セキュリティ対策と言えば、外部からのサイバー攻撃やウイルス感染への対策をイメージする人が多いかもしれません。
しかし、メディアで報じられる大規模な情報流出事件には内部不正が多いのも事実です。
内部不正には、発生につながる複数の要因があります。
内部不正が起こるメカニズムを分析した「不正のトライアングル」理論について、事例を交えてわかりやすく解説します。
不正のトライアングルとは
「内部不正」は、企業にとってセキュリティ上の大きな脅威のひとつです。
IPAが毎年発表する「情報セキュリティ10大脅威」2022年版では、内部不正が5位にランクインしており、毎年上位に位置しています。
そんな企業で起こる内部不正の要因を分析した理論が、「不正のトライアングル」です。
不正のトライアングルとは、アメリカの犯罪学者ドナルド・クレッシー氏が提唱した、組織内の要員が不正を起こすメカニズムを分析した理論です。
不正のトライアングルの3つの要素が揃ったときに、人は不正行為を働くとしています。
- 動機
- 機会
- 正当化
逆に言えば、3つが揃わなければ不正行為には及びにくいということで、企業が内部不正対策を行う際に活用することが可能です。
不正のトライアングルの3つの要素
不正のトライアングルの3つの要素「動機」「機会」「正当化」について、それぞれ内容を解説します。
動機
1つ目は「動機」です。
内部不正に限らず、人が行動を起こすときには、それによって成し遂げたいこと(=動機)があります。
内部不正の場合には、「ギャンブルで多額の借金を抱えてお金が必要」「きついノルマから逃げ出したい」などが動機となり得るでしょう。
例えば、金銭目的で会社の顧客情報を持ち出して外部の業者に売る、ノルマを達成したように見せかけるために粉飾する、といった内部不正につながります。
機会
2つ目は「機会」です。
機会とは、不正を働くことができる環境のことです。
動機があっても企業の統制や監視が万全で、まったく不正を働く隙がなければ、内部不正を起こしたくても難しいでしょう。
そこに、「申請のチェックが形骸化している」「重要な情報の管理を1人で任されている」などのほころびがあると、内部不正が起こる隙が生まれます。
例えば、経費申請のチェックが機能していなければ、容易に不正需給が可能です。
また、重要情報へのアクセスを相互監視していなければ、簡単に情報の持ち出しができてしまいます。
正当化
最後は「正当化」です。
正当化は、内部不正に至る心理的なスイッチと言い換えられます。
動機や機会があっても、大多数の人は良心や倫理観によって踏みとどまるものです。
しかし、自分の中で犯行を正当化することで実行に移してしまいます。
「みんなやっているから少しくらいならバレない」「給料が低い会社が悪い」などが挙げられるでしょう。
例えば、経費の不正申請が横行している組織では、心理的ハードルが下がります。
また、待遇への不満は、横領や情報売却などの不正行為の正当化につながります。
不正のトライアングルから見る内部不正事例
過去にメディアを騒がせたセキュリティ事案を、不正のトライアングルの観点から見てみましょう。
なお、「正当化」は、不正を働いた本人しか知り得ない部分であるため、明らかになっている情報からの推測になる点はご了承ください。
地方自治体の廃棄ハードディスク転売事案
2019年に発生した、地方自治体の廃棄したハードディスクがインターネットオークションに出品された事件です。
落札者がハードディスクのデータを復元したところ、公文書情報を発見し発覚しました。
ハードディスクを持ち出して転売したとして、廃棄業者の社員が窃盗容疑で逮捕されています。
不正のトライアングルの3つの要素は次のとおりです。
- 動機:小遣い稼ぎ
- 機会:ずさんなチェック体制で簡単に持ち出し可能
- 正当化:入社直後から毎日800〜900回持ち出しているとの情報から、バレないから問題ないだろうという考えに至ったものと考えられる
チェック体制の甘さ(機会)が、継続的な犯行を可能にした事件と言えるでしょう。
通信教育大手の派遣社員による顧客情報流出事案
2014年に通信教育会社の顧客情報、最大3,500万件が流出した事件です。
多くの一般消費者が流出の被害者となり、世間を大きく騒がせました。
他社からの勧誘を受けた会員からの問い合わせで発覚し、データベースの管理を請け負っていたグループ企業の派遣社員が不正競争防止法違反で逮捕されています。
- 動機:ギャンブルによる借金の返済
- 機会:貸与PCからデータベースの情報が持ち出し可能だった
- 正当化:派遣社員であることから、給料が少ない会社や社会が悪いという思いがあった可能性
個人に貸与されたPCから重要情報を持ち出せるセキュリティの隙(機会)が生んだ犯行と言えるでしょう。
大手証券の社員による顧客情報流出事案
2009年に大手証券の顧客情報約150万人分が流出した事件です。
他社からの勧誘を受けた顧客からの問い合わせで発覚し、システム部門の社員が窃盗及び不正アクセス禁止法の容疑で逮捕されました。
- 動機:キャバクラ通いの借金返済
- 機会:異動した社員のIDが削除されず不正利用できた
- 正当化:毎日続くサービス残業のストレスをキャバクラで発散させていたという情報から、待遇への不満が引き金になったものと考えられる
内部事情をよく知る社員によって、ずさんなID管理(機会)の弱点をつかれた犯行です。
不正のトライアングルの要素が生まれてしまう原因
不正のトライアングルの要素は防ぐ必要があるものですが、逆に発生を助長させているという場合もあります。
不正のトライアングの3つの要素が生まれる原因を考えてみましょう。
「動機」が生まれる原因
動機は、大なり小なり誰でも持ちうるものですが、以下のような人は不正への動機を持ちやすいとされています。
- 収入に見合わない生活やギャンブルなどで借金がある
- 会社や家族などから大きなプレッシャーを与えられている
- 野心的で他人より優位に立ちたいという意識が強い
不正を働かざるを得ない、不正をしてでも現状を打開したいという強い思いがあると、内部不正の動機を生むことになります。
「機会」が生まれる原因
不正を働くチャンスが周囲に転がっているかどうかです。
性善説に立って、社員が不正を働くはずがないというスタンスの会社も多いでしょう。
その場合、内部不正に対する統制や監視も甘くなりがちです。
そのような会社では内部者が情報を持ち去ろうと思えば、いとも簡単に持ち出せてしまいます。
また、まさかという人が何かを起こしてしまうという可能性も否定はできません。
管理体制やセキュリティが甘いと内部不正の動機を持つ者にとっては、いつでも犯行を起こせる環境ということです。
「正当化」が生まれる原因
正当化も動機と同じく内面的なもので、個人の資質によるところが大きい要素と言えるでしょう。
不正によって苦しむ人や、不正が明るみに出た場合に企業や自身が受ける制裁や刑罰への想像力の欠如が、自分に都合の良い正当化につながります。
正当化に至るハードルの高さは人それぞれです。
通常の精神状態ならば犯行を踏みとどまれる人が、追い詰められて正常な判断ができなくなることもあります。
不正のトライアングルを踏まえた内部不正の防止策
不正のトライアングルを踏まえて、内部不正を防止するにはどうすればよいでしょうか。
3つの要素を発生させないための対策例を紹介します。
風通しの良い組織づくりで「動機」を軽減
動機は個人の内面的な要素で、誰もが持ちうるものであり、企業が対策するのは難しい要素です。
不正の動機を持たせないことは難しいですが、動機を持ちにくい環境を整えることは可能でしょう。
他人への無関心や不当な待遇、厳しいノルマなど不満を持つ社員が多いと動機が生まれるリスクが高まります。
風通しの良い組織を作ることで、従業員が動機を持ちにくくすることが大切です。
セキュリティ対策で「機会」を排除
機会は3つの中で、企業がもっとも対策をとりやすい要素です。
個人の中に動機や正当化の要素があっても、不正を働ける環境がなければ内部不正を防げます。
情報持ち出しの対策であれば、複数人で作業を相互チェックする、監視カメラをつける、USBメモリなどをパソコンに接続できないようにする、などが考えられるでしょう。
ただし、あまりに締めつけすぎると、会社に信用されていないと不信感を持ったり、業務が非効率になったりして不満がたまり、かえって動機を生むことにつながりかねません。
あまりストレスや窮屈さを感じさせないようにするバランスも重要です。
セキュリティ教育で「正当化」を回避
正当化は個人の良心や倫理観に帰する部分が多く、動機と同じく対策が難しい要素です。
ただ、最後の一線を越えさせないという意味で、社員へのセキュリティ教育は有効な対策と言えるでしょう。
「みんなやっている」「やってもバレない」といった意識が正当化につながります。
企業内でセキュリティやコンプライアンスの研修などを行い、不正行為により企業や個人、家族がどうなるかを周知することで抑止力となることが期待できます。
不正のトライアングルを理解して内部不正を防ごう
不正のトライアングルは、「動機」「機会」「正当化」の3つの要素が揃うと内部不正が起こるという理論です。
逆に言えば、3つのうちどれかを防げば内部不正は起きにくくなります。
企業としてもっとも対策しやすいのは「機会」ですが、社員が「動機」や「正当化」に至らないための職場環境づくりや心のケアも大切です。
セキュリティ対策も不正の「機会」を排除する有効な対策のひとつです。
また、内部不正はデータやファイルの持ち出しや流出がされやすい部分もあります。
安全にデータやファイルを管理するためにも、無料から始められてセキュリティ対策も万全な国産オンラインストレージ「セキュアSAMBA」のご利用をご検討ください。