組織内部者の不正行為による インシデント調査 - IPA 独立行政法人 情報

組織内部者の不正行為による
インシデント調査
-
調査報告書
-
2012 年 7 月
目 次
1.
はじめに ..................................................................................................................... 1
2.
本調査の実施概要 ...................................................................................................... 3
3.
既存調査研究のまとめ ............................................................................................... 4
4.
5.
3.1
海外の調査研究 ....................................................................................................... 4
3.2
国内における既存調査 ............................................................................................ 7
3.3
関連する心理学の理論 ............................................................................................ 9
3.4
本調査における定義と分類 .................................................................................. 12
事例調査 ................................................................................................................... 14
4.1
内部不正の概況 ..................................................................................................... 14
4.2
判例調査概要 ........................................................................................................ 17
4.3
インタビュー調査概要 .......................................................................................... 20
4.4
本調査における内部不正のモデル........................................................................ 24
アンケート調査及び分析結果................................................................................... 26
5.1
アンケート調査概要 ............................................................................................. 26
5.2
集計結果の分析と考察 .......................................................................................... 57
6.
まとめ ...................................................................................................................... 66
7.
参照文献 ................................................................................................................... 68
付録1:事例集(インタビュー調査) ........................................................................... 69
付録2:事例集(判例調査) .......................................................................................... 71
付録3:アンケート調査票 ............................................................................................. 72
CERT は、米国 CERT/CC の登録商標または商標です。
VERIZON, VERIZON BUSINESS などは、米国 VERIZON および、その他の国における登録商標または商
標です。
その他、本書に掲載されている会社名、商品名、製品名などは、一般に各社の商標または登録商標です。
1.
はじめに
企業や組織で、不正アクセスやウイルス感染、情報漏えい等の情報セキュリティの事故(以下、インシデント)
の発生が連日のように報道されている。その被害は増加傾向にあり、ますます深刻化している。近年のインシデ
ントは、これまでの愉快犯的な行為から、経済的利得や組織活動の妨害へと犯罪の目的が変化・多様化して
いる。
インシデントは、発生場所の観点から、組織の外部からの攻撃と内部における不正行為の大きく 2 つに分類
することができる。組織外部からのサイバー攻撃は、インターネットから組織のネットワークへのウイルスや
DDoS 攻撃、標的型攻撃メール等がある。一方、組織内部で起きるのが、内部者による不正行為である。内部
者は、情報や情報システムにアクセスする権限を持つ者の場合が多く、アクセス制御等による技術的な対策の
みでは限界がある。そのため、不正行為が発生する環境要因や心理的要因等についても考慮する必要があ
る。
インシデントの発生状況をみると、米国 CERT の 2011 CyberSecurity Watch Survey では、2010 年に
発生した全てのサイバー犯罪のうち、標的型攻撃などの組織の外部からの攻撃に起因するものが 73%を占め、
残りが組織の内部者による不正行為によって引き起こされたものと報告されている。
また、Verizon のレポートである 2012 Data Breach Investigations report[1] では両者の差が更に顕
著で、全データ漏洩/侵害事例において、外部からの攻撃によって引き起こされたものの割合が95%であるの
に対して、内部者によるものは(業務上のビジネスパートナーによるものを含めても)わずか 3%しかない(残り
の 2%は内部と外部の両方に関わるもの)。このように、サイバー犯罪の発生件数は、外部からの攻撃によるサ
イバー犯罪が大きな割合を占めている。また、日本ネットワークセキュリティ協会(以下、JNSA1)が 2010 年に
実施した「2010 年のインシデントに関する調査」2によると、内部者の不正行為3による個人情報の漏えいに関
するインシデントは 2005 年から 2010 年の間、毎年の全ての漏えい人数のうち、4%から 30%を占めている。
インシデント発生による被害額の観点では、前述の CyberSecurity Watch Survey の報告によると、外部
からの攻撃によるものと、内部者の不正行為によるものについてどちらの被害額が大きいかの質問に対して、
外部からの攻撃が 38%であり、内部者による不正行為が 33%であった。このように、件数は少ないものの、組
織が受ける被害額の大きさでは、同程度の割合と認識されており、内部者による不正行為は看過できないも
のである。内部者は価値のある重要な情報の場所を知っており、社内の情報システムの知識やアクセス権をも
つことから、内部者による不正行為が発生すると被害が大きくなると考えられる。例えば、Ponemon Institute
が発表した、Second Annual Cost of Cyber Crime Study によると、内部者の不正行為による年単位で計
算された 2010 年、2011 年の平均被害額はおよそ 10 万米ドルであり、これは Denial of Service(約 19 万
米ドル)、Web-based attacks(約 14 万米ドル)、Malicious code(約 12 万 5 千米ドル)に次いで大きい額
である。 (ボット、ウイルスなどによる平均額はおよそ 2 千米ドルである)。
これらから内部者による不正行為は、組織として対策を講じなければならない重要な課題の 1 つであること
は明らかである。しかし、国内における組織の内部者による不正行為に関する国内での実証的な取り組みは、
2010 年に公表された(財)社会安全研究財団による「情報セキュリティにおける人的脅威対策に関する調査
報告書」[1] があるのみである。この報告書では、サイバー犯罪で検挙された事例として、悪意を持った内部者
の不正行為を対象に分析している。ただし、JNSA が 2010 年に実施した「2010 年のインシデントに関する調
査~発生確率編~」によると内部者の不正行為には、必ずしも悪意を持っていたとは言い難い「うっかりミス」
や業務遂行上迫られた「ルール違反」等の事案が多数あると指摘しているものの、そのような犯罪として立件
に至らない事例は含まれていない。内部者の不正行為に関して、犯罪として立件に至った重大なインシデント
1
JNSA:Japan Network Security Association
http://www.jnsa.org/result/incident/2010.html
3
JNSA の調査では、社員、管理下にある他社社員(派遣社員など)が、不正アクセス、その他の不正な行為によって情報を持ち
出して悪用した場合を「内部犯罪・内部不正行為」と定義し、本調査で対象となる内部者の不正行為を含んでいる。
2
1
の事案の分析である。この重大なインシデント(情報セキュリティの事故)は、ハインリッヒの法則の重大な事
故・災害と捉えることができる。ハインリッヒの法則では、1 件の重大な事故・災害の背景には、29 件の軽微な
事故・災害が起こっており、300 件もの「ヒヤリ・ハット4」が起きていると言われる。犯罪として立件に至った重
大なインシデントの背景にある、犯罪として立件に至らなかったものや、ヒヤリ・ハットに関するものも発生しない
ように対策を講じる必要がある。
内部者による不正行為の対策を検討するには、犯罪として立件に至らない事例やヒヤリ・ハットに関する事
例について情報収集が必要である。しかし、これらの情報は、「風評被害が発生する恐れ」や「利害関係者との
調整がつかない」等の理由から公開されることが稀であり、情報共有も困難である。したがって、実態が把握さ
れておらず、これまで内部者による不正行為の発生しやすい環境や、効果的な対策等の検討が難しかった。
本調査は、内部者による不正行為の対策を検討していくために、内部者による不正行為に関する実態を明ら
かにする基礎的な調査である。ここで、以降、「うっかりミス」、「企業内のルール違反」等を含めた全体の内部者
の不正行為を「内部不正」とし、その中で、犯罪として立件に至ったものを特に「内部犯行」と呼ぶこととする。
本調査では、内部不正の誘発要因、及びそれに対する抑止・防止対策の考察に関して、既存調査[2]とは異
なるアプローチをとる。既存調査では、調査対象事例を基に誘発要因を導出し、対策を考察している。それに対
して本調査では、組織に所属する幅広い人々を対象として内部不正に関わる実態を明らかにするために、Web
アンケートを使って意識調査を行い、その中で主に、どのような要因が不正行為をしたいという気持ちをどの程
度高めるか、どのような抑止・防止策が不正行為への気持ちをどの程度低下させるかに関して尋ねるという方
法をとる。
4
重大な事故や災害に至らないが、重大事故につながりかねない事故寸前の危険な事例のこと
2
2. 本調査の実施概要
本調査は、図 1 の流れのように、文献調査と事例調査を行って事例を分析し、事例分析をもとに内部不正
の誘発要因や効果的な対策についてアンケート調査を行い、その結果を考察した。以下に、本調査の流れや実
施内容について説明する。
・ 文献調査 (3 章)
内部不正に関する国内外の関連調査報告書や、犯罪を心理学や環境の観点から捉えた研究につ
いて調査した。
・ 事例調査 (4 章)
内部不正の調査に関わった調査員、対策を立案するコンサルタント、企業の CISO、及び法律家な
どの協力を得て内部不正に関して未遂(1 件)も含め、20 件の事例を収集した。その際、公開されて
いる内部犯行の事例と比較するために判例調査も行い、10 件の事例を収集した。
・ 事例分析 (4 章)
収集した事例から、内部不正と内部犯行の傾向の比較や、内部不正者の特性に関する分析を行い、
代表的な2つの想定モデルを策定した。そして、この 2 つの想定モデルの内部不正の誘発要因につ
いて考察した。
・ アンケート調査 (5 章)
内部不正対策される側の社員や職員を対象にした 3,000 人の Web アンケートと、内部不正対策
する側の経営者及びシステム管理者を対象とした 110 人のアンケートの 2 つを実施した。社員や
職員への Web アンケートでは、事例分析の代表的な 2 つの想定モデルをもとにシナリオを設定し、
そのシナリオにおいて、内部不正の誘発要因や効果的な対策について質問した。また、経営者及び
システム管理者へのアンケートでは、効果的な対策について質問した。これらのアンケート結果を集
計・分析した。
・ まとめ (6 章)
本調査の結果をまとめる。
文献調査
アンケート調査
事例分析
事例調査
図 1 調査概要図
3
まとめ
3. 既存調査研究のまとめ
本章では、内部不正に係る既存の関連調査や研究を紹介し、これらの調査や研究を参照して、本報告書の
内部不正者や内部不正の定義、内部不正の分類や引き起こす要因等を示す。海外の調査研究を3.1節、国内
の調査を3.2節で述べる。さらに、内部不正者の心理面や行動面から予防・防止するという観点から犯罪心理
学について3.3節で述べる。
3.1
海外の調査研究
米国では、CERT の Insider Threat Study team5が 1996 年から 2002 年までに 150 の内部犯行の事
例を収集し、重要インフラを含む特定部門の事例分析を行い、2009 年に発表した”Common Sense Guide
to Prevention and Detection of Insider Threat”[8]の中で内部犯行の予兆の検知、犯行に対する防護
のためのベストプラクティスを公表している6。本節では、CERT の調査研究における内部犯行者の定義や内
部犯行の分類等について概説する。
3.1.1
CERT Insider Threat Study による内部犯行の定義
CERT が 2008 年に報告している Insider Threat Study(以降 ITS)[7] では、内部犯行者を定義し、内部
犯行を 3 つに分類している。内部犯行者の定義は、表 1 の 3 つの条件を満たす者としている。なお、内部犯行
者の定義や内部犯行の分類概要などの和訳は、国内調査[1] を参照した。
表 1 内部犯行者の定義
・現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー
・組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持って
いる、もしくは持っていた者
・意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をも
たらした者
ITS では、内部犯行を 3 つに分類し、それぞれの概要と特徴を示している。また、内部犯行のポイントについて
もまとめている。内部犯行の分類及び特徴を表 2、内部犯行のポイントを表 3 に示す。
表 2 内部犯行の分類概要及び特徴
分類
概要
1
システム悪用
(Employee Fraud)
特徴
概要
2
5
6
情報の持ち出し
(Theft of Information)
概要・特徴
組織の財やサービスをごまかし(deception)やぺてん(trickery)で手に入れる
・ しばしば内部者の金銭的問題が関係する。
・ 1/3 のケースで、外部の手引き者が存在した。情報改ざんについては、同
僚がおぜん立てすることが多い。
・ 内部脅威者のストレスを引き起こすものが観察される。(例えば借金、家族
問題等)
機密や知財に関連する情報などを組織から盗み出す
・
特徴
内部脅威者は、情報窃取のリスクに関連する個人的な傾向(personal
predispositions)をもつ。たとえば、期待に反した待遇(報酬、昇進、オンラ
イン活動への自由、倫理感、プロジェクト期限等他)についての不満を持っ
Insider Thread Center , http://www.cert.org/insider_threat/
Insider Thread Center , Insider Threat Study http://www.cert.org/insider_threat/study.html
4
分類
概要
3
破壊行為
(IT Sabotage)
特徴
概要・特徴
ている。
・ 組織を辞めた後に侵入可能なように、アクセス経路を作っていることが多
い。
・ 前兆があるが、ほとんどの場合、組織は技術的な前兆を見落としている。
・ 管理者は、前兆を見逃がさないようにモニタリングをすべきで、そのように
ポリシーを策定すべきである。
・ 信頼(Trust)は、リスクを軽減する。
特定個人、組織(含む組織のデータ、システム、日常業務)に損失を与えるという
意志に基づいた悪意ある行動
・ IP7を金銭目的で売ろうとするものは少なく、むしろ、転職や起業などの際
の自己のビジネスの優位のため、また、外国政府などへ持ち出す。
・ IP を盗む者は、たいてい、科学者、エンジニア、プログラマやセールスパー
ソンである。
・ 盗む対象は、通常の業務で扱っている情報が多いので、これを防ぐのは困
難である。
・ 転職、処遇などの組織への不満、肩書などはすべて情報を盗む意思決定
に影響する。
・ 情報は、さまざまな手法を使い、退職から 1 ヶ月以内に盗まれている。
・ 退職の 1 ヶ月前と 1 ヶ月後の合わせて 2 ヶ月のモニターが必要である。こ
の間の外部とのやり取りをすべてログしておくべきである。
表 3 内部犯行調査で明らかになったポイント
1.
多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している
2.
多くの内部犯行者の不満は期待が裏切られたことに端を発する
3.
処罰や(従業員にとって)好ましくない出来事が破壊行為の発生確率を上げる
4.
多くの場合、犯行の兆候を示す振る舞いが確認されている。しかしそれらは看過さ
れる
5.
内部犯行者は侵入するため、そして痕跡を隠すために組織の経営層に気づかれぬ
ように裏口を設ける。大半の行為は退職後にその裏口を用いて行われる
3.1.2
6.
組織は技術的な前兆を見落としている
7.
物理的、技術的アクセス制御の欠如が破壊行為を容易にする
知的財産等を対象とした既存調査
知的財産に係る内部犯行が近年注目されていることから、CERT は知的財産を対象とした内部犯行を積極
的に分析しており、2010 年に「Spotlight On : Insider Threat from Trusted Business Partners」[11] を
公表している。この調査報告書では、知的財産(Intellectual Property:以下 IP とする)を特許、著作権、商標、
意匠、科学的公式、ソースコードの一部であり、顧客に関する機密情報のような財産的な情報(Proprietary
Information)を含めた独自・創造的な発想と定義している。そして、内部者である「信頼あるビジネスパートナ
ー(Trusted Business Partner(以下、TBP))」による IP の盗難のケースに焦点を当てて考察している。TBP
やこれに関連した項目に関して、同調査では表 4 のように定義している。
7
Intellectual Property (知的財産)
5
表 4 知的財産に関する内部犯行の定義及び分類
用語
定義内容等
内部者が IT を利用し、IP を組織から盗むことを指す。但し、ID8の盗難は除かれ
る。
契約に基づいて、ある組織(企業、団体)に向けてサービスを提供する外部企業・
団体(組織的 TBP)または部外者(個人的 TBP)を指す。このサービスを提供する
ためには、組織は、TBP に対して特許データ、重要資料、内部インフラの構成等
の情報へのアクセス権限を提供しなければならない。組織的 TBP の例としては、
組織から、顧客向けのサポート業務を委託された企業があり9、一方、個人的 TBP
の例としては、その組織と個人契約を締結するコンサルタントや契約社員及び臨
時の社員(パートタイム)等が含まれる10。
IP の盗難
TBP
TBP に関係する内部犯行の事例は、「内部犯行者のポジション」、「アクセス権限の種類」、「場所」、「動機」、
大きく 5 つの内部犯行の項目に分類されている。各 5 項目において、2 つの TBP(組織的 TBP、個人的 TBP)
と詳細化した種類で発生割合として、表 5 のような結果を得ている。
表 5 IP 盗難事例の詳細
項目
犯行者のポジション
アクセスの種類
種類
技術系
79%
非技術系
73%
21%
許可済み
100%
38%
未許可
対象組織
TBP と対象組織の双方
リモート環境
内部犯行分類
0%
62%
82%
53%
0%
3%
18%
0%
0%
44%
システム悪用
82%
12%
情報の持ち出し
18%
24%
0%
65%
破壊行為
経済的利得
動機
個人的
TBP
27%
TBP
場所
組織的
TBP
73%
12%
復讐
0%
53%
競合
8%
18%
名声・風評
8%
3%
不明
8%
15%
TBP との関係も含めた内部犯行の低減及び検出に関するアドバイスは表 6 の通りである。
ID:Identification
このような組織と組織的 TBP との関係は、組織的関係(organizational relationship)とレポート内で呼ばれている。
10 このような組織と個人的 TBP との関係は、個人的関係(individual relationship)とレポート内で呼ばれている。
8
9
6
表 6 内部犯行の低減・検出に関するアドバイス
1. TBP のポリシーと処理手順を理解すること11
2. アクセスが許可された IP をモニターすること
3. アクセス権限を管理すること
4. TBP の人事ポリシーと処理手順を理解すること12
5. 職場で起こるネガティブな問題点を予測し、管理すること
6. 関係者のアクセス権限を削除した際、システム上でも確実に実施すること
7. 責務の分離を強化すること
8. 情報を保護する責任が TBP にもあることを、明確に契約に記述すること
3.2
国内における既存調査
国内における事例に基づいた分析として注目すべき文書は、(財)社会安全研究財団 より 2010 年 3 月
に公表された「情報セキュリティにおける人的脅威対策に関する調査報告書」[1] である。
この報告書では、CERT の分析や調査を参照し、警察機関の有する事件資料を基にした内部犯行の事例
調査について報告している。
この報告書では、収集した 30 事例について多次元尺度法(Multi Dimensional Scaling)13による事件の
類型化を行い、事例を「システム悪用」「情報流出Ⅰ(道具的犯行)」「情報流出Ⅱ(表出的犯行)」「破壊行為」
の 4 つのタイプに分けている。「情報流出Ⅰ(道具的犯行)」は、CERT の報告書の表 2 の「情報の持ち出し」
に対応しており、「情報流出Ⅱ(表出的犯行)」を追加している。「情報流出Ⅰ(道具的犯行)」「情報流出Ⅱ(表
出的犯行)」の定義は以下のとおりである。
・情報流出Ⅰ(道具的犯行):
「情報持ち出しなどの違反行為が、ある目的(たとえば情報売却による金銭獲得)に沿った合理的な手段
となっている」事例
・情報流出Ⅱ(表出的犯行):
「情報持ち出しなどの違反行為が、心理的満足を得る(たとえば鬱憤晴らし、情報を把握することで心理的
な優位性を保つ)手段となっている」事例
4 つのタイプの特徴を把握するために、表 7 のように「個人的・人格的特徴」「環境要因」「犯行状況」につい
て示す。
11 ここで言うポリシー、手続きとは、組織的 TBP 内での物理的セキュリティ、従業員教育、従業員の経歴調査、セ
キュリティ対応手順、或いはその他の(不測の事態に備えての)防護策などのことである。
12 TBP は従業員の経歴を徹底的に調査し、大丈夫と判断してから重要なデータの扱いを任せることを、TBP と業務
契約を結んでいる組織は主張すべきと、ここでは言っている。
13 分類対象物の関係を低次元空間において点の布置で表現する多変量解析の一手法。
7
表 7 国内調査による内部犯行の特徴
内容及び特徴
種類
情報流出Ⅰ
(道具的犯行)
情報流出Ⅱ
(表出的犯行)
破壊行為
業務の専
門性
職場への
不満
業務で使用している端
システム管理などの
末が使用できる程度の
相対的に高い IT 技 情報流出Ⅰと同じ 情報流出Ⅰと同
IT 技術の者が多くを占
術を有する者が多
傾向。
じ傾向。
めていた。(高い IT 能
い。
力を有さない)
分業化され、専門化された業務に就いている者が多く、業務の監視性については、全体的
に低い状況であった。
何らかの不満を抱えて 不満を感じていない
システム悪用と同
情報流出Ⅰと同
いる者が多い。
者が相対的に多い。 じ傾向。
じ傾向。
動機
経済的な逼迫感。
その他
個々の事例や分類によって大きく異なり、日常業務で使用していたシステムに、組織の内
部または外部からアクセスして犯行を行った事例や、情報収集のためキーロガーを利用し
ていた事例、他の従業員のメールを自宅で自動受信設定していた事例もあった。
個人的・人格的な特徴
(IT 能力/技術)
環境要因
システム悪用
犯行状況
システム悪用と同じ
傾向。
嫌がらせや鬱積し
た感情の発散。
情報流出Ⅱと同
じ傾向。
また、ルーティンアクティビティ理論[3] (2.3.1節)を用い、内部犯行発生に不可欠な 3 つの要素(「動機づ
けられた犯罪者」「潜在的な被害者」「監視性の低い環境」)の観点から、実施可能な対策を考察している。例
えば、「動機づけられた犯罪者」では、時期に応じた対策と情報システム面からのポイント(システム開発者、運
用者による犯行を防ぐための対策)は表 8 の通りである。
表 8 国内既存調査における対策のポイント
対策・ポイント
詳細項目
内容
・採用予定者が担当することとなる職務を遂行するために必要な
適性を有しているかのチェックを行う。
入社前
・情報及び情報システムの取り扱い及び利用に関して契約に盛
り込み及び違反した場合の措置についても書き込んでおく。
時期に応じた対策
・労働条件、処遇条件について採用時に明確化しておく。
在職中
・職場全体のコミュニケーションを良くしておく。
・抑止システムの整備及び兆候の把握。
退職期
コミュニケーションが重要、アカウントの無効化。
退職後
退職後もモニターが必要であることを認識すべき。
システム開発者・運用者による犯行を防ぐための対策として以
下のポイントがある。
情報システム面からのポ
イント
システム運用
・システム開発・運用は複数の者で担当する。
・システムへのアクセス権限を適切に管理する。
・実際の業務に当たっても一人に任せきりにしない。
・チェックシステムを導入しておく。
8
3.3
関連する心理学の理論
不正行為者が、その置かれた環境との相互作用に影響されることを前提とし、その環境について一定のパ
ターンを分析、導出できれば、その結果を予防に利用できると考えられる。本節では、内部不正の分析に関係
すると考えられる犯罪心理学や環境犯罪学の 3 つの理論(ルーティンアクティビティ理論、状況的犯罪予防、
不正のトライアングル)について概説する。
3.3.1
ルーティンアクティビティ理論
犯罪心理学では、集団や犯罪行為に影響を与える犯罪者の行動と心的プロセスを分析している。図 1 に示
すのは、犯罪の三角形といわれるものである。ルーティンアクティビティ理論(Routine Activity Theory)では、
犯罪者、犯行対象物、場所の 3 つの要因が重なった場合に犯行が発生するとしている。犯罪を未然に防ぐため
にはこれらを同時に起こさないよう、外側の三角形で表現している要素「監視者」「行動規制者」「管理」が必
範
罪
者
犯
規
者
所
動
対策
(動機づけられた)犯罪者
行動規範者
(潜在的な)犯行対象物
監視者
(監視性の低い)場所
管理者
理
場
行
要因
管
者
要であることを示している。
問題
犯行対象
監視者
図 1 ルーティンアクティビティ理論の概要図
(出典) (財)社会安全研究財団:「環境犯罪学と犯罪分析」[3] より引用
3.3.2
状況的犯罪予防
ルーティンアクティビティ理論では、違反者の意図や目標対象に対して、外部からのコントロールや抑止が
困難な場合もある。一方で、監視者の設置などによって外部からのコントロールを可能な「環境」を適切に定め
ることを主眼として、犯罪機会の低減、予防する研究に、状況的犯罪予防の理論がある。状況的犯罪予防とは、
「ある特定の犯罪問題を削減するための、極めて実践的かつ効果的な手段」と定義され、犯罪に関連する多く
のプロセスや要因について予防するための方策を検討するために用いられる。状況的犯罪予防は、犯罪予防
策として表 9 の 5 つに分類される。
表 9 状況的犯罪予防における犯罪予防策の 5 分類
(1) 犯行を難しくする:技術的な対策を強化することで犯罪行為を難しくする
(2) 捕まるリスクを高める:管理や監視を強化することで捕まるリスクを高める
(3) 犯行の見返りを減らす:犯行を難しくするための技術的対策によって、犯行者から適切な目
標物を遠ざけることや隠すことが困難な場合に適用
(4) 犯行の挑発を減らす:外部からの挑発による犯罪行為を抑止
(5) 犯罪を容認する言い訳を許さない:犯行者による自らの行為の正当化理由を排除する
9
状況的犯罪予防には、直接的に犯罪を防止する対策から間接的に犯罪を防止及び抑止する対策まで含ま
れている。上記で説明した 5 分類は、更に各々5 つに細分化されており、合計で 25 分類の対策が定義されて
いる。状況的犯罪予防を参考にすると、25 分類の対策の観点から犯罪防止および抑止について検討可能で
ある。図 3 では、この 25 分類を情報セキュリティ対策に対応させた例を示している。
3.3.3
不正のトライアングル
ACFE の創設者でもあるドナルド・R・クレッシーは、横領の発生要因は脆弱な内部統制や不十分な監視シ
ステムが根本的な原因ではなく、当事者が雇用主の信頼に意図的に背くことにより不正行為が発生すると分
析している。具体的には、動機・プレッシャー(他人に打ち明けられない経済的な問題)を抱え、機会(この問題
が自分の経済的に信頼されている立場を利用すれば、秘密裏に解決できること)を意識し、正当化(その解決
策を実行しても、信頼された人物としての自分のイメージを損なわないですむような理由付け)を考えつく時に
発生すると考え、この「動機・プレッシャー」、「機会」、「正当化」を不正のトライアングルと定義している14(図 2
を参照)。
不正のトライアングルに基づいて内部不正対策を行う場合には、不正のトライアングルの 3 つの要因に関し
て低減する対策を検討することになる。例えば、作業のモニタリングを実施する等の対策を実施することで内部
不正を行う「機会」を低減させて、内部不正の件数の低減を図ることができる。
動機・
プレッシャー
機会
正当化
図 2 不正のトライアングル
14
Donald R. Cressey "Fraud Triangle"、及び Other People’s Money : A Study in the Social Psychology of
Embezzlement
10
犯行を難しくする
捕まるリスクを高める
犯行の見返りを減らす
1.犯行対象を防御的に強化する
6.監視者を増やす
11.標的を隠す
・スクリーンロックの設定
・アクセス制御の設定
・退職者の ID 削除/確認者設置
・パスワードポリシーの設定
・PC の物理チェーンロック、固定具
・盗用防止スクリーン
・複数人での作業環境の設定
・防犯ベルの設置
・特権階級の分散化/管理者の増員
・個人情報売買の監視
・アクセスログの監視
・電子ファイルのアクセス権限の設定
・PC/USB メモリの保管場所設定
2.施設への出入を制限する
7.自然監視を補佐する
・ID カード(身分証明)の確認
・電子カードアクセス
・手荷物検査
・守りやすい空間の設計(外部から見えるガ
ラス面積の拡大)
・オフィスのフリースペース化
・投書箱による密告者をサポートする
3.出口で検査をする
・ID カード(身分証明)の確認
・手荷物検査
・メールやネットの監視
犯行の挑発を減らす
犯罪を容認する言い訳を許さない
16.欲求不満やストレスを減ら 21.規則を決める
・情報セキュリティポリシーの策定
す
・職場での円滑なコミュニケーショ
ンの推進
・上司や同僚に頻繁に相談できる環境
整備
・適切な人事・作業管理(業務量の軽
減)
・個人情報管理策の作成
・就業規則
・障害対策等の手順の明確化
・管理/運用策の策定
・雇用契約
12.対象を排除する
17.対立を避ける
22.指示を掲示する
・電子ファイルのアクセス権限の設定
・PC の持込許可制度
・業務上で必要な閲覧項目を絞る
・紙の廃棄/溶解処理
・情報セキュリティの管理部門を設置
し、上司との対立を避ける
・適切な人事・作業管理(業務量の軽
減)
・情報セキュリティポリシーの掲示
・個人情報管理策の掲示
・就業規則の掲示
・目的外利用の禁止の掲示
・不正事例の掲示(匿名)
8.匿名性を減らす
13.所有物を特定する
18.感情の高ぶりを抑える
23.良心に警告する
・ID カード、社員バッチの携帯
・ID による管理
・持ち出し台帳による管理
・PC/USB メモリに登録番号シールを
つける
・電子ファイル/紙ファイルに管理番号
をつける
・複写台帳管理
・パワハラの禁止
・人種的中傷の禁止
・適切な人事・作業管理(業務量の軽
減)
・持ち出し厳禁であることを掲示
・管理レベルを表示/印字
・不正競争防止法などの研修・教育
・ルール厳守への自己サイン
4.犯罪者をそらす
9.現場管理者の利用
14.市場を阻止する
19.仲間からの圧力を緩和する
24.遵守を補佐する
・通路/出入り口の閉鎖
・物理レベルに応じた入退制限
・金属探知器
・CCTV(監視カメラ)の設置
・機密情報へのアクセスは複数人による作
業制限
・不正競争防止法
・不正監査/不正検査
・個人情報売買の禁止/監視
・適切な人事・作業管理(業務量の軽
減)
・利用 PC/USB メモリの登録管理/貸
出規則を簡単にする
・施錠保管キャビネットの設置
・シュレッダーの設置
・相談窓口の整備
5.道具や対抗手段を制御する
10.フォーマルな監視体制を強化す 15.利益を否定する
・重要情報の暗号化
る
20.模倣犯を阻止する
25.薬物・アルコールを規制す
る
・非登録の PC/CD/USB メモリの持込/持
出/書出し禁止
・携帯電話の持ち込み禁止
・メールやネットの利用制限・禁止(フィルタ
リング等)
・侵入警報装置
・警備員
・重要情報にノイズや電子透かし
各種ウォーターマークを注入
・インシデントの手口の公開を慎重に
する
・インシデントの証跡を残さない
図 3 状況的犯罪予防(ITセキュリティ対策版)
(出典)5 カテゴリ 25 分類は、(財)社会安全研究財団:「環境犯罪学と犯罪分析」 P191 を参考とし、セキュリティ対策の例を作成
11
・職場での飲酒禁止/検査
・アルコールなしの行事
3.4
本調査における定義と分類
CERT や社会安全研究財団の調査や研究では、組織内で発生した犯罪を対象としており、内部犯行を防ぐ
ために多くの示唆を与えている。
本報告書は、組織内で発生したインシデントとして、内部犯行を含む内部不正を対象としている。国内の組
織などでの情報漏えい事案などをみると、情報セキュリティの内部の不正者によるルール違反等は、必ずしも
悪意がないものや、犯罪として立件されないものが多く含まれている。前述したハインリッヒの法則を内部不正
に適用すると、内部犯行を重大な事故とし、裁判に至らないケースやルール違反を軽微な事故やヒヤリ・ハット
として位置付けることが可能である。内部犯行と内部不正はインシデントの規模のみが違うと考えると、内部不
正の調査では、ITS 及び国内の調査研究の内部犯行の予兆や対策のポイントなどが参考になると考えられる。
したがって、本調査では CERT と(財)社会安全研究財団の報告書 [2](以降、既存調査という)における定義
を参考にして、内部不正者の定義や内部不正について分類する。
3.4.1
内部不正者の定義
既存調査では、内部犯行者を、「正当なアクセス権限を所持している。または、正当なアクセス権限を所持し
ていた」と定義している。
本調査の事例では、アクセス権限を持たない者による不正行為(上司が使用している USB メモリを不正に
入手する等)も見られ、このような事例を含めることで、より多くの事例を調査対象とすることができると考えら
れる。以上のことから、本調査の内部不正を行う者の定義は、「アクセス権を持っていない者」も含め、その定義
内容を表 10 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。
表 10 本調査における内部不正者の定義
1. 現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー
2. 組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持っている
者、及びアクセス権を持っていない者
3. 意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をもたら
した者
3.4.2
内部不正行為の対象情報及び分類
既存調査では、内部犯行の分類である「情報持ち出し」で対象となる情報は、「機密や知財に関する情報」
である。また、「道具的犯行」で対象となる情報は、「換金のための情報」と定義されている。
一方、本調査の対象範囲を考慮した場合、「情報持ち出し」で対象となる情報は、機密や知財に関係ない情
報や重要な情報とはいえない情報(例えば、職場の雰囲気や上司の近況情報などの情報)なども考えられる。
また、換金の目的では、情報のみでなく、PC 等の物理的な情報資産の持ち出しも考えられる。
「道具的犯行」及び「表出的犯行」で対象となる情報でも、上司の近況情報など、換金のための情報とはい
えない情報もあることが考えられる。これらの機密や知財に関係ない情報や換金のための情報とはいえない
情報は、企業内で重要情報と定められていない場合も考えられるが、その情報が漏えいすることで間接的に
企業に負の影響を与える場合も考えられる。
以上のことから、本調査の内部不正で対象とする情報の定義は、「その他の情報」も含め、その分類内容を
表 11 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。
12
表 11 本調査における内部不正の分類
1. シ ス テ ム 悪 用 (Employee Fraud) - シ ス テ ム 悪 用 : 組 織 の 財 や サ ー ビ ス を ご ま か し
(deception)やぺてん(trickery)で手に入れる
2. 情報の持ち出し(Theft of Information) - 機密や知財に関連する情報及びその他の情報資産
などを組織から盗み出す
・
「道具的な犯行」:情報セキュリティの違反行為が金銭的な利得を得るための不正。換金の
ための情報及びその他の情報や情報資産を獲得するといった目的に沿
った合理的な手段として不正が行われる。
・
「表出的な犯行」:蓄積した不満の発散や嫌がらせによる不正。情報の把握、持ち出し、公開
等を行うことで心理的な優位性を保つなど、心理的満足のために情報セ
キュリティ違反行為がなされている。
3. 破壊行為(IT Sabotage) - 特定個人、組織(組織のデータ、システム、日常業務含む)に損失を
与えるという意志に基づいた悪意ある行動
13
4. 事例調査
本章では、はじめに公開情報をもとに内部不正の概況を述べたのちに、具体的な事例調査として裁判の判
例調査とインタビュー調査の結果を説明する。また、これらの事例調査の結果から本調査における内部不正の
モデルを示す。そして、そのモデルから内部不正の発生要因について分析した。
4.1
内部不正の概況
CERT や Verizon の報告書では、内部不正が原因となったインシデントの割合について述べられている。本
節では、内部不正の発生に関して、断片的ではあるが情報を提供しているものを紹介する。
Computer Security Institute (CSI)の 2010/2011 Computer Crime and Security Survey によると、
回答者である 149 人の IT 管理者のうちマルウェア感染を報告した企業が 67%もあったのに対して、内部者に
よる業務目的以外のコンピュータの使用を報告したのは 25%、不正アクセス、権限昇格は 13%となっている。
Cyber-Ark による Snooping Survey 2011 によると、職場で破壊行為、或いは IT セキュリティ違反行為
に遭遇したことがある IT 関連スタッフ及び役職の人の数は、全体の 18%を占めている(表 12 参照)。これ以
外にも、全体で 24%の回答者が自身で、或いは同僚が不正アクセスを行ったことがあると答えている(表 13
参照)。
表 12
職場で破壊行為、或いは IT セキュリティ違反行為に遭遇した人の数、割合
EMEA15
US
C-Level
人数
%
人数
%
人数
%
遭遇した
121
21%
137
16%
11
16%
遭遇していない
303
54%
452
53%
44
63%
分からない
139
25%
269
31%
15
21%
合計
563
100%
858
100%
70
100%
(引用)2011 年度版 Snooping Survey、Cyber-Ark16
表 13
機密情報にアクセスするために管理者パスワードを使用したことがある、或いは同僚がそうしたことが
ある人の数、割合
EMEA
US
C-Level
人数
%
人数
%
人数
%
使用あり
177
31%
175
20%
18
25%
使用なし
228
41%
420
49%
34
48%
分からない
158
28%
264
31%
19
27%
合計
563
100%
859
100%
71
100%
(引用)2011 年度版 Snooping Survey、Cyber-Ark
Cisco による白書”Data Leakage Worldwide: Common Risks and Mistakes Employees
Make”では、10 か国で従業員 100 人、IT 管理者 100 人に対して行われた調査のうち、以下の 5 つの
内部不正に関して、調査結果が報告されている。
(1)会社内で使用許可の無いアプリケーションの利用
 従業員全体のうち、78%が会社内のパソコンから個人使用の e-mail にアクセスしたことがある。
15 Europe, the Middle East and Africa の略
16 Cyber-Ark http://www.cyber-ark.com/downloads/pdf/2011-Snooping-Survey-data.pdf
14
 従業員全体のうち、63%が、会社のパソコンを業務目的以外(たとえばオンラインショッピング、インタ
ーネットバンキングなど)に毎日利用している。
 従業員全体のうち、83%が、会社のパソコンを業務目的以外に時々利用している。
 IT 管理者全体のうち、70%は、会社で発生するデータ漏洩・損失事故の半分は、そのような従業員
のパソコンの利用に起因していると信じている。
(2)業務で利用するコンピュータの悪用
 中国では 42%、ブラジルでは 26%、インドでは 20%の従業員が、会社のセキュリティポリシーを無視
し、設定を迂回している。
 ブラジルでは 47%、インドでは 27%、イギリスでは 26%、イタリアでは 22%、ドイツでは 24%の従業
員が、会社の機密情報を部外者と共有したことがある。
 中国では 43%、インドでは 28%の従業員が、会社で使用する機器を管理者に無断で、部外者と共
有したことがある。
 全体では、32%の回答者が仕事上で使用する機器を同僚と共有、19%が家族、友人と共有したこと
がある。
 63%が少なくとも、1 日に 1 回は会社の PC を個人使用している。
(3)不正アクセス
表 14
従業員によるネットワーク、或いは立ち入り禁止区域への不正アクセスのケースに遭遇したことがある
IT 管理者の割合。
アメリカ
ブラジル
イギリス
フランス
ドイツ
遭遇した
46%
49%
36%
30%
26%
遭遇していない
47%
41%
55%
63%
62%
7%
10%
9%
7%
12%
分からない
イタリア
中国
日本
インド
オーストラリア
全体
遭遇した
40%
63%
28%
37%
30%
39%
遭遇していない
48%
32%
64%
49%
58%
52%
分からない
12%
5%
8%
14%
12%
10%
(引用)2011 年度版 Data Leakage Worldwide: Common Risks and Mistakes Employees Make
 管理者の 46%が中企業、大企業の方が、小企業よりもそのような不正アクセスが横行している。
 管理者の 32%は小企業でもそのような不正アクセスが頻繁に発生していると回答している。
 ドイツでは 22%の従業員が、部外者に付添なしでオフィスを歩き回らせている。
(4)リモート環境のセキュリティ
 46%の従業員が、家で仕事をしているときに、業務用パソコンと個人使用のパソコンの間で、業務で
使用しているファイルを送受信したことがある。
 75%以上の従業員は公共の場で、リモート環境で仕事をしているときに、プライバシーガードを使用
していない。(この傾向は、ブラジル、インド、中国で顕著である。)
 68%の従業員は、公共の場において電話で業務上の話をするときに、声を落として話さない。
 家で働く従業員の 13%は、会社のネットワークにアクセスができないので、自分の個人使用のメール
アカウントから、同僚、顧客に仕事上のメールを送る。
(5) パスワード、ログイン/ログアウト手順の悪用
 全体では 18%の従業員が、自身のパスワードを同僚と共有し、特に、中国、インド、イタリアでは 25%
がそうしている。
 全体では、少なくとも 3 人に1人の従業員が、長時間机から離れる際に、パソコンをロックせずにログ
15




オンの状態に放置している。
20%の従業員は、システムへのログイン、パスワード情報を自分の会社のパソコン内に保存、紙に書
いて机の上、鍵のかかっていないキャビネットなどに置きっ放し、或いはパソコンに貼り付けている。
インド、イタリア、イギリスでは、10%の従業員が、職場のネットワークへのログイン、パスワード情報を
記したメモを机の上に置きっ放しにしている。その結果、パソコンが盗まれた場合、盗難者が機密デ
ータにアクセスできてしまう状態になっている。
イギリス、フランスでは 5%の従業員が個人の口座(金融機関の口座も含む)のログイン、パスワード
情報を印刷したものを机の上に置きっ放しにしている。
中国では 28%の従業員が、自身の金融機関の口座にアクセスするためのログイン、パスワード情報
を会社で使用する機器に保存している。
ここで挙げられている内部不正の多くは、犯罪として立件されないようなケースであるが、これらの報告結果
は、それがごく一部でのみ発生するレアケースである可能性が低いことを示唆している。
VERIZON 社が、アメリカ合衆国シークレットサービス(USSS17)と共同で公表している過去 3 年間にわた
る調査結果は、(データ漏洩/侵害限定ではあるが)内部不正がどのような職種の人によって行われているの
か報告している(表4参照)。それによると、一番多いのが一般従業員で、以下、財務/会計スタッフ、幹部と続く。
報告書でも指摘されているが、高い権限を持った人のみがそれを使って機密データ、価値の高い情報を窃取
するのではなく、権限の低い人もその権限レベルで入手できる(換金可能な)情報を不正に入手しようとする。
表 4 内部者によるデータ漏洩/侵害の割合
内部不正者のタイプ
割合
一般従業員/エンドユーザー
85%
財務/会計スタッフ
22%
経営幹部/上級管理職
11%
ヘルプデスクスタッフ
4%
システム/ネットワーク管理者
3%
ソフトウェア開発者
2%
不明
1%
その他
1%
(引用)2011 年度 データ漏えい/侵害 調査報告書、VERIZON18
17
18
USSS:United States Secret Service
VERIZON ビジネス RISK チーム http://www.verizonbusiness.com/jp/Products/security/dbir/
16
判例調査概要
4.2
4.2.1 判例収集
判例調査では、まず、判例データベースを使用して判例を検索し、内部犯行に該当する判例を抽出する作業
を行った。判例収集の目的、手順などは表 15 の通りである。
表 15 判例収集方法
項目
内容
目的
内部犯行における、動機、手口、発生環境、被害状況などの詳細情報を得る。
情報源
裁判所ウェブサイトを含む判例データベース
調査方法
1)内部犯行の公開情報を基に、判例に含まれると考えられるキーワードを幾つか決める。
2)上記のデータベースを使い、判例のキーワード検索を行う。
(検索キーワード及びその結果は表 16 を参照)
3)上記 2)の各検索結果グループ(No.1~11)から 10 件程度の判例情報をチェックし、内部犯行
の定義に該当する判例があるか確認する。具体的には、判例における、内部者(元従業員を含
む)、内部犯行と IT システムとの関連性、内部犯行の対象と情報資産及び IT システムや IT サー
ビスとの関連性、内部犯行によって組織の情報が受けた影響(機密性、完全性、可用性)を確認
する。
4)内部犯行に該当する事例があると判断された 4 つのグループ(検索結果 No.5、No.6、No.10、
No.11)から、最新の判例を中心に 10 件選別する。その判例の選別に当たっては、下記の「その
他条件」に該当するかどうかを基準にした。
その他条件
個別調査を検討している判例が以下の条件を満たすかどうかをチェック
・判例中の内部犯行行為を、表 10 にある内部不正の 4 分類のうちのどれかに特定できる
・判例要旨に、不正行為者、対象、動機、監視性に関する情報が含まれている
表 16 判例調査対象グループ
検索結果
No.
検索キーワード19
該当件数
1
内部、不正、情報、横領
147件
2
内部、不正、情報、流出
248件
3
内部、不正、情報、アクセス
164件
4
内部、不正、情報、妨害
478件
5
営業秘密、流出
6
営業秘密、アクセス
7
営業差止等請求事件
10件
8
個人情報、横領
40件
9
個人情報、漏洩
57件
10
電子計算機、背任
9件
11
電子計算機、詐欺
46件
66件
111件
19
キーワード検索においては、「不正」という言葉が使われているが、検索対象となっているのは犯罪事例のみであり、「うっかり
ミス」、「ルール違反」などのケースは対象になっていない。
17
4.2.2
判例調査で得られた傾向
判例調査の結果から得られた傾向を報告する。判例調査で得られた事例数は、合計 10 事例である。これら
の事例を分類すると、「道具的な犯行」が 9 件、「道具的な犯行」と「表出的な犯行」の双方に分類できる事例
(道具的な犯行且つ表出的な犯行の事例)が 1 件であった。そのため、表 17 では、「道具的な犯行」が 10 件、
「表出的な犯行」が 1 件となる。裁判の際、企業が現従業員を相手取るケースはほとんどなく、企業の元従業員
や委託先の従業員が被告であるケースが多い。
表 17 判例調査件数分類
システム悪用
該当件数
道具的な犯行
0件
10件
表出的な犯行
破壊行為
1件
0件
不明
0件
次に、個々の犯罪事例を別の観点から分類するために、3.3.1節で紹介したルーティンアクティビティ理論を
利用した。個々の事例を、「動機づけられた犯罪者はどのような職種についていたのか(動機づけられた犯罪
者)」、「犯行対象物は何であったか(潜在的な犯行対象物)」、「犯行発生場所の監視性は高かったか/低かっ
たか(監視性の低い場所)」といった観点から分類することにした。更に、「動機づけられた犯罪者はどのような
職種についていたのか」に関して言えば、この中に「動機」、「犯罪者」の二つの要素があることから、これを「犯
罪者の職種は何であったか」、「犯罪者の動機は何であったのか」の二つに分解した。
この 4 つの観点に基づく結果は図 4 及び表 18 の通りである。不正行為者は 5 種類、犯行対象物は 5 種
類、動機は 4 種類、監視性は 2 種類となった(表 18)。図 4 を見ると、不正行為者は、開発者が 50%と最も多
く、次いで一般社員が 30%、管理職とその他がそれぞれ 10%である。対象は開発情報と顧客情報がそれぞれ
50%と最も多く、動機は転職・起業が 90%である。監視性については、内部犯行が行われた環境において業
務に対する監視者が設定されていた事実(IT システムによって重要情報に対する不正な操作を管理者に通知
する等の機能が利用されていた場合も含む)があったと確認できた場合に「高い」、その事実が無かった場合
や確認できない場合に「低い」とした。今回の調査では、全ての事例において、その事実が確認できなかったた
め、「監視性は低い」が 100%となっている。
18
表 18 判例調査結果の詳細分類(n=10)
0%
不正行為者
10%
20%
30%
一般社員(元社員を
含む)30.0%
40%
50%
60%
管理職 その他
10.0%
10.0%
70%
80%
社内情報 物理装置
0.0%
0.0%
開発情報
50.0%
情報
0.0%
動機
犯罪行
為者
顧客情報
50.0%
組織・上司への不満
0.0%
金銭
10.0%
転職・起業
90.0%
高い
0.0%
低い
100.0%
監視性
件数
項目
開発者(元従業員)
50.0%
ID・パスワード
0.0%
対象
分類
90%
100%
システム管理者
0.0%
対象
図 4 判例調査結果の詳細分類 (n=10)
動機
監視性
比率
一般社員
(元社員を含む)
3
30%
管理職・経営者
2
20%
その他
1
10%
開発者
(元従業員)
4
40%
システム管理者
0
0%
ID・パスワード
0
0%
開発情報
5
50%
顧客情報
5
50%
社内情報
0
0%
物理装置
0
0%
金銭
1
10%
情報
0
0%
転職・起業
9
90%
組織・上司への不
満
0
0%
高い
0
0%
低い
10
100%
不正行為者を軸に対象、動機、及び監視性を分離した結果を表 19 に示す。開発者については、全てのケー
スで、対象は開発情報であり、動機は転職目的が多い(動機については、不満且つ転職の事例があったため
合計6件である)。一般社員については、全てのケースにおいて、対象は顧客情報であり、動機は転職目的であ
る。また、監視性は低い。
表 19 判例調査結果(不正行為者)
対象
社内
情報
顧客
情報
一般社員
(元社員を含む)
0
3
システム管理者
0
開発者
(元従業員)
管理職
その他
動機
ID・パス
ワード
監視性
開発
情報
物理
装置
不満
情報
転職
金銭
高い
低い
0
0
0
0
0
3
0
0
3
0
0
0
0
0
0
0
0
0
0
0
0
0
5
0
1
0
5
0
0
5
0
0
1
1
0
0
0
0
0
0
0
0
0
0
1
0
0
1
0
0
1
1
19
インタビュー調査概要
4.3
4.3.1 インタビュー事例収集
インタビュー調査では、主にインシデントに関わった調査員、及び企業の CISO、法律家などから協力を
得て、表 20 に示した調査概要に基づき、面談形式で確認した。
表 20 インタビュー事例収集プロセス
項目
内容
目的
内部不正における、動機、手口、発生環境、被害状況などの詳細情報を得る。ここでいう内部不正に
は、内部犯行に加えて、「うっかりミス」や「組織内でのルール違反」など(の内部犯行扱いになって
いないもの)も含まれる。
調査対象者
インシデントに関わった調査員、及び企業の CISO、法律家など
調査方法
上記の調査対象者に対してインタビューを実施する。内部不正の傾向の把握、個々の事例の具体
的な情報の収集、事例が発生した環境及び内部不正防止対策実施状況に関する情報の収集の 3
つの目的に沿ってインタビュー調査を実施するため、インタビュー項目を表 21、表 22 のように設
定した。
その他
個別調査を検討しているインタビュー事例が以下の条件を満たすかどうかをチェック
・事例中の内部不正行為を、表10にある内部不正の4分類のうちのどれかに特定できる
・不正行為者、対象、動機、監視性に関する情報がインタビュー回答に含まれている
表 21 インタビュー調査項目(内部不正の傾向、個別事例、不正発生時の環境に関する情報収集)
共通インタビ
ュー項目
1.
内部不正事例の件数、代表的な事例の概要
例えば、次の①~④のうち、どの内部不正や内部犯行が多く発生しているか
(①システム悪用、②情報持ち出し(道具的犯行)、③情報持ち出し(表出的犯行)、④破壊行為)
2.
内部不正の変遷や最近の傾向
3.
内部不正が発生した背景、想定される環境、動機、及び対象となる情報等の入手・持ち出し方法
4.
内部不正行為者の振る舞い(不自然な行動等)と、そのような不正行為を抑止・予防するための対
策(管理策等を含む)
個別事例に関
する項目
1.
動機及び環境(主に共通インタービュー項目3の詳細)
インセンティブ等
動機
例えば、機密情報がお金になる(売買、脅迫)、転職時
のお土産等
プレッシャー等
例えば、借金、ノルマ、いじめや脅迫等
怨恨
例えば、上司や会社への仕返し等
例えば、働いている場所、使える時間、利用できる環
環境的要因
利用できる手段や機会等
境(端末、ネットワーク環境、リモート接続環境等)、管
理者権限、知り得た内部情報、専門知識及び技術的
スキル等
コミュニケーション
その他
2.
例えば、上司や同僚とのコミュニケーションの状況等
例えば、働いている環境等での監視・通報・連絡体制
監視・常習性等
の状況等
振る舞いや抑止・予防対策(主に共通インタービュー項目4の詳細)
20
振る舞い(行動等)
例えば、倫理観の欠如等、逼迫した業務等
例えば、罰則規定、秘密保持誓約書への署名、監視
抑止・予防
(ログ、監視カメラ)とその周知等
例えば、セキュリティポリシー及びプライバシーポリシ
その他 (組織内ポリシーとの関係)
ー等との関連性、内部で解決した場合のインシデント
情報の取扱いについて
表 22 インタビュー調査項目((状況的犯罪予防の観点を取り入れて)内部不正防止対策に関する情報取集)
質問内容
具体例
内部不正が発生する環境では、ID 管理やアクセス制御の設定が実施されていないことが考え
られるため、「1.犯行対象を防御的に強化する」等を確認する。
1「犯行を難しくする」
対策の有無
ネットワーク経由の内部不正の事例では、ネットワーク等の利用制限が実施されていないこと
が考えられるため、「5.道具や対抗手段を制御する」等を確認する。
可搬可能な電磁媒体を用いた内部不正の事例では、その媒体の持込及び持出の制限が実施
されていないことが考えられるため、「2.施設への出入を制限する」や「3.出口で検査をする」等
を確認する。
内部不正が発生する環境では、システム管理者が不足しているか、または、システム管理者が
少人数で相互チェック等ができていないことが考えられるため、「6.監視者を増やす」等を確認
2「捕まるリスクを高め
る」対策の有無
する。
アクセス権限を有していない内部者による不正行為では、正規のアクセス権限を不正に入手す
ることが考えられるため、「7.自然監視を補佐する」や「9.現場管理者の利用」等を確認する。
3「犯行の見返りを減
らす」対策の有無
アクセス権限を有している内部者による不正行為では、アクセス制限が適切に設定・実施され
ていないことや重要情報の暗号化が実施されていないこと考えられるため、「11.標的を隠す」、
「12.対象を排除する」、「15.利益を否定する」等を確認する。
4「犯行の挑発を減ら
す」対策の有無
内部不正が発生する環境では、円滑なコミュニケーションの推進や職場のストレスを低減する
対策が実施されていないことが考えられるため、「16.欲求不満とストレスを減らす」、「17.対立
を避ける」、「18.感情の高ぶりを抑える」等を確認する。
5「犯罪を容認する言
い訳を許さない」対策
の有無
内部不正が発生する環境では、規則やルールの設定、掲示等、及び相談窓口などの設置が実
施されていないことが考えられるため、「21.規則を決める」、「22.指示を掲示する」、「24.遵守を
補佐する」等を確認する。
21
4.3.2
インタビュー調査で得られた傾向
インタビューで得られた事例数は、全体で 20 件であり、未遂(1 件)のものを除くと総数 19 事例である。
内訳として、道具的な犯行が 9 件と最も多く、次いで表出的な犯行が 6 件である(表 23 を参照)。
表 23 インタビュー調査件数分類
システム悪用
道具的な犯行
1件
該当件数
表出的な犯行
9件
破壊行為
6件
分類不能
1件
2件
4.2.2節で用いた方法で、これらの事例を分類した結果を図 5 及び表 24 に示す。不正行為者は、一般社員
が 52.6%と最も多く、次いでシステム管理者と開発者が 15.8%、その他が 10.5%である。また、対象は顧客情
報が 52.6%と最も多く、動機は組織・上司への不満が 42.1%、金銭が 31.6%であり、監視性は高いが 73.7%
である。
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
表 24 インタビュー調査調査結果の詳細分類
(n=19)
分類
一般社員
52.6%
不正行為者
対象
動機
監視性
管理職 その他
5.3% 10.5%
顧客情報
52.6%
ID・パスワード 開発情報
15.8%
10.5%
金銭
31.6%
高い
26.3%
情報
15.8%
開発者
15.8%
システム管理者
15.8%
社内情報
15.8%
物理装置
5.3%
不正行為
者
組織・上司への不満
42.1%
転職・起業
10.5%
項目
一般社員
低い
73.7%
対象
図 5 インタビュー調査結果の詳細分類 (n=19)
動機
監視性
件数
10
(比率)
52.6%
管理職・経営者
1
5.3%
その他
2
10.5%
開発者
3
15.8%
システム管理者
3
15.8%
ID・パスワード
3
15.8%
開発情報
2
10.5%
顧客情報
10
52.6%
社内情報
3
15.8%
物理装置
1
5.3%
金銭
6
31.6%
情報
3
15.8%
転職・起業
2
10.5%
組織・上司への
不満
8
42.1%
高い
5
26.3%
低い
14
73.7%
不正行為者を軸に対象、動機、及び監視性の分類結果を表 25 に示す。一般社員の場合、対象は顧客情報、
ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満、金銭目的である。システム管理者に
ついては、対象は顧客情報、社内情報であり、動機は情報及び金銭目的である。開発者の場合、開発情報が
多く次いで顧客情報であり、動機は転職と情報である。
22
表 25 インタビュー調査結果(不正行為者) (n=19)
対象
一般社員
システム管理者
開発者
管理職
その他
4.3.3
動機
監視性
社内
情報
顧客
情報
ID・パス
ワード
開発
情報
物理
装置
不満
情報
転職
金銭
高い
低い
2
1
0
0
0
4
2
1
1
2
3
0
0
0
0
0
0
2
0
0
1
0
0
0
0
6
0
0
0
2
0
2
1
0
0
0
0
2
0
0
4
1
0
1
0
3
1
1
0
0
7
2
2
1
2
インタビュー調査で得られた対策状況
IT セキュリティ版状況的犯罪予防(図 3 参照)を参考に、表 22 の観点からインタビュー調査を行い、内部
不正が発生した事例における対策状況を以下に示す。20
-
情報システムの正規のアクセス権限を持たない内部者による不正行為では、ID・パスワードの
管理などの「犯行を難しくする」で定められた項目が実施されていない事例が多い。例えば、特
定の重要情報に対してアクセス権限を持たない内部者が、社内システムの初期設定の ID 及び
パスワードを用いて社内システムを利用することで、重要情報にアクセスできてしまう事例があ
った。(表 22:「1.犯行を難しくする」に関連)
-
情報システムの正規なアクセス権限を持つ内部者が行った内部不正では、監視者を増やすな
どの「捕まるリスクを高める」で定められた項目が実施されていない事例が多い。例えば、特定
の重要情報に対してアクセス権限を持つ内部者が、重要情報を複写し不正に持ち出す事例が
あった。(表 22:「2.捕まるリスクを高める」に関連)
-
「犯行を難しくする」及び「捕まるリスクを高める」対策が施されている企業や団体では、さらなる
対策の強化として、対象ファイルの暗号化などの「犯行の見返りを減らす」対策が施される傾向
がある。例えば、ID・パスワードの管理やアクセス権限の設定などが正しく管理及び遵守されて
いる企業や団体などでは、重要情報の管理策強化の一環として、重要情報の暗号化等が実施
されている事例があった。(表 22:「3.犯行の見返りを減らす」に関連)
-
多くの事例において、コミュニケーションによって職場のストレスを低減するなどの「犯行の挑発
を減らす」、及び規則やルールを定め、掲示するなどの「犯罪を容認する言い訳を許さない」対策
が施されていない。なかには、ルールは定められているが、掲示されていない、或いは形骸化し
ている事例もあった。(表 22:「4.犯行の挑発を減らす」、「5.犯罪を容認する言い訳を許さない」
に関連)
20 これらの4点は、インタビュー事例19件における内部不正防止対策実施状況に関してのものではなく、調査対象者が提供し
てくれた対策実施状況に関する意見をまとめたものである。
23
4.3.4 インタビュー調査のまとめ
インタビュー調査結果をまとめたものを表 26 に示す。
表 26 インタビュー調査のまとめ
1.
情報持ち出しの事例が他に比べて多く発生している(表 17 参照)
判例調査及びインタビュー調査の結果では、IP(Intellectual Property)に関する内部不
正の事例では、①システム悪用、②情報持ち出し、③情報破壊の 3 分類のうち、②情報持ち
出しが他の分類に比べて多く発生している。
また、②情報持ち出しの中では、表出的犯行よりも道具的犯行が多く発生している。
2.
持ち出し情報の対象の多くは顧客情報であるが、その他の事例も存在する
インタビュー調査では、顧客情報の持ち出しが最も多い。一方、判例調査では、開発情報の
持ち出しが多い。
3.
現状の ISMS21及び PMS22等の組織的対策の効果は限定的である
インタビュー調査では、現状の ISMS や PMS 等の組織的対策(主に、ポリシーの設定や周
知及び懲戒等の職務規定への関連性の告知等)については、防止・抑止効果が低いとする
意見もある。逆に、情報資産の特定や責任範囲の明確化等、事後対策については、一定の
効果があるとする意見もある。以上のことから、一部では効果が認められる意見と、他では
一定の効果があるとする意見があるため、その効果は限定的と考えられる。
4.4
本調査における内部不正のモデル
4.4.1 モデルの策定及び要因分析
インタビュー事例及び判例において、4 つに分類した項目のうち、「不正行為者」と「対象」に注目し、以下の
2 つの内部不正のモデルを抽出した。
○モデルⅠ:営業職員による個人情報の持ち出し/不正利用
表 25 で示したように、インタビュー調査概要によると、不正行為者は一般社員(営業職を含む)が最も多く、
個人情報を対象とした内部不正の事例が最も多い。なお、営業職員とは、営業に関連した業務に携わる従業
者(元従業者を含む)であり、個人情報の中には、顧客情報や従業員情報などが含まれる。
○モデルⅡ:開発者による開発情報の持ち出し/不正利用
表 19 で示したように、判例調査によると、不正行為者は開発者が最も多く、開発情報を対象とした内部不
正の事例が最も多い。また、このケースを策定した理由は、開発情報の持ち出し等による不正行為に対して、今
後、一層の留意が必要となることが想定されるからである。なお、開発者とは、開発に関連した業務に携わる従
業者(元従業者を含む)であり、開発情報の中には、ソースコードや設計情報及び社内システムの仕様情報な
どが含まれる。
21
ISMS: Information Security Management System (情報セキュリティマネジメントシステム)企業や組織で情報を適切
に管理する仕組みであり、国際規格の ISO/IEC 17799 や ISO/IEC 27000 等を含む。
22
PMS: Personal information protection management systems(個人情報保護マネジメントシステム):個人情報の取り
扱いや管理する仕組みであり、日本工業規格のプライバシーマーク制度(JIS Q 15001)等を含む。
24
これらのモデルにおいて、内部不正の誘発に関連していると考えられる要因について考察する。4 章で紹介
した国内の既存調査では、ルーティンアクティビティ理論に倣って、内部犯行発生に不可欠な要因を「犯罪者
となるリスクを持つ人」、「潜在的な被害者(物)」、「環境」としている。これに対して、不正のトライアングルでは、
「動機・プレッシャー」、「機会」、「正当化」の 3 つの要因から内部不正が発生するとしている。
事例調査結果における傾向と、これらの要因を比較し、本調査では、内部不正誘発要因を「動機・プレッシャ
ー」、「環境」と「機会」を統合した「環境・機会」、国内の既存調査及び不正のトライアングルにはないその他の
要因として、「(内部不正者の)知識・経験」と設定する。表 27 に、3 つの要因の詳細を示す。
表 27 本調査における内部不正の要因分類
分類
内容
内部者が不正行為を起こす動機であり、内部不正行為に至るプレッシャー(業務量・ノ
動機・プレッシャー
ルマ等)や慢心及び帰属意識などが含まれる。
○関連するキーワード:転職、満足度、給与・賃金・賞与、不公平感、怨恨、業務量、ノ
ルマ、好奇心・顕示欲、慢心など
不正行為を行った内部者が、環境によって受ける要因であり、技術(IT システム)や物
理的な環境及び組織のルールや教育などが含まれる。
環境・機会
例えば、システム的な環境としては、アクセス権限、出入検査等。物理的な環境として
は、職場環境、持込・持出制限等を含む。
○関連するキーワード:アクセス制御、出入検査、職場環境管理、持出・持込制限、監
視、時間、コミュニケーション、ルール・規則、告知・教育など
不正行為を行った内部者が、持っている知識や経験であり、詳細には特定の経験や権
限・役割(持っていること)や知識(知っていること)及びスキル(できること)などが含ま
れる。
知識・経験
例えば、正当に付与されたアクセス権限を行使して重要情報を不正に持ち出す場合
等を含む。
○例示:持ち出す方法を知っている、発覚しなかったことを知っている、証拠を削除す
ることができる、アクセスする権限をもっているなど
4.4.2
想定モデルの特徴
2 つの想定モデルおける 3 種類の内部不正の要因、並びに要因以外の特徴は表 28 の通りである。
表 25 によると、一般社員による情報持ち出し事例は4件である。同様に、表 19 によると、開発者による開発
情報持ち出しは、5 件である。モデルⅠ、Ⅱの特徴を帰納的に見つけるには件数が少ないため、両想定モデル
に該当する事例に関する更なる聞き取り調査を行い、そこから得られた情報を表 28 にまとめた23。なお、下表
の下線部は、モデルⅠとモデルⅡの共通する内容である。
23 表24の内容は、その内容から個々の内部不正事例が特定されないように、調査で得られた情報を抽象化したものである。
25
表 28 モデルⅠ及びⅡの特徴
動機・プレッシ
ャー
モデルⅠ(営業)
モデルⅡ(開発)
 業務が日々繁忙または業務上のノルマがきつ
 自らが作成したファイルのオーナーは自分で
く、自宅でも業務する必要がある。
 情報を使い転職を有利に進めたい(数例)。
あり、自分の所有物であるという誤った認識が
ある。
 頻回転職が数例存在する。
 社内システムを利用する程度の IT 技能を有
知識・経験
する。
する。
 対象物へのアクセス権限を有している。
 対象物へのアクセス権限を有している。
 企業は業績を求める傾向になり、ジョブローテ
 評価及び接遇処遇への納得度が低い。
 監視が不在であり、不正行為を行う時間があ
ーションが少ない。
環境・機会
 ソフトウェア開発ができる程度の IT 技能を有
 評価及び接遇処遇への納得度が低い場合も
る。
ある。
 監視が不在であり、不正行為を行う時間があ
る。
 犯行の発覚は、離職後に発覚する場合のみで
要因以外の
 犯行が離職後に発覚する場合と、企業に在籍
あり、離職後の転職先での利用を計画的に行
している状態で発覚する場合の2種類のケー
なっている事例もある。
スがある。前者は離職(転職)が起因した不正
行為で、後者は自らが作成した成果物は自分
特徴
の所有であると誤って認識し、離職の意志が
ないケースである。
5. アンケート調査及び分析結果
本章では、本調査で実施した内部不正に関する意識について行ったアンケート調査の結果を示す。
5.1
アンケート調査概要
本調査では、想定モデルに基づき、アンケートを設計し、内部不正に関する意識調査をした。アンケート調査
は、以下の 3 つの構成に分けて実施した。
① シナリオ無し:シナリオを設定せずに内部不正行為への気持ちを高める要因及び対策に関する意識
を調査
② シナリオ付き:想定モデルに基づくシナリオを設定し、内部不正行為への気持ちを高める要因(シナ
リオの行為に理解或いは共感を含む)及び対策に関する意識を調査
③ 有効対策等の上位 5 つの選択:内部不正行為への気持ちが低下する対策、及び内部不正への気持
ちを高める要因について上位5つの選択
本調査の実施にあたっては、有識者によるレビューを実施し、設問の設計、調査方法について検討した。本
調査では、社員24を対象としたアンケートと経営者・システム管理者のみを対象としたアンケートに分けて実施
した。社員向けアンケートの概要を表 29、経営者・システム管理者向けアンケートの概要を表 30 に示す。アン
ケート調査票については、付録3:アンケート調査票を参照。
24
対象となる社員には、非正規雇用形態、元社員、経営者を含む。
26
表 29 アンケート調査の概要(社員向け)
項目
概要
・全国(インターネットアンケート調査会社が有する調査モニター)
対象
・社員(非正規雇用形態、元社員、経営者を含む)
インターネットアンケート調査会社が保有するモニターから、回答者の内部不正行
標本抽出方法
為の業務との関わり、内部不正の経験に基づき、割付・抽出を行った。
プレ調査を実施して対象者のスクリーニングを行い、その後本調査を実施した。
回収数
3,000 件
期間
2012 年 1 月 13 日~2012 年 1 月 18 日
本調査のモデルは、IT を利用した内部不正行為を想定しているため、IT をある程度
活用できているネットユーザーの回答を収集できる Web アンケート形式で実施し
た。また、クロス集計、統計解析等による分析を想定し、充分なサンプルを確保できる
よう 3,000 サンプルを収集した。
アンケートの回答者は、内部不正行為の経験や業務との関わりのない者が多く含
実施方法
まれることを想定し、シナリオ付きとシナリオ無しの調査を実施した。シナリオ付の
設問(③)では、仮説に基づいたシナリオを 2 種類作成して調査を実施した。シナリ
オ付の設問は、回答者がシナリオの主人公(回答者以外)になったと仮定した場
合、シナリオ無の設問(②)は、回答者自身について尋ねている。また、上記で説明
したシナリオ付き/無しとは別に、有効な対策(①)内部不正行為への気持ちが最
も低下する対策(5つの対策を選択等)を訪ねている。
・ (シナリオを読んで)内部不正行為にどの程度理解(或いは共感)できるか
調査項目
・ 内部不正行為への気持ちを高める要因(環境・機会、知識・経験)
・ 内部不正行為への気持ちが低下する対策
・ 属性情報
表 30 アンケート調査の概要(経営者、システム管理者向け)
項目
対象
標本抽出方法
概要
・全国(インターネットアンケート調査会社が有する調査モニター)
・経営者及びシステム管理者
インターネットアンケート調査会社が保有するモニターから、プレ調査を実施して対
象者のスクリーニングを行い、その後本調査を実施した。
回収数
110 件
期間
2012 年 2 月 17 日~2 月 21 日
本調査のモデルは、IT を利用した内部不正行為を想定しているため、IT をある程度
実施方法
活用できているネットユーザーの回答を収集できる Web アンケート形式で実施し
た。
27
・ 現在導入している内部不正に関わる対策
調査項目
・ (対策導入済みの企業に対して)効果があると考えられる対策
・ (対策未導入の企業に対して)今後導入してみたい対策
本調査では内部不正を誘発すると考えられる要因に関してアンケートを行った。これは、4.4節に示した 3 つ
の要因である「動機・プレッシャー」、「環境・機会」、「知識・経験」に分類される。各設問内容を 3 つの要因で整
理したものを表 31 に示す。
表 31 アンケート設問(要因)
要因
アンケート設問内容(要因の詳細)
動機・プレッシャー
・ 自分が作成した成果物(顧客情報の一覧等)は、自由に使ってよいと思う
・ 条件のいい企業から転職の誘いがあり、これまでの成果(顧客情報)を公開することで、有利
に転職できると思う
・ 社内の人事評価に不満がある
・ 上司の仕事への取り組み方や上司の人間性に不満がある
・ プロジェクトや業務の進め方に不満がある
・ 業務が忙しいため、自宅で作業する必要がある
・ 給与や賞与に不満がある
・ 退職金に不満がある
・ 不当だと思う解雇通告を受けた
・ 職場で人間関係のトラブルがある
・ ルールを違反しても個人や企業を特定されない自信がある
・ システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている
・ パソコンや USB メモリ等の情報端末の持込制限が厳しい(情報端末への書き込み以外の方
法で保存する必要がある)
・ 職場に管理者がいないため、見つからない
・ 情報の持ち出しに関して社内に相談窓口がない
・ 社内システムにログインするための ID やパスワードの管理が徹底されていない
・ 退職者のアカウントが削除されていない(退職者も社内システムにログインできる/退職者の
アカウントを利用して社内システムにログインできる)
・ 職場への入退口に警備員がいない(誰もが職場に入ることができる)
・ 不正を行う十分な時間がある
・ 職場で頻繁にルール違反が繰り返されている
・ 社内ルールや規則(セキュリティポリシーを含む)が徹底されていない
・ 社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担が大きい
・ 社内ルールや規則を違反した際、罰則がない
・ ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない
・ 職場のパソコンや社内システムへのアクセス管理が徹底されていない(誰もがパソコンや社内
システムにログインできる)
・ 社内の重要な情報が暗号化されていない(社内の重要な情報を誰もが閲覧できる)
・ パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない
・ パソコンや USB などの会社備品に会社の管理シールが貼られていない(私物と備品の区別
がつかない)
・ 職場に監視カメラがない
・ 社内への入退出時に手荷物検査がない(社内に私物を持ち込むことができる)
環境・機会
知識・経験
・
・
・
・
・
・
顧客情報などの重要な情報を自由に持ち出せる権限をもっている
顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている
同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている
社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている
これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった
社内で、自分以上に情報システムについて理解している人がいない
28
要因
アンケート設問内容(要因の詳細)
・
・
・
・
・
かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった
自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる
自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる
社内の開発物や重要な情報を誰にも知られずに閲覧・編集する方法を知っている
社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている
本調査では、社員と、経営者・システム管理者に、内部不正に関わる対策についてアンケートを行った。これ
は、上述のように、状況的犯罪予防のカテゴリをもとに作成した効果的と考えられる対策である。表 32 に、対
策と状況的犯罪予防の対応関係を示す。
表 32 アンケート設問(対策項目と状況的犯罪予防の対応)
5 つのカテゴリ
犯行を難しく
する
詳細項目
1.犯行対象を防御的に強化する
2.施設への出入を制限する
3.出口で検査をする
4.犯罪者をそらす
5.道具や武器を規制する
捕まるリスクを
高める
6.監視者を増やす
7.自然監視を補佐する
8.匿名性を減らす
9.現場管理者の利用
10.フォーマルな監視体制の強化
犯行の見返り
を減らす
11.標的を隠す
15.利益を否定する
12.犯行対象を排除する
13.所有物に名前を付ける
14.市場を壊す
犯行の挑発を
減らす
アンケート設問内容(対策)
・退職者のアカウントは、即日、削除する(退職者は退職日以降に
社内システムへログインできない)
・ネットワークへの利用制限を設ける(メールの送受信先の制限、
Web メールの制限、Web サイトや閲覧制限がある)
・CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを
制限する
・管理者を増員する等、社内の監視体制を強化する
・顧客情報などの重要な情報にアクセスした人が監視される(ア
クセスログの監視等を含む)
・システム管理権限が複数人に設定され、ルール違反の相互監
視が徹底されている
・社内システムの操作の証拠が残る
・社内システムにログインするための ID やパスワードの管理を徹
底する
・職場に監視カメラを設置する
・情報システムの管理者以外に、情報システムへのアクセス管理
を操作できない
・社内の重要な情報を暗号化する(社内の重要な情報を誰もが
閲覧できない)
・重要情報のアクセスは認められた社員や職員に限定されてい
る
・パソコンや USB メモリなどの会社備品に会社の管理シールを貼
る(私物との区別がつく)
16.欲求不満とストレスを減らす
17.対立を避ける
18.感情の高ぶりを抑える
19.仲間からの圧力を緩和する
・社外や業務時間外に仕事をしなくても済むように業務量を軽減
する
・上司や同僚に頻繁に相談できる環境がある
20.模倣を阻止する
犯罪を容認す
る言い訳を許
さない
21.規則を決める
22.指示を掲示する
23.良心に警告する
24.遵守を補佐する
25.薬物・アルコールを規制する
・職務上で作成・開発した成果物は、企業に帰属すること(不正
競争防止法に抵触すること)を研修で周知徹底する
・顧客情報などの重要な情報を持ち出した場合の罰則規定を強
化する
・職務上で取り扱いに関する罰則規定を強化する
・ルール違反(職務違反や個人情報管理策や情報セキュリティポ
リシーを含む)に抵触しそうな行為についての問い合わせ窓口
を設置する
・これまでに同僚が行ったルール違反が発見されたことがある
・これまでに同僚が行ったルール違反が発覚し、処罰されたこと
がある
29
アンケート調査結果
本節では、アンケート調査結果の集計と分析を行った結果を述べる。
5.1.1
社員向けアンケートの結果
(1) 内部不正の気持ちを高める 3 つの要因の全体的な結果
このアンケートでは、「不正をしたいと思う気持ちを高めると思うもの(上位 5 つ)」という質問によって、3 つの
誘発要因のすべての項目を並べて、内部不正が高まる上位5項目を選択させた。
図 6 の結果から、「不当だと思う解雇通告を受けた」が 34.2%と上位の中でも特に高い割合となっている。
これに、「給与や賞与に不満がある」「社内の人事評価に不満がある」「職場で頻繁にルール違反が繰り返され
ている」「システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている」が 2 割を超えて続く結果と
なった。
0
5
10
15
20
25
23.2%
22.7%
給与や賞与に不満がある
社内の人事評価に不満がある
20.8%
職場で頻繁にルール違反が繰り返されている
20.1%
システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている
18.7%
18.3%
社内ルールや規則を違反した際、罰則がない
上司の仕事への取り組み方や上司の人間性に不満がある
17.8%
職場で人間関係のトラブルがある
16.4%
16.1%
社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている
かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった
条件のいい企業から転職の誘いがあり、これまでの成果(顧客情報)を公開することで、有利
に転職できると思う
パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない
15.7%
14.8%
14.8%
自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる
13.2%
これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった
社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている
13.2%
ルールを違反しても個人や企業を特定されない自信がある
13.1%
12.7%
業務が忙しいため、自宅で作業する必要がある
顧客情報などの重要な情報を自由に持ち出せる権限をもっている
11.6%
職場のパソコンや社内システムへのアクセス管理が徹底されていない
11.5%
11.2%
退職金に不満がある
10.6%
社内システムにログインするためのIDやパスワードの管理が徹底されていない
社内ルールや規則(セキュリティポリシーを含む)が徹底されていない
10.6%
社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている
プロジェクトや業務の進め方に不満がある
10.4%
10.2%
職場に管理者がいないため、見つからない
10.0%
顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている
10.0%
10.0%
同僚が顧客情報などの重要な情報を自由に持ち出していることを知っている
社内で、自分以上に情報システムについて理解している人がいない
9.7%
自分が作成した成果物(顧客情報の一覧等)は、自由に使ってよいと思う
9.6%
8.4%
8.2%
退職者のアカウントが削除されていない
自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる
不正を行う十分な時間があった
7.9%
社内の重要な情報が暗号化されていない
7.6%
7.0%
ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない
6.1%
職場に監視カメラがない
社内への入退出時に手荷物検査がない
パソコンやUSBなどの会社備品に会社の管理シールが貼られていない
社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担が大きい
職場への入退口に警備員がいない
情報の持ち出しに関して社内に相談窓口がない
4.8%
4.4%
4.2%
3.8%
3.4%
3.1%
図 6 不正行為への気持ちを高める条件
30
35
34.2%
不当だと思う解雇通告を受けた
パソコンやUSBメモリ等の情報端末の持込制限が厳しい
30
40
(2) 期待できる対策に関する結果
このアンケートは、「(1) 内部不正の気持ちを高める 3 つの要因の全体的な結果」の高める要因とは逆に、
「内部不正行為防止に効果が期待できる対策(上位 5 つ)」という質問によって、対策効果が期待できるものを
選択させた。
図 7 の結果から、約半数以上の 54.2%が「社内システム操作の証拠が残る」を効果が期待できる対策とし
てあげている。この結果から捕まるリスクが高めることが対策として効果があると考えられる。さらに、「重要な情
報にアクセスした人が監視される」が 37.5%、「同僚が行ったルール違反が発覚し、処罰されたことがある」も
36.2%と高い結果となった。
0
10
20
30
40
顧客情報などの重要な情報にアクセスした人が監視される(アクセスロ
グの監視等を含む)
37.5%
36.2%
これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
社内システムにログインするためのIDやパスワードの管理を徹底する
31.6%
顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
31.4%
情報システムの管理者以外に、情報システムへのアクセス管理を操作
できない
29.2%
社内の重要な情報を暗号化する(社内の重要な情報を誰もが閲覧でき
ない)
28.4%
顧客情報などの重要な情報は、認められた職員のみがアクセスできる
ようにする
26.8%
25.8%
CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する
システム管理権限が複数人に設定され、ルール違反の相互監視が徹底
されている
24.8%
職務上で作成・開発した成果物は、企業に帰属すること(不正競争防止
法に抵触すること)を研修で周知徹底する
24.1%
これまでに同僚が行ったルール違反が発見されたことがある
23.9%
ネットワークへの利用制限を設ける(メールの送受信先の制限、Webメー
ルの制限、Webサイトや閲覧制限がある)
23.2%
退職者のアカウントは、即日、削除する(退職者は退職日以降に社内シ
ステムへログインできない)
22.4%
17.5%
職場に監視カメラを設置する
15.3%
社外や業務時間外に仕事をしなくても済むように業務量を軽減する
14.5%
上司や同僚に頻繁に相談できる環境がある
管理者を増員する等、社内の監視体制を強化する
12.3%
ルール違反(職務違反や個人情報管理策や情報セキュリティポリシを含
む)に抵触しそうな行為についての問い合わせ窓口を設置する
12.2%
9.0%
図 7 不正行為に対して効果的だと考えられる対策
31
60
54.2%
社内システムの操作の証拠が残る
パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る(私物
との区別がつく)
50
(3) 内部不正の気持ちを高める各要因の概要
社員向けのシナリオ無しのアンケートにおいて、内部不正を誘発すると考えられる 3 つの要因である「動機・
プレッシャー」、「環境・機会」、「知識・経験」の中で、どの内容が内部不正への意識を高めるかについてのアン
ケート結果を表 33 に示す。
・ 動機・プレッシャー
「不当だと思う解雇通告を受けた」、「条件のいい企業に対して有利に転職ができる」、「社内の人事評
価に不満がある」の順に内部不正行為への気持ちを高めるという結果となった。これらの要因から、企
業や団体の人事評価や待遇が、内部不正の誘発に比較的強い関係があると考えられる。
・ 環境・機会
「職場で頻繁にルール違反が繰り返されている」、「社内ルールや規則を違反した際にも罰則がない」、
「システム管理がずさんで顧客情報等の重要情報が簡単に持ち出せる」の順に内部不正行為への気
持ちを高めるという結果となった。これらの要因から、ルール違反が発生しやすく、発生した場合でも処
罰がないことが、内部不正の誘発に比較的強い関係があると考えられる。
・ 知識・経験
「自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる」、「社内の誰に
も知られずに、重要情報を持ち出せる方法を知っている」、「これまでに顧客情報などの重要な情報を持
ち出しても誰からも注意や指摘を受けなかった」の順に内部不正行為への気持ちを高めるという結果と
なった。これらの要因は、情報持ち出しのスキルや、見つからない知識や経験が、内部不正の誘発に比
較的強い関係があると考えられる。
表 33 社員向け3つの要因に関するアンケート結果(上位 3 位)
順位
動機・
プレッ
シャー
環境・
機会
知識・
経験
内容
割合※
1位
不当だと思う解雇通告を受けた
30.0%
2位
条件のいい企業に対して有利に転職ができる
10.2%
3位
社内の人事評価に不満がある
8.2%
1位
職場で頻繁にルール違反が繰り返されている
8.8%
2位
社内ルールや規則を違反した際、罰則がない
8.7%
3位
システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている
8.4%
1位
自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる
9.8%
2位
社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている
9.5%
2位
これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなか
った
※内部不正行為への気持ちが高まると回答した回答者の割合。
32
9.5%
(4) 内部不正の気持ちを高める各要因における質問項目の結果
ここではシナリオ無しによる集計結果を示す。各設問項目では、不正行為を高まると感じる度合いとして、
0%から 100%までを 5 つに分けて選択させた(図 8 参照)。
本設問は、「動機・プレッシャー」に分類される要因について、不満やきっかけ等の心理的な側面から不正行
為に関係する項目である。図 8 の結果から、「Q25-9 不当だと思う解雇通告を受けた」は、他の選択肢と比較
して「0%(不正行為を行わない状態)」と回答した割合が 13.2%と最も低く、「不正行為をしたい気持ちが高ま
る」という回答者が約9割となっている。その他の要因を見ると、「Q25-2 条件のいい企業から転職の誘いがあ
り、これまでの成果(顧客情報)を公開することで、有利に転職ができる」は 10.2%が「75~100%高まる」とい
う回答であり、「Q25-9 不当だと思う解雇通告を受けた」に続いて高い結果となった。
0%
20%
Q25-1 自分が作成した成果物(顧客情報の一覧)は、自由に使ってよいと思う
33.2%
Q25-6 業務が忙しいため、自宅で作業する必要がある
31.0%
40%
60%
80%
25.8%
28.6%
100%
22.9%
11.5% 6.5%
23.0%
12.0% 5.4%
Q25-11 ルールを違反しても個人や企業を特定されない自信がある
29.7%
27.1%
23.5%
12.9%
6.8%
Q25-10 職場の一部で人間関係のトラブルがある
28.6%
27.2%
23.7%
14.6%
5.8%
Q25-5 プロジェクトや業務の進め方に不満がある
26.7%
30.3%
Q25-8 退職金に不満がある
26.5%
29.3%
Q25-2 条件のいい企業から転職の誘いがあり、これまでの成果(顧客情報)を
公開することで、有利に転職ができる
26.3%
23.0%
22.7%
Q25-7 給与や賞与に不満がある
24.8%
18.1%
7.9%
19.0%
8.2%
21.8%
26.4%
1~25%高まる
26~50%高まる
20.9%
51~75%高まる
図 8 動機・プレッシャー (シナリオ無し)
33
10.2%
8.1%
Q25-3 社内の人事評価に不満がある
0%(高まらない)
16.1%
6.7%
17.1%
27.1%
15.1%
24.5%
12.9%
25.5%
22.0%
13.2%
24.6%
12.6% 4.2%
26.6%
Q25-4 上司の仕事への取り組み方や上司の人間性に不満がある
Q25-9 不当だと思う解雇通告を受けた
26.1%
24.7%
20.9%
76~100%高まる
30.0%
本設問は、「環境・機会」に分類される要因について、環境・機会の側面から不正行為に影響を与えそうな要
因に関係する項目である。図 9 の結果から、「Q26-9 職場で頻繁にルール違反が繰り返されている」、
「Q26-12 社内ルールや規則を違反した際、罰則がない」、「Q26-1 システム管理がずさんで、顧客情報などの
重要な情報を簡単に持ち出せることを知っていた」が不正行為への気持ちを高めると回答した割合が、約
75%と最も高かった。
0%
20%
40%
Q26-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい
48.6%
60%
80%
100%
23.4%
17.9%
2.7%
Q26-4 情報の持ち出しに関して社内に相談窓口がない
46.2%
26.2%
18.6%
7.4%
6.8%
Q26-11 社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担が
大きい
45.8%
26.2%
18.8%
6.9%
Q26-18 職場に監視カメラがない
44.7%
Q26-7 職場への入退口に警備員がいない
44.1%
Q26-17 パソコンやUSBなどの会社備品に会社の管理シールが貼られていない
41.7%
Q26-19 社内への入退出時に手荷物検査がない
40.0%
Q26-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整って
いない
35.0%
Q26-6 退職者のアカウントが削除されていない
33.9%
Q26-8 不正を行う十分な時間がある
18.4%
27.0%
29.0%
29.0%
31.9%
26.9%
23.0%
28.0%
22.8%
2.8%
7.9%
2.8%
19.0%
7.2%
3.1%
7.8%
3.1%
9.5%
10.6%
11.1%
23.7%
28.3%
2.4%
18.2%
21.2%
28.1%
31.5%
7.4%
20.0%
30.8%
33.3%
Q26-15 社内の重要な情報が暗号化されていない
Q26-3 職場に管理者がいないため、見つからない
26.7%
2.2%
11.1%
22.8%
3.5%
5.5%
4.8%
5.1%
11.9%
5.4%
Q26-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない
30.0%
28.4%
23.5%
12.7%
5.4%
Q26-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない
30.0%
28.2%
23.8%
12.3%
5.7%
Q26-10 社内ルールや規則(セキュリティポリシーを含む)が徹底されていない
29.5%
Q26-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステム
がない
29.0%
Q26-1 システム管理がずさんで、顧客情報などの重要な情報を簡単に持ち出せることを
知っていた
29.6%
27.6%
Q26-12 社内ルールや規則を違反した際、罰則がない
26.2%
Q26-9 職場で頻繁にルール違反が繰り返されている
25.3%
24.2%
29.1%
26.1%
27.5%
25.0%
0%(高まらない)
1~25%高まる
図 9 環境・機会(シナリオ無し)
34
12.8%
24.4%
13.5%
23.6%
14.0%
24.6%
26~50%高まる
11.8%
23.4%
51~75%高まる
16.3%
76~100%高まる
4.8%
5.7%
8.4%
8.7%
8.8%
本設問は、「知識・経験」に分類される要因について、知識・経験の側面から不正行為に関係する項目であ
る。図 10 の結果から、全ての項目において、7~8 割の回答者が内部不正への気持ちを高めると回答している。
内部不正への気持ちが高まる要因として、「Q27-8 自分が情報システムの管理者ではないが、情報システム
へのアクセス管理を操作できる」は不正行為への気持ちが高まるという回答が 69.5%と最も低い結果となっ
た。
0%
Q27-8 自分が情報システムの管理者ではないが、情報システムへのアクセス
管理を操作できる
20%
40%
30.5%
60%
27.1%
80%
100%
22.9%
6.2%
13.3%
Q27-6 社内で、自分以上に情報システムについて理解している人がいない
29.9%
25.1%
21.4%
8.7%
14.9%
Q27-2 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっ
ている
29.6%
26.8%
21.8%
7.5%
14.3%
Q27-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せに
なっている
29.2%
26.8%
23.0%
Q27-1 顧客情報などの重要な情報を自由に持ち出せる権限をもっている
29.1%
26.3%
22.9%
Q27-10 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法
を知っている
28.9%
25.2%
Q27-3 同僚が顧客情報などの重要な情報を自由に持ち出していることを知っ
ている
28.5%
26.4%
Q27-9 自分が情報システムの管理者ではないが、不正操作した証拠を消去す
ることができる
28.1%
24.9%
Q27-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰され
なかった
27.9%
26.0%
Q27-4 社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方
法を知っている
26.9%
25.0%
23.3%
15.4%
9.5%
Q27-5 これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意
や指摘を受けなかった
26.6%
26.5%
22.3%
15.2%
9.5%
0%(高まらない)
1~25%高まる
26~50%高まる
51~75%高まる
図 10 知識・経験(シナリオ無し)
35
22.8%
23.7%
23.1%
23.2%
76~100%高まる
13.7%
7.3%
13.3%
8.3%
15.3%
7.9%
13.5%
7.9%
14.1%
13.9%
9.8%
8.9%
本設問は、不正行為への気持ちを低下させる対策について、内部不正防止・抑止効果が期待できる対策に
関係する項目である。
図 11 の結果によると、「Q28-17 社内システムの操作の証拠が残る」は、9 割の回答者が不正行為への気
持ちが低下すると回答しており、最も効果が期待できる対策であると指摘できる。これに続いて、「Q28-2 顧客
情報などの重要な情報にアクセスした人が監視される」、「Q28-6 顧客情報などの重要な情報を持ち出した場
合の罰則規定を強化する」、「Q28-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作
できない」、「Q28-1 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする」、「Q28-11 社
内の重要な情報を暗号化する」が続いて効果が期待できるという結果となった。
0%
Q28-17 社内システムの操作の証拠が残る
20%
11.5%
40%
14.5%
16.3%
13.1%
Q28-6 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
13.3%
Q28-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
13.5%
Q28-1 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする
13.7%
20.2%
Q28-11 社内の重要な情報を暗号化する
13.9%
19.4%
17.4%
Q28-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する
14.1%
Q28-9 社内システムにログインするためのIDやパスワードの管理を徹底する
14.1%
14.8%
20.5%
Q28-18 これまでに同僚が行ったルール違反が発見されたことがある
15.3%
18.7%
Q28-5 職務上で作成・開発した成果物は、企業に帰属すること(不正競争防止法に抵触すること)を研修で周知徹底する
15.7%
17.6%
Q28-12 退職者のアカウントは、即日、削除する
17.8%
25.0%
26.6%
Q28-10 職場に監視カメラを設置する
23.5%
24.6%
Q28-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する
23.7%
25.2%
Q28-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る
24.6%
27.5%
Q28-15 上司や同僚に頻繁に相談できる環境がある
24.8%
27.1%
1~25%低下する
図 11 対策(シナリオ無し)
36
26~50%低下する
17.9%
20.1%
20.5%
17.5%
19.1%
15.5%
16.7%
23.5%
22.4%
20.8%
19.4%
25.3%
Q28-7 ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシを含む)に抵触しそうな事柄について
の問い合わせ窓口を設置する
0%(低下しない)
21.6%
19.6%
26.8%
20.7%
18.6%
19.0%
25.4%
24.9%
24.4%
19.4%
27.5%
21.0%
23.5%
19.7%
25.3%
Q28-3 ネットワークへの利用制限を設ける
21.4%
19.0%
24.7%
19.5%
24.6%
19.6%
24.3%
20.6%
14.8%
24.4%
18.6%
25.1%
22.9%
Q28-4 管理者を増員する等、社内の監視体制を強化する
21.4%
24.3%
Q28-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
28.2%
18.9%
24.4%
17.6%
100%
34.4%
23.5%
19.0%
14.0%
80%
19.2%
23.5%
Q28-2 顧客情報などの重要な情報にアクセスした人が監視される
Q28-19 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
60%
20.4%
22.3%
15.7%
24.9%
13.8%
14.5%
22.4%
24.5%
23.2%
12.3%
15.0%
13.3%
13.5%
25.0%
12.0%
51~75%低下する
76~100%低下する
13.3%
11.2%
11.1%
(5) シナリオⅠによる検証
4.4.1節にて定めたモデルⅠ(インタビュー調査において最も事例数のあった営業職員による個人情報の持
ち出し/不正利用)を基にシナリオを作成し、アンケートを実施した。このシナリオ付きのアンケート調査では、
アンケート回答者本人の気持ちを尋ねるのではなく、不正行為者を想定した気持ちを回答したことになる。その
ため、「動機やプレッシャー」の設問項目はシナリオの理解を確認するために用い、「動機やプレッシャー」に関
連する設問として、新規に「不正行為に関する理解或いは共感」を尋ねる設問を追加した。具体的には、下記
のようなシナリオを提示して、内部不正行為にどの程度理解(或いは共感)できるか、内部不正を行いたいとい
う気持ちを高める要因、気持ちを低下させる対策についてそれぞれ回答者に尋ねる形式をとった。表 34 にシ
ナリオⅠの内容を示す。
表 34 シナリオⅠの内容
<シナリオⅠ>
B さんは、服飾系代理店である Y 社の営業系事務として、10 年以上勤務している。
B さんは人当たりが良く、Y 社の営業職員や取引先の企業からも頼りにされることが多く、それに応え
ることに仕事のやりがいを感じている。周囲からは、仕事ぶりに華やかさはないがコツコツと地道にやっ
ていくタイプだと見られている。
そんな中、B さんを高く評価してくれている他社から転職の誘いがあり、転職を決意した。
その後、B さんが Y 社の顧客情報を持ち出したことが発覚した。
上記のシナリオⅠを読んで、回答者が、どの程度内部不正行為に理解(或いは共感)できるかについて調査
した結果を図 12 に示す。この結果によると、B さんの「Q20-1 自分が収集したものであれば、持ち出してもよ
いと思う」「Q20-2 転職先で利用する」といった行為について、理解(或いは共感)する回答は 10%程度と少な
い。一方、「Q20-6 悪意があると思う」、「Q20-4 理解できない」といった設問に対しては、「非常にあてはまる」、
「あてはまる」という回答が過半数を超える結果となった。
37
0%
10%
20%
Q20-6 Bさんの行為は悪意があると思う
22.6%
Q20-7 Bさんの行為は理解できない
22.7%
30%
40%
50%
60%
31.1%
70%
80%
31.3%
28.5%
90%
11.6% 3.4%
30.1%
13.9%
1.5%
Q20-5 Bさんの行為に悪意は無いと思う
12.8%
30.3%
28.1%
27.2%
1.9%
Q20-2 顧客情報を持ち出すことも、転職先で利用することも共
感できる
10.8%
20.8%
24.8%
41.7%
1.0%
Q20-1 自分が収集したものであれば、持ち出してもよいと思う
10.0%
20.4%
26.4%
42.2%
1.1%
Q20-4 処罰されなければ、持ち出してもよいと思う
6.0%
16.1%
26.5%
50.4%
0.7%
Q20-3 見つからなければ、持ち出してもよいと思う
非常にあてはまる
あてはまる
5.4%
15.3%
どちらともいえない
27.3%
あまりあてはまらない
図 12 理解・共感(シナリオⅠ)
38
51.3%
全くあてはまらない
100%
4.8%
「環境・機会」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。
その結果を図 13 に示す。これによると、「Q22-1 システム管理がずさんで、顧客情報を簡単に持ち出せること
を知っていた」を「あてはまる」と回答した人は約 70%を占める。「Q22-10 社内ルールや規則(セキュリティポリ
シーを含む)が徹底されていない」、「Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、
監視するシステムがない」も約 68%で高い結果となった。
0%
20%
40%
60%
25.1%
Q22-1 システム管理がずさんで、顧客情報を簡単に持ち出せることを知っていた
80%
45.2%
3.6%
24.4%
100%
1.8%
4.5%
Q22-10 社内ルールや規則(セキュリティポリシーを含む)が徹底されていない
46.1%
22.5%
1.8%
25.1%
4.8%
Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステ
ムがない
20.8%
Q22-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない
20.0%
47.6%
25.1%
1.7%
4.8%
46.2%
26.9%
2.2%
6.0%
19.4%
Q22-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない
45.0%
27.3%
2.2%
5.2%
Q22-15 社内の重要な情報が暗号化されていない
18.7%
Q22-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っ
ていない
17.4%
45.0%
2.1%
28.9%
6.8%
43.0%
30.5%
2.3%
6.8%
Q22-12 社内ルールや規則を違反した際、罰則がない
42.1%
16.5%
32.1%
2.5%
7.4%
16.8%
Q22-6 退職者のアカウントが削除されていない
38.4%
34.1%
3.3%
9.3%
Q22-3 職場に管理者がいないため、見つからない
12.3%
38.5%
2.8%
37.0%
9.2%
Q22-8 不正を行う十分な時間がある
37.6%
11.1%
38.4%
3.8%
12.0%
Q22-17 パソコンやUSBなどの会社備品に会社の管理シールが貼られていない
10.3%
36.2%
37.4%
4.1%
11.6%
Q22-19 社内への入退出時に手荷物検査がない
10.0%
35.4%
39.0%
4.0%
8.8%
Q22-9 職場で頻繁にルール違反が繰り返されている
10.3%
Q22-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい
10.7%
Q22-4 情報の持ち出しに関して社内に相談窓口がない
8.0%
31.9%
45.9%
29.2%
37.6%
30.8%
Q22-7 職場への入退口に警備員がいない
8.1%
Q22-11 社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担
が大きい
7.0%
24.6%
Q22-18 職場に監視カメラがない
7.0%
24.5%
43.9%
18.9%
44.7%
あてはまる
どちらともいえない
13.4%
15.5%
42.2%
図 13 環境・機会(シナリオⅠ)
39
16.0%
43.0%
27.5%
非常にあてはまる
3.1%
16.8%
あまりあてはまらない
全くあてはまらない
6.5%
4.8%
5.0%
7.3%
7.1%
「知識・経験」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。
その結果を図 14 に示す。これによると、「Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず、
社員任せになっている」を「あてはまる」と回答した人は約7割を占める。
0%
10%
Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せに
なっている
20.8%
Q23-4 社内の誰にも知られずに、顧客情報を持ち出せる方法を知っている
19.3%
20%
30%
40%
50%
60%
70%
80%
47.6%
90%
100%
3.9%
2.3%
25.4%
4.8%
46.4%
27.0%
2.4%
5.8%
Q23-2 顧客情報を自由に持ち出せる技術的なスキルをもっている
16.2%
48.3%
27.4%
2.3%
5.5%
Q23-8 自分が社内の情報システムの管理者ではないが、情報システムへの
アクセス管理を操作できる
14.7%
45.4%
31.8%
Q23-10 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法
を知っている
14.5%
44.6%
32.2%
2.6%
6.3%
2.4%
6.1%
Q23-5 これまでに、顧客情報を持ち出しても、誰からも注意や指摘を受けな
かった
17.4%
41.5%
32.4%
2.6%
7.8%
Q23-1 顧客情報を自由に持ち出せる権限をもっている
41.1%
16.5%
31.4%
3.2%
8.7%
Q23-9 自分が社内の情報システムの管理者ではないが、不正操作した証拠を
消去することができる
11.7%
33.9%
42.1%
3.7%
8.5%
Q23-3 同僚が顧客情報を自由に持ち出していることを知っている
11.0%
33.5%
3.7%
43.3%
9.3%
Q23-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰され
なかった
11.0%
33.0%
42.9%
3.7%
10.9%
Q23-6 社内で、自分よりも情報システムについて理解している人がいない
非常にあてはまる
あてはまる
9.7%
どちらともいえない
30.9%
あまりあてはまらない
図 14 知識・経験(シナリオⅠ)
40
44.4%
全くあてはまらない
4.1%
不正行為への気持ちを低下させる「対策」について尋ねた結果を図 15 に示す。これによると、シナリオⅠと
同様に、一番多くの人が「非常にあてはまる」、「あてはまる」と回答したのは「Q24-17 社内システムの操作の
証拠が残る」であった。これに、「Q24-14CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限
する」「Q24-9 社内システムにログインするための ID やパスワードの管理を徹底する」、「Q24-6 顧客情報を
持ち出した場合の罰則規定を強化する」が続く結果となった。
0%
20%
Q24-17 社内システムの操作の証拠が残る
40%
60%
31.6%
80%
100%
2.6%
45.4%
19.5%
0.8%
3.5%
Q24-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する
46.7%
28.1%
0.8%
21.0%
3.1%
Q24-9 社内システムにログインするためのIDやパスワードの管理を徹底する
28.6%
46.0%
21.1%
1.2%
3.5%
Q24-6 顧客情報を持ち出した場合の罰則規定を強化する
30.2%
44.2%
21.2%
1.0%
3.3%
Q24-5 職務上で作成・開発した成果物は、企業に帰属すること
43.6%
29.9%
21.9%
1.3%
2.9%
Q24-11 社内の重要な情報を暗号化する
27.4%
46.0%
22.7%
27.1%
46.2%
23.0%
1.1%
2.8%
Q24-2 顧客情報などの重要な情報にアクセスした人が監視される
0.9%
3.2%
Q24-1 顧客情報などの重要な情報は、認められた職員のみがアクセスできるようにする
46.3%
26.3%
23.2%
1.0%
3.8%
29.2%
Q24-12 退職者のアカウントは、即日、削除する
42.6%
22.9%
1.4%
3.5%
24.2%
Q24-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
46.4%
24.7%
1.1%
4.9%
Q24-3 ネットワークへの利用制限を設ける
46.8%
22.6%
24.4%
1.3%
4.0%
Q24-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
19.8%
Q24-19 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
Q24-18 これまでに、同僚が行ったルール違反が発見されたことがある
18.4%
13.0%
Q24-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る
13.4%
Q24-4 管理者を増員する等、社内の監視体制を強化する
13.2%
Q24-15 上司や同僚に頻繁に相談できる環境がある
10.8%
Q24-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する
10.4%
9.0%
5.6%
35.2%
39.3%
37.1%
37.7%
7.6%
2.3%
3.2%
38.3%
9.1%
2.2%
41.5%
どちらともいえない
2.0%
10.5%
42.5%
27.7%
1.6%
33.6%
38.9%
29.9%
図 15 対策(シナリオⅠ)
4.6%
37.3%
41.8%
あてはまる
1.1%
33.4%
40.2%
非常にあてはまる
41
29.0%
42.0%
14.9%
Q24-7 ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシを含む)に抵触しそうな事柄についての
問い合わせ窓口を設置する
Q24-10 職場に監視カメラを設置する
46.1%
あまりあてはまらない
9.7%
2.9%
13.0%
15.7%
全くあてはまらない
4.1%
6.1%
(6) シナリオⅡによる検証
4.4.1節にて定めたモデルⅡ(判例調査において最も事例数のあった開発者による開発情報の持ち出し/
不正利用)を基にシナリオを作成し、アンケートを実施した。表 35 にシナリオⅡの内容を示す。
表 35 シナリオⅡの内容
<シナリオⅡ>
情報システム企業 X 社に勤める A さんは、システム開発 2 課の主任になって 3 年になる。
現在、A さんは、プロジェクトの開発を担当し、このプロジェクトを順調に進めていることを周囲から評
価されていた。
ある時、A さんは、上司に呼び出され、長時間の面談が行われた。その後、1 週間程度、同様の面談が
頻繁に行われ、後日、A さんはプロジェクトから外れ、その月に任意退社した。
後日、A さんが、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示板
等)に掲載したことが発覚した。その後、システム開発 2 課を含むシステム開発系部門では、開発物に
関する管理規定が見直された。
上記のシナリオⅡを読んで、回答者が、どの程度内部不正行為に理解(或いは共感)できるかについて調査
した結果を図 16 に示す。この結果によると、「Q15-1 自分で開発したものであれば掲載しても良いと思う」に
「非常にあてはまる」、「あてはまる」と回答した回答者は全体の 10%程度であったのに対し、「Q15-2 持ち出し
たことに共感できるが掲載には共感できない」という回答は約 3 割の回答者が「あてはまる」と答えている。
42
0%
10%
20%
30%
40%
25.4%
Q15-7 Aさんの行為は理解できない
Q15-2 持ち出したことには共感できるが、掲載には、共感で
きない
8.0%
60%
70%
31.0%
15.8%
Q15-6 Aさんの行為は悪意があると思う
50%
27.9%
80%
28.9%
24.0%
12.9%
18.5%
29.4%
3.2%
16.0%
Q15-5 Aさんの行為に悪意は無いと思う
35.8%
23.8%
21.2%
1.8%
Q15-1 自分で開発したものであれば掲載しても良いと思う
8.2%
20.7%
24.7%
44.6%
1.2%
Q15-4 処罰されなければ掲載しても良いと思う
4.7%
15.0%
24.8%
54.4%
0.6%
Q15-3 見つからなければ掲載しても良いと思う 3.4%
非常にあてはまる
あてはまる
12.7%
25.1%
どちらともいえない
あまりあてはまらない
図 16 理解・共感(シナリオⅡ)
43
100%
11.0% 3.7%
39.7%
20.0%
90%
58.1%
全くあてはまらない
3.8%
「環境・機会」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。
その結果を図 17 に示す。「非常にあてはまる」と「あてはまる」という回答に着目すると、「Q17-16 パソコンや
システム内の情報の持ち出しに関して制御をしたり、監視するシステムがない」、「Q17-10 社内ルールや規則
(セキュリティポリシーを含む)が周知・徹底されていない」、「Q17-1 システム管理がずさんであり、開発物(ソ
ースコード)を簡単に Web サイトに公開できる」が7割程度となっている。一方、「Q17-11 社内ルールや規則
(セキュリティポリシーを含む)が厳しく、遵守するための負担が大きい」は、2 割程度となり、他の環境・機会と
比較すると不正行為への気持ちを高める要因とはなっていない。
0%
20%
Q17-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステ
ムがない
40%
60%
21.4%
80%
49.3%
100%
4.9% 2.7%
21.7%
5.0% 2.6%
Q17-10 社内ルールや規則(セキュリティポリシーを含む)が周知・徹底されていない
44.5%
26.0%
21.9%
5.2% 2.9%
Q17-1 システム管理がずさんであり、開発物(ソースコード)を簡単にWebサイトに公開で
きる
23.3%
46.4%
22.2%
6.2%
18.7%
Q17-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない
45.2%
7.3%
Q17-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない
18.1%
43.6%
27.4%
Q17-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っ
ていない
16.9%
44.6%
28.0%
Q17-15 社内の重要な情報が暗号化されていない
16.1%
Q17-12 社内ルールや規制を違反した際、罰則がない
13.8%
Q17-17 パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られていない
12.4%
Q17-8 不正を行う十分な時間がある
Q17-6 退職者のアカウントが削除されていない
Q17-19 社内への入退出時に手荷物検査がない
43.1%
32.8%
38.2%
34.5%
37.8%
12.3%
35.6%
10.8%
7.4%
3.1%
6.8%
3.7%
34.9%
9.6%
4.4%
10.4%
4.5%
36.9%
10.2%
37.4%
9.5%
5.2%
37.0%
12.3%
5.1%
Q17-4 情報の持ち出しに関して社内に相談窓口がない
8.9%
35.8%
37.7%
12.0%
Q17-3 職場に管理者がいないため、見つからない
9.2%
35.4%
38.7%
11.3%
Q17-9 職場で頻繁にルール違反が繰り返されている
9.9%
32.9%
Q17-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい
8.1%
Q17-7 職場への入退口に警備員がいない
7.2%
Q17-18 職場に監視カメラがない
6.1%
43.8%
25.4%
37.6%
25.6%
43.4%
19.7%
非常にあてはまる
41.0%
あてはまる
図 17 環境・機会(シナリオⅡ)
44
9.4%
19.5%
42.8%
23.2%
Q17-11 社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担
4.1%
が大きい
3.6%
30.2%
39.4%
10.2%
3.1%
26.9%
どちらともいえない
24.6%
あまりあてはまらない
5.7%
5.4%
4.0%
9.4%
17.2%
17.9%
4.9%
7.2%
9.4%
10.6%
全くあてはまらない
「知識・経験」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。
その結果を図 18 に示す。「非常にあてはまる」と「あてはまる」という回答に着目すると、「Q18-11 社員の大半
のパソコンのセキュリティ設定が管理されず、社員任せになっている」、「Q18-2 開発物(ソースコード)を自由
に持ち出せる技術的なスキルをもっている」が 65%と高い。11 項目の知識・経験のうち、6項目で過半数が不
正行為を高める要因として「あてはまる」と回答している。
0%
20%
Q18-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せに
なっている
40%
19.6%
60%
80%
46.7%
100%
25.3%
3.0%
5.4%
Q18-2 開発物(ソースコード)を自由に持ち出せる技術的なスキルをもっている
18.8%
46.6%
3.5%
25.2%
5.8%
Q18-8 自分が社内の情報システムの管理者ではないが、情報システムへのアク
セス管理を操作できる
11.9%
45.2%
32.7%
3.8%
6.4%
Q18-10 社内の開発物や重要な情報を誰にも知られずに閲覧・編集する方法を
知っている
12.6%
Q18-1 開発物(ソースコード)を自由に持ち出せる権限をもっている
14.3%
43.9%
33.3%
3.6%
6.6%
40.3%
4.4%
32.0%
9.0%
Q18-4 社内の誰にも知られずに、インターネット上のWebサイトに情報を公開する
方法を知っている
13.0%
40.8%
4.0%
33.4%
8.7%
Q18-5 これまでに、インターネット上のWebサイトに情報を公開しても、誰からも注
意や指摘を受けなかった
Q18-6 社内で、自分よりも情報システムについて理解している人がいない
12.6%
39.3%
4.2%
35.4%
8.5%
9.6%
34.2%
40.9%
4.5%
10.8%
Q18-9 自分が社内の情報システムの管理者ではないが、不正操作した証拠を消
去することができる
8.8%
32.3%
44.3%
4.4%
10.2%
Q18-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されな
かった
8.6%
29.2%
44.7%
5.2%
12.2%
Q18-3 同僚がインターネット上のWebサイトに情報を公開していることを知っている 6.0%
25.5%
49.4%
5.8%
13.4%
非常にあてはまる
あてはまる
どちらともいえない
あまりあてはまらない
図 18 知識・経験(シナリオⅡ)
45
全くあてはまらない
不正行為への気持ちを低下させる「対策」について尋ねた結果を図 19 に示す。「非常にあてはまる」と「あ
てはまる」という回答に着目すると、「Q19-17 社内システムの操作の証拠が残る」、「Q19-14CD や USB メモ
リ等の外部記憶媒体への書き出しや持ち出しを制限する」、「Q19-9 社内システムにログインするための ID や
パスワードの管理を徹底する」、「Q19-12 退職者のアカウントは即日削除する」は 75%を超える結果となった。
一方、「Q19-10 職場に監視カメラを設置する」は合計で 35%程度と最も低く、「Q19-8 社外や業務時間外に
仕事をしなくても済むように業務量を軽減する」、「Q19-4 管理者を増員する等社内の監視体制を強化する」も
合計が 5 割に満たない結果となった。
0%
20%
Q19-17 社内システムの操作の証拠が残る
40%
60%
31.6%
80%
100%
2.7%
46.1%
18.8%
0.7%
3.5%
Q19-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する
46.4%
30.5%
18.5%
1.0%
2.8%
Q19-9 社内システムにログインするためのIDやパスワードの管理を徹底する
30.4%
46.0%
19.6%
1.1%
3.4%
Q19-12 退職者のアカウントは、即日、削除する
33.6%
41.7%
20.3%
1.1%
3.1%
Q19-6 職務上で開発した開発物を公開した場合の罰則規定を強化する
46.0%
28.7%
0.9%
21.3%
3.3%
30.8%
Q19-5 職務上で作成・開発した開発物は、企業に帰属すること
43.6%
21.4%
0.9%
3.2%
Q19-11 社内の重要な情報を暗号化する
45.2%
28.4%
0.9%
22.3%
3.1%
Q19-2 開発物(ソースコード)にアクセスした人が監視される
44.5%
27.4%
24.1%
1.0%
3.5%
24.6%
Q19-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
45.6%
25.3%
1.0%
4.5%
23.9%
Q19-1 開発物(ソースコード)は特定の職員のみアクセスできるようにする
45.7%
24.9%
1.0%
4.5%
Q19-3 ネットワークへの利用制限を設ける
45.6%
23.2%
25.8%
0.9%
4.2%
Q19-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
20.2%
48.2%
26.3%
1.1%
4.5%
Q19-19 これまでに、同僚が行ったルール違反が発覚し、処罰されたことがある
17.9%
43.7%
Q19-7 ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシを含む)に抵触しそうな事柄についての
問い合わせ窓口を設置する
13.3%
Q19-15 上司や同僚に頻繁に相談できる環境がある
14.1%
41.6%
Q19-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る
13.9%
41.1%
31.9%
46.2%
2.0%
32.7%
35.1%
31.7%
6.0%
1.8%
7.2%
2.0%
10.4%
2.9%
6.4%
Q19-18 これまでに、同僚が行ったルール違反が発見されたことがある
12.1%
Q19-4 管理者を増員する等社内の監視体制を強化する
11.7%
Q19-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する
11.7%
Q19-10 職場に監視カメラを設置する
39.4%
35.4%
8.6%
25.7%
図 19 対策(シナリオⅡ)
40.7%
41.2%
あてはまる
1.9%
39.5%
33.7%
非常にあてはまる
46
40.2%
どちらともいえない
11.2%
2.1%
11.6%
2.3%
18.3%
あまりあてはまらない
全くあてはまらない
6.2%
ここでは、環境・機会に関する要因について、どの要因が不正行為を行いたいという気持ちを比較的高める
かについて、シナリオ毎に調べてみる。そのために、調査票で、回答者があるシナリオ X の質問 Y に対して、(1)
「不正行為への気持ちが高まらない/不正行為を誘発した要因として全くあてはまらない」と回答した場合は 1、
(2)「1-25%高まる/あまりあてはまらない」と回答した場合は 2、(3)「26-50%高まる/どちらともいえない」と回
答した場合は 3、(4)「51-75%高まる/あてはまる」と回答した場合は 4、(5)「76-100%高まる/非常にあては
まる」と回答した場合は 5 とする。そして、そのシナリオ X の質問 Y に関する回答の平均値を計算する。これを
シナリオ X の環境・機会に関する全ての質問で行い25、平均値の高い順からランク付けをする。これを全てのシ
ナリオで行い、その結果をまとめたのが図 20 である。各シナリオで平均値上位 10 位の要因は図中のセルをオ
レンジ色で塗りつぶしてある。
シナリオⅠ
システム管理が杜撰で、顧客情報などの
重要な情報を簡単に持ち出せることを
知っていた。
パソコンやUSBメモリ等の情報端末の
持込制限が厳しい
平均値
シナリオⅡ
シナリオなし シナリオⅠ
3.820
3.882
2.490
2
1
3
3.033
3.216
1.922
17
16
19
職場に管理者がいないため、見つからない
3.316
3.482
2.314
14
10
8
ルール違反に関して社内に相談窓口が
ない
3.301
3.238
1.927
15
15
18
社内システムにログインするためのIDや
パスワードの管理が徹底されていない
3.654
3.735
2.351
5
5
6
退職者のアカウントが削除されていない
3.402
3.580
2.269
10
9
10
職場への入退口に警備員がいない
3.084
3.181
1.984
16
17
15
不正を行う十分な時間がある
3.382
3.429
2.260
11
11
11
職場で頻繁にルール違反が繰り返されてい
る
3.353
3.375
2.584
12
12
1
社内ルールや規則(セキュリティポリシー
を含む)が徹底されていない
3.863
3.829
2.329
1
2
7
社内ルールや規則(セキュリティポリシー
を含む)が厳しく、遵守するための負担が大き
い
2.821
3.053
1.938
19
19
17
社内ルールや規則を違反した際、罰則が
ない
3.484
3.633
2.515
8
8
2
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育の
制度が整っていない
3.648
3.665
2.158
6
7
12
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
3.702
3.771
2.355
4
4
5
社内の重要な情報が暗号化されていない
3.611
3.729
2.295
7
6
9
パソコンやシステム内の情報の持出に関して
制御をしたり、監視するシステムがない
3.817
3.809
2.370
3
3
4
パソコンやUSBなどの会社備品に
会社の管理シールが貼られていない
3.436
3.365
2.010
9
13
14
職場に監視カメラがない
2.988
3.075
1.969
18
18
16
社内への入退出時に手荷物検査がない
3.340
3.359
2.049
13
14
13
図 20 環境・機会
25
順位
シナリオⅡ シナリオなし
調査票で該当する質問は、Q17(シナリオⅠ)、Q22(シナリオⅡ)、Q26(シナリオなし)である。
47
これを見ると、「システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた」
26
、「パソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがない」が、全てのシナリオ
において、上位 5 位以内に入っているばかりでなく、図 8 が示しているように、比較的多くの回答者が、これら二
つの要因は不正行為への気持ちを高めると答えている。「社内ルールや規則を違反した際、罰則がない」もラ
ンクは若干下がるものの、比較的多くの回答者が要因として挙げている。このことから、今回の調査では、環
境・機会に関しては、これら 3 つの要因が内部不正行為への気持ちを高めるものと言える。
図 20 の順位欄には、シナリオ別の各平均値の順位が示されている。シナリオⅠのランクを見ると上から「10、
8,11、・・・、16、13、9」、シナリオⅡは「9、16、11、・・・、14、13、10」、シナリオなしは「7、2、12、・・・、10、4、5」
となっている。もし、この 3 つの数値配列が大きく異なると、どの要因が不正行為への気持ちを比較的に高める
のかがシナリオ間で大きく異なることを意味する。そこで、実際にはどうなのかを確認してみたところ、「シナリオ
間で大きく異なる」という結果が得られた。27
26
「システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた」であるが、シナリオⅡ、シナリオ
なしの二つと、シナリオⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。
27
3つのシナリオの順位に統計学的に有意な差があるかどうか、フリードマン検定を行い確認したところ、5%有意水準で 3 つの
順位の間に相違があるという結果が得られた。だが、具体的に、どのシナリオの順位とどのシナリオの順位の間に相違があるの
か、この結果からは分からない。
48
ここでは、知識・経験に関する要因について、どの要因が不正行為を行いたいという気持ちを比較的高める
かについて、先程の環境・機会と同じ要領で、シナリオ毎に調べてみる。図 21 は平均値の計算結果、及び順位
をまとめたものである28。質問数が少ないこともあり、先程とは異なり、各シナリオで平均値上位 10 位ではなく、
上位 5 位の要因のセルをオレンジ色で塗りつぶしてある。
これを見ると、全てのシナリオで上位 5 位に入る要因は見当たらないが、「社内の誰にも知られずに、顧客情
報などの重要な情報を持ち出せる方法を知っている」29が、二つのシナリオで上位に入っていて、残りの一つで
も中位であり、更に図 6 から分かるように比較的多くの回答者が不正行為への気持ちを高める要因と答えてい
る。このことから、知識・経験では、この要因が内部不正行為への気持ちを高めるものと言えるのではないだろ
うか。
ここでも、どの要因が不正行為への気持ちを比較的に高めるのかがシナリオ間で異なるか否か調べてみた。
すると、先程とは異なり、シナリオ間で大きな差がないという結果がでた30。つまり、どの要因が不正行為への気
持ちを比較的高めるかに関して、3 つのシナリオ間で大きな差はないということになる。
シナリオⅠ
平均値
シナリオⅡ
シナリオなし シナリオⅠ
順位
シナリオⅡ シナリオなし
顧客情報などの重要な情報を自由に
持ち出せる権限をもっている
3.512
3.600
2.453
5
7
8
顧客情報などの重要な情報を自由に
持ち出せる技術的なスキルをもっている
3.713
3.703
2.433
2
3
9
同僚も顧客情報などの重要な情報を
自由に持ち出していることを知っている
3.125
3.395
2.460
11
9
7
3.500
3.753
2.556
6
2
1
3.477
3.649
2.546
7
4
2
社内で、自分以上に情報システム
について理解している人がいない
3.335
3.312
2.474
8
11
6
かつて同僚がルール違反を行ったことが
発覚したが、社内で処罰されなかった
3.239
3.383
2.499
10
10
4
3.551
3.642
2.377
4
5
11
3.309
3.412
2.525
9
8
3
3.552
3.626
2.480
3
6
5
3.745
3.808
2.430
1
1
10
社内の誰にも知られずに、顧客情報
などの重要な情報を持ち出せる方法を
知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
自分が情報システムの管理者ではない
が、情報システムへのアクセス管理を操作で
きる
自分が情報システムの管理者では
ないが、不正操作した証拠を消去すること
ができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を知って
いる
社員の大半のパソコンのセキュリティ設定
が管理されず、社員任せになっている
図 21 知識・経験
28
計算結果は調査票内の質問(Q18(シナリオⅠ)、Q23(シナリオⅡ)、Q27(シナリオなし))の回答を基にしている。
「社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている」であるが、シナリオⅡ、シナリオなし
の二つと、シナリオⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。
30
先程と同様にフリードマン検定を行ったところ、5%有意水準で 3 つの順位の間に同じという可能性を否定できないことが分か
った。つまり、(統計学的には厳密には正しくないが、直感的な言い方をすると)3 つの順位には、仮に差があったとしても決して大
きくはないということである。
29
49
調査票 Q19(シナリオⅠ)、Q24(シナリオⅡ)、Q28(シナリオなし)において、対策に関して調査したがここ
では、各シナリオにおいて、どの対策が不正行為を行いたいという気持ちを比較的低下させるかについて見て
みる。これまでと同じような要領で、調査票で、回答者があるシナリオ X の質問 Y に対して、(1)「(この対策で
は)不正行為への気持ちが全く低下しない/この対策は全く効果的ではない」と回答した場合は 1、(2)「不正
行為への気持ちが 1-25%低下する/効果的ではない」と回答した場合は 2、(3)「気持ちが 26-50%低下する/
どちらともいえない」と回答した場合は 3、(4)「気持ちが 51-75%低下する/効果的である」と回答した場合は
4、(5)「気持ちが 76-100%低下する/大変効果的である」と回答した場合は 5 とする。そして、平均値を計算し、
順位付けを行う。31その結果をまとめたのが、図 22 である。各シナリオで平均値上位 10 位の対策は図中のセ
ルをオレンジ色で塗りつぶしてある。
シナリオⅠ
平均値
シナリオⅡ
シナリオなし シナリオⅠ
順位
シナリオⅡ シナリオなし
顧客情報などの重要な情報は、特定の
職員のみアクセスできるようにする
3.870
3.937
3.149
10
9
7
顧客情報などの重要な情報にアクセス
した人が監視される
3.941
3.957
3.327
8
6
2
ネットワークへの利用制限を設ける
3.857
3.845
3.051
11
11
12
管理者を増員する等、社内の監視体制を強化する
3.434
3.500
2.877
18
16
15
職務上で作成・開発した成果物は、企業に帰属する
ことを研修で周知徹底する
4.001
3.974
3.033
5
5
14
顧客情報などの重要な情報を持ち出した場合の
罰則規定を強化する
3.986
3.991
3.263
6
2
3
ルール違反や禁止行為に抵触しそうな事柄に
ついての問い合わせ窓口を設置する
3.631
3.556
2.670
14
15
18
社外や業務時間外に仕事をしなくても済むように
業務量を軽減する
3.408
3.294
2.673
19
19
17
社内システムにログインするためのIDや
パスワードの管理を徹底する
4.018
3.978
3.135
3
3
8
職場に監視カメラを設置する
3.122
3.179
2.728
20
20
16
社内の重要な情報が暗号化されている
3.970
3.957
3.188
7
7
6
退職者のアカウントは、即日、削除される
4.033
3.943
3.040
2
8
13
パソコンやUSBメモリなどの会社備品
に会社の管理シールが貼られている
3.525
3.492
2.593
17
17
19
CDやUSBメモリ等の外部記憶媒体への
書き出しや持ち出しが制限されている
4.018
3.977
3.055
4
4
11
上司や同僚に頻繁に相談できる環境がある
3.585
3.439
2.575
15
18
20
システム管理権限が複数人に設定され、ルール
違反の相互監視が徹底されている
3.822
3.796
3.123
12
12
9
社内システムで行ったルール違反の
痕跡を消すことが難しい
4.051
4.045
3.504
1
1
1
これまでに同僚が行ったルール違反が
発見されたことがある
3.534
3.603
3.118
16
14
10
これまでに同僚が行ったルール違反が
発覚し、処罰されたことがある
3.711
3.711
3.228
13
13
4
情報システムの管理者以外に、情報
システムへのアクセス管理を操作できない
3.894
3.891
3.219
9
10
5
図 22 対策
31
計算結果は調査票内の質問(Q19(シナリオⅠ)、Q24(シナリオⅡ)、Q28(シナリオなし)の回答を基にしている。
50
これを見ると、「社内システムで行ったルール違反の痕跡を消すことが難しい」が、全てのシナリオにおいて、
最も不正行為への気持ちを低下させることが分かる。更に、図 7 が示しているように、一番多くの回答者が、こ
の対策は不正行為への気持ちを低下させると答えている。これらを併せて考えると、今回の調査では、この対
策は不正行為への気持ちを最も低下させるものと言える。
これ以外の対策に関してであるが、「顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する」
32
、「社内の重要な情報が暗号化されている」の二つはいずれのシナリオにおいても上位 7 位までに入ってい
て、「顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする」、「顧客情報などの重要な情
報にアクセスした人が監視される」、「社内システムにログインするための ID やパスワードの管理を徹底する」、
「情報システムの管理者以外に、情報システムへのアクセス管理を操作できない」の 4 つは全シナリオにて上
位 10 位までに入っている。更に、これら 6 つの対策は図 7 から分かるように、多くの回答者が効果を期待でき
ると答えている。これらのことから、少し基準を厳しくするなら、全てのシナリオで上位7位までに入っている3つ
の対策、緩くするなら上位 10 位までに入っている7つの対策が不正行為への気持ちを比較的低下させるもの
と言える。
ここでも、どの要因が不正行為への気持ちを比較的に低下させるのかがシナリオ間で異なるのか否か調べ
てみた。その結果、「シナリオ間で大きく異なる」ということが分かった。
32
「顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する」であるが、シナリオⅡ、シナリオなしの二つと、シナリ
オⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。
51
5.1.2
経営者及びシステム管理者に限定したアンケートの結果
経営者、システム管理者へのアンケートの結果を図 21 に示す。下記は、経営者、システム管理者に内部不
正に関わる「対策の実施状況」を尋ねた結果である。この結果によると、「Q8-9 社内システムにログインするた
めの ID やパスワードの管理が徹底されている」が 31.9%で最も高い結果となった。「Q8-1 開発物(ソースコー
ド)や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている」(29.4%)、「Q8-12 退職
者のアカウントは、即日、削除される」(27.5%)が続く結果となった。
一方、何らかの理由で実施したいが実施できていないものは、「Q8-4 管理者を増員する等社内の監視体制
を強化することで、不正行為を行いにくい環境を整備する」(合計 36.25%)が最も多く、「Q8-11 社内の重要
な情報が暗号化されている」(合計 32.5%)が続く結果となった。
0%
10%
20%
30%
40%
29.4%
Q8-1.開発物(ソースコード)や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている
50%
60%
23.1%
70%
80%
90%
6.9%
9.4%
26.9%
4.4%
Q8-2.開発物(ソースコード)や顧客情報などの重要情報にアクセスした人がアクセスログ等によって確認されるようになっている
16.9%
21.9%
13.8%
8.8%
32.5%
8.1%
33.1%
6.3%
22.5%
Q8-3.ネットワークへの利用制限がある
18.1%
11.9%
6.3%
14.4%
Q8-4.管理者を増員する等社内の監視体制を強化することで、不正行為を行いにくい環境を整備する
13.1%
Q8-5.職務上で作成・開発した成果物は、企業に帰属すること(不正競争防止法に抵触すること)を研修で周知徹底する
18.1%
6.9%
14.4%
26.9%
11.3%
36.3%
10.0%
13.1%
30.6%
5.0%
21.9%
Q8-6.ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシを含む)に対する罰則規定を強化する
13.1%
12.5%
35.6%
11.3%
5.6%
Q8-7.ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシを含む)に抵触しそうな事柄についての問い合わせ窓口が
設置されている
18.8%
Q8-8.社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する
18.8%
10.6%
12.5%
15.0%
10.0%
31.3%
Q8-9.社内システムにログインするためのIDやパスワードの管理が徹底されてい
7.5%
38.1%
12.5%
6.9%
11.3%
15.6%
38.1%
10.6%
7.5%
31.3%
3.8%
Q8-10.職場に監視カメラを設置している
10.6%
10.0%
15.0%
48.8%
3.8%
11.9%
Q8-11.社内の重要な情報が暗号化されている(社内の重要な情報は限られた関係者しか閲覧できない)
14.4%
18.8%
16.3%
34.4%
12.5%
3.8%
Q8-12.退職者のアカウントは、即日、削除される
27.5%
13.8%
13.1%
30.6%
9.4%
5.6%
Q8-13.パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている
21.9%
Q8-14.CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている
19.4%
24.4%
8.1%
18.8%
5.0%
8.1%
6.9%
37.5%
9.4%
34.4%
6.3%
Q8-15.上司や同僚に頻繁に相談できる環境が整備されている
23.1%
Q8-16.システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
15.6%
25.0%
20.6%
7.5%
9.4%
7.5%
7.5%
29.4%
35.6%
9.4%
9.4%
Q8-17.社内システムで行ったルール違反の痕跡を消すことが難しい
18.1%
14.4%
10.6%
36.9%
12.5%
7.5%
Q8-18.社員や従業員が行ったルール違反を発見した場合、注意することを取り決めたルールや規定がある
21.3%
Q8-19.社員や従業員が行ったルール違反を発見した場合、処罰することを取り決めたルールや規定がある
18.1%
23.1%
6.3%
20.0%
11.3%
6.3%
7.5%
36.9%
9.4%
36.3%
3.8%
Q8-20.情報システムの管理者以外に、情報システムへのアクセス管理が操作できないようになっている
24.4%
20.6%
10.6%
10.0%
3.8%
(1)実施している
(2)一部で実施している
(3)実施したいが費用面の理由で実施できていない
(4)実施したいが人材不足のため実施できていない
(5)実施したいが(3)及び(4)以外の理由で実施できていない
(6)効果が認められないと思うため実施していない
図 21 対策の実施状況
52
30.6%
100%
図 22 は、内部不正行為対策を実施している経営者、システム管理者向けに「効果があると思う対策」を尋
ねた結果である。これによると、「開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようにな
っている」が 20.9%で最も高く、「情報システム管理者以外に、情報システムへのアクセス管理が操作できない
ようになっている」が 12.7%、「社内システムにログインするための ID やパスワードの管理が徹底されている」
が 11.8%である。
0
5
10
Q10-1開発物や顧客情報などの重要情報は特定の職員のみアクセスできるよ
うになっている
Q10-20情報システムの管理者以外に、情報システムへのアクセス管理が操
作できないようになっている
Q10-9社内システムにログインするためのIDやパスワードの管理が徹底され
ている
12.7%
11.8%
8.2%
Q10-3ネットワークへの利用制限がある
7.3%
7.3%
6.4%
5.5%
Q10-11社内の重要な情報が暗号化されている
3.6%
Q10-15上司や同僚に頻繁に相談できる環境が整備されている
2.7%
Q10-6ルール違反や禁止行為に対する罰則規定を強化する
Q10-13パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られて
いる
Q10-19社員や従業員が行ったルール違反を発見した場合、処罰することを取
り決めたルールや規定がある
Q10-8社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要
情報を持ち出さないような業務運用を整備する
2.7%
2.7%
1.8%
1.8%
Q10-12退職者のアカウントは、即日、削除される
Q10-10職場に監視カメラを設置している
Q10-16システム管理権限が複数人に設定され、ルール違反の相互監視が徹
底されている
Q10-7ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口
が設置されている
Q10-17社内システムで行ったルール違反の痕跡を消すことが難しい
1.8%
0.9%
0.9%
0.9%
0.0%
0.0%
図 22 効果があると思う対策(対策を導入済みの企業のみ)
53
20
25
20.9%
Q10-2開発物や顧客情報などの重要情報にアクセスした人がアクセスログ等
によって確認されるようになっている
Q10-14CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限さ
れている
Q10-5職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹
底する
Q10-18社員や従業員が行ったルール違反を発見した場合、注意することを取
り決めたルールや規定がある
Q10-4管理者を増員する等社内の監視体制を強化することで、不正行為を行
いにくい環境を整備する
15
表 36 では、左側に内部不正への気持ちが低下する対策のうち上位 5 つの対策を示し、これに対して右側に
経営者・システム管理者が既存の対策で一番有効と考える対策を示している。
社員の内部不正への気持ちが低下する対策の 1 位の「社内システムの操作の証拠が残る」に対して、「社
内システムで行ったルール違反の痕跡を消すことが難しい」を誰も選択しておらず、21 項目中 19 位という結
果であった。「社内システムの操作の証拠が残る」は、他の項目と比較しても選択された割合が高いことから、
社内システムで操作が残る機能を導入し、このような機能が導入されたことを社員に通知することが、内部不
正防止に有効であると考えられる。
また、4 位の「社内システムにログインするための ID やパスワードの管理を徹底する」は、社員と、経営者・シ
ステム管理者で上位に挙がっている。しかし、有効と考えられている一方で、4.3.3節のインタビュー調査の結
果から、ID やパスワードの管理が甘いことによる内部不正が発生している。
表 36 対策に関するアンケート結果(上位5位:社員)
社員
対応項目に対する経営
者・管理者の結果
内容
順位
順位
割合※1
1位
54.2%
2位
37.5%
3位
36.2%
これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
4位
31.6%
社内システムにログインするための ID やパスワードの管理を徹底する
3 位
5位
31.4%
顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
10 位
社内システムの操作の証拠が残る
顧客情報などの重要な情報にアクセスした人が監視される
(アクセスログの監視等を含む)
※1 内部不正への気持ちが低下すると回答した回答者の割合。
※2 効果が見込める対策と回答した回答者の割合。
54
割合※2
19 位
0.0%
5 位
7.3%
10 位
2.7%
11.8%
2.7%
(社員:n=3,000、経営者・管理者:n=110)
図 23 は、対策を実施していない企業の経営者、システム管理者向けに「実施してみたい対策」を尋ねた結
果である。この結果によると、「導入したい対策は無い」が 26.5%と最も多く、内部不正及び内部不正に関する
対策への意識(当事者意識を含む)が低いことがわかる。これを除くと、「社外や業務時間外に仕事をしなくて
も済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する」と「社内の重要な情報が
暗号化されている」が 19.3%で最も多い。
0
5
10
15
20
Q12-8社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要
情報を持ち出さないような業務運用を整備する
19.3%
Q12-11社内の重要な情報が暗号化されている
19.3%
Q12-2開発物や顧客情報などの重要情報にアクセスした人がアクセスログ等
によって確認されるようになっている
Q12-4管理者を増員する等社内の監視体制を強化することで、不正行為を行
いにくい環境を整備する
Q12-5職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹
底する
30
18.1%
18.1%
18.1%
18.1%
Q12-6ルール違反や禁止行為に対する罰則規定を強化する
16.9%
Q12-3ネットワークへの利用制限がある
Q12-9社内システムにログインするためのIDやパスワードの管理が徹底され
ている
Q12-1開発物や顧客情報などの重要情報は特定の職員のみアクセスできるよ
うになっている
Q12-14CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限さ
れている
Q12-7ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口
が設置されている
16.9%
15.7%
15.7%
14.5%
Q12-12退職者のアカウントは、即日、削除される
14.5%
Q12-13パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られて
いる
14.5%
13.3%
Q12-17社内システムで行ったルール違反の痕跡を消すことが難しい
Q12-18社員や従業員が行ったルール違反を発見した場合、注意することを取
り決めたルールや規定がある
Q12-20情報システムの管理者以外に、情報システムへのアクセス管理が操
作できないようになっている
13.3%
12.0%
Q12-10職場に監視カメラを設置している
10.8%
Q12-16システム管理権限が複数人に設定され、ルール違反の相互監視が徹
底されている
10.8%
Q12-15上司や同僚に頻繁に相談できる環境が整備されている
9.6%
Q12-19社員や従業員が行ったルール違反を発見した場合、処罰することを取
り決めたルールや規定がある
9.6%
Q12-21該当するものはない(導入したい対策はない)
図 23 導入してみたい対策(対策をまだ導入していない企業のみ)
55
25
26.5%
図 24 は、社内で社員によるインシデント等の不正行為が発生した場合、「他組織・団体がセキュリティ対策
を検討する際の参考事例になるように、そのインシデントの情報を公開する」ことはないと回答した企業に対し
てその理由を尋ねた結果である。
この結果によると、「社内対応で十分である」と考えている企業が 27.5%、「風評被害など企業のイメージダ
ウンとなる可能性がある」が 25.0%となっている。
0%
社内対応で十分
情報を開示することにより、競合他社に利用さ
れるおそれがある
20.0%
15.0%
風評被害など企業のイメージダウンとなる可能
性がある
影響しない
40%
27.5%
関係者との調整が困難
影響する
20%
40.0%
38.8%
どちらともいえない
56
80%
35.0%
25.0%
図 24 公開しない理由
60%
100%
31.3%
6.3%
32.5%
7.5%
38.8%
36.3%
わからない
33.8%
7.5%
5.0%
5.2
5.2.1
集計結果の分析と考察
属性別の結果に関する分析と考察
ここでは、回答者を属性毎のグループに分け、各グループの不正行為への気持ちの高まり/低下の程度につ
いて、シナリオなしの場合の回答(調査票の Q25(動機・プレッシャー)、Q26(環境・機会)、Q27(知識・経験)、
Q28(対策))を用いて、比較、分析してみる。45 ページから 49 ページで述べたのと同じ要領で、グループ X 内
の回答者の質問 Y に対する回答に対して、1-5 の 5 段階の数値を割り当て、同グループにおける質問 Y の回
答の平均値を計算する。これを全ての質問に対して、更に全てのグループに関して行い、算出された平均値に
ついてグループ間で比較、検証する。
取り上げる属性は、(1)年齢、(2)職位、(3)職業、(4)内部不正行為の経験の有無、(5)勤務先組織で
ISMS が実施されているかどうかの5つである。
(1)年齢
全回答者を 20 代、30 代、40 代、50 代、60 代以上の 5 つのグループに分類し33、個々の質問に対する各グ
ループの回答の平均値を計算する。その結果は図 27 の通りである。ピンク色のセル内の値は、各質問に対す
る 5 つの平均値の中の最小値であり、黄色のセル内の値は最大値である。
33
10 代の回答者は11人しかおらず、この年代の傾向を把握するには数が少ないので、分析対象から外している。
57
動機・プレッシャー
知識・経験
20-29歳 30-39歳 40-49歳 50-59歳 60歳以上
(366人) (665人) (854人) (675人) (429人)
自分が作成した成果物(顧客情報
一覧)は、自由に使ってよいと思う
2.34 2.23 2.30 2.37
転職の誘いがあり、これまでの成果
(顧客情報)を公開することで、有利
に転職ができる
2.51 2.46 2.59 2.72
2.568 2.565 2.64
2.43
2.82
2.73
2.78
上司の仕事への取組み方や上司の
人間性に不満がある
2.55 2.59 2.61 2.70
2.69
プロジェクトや業務の進め方に不満
がある
2.38 2.32 2.34 2.39
2.49
業務が忙しいため、自宅で作業を
する必要がある
2.48 2.37 2.26 2.28
2.30
社内の人事評価に不満がある
給与や賞与に不満がある
2.62 2.57 2.60 2.62
2.69
退職金に不満がある
2.41 2.38 2.40 2.53
2.52
不当だと思う解雇通告を受けた
3.37 3.34 3.37 3.43
3.49
職場でいじめや脅迫を受けた
2.41 2.37 2.39 2.48
2.47
ルールを違反しても個人や企業を特
定されない自信がある
2.37 2.32 2.39 2.45
2.50
20-29歳 30-39歳 40-49歳 50-59歳 60歳以上
(366人) (665人) (854人) (675人) (429人)
顧客情報などの重要な情報を自由に
持ち出せる権限を持っている
顧客情報などの重要な情報を
自由に持ち出せる技術的な
スキルを持っている
同僚も顧客情報などの重要な
情報を自由に持ち出していることを
知っている
社内の誰にも知られずに、顧客
情報などの重要な情報を持ち
出せる方法を知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行った
ことが発覚したが、社内で処罰
されなかった
自分が情報システムの管理者ではな
いが、情報システムへのアクセス管理
を操作できる
自分が情報システムの管理者ではな
いが、不正操作した証拠を消去
することができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を
知っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せに
なっている
環境・機会
2.43 2.38 2.40 2.49
2.64
2.41 2.36 2.38 2.47
2.61
2.43
2.52
2.66
2.53 2.46 2.49 2.64
2.74
2.54 2.42 2.49 2.65
2.70
2.45 2.42 2.41 2.52
2.65
2.41 2.44 2.45 2.61
2.59
2.30 2.26 2.34 2.47
2.57
2.45 2.48 2.46 2.60
2.69
2.42 2.37 2.45 2.58
2.62
2.32 2.33 2.40 2.51
2.61
2.3880 2.3876
対策
20-29歳 30-39歳 40-49歳 50-59歳 60歳以上
(366人) (665人) (854人) (675人) (429人)
20-29歳 30-39歳 40-49歳 50-59歳 60歳以上
(366人) (665人) (854人) (675人) (429人)
システム管理が杜撰で、顧客情報な
どの重要な情報を簡単に持ち
出せることを知っていた
2.42 2.37 2.43 2.62
2.67
顧客情報などの重要な情報は、特定
の職員のみアクセスできるようにする
3.11 3.04 3.15 3.19
3.26
パソコンやUSBメモリ等の情報端末
の持込制限が厳しい
1.97 1.88 1.85 1.96
2.02
顧客情報などの重要な情報に
アクセスした人が監視される
3.33 3.21 3.38 3.36
3.35
職場に管理者がいないため、
見つからない
2.35 2.25 2.24 2.40
2.40
ネットワークへの利用制限を設ける
3.09 3.00 3.07 3.04
3.07
ルール違反に関して社内に
相談窓口がない
1.95 1.85 1.86 2.00
2.05
管理者を増員する等、社内の監視
体制を強化する
3.02 2.84 2.91 2.77
2.89
2.56
職務上で作成・開発した成果物は、
企業に帰属することを研修で周知
徹底する
3.03 2.93 3.05 3.06
3.11
2.48
顧客情報などの重要な情報を持ち出
した場合の罰則規定を強化する
3.27 3.19 3.31 3.26
3.25
2.72 2.623 2.621 2.66
2.79
社内システムにログインする
ためのIDやパスワードの管理が
徹底されていない
退職者のアカウントが削除されて
いない
2.28 2.23 2.29 2.46
2.20 2.17 2.20 2.36
職場への入退口に警備員がいない
2.02 1.886 1.892 2.09
2.11
ルール違反や禁止行為に抵触
しそうな事柄についての問い
合わせ窓口を設置する
不正を行う十分な時間がある
2.31 2.18 2.21 2.35
2.31
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
2.87 2.69 2.60 2.61
2.70
職場で頻繁にルール違反が
繰り返されている
2.60 2.55 2.52 2.66
2.61
社内システムにログインするための
IDやパスワードの管理を徹底する
3.13 3.03 3.12 3.16
3.29
2.27 2.25 2.26 2.43
2.48
職場に監視カメラを設置する
3.04 2.69 2.71 2.63
2.66
1.99 1.92 1.84 2.03
1.98
社内の重要な情報が暗号化されて
いる
3.17 3.07 3.17 3.22
3.35
2.55 2.46 2.44 2.60
2.59
退職者のアカウントは、即日、削除
される
3.04 2.94 3.04 3.07
3.14
2.67 2.53 2.56 2.58
2.69
3.10 2.97 3.08 3.02
3.16
上司や同僚に頻繁に相談できる
環境がある
2.64 2.49 2.56 2.59
2.65
2.39 2.24 2.31 2.493 2.490
システム管理権限が複数人に
設定され、ルール違反の相互
監視が徹底されている
3.14 3.01 3.15 3.10
3.26
1.98 1.96 1.92 2.10
2.14
社内システムで行ったルール
違反の痕跡を消すことが難しい
3.57 3.38 3.55 3.50
3.55
職場に監視カメラがない
2.06 1.91 1.86 2.02
2.12
これまでに同僚が行ったルール違反
が発見されたことがある
3.16 3.11 3.12 3.11
3.09
社内への入退出時に手荷物検査が
ない
2.05 1.99 1.97 2.13
2.17
これまでに同僚が行ったルール違反
が発覚し、処罰されたことがある
3.28 3.17 3.25 3.21
3.24
情報システムの管理者以外に、情報
システムへのアクセス管理を操作
できない
3.23 3.11 3.23 3.23
3.32
社内ルールや規則(セキュリティ
ポリシーを含む)が徹底されて
いない
社内ルールや規則(セキュリティポリ
シーを含む)が厳しく、遵守する
ための負担が大きい
社内ルールや規則を違反した際、
罰則がない
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育
の制度が整っていない
2.17 2.090 2.093 2.22
2.28
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
2.27 2.26 2.29 2.47
2.53
社内の重要な情報が暗号化されて
いない
2.24 2.19 2.21 2.43
2.46
パソコンやシステム内の情報の
持出に関して制御をしたり、監視
するシステムがない
パソコンやUSBなどの会社備品に
会社の管理シールが貼られて
いない
パソコンやUSBメモリなどの会社備
品に会社の管理シールが貼られてい
る
CDやUSBメモリ等の外部記憶媒体
への書き出しや持ち出しが制限され
ている
図 27 年齢
58
まず、動機・プレッシャー、環境・機会、知識・経験の結果から見てみると、大まかな傾向として、全年代の中で
不正行為に対する気持ちが最も高まりにくいのは 30 代で、最も高まりやすいのが 60 代以上であることが分か
る。
図 27 を見てみると、年代が高くなるにつれて、(単調にというわけではないが)平均値が増加している、つまり
不正行為への気持ちの高まり具合が大きくなるケースが、少なからず見受けられる。そこで、そのような傾向が
本当にあるのか確認したところ、知識・経験においては全てのケースで、動機・プレッシャー、環境・機会に関し
ても半分以上のケースで、そのような傾向があることが分かった。34(図 27 中のセル内の数字が赤い(黒い)所
はそのような傾向がある(ない)と判定されたケースである。)
対策の結果に目を向けると、不正行為を行いたいという気持ちが最も低下するのは、多くのケースにおいて
60 代であり、一方気持ちの低下がそれほど起こらないのは 30 代である。
ここでも、先程と同じ要領で、年齢の上昇が、不正行為への気持ちの低下具合の上昇を伴っているか確認し
てみた。しかし、図 27 を見ると分かるように、8 割近くのケースにおいてそのような傾向がないことが分かった。
(2)職位
全回答者を一般社員、係長・主任、課長、部長の 4 つのグループに分類し35、年齢の時と同じ要領で平均値
の計算を行い、その結果を図 28 にまとめた。ピンク色のセル内の値、黄色のセル内の値は先程同様に各行の
最小値、最大値である。
動機・プレッシャー、環境・機会、知識・経験の結果から見てみると、傾向として、全職種の中で不正行為に対
する気持ちが最も高まりにくいのは係長・主任で、最も高まりやすいのが課長、或いは部長であることが分か
る。
ここでも、職位の上昇が不正行為への気持ちの高まり具合の上昇を伴う傾向があるのか確認してみた。その
結果は図 28 にまとめられており、先程と同様に、セル内の数値が赤い(黒い)場合は傾向がある(傾向がない)
と判定された場合である。環境・機会の場合は、約 6 割のケースにおいてそのような傾向があったが、動機・プ
レッシャーでは 4 割ほど、知識・経験については 1 つのケースでしかそのような傾向は見られなかった。
対策の結果については、不正行為への気持ちが最も低下するのは、多くのケースにおいて、一般職員であり、
気持ちの低下がそれほど起こらないのは、主に部長である。
ここでも、職位の上昇が不正行為への気持ちの低下具合の上昇を伴うか確認してみた。図 28 を見ると分か
るように、2 割ほどのケースにおいてそのような傾向があると判定された。
動機・プレッシャー、環境・機会、知識・経験に関して、先程の年齢の結果と今回の職位の結果を比べたとき、
「年齢が上がると、それに伴って職位も上がる傾向にあると思われるので、30 代と(年齢が比較的低いと思わ
れる)係長に最小値、60 代と(年齢が比較的高いと思われる)課長・部長に最大値が集中している」と考える
人がいるかも知れない。しかし、今回のデータでは、そもそも年齢と職位の間にそのような相関があるとは言い
にくいので36、年齢と職位の結果は切り離して考えるのが無難であると思われる。
34
35
36
確認にあたっては傾向検定を行い、傾向有無の判定は有意水準5%で行った。
経営層・役員の回答者は17 人しかおらず、このグループの傾向を把握するには数が少ないので、分析対象から外している。
今回の調査データでの年齢と職位の相関係数は 0.415 であり、それほど高いとは言えない値であった。
59
動機・プレッシャー
知識・経験
一般職員 主任・係長 課長
部長
(840人) (376人) (300人) (180人)
一般職員 主任・係長 課長
部長
(840人) (376人) (300人) (180人)
自分が作成した成果物(顧客情報
一覧)は、自由に使ってよいと思う
2.27
顧客情報などの重要な情報を自由に
2.23 2.38 2.47 持ち出せる権限を持っている
転職の誘いがあり、これまでの成果
(顧客情報)を公開することで、有利
に転職ができる
2.55
2.51 2.76 2.69
社内の人事評価に不満がある
2.64
2.54 2.78 2.66
上司の仕事への取組み方や上司の
人間性に不満がある
2.63
2.49 2.76 2.68
プロジェクトや業務の進め方に不満
がある
2.37
2.28 2.47 2.42
業務が忙しいため、自宅で作業を
する必要がある
2.363 2.359 2.26 2.28
給与や賞与に不満がある
2.63
2.53 2.67 2.71
退職金に不満がある
2.46
2.33 2.43 2.48
3.429
3.24 3.433 3.27
職場でいじめや脅迫を受けた
2.40
2.32 2.57 2.53
ルールを違反しても個人や企業を特
定されない自信がある
2.39
2.33 2.49 2.56
不当だと思う解雇通告を受けた
顧客情報などの重要な情報を
自由に持ち出せる技術的な
スキルを持っている
同僚も顧客情報などの重要な
情報を自由に持ち出していることを
知っている
社内の誰にも知られずに、顧客
情報などの重要な情報を持ち
出せる方法を知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行った
ことが発覚したが、社内で処罰
されなかった
自分が情報システムの管理者ではな
いが、情報システムへのアクセス管理
を操作できる
自分が情報システムの管理者ではな
いが、不正操作した証拠を消去
することができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を
知っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せに
なっている
環境・機会
2.44
2.42 2.61 2.62 の職員のみアクセスできるようにする
パソコンやUSBメモリ等の情報端末
の持込制限が厳しい
1.92
職場に管理者がいないため、
見つからない
ルール違反に関して社内に
相談窓口がない
2.54
2.49 2.63 2.60
2.50
2.44 2.60 2.69
2.47
2.36 2.53 2.50
2.46
2.41 2.57 2.66
2.37
2.33 2.47 2.36
2.50
2.47 2.61 2.60
2.48
2.42 2.58 2.54
2.40
2.35 2.55 2.52
1.86 1.97 2.09 アクセスした人が監視される
顧客情報などの重要な情報に
3.28
3.18 3.31 3.19
2.32
2.28 2.34 2.40 ネットワークへの利用制限を設ける
3.00 2.947 3.02 2.950
1.92
1.85 2.00 2.05 体制を強化する
管理者を増員する等、社内の監視
退職者のアカウントが削除されて
いない
2.22
2.13 2.40 2.46 した場合の罰則規定を強化する
1.96
2.23
2.54
職務上で作成・開発した成果物は、
企業に帰属することを研修で周知
徹底する
顧客情報などの重要な情報を持ち出
2.89
2.76 2.72 2.68
2.952
2.94 2.947 2.93
3.18
3.14 3.23 3.09
1.90 2.04 2.03
ルール違反や禁止行為に抵触
しそうな事柄についての問い
合わせ窓口を設置する
2.69
2.58 2.57 2.62
2.20 2.34 2.27
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
2.70
2.52 2.55 2.37
2.51 2.72 2.69
社内システムにログインするための
IDやパスワードの管理を徹底する
3.092
2.93 3.093 3.06
2.78
2.60 2.54 2.42
社内の重要な情報が暗号化されて
3.12
3.02 3.13 2.96
退職者のアカウントは、即日、削除
2.98
2.84 2.97 2.91
2.57
2.53 2.47 2.52
3.02
2.97 2.99 2.91
2.52
2.51 2.50 2.46
3.07
3.00 3.02 2.96
社内システムで行ったルール
3.49
3.37 3.39 3.38
これまでに同僚が行ったルール違反
3.15
2.92 3.02 3.03
これまでに同僚が行ったルール違反
3.22
3.13 3.17 2.98
3.22
3.08 3.13 3.03
2.2786 2.2793 2.423 2.422 職場に監視カメラを設置する
1.98
1.88 1.95 2.14 いる
2.48
2.42 2.55 2.62 される
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育
の制度が整っていない
2.12
2.07 2.267 2.267
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
2.30
2.27 2.46 2.48
社内の重要な情報が暗号化されて
いない
2.28
2.23 2.38 2.43 環境がある
パソコンやシステム内の情報の
持出に関して制御をしたり、監視
するシステムがない
パソコンやUSBなどの会社備品に
会社の管理シールが貼られて
いない
2.36 2.55 2.52
3.05 3.113 3.111
2.24 2.48 2.51
社内ルールや規則を違反した際、
罰則がない
2.41
3.10
2.29
社内ルールや規則(セキュリティ
ポリシーを含む)が徹底されて
いない
社内ルールや規則(セキュリティポリ
シーを含む)が厳しく、遵守する
ための負担が大きい
2.36 2.49 2.44
顧客情報などの重要な情報は、特定
社内システムにログインする
ためのIDやパスワードの管理が
徹底されていない
職場で頻繁にルール違反が
繰り返されている
2.43
一般職員 主任・係長 課長
部長
(840人) (376人) (300人) (180人)
システム管理が杜撰で、顧客情報な
どの重要な情報を簡単に持ち
出せることを知っていた
不正を行う十分な時間がある
2.36 2.47 2.48
対策
一般職員 主任・係長 課長
部長
(840人) (376人) (300人) (180人)
職場への入退口に警備員がいない
2.42
パソコンやUSBメモリなどの会社備
品に会社の管理シールが貼られてい
る
CDやUSBメモリ等の外部記憶媒体
への書き出しや持ち出しが制限され
ている
上司や同僚に頻繁に相談できる
システム管理権限が複数人に
設定され、ルール違反の相互
監視が徹底されている
2.34
2.29 2.48 2.53
1.98
1.93 2.04 2.14 違反の痕跡を消すことが難しい
職場に監視カメラがない
1.96
1.88 1.93 2.01 が発見されたことがある
社内への入退出時に手荷物検査が
ない
2.05
1.96 2.11 2.07 が発覚し、処罰されたことがある
情報システムの管理者以外に、情報
システムへのアクセス管理を操作
できない
図 28 職位
60
(3)職業
全回答者のデータのうち、正規職員(会社員(正社員)、公務員、団体職員)と非正規職員(会社員(契約社
員/派遣社員)、パート/アルバイト)のデータを用いて、これら 2 つのグループの平均値を計算した。結果は図
29 の通りである。
動機・プレッシャー
正規職員
(1801人)
自分が作成した成果物(顧客情報
一覧)は、自由に使ってよいと思う
知識・経験
非正規
職員
(616人)
顧客情報などの重要な情報を自由に
2.31 2.29 持ち出せる権限を持っている
転職の誘いがあり、これまでの成果
(顧客情報)を公開することで、有利
に転職ができる
2.59 2.54
社内の人事評価に不満がある
2.64 2.57
上司の仕事への取組み方や上司の
人間性に不満がある
2.62 2.53
プロジェクトや業務の進め方に不満
がある
2.36 2.33
業務が忙しいため、自宅で作業を
する必要がある
正規職員
(1801人)
2.332 2.328
給与や賞与に不満がある
2.62 2.51
退職金に不満がある
2.42 2.39
不当だと思う解雇通告を受けた
3.37 3.33
職場でいじめや脅迫を受けた
2.42 2.32
ルールを違反しても個人や企業を特
定されない自信がある
2.40 2.35
顧客情報などの重要な情報を
自由に持ち出せる技術的な
スキルを持っている
同僚も顧客情報などの重要な
情報を自由に持ち出していることを
知っている
社内の誰にも知られずに、顧客
情報などの重要な情報を持ち
出せる方法を知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行った
ことが発覚したが、社内で処罰
されなかった
自分が情報システムの管理者ではな
いが、情報システムへのアクセス管理
を操作できる
自分が情報システムの管理者ではな
いが、不正操作した証拠を消去
することができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を
知っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せに
なっている
環境・機会
非正規
職員
(616人)
2.44 2.39
2.43 2.35
2.43 2.41
2.55 2.47
2.53 2.45
2.46 2.43
2.49 2.43
2.38 2.29
2.53 2.48
2.49 2.38
2.43 2.34
対策
正規職員
(1801人)
非正規
職員
(616人)
正規職員
(1801人)
システム管理が杜撰で、顧客情報な
どの重要な情報を簡単に持ち
出せることを知っていた
2.49 2.39 の職員のみアクセスできるようにする
パソコンやUSBメモリ等の情報端末
の持込制限が厳しい
非正規
職員
(616人)
顧客情報などの重要な情報は、特定
3.10 3.25
1.93 1.86 アクセスした人が監視される
顧客情報などの重要な情報に
3.27 3.47
職場に管理者がいないため、
見つからない
2.32 2.24 ネットワークへの利用制限を設ける
2.99 3.19
ルール違反に関して社内に
相談窓口がない
1.93 1.86 体制を強化する
管理者を増員する等、社内の監視
2.81 3.07
社内システムにログインする
ためのIDやパスワードの管理が
徹底されていない
退職者のアカウントが削除されて
いない
職場への入退口に警備員がいない
不正を行う十分な時間がある
職場で頻繁にルール違反が
繰り返されている
社内ルールや規則(セキュリティ
ポリシーを含む)が徹底されて
いない
社内ルールや規則(セキュリティポリ
シーを含む)が厳しく、遵守する
ための負担が大きい
社内ルールや規則を違反した際、
罰則がない
2.34 2.27
職務上で作成・開発した成果物は、
企業に帰属することを研修で周知
徹底する
2.95 3.20
2.26 2.15
顧客情報などの重要な情報を持ち出
した場合の罰則規定を強化する
3.18 3.42
1.97 1.94
ルール違反や禁止行為に抵触
しそうな事柄についての問い
合わせ窓口を設置する
2.64 2.77
2.24 2.25
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
2.60 2.88
2.57 2.53
社内システムにログインするための
IDやパスワードの管理を徹底する
3.06 3.29
2.32 2.24 職場に監視カメラを設置する
1.96 1.85
3.09 3.41
退職者のアカウントは、即日、削除
2.95 3.22
2.50 2.44 される
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育
の制度が整っていない
2.14 2.08
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
2.34 2.28
社内の重要な情報が暗号化されて
いない
2.30 2.20 環境がある
パソコンやシステム内の情報の
持出に関して制御をしたり、監視
するシステムがない
パソコンやUSBなどの会社備品に
会社の管理シールが貼られて
いない
職場に監視カメラがない
社内への入退出時に手荷物検査が
ない
パソコンやUSBメモリなどの会社備
品に会社の管理シールが貼られてい
る
CDやUSBメモリ等の外部記憶媒体
への書き出しや持ち出しが制限され
ている
上司や同僚に頻繁に相談できる
2.37 2.29
2.66 2.97
社内の重要な情報が暗号化されて
いる
システム管理権限が複数人に
設定され、ルール違反の相互
監視が徹底されている
2.54 2.74
3.00 3.22
2.52 2.67
3.05 3.31
社内システムで行ったルール
3.45 3.63
1.940 1.981
これまでに同僚が行ったルール違反
が発見されたことがある
3.07 3.23
2.04 1.98
これまでに同僚が行ったルール違反
が発覚し、処罰されたことがある
3.18 3.34
情報システムの管理者以外に、情報
システムへのアクセス管理を操作
できない
3.16 3.37
2.00 1.97 違反の痕跡を消すことが難しい
図 29 職業
61
動機・プレッシャー、環境・機会、知識・経験では、ほぼ全てのケースにおいて、正規職員の平均値が非正規
職員のものより高かった。しかし、これだけで、正規職員の方が非正規職員よりも全般的に不正行為に対する
気持ちが高まりやすいと結論付けることはできない。正規職員と非正規職員の回答を更に検証すると、ほぼ全
てのケースで、両者の間に不正行為への気持ちの高まり具合にそもそも差があるかどうかは分からないという
結果が得られた。37(該当ケースに関しては、図 29 の数値が黒くなっている)。38
対策については、全ケースで非正規職員の平均値が正規職員の値より大きいという結果であったが、これ
に関してコメントが二つある。第一に、この結果は、正規職員の方が非正規職員に比べて内情に詳しく、不正行
為対策の回避法を知っているので、対策に対しても効果をそれほど認めないということを反映している考える
人がいるかも知れないが、それは正しいとは言えないと思われる。今回のデータを調べたところ、正規職員の
方が内情に精通していると言える根拠がなく39、そのような理由から上記のような結果が出たとは考えにくい。
第二に、要因の時と同様に、上記の結果から直ちに、非正規職員の方が正規職員よりも不正行為への気持ち
が低下するとは厳密には言うことはできない。正規職員と非正規職員の回答を更に分析したところ、全てのケ
ースで、両者の間で気持ちの低下具合に差があるとは言えるが(該当ケースはセル内の数値が赤くなってい
る)、非正規職員の方が気持ちの低下具合が大きいと言うことはできない。40
(4)内部不正行為の経験の有無
全回答者のデータのうち、意図的に会社の重要情報を持ち出したことがあると答えた回答者とそのような行
為を行ったことがないと答えた回答者のデータを用いて41、これら 2 つのグループの平均値を計算した。結果は
図 30 の通りである。
動機・プレッシャー、環境・機会、知識・経験では、動機・プレッシャーの「不当だと思う解雇通知を受けた」を
除いて、全てのケースにおいて不正行為経験者の平均値の方が未経験者のものより高いという結果がでた。
しかし、前節の職業と同様の検証を両者の回答に対して行ったところ、厳密には、動機・プレッシャー、環境・機
会は約6割、知識・経験に関しては約7割のケースで、両者の間に不正行為への気持ちの高まり具合にそもそも
差があるかどうかは分からないという結果が得られた。
対策については、不正行為経験者が全てのケースにおいて未経験者より平均値が小さいという結果が出た
が、これだけでは、不正行為経験者の方が未経験者よりも不正行為への気持ちが本当に低下しにくいか否か
は分からない。前節同様に、両者の回答を分析した結果、約7割のケースで、両者の間で気持ちの低下具合に
は差があると言えるが (該当ケースはセル内の数値が赤くなっている)、不正行為経験者の方が気持ちの低
下具合が小さいとまでは言えない。
それ故、仮定の話という前提ではあるが、対策で差があると判定された全て、或いは多くのケースで、実際に
経験者の方が未経験者より不正行為への気持ちの低下が小さいのであれば、それは「未経験者による初めて
の内部不正行為を防止するよりも経験者による再犯を防ぐ方が難しい」ということを示唆していると言えるので
はないだろうか。
37
ここでは、「要因 X に関して、正規職員と非正規職員とでは気持ちの高まり具合に差がない」という帰無仮説を設定し、マン・
ホィットニー検定(有意水準は5%)を行った。
38
図 29 で数値が赤いところは、「両者の間に差がある」と判定されたケースである。これらのケースでは、「差がある」ということ
は分かったが、上述のマン・ホィットニー(両側)検定結果からは、どちらの方が気持ちの高まり具合が大きいのかは分からない。
39
内情に精通している度合いを表すデータとして各回答者の勤続年数を使い、職業と勤続年数との相関比の2乗を計算したと
ころ 0.148 と小さく、今回の調査結果では職業と勤続年数との関連は弱いという結果が出た。
40
ここでは、「対策 X に関して、正規職員と非正規職員とでは気持ちの低下具合いに差がない」という帰無仮説を設定し、マン・
ホィットニー検定(有意水準は5%)を行った。ここでも、両者の間で差があるということは分かるが、どちらの方が気持ちの低下具
合が大きいのかは分からない。
41
前者のグループは、調査票問 14 にて(3)、或いは(4)を選択している回答者、後者のグループは同問にて(6)、或いは(2)の
みを選択した回答者が含まれる。ここでは、意図的ではなく、「うっかり」内部不正行為をしてしまったことならあるという回答者は
後者のグループに含まれている。
62
動機・プレッシャー
知識・経験
経験あり 経験なし
(178人) (2658人)
自分が作成した成果物(顧客情報
一覧)は、自由に使ってよいと思う
2.46
顧客情報などの重要な情報を自由に
2.30 持ち出せる権限を持っている
転職の誘いがあり、これまでの成果
(顧客情報)を公開することで、有利
に転職ができる
2.69
2.59
社内の人事評価に不満がある
2.73
2.64
上司の仕事への取組み方や上司の
人間性に不満がある
2.71
2.62
プロジェクトや業務の進め方に不満
がある
2.57
2.35
業務が忙しいため、自宅で作業を
する必要がある
2.69
経験あり 経験なし
(178人) (2658人)
2.29
給与や賞与に不満がある
2.71
2.60
退職金に不満がある
2.44
2.43
不当だと思う解雇通告を受けた
3.25
3.40
職場でいじめや脅迫を受けた
2.51
2.40
ルールを違反しても個人や企業を特
定されない自信がある
2.57
2.37
顧客情報などの重要な情報を
自由に持ち出せる技術的な
スキルを持っている
同僚も顧客情報などの重要な
情報を自由に持ち出していることを
知っている
社内の誰にも知られずに、顧客
情報などの重要な情報を持ち
出せる方法を知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行った
ことが発覚したが、社内で処罰
されなかった
自分が情報システムの管理者ではな
いが、情報システムへのアクセス管理
を操作できる
自分が情報システムの管理者ではな
いが、不正操作した証拠を消去
することができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を
知っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せに
なっている
環境
2.54
2.47 の職員のみアクセスできるようにする
パソコンやUSBメモリ等の情報端末
の持込制限が厳しい
2.15
職場に管理者がいないため、
見つからない
ルール違反に関して社内に
相談窓口がない
職場への入退口に警備員がいない
2.57
2.41
2.63
2.43
2.63
2.53
2.67
2.52
2.67
2.45
2.61
2.47
2.47
2.35
2.64
2.50
2.51
2.46
2.61
2.40
経験あり 経験なし
(178人) (2658人)
システム管理が杜撰で、顧客情報な
どの重要な情報を簡単に持ち
出せることを知っていた
退職者のアカウントが削除されて
いない
2.44
対策
経験あり 経験なし
(178人) (2658人)
社内システムにログインする
ためのIDやパスワードの管理が
徹底されていない
2.57
顧客情報などの重要な情報は、特定
2.88
3.17
1.89 アクセスした人が監視される
顧客情報などの重要な情報に
3.08
3.34
2.37
2.29 ネットワークへの利用制限を設ける
2.87
3.06
2.04
1.91 体制を強化する
管理者を増員する等、社内の監視
2.39
2.36
2.14
2.67
2.90
2.33
職務上で作成・開発した成果物は、
企業に帰属することを研修で周知
徹底する
2.76
3.05
2.25
顧客情報などの重要な情報を持ち出
した場合の罰則規定を強化する
2.95
3.28
1.96
ルール違反や禁止行為に抵触
しそうな事柄についての問い
合わせ窓口を設置する
2.51
2.68
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
2.49
2.69
社内システムにログインするための
不正を行う十分な時間がある
2.41
2.24
職場で頻繁にルール違反が
繰り返されている
2.70
2.56 IDやパスワードの管理を徹底する
2.83
3.15
2.37
2.31 職場に監視カメラを設置する
社内ルールや規則(セキュリティ
ポリシーを含む)が徹底されて
いない
社内ルールや規則(セキュリティポリ
シーを含む)が厳しく、遵守する
ための負担が大きい
社内ルールや規則を違反した際、
罰則がない
2.53
2.74
社内の重要な情報が暗号化されて
いる
2.91
3.21
退職者のアカウントは、即日、削除
2.87
3.05
2.52
2.59
2.88
3.07
2.53
2.58
2.79
3.15
社内システムで行ったルール
3.14
3.53
これまでに同僚が行ったルール違反
2.80
3.14
これまでに同僚が行ったルール違反
が発覚し、処罰されたことがある
2.94
3.25
情報システムの管理者以外に、情報
システムへのアクセス管理を操作
できない
2.89
3.24
2.18
1.91
2.54
2.50 される
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育
の制度が整っていない
2.17
2.14
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
2.42
2.33
社内の重要な情報が暗号化されて
いない
2.38
2.28 環境がある
パソコンやシステム内の情報の
持出に関して制御をしたり、監視
するシステムがない
パソコンやUSBなどの会社備品に
会社の管理シールが貼られて
いない
職場に監視カメラがない
社内への入退出時に手荷物検査が
ない
パソコンやUSBメモリなどの会社備
品に会社の管理シールが貼られてい
る
CDやUSBメモリ等の外部記憶媒体
への書き出しや持ち出しが制限され
ている
上司や同僚に頻繁に相談できる
システム管理権限が複数人に
設定され、ルール違反の相互
監視が徹底されている
2.47
2.35
2.20
1.98 違反の痕跡を消すことが難しい
2.10
1.94 が発見されたことがある
2.16
2.03
図 30 内部不正行為の経験の有無
63
(5)ISMS の実施について
全データのうち、勤務先組織で ISMS が実施さていると答えた回答者と導入されていないと答えた回答者
のデータを用いて、これら 2 つのグループの平均値を計算した。結果は図 31の通りである。
動機・プレッシャー
知識・経験
ISMS
ISMS
なし
あり
(1448人) (327人)
自分が作成した成果物(顧客情報
一覧)は、自由に使ってよいと思う
2.37
2.29
転職の誘いがあり、これまでの成果
(顧客情報)を公開することで、有利
に転職ができる
2.71
2.53
社内の人事評価に不満がある
2.73
2.57
上司の仕事への取組み方や上司の
人間性に不満がある
2.69
2.51
プロジェクトや業務の進め方に不満
がある
2.42
2.37
業務が忙しいため、自宅で作業を
する必要がある
2.31
2.26
給与や賞与に不満がある
2.69
2.48
退職金に不満がある
2.48
2.30
不当だと思う解雇通告を受けた
3.51
3.18
職場でいじめや脅迫を受けた
2.48
2.31
ルールを違反しても個人や企業を特
定されない自信がある
2.42
2.51
ISMS
ISMS
なし
あり
(1448人) (327人)
顧客情報などの重要な情報を自由に
持ち出せる権限を持っている
顧客情報などの重要な情報を
自由に持ち出せる技術的な
スキルを持っている
同僚も顧客情報などの重要な
情報を自由に持ち出していることを
知っている
社内の誰にも知られずに、顧客
情報などの重要な情報を持ち
出せる方法を知っている
これまでに、顧客情報などの重要な
情報を持ち出しても、誰からも注意や
指摘を受けなかった
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行った
ことが発覚したが、社内で処罰
されなかった
自分が情報システムの管理者ではな
いが、情報システムへのアクセス管理
を操作できる
自分が情報システムの管理者ではな
いが、不正操作した証拠を消去
することができる
社内の開発物や重要な情報に誰にも
知られずに閲覧・編集する方法を
知っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せに
なっている
環境・機会
2.57
2.44
2.57
2.41
2.63
2.43
2.63
2.53
2.67
2.52
2.67
2.45
2.61
2.47
2.47
2.35
2.64
2.50
2.51
2.46
2.61
2.40
対策
ISMS
ISMS
なし
あり
(1448人) (327人)
ISMS
ISMS
なし
あり
(1448人) (327人)
システム管理が杜撰で、顧客情報な
どの重要な情報を簡単に持ち
出せることを知っていた
2.57
2.46
顧客情報などの重要な情報は、特定
の職員のみアクセスできるようにする
2.48
2.41
パソコンやUSBメモリ等の情報端末
の持込制限が厳しい
1.91
1.94
顧客情報などの重要な情報に
アクセスした人が監視される
2.46
2.41
職場に管理者がいないため、
見つからない
2.35
2.27
ネットワークへの利用制限を設ける
2.49
2.41
ルール違反に関して社内に
相談窓口がない
1.93
1.94
管理者を増員する等、社内の監視
体制を強化する
2.62
2.50
2.60
2.42
社内システムにログインする
ためのIDやパスワードの管理が
徹底されていない
2.41
2.30
職務上で作成・開発した成果物は、
企業に帰属することを研修で周知
徹底する
退職者のアカウントが削除されて
いない
2.33
2.19
顧客情報などの重要な情報を持ち出
した場合の罰則規定を強化する
2.53
2.41
1.95
ルール違反や禁止行為に抵触
しそうな事柄についての問い
合わせ窓口を設置する
2.56
2.43
2.40
2.38
職場への入退口に警備員がいない
1.99
不正を行う十分な時間がある
2.28
2.27
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
職場で頻繁にルール違反が
繰り返されている
2.65
2.49
社内システムにログインするための
IDやパスワードの管理を徹底する
2.59
2.50
2.39
2.28
職場に監視カメラを設置する
2.52
2.51
1.94
2.00
社内の重要な情報が暗号化されて
いる
2.48
2.35
2.48
退職者のアカウントは、即日、削除
される
3.04
2.90
2.53
2.57
3.05
3.00
社内ルールや規則(セキュリティ
ポリシーを含む)が徹底されて
いない
社内ルールや規則(セキュリティポリ
シーを含む)が厳しく、遵守する
ための負担が大きい
社内ルールや規則を違反した際、
罰則がない
2.55
ルール違反や禁止行為の内容を
張り紙などで周知したり、社内教育
の制度が整っていない
2.19
2.13
職場のパソコンや社内システムへの
アクセス管理が徹底されていない
2.40
2.35
社内の重要な情報が暗号化されて
いない
2.33
2.25
上司や同僚に頻繁に相談できる
環境がある
2.56
2.46
2.36
システム管理権限が複数人に
設定され、ルール違反の相互
監視が徹底されている
3.12
3.00
2.02
2.03
社内システムで行ったルール
違反の痕跡を消すことが難しい
3.54
3.36
1.96
1.94
これまでに同僚が行ったルール違反
が発見されたことがある
3.12
3.00
2.05
これまでに同僚が行ったルール違反
が発覚し、処罰されたことがある
3.23
3.10
情報システムの管理者以外に、情報
システムへのアクセス管理を操作
できない
3.22
3.15
パソコンやシステム内の情報の
持出に関して制御をしたり、監視
するシステムがない
パソコンやUSBなどの会社備品に
会社の管理シールが貼られて
いない
職場に監視カメラがない
社内への入退出時に手荷物検査が
ない
2.40
2.05
パソコンやUSBメモリなどの会社備
品に会社の管理シールが貼られてい
る
CDやUSBメモリ等の外部記憶媒体
への書き出しや持ち出しが制限され
ている
図 31 勤務先組織での ISMS 実施の有無
64
動機・プレッシャー、環境・機会、知識・経験の結果を見ると、環境・機会の 5 ケース、動機・プレッシャーの 1
ケース以外では、全てのケースで、ISMS が実施されているグループの平均値の方が、実施されていないグル
ープのものよりも小さい。しかし、これまでと同様に、このことから、ISMS 実施グループの方が、多くのケースで
不正行為への気持ちの高まり具合が小さいとは結論付けられない。両グループの回答を検証すると、動機・プ
レッシャーでは 11 ケース中 7 ケースで両グループ間に気持ちの高まり具合に差があるという結果が出たもの
の、環境・機会、知識・経験では、それぞれ 1 ケースを除いた全てのケースで、両グループの間で、気持ちの高
まり具合に大差がないという結果になった。
対策については、「パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている」を除く全て
のケースで、ISMS 未実施グループの方が、平均値が大きいという結果が出た。しかし、これまでのように両グ
ループの回答を更に検証すると、「社内システムで行ったルール違反の痕跡を消すことが難しい」を除く全ての
ケースで、両グループ間で気持ちの低下具合に大差はないという結果が得られた。
先程の、要因関連の箇所での「両グループの間で気持ちの高まり具合に大差がない」という結果に関してで
あるが、これは ISMS の実施が、そこで働いている人の不正行為への気持ちを低下させる効果があるとは現状
では言えないことを示している。何故、このような結果になったのか、考えられる理由として、ISMS の運用が内
部不正防止に対して実効性のあるものになっていないからである。ISMS の実効性のある運用とともに、不正
行為への気持ちを抑止させる補完的な手段が必要かもしれない。本調査を分析した限り、、ISMS 未実施グル
ープと大差がないという結果は、ISMS が多くの組織で形骸化している可能性があることを示唆している。
65
6. まとめ
本 調 査 では、組 織 における内 部 不 正 行 為 の状 況 を把 握 するために、既 存 の調 査 ・研 究 を参 考 に
して、事 例 調 査 と意 識 調 査 の 2 つの調 査 を行 った。本 調 査 では、内 部 不 正 の対 象 として、既 存 の調
査 ・研 究 の内 部 犯 行 に加 えて、「うっかりミス」や「ルール違 反 」等 についても調 査 対 象 としている。ま
た、既 存 の調 査 ・研 究 の定 義 等 を参 照 し、内 部 不 正 に関 する用 語 等 をカスタマイズして定 義 した。
内 部 不 正 の事 例 調 査 では、インタビュー調 査 と判 例 調 査 を実 施 した。
内 部 不 正 の調 査 や対 策 に関 わった者 に対 してインタビュー調 査 を実 施 し、未 遂 も含 め 20 事 例
を収 集 した。また、内 部 不 正 がより深 刻 な犯 罪 に繋 がりうることも想 定 し、今 後 の傾 向 を把 握 するた
め、補 足 的 に判 例 について調 査 し、内 部 犯 行 10 事 例 を収 集 した。これらの事 例 及 び既 存 調 査 を
踏 まえ、内 部 不 正 に関 する2つの想 定 モデルを定 義 し、犯 行 誘 発 要 因 を分 析 し た。
また、意 識 調 査 では、定 義 した内 部 不 正 に関 する 2 つの想 定 モデルに対 して、状 況 的 犯 罪 予 防
を基 に、防 止 や抑 止 として効 果 が期 待 できる対 策 を検 討 した。本 調 査 では、 3,000 名 を対 象 とした
アンケート調 査 を実 施 し、内 部 不 正 に関 する意 識 の変 化 を調 査 することで、インタビュー調 査 の結
果 から検 討 した対 策 を実 施 した場 合 に、内 部 不 正 への意 識 の低 下 にどの程 度 影 響 するかを確 認
した。さらに、110 名 の経 営 者 及 びシステム管 理 者 にも検 討 した対 策 の実 施 状 況 や導 入 ・検 討 す
る意 識 を確 認 することで、管 理 する側 と管 理 される側 の意 識 の違 いについて も調 査 した。これらの
調 査 結 果 を考 察 して得 られた不 正 行 為 の期 待 される対 策 ポイントを示 す。

社 員 向 けアンケート調 査 の結 果 から多 くの人 の犯 行 への気 持 ちを低 下 させうることが期
待 できる対 策 は、「社 内 システムの操 作 の証 拠 が残 る こと」であった。そのため、社 内 シス
テムの操 作 の証 拠 が残 す対 策 を導 入 検 討 することが内 部 不 正 の抑 止 に対 して重 要 で
あるとともに、対 策 を行 なっている事 実 を周 知 すること(定 期 的 に証 拠 の確 認 を行 ったこ
とを周 知 する)が内 部 不 正 の抑 止 対 策 を検 討 するうえで重 要 である。

社 内 システムの操 作 の証 跡 を確 実 に実 施 するため には、内 部 不 正 者 を特 定 すること、及
び内 部 不 正 の対 象 となる情 報 へのアクセスを管 理 する必 要 があり、重 要 情 報 を扱 う「シ
ステムのアカウントの適 切 な管 理 」、「アクセス権 限 の適 切 な設 定 」なども重 要 であると指
摘 できる。

社 員 向 けのアンケートの結 果 では、上 記 に示 した技 術 的 な対 策 だけではなく、「職 場 で
の円 滑 なコミュニケーションの推 進 」や「相 談 窓 口 の設 置 ・整 備 等 」の対 策 も求 められて
いることから、規 定 やルールの厳 守 を補 佐 する対 策 も重 要 である。

社 員 向 けアンケート調 査 と経 営 者 及 びシステム管 理 者 向 けアンケート調 査 の結 果 では、
経 営 者 及 びシステム管 理 者 が検 討 している対 策 は、「捕 まるリスクを高 める」対 策 である
が、社 員 が求 める対 策 は、「犯 行 を難 しくする」対 策 であり、内 部 不 正 の対 策 に関 してミ
スマッチが見 られた。
本 調 査 では、内 部 不 正 を防 止 及 び抑 止 する対 策 を検 討 するための基 礎 調 査 として、内 部
不 正 に関 わる対 策 を行 うことで犯 行 への気 持 ちを低 下 させる可 能 性 があることがわかった。た
だし、対 策 の効 果 を具 体 的 に検 証 するためには、本 調 査 で検 討 した対 策 を実 施 し、内 部 不 正
の抑 止 効 果 を確 認 する必 要 がある点 には留 意 が必 要 である。
また、今 後 の内 部 不 正 に関 わる対 策 を検 討 する際 には、具 体 的 な事 例 と対 策 について情
報 共 有 の在 り方 も検 討 が必 要 である。内 部 不 正 の具 体 的 な事 例 や対 策 内 容 については、社
内 の様 々な事 情 を鑑 み、一 般 に公 開 されている情 報 が少 ない。そのため、どのような内 部 不 正
66
が発 生 し、どのように対 策 を実 施 すべきかといった、より具 体 的 な事 例 情 報 や対 策 手 法 を社 会
的 に共 有 する枠 組 みを整 備 することで内 部 不 正 の対 策 検 討 を促 進 することが期 待 できると
考 えられる。また、対 策 効 果 が期 待 でき、実 効 性 のある対 策 を取 りまとめ、内 部 不 正 の対 策 ガ
イドラインを示 すことによって内 部 不 正 の対 策 効 果 の検 証 を促 し、より良 い対 策 を検 討 する環
境 を整 備 することも重 要 である。
最 後 に本 調 査 の実 施 にあたり、事 例 の紹 介 及 び調 査 には様 々な方 にご協 力 いただいた。事
案 の特 定 を避 けるため、敢 えて団 体 名 やお名 前 を挙 げることはできないが、ここに御 礼 を申 し
上 げたい。
本 調 査 の成 果 を生 かし、組 織 において有 効 な対 策 が検 討 、実 施 され、内 部 不 正 の低 減 に
繋 がれば幸 いである。
67
7. 参照文献
[1] 2012 DATA BREACH INVESTIGATIONS REPORT、Verizon Business、May 2012
[2] 情報セキュリティにおける人的脅威対策に関する調査研究報告書、財団法人社会安全研究財団、
平成 22 年 3 月.
[3] 環境犯罪学と犯罪分析、財団法人社会安全研究財団、2010 年 8 月.
[4] Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis, Stephen R.
Band, Dawn M. Cappelli, Lynn F. Fischer, Andrew P. Moore, Eric D. Shaw, Randall F.
Trzeciak, CERT, December 2006.
[5] The "Big Picture" of Insider IT Sabotage Across U.S. Critical Infrastructures, Andrew P.
Moore, Dawn M. Cappelli, Randall F. Trzeciak, CERT, May 2008.
[6] 2011 CYBERSECURITY WATCH SURVEY: ORGANIZATIONS NEED MORE SKILLED
CYBER PROFESSIONALS TO STAY SECURE, January 2011.
[7] Insider Threat Study : Illicit Cyber Activity in the Information Technology and
Telecommunications Sector, Eileen Kowalski, Dawn Cappelli, USSS, CERT, January
2008.
[8] Common Sense Guide to Prevention and Detection of Insider Threats, Andrew P.
Moore, Dawn M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F.
Trzeciak, CERT, Jan 2009.
[9] A Preliminary Model of Insider Theft of Intellectual Property, Andrew P. Moore, Dawn
M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F. Trzeciak, CERT,
June 2011
[10] An Analysis of Technical Observations in Insider Theft of Intellectual Property Cases,
Michael Hanley, Tyler Dean, Will Schroeder, Matt Houy, Randall F. Trzeciak, Joji
Montelibano, CERT, February 2011.
[11] Spotlight On: Insider Threat from Trusted Business Partners, Robert M. Weiland,
Andrew P. Moore, Dawn M. Cappelli, Randall F. Trzeciak, Derrick Spooner, CERT,
February 2010.
68
付録1:事例集(インタビュー調査)
No
1
2
3
4
5
6
概要
営業職員が、シンクライアント環境において印刷を認められていない個人情報(顧客情報)の印刷
を試みたために、システム管理者から注意を受けた「ルール違反の未遂」の事例。この事例は、セ
キュリティマネジメントは完備されているが、周知されていないことによる情報漏えい未遂の事例。
地方の信用組合や信用金庫において、営業員が営業の現場で直接的に金銭を預かる場面にお
いての着服、休眠口座などへの操作が判明した事例。この事例では、営業力のある営業員に対し
て、数字を優先するために、ジョブローテーションしない、及び内部統制や相互チェックが形骸化し
ている環境で発生した事例。
システム管理者が、社長宛のメールを、自身のメールアカウントに転送していた事例。この事例で
は、システム管理者が、社長のクライアント PC の設定を行なう立場であることを悪用した。
システム管理者が、自宅に持ち帰った機密情報を、Winny がインストールされた自宅の PC から漏
えいさせた事例。この事例では、このシステム管理者は機密情報を電子媒体で自宅に持ち帰って
いた。また、システム管理者は非常事態に備え、会社に無断で自宅から社内システムにリモートで
接続できる環境を構築していた。
一般社員が、管理用のノート PC を無断で持ち出し、計 2 台を売却したと思われる事例。この事例
では、管理用のノート PC5 台が山積みにされた状態で、長期間放置されている環境があった。どの
社員が持ち出して売却したのか、また持ち出した社員がこの PC からどのような情報を得たのかは
不明である。
一般社員が、インターネット上の掲示板に、社内における不満や、機密レベルを含む社内情報を
投稿していた事例。
7
社員が、会社の機密情報を持ち出し、売却していた事例。この事例では、社員は部下に、仕事の
一環として正規の手続きを経て機密情報の入った CD を作成させていた。
8
ある地方公務員が、故意にセキュリティインシデントを発生させた事例。この事例の背景としては、
その地方自治体では給与が減らされている一方、人員が削減されて業務が集中する中で、担当者
がストレスを感じ、不可抗力的に辞めることを意図したとされている。
9
10
11
12
13
開発者が、社内システムから開発情報を自宅の FTP サーバーにアップロードし、頻繁に持ち出し
ていることが判明した事例。この事例では、自分が作ったものは自分のものであるという認識に加
え、自分がやってきたことを認めてもらいたい、保管しておきたいという感情がベースにあり、当事
者は悪いと思って犯行を行なっていない。
管理者権限を持つ一般社員が、換金目的で機密情報を取得し売却していた事例。この事例で
は、この社員には借金があり、情報を売却して得た金額に味を占め、繰り返す度に内容がエスカレ
ートしていった。監視は行われていたが、チェックすべき担当者がチェックを怠っていたため、発覚
が遅れた。
社員が、自宅にあるリモート環境から会社の機密情報を取得し売却した事例。この事例では、その
企業が震災以降、在宅勤務のために全社員に自宅 PC を利用したリモート環境を提供したしてい
たことが背景にある。
システム管理者が社員利用の業務 PC について、セキュリティポリシーに則っているかを確認しよう
としたところ、当該の PC を破壊したり、パスワードを失念したとしてアクセスを妨げる社員がいること
が判明した事例。
退職する営業社員が、利用していた業務 PC へのアクセスを妨げようとパスワードを失念したと主張
する事例(故意に忘れた可能性もある)。これにはリストラされたことへの反発があると見られる。
14
社員が退職時に、開発物をまとめてダウンロードし持ち出した事例。この事例では、開発物が自身
に帰属するという意識とともに、転職先の会社への「お土産」の目的があると見られる。
15
社員が、上司の使用する USB メモリを入手し、顧客情報及びプロジェクト情報を取り出してこれを掲
示板にアップロードするとともに、USB メモリを元の場所に戻して、上司がプロジェクト情報を漏えい
させたことに見せかけた事例。この事例では、当該社員は上司に対する恨みから、上司のプロジェ
クトを頓挫させることを意図したものと見られる。
69
16
営業社員が、機密情報が保存されている PC から、故意に Winny に情報を流出させた事例。この事
例は、営業社員の会社に対する恨みが動機と見られる。
17
営業社員が、リストラによって退職する際に、パスワードを無断で変更し、そのままパスワードを通
知しなかった事例。この事例は、営業社員の会社に対する恨みが動機と見られる。
18
19
20
派遣社員が、顧客情報を自宅に持ち帰り、Winny がインストールされた自宅の PC から情報を流出
させた事例。この事例では、派遣社員は仕事を終わらせるために、自宅で業務を行う必要があると
考え、自身に与えられた権限内で USB メモリ・CD を用い、顧客情報を持ち出した。会社にはこれを
監視する体制はなかった。
特定部門に所属していた数名の社員が、一斉に退職する際に、新会社のスタートに利用するため
に、営業情報である顧客情報を持ち出した事例。この事例では、社員の権限内で USB メモリ・CD
を使用し情報を持ち出した。罰則は規定されていたが、監視はなされていなかった。
システム管理者が、自身が持つ管理者権限を悪用し、会社の個人情報を持ち出して、その後売却
した事例。この事例では、その後の調査の結果、金銭目的であったと見られる。システム管理者に
対する監視は行われていなかった。
70
付録2:事例集(判例調査)
No
1
2
3
4
5
6
概要
販売等を業とする企業の元取締役兼営業担当部長(A)が、在職時に会社から不正な手段で営業秘密が
記載された顧客名簿を取得した事例。この事例では、Aは、退職後に入社したC社での活動と、退職後設
立したB社での活動にこの顧客名簿を使用して、元の会社の顧客らに対する販売活動を行ったものであ
る。AとB社は、元の会社に訴えられた。
企業(I)の経営者らが、企業(I)が保有していた営業秘密である製造装置に関する情報を、従業員に不正
に開示させて取得した事例。企業(I)の経営者らはその情報を中国のZに開示したものである。企業(I)の
経営者らは、Iを吸収合併して権利継承した企業に訴えられた。
元従業員(C)が、会社に在職中に、会社が保有する営業秘密であるノウハウ等の情報を不正な手段によ
り取得した事例。Cが代表取締役を務める会社が、不正に取得された営業秘密であることを知りながら、こ
れをCから取得した。CとCが代表取締役を務める会社は、Cが在職していた会社に訴えられた。
元従業員が、かつて在職していた、製造を業とする会社の製品に関する営業秘密を不正に利用して、製
品を製造した事例。元従業員は、かつて在職していた会社に訴えられた。
インターネットサイト(X1)の元従業員(P1及び被告Y3)が、X1とその経営者(X2)から示されたり、ある
いは不正に取得した営業秘密である顧客情報を、別のインターネットサイト(Y1)とその従業員(Y2及び
被告Y4)に開示し、不正開示行為又は不正取得行為があったことを知りながら、この顧客情報を用いて
インターネットサイトの営業活動を行った。元従業員(P1及び被告Y3)とインターネットサイト(Y1)と
その従業員(Y2及び被告Y4)は、インターネットサイト(X1)およびその経営者(X2)に訴えられた。
製造販売等を目的とする会社(X社)を退社した元従業員(Y3、Y4)が、X社が管理する設計図面、設計
CADデータ等の営業秘密を利用して、X社と同種の製品を取扱う再就職先の会社(Y1、Y2)で製品を製
造、販売した事例。元従業員(Y3、Y4)と再就職先の会社(Y1、Y2)は、X社に訴えられた。
7
被告が、システム開発業務をとある民間機関に委託した際、再々委託先の担当者がシステムが利用する
原告の情報を不正に複製し売却した。
8
退社前に無断で製品の設計図の電子データを複製した元社員らの事例。会社は元社員らの電子データ
等の使用差止め、廃棄等を請求した。
9
10
機器の販売等を目的とする会社の元社員らが、勤めていた際に、会社が保有する顧客に関する情報不正
に持ち出した事例。元社員らは退職後勤めた会社における営業行為に利用した。この元社員がもと勤め
ていた会社は、持ち出された情報は不正競争防止法二条四項にいう営業秘密に当たるとして、この元社
員と元社員が退職後に勤めた会社を相手取って、これを利用した営業活動の差止請求等を行い、認めら
れた。
販売業を業とする原告の会社から、営業秘密である顧客情報の開示を受けていたAが、不正の利益を得
るため、また原告の会社の関連会社に損害を与える目的をもって被告会社に開示し、被告会社は不正開
示行為が介在していることを知りながらこの営業秘密の開示を使用した。
原告の会社はA及び開示を受けた会社を訴えた。
71
【一般社員向け調査票】
付録3:アンケート調査票
Part1.回答者プロフィール
あなたご自身についてお尋ねします。
問1
★あなたの性別をお答えください。(○は1つ)
(1)男性
(2)女性
問2 あなたの年齢をお知らせください。(○は1つ)
(1)17 歳以下
(2)18~19 歳
(3)20~29 歳
(4)30~39 歳
(5)40~49 歳
(6)50~59 歳
(7)60~69 歳
(8)70~79 歳
(9)80 歳以上
問3 あなたの世帯の構成は次のうちどれですか。(○は 1 つ)
(1)単身世帯
(2)夫婦のみの世帯
(4)ひとり親と未婚の子のみの世帯
(3)夫婦と未婚の子のみの世帯
(5)三世代世帯
(6)その他の世帯
問4 あなたの世帯全体の年収をお答えください。(○は1つ)
(1)200 万円未満
(2)200 万円~400 万円未満 (3)400 万円~600 万円未満
(4)600 万円~800 万円未満 (5)800 万円~1,000 万円未満
問5 あなたの最終学歴をお答えください。(○は1つ)
(1)大卒以上
(2)高専・短大卒
(3)高卒
72
(4)中卒
(6)1,000 万円以上
あなたのご職業、ご経験についてお尋ねします。
問6 ★あなたの職業をお答えください。(○は1つ)
(1)会社役員
(2)会社員(正社員)
(4)自営業/自由業
(8)高校生
(5)公務員
(3)会社員(契約社員/派遣社員)
(6)団体職員
(9)大学生/大学院生
(10)主婦
(7)パート/アルバイト
(11)無職(求職者/退職者を含む)
(12)その他(
)
問7 ★あなたの勤務先の従業員数を選んでください。(○は1つ)
(1)100 名未満
(2)100 名以上 300 名未満
(3)300 名以上 1,000 名未満
(4)1,000 名以上
問8 あなたの所属する企業・組織の業種(主な事業内容)として、以下のうち、もっとも近いものを1つ選んで
ください。(○は1つ)
(1)農林業・水産業・鉱業
(4)情報通信機械器具製造業
(6)その他製造業
(2)建設・土木・工業
(5)電気機械器具製造業(上記に含まれないもの)
(7)電気・ガス・熱供給・水道業
(9)情報サービス業
(10)その他の情報通信業
(13)金融業・保険業
(14)不動産業・物品賃貸業
(16)宿泊業・飲食サービス業
(19)医療・福祉
(3)電子部品・デバイス・電子回路製造業
(8)通信業
(11)運輸業・郵便業
(17)生活関連サービス業・娯楽業
(20)複合サービス業
(12)卸売業・小売業
(15)学術研究・専門技術者
(18)教育・学習支援業
(21)その他サービス業
(22)その他
問9 あなたの現在の所属部門として、もっとも近いものを以下から選んでください。(○は1つ)
(1)企画・広報部門
(2)販売・営業部門
(5)生産管理・品質管理部門
(8)経理・財務部門
(3)製造・生産部門
(6)技術・研究開発部門
(4)調達・購買部門
(7)総務・人事部門
(9)情報システム部門
問10 ★あなたの現在の職位として、もっとも近いものを以下から選んでください。(○は1つ)
(1)経営層・役員相当
(5)一般社員相当
(2)部長相当
(3)課長相当
(4)係長・主任相当
(6)その他専門職・特別職等
問11 あなたの現職の勤続年数を以下から選んでください。(○は1つ)
(1)1 年未満
(2)2~3 年未満
(3)4~5 年未満
(5)10~20 年未満(6)20~30 年未満
(4)5~10 年未満
(7)30~40 年未満
73
(8)40 年以上
問12 あなたが所属する組織・企業の情報管理、個人情報の管理についての取り組み状況を教えてくだ
さい。あなたが所属する組織・企業では、ISMS(Information Security Management System)*やプラ
イバシーポリシー**を取得していますか。(○は1つ)
(1)ISMS を取得している
(2)プライバシーポリシーを取得している
(3)ISMS とプライバシーポリシーの両方を取得している
(4)ISMS とプライバシーポリシーのどちらも取得していない
(5)わからない
*ISMS(情報セキュリティマネジメントシステム)とは、企業や組織で情報を適切に管理する仕組みです。
例えば、国際規格の ISO/IEC 17799 や ISO/IEC 27000 などがこれに該当します。
**プライバシーポリシーとは、個人情報の取り扱いの際の基準・方針です。例えば、日本工業規格のプ
ライバシーマーク制度(JIS Q 15001)などがこれに該当します。
問13 ★あなたが所属する組織・企業で、不正なルール違反による個人情報や営業機密情報の漏えい等の
インシデント*に関わったことはありますか。なお、ご自身がかつて所属していた組織・企業での経験も
あわせてお答えください。(○はいくつでも)
(1)自分が所属する組織・企業内で発覚したルール違反を調査した経験がある。
(2)自分が所属する組織・企業で発覚したルール違反の調査に協力したことがある。
(3)自分が所属する組織・企業で、上司・部下・同僚がルール違反を起したことを知っている。
(4)自分が所属する組織・企業の協力会社社員がルール違反を起したことを知っている。
(5)組織・企業のルール違反に関する調査や対策検討をコンサルタントとして関わった経験がある。
(6)自分が所属する(又は所属していた)組織・企業で発生したルール違反に関わった経験はない。
*インシデントとは、個人情報や営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能
性のある事象のことを示します。
問14 ★あなたは、これまでに下記のような経験をしたことがありますか。ご自身がかつて所属していた組
織・企業での経験もあわせてお答えください。(○はいくつでも)
(1)自分が所属する組織・企業で、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を
違反した経験がある。
(2)自分が所属する組織・企業で、うっかり顧客情報等の職務で知りえた情報の持ち出しを行い、ルール
や規則を違反した経験がある。
(3)自分が所属する組織・企業で、業務が忙しく社外で業務を遂行するために、顧客情報等の職務で知り
えた情報の持ち出しを行い、ルールや規則を違反した経験がある。
(4)自分が所属する組織・企業で、個人情報を売買するなど職務で知りえた情報を目的外に利用し、ルー
ルや規則を違反した経験がある。
(5)自分が所属する組織・企業で、インシデント*をともなう、何らかのルール違反を起したことがある。
(6)インシデント*に関わる行為を行ったことはない。
*インシデントとは、個人情報及び営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可
能性のある事象のことを示します。
74
本調査は(独)情報処理推進機構の調査の一環として、企業・組織のセキュリティ対
策についての人間の心理的な影響を確認することを目的としています。
Part2.内部不正行為にかかわるシナリオによる検証
下記のシナリオを読んで、あなたの気持ちに最もあてはまるものをお答えください。
【シナリオⅠ】
情報システム企業 X 社に勤める A さんは、システム開発 2 課の主任になって 3 年になる。
現在、A さんは、プロジェクトの開発を担当し、このプロジェクトを順調に進めていることを高く評価
されていた。
ある時、A さんは、自身の上司とシステム管理部門長に呼び出され、長時間の面談が行われた。その後、
1 週間程度、同様の面談が頻繁に行われ、後日、A さんはプロジェクトから外れ、その月に任意退社し
た。
後日、A さんが、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示
板等)に掲載したことが発覚した。その後、システム開発 2 課を含むシステム開発系部門では、開発
物に関する管理規定が見直された。
問15 あなたは、A さんの「自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲
示板等)に掲載する」という行為にどの程度共感できますか。あてはまるものをお答えください(○
は 1 つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
1
2
3
4
5
1
2
3
4
5
(3) 見つからなければ掲載しても良いと思う
1
2
3
4
5
(4) 処罰されなければ掲載しても良いと思う
1
2
3
4
5
(5) A さんの行為に悪意は無いと思う
1
2
3
4
5
(6) A さんの行為は悪意があると思う
1
2
3
4
5
(7) A さんの行為は理解できない
1
2
3
4
5
(1)
(2)
自分で開発したものであれば掲載しても良
いと思う
持ち出したことには共感できるが、掲載に
は、共感できない
75
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
問16 A さんは、何故、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示板等)
に掲載したと思いますか?この行動に影響を与えたと考える要因についてあてはまるものを選んでく
ださい。(○は1つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(7) 給与や賞与に不満があった
1
2
3
4
5
(8) 退職金に不満があった
1
2
3
4
5
(9) 不当だと思う解雇通告を受けた
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
作成した開発物(ソースコード等)は、開発
(1) 者(自分)が自由に使ってよいと思ってい
た
条件のいい企業から転職の誘いがあり、
(2) これまでの成果(ソースコード)を公開する
ことで、有利に転職ができると思った
(3) 社内の人事評価に不満があった
(4)
(5)
(6)
上司の仕事への取り組み方や上司の人間
性に不満があった
プロジェクトや業務の進め方に不満があっ
た
業務が忙しいため、自宅で作業する必要
があった
(10) 職場でのいじめや脅迫を受けていた
(11)
ルールを違反しても個人や企業を特定さ
れない自信があった
76
問17 A さんは、何故、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示板等)
に掲載したと思いますか?この行動に影響を与えたと考える要因についてあてはまるものを選んでく
ださい。(○は1つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
1
2
3
4
5
1
2
3
4
5
(3) 職場に管理者がいないため、見つからない
1
2
3
4
5
(4) ルール違反に関して社内に相談窓口がない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(1)
システム管理が杜撰であり、成果物(ソース
コード)を簡単に Web サイトに公開できる
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
パソコンや USB メモリ等の情報端末の持込
(2) 制限が厳しい(情報端末への書き込み以外
の方法で保存する必要がある)
(5)
社内システムにログインするための ID やパ
スワードの管理が徹底されていない
退職者のアカウントが削除されていない(退
(6) 職者のアカウントを利用して社内システムに
ログインできる)
(7)
(8)
(9)
(10)
職場への入退口に警備員がいない(誰でも
が職場に入ることができる)
不正を行う十分な時間がある(他の従業員
が帰宅した後の深夜まで仕事をしている)
職場で頻繁にルール違反が繰り返されてい
る
社内ルールや規則(セキュリティポリシーを
含む)が周知・徹底されていない
社内ルールや規則(セキュリティポリシーを
(11) 含む)が厳しく、遵守するための負担が大き
い
(12)
社内ルールや規制を違反した際、罰則がな
い
ルール違反や禁止行為の内容を張り紙等で
(13) 周知したり、社内教育の制度が整っていな
い
職場のパソコンや社内システムへのアクセ
(14) ス管理が徹底されていない(誰でもがパソコ
ンや社内システムにログインできる)
(15)
社内の重要な情報が暗号化されていない
(社内の重要な情報を誰もが閲覧できる)
パソコンやシステム内の情報の持ち出しに
(16) 関して制御をしたり、監視するシステムがな
い
パソコンや USB メモリなどの会社備品に会
(17) 社の管理シールが貼られていない(私物と
備品の区別がつかない)
(18) 職場に監視カメラがない
(19)
社内への入退出時に手荷物検査がない(社
内に私物を持ち込むことができる)
77
問18 A さんは、何故、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示板等)
に掲載したと思いますか?この行動に影響を与えたと考える要因についてあてはまるものを選んでく
ださい。(○は1つずつ)
(1)
(2)
(3)
成果物(ソースコード)を自由に持ち出せる
権限をもっている
成果物(ソースコード)を自由に持ち出せる
技術的なスキルをもっている
同僚がインターネット上の Web サイトに情報
を公開していることを知っている
(1)
非常にあてはま
る
(2)
あてはまる
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
社内の誰にも知られずに、インターネット上
(4) の Web サイトに情報を公開する方法を知っ
ている
これまでに、インターネット上の Web サイトに
(5) 情報を公開しても、誰からも注意や指摘を受
けなかった
(6)
(7)
社内で、自分よりも情報システムについて理
解している人がいない
かつて同僚がルール違反を行ったことが発
覚したが、社内で処罰されなかった
自分が社内の情報システムの管理者ではな
(8) いが、情報システムへのアクセス管理を操
作できる
自分が社内の情報システムの管理者ではな
(9) いが、不正操作した証拠を消去することがで
きる
(10)
社内の開発物や重要な情報を誰にも知られ
ずに閲覧・編集する方法を知っている
社員の大半のパソコンのセキュリティ設定が
(11)
管理されず、社員任せになっている(システ
ム管理者が設定したパスワードが長く変更
されていないことを知っている)
78
問19 A さんのように、自らが作成した開発物(ソースコード等)を一般公開されている Web サイト(掲示板等)
に掲載することは違法行為です。
A さんが開発物(ソースコード等)を X 社の許可なしに一般公開することを防ぐための効果的な対策
は何だと思いますか?下記の主な対策からあてはまるものをお答えください。(○は1つずつ)
(1)
開発物(ソースコード)は特定の職員の
みアクセスできるようにする
(1)
大変効果的であ
る
(2)
効果的である
(3)
(4)
(5)
どちらともいえな 効果的ではない まったく効果的で
い
はない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
開発物(ソースコード)にアクセスした人
(2) が監視される(アクセスログの監視等を
含む)
ネットワークへの利用制限を設ける(メー
(3)
ルの送受信先の制限、Web メールへの
アクセス制限、Web サイトの閲覧制限が
ある)
(4)
管理者を増員する等社内の監視体制を
強化する
職務上で作成・開発した成果物は、企業
(5) に帰属すること(不正競争防止法に抵触
すること)を研修で周知徹底する
(6)
職務上で開発した成果物を公開した場
合の罰則規定を強化する
ルール違反や禁止行為(職務違反や個
(7)
人情報管理策や情報セキュリティポリシ
ーを含む)に抵触しそうな事柄について
の問い合わせ窓口を設置する
(8)
(9)
社外や業務時間外に仕事をしなくても済
むように業務量を軽減する
社内システムにログインするための ID や
パスワードの管理を徹底する
(10) 職場に監視カメラを設置する
社内の重要な情報が暗号化されている
(11) (社内の重要な情報は限られた関係者し
か閲覧できない)
退職者のアカウントは、即日、削除され
(12) る(退職者は退職日以降に社内システム
へログインできない)
パソコンや USB メモリなどの会社備品に
(13) 会社の管理シールが貼られている(私物
との区別がつく)
(14)
(15)
CD や USB メモリ等の外部記憶媒体への
書き出しや持ち出しが制限されている
上司や同僚に頻繁に相談できる環境が
ある
システム管理権限が複数人に設定され、
(16) ルール違反の相互監視が徹底されてい
る
79
(17)
(18)
(19)
(20)
社内システムで行ったルール違反の痕
跡を消すことが難しい
これまでに、同僚が行ったルール違反が
発見されたことがある
これまでに、同僚が行ったルール違反が
発覚し、処罰されたことがある
情報システムの管理者以外に、情報シス
テムへのアクセス管理を操作できない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
80
【シナリオⅡ】
B さんは、服飾系代理店である Y 社の営業系事務として、10 年以上勤務している。
B さんは人当たりが良く、Y 社の営業職員や取引先の企業からも頼りにされることが多く、それに
応えることに仕事のやりがいを感じている。周囲からは、仕事ぶりに華やかさはないがコツコツと
地道にやっていくタイプだと見られている。
そんな中、B さんを高く評価してくれている他社から転職の誘いがあり、転職を決意した。
その後、B さんが Y 社の顧客情報を持ち出したことが発覚した。
問20 あなたは、B さんの「企業の許可なく顧客情報を持ち出す」という行為にどの程度共感できますか。
あてはまるものをお答えください(○は1つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(5) B さんの行為に悪意は無いと思う
1
2
3
4
5
(6) B さんの行為は悪意があると思う
1
2
3
4
5
(7) B さんの行為は理解できない
1
2
3
4
5
(1)
(2)
(3)
(4)
自分が収集したものであれば、持ち出して
もよいと思う
顧客情報を持ち出すことも、転職先で利用
することも共感できる
見つからなければ、持ち出してもよいと思
う
処罰されなければ、持ち出してもよいと思
う
81
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
問21 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか?この行動に影響を与えたと考える要因
についてあてはまるものを選んでください。(○は1つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(7) 給与や賞与に不満があった
1
2
3
4
5
(8) 退職金に不満があった
1
2
3
4
5
(9) 不当だと思う解雇通告を受けた
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(1)
自分が作成した顧客情報の一覧は、自由
に使ってよいと思っていた
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
条件のいい企業から転職の誘いがあり、
(2) これまでの成果(顧客情報)を公開するこ
とで、有利に転職できると思った
(3) 社内の人事評価に不満があった。
(4)
(5)
(6)
上司の仕事への取り組み方や上司の人間
性に不満があった
プロジェクトや業務の進め方に不満があっ
た
業務が忙しいため、自宅で作業する必要
があった。
(10) 職場でいじめや脅迫を受けていた
(11)
ルールを違反しても個人や企業を特定さ
れない自信があった
82
問22 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか?この行動に影響を与えたと考える要因
についてあてはまるものを選んでください。(○は1つずつ)
(1)
非常にあてはま
る
(2)
あてはまる
1
2
3
4
5
1
2
3
4
5
(3) 職場に管理者がいないため、見つからない
1
2
3
4
5
(4) ルール違反に関して社内に相談窓口がない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(1)
システム管理が杜撰で、顧客情報を簡単に
持ち出せることを知っていた
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
パソコンや USB メモリ等の情報端末の持込
(2) 制限が厳しい(情報端末への書き込み以外
の方法で保存する必要がある)
(5)
社内システムにログインするための ID やパ
スワードの管理が徹底されていない
退職者のアカウントが削除されていない(退
(6) 職者のアカウントを利用して社内システムに
ログインできる)
(7)
(8)
(9)
(10)
職場への入退口に警備員がいない(誰もが
職場に入ることができる)
不正を行う十分な時間がある(他の従業員
が帰宅した後の深夜まで仕事をしている)
職場で頻繁にルール違反が繰り返されてい
る
社内ルールや規則(セキュリティポリシーを
含む)が徹底されていない
社内ルールや規則(セキュリティポリシーを
(11) 含む)が厳しく、遵守するための負担が大き
い
(12)
社内ルールや規則を違反した際、罰則がな
い
ルール違反や禁止行為の内容を張り紙等で
(13) 周知したり、社内教育の制度が整っていな
い
職場のパソコンや社内システムへのアクセ
(14) ス管理が徹底されていない(誰もがパソコン
や社内システムにログインできる)
(15)
社内の重要な情報が暗号化されていない
(社内の重要な情報を誰もが閲覧できる)
パソコンやシステム内の情報の持ち出しに
(16) 関して制御をしたり、監視するシステムがな
い
パソコンや USB などの会社備品に会社の管
(17) 理シールが貼られていない(私物と備品の
区別がつかない)
(18) 職場に監視カメラがない
(19)
社内への入退出時に手荷物検査がない(社
内に私物を持ち込むことができる)
83
問23 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか?この行動に影響を与えたと考える要因
についてあてはまるものを選んでください。(○は1つずつ)
(1)
(2)
(3)
(4)
(5)
(6)
(7)
顧客情報を自由に持ち出せる権限をもって
いる
顧客情報を自由に持ち出せる技術的なスキ
ルをもっている
同僚が顧客情報を自由に持ち出しているこ
とを知っている
社内の誰にも知られずに、顧客情報を持ち
出せる方法を知っている
これまでに、顧客情報を持ち出しても、誰か
らも注意や指摘を受けなかった
社内で、自分よりも情報システムについて理
解している人がいない
かつて同僚がルール違反を行ったことが発
覚したが、社内で処罰されなかった
(1)
非常にあてはま
る
(2)
あてはまる
(3)
(4)
(5)
どちらともいえな あまりあてはまら 全くあてはまらな
い
ない
い
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
自分が社内の情報システムの管理者ではな
(8) いが、情報システムへのアクセス管理を操
作できる
自分が社内の情報システムの管理者ではな
(9) いが、不正操作した証拠を消去することがで
きる
(10)
社内の開発物や重要な情報に誰にも知られ
ずに閲覧・編集する方法を知っている
社員の大半のパソコンのセキュリティ設定が
(11)
管理されず、社員任せになっている(システ
ム管理者設定したパスワードが長く変更さ
れていないことを知っている)
84
問24 B さんのように、企業の許可なく顧客情報を持ち出すことは違法行為です。
B さんは、Y 社の許可なく顧客情報を持ち出すことを防ぐための効果的な対策は何だと思います
か?下記の主な対策からあてはまるものをお答えください。(○は1つずつ)
(1)
大変効果的であ
る
(2)
効果的である
(3)
(4)
(5)
どちらともいえな 効果的ではない まったく効果的で
い
はない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
顧客情報などの重要な情報は、認めら
(1) れた職員のみがアクセスできるようにす
る
顧客情報などの重要な情報にアクセスし
(2) た人が監視される(アクセスログの監視
等を含む)
ネットワークへの利用制限を設ける(メー
(3)
ルの送受信先の制限、Web メールへの
アクセス制限、Web サイトの閲覧制限が
ある)
(4)
管理者を増員する等、社内の監視体制
を強化する
職務上で作成・開発した成果物は、企業
(5) に帰属すること(不正競争防止法に抵触
すること)を研修で周知徹底する
(6)
顧客情報を持ち出した場合の罰則規定
を強化する
ルール違反や禁止行為(職務違反や個
(7)
人情報管理策や情報セキュリティポリシ
ーを含む)に抵触しそうな事柄について
の問い合わせ窓口を設置する
(8)
(9)
社外や業務時間外に仕事をしなくても済
むように業務量を軽減する
社内システムにログインするための ID や
パスワードの管理を徹底する
(10) 職場に監視カメラを設置する
社内の重要な情報が暗号化されている
(11) (社内の重要な情報は限られた関係者し
か閲覧できない)
退職者のアカウントは、即日、削除され
(12) る(退職者は退職日以降に社内システム
へログインできない)
パソコンや USB メモリなどの会社備品に
(13) 会社の管理シールが貼られている(私物
との区別がつく)
(14)
(15)
CD や USB メモリ等の外部記憶媒体への
書き出しや持ち出しが制限されている
上司や同僚に頻繁に相談できる環境が
ある
システム管理権限が複数人に設定され、
(16) ルール違反の相互監視が徹底されてい
る
85
(17)
(18)
(19)
(20)
社内システムで行ったルール違反の痕
跡を消すことが難しい
これまでに、同僚が行ったルール違反が
発見されたことがある
これまでに同僚が行ったルール違反が
発覚し、処罰されたことがある
情報システムの管理者以外に、情報シス
テムへのアクセス管理を操作できない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
86
Part3.動機・外的環境・内在的要因・対策効果による検証
あなたのルール違反への意識についてお尋ねします。
下記のような状況の場合、個人情報を持出して販売するなどのルール違反を犯す確率は高まると思いますか。
問25 ★あなたは、下記のような状況ときに、ルールを違反したいと思う気持ちがどの程度高まると思います
か。
(1)0%
(高まらない)
(2)
1~25%高まる
(3)
26~50%高まる
(4)
51~75%高まる
(5)
76~100%高まる
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(7) 給与や賞与に不満がある
1
2
3
4
5
(8) 退職金に不満がある
1
2
3
4
5
(9) 不当だと思う解雇通告を受けた
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(1)
自分が作成した成果物(顧客情報の一
覧)は、自由に使ってよいと思う
条件のいい企業から転職の誘いがあ
(2) り、これまでの成果(顧客情報)を公開す
ることで、有利に転職ができる
(3) 社内の人事評価に不満がある
(4)
(5)
(6)
上司の仕事への取り組み方や上司の人
間性に不満がある
プロジェクトや業務の進め方に不満があ
る
業務が忙しいため、自宅で作業する必
要がある
(10) 職場でいじめや脅迫を受けた
(11)
ルールを違反しても個人や企業を特定さ
れない自信がある
87
問26 あなたは、下記のような職場環境にいる場合に、ルールを違反したいと思う気持ちがどの程度高まると
思いますか。
(1)0%
(高まらない)
(2)
1~25%高まる
(3)
26~50%高まる
(4)
51~75%高まる
(5)
76~100%高まる
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
システム管理が杜撰で、顧客情報など
(1) の重要な情報を簡単に持ち出せること
を知っていた
パソコンや USB メモリ等の情報端末の
(2)
持込制限が厳しい(情報端末への書き
込み以外の方法で保存する必要があ
る)
(3)
(4)
職場に管理者がいないため、見つから
ない
ルール違反に関して社内に相談窓口
がない
社内システムにログインするための ID
(5) やパスワードの管理が徹底されていな
い
退職者のアカウントが削除されていな
(6)
い(退職者も社内システムにログインで
きる/退職者のアカウントを利用して
社内システムにログインできる)
(7)
職場への入退口に警備員がいない(誰
もが職場に入ることができる)
不正を行う十分な時間がある(他の従
(8) 業員がいなくなる深夜まで仕事をして
いる)
(9)
(10)
職場で頻繁にルール違反が繰り返さ
れている
社内ルールや規則(セキュリティポリシ
ーを含む)が徹底されていない
社内ルールや規則(セキュリティポリシ
(11) ーを含む)が厳しく、遵守するための負
担が大きい
(12)
社内ルールや規則を違反した際、罰則
がない
ルール違反や禁止行為の内容を張り
(13) 紙等で周知したり、社内教育の制度が
整っていない
職場のパソコンや社内システムへのア
(14)
クセス管理が徹底されていない(誰も
がパソコンや社内システムにログイン
できる)
社内の重要な情報が暗号化されてい
(15) ない(社内の重要な情報を誰もが閲覧
できる)
パソコンやシステム内の情報の持ち出
(16) しに関して制御をしたり、監視するシス
テムがない
88
パソコンや USB などの会社備品に会
(17) 社の管理シールが貼られていない(私
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
物と備品の区別がつかない)
(18) 職場に監視カメラがない
社内への入退出時に手荷物検査がな
(19) い(社内に私物を持ち込むことができ
る)
89
問27 あなたは、下記のような経験・知識・スキルを持つ場合に、ルールを違反したいと思う気持ちがどの程度
高まると思いますか。
(1)
顧客情報などの重要な情報を自由に
持ち出せる権限をもっている
(1)0%
(高まらない)
(2)
1~25%高まる
(3)
26~50%高まる
(4)
(5)
51~75%高まる 76~100%高まる
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
顧客情報などの重要な情報を自由に
(2) 持ち出せる技術的なスキルをもって
いる
同僚も顧客情報などの重要な情報を
(3)
自由に持ち出していることを知ってい
る
社内の誰にも知られずに、顧客情報
(4) などの重要な情報を持ち出せる方法
を知っている
これまでに、顧客情報などの重要な
(5) 情報を持ち出しても、誰からも注意や
指摘を受けなかった
(6)
社内で、自分以上に情報システムに
ついて理解している人がいない
かつて同僚がルール違反を行ったこ
(7) とが発覚したが、社内で処罰されな
かった
自分が情報システムの管理者ではな
(8) いが、情報システムへのアクセス管
理を操作できる
自分が情報システムの管理者ではな
(9) いが、不正操作した証拠を消去する
ことができる
社内の開発物や重要な情報に誰にも
(10) 知られずに閲覧・編集する方法を知
っている
社員の大半のパソコンのセキュリティ
設定が管理されず、社員任せになっ
(11) ている(システム管理者設定したパス
ワードが長く変更されていないことを
知っている)
90
問28 あなたは、下記のような環境にいる場合に、ルールを違反したいと思う気持ちがどの程度低下すると思
いますか。
(1)
顧客情報などの重要な情報は、特定
の職員のみアクセスできるようにする
(1)0%
(低下しない)
(2)1~25%
低下する
(3)26~50%
低下する
(4)51~75%
低下する
(5)76~100%
低下する
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
顧客情報などの重要な情報にアクセ
(2) スした人が監視される(アクセスログ
の監視等を含む)
ネットワークへの利用制限を設ける
(3)
(メールの送受信先の制限、Web メー
ルの制限、Web サイトや閲覧制限が
ある)
(4)
管理者を増員する等、社内の監視体
制を強化する
職務上で作成・開発した成果物は、
(5)
企業に帰属すること(不正競争防止
法に抵触すること)を研修で周知徹底
する
(6)
顧客情報などの重要な情報を持ち出
した場合の罰則規定を強化する
ルール違反や禁止行為(職務違反や
個人情報管理策や情報セキュリティ
(7) ポリシーを含む)に抵触しそうな事柄
についての問い合わせ窓口を設置す
る
(8)
(9)
社外や業務時間外に仕事をしなくて
も済むように業務量を軽減する
社内システムにログインするための
ID やパスワードの管理を徹底する
(10) 職場に監視カメラを設置する
社内の重要な情報が暗号化されてい
(11) る(社内の重要な情報は限られた関
係者しか閲覧できない)
退職者のアカウントは、即日、削除さ
(12) れる(退職者は退職日以降に社内シ
ステムへログインできない)
パソコンや USB メモリなどの会社備
(13) 品に会社の管理シールが貼られてい
る(私物との区別がつく)
CD や USB メモリ等の外部記憶媒体
(14) への書き出しや持ち出しが制限され
ている
(15)
上司や同僚に頻繁に相談できる環境
がある
システム管理権限が複数人に設定さ
(16) れ、ルール違反の相互監視が徹底さ
れている
91
(17)
(18)
(19)
社内システムで行ったルール違反の
痕跡を消すことが難しい
これまでに同僚が行ったルール違反
が発見されたことがある
これまでに同僚が行ったルール違反
が発覚し、処罰されたことがある
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
情報システムの管理者以外に、情報
(20) システムへのアクセス管理を操作で
きない
92
問29 あなたは、どのような条件が整えば不正をしたいと思う気持ちが高まると思いますか。あてはまるもの
を上位 5 つまでをお答えください。
(1)
自分が作成した成果物(顧客情報の一覧等)は、自由に使ってよいと思う
(2)
条件のいい企業から転職の誘いがあり、これまでの成果(顧客情報)を公開することで、有利に
転職できると思う
(3)
社内の人事評価に不満がある
(4)
上司の仕事への取り組み方や上司の人間性に不満がある
(5)
プロジェクトや業務の進め方に不満がある
(6)
業務が忙しいため、自宅で作業する必要がある
(7)
給与や賞与に不満がある
(8)
退職金に不満がある
(9)
不当だと思う解雇通告を受けた
(10) 職場でいじめや脅迫を受けていた
(11) ルールを違反しても個人や企業を特定されない自信がある
(12) システム管理が杜撰で、顧客情報を簡単に持ち出せることを知っている
(13) パソコンや USB メモリ等の情報端末の持込制限が厳しい(情報端末への書き込み以外の方法で保
存する必要がある)
(14) 職場に管理者がいないため、見つからない
(15) ルール違反に関して社内に相談窓口がない
(16) 社内システムにログインするための ID やパスワードの管理が徹底されていない
(17) 退職者のアカウントが削除されていない(退職者も社内システムにログインできる/退職者のア
カウントを利用して社内システムにログインできる)
(18) 職場への入退口に警備員がいない(誰もが職場に入ることができる)
(19) 不正を行う十分な時間がある
(20) 職場で頻繁にルール違反が繰り返されている
(21) 社内ルールや規則(セキュリティポリシーを含む)が徹底されていない
(22) 社内ルールや規則(セキュリティポリシーを含む)が厳しく、遵守するための負担が大きい
(23) 社内ルールや規則を違反した際、罰則がない
(24) ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない
(25) 職場のパソコンや社内システムへのアクセス管理が徹底されていない(誰もがパソコンや社内シ
ステムにログインできる)
(26) 社内の重要な情報が暗号化されていない(社内の重要な情報を誰もが閲覧できる)
(27) パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない
(28) パソコンや USB などの会社備品に会社の管理シールが貼られていない(私物と備品の区別がつか
ない)
(29) 職場に監視カメラがない
(30) 社内への入退出時に手荷物検査がない(社内に私物を持ち込むことができる)
93
(31) 顧客情報などの重要な情報を自由に持ち出せる権限をもっている
(32) 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている
(33) 同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている
(34) 社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている
(35) これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった
(36) 社内で、自分以上に情報システムについて理解している人がいない
(37) かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった
(38) 自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる
(39) 自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる
(40) 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている
(41) 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている(システム管理
者設定したパスワードが長く変更されていないことを知っている)
94
問30 あなたは、どのような条件が整えば不正を行いたいと思う気持ちが低下すると思いますか。あてはま
るものを上位 5 つまでをお答えください。
(1)
顧客情報などの重要な情報は、認められた職員のみがアクセスできるようにする
(2)
顧客情報などの重要な情報にアクセスした人が監視される(アクセスログの監視等を含む)
(3)
ネットワークへの利用制限を設ける(メールの送受信先の制限、Web メールの制限、Web サイト
や閲覧制限がある)
(4)
管理者を増員する等、社内の監視体制を強化する
(5)
職務上で作成・開発した成果物は、企業に帰属すること(不正競争防止法に抵触すること)を研
修で周知徹底する
(6)
顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する
(7)
ルール違反(職務違反や個人情報管理策や情報セキュリティポリシーを含む)に抵触しそうな行
為についての問い合わせ窓口を設置する
(8)
社外や業務時間外に仕事をしなくても済むように業務量を軽減する
(9)
社内システムにログインするための ID やパスワードの管理を徹底する
(10) 職場に監視カメラを設置する
(11) 社内の重要な情報が暗号化されている(社内の重要な情報を誰もが閲覧できない)
(12) 退職者のアカウントは、即日、削除される(退職者は退職日以降に社内システムへログインでき
ない)
(13) パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている(私物との区別がつく)
(14) CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている
(15) 上司や同僚に頻繁に相談できる環境がある
(16) システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
(17) 社内システムで行ったルール違反の痕跡を消すことが難しい
(18) これまでに同僚が行ったルール違反が発見されたことがある
(19) これまでに同僚が行ったルール違反が発覚し、処罰されたことがある
(20) 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
95
【経営者・システム管理者向け調査票】
Part1.回答者プロフィール
あなたのご職業、ご経験についてお尋ねします。
問1 ★あなたの勤務先の従業員数を選んでください。(○は1つ)
(1)100 名未満
(2)100 名以上 300 名未満
(3)300 名以上 1,000 名未満
(4)1,000 名以上
問2 ★あなたの所属する企業・組織の業種(主な事業内容)として、以下のうち、もっとも近
いものを1つ選んでください。(○は1つ)
(1)農林業・水産業・鉱業
(4)情報通信機械器具製造業
(6)その他製造業
(2)建設・土木・工業
(5)電気機械器具製造業(上記に含まれないもの)
(7)電気・ガス・熱供給・水道業
(9)情報サービス業
(10)その他の情報通信業
(13)金融業・保険業
(14)不動産業・物品賃貸業
(16)宿泊業・飲食サービス業
(19)医療・福祉
(3)電子部品・デバイス・電子回路製造業
(8)通信業
(11)運輸業・郵便業
(17)生活関連サービス業・娯楽業
(20)複合サービス業
(12)卸売業・小売業
(15)学術研究・専門技術者
(21)その他サービス業
(18)教育・学習支援業
(22)その他
問3 ★あなたの現在の所属部門として、もっとも近いものを以下から選んでください。(○は1つ)
(1)企画・広報部門
(2)販売・営業部門
(5)生産管理・品質管理部門
(8)経理・財務部門
(3)製造・生産部門
(6)技術・研究開発部門
(4)調達・購買部門
(7)総務・人事部門
(9)情報システム部門
問4 ★あなたの現在の職位として、もっとも近いものを以下から選んでください。(○は1つ)
(1)経営層・役員相当
長・主任相当
(2)情報システム管理者
(6)一般社員相当
(3)部長相当
(4)課長相当
(5)係
(7)その他専門職・特別職等
問5 あなたが所属する組織・企業の情報管理、個人情報の管理についての取り組み状況を教えて
ください。あなたが所属する組織・企業では、ISMS(Information Security Management
System)*やプライバシーポリシー**を取得していますか。(○は1つ)
(1)ISMS を取得している
(2)プライバシーマークを取得している
(3)ISMS とプライバシーマークの両方を取得している
(4)ISMS とプライバシーマークのどちらも取得していない
(5)わからない
*ISMS(情報セキュリティマネジメントシステム)とは、企業や組織で情報を適切に管理する仕組み
です。例えば、国際規格の ISO/IEC 17799 や ISO/IEC 27000 などがこれに該当します。
**プライバシー マークとは、個人情報の取り扱いや管理する仕組みであり、日本工業規格のプライ
バシーマーク制度(JIS Q 15001)などがこれに該当します。
96
問6 あなたは、所属する組織・企業で、不正なルール違反による個人情報や営業機密情報の漏えい等のイ
ンシデント*に関わったことはありますか。なお、ご自身がかつて所属していた組織・企業での経験も
あわせてお答えください。(○はいくつでも)
(1)自分が所属する組織・企業内で発覚したルール違反を調査した経験がある。
(2)自分が所属する組織・企業で発覚したルール違反の調査に協力したことがある。
(3)自分が所属する組織・企業で、上司・部下・同僚がルール違反を起したことを知っている。
(4)自分が所属する組織・企業の協力会社社員がルール違反を起したことを知っている。
(5)組織・企業のルール違反に関する調査や対策検討をコンサルタントとして関わった経験がある。
(6)自分が所属する(又は所属していた)組織・企業で発生したルール違反に関わった経験はない。
*インシデントとは、個人情報や営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能
性のある事象のことを示します。
問7 ★あなたは、これまでに下記のような経験をしたことがありますか。ご自身がかつて所属していた組織・
企業での経験もあわせてお答えください。(○はいくつでも)
(1)自分が所属する組織・企業で、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を
違反した経験がある。
(2)自分が所属する組織・企業で、うっかり顧客情報等の職務で知りえた情報の持ち出しを行い、ルール
や規則を違反した経験がある。
(3)自分が所属する組織・企業で、業務が忙しく社外で業務を遂行するために、顧客情報等の職務で知り
えた情報の持ち出しを行い、ルールや規則を違反した経験がある。
(4)自分が所属する組織・企業で、個人情報を売買するなど職務で知りえた情報を目的外に利用し、ルー
ルや規則を違反した経験がある。
(5)自分が所属する組織・企業で、インシデント*をともなう、何らかのルール違反を起したことがある。
(6)インシデント*に関わる行為を行ったことはない。
*インシデントとは、個人情報及び営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可
能性のある事象のことを示します。
97
Part2.内部不正行為にコストと対策について
問8 あなたの企業では、社員等の内部者によるインシデント等の不正行為について、どのような対策を実施
していますか?下記の主な対策からあてはまるものをお答えください。(○は1つずつ)
(1)
(2)
(3)
(4)
(5)
(6)
(7)
実施している 一部で実施して 実施したいが費 実施したいが人 実施したいが法 実施したいが 効果が認めら
いる
用面の理由で 材不足のため 的理由で実施 (3)~(5)以外 れないため実
実施できていな 実施できていな できていない の理由で実施 施していない
い
い
できていない
開発物(ソースコード)や顧客情報などの
(1) 重要情報は特定の職員のみアクセスで
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
きるようにする
開発物(ソースコード)や顧客情報などの
(2) 重要情報にアクセスした人が監視される
(アクセスログの監視等を含む)
ネットワークへの利用制限を設ける(メー
(3)
ルの送受信先の制限、Web メールへの
アクセス制限、Web サイトの閲覧制限が
ある)
(4)
管理者を増員する等社内の監視体制を
強化する
職務上で作成・開発した成果物は、企業
(5) に帰属すること(不正競争防止法に抵触
すること)を研修で周知徹底する
(6)
職務上で開発した成果物を公開した場
合の罰則規定を強化する
ルール違反や禁止行為(職務違反や個
(7)
人情報管理策や情報セキュリティポリシ
ーを含む)に抵触しそうな事柄について
の問い合わせ窓口を設置する
(8)
(9)
社外や業務時間外に仕事をしなくても済
むように業務量を軽減する
社内システムにログインするための ID や
パスワードの管理を徹底する
(10) 職場に監視カメラを設置する
社内の重要な情報が暗号化されている
(11) (社内の重要な情報は限られた関係者し
か閲覧できない)
退職者のアカウントは、即日、削除され
(12) る(退職者は退職日以降に社内システム
へログインできない)
パソコンや USB メモリなどの会社備品に
(13) 会社の管理シールが貼られている(私物
との区別がつく)
(14)
(15)
CD や USB メモリ等の外部記憶媒体への
書き出しや持ち出しが制限されている
上司や同僚に頻繁に相談できる環境を
整備する
98
システム管理権限が複数人に設定され、
(16) ルール違反の相互監視が徹底されてい
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
1
2
3
4
5
6
7
る
(17)
(18)
(19)
(20)
社内システムで行ったルール違反の痕
跡を消すことが難しい
これまでに、同僚が行ったルール違反が
発見されたことがある
これまでに、同僚が行ったルール違反が
発覚し、処罰されたことがある
情報システムの管理者以外に、情報シス
テムへのアクセス管理を操作できない
問9 あなたの企業では、社員等の内部者によるインシデント等の不正行為について、上記以外にどのような
対策を行っていますか?(自由回答)
問10 あなたの企業で、社員等の内部者によるインシデント等の不正行為について、最も効果があると思わ
れる対策をお答えください。(自由回答)
問11 あなたの企業では、社員等の内部者によるルール違反やポリシー違反が発生した場合に、どのような
対策を実施していますか?また、違反した際に罰則を定めている場合は、内容をお答えください。(自
由回答)
99
問12 あなたの企業では、社員等の内部者によるインシデント等の不正行為に対して、今後どのような対策
を行いたいと思いますか?上記(Q8)の対策からあてはまるものをお答えください。(○はいくつでも)
※Q8 で実施していないもの((3)、(4)と回答しているもの)のみ表示する。
あてはまるも
のに○
(1) 開発物(ソースコード)や顧客情報などの重要情報は特定の職員のみアクセスできるようにする
(2)
(3)
開発物(ソースコード)や顧客情報などの重要情報にアクセスした人が監視される(アクセスログの監視等
を含む)
ネットワークへの利用制限を設ける(メールの送受信先の制限、Web メールへのアクセス制限、Web サイト
の閲覧制限がある)
(4) 管理者を増員する等社内の監視体制を強化する
(5)
職務上で作成・開発した成果物は、企業に帰属すること(不正競争防止法に抵触すること)を研修で周知
徹底する
(6) 職務上で開発した成果物を公開した場合の罰則規定を強化する
(7)
ルール違反や禁止行為(職務違反や個人情報管理策や情報セキュリティポリシーを含む)に抵触しそうな
事柄についての問い合わせ窓口を設置する
(8) 社外や業務時間外に仕事をしなくても済むように業務量を軽減する
(9) 社内システムにログインするための ID やパスワードの管理を徹底する
(10) 職場に監視カメラを設置する
(11) 社内の重要な情報が暗号化されている(社内の重要な情報は限られた関係者しか閲覧できない)
(12) 退職者のアカウントは、即日、削除される(退職者は退職日以降に社内システムへログインできない)
(13) パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている(私物との区別がつく)
(14) CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている
(15) 上司や同僚に頻繁に相談できる環境を整備する
(16) システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている
(17) 社内システムで行ったルール違反の痕跡を消すことが難しい
(18) これまでに、同僚が行ったルール違反が発見されたことがある
(19) これまでに、同僚が行ったルール違反が発覚し、処罰されたことがある
(20) 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない
問13 あなたは、社員等の内部者によるインシデント等の不正行為がどの程度発生すると思いますか?
各項目について数字をお答えください。(発生する場合を 100 として直感的にお答え下さい。)
(1)
(2)
(3)
組織内で管理している個人情報の漏
えい事件
顧客情報の窃盗や持出しによる不正
競争防止法に関する事件
開発情報の窃盗や持出しによる不正
競争防止法に関する事件
(4) サービスやシステムの破壊等の事件
(1)0%
(発生しない)
(2)1~25%
発生する
(3)26~50%
発生する
(4)51~75%
発生する
(5)76~100%
発生する
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
100
問14 あなたの企業で、社員等の内部者によるインシデント等の不正行為に対して、今後、どの分野の対策
を強化していきたいとお考えですか?下記の中からあてはまるものをお答えください。(○は1つずつ)
(1)対策を強化
する
(2)対策は
変わらない
(1) 開発情報の管理
1
2
3
4
5
(2) 顧客情報の管理
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
(3)
(4)
顧客情報管理以外の個人情報漏え
い対策
内部不正対策の一環としての
退職者向けの対策
(5) 上記以外の情報セキュリティ対策
(3)対策を緩める (4)どちらともい (5)わからない
えない
問15 あなたの企業で、社員によるインシデント等の不正行為が発生した場合を想定してください。
発生したインシデント等が内部(社内及び関係者間)で解決できた場合、その内容について今後の
有益な対策を検討する事例として情報を公開する(関係機関への届出も含める)可能性はありま
すか?下記の想定される場合への対応方針で、あてはまるものをお答えください。(○は1つずつ)
※情報の公開は、プレスリリース及び所轄機関やプライバシーマーク認定機関への届出を含みま
す。
(1)
(2)
(3)
個人や企業名等を明記した公開の場
合
個人や企業などが特定できない状態
での公開の場合
関係者から「個人や企業名等を明記
した公開」で合意を得られた場合
(1)公開する
(2)公開を検討
する
(3)公開しない (4)どちらともい (5)わからない
えない
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
1
2
3
4
5
関係者から「個人や企業などが特定
(4) できない状態での公開」で合意を得ら
れた場合
公的または中立的な機関に対し、「個
(5) 人や企業などが特定できない状態で
の公開」を条件にした場合
関係者から、公的または中立的な機
(6)
関に対し、「個人や企業などが特定で
きない状態での公開」を条件にした場
合
101
問16 上記(Q15)で、一つ以上『公開しない』を選択した方に伺います。『公開しない』という判断に影響を
与えるものとしてあてはまるものを、下記の中からお答えください。(○は1つずつ)
(1)影響する
(2)影響しない
(3)どちらともいえな
い
(4)わからない
(1)
報告をしようという考えはないから
1
2
3
4
(2)
社内対応で十分だから
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
1
2
3
4
(3)
(4)
(5)
(6)
(7)
警察/監督官庁等では直接的に問題解
決できないから
関係者との調整が困難だから
情報を開示することにより、競合他社に利
用されるおそれがあるから
風評被害など企業のイメージダウンとなる
可能性があるから
その他(
)
問17 あなたの企業で、社員によるインシデント等の不正行為が発生した場合、届出・相談を行う可能性の
ある外部組織についてあてはまるものを下記の中からお答えください。(○は1つずつ)
(1)届出・相談を (2)届出・相談を (3)どちらともい (4)わからない
検討する
検討しない
えない
(1) 監督官庁
1
2
3
4
(2) 警察
1
2
3
4
1
2
3
4
1
2
3
4
(5) 弁護士/弁理士
1
2
3
4
(6) 監査人(内部監査員含む)
1
2
3
4
(7) 不正検査士
1
2
3
4
(8) フォレンジック事業者
1
2
3
4
(9) その他
1
2
3
4
(3)
(4)
JPCERT/CC(JPCERT コーディネー
ションセンター)*1
IPA(*2 独立法人 情報処理推進
機構)
*1 インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、報告
の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場か
ら行なう機関。
*2 不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機
器やデータ、電子的記録を収集・分析を行う事業者。
102