インタービュー項目３の詳細） 動機 インセンティブ等 例えば、機密情報がお金になる（売買、脅迫）、転職時 のお土産等 プレッシャー等 例えば、借金、ノルマ、いじめや脅迫等 怨恨 例えば、上司や会社への仕返し等 環境的要因 利用できる手段や機会等 例えば、働いている場所、使える時間、利用できる環 境（端末、ネットワーク環境、リモート接続環境等）、管 理者権限、知り得た内部情報、専門知識及び技術的 スキル等 コミュニケーション 例えば、上司や同僚とのコミュニケーションの状況等 その他 監視・常習性等 例えば、働いている環境等での監視・通報・連絡体制 の状況等 2． 振る舞いや抑止・予防対策（主に共通インタービュー項目４の詳細）

振る舞い（行動等） 例えば、倫理観の欠如等、逼迫した業務等 抑止・予防 例えば、罰則規定、秘密保持誓約書への署名、監視 （ログ、監視カメラ）とその周知等 その他 （組織内ポリシーとの関係） 例えば、セキュリティポリシー及びプライバシーポリシ ー等との関連性、内部で解決した場合のインシデント 情報の取扱いについて 表 22 インタビュー調査項目（（状況的犯罪予防の観点を取り入れて）内部不正防止対策に関する情報取集） 質問内容 具体例 1「犯行を難しくする」 対策の有無 内部不正が発生する環境では、ID 管理やアクセス制御の設定が実施されていないことが考え られるため、「1.犯行対象を防御的に強化する」等を確認する。 ネットワーク経由の内部不正の事例では、ネットワーク等の利用制限が実施されていないこと が考えられるため、「5.道具や対抗手段を制御する」等を確認する。 可搬可能な電磁媒体を用いた内部不正の事例では、その媒体の持込及び持出の制限が実施 されていないことが考えられるため、「2.施設への出入を制限する」や「3.出口で検査をする」等 を確認する。 2「捕まるリスクを高め る」対策の有無 内部不正が発生する環境では、システム管理者が不足しているか、または、システム管理者が 少人数で相互チェック等ができていないことが考えられるため、「6.監視者を増やす」等を確認 する。 アクセス権限を有していない内部者による不正行為では、正規のアクセス権限を不正に入手す ることが考えられるため、「7.自然監視を補佐する」や「9.現場管理者の利用」等を確認する。 3「犯行の見返りを減 らす」対策の有無 アクセス権限を有している内部者による不正行為では、アクセス制限が適切に設定・実施され ていないことや重要情報の暗号化が実施されていないこと考えられるため、「11.標的を隠す」、 「12.対象を排除する」、「15.利益を否定する」等を確認する。 4「犯行の挑発を減ら す」対策の有無 内部不正が発生する環境では、円滑なコミュニケーションの推進や職場のストレスを低減する 対策が実施されていないことが考えられるため、「16.欲求不満とストレスを減らす」、「17.対立 を避ける」、「18.感情の高ぶりを抑える」等を確認する。 5「犯罪を容認する言 い訳を許さない」対策 の有無 内部不正が発生する環境では、規則やルールの設定、掲示等、及び相談窓口などの設置が実 施されていないことが考えられるため、「21.規則を決める」、「22.指示を掲示する」、「24.遵守を 補佐する」等を確認する。

４.３.２ インタビュー調査で得られた傾向 インタビューで得られた事例数は、全体で 20 件であり、未遂（1 件）のものを除くと総数 19 事例である｡ 内訳として､道具的な犯行が 9 件と最も多く､次いで表出的な犯行が 6 件である（表 23 を参照）。 表 23 インタビュー調査件数分類 システム悪用 道具的な犯行 表出的な犯行 破壊行為 分類不能 該当件数 １件 ９件 ６件 １件 ２件 ４.２.２節で用いた方法で、これらの事例を分類した結果を図 5 及び表 24 に示す。不正行為者は、一般社員 が 52.6%と最も多く、次いでシステム管理者と開発者が 15.8%、その他が 10.5％である。また、対象は顧客情 報が 52.6%と最も多く、動機は組織・上司への不満が 42.1%、金銭が 31.6%であり、監視性は高いが 73.7% である。 高い 26.3% 金銭 31.6% 一般社員 52.6% ＩＤ・パスワード 15.8% 低い 73.7% 情報 15.8% 開発情報 10.5% 管理職 5.3% 転職・起業 10.5% 顧客情報 52.6% その他 10.5% 組織・上司への不満 42.1% 社内情報 15.8% 開発者 15.8% 物理装置 5.3% システム管理者 15.8% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 不正行為者 対象 動機 監視性 図 5 インタビュー調査結果の詳細分類 (n=19) 表 24 インタビュー調査調査結果の詳細分類 (n=19) 分類 項目 件数 （比率） 不正行為 者 一般社員 10 52.6% 管理職・経営者 1 5.3% その他 2 10.5% 開発者 3 15.8% システム管理者 3 15.8% 対象 ＩＤ・パスワード 3 15.8% 開発情報 2 10.5% 顧客情報 10 52.6% 社内情報 3 15.8% 物理装置 1 5.3% 動機 金銭 6 31.6% 情報 3 15.8% 転職・起業 2 10.5% 組織・上司への 不満 8 42.1% 監視性 高い 5 26.3% 低い 14 73.7% 不正行為者を軸に対象、動機、及び監視性の分類結果を表 25 に示す。一般社員の場合、対象は顧客情報、 ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満、金銭目的である。システム管理者に ついては、対象は顧客情報、社内情報であり、動機は情報及び金銭目的である。開発者の場合、開発情報が 多く次いで顧客情報であり、動機は転職と情報である。

表 25 インタビュー調査結果（不正行為者） (n=19) 対象 動機 監視性 社内 情報 顧客 情報 ID・パス ワード 開発 情報 物理 装置 不満 情報 転職 金銭 高い 低い 一般社員 2 4 3 0 1 6 0 0 4 3 7 システム管理者 1 2 0 0 0 0 2 0 1 1 2 開発者 0 1 0 2 0 0 1 2 0 1 2 管理職 0 1 0 0 0 0 0 0 1 0 1 その他 0 2 0 0 0 2 0 0 0 0 2 ４.３.３ インタビュー調査で得られた対策状況 IT セキュリティ版状況的犯罪予防（図 3 参照）を参考に、表 22 の観点からインタビュー調査を行い、内部 不正が発生した事例における対策状況を以下に示す。20 - 情報システムの正規のアクセス権限を持たない内部者による不正行為では、ID・パスワードの 管理などの「犯行を難しくする」で定められた項目が実施されていない事例が多い。例えば、特 定の重要情報に対してアクセス権限を持たない内部者が、社内システムの初期設定の ID 及び パスワードを用いて社内システムを利用することで、重要情報にアクセスできてしまう事例があ った。（表 22：「1.犯行を難しくする」に関連） - 情報システムの正規なアクセス権限を持つ内部者が行った内部不正では、監視者を増やすな どの「捕まるリスクを高める」で定められた項目が実施されていない事例が多い。例えば、特定 の重要情報に対してアクセス権限を持つ内部者が、重要情報を複写し不正に持ち出す事例が あった。（表 22：「2.捕まるリスクを高める」に関連） - 「犯行を難しくする」及び「捕まるリスクを高める」対策が施されている企業や団体では、さらなる 対策の強化として、対象ファイルの暗号化などの「犯行の見返りを減らす」対策が施される傾向 がある。例えば、ID・パスワードの管理やアクセス権限の設定などが正しく管理及び遵守されて いる企業や団体などでは、重要情報の管理策強化の一環として、重要情報の暗号化等が実施 されている事例があった。（表 22：「3.犯行の見返りを減らす」に関連） - 多くの事例において、コミュニケーションによって職場のストレスを低減するなどの「犯行の挑発 を減らす」、及び規則やルールを定め、掲示するなどの「犯罪を容認する言い訳を許さない」対策 が施されていない。なかには、ルールは定められているが、掲示されていない、或いは形骸化し ている事例もあった。（表 22：「4.犯行の挑発を減らす」、「5.犯罪を容認する言い訳を許さない」 に関連）

20 _{これらの４点は、インタビュー事例１９件における内部不正防止対策実施状況に関してのものではなく、調査対象者が提供し} てくれた対策実施状況に関する意見をまとめたものである。

４.３.４ インタビュー調査のまとめ インタビュー調査結果をまとめたものを表 26 に示す。 表 26 インタビュー調査のまとめ 1. 情報持ち出しの事例が他に比べて多く発生している（表 17 参照） 判例調査及びインタビュー調査の結果では、IP（Intellectual Property）に関する内部不 正の事例では、①システム悪用、②情報持ち出し、③情報破壊の 3 分類のうち、②情報持ち 出しが他の分類に比べて多く発生している。 また、②情報持ち出しの中では、表出的犯行よりも道具的犯行が多く発生している。 2. 持ち出し情報の対象の多くは顧客情報であるが、その他の事例も存在する インタビュー調査では、顧客情報の持ち出しが最も多い。一方、判例調査では、開発情報の 持ち出しが多い。 3. 現状の ISMS21_{及び PMS}22_{等の組織的対策の効果は限定的である} インタビュー調査では、現状の ISMS や PMS 等の組織的対策（主に、ポリシーの設定や周 知及び懲戒等の職務規定への関連性の告知等）については、防止・抑止効果が低いとする 意見もある。逆に、情報資産の特定や責任範囲の明確化等、事後対策については、一定の 効果があるとする意見もある。以上のことから、一部では効果が認められる意見と、他では 一定の効果があるとする意見があるため、その効果は限定的と考えられる。 ４.４ 本調査における内部不正のモデル ４.４.１ モデルの策定及び要因分析 インタビュー事例及び判例において、4 つに分類した項目のうち、「不正行為者」と「対象」に注目し、以下の 2 つの内部不正のモデルを抽出した。 ○モデルⅠ：営業職員による個人情報の持ち出し／不正利用 表 25 で示したように、インタビュー調査概要によると、不正行為者は一般社員（営業職を含む）が最も多く、 個人情報を対象とした内部不正の事例が最も多い。なお、営業職員とは、営業に関連した業務に携わる従業 者（元従業者を含む）であり、個人情報の中には、顧客情報や従業員情報などが含まれる。 ○モデルⅡ：開発者による開発情報の持ち出し／不正利用 表 19 で示したように、判例調査によると、不正行為者は開発者が最も多く、開発情報を対象とした内部不 正の事例が最も多い。また、このケースを策定した理由は、開発情報の持ち出し等による不正行為に対して、今 後、一層の留意が必要となることが想定されるからである。なお、開発者とは、開発に関連した業務に携わる従 業者（元従業者を含む）であり、開発情報の中には、ソースコードや設計情報及び社内システムの仕様情報な どが含まれる。

21 _{ISMS： Information Security Management System （情報セキュリティマネジメントシステム）企業や組織で情報を適切}

に管理する仕組みであり、国際規格の ISO/IEC 17799 や ISO/IEC 27000 等を含む。

22_{PMS: Personal information protection management systems（個人情報保護マネジメントシステム）：個人情報の取り}