内部による不正事故を発生させないための対応策
はじめに
昨今、内部不正が原因で、社会的に大きな影響を及ぼす事件が発生していると思います。
たとえばm派遣社員が情報を流出するなど。
こういった事態を回避するためにはどうしたらいいのかを考えてみようと思います。
回避策としての3つの要因
回避策として、以下の3つの要因を把握する必要があると思います。
- 事故の例とその影響
- 原因と対策
- 留意事項、ルール、対応策
これら3つの要因を、社員は把握し業務に取り掛かる必要があります。
何も知らずに取り掛かると、不正事故発生率に大きな差が出ると思われます。
では、実際にどうすればいいのかについては、これからお話したいと思います。
事故の例とその影響
1つ目の把握事項である「事故の例とその影響」についてです。
今まで起きた事故の例を参考に、実際にその事故でどのような影響が出たのかを把握することで、同じようなことを行わないように意識させる意図があります。
例:通信教育大手B社
ある委託先従業員が約3500万件ほどの個人情報をUSB接続でスマートフォンにコピーをし、その情報を複数の名簿会社に売却。 その結果、特別損失として、約260億円が発生。 その後、約130億円の赤字になってしまったのです。
上記例では、搾取した従業員は刑事告発されました。(不正競争防止法違反)
その結果、従業員は逮捕。
10年以下の懲役若しくは1000万円以下の罰金の刑に処されたのです。
このように、事故の例とそれによってもたらされた影響について意識させる必要があります。
原因と対策
二つ目の把握事項である、「原因と対策」についてです。
実際に事故の例と影響について把握したら、次は、なぜこのような不正が起きたのか。
その原因と対応策について把握する必要があると思います。
事故が起きるというのは、4つの観点で対処が不十分だったと言えるのではないでしょうか。
- 不正行為に対する意識
- 組織としての監視
- 情報の適正管理
- 委託先の管理
それぞれの詳細については下記の通りです。
- 不正行為に対する意識
主に不正行為に対する危機意識や、法や事業への影響に対する利会不足が原因であるという意識 - 組織としての監視
不正を誘発しない業務の分担や監視、職場の不満解消やコミュニケーション不足が原因であるという意識 - 情報の適正管理
システム管理者の課題な権限や監視、持ち込み/持ち出し、デバイス等の制限の不備が原因であるという意識 - 委託先の管理
業務に応じた委託判断や選定、現場作業者や再委託先行こうの監督不足が原因であるという意識
これらの対策をきちんとしていれば、不正は起こらない可能性が高くなるはずです。
(それでも起きてしまう可能性もあります。あくまで対応することで、抑えることができるということです。)
では、不正行為を行う社員はどういうときにこの不正行為を行うのでしょうか。
それは主に3つの要因がそろったときに 発生すると言われています。
動機
行動や意思を決定する際の心理的な直接のきっかけ、原因、目的
機会
管理の不足、制限がない等で不正が可能な状況や環境
正当化
責任転換、都合の良い解釈
不正行為を防止するためには、この3つの条件おいずれか、複数を断ち切り、この条件を満たさないようにすることが必要だと思います。
留意事項、ルール、対応策
3つ目の把握事項である「留意事項、ルール、対応策」についてです。
ここでは、実際にどのような対策をすれば良いのかについてお話したいと思います。
上記で述べた4つの意識に対して、以下のように対応します。
不正行為に対する意識…共通的に実施すべき事項を再徹底する
実際には「基本的なルールを守る」や「不正行為は行わないという意識」を持たせることが重要です。
例えば、私品の業務利用を禁止したり、個人情報を管理台帳に登録し、点検・見直しを行い、運用ルールに従って管理するなどが考えられます。
主に、発生させる環境や機会をなくすためのルールを設定することが大切であると思います。
さらには、法律違反となる行為と罰則について、社員に促し、認識させることが重要です。
組織としての監視…システムのログなどの監視や不正行為の発生を防ぐ従業員の管理をする
組織としては、不正要因の排除をしたり、マネジメントによる対応を行うことが重要です。
例えば、単独作業をなくしたり、作業の査閲承認、業務の監査等が挙げられます。
また、コミュニケーション環境を構築することや、業務等の評価、倫理観の育成が重要だと思います。
情報の適正管理…重要情報を扱うシステムの開発運用に対して、不正対策を実施する
システム開発や運用時には、アクセスを制限したり、運用業務を監視したりすることが重要です。
例えば、あるシステムに対して管理者権限を制限したり、入退室を制限したり。
この制限の対策はある意味では一番重要なことなのかもしれません。
さらにするならば、監視カメラの設置やアクセスlogの監視を行うとより、不正防止を抑制することができると考えられます。
最後に
長々と記載しましたが、周りで起こっていることは他人事ではなく、自分に降りかかる可能性があります。
そうならないためにも、組織単位でセキュリティ対策を取り組み、不正に対して理解することが重要だと思いす。