組織内部者の不正行為によるインシデント調査－調査報告書－ 2012 年 7 月目次１. はじめに ..................................................................................................................... 1 ２. 本調査の実施概要 ...................................................................................................... 3 ３. 既存調査研究のまとめ ............................................................................................... 4 ４. ５. ３.１海外の調査研究 ....................................................................................................... 4 ３.２国内における既存調査 ............................................................................................ 7 ３.３関連する心理学の理論 ............................................................................................ 9 ３.４本調査における定義と分類 .................................................................................. 12 事例調査 ................................................................................................................... 14 ４.１内部不正の概況 ..................................................................................................... 14 ４.２判例調査概要 ........................................................................................................ 17 ４.３インタビュー調査概要 .......................................................................................... 20 ４.４本調査における内部不正のモデル........................................................................ 24 アンケート調査及び分析結果................................................................................... 26 ５.１アンケート調査概要 ............................................................................................. 26 ５.２集計結果の分析と考察 .......................................................................................... 57 ６. まとめ ...................................................................................................................... 66 ７. 参照文献 ................................................................................................................... 68 付録１：事例集（インタビュー調査） ........................................................................... 69 付録２：事例集（判例調査） .......................................................................................... 71 付録３：アンケート調査票 ............................................................................................. 72 CERT は、米国 CERT/CC の登録商標または商標です。 VERIZON, VERIZON BUSINESS などは、米国 VERIZON および、その他の国における登録商標または商標です。その他、本書に掲載されている会社名、商品名、製品名などは、一般に各社の商標または登録商標です。１. はじめに企業や組織で、不正アクセスやウイルス感染、情報漏えい等の情報セキュリティの事故（以下、インシデント）の発生が連日のように報道されている。その被害は増加傾向にあり、ますます深刻化している。近年のインシデントは、これまでの愉快犯的な行為から、経済的利得や組織活動の妨害へと犯罪の目的が変化・多様化している。インシデントは、発生場所の観点から、組織の外部からの攻撃と内部における不正行為の大きく 2 つに分類することができる。組織外部からのサイバー攻撃は、インターネットから組織のネットワークへのウイルスや DDoS 攻撃、標的型攻撃メール等がある。一方、組織内部で起きるのが、内部者による不正行為である。内部者は、情報や情報システムにアクセスする権限を持つ者の場合が多く、アクセス制御等による技術的な対策のみでは限界がある。そのため、不正行為が発生する環境要因や心理的要因等についても考慮する必要がある。インシデントの発生状況をみると、米国 CERT の 2011 CyberSecurity Watch Survey では、2010 年に発生した全てのサイバー犯罪のうち、標的型攻撃などの組織の外部からの攻撃に起因するものが 73%を占め、残りが組織の内部者による不正行為によって引き起こされたものと報告されている。また、Verizon のレポートである 2012 Data Breach Investigations report[1] では両者の差が更に顕著で、全データ漏洩/侵害事例において、外部からの攻撃によって引き起こされたものの割合が９5％であるのに対して、内部者によるものは（業務上のビジネスパートナーによるものを含めても）わずか 3％しかない（残りの 2%は内部と外部の両方に関わるもの）。このように、サイバー犯罪の発生件数は、外部からの攻撃によるサイバー犯罪が大きな割合を占めている。また、日本ネットワークセキュリティ協会（以下、JNSA1）が 2010 年に実施した「2010 年のインシデントに関する調査」2によると、内部者の不正行為3による個人情報の漏えいに関するインシデントは 2005 年から 2010 年の間、毎年の全ての漏えい人数のうち、4%から 30％を占めている。インシデント発生による被害額の観点では、前述の CyberSecurity Watch Survey の報告によると、外部からの攻撃によるものと、内部者の不正行為によるものについてどちらの被害額が大きいかの質問に対して、外部からの攻撃が 38％であり、内部者による不正行為が 33％であった。このように、件数は少ないものの、組織が受ける被害額の大きさでは、同程度の割合と認識されており、内部者による不正行為は看過できないものである。内部者は価値のある重要な情報の場所を知っており、社内の情報システムの知識やアクセス権をもつことから、内部者による不正行為が発生すると被害が大きくなると考えられる。例えば、Ponemon Institute が発表した、Second Annual Cost of Cyber Crime Study によると、内部者の不正行為による年単位で計算された 2010 年、2011 年の平均被害額はおよそ 10 万米ドルであり、これは Denial of Service（約 19 万米ドル）、Web-based attacks（約 14 万米ドル）、Malicious code（約 12 万 5 千米ドル）に次いで大きい額である。（ボット、ウイルスなどによる平均額はおよそ 2 千米ドルである）。これらから内部者による不正行為は、組織として対策を講じなければならない重要な課題の 1 つであることは明らかである。しかし、国内における組織の内部者による不正行為に関する国内での実証的な取り組みは、 2010 年に公表された(財)社会安全研究財団による「情報セキュリティにおける人的脅威対策に関する調査報告書」[1] があるのみである。この報告書では、サイバー犯罪で検挙された事例として、悪意を持った内部者の不正行為を対象に分析している。ただし、JNSA が 2010 年に実施した「2010 年のインシデントに関する調査～発生確率編～」によると内部者の不正行為には、必ずしも悪意を持っていたとは言い難い「うっかりミス」や業務遂行上迫られた「ルール違反」等の事案が多数あると指摘しているものの、そのような犯罪として立件に至らない事例は含まれていない。内部者の不正行為に関して、犯罪として立件に至った重大なインシデント 1 JNSA:Japan Network Security Association http://www.jnsa.org/result/incident/2010.html 3 JNSA の調査では、社員、管理下にある他社社員（派遣社員など）が、不正アクセス、その他の不正な行為によって情報を持ち出して悪用した場合を「内部犯罪・内部不正行為」と定義し、本調査で対象となる内部者の不正行為を含んでいる。 2 1 の事案の分析である。この重大なインシデント（情報セキュリティの事故）は、ハインリッヒの法則の重大な事故・災害と捉えることができる。ハインリッヒの法則では、1 件の重大な事故・災害の背景には、29 件の軽微な事故・災害が起こっており、300 件もの「ヒヤリ・ハット4」が起きていると言われる。犯罪として立件に至った重大なインシデントの背景にある、犯罪として立件に至らなかったものや、ヒヤリ・ハットに関するものも発生しないように対策を講じる必要がある。内部者による不正行為の対策を検討するには、犯罪として立件に至らない事例やヒヤリ・ハットに関する事例について情報収集が必要である。しかし、これらの情報は、「風評被害が発生する恐れ」や「利害関係者との調整がつかない」等の理由から公開されることが稀であり、情報共有も困難である。したがって、実態が把握されておらず、これまで内部者による不正行為の発生しやすい環境や、効果的な対策等の検討が難しかった。本調査は、内部者による不正行為の対策を検討していくために、内部者による不正行為に関する実態を明らかにする基礎的な調査である。ここで、以降、「うっかりミス」、「企業内のルール違反」等を含めた全体の内部者の不正行為を「内部不正」とし、その中で、犯罪として立件に至ったものを特に「内部犯行」と呼ぶこととする。本調査では、内部不正の誘発要因、及びそれに対する抑止・防止対策の考察に関して、既存調査[2]とは異なるアプローチをとる。既存調査では、調査対象事例を基に誘発要因を導出し、対策を考察している。それに対して本調査では、組織に所属する幅広い人々を対象として内部不正に関わる実態を明らかにするために、Web アンケートを使って意識調査を行い、その中で主に、どのような要因が不正行為をしたいという気持ちをどの程度高めるか、どのような抑止・防止策が不正行為への気持ちをどの程度低下させるかに関して尋ねるという方法をとる。 4 重大な事故や災害に至らないが、重大事故につながりかねない事故寸前の危険な事例のこと 2 ２. 本調査の実施概要本調査は、図 1 の流れのように、文献調査と事例調査を行って事例を分析し、事例分析をもとに内部不正の誘発要因や効果的な対策についてアンケート調査を行い、その結果を考察した。以下に、本調査の流れや実施内容について説明する。・文献調査（3 章）内部不正に関する国内外の関連調査報告書や、犯罪を心理学や環境の観点から捉えた研究について調査した。・事例調査 (4 章) 内部不正の調査に関わった調査員、対策を立案するコンサルタント、企業の CISO、及び法律家などの協力を得て内部不正に関して未遂（1 件）も含め、20 件の事例を収集した。その際、公開されている内部犯行の事例と比較するために判例調査も行い、10 件の事例を収集した。・事例分析 (4 章) 収集した事例から、内部不正と内部犯行の傾向の比較や、内部不正者の特性に関する分析を行い、代表的な２つの想定モデルを策定した。そして、この 2 つの想定モデルの内部不正の誘発要因について考察した。・アンケート調査 (5 章) 内部不正対策される側の社員や職員を対象にした 3,000 人の Web アンケートと、内部不正対策する側の経営者及びシステム管理者を対象とした 110 人のアンケートの 2 つを実施した。社員や職員への Web アンケートでは、事例分析の代表的な 2 つの想定モデルをもとにシナリオを設定し、そのシナリオにおいて、内部不正の誘発要因や効果的な対策について質問した。また、経営者及びシステム管理者へのアンケートでは、効果的な対策について質問した。これらのアンケート結果を集計・分析した。・まとめ (6 章) 本調査の結果をまとめる。文献調査アンケート調査事例分析事例調査図 1 調査概要図 3 まとめ３. 既存調査研究のまとめ本章では、内部不正に係る既存の関連調査や研究を紹介し、これらの調査や研究を参照して、本報告書の内部不正者や内部不正の定義、内部不正の分類や引き起こす要因等を示す。海外の調査研究を３.１節、国内の調査を３.２節で述べる。さらに、内部不正者の心理面や行動面から予防・防止するという観点から犯罪心理学について３.３節で述べる。３.１海外の調査研究米国では、CERT の Insider Threat Study team5が 1996 年から 2002 年までに 150 の内部犯行の事例を収集し、重要インフラを含む特定部門の事例分析を行い、2009 年に発表した”Common Sense Guide to Prevention and Detection of Insider Threat”[8]の中で内部犯行の予兆の検知、犯行に対する防護のためのベストプラクティスを公表している6。本節では、CERT の調査研究における内部犯行者の定義や内部犯行の分類等について概説する。３.１.１ CERT Insider Threat Study による内部犯行の定義 CERT が 2008 年に報告している Insider Threat Study（以降 ITS）[7] では、内部犯行者を定義し、内部犯行を 3 つに分類している。内部犯行者の定義は、表 1 の 3 つの条件を満たす者としている。なお、内部犯行者の定義や内部犯行の分類概要などの和訳は、国内調査[1] を参照した。表 1 内部犯行者の定義・現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー・組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持っている、もしくは持っていた者・意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をもたらした者 ITS では、内部犯行を 3 つに分類し、それぞれの概要と特徴を示している。また、内部犯行のポイントについてもまとめている。内部犯行の分類及び特徴を表 2、内部犯行のポイントを表 3 に示す。表 2 内部犯行の分類概要及び特徴分類概要１システム悪用 (Employee Fraud) 特徴概要２ 5 6 情報の持ち出し (Theft of Information) 概要・特徴組織の財やサービスをごまかし(deception）やぺてん(trickery）で手に入れる・しばしば内部者の金銭的問題が関係する。・ 1/3 のケースで、外部の手引き者が存在した。情報改ざんについては、同僚がおぜん立てすることが多い。・内部脅威者のストレスを引き起こすものが観察される。（例えば借金、家族問題等）機密や知財に関連する情報などを組織から盗み出す・特徴内部脅威者は、情報窃取のリスクに関連する個人的な傾向（personal predispositions）をもつ。たとえば、期待に反した待遇（報酬、昇進、オンライン活動への自由、倫理感、プロジェクト期限等他）についての不満を持っ Insider Thread Center , http://www.cert.org/insider_threat/ Insider Thread Center , Insider Threat Study http://www.cert.org/insider_threat/study.html 4 分類概要３破壊行為 (IT Sabotage) 特徴概要・特徴ている。・組織を辞めた後に侵入可能なように、アクセス経路を作っていることが多い。・前兆があるが、ほとんどの場合、組織は技術的な前兆を見落としている。・管理者は、前兆を見逃がさないようにモニタリングをすべきで、そのようにポリシーを策定すべきである。・信頼（Trust）は、リスクを軽減する。特定個人、組織(含む組織のデータ、システム、日常業務）に損失を与えるという意志に基づいた悪意ある行動・ IP7を金銭目的で売ろうとするものは少なく、むしろ、転職や起業などの際の自己のビジネスの優位のため、また、外国政府などへ持ち出す。・ IP を盗む者は、たいてい、科学者、エンジニア、プログラマやセールスパーソンである。・盗む対象は、通常の業務で扱っている情報が多いので、これを防ぐのは困難である。・転職、処遇などの組織への不満、肩書などはすべて情報を盗む意思決定に影響する。・情報は、さまざまな手法を使い、退職から 1 ヶ月以内に盗まれている。・退職の 1 ヶ月前と 1 ヶ月後の合わせて 2 ヶ月のモニターが必要である。この間の外部とのやり取りをすべてログしておくべきである。表 3 内部犯行調査で明らかになったポイント 1. 多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している 2. 多くの内部犯行者の不満は期待が裏切られたことに端を発する 3. 処罰や(従業員にとって)好ましくない出来事が破壊行為の発生確率を上げる 4. 多くの場合、犯行の兆候を示す振る舞いが確認されている。しかしそれらは看過される 5. 内部犯行者は侵入するため、そして痕跡を隠すために組織の経営層に気づかれぬように裏口を設ける。大半の行為は退職後にその裏口を用いて行われる３.１.２ 6. 組織は技術的な前兆を見落としている 7. 物理的、技術的アクセス制御の欠如が破壊行為を容易にする知的財産等を対象とした既存調査知的財産に係る内部犯行が近年注目されていることから、CERT は知的財産を対象とした内部犯行を積極的に分析しており、2010 年に「Spotlight On : Insider Threat from Trusted Business Partners」[11] を公表している。この調査報告書では、知的財産（Intellectual Property：以下 IP とする）を特許、著作権、商標、意匠、科学的公式、ソースコードの一部であり、顧客に関する機密情報のような財産的な情報（Proprietary Information）を含めた独自・創造的な発想と定義している。そして、内部者である「信頼あるビジネスパートナー（Trusted Business Partner（以下、TBP））」による IP の盗難のケースに焦点を当てて考察している。TBP やこれに関連した項目に関して、同調査では表 4 のように定義している。 7 Intellectual Property （知的財産） 5 表 4 知的財産に関する内部犯行の定義及び分類用語定義内容等内部者が IT を利用し、IP を組織から盗むことを指す。但し、ID8の盗難は除かれる。契約に基づいて、ある組織（企業、団体）に向けてサービスを提供する外部企業・団体（組織的 TBP）または部外者（個人的 TBP）を指す。このサービスを提供するためには、組織は、TBP に対して特許データ、重要資料、内部インフラの構成等の情報へのアクセス権限を提供しなければならない。組織的 TBP の例としては、組織から、顧客向けのサポート業務を委託された企業があり9、一方、個人的 TBP の例としては、その組織と個人契約を締結するコンサルタントや契約社員及び臨時の社員（パートタイム）等が含まれる10。 IP の盗難 TBP TBP に関係する内部犯行の事例は、「内部犯行者のポジション」、「アクセス権限の種類」、「場所」、「動機」、大きく 5 つの内部犯行の項目に分類されている。各 5 項目において、2 つの TBP（組織的 TBP、個人的 TBP) と詳細化した種類で発生割合として、表 5 のような結果を得ている。表 5 IP 盗難事例の詳細項目犯行者のポジションアクセスの種類種類技術系 79% 非技術系 73% 21% 許可済み 100% 38% 未許可対象組織 TBP と対象組織の双方リモート環境内部犯行分類 0% 62% 82% 53% 0% 3% 18% 0% 0% 44% システム悪用 82% 12% 情報の持ち出し 18% 24% 0% 65% 破壊行為経済的利得動機個人的 TBP 27% TBP 場所組織的 TBP 73% 12% 復讐 0% 53% 競合 8% 18% 名声・風評 8% 3% 不明 8% 15% TBP との関係も含めた内部犯行の低減及び検出に関するアドバイスは表 6 の通りである。 ID:Identification このような組織と組織的 TBP との関係は、組織的関係(organizational relationship)とレポート内で呼ばれている。 10 このような組織と個人的 TBP との関係は、個人的関係(individual relationship)とレポート内で呼ばれている。 8 9 6 表 6 内部犯行の低減・検出に関するアドバイス 1. TBP のポリシーと処理手順を理解すること11 2. アクセスが許可された IP をモニターすること 3. アクセス権限を管理すること 4. TBP の人事ポリシーと処理手順を理解すること12 5. 職場で起こるネガティブな問題点を予測し、管理すること 6. 関係者のアクセス権限を削除した際、システム上でも確実に実施すること 7. 責務の分離を強化すること 8. 情報を保護する責任が TBP にもあることを、明確に契約に記述すること３.２国内における既存調査国内における事例に基づいた分析として注目すべき文書は、（財）社会安全研究財団より 2010 年 3 月に公表された「情報セキュリティにおける人的脅威対策に関する調査報告書」[1] である。この報告書では、CERT の分析や調査を参照し、警察機関の有する事件資料を基にした内部犯行の事例調査について報告している。この報告書では、収集した 30 事例について多次元尺度法（Multi Dimensional Scaling）13による事件の類型化を行い、事例を「システム悪用」「情報流出Ⅰ（道具的犯行）」「情報流出Ⅱ（表出的犯行）」「破壊行為」の 4 つのタイプに分けている。「情報流出Ⅰ（道具的犯行）」は、CERT の報告書の表 2 の「情報の持ち出し」に対応しており、「情報流出Ⅱ（表出的犯行）」を追加している。「情報流出Ⅰ（道具的犯行）」「情報流出Ⅱ（表出的犯行）」の定義は以下のとおりである。・情報流出Ⅰ（道具的犯行）：「情報持ち出しなどの違反行為が、ある目的（たとえば情報売却による金銭獲得）に沿った合理的な手段となっている」事例・情報流出Ⅱ（表出的犯行）：「情報持ち出しなどの違反行為が、心理的満足を得る（たとえば鬱憤晴らし、情報を把握することで心理的な優位性を保つ）手段となっている」事例 4 つのタイプの特徴を把握するために、表 7 のように「個人的・人格的特徴」「環境要因」「犯行状況」について示す。 11 ここで言うポリシー、手続きとは、組織的 TBP 内での物理的セキュリティ、従業員教育、従業員の経歴調査、セキュリティ対応手順、或いはその他の（不測の事態に備えての）防護策などのことである。 12 TBP は従業員の経歴を徹底的に調査し、大丈夫と判断してから重要なデータの扱いを任せることを、TBP と業務契約を結んでいる組織は主張すべきと、ここでは言っている。 13 分類対象物の関係を低次元空間において点の布置で表現する多変量解析の一手法。 7 表 7 国内調査による内部犯行の特徴内容及び特徴種類情報流出Ⅰ （道具的犯行）情報流出Ⅱ （表出的犯行）破壊行為業務の専門性職場への不満業務で使用している端システム管理などの末が使用できる程度の相対的に高い IT 技情報流出Ⅰと同じ情報流出Ⅰと同 IT 技術の者が多くを占術を有する者が多傾向。じ傾向。めていた。（高い IT 能い。力を有さない）分業化され、専門化された業務に就いている者が多く、業務の監視性については、全体的に低い状況であった。何らかの不満を抱えて不満を感じていないシステム悪用と同情報流出Ⅰと同いる者が多い。者が相対的に多い。じ傾向。じ傾向。動機経済的な逼迫感。その他個々の事例や分類によって大きく異なり、日常業務で使用していたシステムに、組織の内部または外部からアクセスして犯行を行った事例や、情報収集のためキーロガーを利用していた事例、他の従業員のメールを自宅で自動受信設定していた事例もあった。個人的・人格的な特徴（IT 能力／技術）環境要因システム悪用犯行状況システム悪用と同じ傾向。嫌がらせや鬱積した感情の発散。情報流出Ⅱと同じ傾向。また、ルーティンアクティビティ理論[3] （２．３．１節）を用い、内部犯行発生に不可欠な 3 つの要素（「動機づけられた犯罪者」「潜在的な被害者」「監視性の低い環境」）の観点から、実施可能な対策を考察している。例えば、「動機づけられた犯罪者」では、時期に応じた対策と情報システム面からのポイント（システム開発者、運用者による犯行を防ぐための対策）は表 8 の通りである。表 8 国内既存調査における対策のポイント対策・ポイント詳細項目内容・採用予定者が担当することとなる職務を遂行するために必要な適性を有しているかのチェックを行う。入社前・情報及び情報システムの取り扱い及び利用に関して契約に盛り込み及び違反した場合の措置についても書き込んでおく。時期に応じた対策・労働条件、処遇条件について採用時に明確化しておく。在職中・職場全体のコミュニケーションを良くしておく。・抑止システムの整備及び兆候の把握。退職期コミュニケーションが重要、アカウントの無効化。退職後退職後もモニターが必要であることを認識すべき。システム開発者・運用者による犯行を防ぐための対策として以下のポイントがある。情報システム面からのポイントシステム運用・システム開発・運用は複数の者で担当する。・システムへのアクセス権限を適切に管理する。・実際の業務に当たっても一人に任せきりにしない。・チェックシステムを導入しておく。 8 ３.３関連する心理学の理論不正行為者が、その置かれた環境との相互作用に影響されることを前提とし、その環境について一定のパターンを分析、導出できれば、その結果を予防に利用できると考えられる。本節では、内部不正の分析に関係すると考えられる犯罪心理学や環境犯罪学の 3 つの理論（ルーティンアクティビティ理論、状況的犯罪予防、不正のトライアングル）について概説する。３.３.１ルーティンアクティビティ理論犯罪心理学では、集団や犯罪行為に影響を与える犯罪者の行動と心的プロセスを分析している。図 1 に示すのは、犯罪の三角形といわれるものである。ルーティンアクティビティ理論（Routine Activity Theory）では、犯罪者、犯行対象物、場所の 3 つの要因が重なった場合に犯行が発生するとしている。犯罪を未然に防ぐためにはこれらを同時に起こさないよう、外側の三角形で表現している要素「監視者」「行動規制者」「管理」が必範罪者犯規者所動対策（動機づけられた）犯罪者行動規範者（潜在的な）犯行対象物監視者（監視性の低い）場所管理者理場行要因管者要であることを示している。問題犯行対象監視者図 1 ルーティンアクティビティ理論の概要図 (出典) (財)社会安全研究財団：「環境犯罪学と犯罪分析」[3] より引用３.３.２状況的犯罪予防ルーティンアクティビティ理論では、違反者の意図や目標対象に対して、外部からのコントロールや抑止が困難な場合もある。一方で、監視者の設置などによって外部からのコントロールを可能な「環境」を適切に定めることを主眼として、犯罪機会の低減、予防する研究に、状況的犯罪予防の理論がある。状況的犯罪予防とは、「ある特定の犯罪問題を削減するための、極めて実践的かつ効果的な手段」と定義され、犯罪に関連する多くのプロセスや要因について予防するための方策を検討するために用いられる。状況的犯罪予防は、犯罪予防策として表 9 の 5 つに分類される。表 9 状況的犯罪予防における犯罪予防策の 5 分類 (1) 犯行を難しくする：技術的な対策を強化することで犯罪行為を難しくする (2) 捕まるリスクを高める：管理や監視を強化することで捕まるリスクを高める (3) 犯行の見返りを減らす：犯行を難しくするための技術的対策によって、犯行者から適切な目標物を遠ざけることや隠すことが困難な場合に適用 (4) 犯行の挑発を減らす：外部からの挑発による犯罪行為を抑止 (5) 犯罪を容認する言い訳を許さない：犯行者による自らの行為の正当化理由を排除する 9 状況的犯罪予防には、直接的に犯罪を防止する対策から間接的に犯罪を防止及び抑止する対策まで含まれている。上記で説明した 5 分類は、更に各々5 つに細分化されており、合計で 25 分類の対策が定義されている。状況的犯罪予防を参考にすると、25 分類の対策の観点から犯罪防止および抑止について検討可能である。図 3 では、この 25 分類を情報セキュリティ対策に対応させた例を示している。３.３.３不正のトライアングル ACFE の創設者でもあるドナルド・R・クレッシーは、横領の発生要因は脆弱な内部統制や不十分な監視システムが根本的な原因ではなく、当事者が雇用主の信頼に意図的に背くことにより不正行為が発生すると分析している。具体的には、動機・プレッシャー（他人に打ち明けられない経済的な問題）を抱え、機会（この問題が自分の経済的に信頼されている立場を利用すれば、秘密裏に解決できること）を意識し、正当化（その解決策を実行しても、信頼された人物としての自分のイメージを損なわないですむような理由付け）を考えつく時に発生すると考え、この「動機・プレッシャー」、「機会」、「正当化」を不正のトライアングルと定義している14（図 2 を参照）。不正のトライアングルに基づいて内部不正対策を行う場合には、不正のトライアングルの 3 つの要因に関して低減する対策を検討することになる。例えば、作業のモニタリングを実施する等の対策を実施することで内部不正を行う「機会」を低減させて、内部不正の件数の低減を図ることができる。動機・プレッシャー機会正当化図 2 不正のトライアングル 14 Donald R. Cressey "Fraud Triangle"、及び Other People’s Money : A Study in the Social Psychology of Embezzlement 10 犯行を難しくする捕まるリスクを高める犯行の見返りを減らす 1.犯行対象を防御的に強化する 6.監視者を増やす 11.標的を隠す・スクリーンロックの設定・アクセス制御の設定・退職者の ID 削除/確認者設置・パスワードポリシーの設定・PC の物理チェーンロック、固定具・盗用防止スクリーン・複数人での作業環境の設定・防犯ベルの設置・特権階級の分散化/管理者の増員・個人情報売買の監視・アクセスログの監視・電子ファイルのアクセス権限の設定・PC/USB メモリの保管場所設定 2.施設への出入を制限する 7.自然監視を補佐する・ID カード（身分証明）の確認・電子カードアクセス・手荷物検査・守りやすい空間の設計（外部から見えるガラス面積の拡大）・オフィスのフリースペース化・投書箱による密告者をサポートする 3.出口で検査をする・ID カード（身分証明）の確認・手荷物検査・メールやネットの監視犯行の挑発を減らす犯罪を容認する言い訳を許さない 16.欲求不満やストレスを減ら 21.規則を決める・情報セキュリティポリシーの策定す・職場での円滑なコミュニケーションの推進・上司や同僚に頻繁に相談できる環境整備・適切な人事・作業管理（業務量の軽減）・個人情報管理策の作成・就業規則・障害対策等の手順の明確化・管理/運用策の策定・雇用契約 12.対象を排除する 17.対立を避ける 22.指示を掲示する・電子ファイルのアクセス権限の設定・PC の持込許可制度・業務上で必要な閲覧項目を絞る・紙の廃棄/溶解処理・情報セキュリティの管理部門を設置し、上司との対立を避ける・適切な人事・作業管理（業務量の軽減）・情報セキュリティポリシーの掲示・個人情報管理策の掲示・就業規則の掲示・目的外利用の禁止の掲示・不正事例の掲示（匿名） 8.匿名性を減らす 13.所有物を特定する 18.感情の高ぶりを抑える 23.良心に警告する・ID カード、社員バッチの携帯・ID による管理・持ち出し台帳による管理・PC/USB メモリに登録番号シールをつける・電子ファイル/紙ファイルに管理番号をつける・複写台帳管理・パワハラの禁止・人種的中傷の禁止・適切な人事・作業管理（業務量の軽減）・持ち出し厳禁であることを掲示・管理レベルを表示／印字・不正競争防止法などの研修・教育・ルール厳守への自己サイン 4.犯罪者をそらす 9.現場管理者の利用 14.市場を阻止する 19.仲間からの圧力を緩和する 24.遵守を補佐する・通路／出入り口の閉鎖・物理レベルに応じた入退制限・金属探知器・CCTV（監視カメラ）の設置・機密情報へのアクセスは複数人による作業制限・不正競争防止法・不正監査/不正検査・個人情報売買の禁止/監視・適切な人事・作業管理（業務量の軽減）・利用 PC/USB メモリの登録管理/貸出規則を簡単にする・施錠保管キャビネットの設置・シュレッダーの設置・相談窓口の整備 5.道具や対抗手段を制御する 10.フォーマルな監視体制を強化す 15.利益を否定する・重要情報の暗号化る 20.模倣犯を阻止する 25.薬物・アルコールを規制する・非登録の PC/CD/USB メモリの持込/持出/書出し禁止・携帯電話の持ち込み禁止・メールやネットの利用制限・禁止（フィルタリング等）・侵入警報装置・警備員・重要情報にノイズや電子透かし各種ウォーターマークを注入・インシデントの手口の公開を慎重にする・インシデントの証跡を残さない図 3 状況的犯罪予防（ＩＴセキュリティ対策版）（出典）5 カテゴリ 25 分類は、(財)社会安全研究財団：「環境犯罪学と犯罪分析」 P191 を参考とし、セキュリティ対策の例を作成 11 ・職場での飲酒禁止/検査・アルコールなしの行事３.４本調査における定義と分類 CERT や社会安全研究財団の調査や研究では、組織内で発生した犯罪を対象としており、内部犯行を防ぐために多くの示唆を与えている。本報告書は、組織内で発生したインシデントとして、内部犯行を含む内部不正を対象としている。国内の組織などでの情報漏えい事案などをみると、情報セキュリティの内部の不正者によるルール違反等は、必ずしも悪意がないものや、犯罪として立件されないものが多く含まれている。前述したハインリッヒの法則を内部不正に適用すると、内部犯行を重大な事故とし、裁判に至らないケースやルール違反を軽微な事故やヒヤリ・ハットとして位置付けることが可能である。内部犯行と内部不正はインシデントの規模のみが違うと考えると、内部不正の調査では、ITS 及び国内の調査研究の内部犯行の予兆や対策のポイントなどが参考になると考えられる。したがって、本調査では CERT と（財）社会安全研究財団の報告書 [2]（以降、既存調査という）における定義を参考にして、内部不正者の定義や内部不正について分類する。３.４.１内部不正者の定義既存調査では、内部犯行者を、「正当なアクセス権限を所持している。または、正当なアクセス権限を所持していた」と定義している。本調査の事例では、アクセス権限を持たない者による不正行為（上司が使用している USB メモリを不正に入手する等）も見られ、このような事例を含めることで、より多くの事例を調査対象とすることができると考えられる。以上のことから、本調査の内部不正を行う者の定義は、「アクセス権を持っていない者」も含め、その定義内容を表 10 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。表 10 本調査における内部不正者の定義 1. 現在もしくは過去の社員、その他の被雇用者もしくはビジネスパートナー 2. 組織の IT システム(ネットワーク、システム、データ)への正規に認められたアクセス権を持っている者、及びアクセス権を持っていない者 3. 意図的にそのアクセス権を用い、組織の情報の機密性、完全性、可用性に対して負の影響をもたらした者３.４.２内部不正行為の対象情報及び分類既存調査では、内部犯行の分類である「情報持ち出し」で対象となる情報は、「機密や知財に関する情報」である。また、「道具的犯行」で対象となる情報は、「換金のための情報」と定義されている。一方、本調査の対象範囲を考慮した場合、「情報持ち出し」で対象となる情報は、機密や知財に関係ない情報や重要な情報とはいえない情報（例えば、職場の雰囲気や上司の近況情報などの情報）なども考えられる。また、換金の目的では、情報のみでなく、PC 等の物理的な情報資産の持ち出しも考えられる。「道具的犯行」及び「表出的犯行」で対象となる情報でも、上司の近況情報など、換金のための情報とはいえない情報もあることが考えられる。これらの機密や知財に関係ない情報や換金のための情報とはいえない情報は、企業内で重要情報と定められていない場合も考えられるが、その情報が漏えいすることで間接的に企業に負の影響を与える場合も考えられる。以上のことから、本調査の内部不正で対象とする情報の定義は、「その他の情報」も含め、その分類内容を表 11 に示す。なお、下線で示した内容は、本調査で追加修正した部分である。 12 表 11 本調査における内部不正の分類 1. システム悪用 (Employee Fraud) - システム悪用 : 組織の財やサービスをごまかし (deception）やぺてん(trickery）で手に入れる 2. 情報の持ち出し(Theft of Information) - 機密や知財に関連する情報及びその他の情報資産などを組織から盗み出す・「道具的な犯行」：情報セキュリティの違反行為が金銭的な利得を得るための不正。換金のための情報及びその他の情報や情報資産を獲得するといった目的に沿った合理的な手段として不正が行われる。・「表出的な犯行」：蓄積した不満の発散や嫌がらせによる不正。情報の把握、持ち出し、公開等を行うことで心理的な優位性を保つなど、心理的満足のために情報セキュリティ違反行為がなされている。 3. 破壊行為(IT Sabotage) - 特定個人、組織(組織のデータ、システム、日常業務含む）に損失を与えるという意志に基づいた悪意ある行動 13 ４. 事例調査本章では、はじめに公開情報をもとに内部不正の概況を述べたのちに、具体的な事例調査として裁判の判例調査とインタビュー調査の結果を説明する。また、これらの事例調査の結果から本調査における内部不正のモデルを示す。そして、そのモデルから内部不正の発生要因について分析した。４.１内部不正の概況 CERT や Verizon の報告書では、内部不正が原因となったインシデントの割合について述べられている。本節では、内部不正の発生に関して、断片的ではあるが情報を提供しているものを紹介する。 Computer Security Institute (CSI)の 2010/2011 Computer Crime and Security Survey によると、回答者である 149 人の IT 管理者のうちマルウェア感染を報告した企業が 67％もあったのに対して、内部者による業務目的以外のコンピュータの使用を報告したのは 25％、不正アクセス、権限昇格は 13％となっている。 Cyber-Ark による Snooping Survey 2011 によると、職場で破壊行為、或いは IT セキュリティ違反行為に遭遇したことがある IT 関連スタッフ及び役職の人の数は、全体の 18％を占めている（表 12 参照）。これ以外にも、全体で 24％の回答者が自身で、或いは同僚が不正アクセスを行ったことがあると答えている（表 13 参照）。表 12 職場で破壊行為、或いは IT セキュリティ違反行為に遭遇した人の数、割合 EMEA15 US C-Level 人数 % 人数 % 人数 % 遭遇した 121 21% 137 16% 11 16% 遭遇していない 303 54% 452 53% 44 63% 分からない 139 25% 269 31% 15 21% 合計 563 100% 858 100% 70 100% （引用）2011 年度版 Snooping Survey、Cyber-Ark16 表 13 機密情報にアクセスするために管理者パスワードを使用したことがある、或いは同僚がそうしたことがある人の数、割合 EMEA US C-Level 人数 % 人数 % 人数 % 使用あり 177 31% 175 20% 18 25% 使用なし 228 41% 420 49% 34 48% 分からない 158 28% 264 31% 19 27% 合計 563 100% 859 100% 71 100% （引用）2011 年度版 Snooping Survey、Cyber-Ark Cisco による白書”Data Leakage Worldwide: Common Risks and Mistakes Employees Make”では、10 か国で従業員 100 人、IT 管理者 100 人に対して行われた調査のうち、以下の 5 つの内部不正に関して、調査結果が報告されている。（１）会社内で使用許可の無いアプリケーションの利用  従業員全体のうち、78%が会社内のパソコンから個人使用の e-mail にアクセスしたことがある。 15 Europe, the Middle East and Africa の略 16 Cyber-Ark http://www.cyber-ark.com/downloads/pdf/2011-Snooping-Survey-data.pdf 14  従業員全体のうち、63%が、会社のパソコンを業務目的以外（たとえばオンラインショッピング、インターネットバンキングなど）に毎日利用している。  従業員全体のうち、83%が、会社のパソコンを業務目的以外に時々利用している。  IT 管理者全体のうち、70％は、会社で発生するデータ漏洩・損失事故の半分は、そのような従業員のパソコンの利用に起因していると信じている。（２）業務で利用するコンピュータの悪用  中国では 42％、ブラジルでは 26%、インドでは 20%の従業員が、会社のセキュリティポリシーを無視し、設定を迂回している。  ブラジルでは 47％、インドでは 27％、イギリスでは 26％、イタリアでは 22％、ドイツでは 24％の従業員が、会社の機密情報を部外者と共有したことがある。  中国では 43％、インドでは 28％の従業員が、会社で使用する機器を管理者に無断で、部外者と共有したことがある。  全体では、32％の回答者が仕事上で使用する機器を同僚と共有、19％が家族、友人と共有したことがある。  63％が少なくとも、1 日に 1 回は会社の PC を個人使用している。（３）不正アクセス表 14 従業員によるネットワーク、或いは立ち入り禁止区域への不正アクセスのケースに遭遇したことがある IT 管理者の割合。アメリカブラジルイギリスフランスドイツ遭遇した 46% 49% 36% 30% 26% 遭遇していない 47% 41% 55% 63% 62% 7% 10% 9% 7% 12% 分からないイタリア中国日本インドオーストラリア全体遭遇した 40% 63% 28% 37% 30% 39% 遭遇していない 48% 32% 64% 49% 58% 52% 分からない 12% 5% 8% 14% 12% 10% （引用）2011 年度版 Data Leakage Worldwide: Common Risks and Mistakes Employees Make  管理者の 46％が中企業、大企業の方が、小企業よりもそのような不正アクセスが横行している。  管理者の 32％は小企業でもそのような不正アクセスが頻繁に発生していると回答している。  ドイツでは 22％の従業員が、部外者に付添なしでオフィスを歩き回らせている。（４）リモート環境のセキュリティ  46％の従業員が、家で仕事をしているときに、業務用パソコンと個人使用のパソコンの間で、業務で使用しているファイルを送受信したことがある。  75％以上の従業員は公共の場で、リモート環境で仕事をしているときに、プライバシーガードを使用していない。（この傾向は、ブラジル、インド、中国で顕著である。）  68％の従業員は、公共の場において電話で業務上の話をするときに、声を落として話さない。  家で働く従業員の 13％は、会社のネットワークにアクセスができないので、自分の個人使用のメールアカウントから、同僚、顧客に仕事上のメールを送る。 (5) パスワード、ログイン/ログアウト手順の悪用  全体では 18％の従業員が、自身のパスワードを同僚と共有し、特に、中国、インド、イタリアでは 25％がそうしている。  全体では、少なくとも 3 人に１人の従業員が、長時間机から離れる際に、パソコンをロックせずにログ 15     オンの状態に放置している。 20％の従業員は、システムへのログイン、パスワード情報を自分の会社のパソコン内に保存、紙に書いて机の上、鍵のかかっていないキャビネットなどに置きっ放し、或いはパソコンに貼り付けている。インド、イタリア、イギリスでは、10％の従業員が、職場のネットワークへのログイン、パスワード情報を記したメモを机の上に置きっ放しにしている。その結果、パソコンが盗まれた場合、盗難者が機密データにアクセスできてしまう状態になっている。イギリス、フランスでは 5％の従業員が個人の口座（金融機関の口座も含む）のログイン、パスワード情報を印刷したものを机の上に置きっ放しにしている。中国では 28％の従業員が、自身の金融機関の口座にアクセスするためのログイン、パスワード情報を会社で使用する機器に保存している。ここで挙げられている内部不正の多くは、犯罪として立件されないようなケースであるが、これらの報告結果は、それがごく一部でのみ発生するレアケースである可能性が低いことを示唆している。 VERIZON 社が、アメリカ合衆国シークレットサービス（USSS17）と共同で公表している過去 3 年間にわたる調査結果は、（データ漏洩／侵害限定ではあるが）内部不正がどのような職種の人によって行われているのか報告している（表４参照）。それによると、一番多いのが一般従業員で、以下、財務/会計スタッフ、幹部と続く。報告書でも指摘されているが、高い権限を持った人のみがそれを使って機密データ、価値の高い情報を窃取するのではなく、権限の低い人もその権限レベルで入手できる（換金可能な）情報を不正に入手しようとする。表 4 内部者によるデータ漏洩/侵害の割合内部不正者のタイプ割合一般従業員／エンドユーザー 85% 財務／会計スタッフ 22% 経営幹部／上級管理職 11% ヘルプデスクスタッフ 4% システム／ネットワーク管理者 3% ソフトウェア開発者 2% 不明 1% その他 1% （引用）2011 年度データ漏えい／侵害調査報告書、VERIZON18 17 18 USSS：United States Secret Service VERIZON ビジネス RISK チーム http://www.verizonbusiness.com/jp/Products/security/dbir/ 16 判例調査概要４.２４.２.１判例収集判例調査では、まず、判例データベースを使用して判例を検索し、内部犯行に該当する判例を抽出する作業を行った。判例収集の目的、手順などは表 15 の通りである。表 15 判例収集方法項目内容目的内部犯行における、動機、手口、発生環境、被害状況などの詳細情報を得る。情報源裁判所ウェブサイトを含む判例データベース調査方法 1)内部犯行の公開情報を基に、判例に含まれると考えられるキーワードを幾つか決める。 2)上記のデータベースを使い、判例のキーワード検索を行う。（検索キーワード及びその結果は表 16 を参照） 3)上記 2）の各検索結果グループ（No.1～11）から 10 件程度の判例情報をチェックし、内部犯行の定義に該当する判例があるか確認する。具体的には、判例における、内部者（元従業員を含む）、内部犯行と IT システムとの関連性、内部犯行の対象と情報資産及び IT システムや IT サービスとの関連性、内部犯行によって組織の情報が受けた影響（機密性、完全性、可用性）を確認する。 4)内部犯行に該当する事例があると判断された 4 つのグループ（検索結果 No.5､No.6､No.10､ No.11)から､最新の判例を中心に 10 件選別する｡その判例の選別に当たっては､下記の｢その他条件｣に該当するかどうかを基準にした｡その他条件個別調査を検討している判例が以下の条件を満たすかどうかをチェック･判例中の内部犯行行為を､表 10 にある内部不正の 4 分類のうちのどれかに特定できる･判例要旨に､不正行為者､対象､動機､監視性に関する情報が含まれている表 16 判例調査対象グループ検索結果 No. 検索キーワード19 該当件数１内部、不正、情報、横領１４７件２内部、不正、情報、流出２４８件３内部、不正、情報、アクセス１６４件４内部、不正、情報、妨害４７８件５営業秘密、流出６営業秘密、アクセス７営業差止等請求事件１０件８個人情報、横領４０件９個人情報、漏洩５７件１０電子計算機、背任９件１１電子計算機、詐欺４６件６６件１１１件 19 キーワード検索においては、「不正」という言葉が使われているが、検索対象となっているのは犯罪事例のみであり、「うっかりミス」、「ルール違反」などのケースは対象になっていない。 17 ４.２.２判例調査で得られた傾向判例調査の結果から得られた傾向を報告する。判例調査で得られた事例数は、合計 10 事例である。これらの事例を分類すると、「道具的な犯行」が 9 件、「道具的な犯行」と「表出的な犯行」の双方に分類できる事例（道具的な犯行且つ表出的な犯行の事例）が 1 件であった。そのため、表 17 では、「道具的な犯行」が 10 件、「表出的な犯行」が 1 件となる。裁判の際、企業が現従業員を相手取るケースはほとんどなく、企業の元従業員や委託先の従業員が被告であるケースが多い。表 17 判例調査件数分類システム悪用該当件数道具的な犯行０件１０件表出的な犯行破壊行為１件０件不明０件次に、個々の犯罪事例を別の観点から分類するために、３.３.１節で紹介したルーティンアクティビティ理論を利用した。個々の事例を、「動機づけられた犯罪者はどのような職種についていたのか（動機づけられた犯罪者）」、「犯行対象物は何であったか（潜在的な犯行対象物）」、「犯行発生場所の監視性は高かったか/低かったか（監視性の低い場所）」といった観点から分類することにした。更に、「動機づけられた犯罪者はどのような職種についていたのか」に関して言えば、この中に「動機」、「犯罪者」の二つの要素があることから、これを「犯罪者の職種は何であったか」、「犯罪者の動機は何であったのか」の二つに分解した。この 4 つの観点に基づく結果は図 4 及び表 18 の通りである｡不正行為者は 5 種類､犯行対象物は 5 種類､動機は 4 種類､監視性は 2 種類となった（表 18）｡図 4 を見ると、不正行為者は､開発者が 50%と最も多く､次いで一般社員が 30%､管理職とその他がそれぞれ 10%である｡対象は開発情報と顧客情報がそれぞれ 50%と最も多く､動機は転職･起業が 90%である｡監視性については、内部犯行が行われた環境において業務に対する監視者が設定されていた事実（IT システムによって重要情報に対する不正な操作を管理者に通知する等の機能が利用されていた場合も含む)があったと確認できた場合に｢高い｣､その事実が無かった場合や確認できない場合に｢低い｣とした｡今回の調査では､全ての事例において､その事実が確認できなかったため､｢監視性は低い｣が 100%となっている｡ 18 表 18 判例調査結果の詳細分類(n=10) 0% 不正行為者 10% 20% 30% 一般社員（元社員を含む）30.0% 40% 50% 60% 管理職その他 10.0% 10.0% 70% 80% 社内情報物理装置 0.0% 0.0% 開発情報 50.0% 情報 0.0% 動機犯罪行為者顧客情報 50.0% 組織・上司への不満 0.0% 金銭 10.0% 転職・起業 90.0% 高い 0.0% 低い 100.0% 監視性件数項目開発者(元従業員) 50.0% ＩＤ・パスワード 0.0% 対象分類 90% 100% システム管理者 0.0% 対象図 4 判例調査結果の詳細分類 (n=10) 動機監視性比率一般社員（元社員を含む） 3 30% 管理職・経営者 2 20% その他 1 10% 開発者（元従業員） 4 40% システム管理者 0 0% ID・パスワード 0 0% 開発情報 5 50% 顧客情報 5 50% 社内情報 0 0% 物理装置 0 0% 金銭 1 10% 情報 0 0% 転職・起業 9 90% 組織・上司への不満 0 0% 高い 0 0% 低い 10 100% 不正行為者を軸に対象、動機、及び監視性を分離した結果を表 19 に示す。開発者については、全てのケースで、対象は開発情報であり、動機は転職目的が多い（動機については、不満且つ転職の事例があったため合計６件である）。一般社員については、全てのケースにおいて、対象は顧客情報であり、動機は転職目的である。また、監視性は低い。表 19 判例調査結果（不正行為者）対象社内情報顧客情報一般社員（元社員を含む） 0 3 システム管理者 0 開発者（元従業員）管理職その他動機 ID・パスワード監視性開発情報物理装置不満情報転職金銭高い低い 0 0 0 0 0 3 0 0 3 0 0 0 0 0 0 0 0 0 0 0 0 0 5 0 １ 0 5 0 0 5 0 0 1 1 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 1 1 19 インタビュー調査概要４.３４.３.１インタビュー事例収集インタビュー調査では、主にインシデントに関わった調査員、及び企業の CISO、法律家などから協力を得て、表 20 に示した調査概要に基づき、面談形式で確認した。表 20 インタビュー事例収集プロセス項目内容目的内部不正における、動機、手口、発生環境、被害状況などの詳細情報を得る。ここでいう内部不正には、内部犯行に加えて、「うっかりミス」や「組織内でのルール違反」など（の内部犯行扱いになっていないもの）も含まれる。調査対象者インシデントに関わった調査員、及び企業の CISO、法律家など調査方法上記の調査対象者に対してインタビューを実施する。内部不正の傾向の把握、個々の事例の具体的な情報の収集、事例が発生した環境及び内部不正防止対策実施状況に関する情報の収集の 3 つの目的に沿ってインタビュー調査を実施するため、インタビュー項目を表 21、表 22 のように設定した。その他個別調査を検討しているインタビュー事例が以下の条件を満たすかどうかをチェック・事例中の内部不正行為を、表１０にある内部不正の４分類のうちのどれかに特定できる・不正行為者、対象、動機、監視性に関する情報がインタビュー回答に含まれている表 21 インタビュー調査項目（内部不正の傾向、個別事例、不正発生時の環境に関する情報収集）共通インタビュー項目 1. 内部不正事例の件数、代表的な事例の概要例えば、次の①～④のうち、どの内部不正や内部犯行が多く発生しているか（①システム悪用、②情報持ち出し（道具的犯行）、③情報持ち出し（表出的犯行）、④破壊行為） 2. 内部不正の変遷や最近の傾向 3. 内部不正が発生した背景、想定される環境、動機、及び対象となる情報等の入手・持ち出し方法 4. 内部不正行為者の振る舞い（不自然な行動等）と、そのような不正行為を抑止・予防するための対策（管理策等を含む）個別事例に関する項目 1．動機及び環境（主に共通インタービュー項目３の詳細）インセンティブ等動機例えば、機密情報がお金になる（売買、脅迫）、転職時のお土産等プレッシャー等例えば、借金、ノルマ、いじめや脅迫等怨恨例えば、上司や会社への仕返し等例えば、働いている場所、使える時間、利用できる環環境的要因利用できる手段や機会等境（端末、ネットワーク環境、リモート接続環境等）、管理者権限、知り得た内部情報、専門知識及び技術的スキル等コミュニケーションその他 2．例えば、上司や同僚とのコミュニケーションの状況等例えば、働いている環境等での監視・通報・連絡体制監視・常習性等の状況等振る舞いや抑止・予防対策（主に共通インタービュー項目４の詳細） 20 振る舞い（行動等）例えば、倫理観の欠如等、逼迫した業務等例えば、罰則規定、秘密保持誓約書への署名、監視抑止・予防（ログ、監視カメラ）とその周知等例えば、セキュリティポリシー及びプライバシーポリシその他（組織内ポリシーとの関係）ー等との関連性、内部で解決した場合のインシデント情報の取扱いについて表 22 インタビュー調査項目（（状況的犯罪予防の観点を取り入れて）内部不正防止対策に関する情報取集）質問内容具体例内部不正が発生する環境では、ID 管理やアクセス制御の設定が実施されていないことが考えられるため、「1.犯行対象を防御的に強化する」等を確認する。 1「犯行を難しくする」対策の有無ネットワーク経由の内部不正の事例では、ネットワーク等の利用制限が実施されていないことが考えられるため、「5.道具や対抗手段を制御する」等を確認する。可搬可能な電磁媒体を用いた内部不正の事例では、その媒体の持込及び持出の制限が実施されていないことが考えられるため、「2.施設への出入を制限する」や「3.出口で検査をする」等を確認する。内部不正が発生する環境では、システム管理者が不足しているか、または、システム管理者が少人数で相互チェック等ができていないことが考えられるため、「6.監視者を増やす」等を確認 2「捕まるリスクを高める」対策の有無する。アクセス権限を有していない内部者による不正行為では、正規のアクセス権限を不正に入手することが考えられるため、「7.自然監視を補佐する」や「9.現場管理者の利用」等を確認する。 3「犯行の見返りを減らす」対策の有無アクセス権限を有している内部者による不正行為では、アクセス制限が適切に設定・実施されていないことや重要情報の暗号化が実施されていないこと考えられるため、「11.標的を隠す」、「12.対象を排除する」、「15.利益を否定する」等を確認する。 4「犯行の挑発を減らす」対策の有無内部不正が発生する環境では、円滑なコミュニケーションの推進や職場のストレスを低減する対策が実施されていないことが考えられるため、「16.欲求不満とストレスを減らす」、「17.対立を避ける」、「18.感情の高ぶりを抑える」等を確認する。 5「犯罪を容認する言い訳を許さない」対策の有無内部不正が発生する環境では、規則やルールの設定、掲示等、及び相談窓口などの設置が実施されていないことが考えられるため、「21.規則を決める」、「22.指示を掲示する」、「24.遵守を補佐する」等を確認する。 21 ４.３.２インタビュー調査で得られた傾向インタビューで得られた事例数は、全体で 20 件であり、未遂（1 件）のものを除くと総数 19 事例である｡内訳として､道具的な犯行が 9 件と最も多く､次いで表出的な犯行が 6 件である（表 23 を参照）。表 23 インタビュー調査件数分類システム悪用道具的な犯行１件該当件数表出的な犯行９件破壊行為６件分類不能１件２件４.２.２節で用いた方法で、これらの事例を分類した結果を図 5 及び表 24 に示す。不正行為者は、一般社員が 52.6%と最も多く、次いでシステム管理者と開発者が 15.8%、その他が 10.5％である。また、対象は顧客情報が 52.6%と最も多く、動機は組織・上司への不満が 42.1%、金銭が 31.6%であり、監視性は高いが 73.7% である。 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 表 24 インタビュー調査調査結果の詳細分類 (n=19) 分類一般社員 52.6% 不正行為者対象動機監視性管理職その他 5.3% 10.5% 顧客情報 52.6% ＩＤ・パスワード開発情報 15.8% 10.5% 金銭 31.6% 高い 26.3% 情報 15.8% 開発者 15.8% システム管理者 15.8% 社内情報 15.8% 物理装置 5.3% 不正行為者組織・上司への不満 42.1% 転職・起業 10.5% 項目一般社員低い 73.7% 対象図 5 インタビュー調査結果の詳細分類 (n=19) 動機監視性件数 10 （比率） 52.6% 管理職・経営者 1 5.3% その他 2 10.5% 開発者 3 15.8% システム管理者 3 15.8% ＩＤ・パスワード 3 15.8% 開発情報 2 10.5% 顧客情報 10 52.6% 社内情報 3 15.8% 物理装置 1 5.3% 金銭 6 31.6% 情報 3 15.8% 転職・起業 2 10.5% 組織・上司への不満 8 42.1% 高い 5 26.3% 低い 14 73.7% 不正行為者を軸に対象、動機、及び監視性の分類結果を表 25 に示す。一般社員の場合、対象は顧客情報、 ID・パスワード、社内情報の順で多く、動機は組織や上司に対する不満、金銭目的である。システム管理者については、対象は顧客情報、社内情報であり、動機は情報及び金銭目的である。開発者の場合、開発情報が多く次いで顧客情報であり、動機は転職と情報である。 22 表 25 インタビュー調査結果（不正行為者） (n=19) 対象一般社員システム管理者開発者管理職その他４.３.３動機監視性社内情報顧客情報 ID・パスワード開発情報物理装置不満情報転職金銭高い低い 2 1 0 0 0 4 2 1 1 2 3 0 0 0 0 0 0 2 0 0 1 0 0 0 0 6 0 0 0 2 0 2 1 0 0 0 0 2 0 0 4 1 0 1 0 3 1 1 0 0 7 2 2 1 2 インタビュー調査で得られた対策状況 IT セキュリティ版状況的犯罪予防（図 3 参照）を参考に、表 22 の観点からインタビュー調査を行い、内部不正が発生した事例における対策状況を以下に示す。20 - 情報システムの正規のアクセス権限を持たない内部者による不正行為では、ID・パスワードの管理などの「犯行を難しくする」で定められた項目が実施されていない事例が多い。例えば、特定の重要情報に対してアクセス権限を持たない内部者が、社内システムの初期設定の ID 及びパスワードを用いて社内システムを利用することで、重要情報にアクセスできてしまう事例があった。（表 22：「1.犯行を難しくする」に関連） - 情報システムの正規なアクセス権限を持つ内部者が行った内部不正では、監視者を増やすなどの「捕まるリスクを高める」で定められた項目が実施されていない事例が多い。例えば、特定の重要情報に対してアクセス権限を持つ内部者が、重要情報を複写し不正に持ち出す事例があった。（表 22：「2.捕まるリスクを高める」に関連） - 「犯行を難しくする」及び「捕まるリスクを高める」対策が施されている企業や団体では、さらなる対策の強化として、対象ファイルの暗号化などの「犯行の見返りを減らす」対策が施される傾向がある。例えば、ID・パスワードの管理やアクセス権限の設定などが正しく管理及び遵守されている企業や団体などでは、重要情報の管理策強化の一環として、重要情報の暗号化等が実施されている事例があった。（表 22：「3.犯行の見返りを減らす」に関連） - 多くの事例において、コミュニケーションによって職場のストレスを低減するなどの「犯行の挑発を減らす」、及び規則やルールを定め、掲示するなどの「犯罪を容認する言い訳を許さない」対策が施されていない。なかには、ルールは定められているが、掲示されていない、或いは形骸化している事例もあった。（表 22：「4.犯行の挑発を減らす」、「5.犯罪を容認する言い訳を許さない」に関連） 20 これらの４点は、インタビュー事例１９件における内部不正防止対策実施状況に関してのものではなく、調査対象者が提供してくれた対策実施状況に関する意見をまとめたものである。 23 ４.３.４インタビュー調査のまとめインタビュー調査結果をまとめたものを表 26 に示す。表 26 インタビュー調査のまとめ 1. 情報持ち出しの事例が他に比べて多く発生している（表 17 参照）判例調査及びインタビュー調査の結果では、IP（Intellectual Property）に関する内部不正の事例では、①システム悪用、②情報持ち出し、③情報破壊の 3 分類のうち、②情報持ち出しが他の分類に比べて多く発生している。また、②情報持ち出しの中では、表出的犯行よりも道具的犯行が多く発生している。 2. 持ち出し情報の対象の多くは顧客情報であるが、その他の事例も存在するインタビュー調査では、顧客情報の持ち出しが最も多い。一方、判例調査では、開発情報の持ち出しが多い。 3. 現状の ISMS21及び PMS22等の組織的対策の効果は限定的であるインタビュー調査では、現状の ISMS や PMS 等の組織的対策（主に、ポリシーの設定や周知及び懲戒等の職務規定への関連性の告知等）については、防止・抑止効果が低いとする意見もある。逆に、情報資産の特定や責任範囲の明確化等、事後対策については、一定の効果があるとする意見もある。以上のことから、一部では効果が認められる意見と、他では一定の効果があるとする意見があるため、その効果は限定的と考えられる。４.４本調査における内部不正のモデル４.４.１モデルの策定及び要因分析インタビュー事例及び判例において、4 つに分類した項目のうち、「不正行為者」と「対象」に注目し、以下の 2 つの内部不正のモデルを抽出した。 ○モデルⅠ：営業職員による個人情報の持ち出し／不正利用表 25 で示したように、インタビュー調査概要によると、不正行為者は一般社員（営業職を含む）が最も多く、個人情報を対象とした内部不正の事例が最も多い。なお、営業職員とは、営業に関連した業務に携わる従業者（元従業者を含む）であり、個人情報の中には、顧客情報や従業員情報などが含まれる。 ○モデルⅡ：開発者による開発情報の持ち出し／不正利用表 19 で示したように、判例調査によると、不正行為者は開発者が最も多く、開発情報を対象とした内部不正の事例が最も多い。また、このケースを策定した理由は、開発情報の持ち出し等による不正行為に対して、今後、一層の留意が必要となることが想定されるからである。なお、開発者とは、開発に関連した業務に携わる従業者（元従業者を含む）であり、開発情報の中には、ソースコードや設計情報及び社内システムの仕様情報などが含まれる。 21 ISMS： Information Security Management System （情報セキュリティマネジメントシステム）企業や組織で情報を適切に管理する仕組みであり、国際規格の ISO/IEC 17799 や ISO/IEC 27000 等を含む。 22 PMS: Personal information protection management systems（個人情報保護マネジメントシステム）：個人情報の取り扱いや管理する仕組みであり、日本工業規格のプライバシーマーク制度（JIS Q 15001）等を含む。 24 これらのモデルにおいて、内部不正の誘発に関連していると考えられる要因について考察する。4 章で紹介した国内の既存調査では、ルーティンアクティビティ理論に倣って、内部犯行発生に不可欠な要因を「犯罪者となるリスクを持つ人」、「潜在的な被害者（物）」、「環境」としている。これに対して、不正のトライアングルでは、「動機・プレッシャー」、「機会」、「正当化」の 3 つの要因から内部不正が発生するとしている。事例調査結果における傾向と、これらの要因を比較し、本調査では、内部不正誘発要因を「動機・プレッシャー」、「環境」と「機会」を統合した「環境・機会」、国内の既存調査及び不正のトライアングルにはないその他の要因として、「（内部不正者の）知識・経験」と設定する。表 27 に、3 つの要因の詳細を示す。表 27 本調査における内部不正の要因分類分類内容内部者が不正行為を起こす動機であり、内部不正行為に至るプレッシャー（業務量・ノ動機・プレッシャールマ等）や慢心及び帰属意識などが含まれる。 ○関連するキーワード：転職、満足度、給与・賃金・賞与、不公平感、怨恨、業務量、ノルマ、好奇心・顕示欲、慢心など不正行為を行った内部者が、環境によって受ける要因であり、技術（IT システム）や物理的な環境及び組織のルールや教育などが含まれる。環境・機会例えば、システム的な環境としては、アクセス権限、出入検査等。物理的な環境としては、職場環境、持込・持出制限等を含む。 ○関連するキーワード：アクセス制御、出入検査、職場環境管理、持出・持込制限、監視、時間、コミュニケーション、ルール・規則、告知・教育など不正行為を行った内部者が、持っている知識や経験であり、詳細には特定の経験や権限・役割（持っていること）や知識（知っていること）及びスキル（できること）などが含まれる。知識・経験例えば、正当に付与されたアクセス権限を行使して重要情報を不正に持ち出す場合等を含む。 ○例示：持ち出す方法を知っている、発覚しなかったことを知っている、証拠を削除することができる、アクセスする権限をもっているなど４.４.２想定モデルの特徴 2 つの想定モデルおける 3 種類の内部不正の要因、並びに要因以外の特徴は表 28 の通りである。表 25 によると、一般社員による情報持ち出し事例は４件である。同様に、表 19 によると、開発者による開発情報持ち出しは、5 件である。モデルⅠ、Ⅱの特徴を帰納的に見つけるには件数が少ないため、両想定モデルに該当する事例に関する更なる聞き取り調査を行い、そこから得られた情報を表 28 にまとめた23。なお、下表の下線部は、モデルⅠとモデルⅡの共通する内容である。 23 表２４の内容は、その内容から個々の内部不正事例が特定されないように、調査で得られた情報を抽象化したものである。 25 表 28 モデルⅠ及びⅡの特徴動機・プレッシャーモデルⅠ（営業）モデルⅡ（開発）  業務が日々繁忙または業務上のノルマがきつ  自らが作成したファイルのオーナーは自分でく、自宅でも業務する必要がある。  情報を使い転職を有利に進めたい（数例）。あり、自分の所有物であるという誤った認識がある。  頻回転職が数例存在する。  社内システムを利用する程度の IT 技能を有知識・経験する。する。  対象物へのアクセス権限を有している。  対象物へのアクセス権限を有している。  企業は業績を求める傾向になり、ジョブローテ  評価及び接遇処遇への納得度が低い。  監視が不在であり、不正行為を行う時間があーションが少ない。環境・機会  ソフトウェア開発ができる程度の IT 技能を有  評価及び接遇処遇への納得度が低い場合もる。ある。  監視が不在であり、不正行為を行う時間がある。  犯行の発覚は、離職後に発覚する場合のみで要因以外の  犯行が離職後に発覚する場合と、企業に在籍あり、離職後の転職先での利用を計画的に行している状態で発覚する場合の２種類のケーなっている事例もある。スがある。前者は離職（転職）が起因した不正行為で、後者は自らが作成した成果物は自分特徴の所有であると誤って認識し、離職の意志がないケースである。５. アンケート調査及び分析結果本章では、本調査で実施した内部不正に関する意識について行ったアンケート調査の結果を示す。５.１アンケート調査概要本調査では、想定モデルに基づき、アンケートを設計し、内部不正に関する意識調査をした。アンケート調査は、以下の 3 つの構成に分けて実施した。 ① シナリオ無し：シナリオを設定せずに内部不正行為への気持ちを高める要因及び対策に関する意識を調査 ② シナリオ付き：想定モデルに基づくシナリオを設定し、内部不正行為への気持ちを高める要因（シナリオの行為に理解或いは共感を含む）及び対策に関する意識を調査 ③ 有効対策等の上位 5 つの選択：内部不正行為への気持ちが低下する対策、及び内部不正への気持ちを高める要因について上位５つの選択本調査の実施にあたっては、有識者によるレビューを実施し、設問の設計、調査方法について検討した。本調査では、社員24を対象としたアンケートと経営者・システム管理者のみを対象としたアンケートに分けて実施した。社員向けアンケートの概要を表 29、経営者・システム管理者向けアンケートの概要を表 30 に示す。アンケート調査票については、付録３：アンケート調査票を参照。 24 対象となる社員には、非正規雇用形態、元社員、経営者を含む。 26 表 29 アンケート調査の概要（社員向け）項目概要・全国（インターネットアンケート調査会社が有する調査モニター）対象・社員（非正規雇用形態、元社員、経営者を含む）インターネットアンケート調査会社が保有するモニターから、回答者の内部不正行標本抽出方法為の業務との関わり、内部不正の経験に基づき、割付・抽出を行った。プレ調査を実施して対象者のスクリーニングを行い、その後本調査を実施した。回収数 3,000 件期間 2012 年 1 月 13 日～2012 年 1 月 18 日本調査のモデルは、IT を利用した内部不正行為を想定しているため、IT をある程度活用できているネットユーザーの回答を収集できる Web アンケート形式で実施した。また、クロス集計、統計解析等による分析を想定し、充分なサンプルを確保できるよう 3,000 サンプルを収集した。アンケートの回答者は、内部不正行為の経験や業務との関わりのない者が多く含実施方法まれることを想定し、シナリオ付きとシナリオ無しの調査を実施した。シナリオ付の設問（③）では、仮説に基づいたシナリオを 2 種類作成して調査を実施した。シナリオ付の設問は、回答者がシナリオの主人公（回答者以外）になったと仮定した場合、シナリオ無の設問（②）は、回答者自身について尋ねている。また、上記で説明したシナリオ付き／無しとは別に、有効な対策（①）内部不正行為への気持ちが最も低下する対策（５つの対策を選択等）を訪ねている。・（シナリオを読んで）内部不正行為にどの程度理解（或いは共感）できるか調査項目・内部不正行為への気持ちを高める要因（環境・機会、知識・経験）・内部不正行為への気持ちが低下する対策・属性情報表 30 アンケート調査の概要（経営者、システム管理者向け）項目対象標本抽出方法概要・全国（インターネットアンケート調査会社が有する調査モニター）・経営者及びシステム管理者インターネットアンケート調査会社が保有するモニターから、プレ調査を実施して対象者のスクリーニングを行い、その後本調査を実施した。回収数 110 件期間 2012 年 2 月 17 日～2 月 21 日本調査のモデルは、IT を利用した内部不正行為を想定しているため、IT をある程度実施方法活用できているネットユーザーの回答を収集できる Web アンケート形式で実施した。 27 ・現在導入している内部不正に関わる対策調査項目・（対策導入済みの企業に対して）効果があると考えられる対策・（対策未導入の企業に対して）今後導入してみたい対策本調査では内部不正を誘発すると考えられる要因に関してアンケートを行った。これは、４.４節に示した 3 つの要因である「動機・プレッシャー」、「環境・機会」、「知識・経験」に分類される。各設問内容を 3 つの要因で整理したものを表 31 に示す。表 31 アンケート設問（要因）要因アンケート設問内容（要因の詳細）動機・プレッシャー・自分が作成した成果物（顧客情報の一覧等）は、自由に使ってよいと思う・条件のいい企業から転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職できると思う・社内の人事評価に不満がある・上司の仕事への取り組み方や上司の人間性に不満がある・プロジェクトや業務の進め方に不満がある・業務が忙しいため、自宅で作業する必要がある・給与や賞与に不満がある・退職金に不満がある・不当だと思う解雇通告を受けた・職場で人間関係のトラブルがある・ルールを違反しても個人や企業を特定されない自信がある・システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている・パソコンや USB メモリ等の情報端末の持込制限が厳しい（情報端末への書き込み以外の方法で保存する必要がある）・職場に管理者がいないため、見つからない・情報の持ち出しに関して社内に相談窓口がない・社内システムにログインするための ID やパスワードの管理が徹底されていない・退職者のアカウントが削除されていない（退職者も社内システムにログインできる／退職者のアカウントを利用して社内システムにログインできる）・職場への入退口に警備員がいない（誰もが職場に入ることができる）・不正を行う十分な時間がある・職場で頻繁にルール違反が繰り返されている・社内ルールや規則（セキュリティポリシーを含む）が徹底されていない・社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい・社内ルールや規則を違反した際、罰則がない・ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない・職場のパソコンや社内システムへのアクセス管理が徹底されていない（誰もがパソコンや社内システムにログインできる）・社内の重要な情報が暗号化されていない（社内の重要な情報を誰もが閲覧できる）・パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない・パソコンや USB などの会社備品に会社の管理シールが貼られていない（私物と備品の区別がつかない）・職場に監視カメラがない・社内への入退出時に手荷物検査がない（社内に私物を持ち込むことができる）環境・機会知識・経験・・・・・・顧客情報などの重要な情報を自由に持ち出せる権限をもっている顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいない 28 要因アンケート設問内容（要因の詳細）・・・・・かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報を誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている本調査では、社員と、経営者・システム管理者に、内部不正に関わる対策についてアンケートを行った。これは、上述のように、状況的犯罪予防のカテゴリをもとに作成した効果的と考えられる対策である。表 32 に、対策と状況的犯罪予防の対応関係を示す。表 32 アンケート設問（対策項目と状況的犯罪予防の対応） 5 つのカテゴリ犯行を難しくする詳細項目 1.犯行対象を防御的に強化する 2.施設への出入を制限する 3.出口で検査をする 4.犯罪者をそらす 5.道具や武器を規制する捕まるリスクを高める 6.監視者を増やす 7.自然監視を補佐する 8.匿名性を減らす 9.現場管理者の利用 10.フォーマルな監視体制の強化犯行の見返りを減らす 11.標的を隠す 15.利益を否定する 12.犯行対象を排除する 13.所有物に名前を付ける 14.市場を壊す犯行の挑発を減らすアンケート設問内容（対策）・退職者のアカウントは、即日、削除する（退職者は退職日以降に社内システムへログインできない）・ネットワークへの利用制限を設ける（メールの送受信先の制限、 Web メールの制限、Web サイトや閲覧制限がある）・CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する・管理者を増員する等、社内の監視体制を強化する・顧客情報などの重要な情報にアクセスした人が監視される（アクセスログの監視等を含む）・システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている・社内システムの操作の証拠が残る・社内システムにログインするための ID やパスワードの管理を徹底する・職場に監視カメラを設置する・情報システムの管理者以外に、情報システムへのアクセス管理を操作できない・社内の重要な情報を暗号化する（社内の重要な情報を誰もが閲覧できない）・重要情報のアクセスは認められた社員や職員に限定されている・パソコンや USB メモリなどの会社備品に会社の管理シールを貼る（私物との区別がつく） 16.欲求不満とストレスを減らす 17.対立を避ける 18.感情の高ぶりを抑える 19.仲間からの圧力を緩和する・社外や業務時間外に仕事をしなくても済むように業務量を軽減する・上司や同僚に頻繁に相談できる環境がある 20.模倣を阻止する犯罪を容認する言い訳を許さない 21.規則を決める 22.指示を掲示する 23.良心に警告する 24.遵守を補佐する 25.薬物・アルコールを規制する・職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する・顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する・職務上で取り扱いに関する罰則規定を強化する・ルール違反（職務違反や個人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな行為についての問い合わせ窓口を設置する・これまでに同僚が行ったルール違反が発見されたことがある・これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 29 アンケート調査結果本節では、アンケート調査結果の集計と分析を行った結果を述べる。５.１.１社員向けアンケートの結果 (1) 内部不正の気持ちを高める 3 つの要因の全体的な結果このアンケートでは、「不正をしたいと思う気持ちを高めると思うもの（上位 5 つ）」という質問によって、3 つの誘発要因のすべての項目を並べて、内部不正が高まる上位５項目を選択させた。図 6 の結果から、「不当だと思う解雇通告を受けた」が 34.2%と上位の中でも特に高い割合となっている。これに、「給与や賞与に不満がある」「社内の人事評価に不満がある」「職場で頻繁にルール違反が繰り返されている」「システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている」が 2 割を超えて続く結果となった。 0 5 10 15 20 25 23.2% 22.7% 給与や賞与に不満がある社内の人事評価に不満がある 20.8% 職場で頻繁にルール違反が繰り返されている 20.1% システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている 18.7% 18.3% 社内ルールや規則を違反した際、罰則がない上司の仕事への取り組み方や上司の人間性に不満がある 17.8% 職場で人間関係のトラブルがある 16.4% 16.1% 社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった条件のいい企業から転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職できると思うパソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない 15.7% 14.8% 14.8% 自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる 13.2% これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている 13.2% ルールを違反しても個人や企業を特定されない自信がある 13.1% 12.7% 業務が忙しいため、自宅で作業する必要がある顧客情報などの重要な情報を自由に持ち出せる権限をもっている 11.6% 職場のパソコンや社内システムへのアクセス管理が徹底されていない 11.5% 11.2% 退職金に不満がある 10.6% 社内システムにログインするためのIDやパスワードの管理が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が徹底されていない 10.6% 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っているプロジェクトや業務の進め方に不満がある 10.4% 10.2% 職場に管理者がいないため、見つからない 10.0% 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている 10.0% 10.0% 同僚が顧客情報などの重要な情報を自由に持ち出していることを知っている社内で、自分以上に情報システムについて理解している人がいない 9.7% 自分が作成した成果物（顧客情報の一覧等）は、自由に使ってよいと思う 9.6% 8.4% 8.2% 退職者のアカウントが削除されていない自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる不正を行う十分な時間があった 7.9% 社内の重要な情報が暗号化されていない 7.6% 7.0% ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない 6.1% 職場に監視カメラがない社内への入退出時に手荷物検査がないパソコンやUSBなどの会社備品に会社の管理シールが貼られていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい職場への入退口に警備員がいない情報の持ち出しに関して社内に相談窓口がない 4.8% 4.4% 4.2% 3.8% 3.4% 3.1% 図 6 不正行為への気持ちを高める条件 30 35 34.2% 不当だと思う解雇通告を受けたパソコンやUSBメモリ等の情報端末の持込制限が厳しい 30 40 (2) 期待できる対策に関する結果このアンケートは、「(1) 内部不正の気持ちを高める 3 つの要因の全体的な結果」の高める要因とは逆に、「内部不正行為防止に効果が期待できる対策（上位 5 つ）」という質問によって、対策効果が期待できるものを選択させた。図 7 の結果から、約半数以上の 54.2%が「社内システム操作の証拠が残る」を効果が期待できる対策としてあげている。この結果から捕まるリスクが高めることが対策として効果があると考えられる。さらに、「重要な情報にアクセスした人が監視される」が 37.5%、「同僚が行ったルール違反が発覚し、処罰されたことがある」も 36.2%と高い結果となった。 0 10 20 30 40 顧客情報などの重要な情報にアクセスした人が監視される（アクセスログの監視等を含む） 37.5% 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある社内システムにログインするためのIDやパスワードの管理を徹底する 31.6% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 31.4% 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 29.2% 社内の重要な情報を暗号化する（社内の重要な情報を誰もが閲覧できない） 28.4% 顧客情報などの重要な情報は、認められた職員のみがアクセスできるようにする 26.8% 25.8% CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限するシステム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 24.8% 職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する 24.1% これまでに同僚が行ったルール違反が発見されたことがある 23.9% ネットワークへの利用制限を設ける（メールの送受信先の制限、Webメールの制限、Webサイトや閲覧制限がある） 23.2% 退職者のアカウントは、即日、削除する（退職者は退職日以降に社内システムへログインできない） 22.4% 17.5% 職場に監視カメラを設置する 15.3% 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 14.5% 上司や同僚に頻繁に相談できる環境がある管理者を増員する等、社内の監視体制を強化する 12.3% ルール違反（職務違反や個人情報管理策や情報セキュリティポリシを含む）に抵触しそうな行為についての問い合わせ窓口を設置する 12.2% 9.0% 図 7 不正行為に対して効果的だと考えられる対策 31 60 54.2% 社内システムの操作の証拠が残るパソコンやUSBメモリなどの会社備品に会社の管理シールを貼る（私物との区別がつく） 50 (3) 内部不正の気持ちを高める各要因の概要社員向けのシナリオ無しのアンケートにおいて、内部不正を誘発すると考えられる 3 つの要因である「動機・プレッシャー」、「環境・機会」、「知識・経験」の中で、どの内容が内部不正への意識を高めるかについてのアンケート結果を表 33 に示す。・動機・プレッシャー「不当だと思う解雇通告を受けた」、「条件のいい企業に対して有利に転職ができる」、「社内の人事評価に不満がある」の順に内部不正行為への気持ちを高めるという結果となった。これらの要因から、企業や団体の人事評価や待遇が、内部不正の誘発に比較的強い関係があると考えられる。・環境・機会「職場で頻繁にルール違反が繰り返されている」、「社内ルールや規則を違反した際にも罰則がない」、「システム管理がずさんで顧客情報等の重要情報が簡単に持ち出せる」の順に内部不正行為への気持ちを高めるという結果となった。これらの要因から、ルール違反が発生しやすく、発生した場合でも処罰がないことが、内部不正の誘発に比較的強い関係があると考えられる。・知識・経験「自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる」、「社内の誰にも知られずに、重要情報を持ち出せる方法を知っている」、「これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなかった」の順に内部不正行為への気持ちを高めるという結果となった。これらの要因は、情報持ち出しのスキルや、見つからない知識や経験が、内部不正の誘発に比較的強い関係があると考えられる。表 33 社員向け３つの要因に関するアンケート結果（上位 3 位）順位動機・プレッシャー環境・機会知識・経験内容割合※ 1位不当だと思う解雇通告を受けた 30.0% 2位条件のいい企業に対して有利に転職ができる 10.2% 3位社内の人事評価に不満がある 8.2% 1位職場で頻繁にルール違反が繰り返されている 8.8% 2位社内ルールや規則を違反した際、罰則がない 8.7% 3位システム管理がずさんで、顧客情報を簡単に持ち出せることを知っている 8.4% 1位自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる 9.8% 2位社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている 9.5% 2位これまでに顧客情報などの重要な情報を持ち出しても誰からも注意や指摘を受けなかった ※内部不正行為への気持ちが高まると回答した回答者の割合。 32 9.5% (4) 内部不正の気持ちを高める各要因における質問項目の結果ここではシナリオ無しによる集計結果を示す。各設問項目では、不正行為を高まると感じる度合いとして、 0%から 100%までを 5 つに分けて選択させた（図 8 参照）。本設問は、「動機・プレッシャー」に分類される要因について、不満やきっかけ等の心理的な側面から不正行為に関係する項目である。図 8 の結果から、「Q25-9 不当だと思う解雇通告を受けた」は、他の選択肢と比較して「０%（不正行為を行わない状態）」と回答した割合が 13.2%と最も低く、「不正行為をしたい気持ちが高まる」という回答者が約９割となっている。その他の要因を見ると、「Q25-2 条件のいい企業から転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる」は 10.2%が「75～100%高まる」という回答であり、「Q25-9 不当だと思う解雇通告を受けた」に続いて高い結果となった。 0% 20% Q25-1 自分が作成した成果物（顧客情報の一覧）は、自由に使ってよいと思う 33.2% Q25-6 業務が忙しいため、自宅で作業する必要がある 31.0% 40% 60% 80% 25.8% 28.6% 100% 22.9% 11.5% 6.5% 23.0% 12.0% 5.4% Q25-11 ルールを違反しても個人や企業を特定されない自信がある 29.7% 27.1% 23.5% 12.9% 6.8% Q25-10 職場の一部で人間関係のトラブルがある 28.6% 27.2% 23.7% 14.6% 5.8% Q25-5 プロジェクトや業務の進め方に不満がある 26.7% 30.3% Q25-8 退職金に不満がある 26.5% 29.3% Q25-2 条件のいい企業から転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 26.3% 23.0% 22.7% Q25-7 給与や賞与に不満がある 24.8% 18.1% 7.9% 19.0% 8.2% 21.8% 26.4% 1～25%高まる 26～50%高まる 20.9% 51～75%高まる図 8 動機・プレッシャー（シナリオ無し） 33 10.2% 8.1% Q25-3 社内の人事評価に不満がある 0%（高まらない） 16.1% 6.7% 17.1% 27.1% 15.1% 24.5% 12.9% 25.5% 22.0% 13.2% 24.6% 12.6% 4.2% 26.6% Q25-4 上司の仕事への取り組み方や上司の人間性に不満がある Q25-9 不当だと思う解雇通告を受けた 26.1% 24.7% 20.9% 76～100%高まる 30.0% 本設問は、「環境・機会」に分類される要因について、環境・機会の側面から不正行為に影響を与えそうな要因に関係する項目である。図 9 の結果から、「Q26-9 職場で頻繁にルール違反が繰り返されている」、「Q26-12 社内ルールや規則を違反した際、罰則がない」、「Q26-1 システム管理がずさんで、顧客情報などの重要な情報を簡単に持ち出せることを知っていた」が不正行為への気持ちを高めると回答した割合が、約 75％と最も高かった。 0% 20% 40% Q26-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい 48.6% 60% 80% 100% 23.4% 17.9% 2.7% Q26-4 情報の持ち出しに関して社内に相談窓口がない 46.2% 26.2% 18.6% 7.4% 6.8% Q26-11 社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい 45.8% 26.2% 18.8% 6.9% Q26-18 職場に監視カメラがない 44.7% Q26-7 職場への入退口に警備員がいない 44.1% Q26-17 パソコンやUSBなどの会社備品に会社の管理シールが貼られていない 41.7% Q26-19 社内への入退出時に手荷物検査がない 40.0% Q26-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない 35.0% Q26-6 退職者のアカウントが削除されていない 33.9% Q26-8 不正を行う十分な時間がある 18.4% 27.0% 29.0% 29.0% 31.9% 26.9% 23.0% 28.0% 22.8% 2.8% 7.9% 2.8% 19.0% 7.2% 3.1% 7.8% 3.1% 9.5% 10.6% 11.1% 23.7% 28.3% 2.4% 18.2% 21.2% 28.1% 31.5% 7.4% 20.0% 30.8% 33.3% Q26-15 社内の重要な情報が暗号化されていない Q26-3 職場に管理者がいないため、見つからない 26.7% 2.2% 11.1% 22.8% 3.5% 5.5% 4.8% 5.1% 11.9% 5.4% Q26-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない 30.0% 28.4% 23.5% 12.7% 5.4% Q26-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない 30.0% 28.2% 23.8% 12.3% 5.7% Q26-10 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない 29.5% Q26-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない 29.0% Q26-1 システム管理がずさんで、顧客情報などの重要な情報を簡単に持ち出せることを知っていた 29.6% 27.6% Q26-12 社内ルールや規則を違反した際、罰則がない 26.2% Q26-9 職場で頻繁にルール違反が繰り返されている 25.3% 24.2% 29.1% 26.1% 27.5% 25.0% 0%（高まらない） 1～25%高まる図 9 環境・機会（シナリオ無し） 34 12.8% 24.4% 13.5% 23.6% 14.0% 24.6% 26～50%高まる 11.8% 23.4% 51～75%高まる 16.3% 76～100%高まる 4.8% 5.7% 8.4% 8.7% 8.8% 本設問は、「知識・経験」に分類される要因について、知識・経験の側面から不正行為に関係する項目である。図 10 の結果から、全ての項目において、7～8 割の回答者が内部不正への気持ちを高めると回答している。内部不正への気持ちが高まる要因として、「Q27-8 自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる」は不正行為への気持ちが高まるという回答が 69.5%と最も低い結果となった。 0% Q27-8 自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる 20% 40% 30.5% 60% 27.1% 80% 100% 22.9% 6.2% 13.3% Q27-6 社内で、自分以上に情報システムについて理解している人がいない 29.9% 25.1% 21.4% 8.7% 14.9% Q27-2 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている 29.6% 26.8% 21.8% 7.5% 14.3% Q27-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている 29.2% 26.8% 23.0% Q27-1 顧客情報などの重要な情報を自由に持ち出せる権限をもっている 29.1% 26.3% 22.9% Q27-10 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている 28.9% 25.2% Q27-3 同僚が顧客情報などの重要な情報を自由に持ち出していることを知っている 28.5% 26.4% Q27-9 自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる 28.1% 24.9% Q27-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった 27.9% 26.0% Q27-4 社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている 26.9% 25.0% 23.3% 15.4% 9.5% Q27-5 これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった 26.6% 26.5% 22.3% 15.2% 9.5% 0%（高まらない） 1～25%高まる 26～50%高まる 51～75%高まる図 10 知識・経験（シナリオ無し） 35 22.8% 23.7% 23.1% 23.2% 76～100%高まる 13.7% 7.3% 13.3% 8.3% 15.3% 7.9% 13.5% 7.9% 14.1% 13.9% 9.8% 8.9% 本設問は、不正行為への気持ちを低下させる対策について、内部不正防止・抑止効果が期待できる対策に関係する項目である。図 11 の結果によると、「Q28-17 社内システムの操作の証拠が残る」は、9 割の回答者が不正行為への気持ちが低下すると回答しており、最も効果が期待できる対策であると指摘できる。これに続いて、「Q28-2 顧客情報などの重要な情報にアクセスした人が監視される」、「Q28-6 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する」、「Q28-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない」、「Q28-1 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする」、「Q28-11 社内の重要な情報を暗号化する」が続いて効果が期待できるという結果となった。 0% Q28-17 社内システムの操作の証拠が残る 20% 11.5% 40% 14.5% 16.3% 13.1% Q28-6 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 13.3% Q28-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 13.5% Q28-1 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする 13.7% 20.2% Q28-11 社内の重要な情報を暗号化する 13.9% 19.4% 17.4% Q28-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する 14.1% Q28-9 社内システムにログインするためのIDやパスワードの管理を徹底する 14.1% 14.8% 20.5% Q28-18 これまでに同僚が行ったルール違反が発見されたことがある 15.3% 18.7% Q28-5 職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する 15.7% 17.6% Q28-12 退職者のアカウントは、即日、削除する 17.8% 25.0% 26.6% Q28-10 職場に監視カメラを設置する 23.5% 24.6% Q28-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 23.7% 25.2% Q28-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る 24.6% 27.5% Q28-15 上司や同僚に頻繁に相談できる環境がある 24.8% 27.1% 1～25%低下する図 11 対策（シナリオ無し） 36 26～50%低下する 17.9% 20.1% 20.5% 17.5% 19.1% 15.5% 16.7% 23.5% 22.4% 20.8% 19.4% 25.3% Q28-7 ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する 0%（低下しない） 21.6% 19.6% 26.8% 20.7% 18.6% 19.0% 25.4% 24.9% 24.4% 19.4% 27.5% 21.0% 23.5% 19.7% 25.3% Q28-3 ネットワークへの利用制限を設ける 21.4% 19.0% 24.7% 19.5% 24.6% 19.6% 24.3% 20.6% 14.8% 24.4% 18.6% 25.1% 22.9% Q28-4 管理者を増員する等、社内の監視体制を強化する 21.4% 24.3% Q28-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 28.2% 18.9% 24.4% 17.6% 100% 34.4% 23.5% 19.0% 14.0% 80% 19.2% 23.5% Q28-2 顧客情報などの重要な情報にアクセスした人が監視される Q28-19 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 60% 20.4% 22.3% 15.7% 24.9% 13.8% 14.5% 22.4% 24.5% 23.2% 12.3% 15.0% 13.3% 13.5% 25.0% 12.0% 51～75%低下する 76～100%低下する 13.3% 11.2% 11.1% (5) シナリオⅠによる検証４.４.１節にて定めたモデルⅠ（インタビュー調査において最も事例数のあった営業職員による個人情報の持ち出し／不正利用）を基にシナリオを作成し、アンケートを実施した。このシナリオ付きのアンケート調査では、アンケート回答者本人の気持ちを尋ねるのではなく、不正行為者を想定した気持ちを回答したことになる。そのため、「動機やプレッシャー」の設問項目はシナリオの理解を確認するために用い、「動機やプレッシャー」に関連する設問として、新規に「不正行為に関する理解或いは共感」を尋ねる設問を追加した。具体的には、下記のようなシナリオを提示して、内部不正行為にどの程度理解（或いは共感）できるか、内部不正を行いたいという気持ちを高める要因、気持ちを低下させる対策についてそれぞれ回答者に尋ねる形式をとった。表 34 にシナリオⅠの内容を示す。表 34 シナリオⅠの内容＜シナリオⅠ＞ B さんは、服飾系代理店である Y 社の営業系事務として、10 年以上勤務している。 B さんは人当たりが良く、Y 社の営業職員や取引先の企業からも頼りにされることが多く、それに応えることに仕事のやりがいを感じている。周囲からは、仕事ぶりに華やかさはないがコツコツと地道にやっていくタイプだと見られている。そんな中、B さんを高く評価してくれている他社から転職の誘いがあり、転職を決意した。その後、B さんが Y 社の顧客情報を持ち出したことが発覚した。上記のシナリオⅠを読んで、回答者が、どの程度内部不正行為に理解（或いは共感）できるかについて調査した結果を図 12 に示す。この結果によると、B さんの「Q20-1 自分が収集したものであれば、持ち出してもよいと思う」「Q20-2 転職先で利用する」といった行為について、理解（或いは共感）する回答は 10%程度と少ない。一方、「Q20-6 悪意があると思う」、「Q20-4 理解できない」といった設問に対しては、「非常にあてはまる」、「あてはまる」という回答が過半数を超える結果となった。 37 0% 10% 20% Q20-6 Bさんの行為は悪意があると思う 22.6% Q20-7 Bさんの行為は理解できない 22.7% 30% 40% 50% 60% 31.1% 70% 80% 31.3% 28.5% 90% 11.6% 3.4% 30.1% 13.9% 1.5% Q20-5 Bさんの行為に悪意は無いと思う 12.8% 30.3% 28.1% 27.2% 1.9% Q20-2 顧客情報を持ち出すことも、転職先で利用することも共感できる 10.8% 20.8% 24.8% 41.7% 1.0% Q20-1 自分が収集したものであれば、持ち出してもよいと思う 10.0% 20.4% 26.4% 42.2% 1.1% Q20-4 処罰されなければ、持ち出してもよいと思う 6.0% 16.1% 26.5% 50.4% 0.7% Q20-3 見つからなければ、持ち出してもよいと思う非常にあてはまるあてはまる 5.4% 15.3% どちらともいえない 27.3% あまりあてはまらない図 12 理解・共感（シナリオⅠ） 38 51.3% 全くあてはまらない 100% 4.8% 「環境・機会」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。その結果を図 13 に示す。これによると、「Q22-1 システム管理がずさんで、顧客情報を簡単に持ち出せることを知っていた」を「あてはまる」と回答した人は約 70%を占める。「Q22-10 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない」、「Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない」も約 68%で高い結果となった。 0% 20% 40% 60% 25.1% Q22-1 システム管理がずさんで、顧客情報を簡単に持ち出せることを知っていた 80% 45.2% 3.6% 24.4% 100% 1.8% 4.5% Q22-10 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない 46.1% 22.5% 1.8% 25.1% 4.8% Q22-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない 20.8% Q22-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない 20.0% 47.6% 25.1% 1.7% 4.8% 46.2% 26.9% 2.2% 6.0% 19.4% Q22-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない 45.0% 27.3% 2.2% 5.2% Q22-15 社内の重要な情報が暗号化されていない 18.7% Q22-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない 17.4% 45.0% 2.1% 28.9% 6.8% 43.0% 30.5% 2.3% 6.8% Q22-12 社内ルールや規則を違反した際、罰則がない 42.1% 16.5% 32.1% 2.5% 7.4% 16.8% Q22-6 退職者のアカウントが削除されていない 38.4% 34.1% 3.3% 9.3% Q22-3 職場に管理者がいないため、見つからない 12.3% 38.5% 2.8% 37.0% 9.2% Q22-8 不正を行う十分な時間がある 37.6% 11.1% 38.4% 3.8% 12.0% Q22-17 パソコンやUSBなどの会社備品に会社の管理シールが貼られていない 10.3% 36.2% 37.4% 4.1% 11.6% Q22-19 社内への入退出時に手荷物検査がない 10.0% 35.4% 39.0% 4.0% 8.8% Q22-9 職場で頻繁にルール違反が繰り返されている 10.3% Q22-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい 10.7% Q22-4 情報の持ち出しに関して社内に相談窓口がない 8.0% 31.9% 45.9% 29.2% 37.6% 30.8% Q22-7 職場への入退口に警備員がいない 8.1% Q22-11 社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい 7.0% 24.6% Q22-18 職場に監視カメラがない 7.0% 24.5% 43.9% 18.9% 44.7% あてはまるどちらともいえない 13.4% 15.5% 42.2% 図 13 環境・機会（シナリオⅠ） 39 16.0% 43.0% 27.5% 非常にあてはまる 3.1% 16.8% あまりあてはまらない全くあてはまらない 6.5% 4.8% 5.0% 7.3% 7.1% 「知識・経験」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。その結果を図 14 に示す。これによると、「Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている」を「あてはまる」と回答した人は約７割を占める。 0% 10% Q23-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている 20.8% Q23-4 社内の誰にも知られずに、顧客情報を持ち出せる方法を知っている 19.3% 20% 30% 40% 50% 60% 70% 80% 47.6% 90% 100% 3.9% 2.3% 25.4% 4.8% 46.4% 27.0% 2.4% 5.8% Q23-2 顧客情報を自由に持ち出せる技術的なスキルをもっている 16.2% 48.3% 27.4% 2.3% 5.5% Q23-8 自分が社内の情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる 14.7% 45.4% 31.8% Q23-10 社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている 14.5% 44.6% 32.2% 2.6% 6.3% 2.4% 6.1% Q23-5 これまでに、顧客情報を持ち出しても、誰からも注意や指摘を受けなかった 17.4% 41.5% 32.4% 2.6% 7.8% Q23-1 顧客情報を自由に持ち出せる権限をもっている 41.1% 16.5% 31.4% 3.2% 8.7% Q23-9 自分が社内の情報システムの管理者ではないが、不正操作した証拠を消去することができる 11.7% 33.9% 42.1% 3.7% 8.5% Q23-3 同僚が顧客情報を自由に持ち出していることを知っている 11.0% 33.5% 3.7% 43.3% 9.3% Q23-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった 11.0% 33.0% 42.9% 3.7% 10.9% Q23-6 社内で、自分よりも情報システムについて理解している人がいない非常にあてはまるあてはまる 9.7% どちらともいえない 30.9% あまりあてはまらない図 14 知識・経験（シナリオⅠ） 40 44.4% 全くあてはまらない 4.1% 不正行為への気持ちを低下させる「対策」について尋ねた結果を図 15 に示す。これによると、シナリオⅠと同様に、一番多くの人が「非常にあてはまる」、「あてはまる」と回答したのは「Q24-17 社内システムの操作の証拠が残る」であった。これに、「Q24-14CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する」「Q24-9 社内システムにログインするための ID やパスワードの管理を徹底する」、「Q24-6 顧客情報を持ち出した場合の罰則規定を強化する」が続く結果となった。 0% 20% Q24-17 社内システムの操作の証拠が残る 40% 60% 31.6% 80% 100% 2.6% 45.4% 19.5% 0.8% 3.5% Q24-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する 46.7% 28.1% 0.8% 21.0% 3.1% Q24-9 社内システムにログインするためのIDやパスワードの管理を徹底する 28.6% 46.0% 21.1% 1.2% 3.5% Q24-6 顧客情報を持ち出した場合の罰則規定を強化する 30.2% 44.2% 21.2% 1.0% 3.3% Q24-5 職務上で作成・開発した成果物は、企業に帰属すること 43.6% 29.9% 21.9% 1.3% 2.9% Q24-11 社内の重要な情報を暗号化する 27.4% 46.0% 22.7% 27.1% 46.2% 23.0% 1.1% 2.8% Q24-2 顧客情報などの重要な情報にアクセスした人が監視される 0.9% 3.2% Q24-1 顧客情報などの重要な情報は、認められた職員のみがアクセスできるようにする 46.3% 26.3% 23.2% 1.0% 3.8% 29.2% Q24-12 退職者のアカウントは、即日、削除する 42.6% 22.9% 1.4% 3.5% 24.2% Q24-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 46.4% 24.7% 1.1% 4.9% Q24-3 ネットワークへの利用制限を設ける 46.8% 22.6% 24.4% 1.3% 4.0% Q24-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 19.8% Q24-19 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある Q24-18 これまでに、同僚が行ったルール違反が発見されたことがある 18.4% 13.0% Q24-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る 13.4% Q24-4 管理者を増員する等、社内の監視体制を強化する 13.2% Q24-15 上司や同僚に頻繁に相談できる環境がある 10.8% Q24-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 10.4% 9.0% 5.6% 35.2% 39.3% 37.1% 37.7% 7.6% 2.3% 3.2% 38.3% 9.1% 2.2% 41.5% どちらともいえない 2.0% 10.5% 42.5% 27.7% 1.6% 33.6% 38.9% 29.9% 図 15 対策（シナリオⅠ） 4.6% 37.3% 41.8% あてはまる 1.1% 33.4% 40.2% 非常にあてはまる 41 29.0% 42.0% 14.9% Q24-7 ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する Q24-10 職場に監視カメラを設置する 46.1% あまりあてはまらない 9.7% 2.9% 13.0% 15.7% 全くあてはまらない 4.1% 6.1% (6) シナリオⅡによる検証４.４.１節にて定めたモデルⅡ（判例調査において最も事例数のあった開発者による開発情報の持ち出し／不正利用）を基にシナリオを作成し、アンケートを実施した。表 35 にシナリオⅡの内容を示す。表 35 シナリオⅡの内容＜シナリオⅡ＞情報システム企業 X 社に勤める A さんは、システム開発 2 課の主任になって 3 年になる。現在、A さんは、プロジェクトの開発を担当し、このプロジェクトを順調に進めていることを周囲から評価されていた。ある時、A さんは、上司に呼び出され、長時間の面談が行われた。その後、1 週間程度、同様の面談が頻繁に行われ、後日、A さんはプロジェクトから外れ、その月に任意退社した。後日、A さんが、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載したことが発覚した。その後、システム開発 2 課を含むシステム開発系部門では、開発物に関する管理規定が見直された。上記のシナリオⅡを読んで、回答者が、どの程度内部不正行為に理解（或いは共感）できるかについて調査した結果を図 16 に示す。この結果によると、「Q15-1 自分で開発したものであれば掲載しても良いと思う」に「非常にあてはまる」、「あてはまる」と回答した回答者は全体の 10%程度であったのに対し、「Q15-2 持ち出したことに共感できるが掲載には共感できない」という回答は約 3 割の回答者が「あてはまる」と答えている。 42 0% 10% 20% 30% 40% 25.4% Q15-7 Aさんの行為は理解できない Q15-2 持ち出したことには共感できるが、掲載には、共感できない 8.0% 60% 70% 31.0% 15.8% Q15-6 Aさんの行為は悪意があると思う 50% 27.9% 80% 28.9% 24.0% 12.9% 18.5% 29.4% 3.2% 16.0% Q15-5 Aさんの行為に悪意は無いと思う 35.8% 23.8% 21.2% 1.8% Q15-1 自分で開発したものであれば掲載しても良いと思う 8.2% 20.7% 24.7% 44.6% 1.2% Q15-4 処罰されなければ掲載しても良いと思う 4.7% 15.0% 24.8% 54.4% 0.6% Q15-3 見つからなければ掲載しても良いと思う 3.4% 非常にあてはまるあてはまる 12.7% 25.1% どちらともいえないあまりあてはまらない図 16 理解・共感（シナリオⅡ） 43 100% 11.0% 3.7% 39.7% 20.0% 90% 58.1% 全くあてはまらない 3.8% 「環境・機会」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。その結果を図 17 に示す。「非常にあてはまる」と「あてはまる」という回答に着目すると、「Q17-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない」、「Q17-10 社内ルールや規則（セキュリティポリシーを含む）が周知・徹底されていない」、「Q17-1 システム管理がずさんであり、開発物（ソースコード）を簡単に Web サイトに公開できる」が７割程度となっている。一方、「Q17-11 社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい」は、2 割程度となり、他の環境・機会と比較すると不正行為への気持ちを高める要因とはなっていない。 0% 20% Q17-16 パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない 40% 60% 21.4% 80% 49.3% 100% 4.9% 2.7% 21.7% 5.0% 2.6% Q17-10 社内ルールや規則（セキュリティポリシーを含む）が周知・徹底されていない 44.5% 26.0% 21.9% 5.2% 2.9% Q17-1 システム管理がずさんであり、開発物（ソースコード）を簡単にWebサイトに公開できる 23.3% 46.4% 22.2% 6.2% 18.7% Q17-14 職場のパソコンや社内システムへのアクセス管理が徹底されていない 45.2% 7.3% Q17-5 社内システムにログインするためのIDやパスワードの管理が徹底されていない 18.1% 43.6% 27.4% Q17-13 ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない 16.9% 44.6% 28.0% Q17-15 社内の重要な情報が暗号化されていない 16.1% Q17-12 社内ルールや規制を違反した際、罰則がない 13.8% Q17-17 パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られていない 12.4% Q17-8 不正を行う十分な時間がある Q17-6 退職者のアカウントが削除されていない Q17-19 社内への入退出時に手荷物検査がない 43.1% 32.8% 38.2% 34.5% 37.8% 12.3% 35.6% 10.8% 7.4% 3.1% 6.8% 3.7% 34.9% 9.6% 4.4% 10.4% 4.5% 36.9% 10.2% 37.4% 9.5% 5.2% 37.0% 12.3% 5.1% Q17-4 情報の持ち出しに関して社内に相談窓口がない 8.9% 35.8% 37.7% 12.0% Q17-3 職場に管理者がいないため、見つからない 9.2% 35.4% 38.7% 11.3% Q17-9 職場で頻繁にルール違反が繰り返されている 9.9% 32.9% Q17-2 パソコンやUSBメモリ等の情報端末の持込制限が厳しい 8.1% Q17-7 職場への入退口に警備員がいない 7.2% Q17-18 職場に監視カメラがない 6.1% 43.8% 25.4% 37.6% 25.6% 43.4% 19.7% 非常にあてはまる 41.0% あてはまる図 17 環境・機会（シナリオⅡ） 44 9.4% 19.5% 42.8% 23.2% Q17-11 社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担 4.1% が大きい 3.6% 30.2% 39.4% 10.2% 3.1% 26.9% どちらともいえない 24.6% あまりあてはまらない 5.7% 5.4% 4.0% 9.4% 17.2% 17.9% 4.9% 7.2% 9.4% 10.6% 全くあてはまらない「知識・経験」に分類される要因について、個々の要因が不正行為への気持ちをどの程度高めるか尋ねた。その結果を図 18 に示す。「非常にあてはまる」と「あてはまる」という回答に着目すると、「Q18-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている」、「Q18-2 開発物（ソースコード）を自由に持ち出せる技術的なスキルをもっている」が 65%と高い。11 項目の知識・経験のうち、６項目で過半数が不正行為を高める要因として「あてはまる」と回答している。 0% 20% Q18-11 社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている 40% 19.6% 60% 80% 46.7% 100% 25.3% 3.0% 5.4% Q18-2 開発物（ソースコード）を自由に持ち出せる技術的なスキルをもっている 18.8% 46.6% 3.5% 25.2% 5.8% Q18-8 自分が社内の情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる 11.9% 45.2% 32.7% 3.8% 6.4% Q18-10 社内の開発物や重要な情報を誰にも知られずに閲覧・編集する方法を知っている 12.6% Q18-1 開発物（ソースコード）を自由に持ち出せる権限をもっている 14.3% 43.9% 33.3% 3.6% 6.6% 40.3% 4.4% 32.0% 9.0% Q18-4 社内の誰にも知られずに、インターネット上のWebサイトに情報を公開する方法を知っている 13.0% 40.8% 4.0% 33.4% 8.7% Q18-5 これまでに、インターネット上のWebサイトに情報を公開しても、誰からも注意や指摘を受けなかった Q18-6 社内で、自分よりも情報システムについて理解している人がいない 12.6% 39.3% 4.2% 35.4% 8.5% 9.6% 34.2% 40.9% 4.5% 10.8% Q18-9 自分が社内の情報システムの管理者ではないが、不正操作した証拠を消去することができる 8.8% 32.3% 44.3% 4.4% 10.2% Q18-7 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった 8.6% 29.2% 44.7% 5.2% 12.2% Q18-3 同僚がインターネット上のWebサイトに情報を公開していることを知っている 6.0% 25.5% 49.4% 5.8% 13.4% 非常にあてはまるあてはまるどちらともいえないあまりあてはまらない図 18 知識・経験（シナリオⅡ） 45 全くあてはまらない不正行為への気持ちを低下させる「対策」について尋ねた結果を図 19 に示す。「非常にあてはまる」と「あてはまる」という回答に着目すると、「Q19-17 社内システムの操作の証拠が残る」、「Q19-14CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しを制限する」、「Q19-9 社内システムにログインするための ID やパスワードの管理を徹底する」、「Q19-12 退職者のアカウントは即日削除する」は 75%を超える結果となった。一方、「Q19-10 職場に監視カメラを設置する」は合計で 35%程度と最も低く、「Q19-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する」、「Q19-4 管理者を増員する等社内の監視体制を強化する」も合計が 5 割に満たない結果となった。 0% 20% Q19-17 社内システムの操作の証拠が残る 40% 60% 31.6% 80% 100% 2.7% 46.1% 18.8% 0.7% 3.5% Q19-14 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しを制限する 46.4% 30.5% 18.5% 1.0% 2.8% Q19-9 社内システムにログインするためのIDやパスワードの管理を徹底する 30.4% 46.0% 19.6% 1.1% 3.4% Q19-12 退職者のアカウントは、即日、削除する 33.6% 41.7% 20.3% 1.1% 3.1% Q19-6 職務上で開発した開発物を公開した場合の罰則規定を強化する 46.0% 28.7% 0.9% 21.3% 3.3% 30.8% Q19-5 職務上で作成・開発した開発物は、企業に帰属すること 43.6% 21.4% 0.9% 3.2% Q19-11 社内の重要な情報を暗号化する 45.2% 28.4% 0.9% 22.3% 3.1% Q19-2 開発物（ソースコード）にアクセスした人が監視される 44.5% 27.4% 24.1% 1.0% 3.5% 24.6% Q19-20 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 45.6% 25.3% 1.0% 4.5% 23.9% Q19-1 開発物（ソースコード）は特定の職員のみアクセスできるようにする 45.7% 24.9% 1.0% 4.5% Q19-3 ネットワークへの利用制限を設ける 45.6% 23.2% 25.8% 0.9% 4.2% Q19-16 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 20.2% 48.2% 26.3% 1.1% 4.5% Q19-19 これまでに、同僚が行ったルール違反が発覚し、処罰されたことがある 17.9% 43.7% Q19-7 ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する 13.3% Q19-15 上司や同僚に頻繁に相談できる環境がある 14.1% 41.6% Q19-13 パソコンやUSBメモリなどの会社備品に会社の管理シールを貼る 13.9% 41.1% 31.9% 46.2% 2.0% 32.7% 35.1% 31.7% 6.0% 1.8% 7.2% 2.0% 10.4% 2.9% 6.4% Q19-18 これまでに、同僚が行ったルール違反が発見されたことがある 12.1% Q19-4 管理者を増員する等社内の監視体制を強化する 11.7% Q19-8 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 11.7% Q19-10 職場に監視カメラを設置する 39.4% 35.4% 8.6% 25.7% 図 19 対策（シナリオⅡ） 40.7% 41.2% あてはまる 1.9% 39.5% 33.7% 非常にあてはまる 46 40.2% どちらともいえない 11.2% 2.1% 11.6% 2.3% 18.3% あまりあてはまらない全くあてはまらない 6.2% ここでは、環境・機会に関する要因について、どの要因が不正行為を行いたいという気持ちを比較的高めるかについて、シナリオ毎に調べてみる。そのために、調査票で、回答者があるシナリオ X の質問 Y に対して、（１）「不正行為への気持ちが高まらない/不正行為を誘発した要因として全くあてはまらない」と回答した場合は 1、（２）「1-25％高まる/あまりあてはまらない」と回答した場合は 2、（３）「26-50％高まる/どちらともいえない」と回答した場合は 3、（４）「51-75％高まる/あてはまる」と回答した場合は 4、（５）「76-100％高まる/非常にあてはまる」と回答した場合は 5 とする。そして、そのシナリオ X の質問 Y に関する回答の平均値を計算する。これをシナリオ X の環境・機会に関する全ての質問で行い25、平均値の高い順からランク付けをする。これを全てのシナリオで行い、その結果をまとめたのが図 20 である。各シナリオで平均値上位 10 位の要因は図中のセルをオレンジ色で塗りつぶしてある。シナリオⅠ システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた。パソコンやUSBメモリ等の情報端末の持込制限が厳しい平均値シナリオⅡ シナリオなしシナリオⅠ 3.820 3.882 2.490 2 1 3 3.033 3.216 1.922 17 16 19 職場に管理者がいないため、見つからない 3.316 3.482 2.314 14 10 8 ルール違反に関して社内に相談窓口がない 3.301 3.238 1.927 15 15 18 社内システムにログインするためのIDやパスワードの管理が徹底されていない 3.654 3.735 2.351 5 5 6 退職者のアカウントが削除されていない 3.402 3.580 2.269 10 9 10 職場への入退口に警備員がいない 3.084 3.181 1.984 16 17 15 不正を行う十分な時間がある 3.382 3.429 2.260 11 11 11 職場で頻繁にルール違反が繰り返されている 3.353 3.375 2.584 12 12 1 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない 3.863 3.829 2.329 1 2 7 社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい 2.821 3.053 1.938 19 19 17 社内ルールや規則を違反した際、罰則がない 3.484 3.633 2.515 8 8 2 ルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 3.648 3.665 2.158 6 7 12 職場のパソコンや社内システムへのアクセス管理が徹底されていない 3.702 3.771 2.355 4 4 5 社内の重要な情報が暗号化されていない 3.611 3.729 2.295 7 6 9 パソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがない 3.817 3.809 2.370 3 3 4 パソコンやUSBなどの会社備品に会社の管理シールが貼られていない 3.436 3.365 2.010 9 13 14 職場に監視カメラがない 2.988 3.075 1.969 18 18 16 社内への入退出時に手荷物検査がない 3.340 3.359 2.049 13 14 13 図 20 環境・機会 25 順位シナリオⅡ シナリオなし調査票で該当する質問は、Q17(シナリオⅠ)、Q22(シナリオⅡ)、Q26(シナリオなし)である。 47 これを見ると、「システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた」 26 、「パソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがない」が、全てのシナリオにおいて、上位 5 位以内に入っているばかりでなく、図 8 が示しているように、比較的多くの回答者が、これら二つの要因は不正行為への気持ちを高めると答えている。「社内ルールや規則を違反した際、罰則がない」もランクは若干下がるものの、比較的多くの回答者が要因として挙げている。このことから、今回の調査では、環境・機会に関しては、これら 3 つの要因が内部不正行為への気持ちを高めるものと言える。図 20 の順位欄には、シナリオ別の各平均値の順位が示されている。シナリオⅠのランクを見ると上から「10、 8,11、・・・、16、13、9」、シナリオⅡは「9、16、11、・・・、14、13、10」、シナリオなしは「7、2、12、・・・、10、4、5」となっている。もし、この 3 つの数値配列が大きく異なると、どの要因が不正行為への気持ちを比較的に高めるのかがシナリオ間で大きく異なることを意味する。そこで、実際にはどうなのかを確認してみたところ、「シナリオ間で大きく異なる」という結果が得られた。27 26 「システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた」であるが、シナリオⅡ、シナリオなしの二つと、シナリオⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。 27 ３つのシナリオの順位に統計学的に有意な差があるかどうか、フリードマン検定を行い確認したところ、5％有意水準で 3 つの順位の間に相違があるという結果が得られた。だが、具体的に、どのシナリオの順位とどのシナリオの順位の間に相違があるのか、この結果からは分からない。 48 ここでは、知識・経験に関する要因について、どの要因が不正行為を行いたいという気持ちを比較的高めるかについて、先程の環境・機会と同じ要領で、シナリオ毎に調べてみる。図 21 は平均値の計算結果、及び順位をまとめたものである28。質問数が少ないこともあり、先程とは異なり、各シナリオで平均値上位 10 位ではなく、上位 5 位の要因のセルをオレンジ色で塗りつぶしてある。これを見ると、全てのシナリオで上位 5 位に入る要因は見当たらないが、「社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている」29が、二つのシナリオで上位に入っていて、残りの一つでも中位であり、更に図 6 から分かるように比較的多くの回答者が不正行為への気持ちを高める要因と答えている。このことから、知識・経験では、この要因が内部不正行為への気持ちを高めるものと言えるのではないだろうか。ここでも、どの要因が不正行為への気持ちを比較的に高めるのかがシナリオ間で異なるか否か調べてみた。すると、先程とは異なり、シナリオ間で大きな差がないという結果がでた30。つまり、どの要因が不正行為への気持ちを比較的高めるかに関して、3 つのシナリオ間で大きな差はないということになる。シナリオⅠ 平均値シナリオⅡ シナリオなしシナリオⅠ 順位シナリオⅡ シナリオなし顧客情報などの重要な情報を自由に持ち出せる権限をもっている 3.512 3.600 2.453 5 7 8 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている 3.713 3.703 2.433 2 3 9 同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている 3.125 3.395 2.460 11 9 7 3.500 3.753 2.556 6 2 1 3.477 3.649 2.546 7 4 2 社内で、自分以上に情報システムについて理解している人がいない 3.335 3.312 2.474 8 11 6 かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった 3.239 3.383 2.499 10 10 4 3.551 3.642 2.377 4 5 11 3.309 3.412 2.525 9 8 3 3.552 3.626 2.480 3 6 5 3.745 3.808 2.430 1 1 10 社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている図 21 知識・経験 28 計算結果は調査票内の質問（Q18(シナリオⅠ)、Q23(シナリオⅡ)、Q27(シナリオなし)）の回答を基にしている。「社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている」であるが、シナリオⅡ、シナリオなしの二つと、シナリオⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。 30 先程と同様にフリードマン検定を行ったところ、5％有意水準で 3 つの順位の間に同じという可能性を否定できないことが分かった。つまり、（統計学的には厳密には正しくないが、直感的な言い方をすると）3 つの順位には、仮に差があったとしても決して大きくはないということである。 29 49 調査票 Q19（シナリオⅠ）、Q24（シナリオⅡ）、Q28（シナリオなし）において、対策に関して調査したがここでは、各シナリオにおいて、どの対策が不正行為を行いたいという気持ちを比較的低下させるかについて見てみる。これまでと同じような要領で、調査票で、回答者があるシナリオ X の質問 Y に対して、（１）「（この対策では）不正行為への気持ちが全く低下しない/この対策は全く効果的ではない」と回答した場合は 1、（２）「不正行為への気持ちが 1-25％低下する/効果的ではない」と回答した場合は 2、（３）「気持ちが 26-50％低下する/ どちらともいえない」と回答した場合は 3、（４）「気持ちが 51-75％低下する/効果的である」と回答した場合は 4、（５）「気持ちが 76-100％低下する/大変効果的である」と回答した場合は 5 とする。そして、平均値を計算し、順位付けを行う。31その結果をまとめたのが、図 22 である。各シナリオで平均値上位 10 位の対策は図中のセルをオレンジ色で塗りつぶしてある。シナリオⅠ 平均値シナリオⅡ シナリオなしシナリオⅠ 順位シナリオⅡ シナリオなし顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする 3.870 3.937 3.149 10 9 7 顧客情報などの重要な情報にアクセスした人が監視される 3.941 3.957 3.327 8 6 2 ネットワークへの利用制限を設ける 3.857 3.845 3.051 11 11 12 管理者を増員する等、社内の監視体制を強化する 3.434 3.500 2.877 18 16 15 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する 4.001 3.974 3.033 5 5 14 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 3.986 3.991 3.263 6 2 3 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する 3.631 3.556 2.670 14 15 18 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 3.408 3.294 2.673 19 19 17 社内システムにログインするためのIDやパスワードの管理を徹底する 4.018 3.978 3.135 3 3 8 職場に監視カメラを設置する 3.122 3.179 2.728 20 20 16 社内の重要な情報が暗号化されている 3.970 3.957 3.188 7 7 6 退職者のアカウントは、即日、削除される 4.033 3.943 3.040 2 8 13 パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている 3.525 3.492 2.593 17 17 19 CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている 4.018 3.977 3.055 4 4 11 上司や同僚に頻繁に相談できる環境がある 3.585 3.439 2.575 15 18 20 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 3.822 3.796 3.123 12 12 9 社内システムで行ったルール違反の痕跡を消すことが難しい 4.051 4.045 3.504 1 1 1 これまでに同僚が行ったルール違反が発見されたことがある 3.534 3.603 3.118 16 14 10 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 3.711 3.711 3.228 13 13 4 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 3.894 3.891 3.219 9 10 5 図 22 対策 31 計算結果は調査票内の質問（Q19(シナリオⅠ)、Q24(シナリオⅡ)、Q28(シナリオなし)の回答を基にしている。 50 これを見ると、「社内システムで行ったルール違反の痕跡を消すことが難しい」が、全てのシナリオにおいて、最も不正行為への気持ちを低下させることが分かる。更に、図 7 が示しているように、一番多くの回答者が、この対策は不正行為への気持ちを低下させると答えている。これらを併せて考えると、今回の調査では、この対策は不正行為への気持ちを最も低下させるものと言える。これ以外の対策に関してであるが、「顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する」 32 、「社内の重要な情報が暗号化されている」の二つはいずれのシナリオにおいても上位 7 位までに入っていて、「顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする」、「顧客情報などの重要な情報にアクセスした人が監視される」、「社内システムにログインするための ID やパスワードの管理を徹底する」、「情報システムの管理者以外に、情報システムへのアクセス管理を操作できない」の 4 つは全シナリオにて上位 10 位までに入っている。更に、これら 6 つの対策は図 7 から分かるように、多くの回答者が効果を期待できると答えている。これらのことから、少し基準を厳しくするなら、全てのシナリオで上位７位までに入っている３つの対策、緩くするなら上位 10 位までに入っている７つの対策が不正行為への気持ちを比較的低下させるものと言える。ここでも、どの要因が不正行為への気持ちを比較的に低下させるのかがシナリオ間で異なるのか否か調べてみた。その結果、「シナリオ間で大きく異なる」ということが分かった。 32 「顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する」であるが、シナリオⅡ、シナリオなしの二つと、シナリオⅠでは、質問文が幾分異なるが、質問内容自体は同義のものである。 51 ５.１.２経営者及びシステム管理者に限定したアンケートの結果経営者、システム管理者へのアンケートの結果を図 21 に示す。下記は、経営者、システム管理者に内部不正に関わる「対策の実施状況」を尋ねた結果である。この結果によると、「Q8-9 社内システムにログインするための ID やパスワードの管理が徹底されている」が 31.9%で最も高い結果となった。「Q8-1 開発物（ソースコード）や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている」（29.4%）、「Q8-12 退職者のアカウントは、即日、削除される」（27.5%）が続く結果となった。一方、何らかの理由で実施したいが実施できていないものは、「Q8-4 管理者を増員する等社内の監視体制を強化することで、不正行為を行いにくい環境を整備する」（合計 36.25%）が最も多く、「Q8-11 社内の重要な情報が暗号化されている」（合計 32.5%）が続く結果となった。 0% 10% 20% 30% 40% 29.4% Q8-1．開発物（ソースコード）や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている 50% 60% 23.1% 70% 80% 90% 6.9% 9.4% 26.9% 4.4% Q8-2．開発物（ソースコード）や顧客情報などの重要情報にアクセスした人がアクセスログ等によって確認されるようになっている 16.9% 21.9% 13.8% 8.8% 32.5% 8.1% 33.1% 6.3% 22.5% Q8-3．ネットワークへの利用制限がある 18.1% 11.9% 6.3% 14.4% Q8-4．管理者を増員する等社内の監視体制を強化することで、不正行為を行いにくい環境を整備する 13.1% Q8-5．職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する 18.1% 6.9% 14.4% 26.9% 11.3% 36.3% 10.0% 13.1% 30.6% 5.0% 21.9% Q8-6．ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシを含む）に対する罰則規定を強化する 13.1% 12.5% 35.6% 11.3% 5.6% Q8-7．ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシを含む）に抵触しそうな事柄についての問い合わせ窓口が設置されている 18.8% Q8-8．社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する 18.8% 10.6% 12.5% 15.0% 10.0% 31.3% Q8-9．社内システムにログインするためのIDやパスワードの管理が徹底されてい 7.5% 38.1% 12.5% 6.9% 11.3% 15.6% 38.1% 10.6% 7.5% 31.3% 3.8% Q8-10．職場に監視カメラを設置している 10.6% 10.0% 15.0% 48.8% 3.8% 11.9% Q8-11．社内の重要な情報が暗号化されている（社内の重要な情報は限られた関係者しか閲覧できない） 14.4% 18.8% 16.3% 34.4% 12.5% 3.8% Q8-12．退職者のアカウントは、即日、削除される 27.5% 13.8% 13.1% 30.6% 9.4% 5.6% Q8-13．パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている 21.9% Q8-14．CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている 19.4% 24.4% 8.1% 18.8% 5.0% 8.1% 6.9% 37.5% 9.4% 34.4% 6.3% Q8-15．上司や同僚に頻繁に相談できる環境が整備されている 23.1% Q8-16．システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 15.6% 25.0% 20.6% 7.5% 9.4% 7.5% 7.5% 29.4% 35.6% 9.4% 9.4% Q8-17．社内システムで行ったルール違反の痕跡を消すことが難しい 18.1% 14.4% 10.6% 36.9% 12.5% 7.5% Q8-18．社員や従業員が行ったルール違反を発見した場合、注意することを取り決めたルールや規定がある 21.3% Q8-19．社員や従業員が行ったルール違反を発見した場合、処罰することを取り決めたルールや規定がある 18.1% 23.1% 6.3% 20.0% 11.3% 6.3% 7.5% 36.9% 9.4% 36.3% 3.8% Q8-20．情報システムの管理者以外に、情報システムへのアクセス管理が操作できないようになっている 24.4% 20.6% 10.6% 10.0% 3.8% （１）実施している（２）一部で実施している（３）実施したいが費用面の理由で実施できていない（４）実施したいが人材不足のため実施できていない（５）実施したいが（３）及び（４）以外の理由で実施できていない（６）効果が認められないと思うため実施していない図 21 対策の実施状況 52 30.6% 100% 図 22 は、内部不正行為対策を実施している経営者、システム管理者向けに「効果があると思う対策」を尋ねた結果である。これによると、「開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている」が 20.9%で最も高く、「情報システム管理者以外に、情報システムへのアクセス管理が操作できないようになっている」が 12.7%、「社内システムにログインするための ID やパスワードの管理が徹底されている」が 11.8%である。 0 5 10 Q10-1開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている Q10-20情報システムの管理者以外に、情報システムへのアクセス管理が操作できないようになっている Q10-9社内システムにログインするためのIDやパスワードの管理が徹底されている 12.7% 11.8% 8.2% Q10-3ネットワークへの利用制限がある 7.3% 7.3% 6.4% 5.5% Q10-11社内の重要な情報が暗号化されている 3.6% Q10-15上司や同僚に頻繁に相談できる環境が整備されている 2.7% Q10-6ルール違反や禁止行為に対する罰則規定を強化する Q10-13パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている Q10-19社員や従業員が行ったルール違反を発見した場合、処罰することを取り決めたルールや規定がある Q10-8社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する 2.7% 2.7% 1.8% 1.8% Q10-12退職者のアカウントは、即日、削除される Q10-10職場に監視カメラを設置している Q10-16システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている Q10-7ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口が設置されている Q10-17社内システムで行ったルール違反の痕跡を消すことが難しい 1.8% 0.9% 0.9% 0.9% 0.0% 0.0% 図 22 効果があると思う対策（対策を導入済みの企業のみ） 53 20 25 20.9% Q10-2開発物や顧客情報などの重要情報にアクセスした人がアクセスログ等によって確認されるようになっている Q10-14CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている Q10-5職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する Q10-18社員や従業員が行ったルール違反を発見した場合、注意することを取り決めたルールや規定がある Q10-4管理者を増員する等社内の監視体制を強化することで、不正行為を行いにくい環境を整備する 15 表 36 では、左側に内部不正への気持ちが低下する対策のうち上位 5 つの対策を示し、これに対して右側に経営者・システム管理者が既存の対策で一番有効と考える対策を示している。社員の内部不正への気持ちが低下する対策の 1 位の「社内システムの操作の証拠が残る」に対して、「社内システムで行ったルール違反の痕跡を消すことが難しい」を誰も選択しておらず、21 項目中 19 位という結果であった。「社内システムの操作の証拠が残る」は、他の項目と比較しても選択された割合が高いことから、社内システムで操作が残る機能を導入し、このような機能が導入されたことを社員に通知することが、内部不正防止に有効であると考えられる。また、4 位の「社内システムにログインするための ID やパスワードの管理を徹底する」は、社員と、経営者・システム管理者で上位に挙がっている。しかし、有効と考えられている一方で、４.３.３節のインタビュー調査の結果から、ID やパスワードの管理が甘いことによる内部不正が発生している。表 36 対策に関するアンケート結果（上位５位：社員）社員対応項目に対する経営者・管理者の結果内容順位順位割合※1 1位 54.2% 2位 37.5% 3位 36.2% これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 4位 31.6% 社内システムにログインするための ID やパスワードの管理を徹底する 3 位 5位 31.4% 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 10 位社内システムの操作の証拠が残る顧客情報などの重要な情報にアクセスした人が監視される（アクセスログの監視等を含む） ※１内部不正への気持ちが低下すると回答した回答者の割合。 ※２効果が見込める対策と回答した回答者の割合。 54 割合※２ 19 位 0.0% 5 位 7.3% 10 位 2.7% 11.8% 2.7% （社員:n=3,000、経営者・管理者:n=110）図 23 は、対策を実施していない企業の経営者、システム管理者向けに「実施してみたい対策」を尋ねた結果である。この結果によると、「導入したい対策は無い」が 26.5%と最も多く、内部不正及び内部不正に関する対策への意識（当事者意識を含む）が低いことがわかる。これを除くと、「社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する」と「社内の重要な情報が暗号化されている」が 19.3%で最も多い。 0 5 10 15 20 Q12-8社外や業務時間外に仕事をしなくても済むように業務量を軽減し、重要情報を持ち出さないような業務運用を整備する 19.3% Q12-11社内の重要な情報が暗号化されている 19.3% Q12-2開発物や顧客情報などの重要情報にアクセスした人がアクセスログ等によって確認されるようになっている Q12-4管理者を増員する等社内の監視体制を強化することで、不正行為を行いにくい環境を整備する Q12-5職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する 30 18.1% 18.1% 18.1% 18.1% Q12-6ルール違反や禁止行為に対する罰則規定を強化する 16.9% Q12-3ネットワークへの利用制限がある Q12-9社内システムにログインするためのIDやパスワードの管理が徹底されている Q12-1開発物や顧客情報などの重要情報は特定の職員のみアクセスできるようになっている Q12-14CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている Q12-7ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口が設置されている 16.9% 15.7% 15.7% 14.5% Q12-12退職者のアカウントは、即日、削除される 14.5% Q12-13パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている 14.5% 13.3% Q12-17社内システムで行ったルール違反の痕跡を消すことが難しい Q12-18社員や従業員が行ったルール違反を発見した場合、注意することを取り決めたルールや規定がある Q12-20情報システムの管理者以外に、情報システムへのアクセス管理が操作できないようになっている 13.3% 12.0% Q12-10職場に監視カメラを設置している 10.8% Q12-16システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 10.8% Q12-15上司や同僚に頻繁に相談できる環境が整備されている 9.6% Q12-19社員や従業員が行ったルール違反を発見した場合、処罰することを取り決めたルールや規定がある 9.6% Q12-21該当するものはない（導入したい対策はない）図 23 導入してみたい対策（対策をまだ導入していない企業のみ） 55 25 26.5% 図 24 は、社内で社員によるインシデント等の不正行為が発生した場合、「他組織・団体がセキュリティ対策を検討する際の参考事例になるように、そのインシデントの情報を公開する」ことはないと回答した企業に対してその理由を尋ねた結果である。この結果によると、「社内対応で十分である」と考えている企業が 27.5%、「風評被害など企業のイメージダウンとなる可能性がある」が 25.0%となっている。 0% 社内対応で十分情報を開示することにより、競合他社に利用されるおそれがある 20.0% 15.0% 風評被害など企業のイメージダウンとなる可能性がある影響しない 40% 27.5% 関係者との調整が困難影響する 20% 40.0% 38.8% どちらともいえない 56 80% 35.0% 25.0% 図 24 公開しない理由 60% 100% 31.3% 6.3% 32.5% 7.5% 38.8% 36.3% わからない 33.8% 7.5% 5.0% ５.２５.２.１集計結果の分析と考察属性別の結果に関する分析と考察ここでは、回答者を属性毎のグループに分け、各グループの不正行為への気持ちの高まり/低下の程度について、シナリオなしの場合の回答（調査票の Q25（動機・プレッシャー）、Q26（環境・機会）、Q27（知識・経験）、 Q28（対策））を用いて、比較、分析してみる。45 ページから 49 ページで述べたのと同じ要領で、グループ X 内の回答者の質問 Y に対する回答に対して、1-5 の 5 段階の数値を割り当て、同グループにおける質問 Y の回答の平均値を計算する。これを全ての質問に対して、更に全てのグループに関して行い、算出された平均値についてグループ間で比較、検証する。取り上げる属性は、（１）年齢、（２）職位、（3）職業、（4）内部不正行為の経験の有無、（５）勤務先組織で ISMS が実施されているかどうかの５つである。（１）年齢全回答者を 20 代、30 代、40 代、50 代、60 代以上の 5 つのグループに分類し33、個々の質問に対する各グループの回答の平均値を計算する。その結果は図 27 の通りである。ピンク色のセル内の値は、各質問に対する 5 つの平均値の中の最小値であり、黄色のセル内の値は最大値である。 33 10 代の回答者は１１人しかおらず、この年代の傾向を把握するには数が少ないので、分析対象から外している。 57 動機・プレッシャー知識・経験 20-29歳 30-39歳 40-49歳 50-59歳 60歳以上 (366人) (665人) (854人) (675人) (429人) 自分が作成した成果物（顧客情報一覧）は、自由に使ってよいと思う 2.34 2.23 2.30 2.37 転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 2.51 2.46 2.59 2.72 2.568 2.565 2.64 2.43 2.82 2.73 2.78 上司の仕事への取組み方や上司の人間性に不満がある 2.55 2.59 2.61 2.70 2.69 プロジェクトや業務の進め方に不満がある 2.38 2.32 2.34 2.39 2.49 業務が忙しいため、自宅で作業をする必要がある 2.48 2.37 2.26 2.28 2.30 社内の人事評価に不満がある給与や賞与に不満がある 2.62 2.57 2.60 2.62 2.69 退職金に不満がある 2.41 2.38 2.40 2.53 2.52 不当だと思う解雇通告を受けた 3.37 3.34 3.37 3.43 3.49 職場でいじめや脅迫を受けた 2.41 2.37 2.39 2.48 2.47 ルールを違反しても個人や企業を特定されない自信がある 2.37 2.32 2.39 2.45 2.50 20-29歳 30-39歳 40-49歳 50-59歳 60歳以上 (366人) (665人) (854人) (675人) (429人) 顧客情報などの重要な情報を自由に持ち出せる権限を持っている顧客情報などの重要な情報を自由に持ち出せる技術的なスキルを持っている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている環境・機会 2.43 2.38 2.40 2.49 2.64 2.41 2.36 2.38 2.47 2.61 2.43 2.52 2.66 2.53 2.46 2.49 2.64 2.74 2.54 2.42 2.49 2.65 2.70 2.45 2.42 2.41 2.52 2.65 2.41 2.44 2.45 2.61 2.59 2.30 2.26 2.34 2.47 2.57 2.45 2.48 2.46 2.60 2.69 2.42 2.37 2.45 2.58 2.62 2.32 2.33 2.40 2.51 2.61 2.3880 2.3876 対策 20-29歳 30-39歳 40-49歳 50-59歳 60歳以上 (366人) (665人) (854人) (675人) (429人) 20-29歳 30-39歳 40-49歳 50-59歳 60歳以上 (366人) (665人) (854人) (675人) (429人) システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた 2.42 2.37 2.43 2.62 2.67 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする 3.11 3.04 3.15 3.19 3.26 パソコンやUSBメモリ等の情報端末の持込制限が厳しい 1.97 1.88 1.85 1.96 2.02 顧客情報などの重要な情報にアクセスした人が監視される 3.33 3.21 3.38 3.36 3.35 職場に管理者がいないため、見つからない 2.35 2.25 2.24 2.40 2.40 ネットワークへの利用制限を設ける 3.09 3.00 3.07 3.04 3.07 ルール違反に関して社内に相談窓口がない 1.95 1.85 1.86 2.00 2.05 管理者を増員する等、社内の監視体制を強化する 3.02 2.84 2.91 2.77 2.89 2.56 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する 3.03 2.93 3.05 3.06 3.11 2.48 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 3.27 3.19 3.31 3.26 3.25 2.72 2.623 2.621 2.66 2.79 社内システムにログインするためのIDやパスワードの管理が徹底されていない退職者のアカウントが削除されていない 2.28 2.23 2.29 2.46 2.20 2.17 2.20 2.36 職場への入退口に警備員がいない 2.02 1.886 1.892 2.09 2.11 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する不正を行う十分な時間がある 2.31 2.18 2.21 2.35 2.31 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 2.87 2.69 2.60 2.61 2.70 職場で頻繁にルール違反が繰り返されている 2.60 2.55 2.52 2.66 2.61 社内システムにログインするための IDやパスワードの管理を徹底する 3.13 3.03 3.12 3.16 3.29 2.27 2.25 2.26 2.43 2.48 職場に監視カメラを設置する 3.04 2.69 2.71 2.63 2.66 1.99 1.92 1.84 2.03 1.98 社内の重要な情報が暗号化されている 3.17 3.07 3.17 3.22 3.35 2.55 2.46 2.44 2.60 2.59 退職者のアカウントは、即日、削除される 3.04 2.94 3.04 3.07 3.14 2.67 2.53 2.56 2.58 2.69 3.10 2.97 3.08 3.02 3.16 上司や同僚に頻繁に相談できる環境がある 2.64 2.49 2.56 2.59 2.65 2.39 2.24 2.31 2.493 2.490 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 3.14 3.01 3.15 3.10 3.26 1.98 1.96 1.92 2.10 2.14 社内システムで行ったルール違反の痕跡を消すことが難しい 3.57 3.38 3.55 3.50 3.55 職場に監視カメラがない 2.06 1.91 1.86 2.02 2.12 これまでに同僚が行ったルール違反が発見されたことがある 3.16 3.11 3.12 3.11 3.09 社内への入退出時に手荷物検査がない 2.05 1.99 1.97 2.13 2.17 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 3.28 3.17 3.25 3.21 3.24 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 3.23 3.11 3.23 3.23 3.32 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい社内ルールや規則を違反した際、罰則がないルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 2.17 2.090 2.093 2.22 2.28 職場のパソコンや社内システムへのアクセス管理が徹底されていない 2.27 2.26 2.29 2.47 2.53 社内の重要な情報が暗号化されていない 2.24 2.19 2.21 2.43 2.46 パソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがないパソコンやUSBなどの会社備品に会社の管理シールが貼られていないパソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている図 27 年齢 58 まず、動機・プレッシャー、環境・機会、知識・経験の結果から見てみると、大まかな傾向として、全年代の中で不正行為に対する気持ちが最も高まりにくいのは 30 代で、最も高まりやすいのが 60 代以上であることが分かる。図 27 を見てみると、年代が高くなるにつれて、（単調にというわけではないが）平均値が増加している、つまり不正行為への気持ちの高まり具合が大きくなるケースが、少なからず見受けられる。そこで、そのような傾向が本当にあるのか確認したところ、知識・経験においては全てのケースで、動機・プレッシャー、環境・機会に関しても半分以上のケースで、そのような傾向があることが分かった。34（図 27 中のセル内の数字が赤い（黒い）所はそのような傾向がある（ない）と判定されたケースである。）対策の結果に目を向けると、不正行為を行いたいという気持ちが最も低下するのは、多くのケースにおいて 60 代であり、一方気持ちの低下がそれほど起こらないのは 30 代である。ここでも、先程と同じ要領で、年齢の上昇が、不正行為への気持ちの低下具合の上昇を伴っているか確認してみた。しかし、図 27 を見ると分かるように、8 割近くのケースにおいてそのような傾向がないことが分かった。（２）職位全回答者を一般社員、係長・主任、課長、部長の 4 つのグループに分類し35、年齢の時と同じ要領で平均値の計算を行い、その結果を図 28 にまとめた。ピンク色のセル内の値、黄色のセル内の値は先程同様に各行の最小値、最大値である。動機・プレッシャー、環境・機会、知識・経験の結果から見てみると、傾向として、全職種の中で不正行為に対する気持ちが最も高まりにくいのは係長・主任で、最も高まりやすいのが課長、或いは部長であることが分かる。ここでも、職位の上昇が不正行為への気持ちの高まり具合の上昇を伴う傾向があるのか確認してみた。その結果は図 28 にまとめられており、先程と同様に、セル内の数値が赤い（黒い）場合は傾向がある（傾向がない）と判定された場合である。環境・機会の場合は、約 6 割のケースにおいてそのような傾向があったが、動機・プレッシャーでは 4 割ほど、知識・経験については 1 つのケースでしかそのような傾向は見られなかった。対策の結果については、不正行為への気持ちが最も低下するのは、多くのケースにおいて、一般職員であり、気持ちの低下がそれほど起こらないのは、主に部長である。ここでも、職位の上昇が不正行為への気持ちの低下具合の上昇を伴うか確認してみた。図 28 を見ると分かるように、2 割ほどのケースにおいてそのような傾向があると判定された。動機・プレッシャー、環境・機会、知識・経験に関して、先程の年齢の結果と今回の職位の結果を比べたとき、「年齢が上がると、それに伴って職位も上がる傾向にあると思われるので、30 代と（年齢が比較的低いと思われる）係長に最小値、60 代と（年齢が比較的高いと思われる）課長・部長に最大値が集中している」と考える人がいるかも知れない。しかし、今回のデータでは、そもそも年齢と職位の間にそのような相関があるとは言いにくいので36、年齢と職位の結果は切り離して考えるのが無難であると思われる。 34 35 36 確認にあたっては傾向検定を行い、傾向有無の判定は有意水準５％で行った。経営層・役員の回答者は１7 人しかおらず、このグループの傾向を把握するには数が少ないので、分析対象から外している。今回の調査データでの年齢と職位の相関係数は 0.415 であり、それほど高いとは言えない値であった。 59 動機・プレッシャー知識・経験一般職員主任・係長課長部長 (840人) (376人) (300人) (180人) 一般職員主任・係長課長部長 (840人) (376人) (300人) (180人) 自分が作成した成果物（顧客情報一覧）は、自由に使ってよいと思う 2.27 顧客情報などの重要な情報を自由に 2.23 2.38 2.47 持ち出せる権限を持っている転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 2.55 2.51 2.76 2.69 社内の人事評価に不満がある 2.64 2.54 2.78 2.66 上司の仕事への取組み方や上司の人間性に不満がある 2.63 2.49 2.76 2.68 プロジェクトや業務の進め方に不満がある 2.37 2.28 2.47 2.42 業務が忙しいため、自宅で作業をする必要がある 2.363 2.359 2.26 2.28 給与や賞与に不満がある 2.63 2.53 2.67 2.71 退職金に不満がある 2.46 2.33 2.43 2.48 3.429 3.24 3.433 3.27 職場でいじめや脅迫を受けた 2.40 2.32 2.57 2.53 ルールを違反しても個人や企業を特定されない自信がある 2.39 2.33 2.49 2.56 不当だと思う解雇通告を受けた顧客情報などの重要な情報を自由に持ち出せる技術的なスキルを持っている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている環境・機会 2.44 2.42 2.61 2.62 の職員のみアクセスできるようにするパソコンやUSBメモリ等の情報端末の持込制限が厳しい 1.92 職場に管理者がいないため、見つからないルール違反に関して社内に相談窓口がない 2.54 2.49 2.63 2.60 2.50 2.44 2.60 2.69 2.47 2.36 2.53 2.50 2.46 2.41 2.57 2.66 2.37 2.33 2.47 2.36 2.50 2.47 2.61 2.60 2.48 2.42 2.58 2.54 2.40 2.35 2.55 2.52 1.86 1.97 2.09 アクセスした人が監視される顧客情報などの重要な情報に 3.28 3.18 3.31 3.19 2.32 2.28 2.34 2.40 ネットワークへの利用制限を設ける 3.00 2.947 3.02 2.950 1.92 1.85 2.00 2.05 体制を強化する管理者を増員する等、社内の監視退職者のアカウントが削除されていない 2.22 2.13 2.40 2.46 した場合の罰則規定を強化する 1.96 2.23 2.54 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する顧客情報などの重要な情報を持ち出 2.89 2.76 2.72 2.68 2.952 2.94 2.947 2.93 3.18 3.14 3.23 3.09 1.90 2.04 2.03 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する 2.69 2.58 2.57 2.62 2.20 2.34 2.27 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 2.70 2.52 2.55 2.37 2.51 2.72 2.69 社内システムにログインするための IDやパスワードの管理を徹底する 3.092 2.93 3.093 3.06 2.78 2.60 2.54 2.42 社内の重要な情報が暗号化されて 3.12 3.02 3.13 2.96 退職者のアカウントは、即日、削除 2.98 2.84 2.97 2.91 2.57 2.53 2.47 2.52 3.02 2.97 2.99 2.91 2.52 2.51 2.50 2.46 3.07 3.00 3.02 2.96 社内システムで行ったルール 3.49 3.37 3.39 3.38 これまでに同僚が行ったルール違反 3.15 2.92 3.02 3.03 これまでに同僚が行ったルール違反 3.22 3.13 3.17 2.98 3.22 3.08 3.13 3.03 2.2786 2.2793 2.423 2.422 職場に監視カメラを設置する 1.98 1.88 1.95 2.14 いる 2.48 2.42 2.55 2.62 されるルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 2.12 2.07 2.267 2.267 職場のパソコンや社内システムへのアクセス管理が徹底されていない 2.30 2.27 2.46 2.48 社内の重要な情報が暗号化されていない 2.28 2.23 2.38 2.43 環境があるパソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがないパソコンやUSBなどの会社備品に会社の管理シールが貼られていない 2.36 2.55 2.52 3.05 3.113 3.111 2.24 2.48 2.51 社内ルールや規則を違反した際、罰則がない 2.41 3.10 2.29 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい 2.36 2.49 2.44 顧客情報などの重要な情報は、特定社内システムにログインするためのIDやパスワードの管理が徹底されていない職場で頻繁にルール違反が繰り返されている 2.43 一般職員主任・係長課長部長 (840人) (376人) (300人) (180人) システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた不正を行う十分な時間がある 2.36 2.47 2.48 対策一般職員主任・係長課長部長 (840人) (376人) (300人) (180人) 職場への入退口に警備員がいない 2.42 パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できるシステム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 2.34 2.29 2.48 2.53 1.98 1.93 2.04 2.14 違反の痕跡を消すことが難しい職場に監視カメラがない 1.96 1.88 1.93 2.01 が発見されたことがある社内への入退出時に手荷物検査がない 2.05 1.96 2.11 2.07 が発覚し、処罰されたことがある情報システムの管理者以外に、情報システムへのアクセス管理を操作できない図 28 職位 60 （3）職業全回答者のデータのうち、正規職員（会社員（正社員）、公務員、団体職員）と非正規職員（会社員（契約社員/派遣社員）、パート/アルバイト）のデータを用いて、これら 2 つのグループの平均値を計算した。結果は図 29 の通りである。動機・プレッシャー正規職員 (1801人) 自分が作成した成果物（顧客情報一覧）は、自由に使ってよいと思う知識・経験非正規職員 (616人) 顧客情報などの重要な情報を自由に 2.31 2.29 持ち出せる権限を持っている転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 2.59 2.54 社内の人事評価に不満がある 2.64 2.57 上司の仕事への取組み方や上司の人間性に不満がある 2.62 2.53 プロジェクトや業務の進め方に不満がある 2.36 2.33 業務が忙しいため、自宅で作業をする必要がある正規職員 (1801人) 2.332 2.328 給与や賞与に不満がある 2.62 2.51 退職金に不満がある 2.42 2.39 不当だと思う解雇通告を受けた 3.37 3.33 職場でいじめや脅迫を受けた 2.42 2.32 ルールを違反しても個人や企業を特定されない自信がある 2.40 2.35 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルを持っている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている環境・機会非正規職員 (616人) 2.44 2.39 2.43 2.35 2.43 2.41 2.55 2.47 2.53 2.45 2.46 2.43 2.49 2.43 2.38 2.29 2.53 2.48 2.49 2.38 2.43 2.34 対策正規職員 (1801人) 非正規職員 (616人) 正規職員 (1801人) システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた 2.49 2.39 の職員のみアクセスできるようにするパソコンやUSBメモリ等の情報端末の持込制限が厳しい非正規職員 (616人) 顧客情報などの重要な情報は、特定 3.10 3.25 1.93 1.86 アクセスした人が監視される顧客情報などの重要な情報に 3.27 3.47 職場に管理者がいないため、見つからない 2.32 2.24 ネットワークへの利用制限を設ける 2.99 3.19 ルール違反に関して社内に相談窓口がない 1.93 1.86 体制を強化する管理者を増員する等、社内の監視 2.81 3.07 社内システムにログインするためのIDやパスワードの管理が徹底されていない退職者のアカウントが削除されていない職場への入退口に警備員がいない不正を行う十分な時間がある職場で頻繁にルール違反が繰り返されている社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい社内ルールや規則を違反した際、罰則がない 2.34 2.27 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する 2.95 3.20 2.26 2.15 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 3.18 3.42 1.97 1.94 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する 2.64 2.77 2.24 2.25 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 2.60 2.88 2.57 2.53 社内システムにログインするための IDやパスワードの管理を徹底する 3.06 3.29 2.32 2.24 職場に監視カメラを設置する 1.96 1.85 3.09 3.41 退職者のアカウントは、即日、削除 2.95 3.22 2.50 2.44 されるルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 2.14 2.08 職場のパソコンや社内システムへのアクセス管理が徹底されていない 2.34 2.28 社内の重要な情報が暗号化されていない 2.30 2.20 環境があるパソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがないパソコンやUSBなどの会社備品に会社の管理シールが貼られていない職場に監視カメラがない社内への入退出時に手荷物検査がないパソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できる 2.37 2.29 2.66 2.97 社内の重要な情報が暗号化されているシステム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 2.54 2.74 3.00 3.22 2.52 2.67 3.05 3.31 社内システムで行ったルール 3.45 3.63 1.940 1.981 これまでに同僚が行ったルール違反が発見されたことがある 3.07 3.23 2.04 1.98 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 3.18 3.34 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 3.16 3.37 2.00 1.97 違反の痕跡を消すことが難しい図 29 職業 61 動機・プレッシャー、環境・機会、知識・経験では、ほぼ全てのケースにおいて、正規職員の平均値が非正規職員のものより高かった。しかし、これだけで、正規職員の方が非正規職員よりも全般的に不正行為に対する気持ちが高まりやすいと結論付けることはできない。正規職員と非正規職員の回答を更に検証すると、ほぼ全てのケースで、両者の間に不正行為への気持ちの高まり具合にそもそも差があるかどうかは分からないという結果が得られた。37（該当ケースに関しては、図 29 の数値が黒くなっている）。38 対策については、全ケースで非正規職員の平均値が正規職員の値より大きいという結果であったが、これに関してコメントが二つある。第一に、この結果は、正規職員の方が非正規職員に比べて内情に詳しく、不正行為対策の回避法を知っているので、対策に対しても効果をそれほど認めないということを反映している考える人がいるかも知れないが、それは正しいとは言えないと思われる。今回のデータを調べたところ、正規職員の方が内情に精通していると言える根拠がなく39、そのような理由から上記のような結果が出たとは考えにくい。第二に、要因の時と同様に、上記の結果から直ちに、非正規職員の方が正規職員よりも不正行為への気持ちが低下するとは厳密には言うことはできない。正規職員と非正規職員の回答を更に分析したところ、全てのケースで、両者の間で気持ちの低下具合に差があるとは言えるが（該当ケースはセル内の数値が赤くなっている）、非正規職員の方が気持ちの低下具合が大きいと言うことはできない。40 (4)内部不正行為の経験の有無全回答者のデータのうち、意図的に会社の重要情報を持ち出したことがあると答えた回答者とそのような行為を行ったことがないと答えた回答者のデータを用いて41、これら 2 つのグループの平均値を計算した。結果は図 30 の通りである。動機・プレッシャー、環境・機会、知識・経験では、動機・プレッシャーの「不当だと思う解雇通知を受けた」を除いて、全てのケースにおいて不正行為経験者の平均値の方が未経験者のものより高いという結果がでた。しかし、前節の職業と同様の検証を両者の回答に対して行ったところ、厳密には、動機・プレッシャー、環境・機会は約６割、知識・経験に関しては約７割のケースで、両者の間に不正行為への気持ちの高まり具合にそもそも差があるかどうかは分からないという結果が得られた。対策については、不正行為経験者が全てのケースにおいて未経験者より平均値が小さいという結果が出たが、これだけでは、不正行為経験者の方が未経験者よりも不正行為への気持ちが本当に低下しにくいか否かは分からない。前節同様に、両者の回答を分析した結果、約７割のケースで、両者の間で気持ちの低下具合には差があると言えるが（該当ケースはセル内の数値が赤くなっている）、不正行為経験者の方が気持ちの低下具合が小さいとまでは言えない。それ故、仮定の話という前提ではあるが、対策で差があると判定された全て、或いは多くのケースで、実際に経験者の方が未経験者より不正行為への気持ちの低下が小さいのであれば、それは「未経験者による初めての内部不正行為を防止するよりも経験者による再犯を防ぐ方が難しい」ということを示唆していると言えるのではないだろうか。 37 ここでは、「要因 X に関して、正規職員と非正規職員とでは気持ちの高まり具合に差がない」という帰無仮説を設定し、マン・ホィットニー検定（有意水準は５％）を行った。 38 図 29 で数値が赤いところは、「両者の間に差がある」と判定されたケースである。これらのケースでは、「差がある」ということは分かったが、上述のマン・ホィットニー（両側）検定結果からは、どちらの方が気持ちの高まり具合が大きいのかは分からない。 39 内情に精通している度合いを表すデータとして各回答者の勤続年数を使い、職業と勤続年数との相関比の２乗を計算したところ 0.148 と小さく、今回の調査結果では職業と勤続年数との関連は弱いという結果が出た。 40 ここでは、「対策 X に関して、正規職員と非正規職員とでは気持ちの低下具合いに差がない」という帰無仮説を設定し、マン・ホィットニー検定（有意水準は５％）を行った。ここでも、両者の間で差があるということは分かるが、どちらの方が気持ちの低下具合が大きいのかは分からない。 41 前者のグループは、調査票問 14 にて（３）、或いは（４）を選択している回答者、後者のグループは同問にて（６）、或いは（２）のみを選択した回答者が含まれる。ここでは、意図的ではなく、「うっかり」内部不正行為をしてしまったことならあるという回答者は後者のグループに含まれている。 62 動機・プレッシャー知識・経験経験あり経験なし (178人) (2658人）自分が作成した成果物（顧客情報一覧）は、自由に使ってよいと思う 2.46 顧客情報などの重要な情報を自由に 2.30 持ち出せる権限を持っている転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 2.69 2.59 社内の人事評価に不満がある 2.73 2.64 上司の仕事への取組み方や上司の人間性に不満がある 2.71 2.62 プロジェクトや業務の進め方に不満がある 2.57 2.35 業務が忙しいため、自宅で作業をする必要がある 2.69 経験あり経験なし (178人) (2658人） 2.29 給与や賞与に不満がある 2.71 2.60 退職金に不満がある 2.44 2.43 不当だと思う解雇通告を受けた 3.25 3.40 職場でいじめや脅迫を受けた 2.51 2.40 ルールを違反しても個人や企業を特定されない自信がある 2.57 2.37 顧客情報などの重要な情報を自由に持ち出せる技術的なスキルを持っている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている環境 2.54 2.47 の職員のみアクセスできるようにするパソコンやUSBメモリ等の情報端末の持込制限が厳しい 2.15 職場に管理者がいないため、見つからないルール違反に関して社内に相談窓口がない職場への入退口に警備員がいない 2.57 2.41 2.63 2.43 2.63 2.53 2.67 2.52 2.67 2.45 2.61 2.47 2.47 2.35 2.64 2.50 2.51 2.46 2.61 2.40 経験あり経験なし (178人) (2658人）システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた退職者のアカウントが削除されていない 2.44 対策経験あり経験なし (178人) (2658人）社内システムにログインするためのIDやパスワードの管理が徹底されていない 2.57 顧客情報などの重要な情報は、特定 2.88 3.17 1.89 アクセスした人が監視される顧客情報などの重要な情報に 3.08 3.34 2.37 2.29 ネットワークへの利用制限を設ける 2.87 3.06 2.04 1.91 体制を強化する管理者を増員する等、社内の監視 2.39 2.36 2.14 2.67 2.90 2.33 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する 2.76 3.05 2.25 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 2.95 3.28 1.96 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する 2.51 2.68 社外や業務時間外に仕事をしなくても済むように業務量を軽減する 2.49 2.69 社内システムにログインするための不正を行う十分な時間がある 2.41 2.24 職場で頻繁にルール違反が繰り返されている 2.70 2.56 IDやパスワードの管理を徹底する 2.83 3.15 2.37 2.31 職場に監視カメラを設置する社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい社内ルールや規則を違反した際、罰則がない 2.53 2.74 社内の重要な情報が暗号化されている 2.91 3.21 退職者のアカウントは、即日、削除 2.87 3.05 2.52 2.59 2.88 3.07 2.53 2.58 2.79 3.15 社内システムで行ったルール 3.14 3.53 これまでに同僚が行ったルール違反 2.80 3.14 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 2.94 3.25 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 2.89 3.24 2.18 1.91 2.54 2.50 されるルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 2.17 2.14 職場のパソコンや社内システムへのアクセス管理が徹底されていない 2.42 2.33 社内の重要な情報が暗号化されていない 2.38 2.28 環境があるパソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがないパソコンやUSBなどの会社備品に会社の管理シールが貼られていない職場に監視カメラがない社内への入退出時に手荷物検査がないパソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できるシステム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 2.47 2.35 2.20 1.98 違反の痕跡を消すことが難しい 2.10 1.94 が発見されたことがある 2.16 2.03 図 30 内部不正行為の経験の有無 63 (5)ISMS の実施について全データのうち、勤務先組織で ISMS が実施さていると答えた回答者と導入されていないと答えた回答者のデータを用いて、これら 2 つのグループの平均値を計算した。結果は図 3１の通りである。動機・プレッシャー知識・経験 ISMS ISMS なしあり (1448人) (327人）自分が作成した成果物（顧客情報一覧）は、自由に使ってよいと思う 2.37 2.29 転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職ができる 2.71 2.53 社内の人事評価に不満がある 2.73 2.57 上司の仕事への取組み方や上司の人間性に不満がある 2.69 2.51 プロジェクトや業務の進め方に不満がある 2.42 2.37 業務が忙しいため、自宅で作業をする必要がある 2.31 2.26 給与や賞与に不満がある 2.69 2.48 退職金に不満がある 2.48 2.30 不当だと思う解雇通告を受けた 3.51 3.18 職場でいじめや脅迫を受けた 2.48 2.31 ルールを違反しても個人や企業を特定されない自信がある 2.42 2.51 ISMS ISMS なしあり (1448人) (327人）顧客情報などの重要な情報を自由に持ち出せる権限を持っている顧客情報などの重要な情報を自由に持ち出せる技術的なスキルを持っている同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている環境・機会 2.57 2.44 2.57 2.41 2.63 2.43 2.63 2.53 2.67 2.52 2.67 2.45 2.61 2.47 2.47 2.35 2.64 2.50 2.51 2.46 2.61 2.40 対策 ISMS ISMS なしあり (1448人) (327人） ISMS ISMS なしあり (1448人) (327人）システム管理が杜撰で、顧客情報などの重要な情報を簡単に持ち出せることを知っていた 2.57 2.46 顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする 2.48 2.41 パソコンやUSBメモリ等の情報端末の持込制限が厳しい 1.91 1.94 顧客情報などの重要な情報にアクセスした人が監視される 2.46 2.41 職場に管理者がいないため、見つからない 2.35 2.27 ネットワークへの利用制限を設ける 2.49 2.41 ルール違反に関して社内に相談窓口がない 1.93 1.94 管理者を増員する等、社内の監視体制を強化する 2.62 2.50 2.60 2.42 社内システムにログインするためのIDやパスワードの管理が徹底されていない 2.41 2.30 職務上で作成・開発した成果物は、企業に帰属することを研修で周知徹底する退職者のアカウントが削除されていない 2.33 2.19 顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する 2.53 2.41 1.95 ルール違反や禁止行為に抵触しそうな事柄についての問い合わせ窓口を設置する 2.56 2.43 2.40 2.38 職場への入退口に警備員がいない 1.99 不正を行う十分な時間がある 2.28 2.27 社外や業務時間外に仕事をしなくても済むように業務量を軽減する職場で頻繁にルール違反が繰り返されている 2.65 2.49 社内システムにログインするための IDやパスワードの管理を徹底する 2.59 2.50 2.39 2.28 職場に監視カメラを設置する 2.52 2.51 1.94 2.00 社内の重要な情報が暗号化されている 2.48 2.35 2.48 退職者のアカウントは、即日、削除される 3.04 2.90 2.53 2.57 3.05 3.00 社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい社内ルールや規則を違反した際、罰則がない 2.55 ルール違反や禁止行為の内容を張り紙などで周知したり、社内教育の制度が整っていない 2.19 2.13 職場のパソコンや社内システムへのアクセス管理が徹底されていない 2.40 2.35 社内の重要な情報が暗号化されていない 2.33 2.25 上司や同僚に頻繁に相談できる環境がある 2.56 2.46 2.36 システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている 3.12 3.00 2.02 2.03 社内システムで行ったルール違反の痕跡を消すことが難しい 3.54 3.36 1.96 1.94 これまでに同僚が行ったルール違反が発見されたことがある 3.12 3.00 2.05 これまでに同僚が行ったルール違反が発覚し、処罰されたことがある 3.23 3.10 情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 3.22 3.15 パソコンやシステム内の情報の持出に関して制御をしたり、監視するシステムがないパソコンやUSBなどの会社備品に会社の管理シールが貼られていない職場に監視カメラがない社内への入退出時に手荷物検査がない 2.40 2.05 パソコンやUSBメモリなどの会社備品に会社の管理シールが貼られている CDやUSBメモリ等の外部記憶媒体への書き出しや持ち出しが制限されている図 31 勤務先組織での ISMS 実施の有無 64 動機・プレッシャー、環境・機会、知識・経験の結果を見ると、環境・機会の 5 ケース、動機・プレッシャーの 1 ケース以外では、全てのケースで、ISMS が実施されているグループの平均値の方が、実施されていないグループのものよりも小さい。しかし、これまでと同様に、このことから、ISMS 実施グループの方が、多くのケースで不正行為への気持ちの高まり具合が小さいとは結論付けられない。両グループの回答を検証すると、動機・プレッシャーでは 11 ケース中 7 ケースで両グループ間に気持ちの高まり具合に差があるという結果が出たものの、環境・機会、知識・経験では、それぞれ 1 ケースを除いた全てのケースで、両グループの間で、気持ちの高まり具合に大差がないという結果になった。対策については、「パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている」を除く全てのケースで、ISMS 未実施グループの方が、平均値が大きいという結果が出た。しかし、これまでのように両グループの回答を更に検証すると、「社内システムで行ったルール違反の痕跡を消すことが難しい」を除く全てのケースで、両グループ間で気持ちの低下具合に大差はないという結果が得られた。先程の、要因関連の箇所での「両グループの間で気持ちの高まり具合に大差がない」という結果に関してであるが、これは ISMS の実施が、そこで働いている人の不正行為への気持ちを低下させる効果があるとは現状では言えないことを示している。何故、このような結果になったのか、考えられる理由として、ISMS の運用が内部不正防止に対して実効性のあるものになっていないからである。ISMS の実効性のある運用とともに、不正行為への気持ちを抑止させる補完的な手段が必要かもしれない。本調査を分析した限り、、ISMS 未実施グループと大差がないという結果は、ISMS が多くの組織で形骸化している可能性があることを示唆している。 65 ６. まとめ本調査では、組織における内部不正行為の状況を把握するために、既存の調査・研究を参考にして、事例調査と意識調査の 2 つの調査を行った。本調査では、内部不正の対象として、既存の調査・研究の内部犯行に加えて、「うっかりミス」や「ルール違反」等についても調査対象としている。また、既存の調査・研究の定義等を参照し、内部不正に関する用語等をカスタマイズして定義した。内部不正の事例調査では、インタビュー調査と判例調査を実施した。内部不正の調査や対策に関わった者に対してインタビュー調査を実施し、未遂も含め 20 事例を収集した。また、内部不正がより深刻な犯罪に繋がりうることも想定し、今後の傾向を把握するため、補足的に判例について調査し、内部犯行 10 事例を収集した。これらの事例及び既存調査を踏まえ、内部不正に関する２つの想定モデルを定義し、犯行誘発要因を分析した。また、意識調査では、定義した内部不正に関する 2 つの想定モデルに対して、状況的犯罪予防を基に、防止や抑止として効果が期待できる対策を検討した。本調査では、 3,000 名を対象としたアンケート調査を実施し、内部不正に関する意識の変化を調査することで、インタビュー調査の結果から検討した対策を実施した場合に、内部不正への意識の低下にどの程度影響するかを確認した。さらに、110 名の経営者及びシステム管理者にも検討した対策の実施状況や導入・検討する意識を確認することで、管理する側と管理される側の意識の違いについても調査した。これらの調査結果を考察して得られた不正行為の期待される対策ポイントを示す。  社員向けアンケート調査の結果から多くの人の犯行への気持ちを低下させうることが期待できる対策は、「社内システムの操作の証拠が残ること」であった。そのため、社内システムの操作の証拠が残す対策を導入検討することが内部不正の抑止に対して重要であるとともに、対策を行なっている事実を周知すること（定期的に証拠の確認を行ったことを周知する）が内部不正の抑止対策を検討するうえで重要である。  社内システムの操作の証跡を確実に実施するためには、内部不正者を特定すること、及び内部不正の対象となる情報へのアクセスを管理する必要があり、重要情報を扱う「システムのアカウントの適切な管理」、「アクセス権限の適切な設定」なども重要であると指摘できる。  社員向けのアンケートの結果では、上記に示した技術的な対策だけではなく、「職場での円滑なコミュニケーションの推進」や「相談窓口の設置・整備等」の対策も求められていることから、規定やルールの厳守を補佐する対策も重要である。  社員向けアンケート調査と経営者及びシステム管理者向けアンケート調査の結果では、経営者及びシステム管理者が検討している対策は、「捕まるリスクを高める」対策であるが、社員が求める対策は、「犯行を難しくする」対策であり、内部不正の対策に関してミスマッチが見られた。本調査では、内部不正を防止及び抑止する対策を検討するための基礎調査として、内部不正に関わる対策を行うことで犯行への気持ちを低下させる可能性があることがわかった。ただし、対策の効果を具体的に検証するためには、本調査で検討した対策を実施し、内部不正の抑止効果を確認する必要がある点には留意が必要である。また、今後の内部不正に関わる対策を検討する際には、具体的な事例と対策について情報共有の在り方も検討が必要である。内部不正の具体的な事例や対策内容については、社内の様々な事情を鑑み、一般に公開されている情報が少ない。そのため、どのような内部不正 66 が発生し、どのように対策を実施すべきかといった、より具体的な事例情報や対策手法を社会的に共有する枠組みを整備することで内部不正の対策検討を促進することが期待できると考えられる。また、対策効果が期待でき、実効性のある対策を取りまとめ、内部不正の対策ガイドラインを示すことによって内部不正の対策効果の検証を促し、より良い対策を検討する環境を整備することも重要である。最後に本調査の実施にあたり、事例の紹介及び調査には様々な方にご協力いただいた。事案の特定を避けるため、敢えて団体名やお名前を挙げることはできないが、ここに御礼を申し上げたい。本調査の成果を生かし、組織において有効な対策が検討、実施され、内部不正の低減に繋がれば幸いである。 67 ７. 参照文献 [1] 2012 DATA BREACH INVESTIGATIONS REPORT、Verizon Business、May 2012 [2] 情報セキュリティにおける人的脅威対策に関する調査研究報告書、財団法人社会安全研究財団、平成 22 年 3 月． [3] 環境犯罪学と犯罪分析、財団法人社会安全研究財団、2010 年 8 月． [4] Comparing Insider IT Sabotage and Espionage: A Model-Based Analysis, Stephen R. Band, Dawn M. Cappelli, Lynn F. Fischer, Andrew P. Moore, Eric D. Shaw, Randall F. Trzeciak, CERT, December 2006. [5] The "Big Picture" of Insider IT Sabotage Across U.S. Critical Infrastructures, Andrew P. Moore, Dawn M. Cappelli, Randall F. Trzeciak, CERT, May 2008. [6] 2011 CYBERSECURITY WATCH SURVEY: ORGANIZATIONS NEED MORE SKILLED CYBER PROFESSIONALS TO STAY SECURE, January 2011. [7] Insider Threat Study : Illicit Cyber Activity in the Information Technology and Telecommunications Sector, Eileen Kowalski, Dawn Cappelli, USSS, CERT, January 2008. [8] Common Sense Guide to Prevention and Detection of Insider Threats, Andrew P. Moore, Dawn M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F. Trzeciak, CERT, Jan 2009. [9] A Preliminary Model of Insider Theft of Intellectual Property, Andrew P. Moore, Dawn M. Cappelli, Thomas C. Caron, Eric Shaw, Derrick Spooner, Randall F. Trzeciak, CERT, June 2011 [10] An Analysis of Technical Observations in Insider Theft of Intellectual Property Cases, Michael Hanley, Tyler Dean, Will Schroeder, Matt Houy, Randall F. Trzeciak, Joji Montelibano, CERT, February 2011. [11] Spotlight On: Insider Threat from Trusted Business Partners, Robert M. Weiland, Andrew P. Moore, Dawn M. Cappelli, Randall F. Trzeciak, Derrick Spooner, CERT, February 2010. 68 付録１：事例集（インタビュー調査） No １２３４５６概要営業職員が、シンクライアント環境において印刷を認められていない個人情報（顧客情報）の印刷を試みたために、システム管理者から注意を受けた「ルール違反の未遂」の事例。この事例は、セキュリティマネジメントは完備されているが、周知されていないことによる情報漏えい未遂の事例。地方の信用組合や信用金庫において、営業員が営業の現場で直接的に金銭を預かる場面においての着服、休眠口座などへの操作が判明した事例。この事例では、営業力のある営業員に対して、数字を優先するために、ジョブローテーションしない、及び内部統制や相互チェックが形骸化している環境で発生した事例。システム管理者が、社長宛のメールを、自身のメールアカウントに転送していた事例。この事例では、システム管理者が、社長のクライアント PC の設定を行なう立場であることを悪用した。システム管理者が、自宅に持ち帰った機密情報を、Winny がインストールされた自宅の PC から漏えいさせた事例。この事例では、このシステム管理者は機密情報を電子媒体で自宅に持ち帰っていた。また、システム管理者は非常事態に備え、会社に無断で自宅から社内システムにリモートで接続できる環境を構築していた。一般社員が、管理用のノート PC を無断で持ち出し、計 2 台を売却したと思われる事例。この事例では、管理用のノート PC5 台が山積みにされた状態で、長期間放置されている環境があった。どの社員が持ち出して売却したのか、また持ち出した社員がこの PC からどのような情報を得たのかは不明である。一般社員が、インターネット上の掲示板に、社内における不満や、機密レベルを含む社内情報を投稿していた事例。７社員が、会社の機密情報を持ち出し、売却していた事例。この事例では、社員は部下に、仕事の一環として正規の手続きを経て機密情報の入った CD を作成させていた。８ある地方公務員が、故意にセキュリティインシデントを発生させた事例。この事例の背景としては、その地方自治体では給与が減らされている一方、人員が削減されて業務が集中する中で、担当者がストレスを感じ、不可抗力的に辞めることを意図したとされている。 9 10 11 12 13 開発者が、社内システムから開発情報を自宅の FTP サーバーにアップロードし、頻繁に持ち出していることが判明した事例。この事例では、自分が作ったものは自分のものであるという認識に加え、自分がやってきたことを認めてもらいたい、保管しておきたいという感情がベースにあり、当事者は悪いと思って犯行を行なっていない。管理者権限を持つ一般社員が、換金目的で機密情報を取得し売却していた事例。この事例では、この社員には借金があり、情報を売却して得た金額に味を占め、繰り返す度に内容がエスカレートしていった。監視は行われていたが、チェックすべき担当者がチェックを怠っていたため、発覚が遅れた。社員が、自宅にあるリモート環境から会社の機密情報を取得し売却した事例。この事例では、その企業が震災以降、在宅勤務のために全社員に自宅 PC を利用したリモート環境を提供したしていたことが背景にある。システム管理者が社員利用の業務 PC について、セキュリティポリシーに則っているかを確認しようとしたところ、当該の PC を破壊したり、パスワードを失念したとしてアクセスを妨げる社員がいることが判明した事例。退職する営業社員が、利用していた業務 PC へのアクセスを妨げようとパスワードを失念したと主張する事例（故意に忘れた可能性もある）。これにはリストラされたことへの反発があると見られる。 14 社員が退職時に、開発物をまとめてダウンロードし持ち出した事例。この事例では、開発物が自身に帰属するという意識とともに、転職先の会社への「お土産」の目的があると見られる。 15 社員が、上司の使用する USB メモリを入手し、顧客情報及びプロジェクト情報を取り出してこれを掲示板にアップロードするとともに、USB メモリを元の場所に戻して、上司がプロジェクト情報を漏えいさせたことに見せかけた事例。この事例では、当該社員は上司に対する恨みから、上司のプロジェクトを頓挫させることを意図したものと見られる。 69 16 営業社員が、機密情報が保存されている PC から、故意に Winny に情報を流出させた事例。この事例は、営業社員の会社に対する恨みが動機と見られる。 17 営業社員が、リストラによって退職する際に、パスワードを無断で変更し、そのままパスワードを通知しなかった事例。この事例は、営業社員の会社に対する恨みが動機と見られる。 18 19 20 派遣社員が、顧客情報を自宅に持ち帰り、Winny がインストールされた自宅の PC から情報を流出させた事例。この事例では、派遣社員は仕事を終わらせるために、自宅で業務を行う必要があると考え、自身に与えられた権限内で USB メモリ・CD を用い、顧客情報を持ち出した。会社にはこれを監視する体制はなかった。特定部門に所属していた数名の社員が、一斉に退職する際に、新会社のスタートに利用するために、営業情報である顧客情報を持ち出した事例。この事例では、社員の権限内で USB メモリ・CD を使用し情報を持ち出した。罰則は規定されていたが、監視はなされていなかった。システム管理者が、自身が持つ管理者権限を悪用し、会社の個人情報を持ち出して、その後売却した事例。この事例では、その後の調査の結果、金銭目的であったと見られる。システム管理者に対する監視は行われていなかった。 70 付録２：事例集（判例調査） No 1 2 3 4 5 6 概要販売等を業とする企業の元取締役兼営業担当部長（Ａ）が、在職時に会社から不正な手段で営業秘密が記載された顧客名簿を取得した事例。この事例では、Ａは、退職後に入社したＣ社での活動と、退職後設立したＢ社での活動にこの顧客名簿を使用して、元の会社の顧客らに対する販売活動を行ったものである。ＡとＢ社は、元の会社に訴えられた。企業（Ｉ）の経営者らが、企業（Ｉ）が保有していた営業秘密である製造装置に関する情報を、従業員に不正に開示させて取得した事例。企業（Ｉ）の経営者らはその情報を中国のＺに開示したものである。企業（Ｉ）の経営者らは、Ｉを吸収合併して権利継承した企業に訴えられた。元従業員（Ｃ）が、会社に在職中に、会社が保有する営業秘密であるノウハウ等の情報を不正な手段により取得した事例。Ｃが代表取締役を務める会社が、不正に取得された営業秘密であることを知りながら、これをＣから取得した。ＣとＣが代表取締役を務める会社は、Ｃが在職していた会社に訴えられた。元従業員が、かつて在職していた、製造を業とする会社の製品に関する営業秘密を不正に利用して、製品を製造した事例。元従業員は、かつて在職していた会社に訴えられた。インターネットサイト（Ｘ１）の元従業員（Ｐ１及び被告Ｙ３）が、Ｘ１とその経営者（Ｘ２）から示されたり、あるいは不正に取得した営業秘密である顧客情報を、別のインターネットサイト（Ｙ１）とその従業員（Ｙ２及び被告Ｙ４）に開示し、不正開示行為又は不正取得行為があったことを知りながら、この顧客情報を用いてインターネットサイトの営業活動を行った。元従業員（Ｐ１及び被告Ｙ３）とインターネットサイト（Ｙ１）とその従業員（Ｙ２及び被告Ｙ４）は、インターネットサイト（Ｘ１）およびその経営者（Ｘ２）に訴えられた。製造販売等を目的とする会社（Ｘ社）を退社した元従業員（Ｙ３、Ｙ４）が、Ｘ社が管理する設計図面、設計ＣＡＤデータ等の営業秘密を利用して、Ｘ社と同種の製品を取扱う再就職先の会社（Ｙ１、Ｙ２）で製品を製造、販売した事例。元従業員（Ｙ３、Ｙ４）と再就職先の会社（Ｙ１、Ｙ２）は、Ｘ社に訴えられた。 7 被告が、システム開発業務をとある民間機関に委託した際、再々委託先の担当者がシステムが利用する原告の情報を不正に複製し売却した。 8 退社前に無断で製品の設計図の電子データを複製した元社員らの事例。会社は元社員らの電子データ等の使用差止め、廃棄等を請求した。 9 10 機器の販売等を目的とする会社の元社員らが、勤めていた際に、会社が保有する顧客に関する情報不正に持ち出した事例。元社員らは退職後勤めた会社における営業行為に利用した。この元社員がもと勤めていた会社は、持ち出された情報は不正競争防止法二条四項にいう営業秘密に当たるとして、この元社員と元社員が退職後に勤めた会社を相手取って、これを利用した営業活動の差止請求等を行い、認められた。販売業を業とする原告の会社から、営業秘密である顧客情報の開示を受けていたＡが、不正の利益を得るため、また原告の会社の関連会社に損害を与える目的をもって被告会社に開示し、被告会社は不正開示行為が介在していることを知りながらこの営業秘密の開示を使用した。原告の会社はＡ及び開示を受けた会社を訴えた。 71 【一般社員向け調査票】付録３：アンケート調査票 Part１．回答者プロフィールあなたご自身についてお尋ねします。問1 ★あなたの性別をお答えください。（○は１つ）（１）男性（２）女性問2 あなたの年齢をお知らせください。（○は１つ）（１）17 歳以下（２）18～19 歳（３）20～29 歳（４）30～39 歳（５）40～49 歳（６）50～59 歳（７）60～69 歳（８）70～79 歳（９）80 歳以上問3 あなたの世帯の構成は次のうちどれですか。（○は 1 つ）（１）単身世帯（２）夫婦のみの世帯（４）ひとり親と未婚の子のみの世帯（３）夫婦と未婚の子のみの世帯（５）三世代世帯（６）その他の世帯問4 あなたの世帯全体の年収をお答えください。（○は１つ）（１）200 万円未満（２）200 万円～400 万円未満（３）400 万円～600 万円未満（４）600 万円～800 万円未満（５）800 万円～1,000 万円未満問5 あなたの最終学歴をお答えください。（○は１つ）（１）大卒以上（２）高専・短大卒（３）高卒 72 （４）中卒（６）1,000 万円以上あなたのご職業、ご経験についてお尋ねします。問6 ★あなたの職業をお答えください。（○は１つ）（１）会社役員（２）会社員（正社員）（４）自営業／自由業（８）高校生（５）公務員（３）会社員（契約社員／派遣社員）（６）団体職員（９）大学生／大学院生（10）主婦（７）パート／アルバイト（11）無職（求職者/退職者を含む）（12）その他（）問7 ★あなたの勤務先の従業員数を選んでください。（○は１つ）（１）100 名未満（２）100 名以上 300 名未満（３）300 名以上 1,000 名未満（４）1,000 名以上問8 あなたの所属する企業・組織の業種（主な事業内容）として、以下のうち、もっとも近いものを１つ選んでください。（○は１つ）（１）農林業・水産業・鉱業（４）情報通信機械器具製造業（６）その他製造業（２）建設・土木・工業（５）電気機械器具製造業(上記に含まれないもの）（７）電気・ガス・熱供給・水道業（９）情報サービス業（10）その他の情報通信業（13）金融業・保険業（14）不動産業・物品賃貸業（16）宿泊業・飲食サービス業（19）医療・福祉（３）電子部品・デバイス・電子回路製造業（８）通信業（11）運輸業・郵便業（17）生活関連サービス業・娯楽業（20）複合サービス業（12）卸売業・小売業（15）学術研究・専門技術者（18）教育・学習支援業（21）その他サービス業（22）その他問9 あなたの現在の所属部門として、もっとも近いものを以下から選んでください。（○は１つ）（１）企画・広報部門（２）販売・営業部門（５）生産管理・品質管理部門（８）経理・財務部門（３）製造・生産部門（６）技術・研究開発部門（４）調達・購買部門（７）総務・人事部門（９）情報システム部門問10 ★あなたの現在の職位として、もっとも近いものを以下から選んでください。（○は１つ）（１）経営層・役員相当（５）一般社員相当（２）部長相当（３）課長相当（４）係長・主任相当（６）その他専門職・特別職等問11 あなたの現職の勤続年数を以下から選んでください。（○は１つ）（１）1 年未満（２）2～3 年未満（３）４～5 年未満（５）10～20 年未満（６）20～30 年未満（４）5～10 年未満（７）30～40 年未満 73 （8）40 年以上問12 あなたが所属する組織・企業の情報管理、個人情報の管理についての取り組み状況を教えてください。あなたが所属する組織・企業では、ISMS（Information Security Management System）*やプライバシーポリシー**を取得していますか。（○は１つ）（１）ISMS を取得している（２）プライバシーポリシーを取得している（３）ISMS とプライバシーポリシーの両方を取得している（４）ISMS とプライバシーポリシーのどちらも取得していない（５）わからない *ISMS（情報セキュリティマネジメントシステム）とは、企業や組織で情報を適切に管理する仕組みです。例えば、国際規格の ISO/IEC 17799 や ISO/IEC 27000 などがこれに該当します。 **プライバシーポリシーとは、個人情報の取り扱いの際の基準・方針です。例えば、日本工業規格のプライバシーマーク制度（JIS Q 15001）などがこれに該当します。問13 ★あなたが所属する組織・企業で、不正なルール違反による個人情報や営業機密情報の漏えい等のインシデント*に関わったことはありますか。なお、ご自身がかつて所属していた組織・企業での経験もあわせてお答えください。（○はいくつでも）（１）自分が所属する組織・企業内で発覚したルール違反を調査した経験がある。（２）自分が所属する組織・企業で発覚したルール違反の調査に協力したことがある。（３）自分が所属する組織・企業で、上司・部下・同僚がルール違反を起したことを知っている。（４）自分が所属する組織・企業の協力会社社員がルール違反を起したことを知っている。（５）組織・企業のルール違反に関する調査や対策検討をコンサルタントとして関わった経験がある。（６）自分が所属する（又は所属していた）組織・企業で発生したルール違反に関わった経験はない。 *インシデントとは、個人情報や営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能性のある事象のことを示します。問14 ★あなたは、これまでに下記のような経験をしたことがありますか。ご自身がかつて所属していた組織・企業での経験もあわせてお答えください。（○はいくつでも）（１）自分が所属する組織・企業で、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（２）自分が所属する組織・企業で、うっかり顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（３）自分が所属する組織・企業で、業務が忙しく社外で業務を遂行するために、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（４）自分が所属する組織・企業で、個人情報を売買するなど職務で知りえた情報を目的外に利用し、ルールや規則を違反した経験がある。（５）自分が所属する組織・企業で、インシデント*をともなう、何らかのルール違反を起したことがある。（６）インシデント*に関わる行為を行ったことはない。 *インシデントとは、個人情報及び営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能性のある事象のことを示します。 74 本調査は（独）情報処理推進機構の調査の一環として、企業・組織のセキュリティ対策についての人間の心理的な影響を確認することを目的としています。 Part２．内部不正行為にかかわるシナリオによる検証下記のシナリオを読んで、あなたの気持ちに最もあてはまるものをお答えください。【シナリオⅠ】情報システム企業 X 社に勤める A さんは、システム開発 2 課の主任になって 3 年になる。現在、A さんは、プロジェクトの開発を担当し、このプロジェクトを順調に進めていることを高く評価されていた。ある時、A さんは、自身の上司とシステム管理部門長に呼び出され、長時間の面談が行われた。その後、 1 週間程度、同様の面談が頻繁に行われ、後日、A さんはプロジェクトから外れ、その月に任意退社した。後日、A さんが、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載したことが発覚した。その後、システム開発 2 課を含むシステム開発系部門では、開発物に関する管理規定が見直された。問15 あなたは、A さんの「自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載する」という行為にどの程度共感できますか。あてはまるものをお答えください（○ は 1 つずつ）（１）非常にあてはまる（２）あてはまる１２３４５１２３４５（３）見つからなければ掲載しても良いと思う１２３４５（４）処罰されなければ掲載しても良いと思う１２３４５（５） A さんの行為に悪意は無いと思う１２３４５（６） A さんの行為は悪意があると思う１２３４５（７） A さんの行為は理解できない１２３４５（１）（２）自分で開発したものであれば掲載しても良いと思う持ち出したことには共感できるが、掲載には、共感できない 75 （３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい問16 A さんは、何故、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）非常にあてはまる（２）あてはまる（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５（７）給与や賞与に不満があった１２３４５（８）退職金に不満があった１２３４５（９）不当だと思う解雇通告を受けた１２３４５１２３４５１２３４５作成した開発物（ソースコード等）は、開発（１）者（自分）が自由に使ってよいと思っていた条件のいい企業から転職の誘いがあり、（２）これまでの成果（ソースコード）を公開することで、有利に転職ができると思った（３）社内の人事評価に不満があった（４）（５）（６）上司の仕事への取り組み方や上司の人間性に不満があったプロジェクトや業務の進め方に不満があった業務が忙しいため、自宅で作業する必要があった（１０）職場でのいじめや脅迫を受けていた（１１）ルールを違反しても個人や企業を特定されない自信があった 76 問17 A さんは、何故、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）非常にあてはまる（２）あてはまる１２３４５１２３４５（３）職場に管理者がいないため、見つからない１２３４５（４）ルール違反に関して社内に相談窓口がない１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５（１）システム管理が杜撰であり、成果物（ソースコード）を簡単に Web サイトに公開できる（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないいパソコンや USB メモリ等の情報端末の持込（２）制限が厳しい（情報端末への書き込み以外の方法で保存する必要がある）（５）社内システムにログインするための ID やパスワードの管理が徹底されていない退職者のアカウントが削除されていない（退（６）職者のアカウントを利用して社内システムにログインできる）（７）（８）（９）（１０）職場への入退口に警備員がいない（誰でもが職場に入ることができる）不正を行う十分な時間がある（他の従業員が帰宅した後の深夜まで仕事をしている）職場で頻繁にルール違反が繰り返されている社内ルールや規則（セキュリティポリシーを含む）が周知・徹底されていない社内ルールや規則（セキュリティポリシーを（１１）含む）が厳しく、遵守するための負担が大きい（１２）社内ルールや規制を違反した際、罰則がないルール違反や禁止行為の内容を張り紙等で（１３）周知したり、社内教育の制度が整っていない職場のパソコンや社内システムへのアクセ（１４）ス管理が徹底されていない（誰でもがパソコンや社内システムにログインできる）（１５）社内の重要な情報が暗号化されていない（社内の重要な情報を誰もが閲覧できる）パソコンやシステム内の情報の持ち出しに（１６）関して制御をしたり、監視するシステムがないパソコンや USB メモリなどの会社備品に会（１７）社の管理シールが貼られていない（私物と備品の区別がつかない）（１８）職場に監視カメラがない（１９）社内への入退出時に手荷物検査がない（社内に私物を持ち込むことができる） 77 問18 A さんは、何故、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）（２）（３）成果物（ソースコード）を自由に持ち出せる権限をもっている成果物（ソースコード）を自由に持ち出せる技術的なスキルをもっている同僚がインターネット上の Web サイトに情報を公開していることを知っている（１）非常にあてはまる（２）あてはまる（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５社内の誰にも知られずに、インターネット上（４）の Web サイトに情報を公開する方法を知っているこれまでに、インターネット上の Web サイトに（５）情報を公開しても、誰からも注意や指摘を受けなかった（６）（７）社内で、自分よりも情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった自分が社内の情報システムの管理者ではな（８）いが、情報システムへのアクセス管理を操作できる自分が社内の情報システムの管理者ではな（９）いが、不正操作した証拠を消去することができる（１０）社内の開発物や重要な情報を誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が（１１）管理されず、社員任せになっている（システム管理者が設定したパスワードが長く変更されていないことを知っている） 78 問19 A さんのように、自らが作成した開発物（ソースコード等）を一般公開されている Web サイト（掲示板等）に掲載することは違法行為です。 A さんが開発物（ソースコード等）を X 社の許可なしに一般公開することを防ぐための効果的な対策は何だと思いますか？下記の主な対策からあてはまるものをお答えください。（○は１つずつ）（１）開発物（ソースコード）は特定の職員のみアクセスできるようにする（１）大変効果的である（２）効果的である（３）（４）（５）どちらともいえな効果的ではないまったく効果的でいはない１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５開発物（ソースコード）にアクセスした人（２）が監視される（アクセスログの監視等を含む）ネットワークへの利用制限を設ける（メー（３）ルの送受信先の制限、Web メールへのアクセス制限、Web サイトの閲覧制限がある）（４）管理者を増員する等社内の監視体制を強化する職務上で作成・開発した成果物は、企業（５）に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）職務上で開発した成果物を公開した場合の罰則規定を強化するルール違反や禁止行為（職務違反や個（７）人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する（８）（９）社外や業務時間外に仕事をしなくても済むように業務量を軽減する社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する社内の重要な情報が暗号化されている（１１）（社内の重要な情報は限られた関係者しか閲覧できない）退職者のアカウントは、即日、削除され（１２）る（退職者は退職日以降に社内システムへログインできない）パソコンや USB メモリなどの会社備品に（１３）会社の管理シールが貼られている（私物との区別がつく）（１４）（１５） CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できる環境があるシステム管理権限が複数人に設定され、（１６）ルール違反の相互監視が徹底されている 79 （１７）（１８）（１９）（２０）社内システムで行ったルール違反の痕跡を消すことが難しいこれまでに、同僚が行ったルール違反が発見されたことがあるこれまでに、同僚が行ったルール違反が発覚し、処罰されたことがある情報システムの管理者以外に、情報システムへのアクセス管理を操作できない１２３４５１２３４５１２３４５１２３４５ 80 【シナリオⅡ】 B さんは、服飾系代理店である Y 社の営業系事務として、10 年以上勤務している。 B さんは人当たりが良く、Y 社の営業職員や取引先の企業からも頼りにされることが多く、それに応えることに仕事のやりがいを感じている。周囲からは、仕事ぶりに華やかさはないがコツコツと地道にやっていくタイプだと見られている。そんな中、B さんを高く評価してくれている他社から転職の誘いがあり、転職を決意した。その後、B さんが Y 社の顧客情報を持ち出したことが発覚した。問20 あなたは、B さんの「企業の許可なく顧客情報を持ち出す」という行為にどの程度共感できますか。あてはまるものをお答えください（○は１つずつ）（１）非常にあてはまる（２）あてはまる１２３４５１２３４５１２３４５１２３４５（５） B さんの行為に悪意は無いと思う１２３４５（６） B さんの行為は悪意があると思う１２３４５（７） B さんの行為は理解できない１２３４５（１）（２）（３）（４）自分が収集したものであれば、持ち出してもよいと思う顧客情報を持ち出すことも、転職先で利用することも共感できる見つからなければ、持ち出してもよいと思う処罰されなければ、持ち出してもよいと思う 81 （３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい問21 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）非常にあてはまる（２）あてはまる１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５（７）給与や賞与に不満があった１２３４５（８）退職金に不満があった１２３４５（９）不当だと思う解雇通告を受けた１２３４５１２３４５１２３４５（１）自分が作成した顧客情報の一覧は、自由に使ってよいと思っていた（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい条件のいい企業から転職の誘いがあり、（２）これまでの成果（顧客情報）を公開することで、有利に転職できると思った（３）社内の人事評価に不満があった。（４）（５）（６）上司の仕事への取り組み方や上司の人間性に不満があったプロジェクトや業務の進め方に不満があった業務が忙しいため、自宅で作業する必要があった。（１０）職場でいじめや脅迫を受けていた（１１）ルールを違反しても個人や企業を特定されない自信があった 82 問22 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）非常にあてはまる（２）あてはまる１２３４５１２３４５（３）職場に管理者がいないため、見つからない１２３４５（４）ルール違反に関して社内に相談窓口がない１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５（１）システム管理が杜撰で、顧客情報を簡単に持ち出せることを知っていた（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないいパソコンや USB メモリ等の情報端末の持込（２）制限が厳しい（情報端末への書き込み以外の方法で保存する必要がある）（５）社内システムにログインするための ID やパスワードの管理が徹底されていない退職者のアカウントが削除されていない（退（６）職者のアカウントを利用して社内システムにログインできる）（７）（８）（９）（１０）職場への入退口に警備員がいない（誰もが職場に入ることができる）不正を行う十分な時間がある（他の従業員が帰宅した後の深夜まで仕事をしている）職場で頻繁にルール違反が繰り返されている社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシーを（１１）含む）が厳しく、遵守するための負担が大きい（１２）社内ルールや規則を違反した際、罰則がないルール違反や禁止行為の内容を張り紙等で（１３）周知したり、社内教育の制度が整っていない職場のパソコンや社内システムへのアクセ（１４）ス管理が徹底されていない（誰もがパソコンや社内システムにログインできる）（１５）社内の重要な情報が暗号化されていない（社内の重要な情報を誰もが閲覧できる）パソコンやシステム内の情報の持ち出しに（１６）関して制御をしたり、監視するシステムがないパソコンや USB などの会社備品に会社の管（１７）理シールが貼られていない（私物と備品の区別がつかない）（１８）職場に監視カメラがない（１９）社内への入退出時に手荷物検査がない（社内に私物を持ち込むことができる） 83 問23 B さんは、何故、Y 社の顧客情報を持ち出したと思いますか？この行動に影響を与えたと考える要因についてあてはまるものを選んでください。（○は１つずつ）（１）（２）（３）（４）（５）（６）（７）顧客情報を自由に持ち出せる権限をもっている顧客情報を自由に持ち出せる技術的なスキルをもっている同僚が顧客情報を自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報を持ち出せる方法を知っているこれまでに、顧客情報を持ち出しても、誰からも注意や指摘を受けなかった社内で、自分よりも情報システムについて理解している人がいないかつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった（１）非常にあてはまる（２）あてはまる（３）（４）（５）どちらともいえなあまりあてはまら全くあてはまらないないい１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５自分が社内の情報システムの管理者ではな（８）いが、情報システムへのアクセス管理を操作できる自分が社内の情報システムの管理者ではな（９）いが、不正操作した証拠を消去することができる（１０）社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が（１１）管理されず、社員任せになっている（システム管理者設定したパスワードが長く変更されていないことを知っている） 84 問24 B さんのように、企業の許可なく顧客情報を持ち出すことは違法行為です。 B さんは、Y 社の許可なく顧客情報を持ち出すことを防ぐための効果的な対策は何だと思いますか？下記の主な対策からあてはまるものをお答えください。（○は１つずつ）（１）大変効果的である（２）効果的である（３）（４）（５）どちらともいえな効果的ではないまったく効果的でいはない１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５顧客情報などの重要な情報は、認めら（１）れた職員のみがアクセスできるようにする顧客情報などの重要な情報にアクセスし（２）た人が監視される（アクセスログの監視等を含む）ネットワークへの利用制限を設ける（メー（３）ルの送受信先の制限、Web メールへのアクセス制限、Web サイトの閲覧制限がある）（４）管理者を増員する等、社内の監視体制を強化する職務上で作成・開発した成果物は、企業（５）に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）顧客情報を持ち出した場合の罰則規定を強化するルール違反や禁止行為（職務違反や個（７）人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する（８）（９）社外や業務時間外に仕事をしなくても済むように業務量を軽減する社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する社内の重要な情報が暗号化されている（１１）（社内の重要な情報は限られた関係者しか閲覧できない）退職者のアカウントは、即日、削除され（１２）る（退職者は退職日以降に社内システムへログインできない）パソコンや USB メモリなどの会社備品に（１３）会社の管理シールが貼られている（私物との区別がつく）（１４）（１５） CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できる環境があるシステム管理権限が複数人に設定され、（１６）ルール違反の相互監視が徹底されている 85 （１７）（１８）（１９）（２０）社内システムで行ったルール違反の痕跡を消すことが難しいこれまでに、同僚が行ったルール違反が発見されたことがあるこれまでに同僚が行ったルール違反が発覚し、処罰されたことがある情報システムの管理者以外に、情報システムへのアクセス管理を操作できない１２３４５１２３４５１２３４５１２３４５ 86 Part３．動機・外的環境・内在的要因・対策効果による検証あなたのルール違反への意識についてお尋ねします。下記のような状況の場合、個人情報を持出して販売するなどのルール違反を犯す確率は高まると思いますか。問25 ★あなたは、下記のような状況ときに、ルールを違反したいと思う気持ちがどの程度高まると思いますか。（１）0% （高まらない）（２） 1～25%高まる（３） 26～50%高まる（４） 51～75%高まる（５） 76～100%高まる１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５（７）給与や賞与に不満がある１２３４５（８）退職金に不満がある１２３４５（９）不当だと思う解雇通告を受けた１２３４５１２３４５１２３４５（１）自分が作成した成果物（顧客情報の一覧）は、自由に使ってよいと思う条件のいい企業から転職の誘いがあ（２）り、これまでの成果（顧客情報）を公開することで、有利に転職ができる（３）社内の人事評価に不満がある（４）（５）（６）上司の仕事への取り組み方や上司の人間性に不満があるプロジェクトや業務の進め方に不満がある業務が忙しいため、自宅で作業する必要がある（１０）職場でいじめや脅迫を受けた（１１）ルールを違反しても個人や企業を特定されない自信がある 87 問26 あなたは、下記のような職場環境にいる場合に、ルールを違反したいと思う気持ちがどの程度高まると思いますか。（１）0% （高まらない）（２） 1～25%高まる（３） 26～50%高まる（４） 51～75%高まる（５） 76～100%高まる１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５システム管理が杜撰で、顧客情報など（１）の重要な情報を簡単に持ち出せることを知っていたパソコンや USB メモリ等の情報端末の（２）持込制限が厳しい（情報端末への書き込み以外の方法で保存する必要がある）（３）（４）職場に管理者がいないため、見つからないルール違反に関して社内に相談窓口がない社内システムにログインするための ID （５）やパスワードの管理が徹底されていない退職者のアカウントが削除されていな（６）い（退職者も社内システムにログインできる／退職者のアカウントを利用して社内システムにログインできる）（７）職場への入退口に警備員がいない（誰もが職場に入ることができる）不正を行う十分な時間がある（他の従（８）業員がいなくなる深夜まで仕事をしている）（９）（１０）職場で頻繁にルール違反が繰り返されている社内ルールや規則（セキュリティポリシーを含む）が徹底されていない社内ルールや規則（セキュリティポリシ（１１）ーを含む）が厳しく、遵守するための負担が大きい（１２）社内ルールや規則を違反した際、罰則がないルール違反や禁止行為の内容を張り（１３）紙等で周知したり、社内教育の制度が整っていない職場のパソコンや社内システムへのア（１４）クセス管理が徹底されていない（誰もがパソコンや社内システムにログインできる）社内の重要な情報が暗号化されてい（１５）ない（社内の重要な情報を誰もが閲覧できる）パソコンやシステム内の情報の持ち出（１６）しに関して制御をしたり、監視するシステムがない 88 パソコンや USB などの会社備品に会（１７）社の管理シールが貼られていない（私１２３４５１２３４５１２３４５物と備品の区別がつかない）（１８）職場に監視カメラがない社内への入退出時に手荷物検査がな（１９）い（社内に私物を持ち込むことができる） 89 問27 あなたは、下記のような経験・知識・スキルを持つ場合に、ルールを違反したいと思う気持ちがどの程度高まると思いますか。（１）顧客情報などの重要な情報を自由に持ち出せる権限をもっている（１）0% （高まらない）（２） 1～25%高まる（３） 26～50%高まる（４）（５） 51～75%高まる 76～100%高まる１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５顧客情報などの重要な情報を自由に（２）持ち出せる技術的なスキルをもっている同僚も顧客情報などの重要な情報を（３）自由に持ち出していることを知っている社内の誰にも知られずに、顧客情報（４）などの重要な情報を持ち出せる方法を知っているこれまでに、顧客情報などの重要な（５）情報を持ち出しても、誰からも注意や指摘を受けなかった（６）社内で、自分以上に情報システムについて理解している人がいないかつて同僚がルール違反を行ったこ（７）とが発覚したが、社内で処罰されなかった自分が情報システムの管理者ではな（８）いが、情報システムへのアクセス管理を操作できる自分が情報システムの管理者ではな（９）いが、不正操作した証拠を消去することができる社内の開発物や重要な情報に誰にも（１０）知られずに閲覧・編集する方法を知っている社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっ（１１）ている（システム管理者設定したパスワードが長く変更されていないことを知っている） 90 問28 あなたは、下記のような環境にいる場合に、ルールを違反したいと思う気持ちがどの程度低下すると思いますか。（１）顧客情報などの重要な情報は、特定の職員のみアクセスできるようにする（１）0% （低下しない）（２）1～25% 低下する（３）26～50% 低下する（４）51～75% 低下する（５）76～100% 低下する１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５顧客情報などの重要な情報にアクセ（２）スした人が監視される（アクセスログの監視等を含む）ネットワークへの利用制限を設ける（３）（メールの送受信先の制限、Web メールの制限、Web サイトや閲覧制限がある）（４）管理者を増員する等、社内の監視体制を強化する職務上で作成・開発した成果物は、（５）企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）顧客情報などの重要な情報を持ち出した場合の罰則規定を強化するルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティ（７）ポリシーを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する（８）（９）社外や業務時間外に仕事をしなくても済むように業務量を軽減する社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する社内の重要な情報が暗号化されてい（１１）る（社内の重要な情報は限られた関係者しか閲覧できない）退職者のアカウントは、即日、削除さ（１２）れる（退職者は退職日以降に社内システムへログインできない）パソコンや USB メモリなどの会社備（１３）品に会社の管理シールが貼られている（私物との区別がつく） CD や USB メモリ等の外部記憶媒体（１４）への書き出しや持ち出しが制限されている（１５）上司や同僚に頻繁に相談できる環境があるシステム管理権限が複数人に設定さ（１６）れ、ルール違反の相互監視が徹底されている 91 （１７）（１８）（１９）社内システムで行ったルール違反の痕跡を消すことが難しいこれまでに同僚が行ったルール違反が発見されたことがあるこれまでに同僚が行ったルール違反が発覚し、処罰されたことがある１２３４５１２３４５１２３４５１２３４５情報システムの管理者以外に、情報（２０）システムへのアクセス管理を操作できない 92 問29 あなたは、どのような条件が整えば不正をしたいと思う気持ちが高まると思いますか。あてはまるものを上位 5 つまでをお答えください。（１）自分が作成した成果物（顧客情報の一覧等）は、自由に使ってよいと思う（２）条件のいい企業から転職の誘いがあり、これまでの成果（顧客情報）を公開することで、有利に転職できると思う（３）社内の人事評価に不満がある（４）上司の仕事への取り組み方や上司の人間性に不満がある（５）プロジェクトや業務の進め方に不満がある（６）業務が忙しいため、自宅で作業する必要がある（７）給与や賞与に不満がある（８）退職金に不満がある（９）不当だと思う解雇通告を受けた（１０）職場でいじめや脅迫を受けていた（１１）ルールを違反しても個人や企業を特定されない自信がある（１２）システム管理が杜撰で、顧客情報を簡単に持ち出せることを知っている（１３）パソコンや USB メモリ等の情報端末の持込制限が厳しい（情報端末への書き込み以外の方法で保存する必要がある）（１４）職場に管理者がいないため、見つからない（１５）ルール違反に関して社内に相談窓口がない（１６）社内システムにログインするための ID やパスワードの管理が徹底されていない（１７）退職者のアカウントが削除されていない（退職者も社内システムにログインできる／退職者のアカウントを利用して社内システムにログインできる）（１８）職場への入退口に警備員がいない（誰もが職場に入ることができる）（１９）不正を行う十分な時間がある（２０）職場で頻繁にルール違反が繰り返されている（２１）社内ルールや規則（セキュリティポリシーを含む）が徹底されていない（２２）社内ルールや規則（セキュリティポリシーを含む）が厳しく、遵守するための負担が大きい（２３）社内ルールや規則を違反した際、罰則がない（２４）ルール違反や禁止行為の内容を張り紙等で周知したり、社内教育の制度が整っていない（２５）職場のパソコンや社内システムへのアクセス管理が徹底されていない（誰もがパソコンや社内システムにログインできる）（２６）社内の重要な情報が暗号化されていない（社内の重要な情報を誰もが閲覧できる）（２７）パソコンやシステム内の情報の持ち出しに関して制御をしたり、監視するシステムがない（２８）パソコンや USB などの会社備品に会社の管理シールが貼られていない（私物と備品の区別がつかない）（２９）職場に監視カメラがない（３０）社内への入退出時に手荷物検査がない（社内に私物を持ち込むことができる） 93 （３１）顧客情報などの重要な情報を自由に持ち出せる権限をもっている（３２）顧客情報などの重要な情報を自由に持ち出せる技術的なスキルをもっている（３３）同僚も顧客情報などの重要な情報を自由に持ち出していることを知っている（３４）社内の誰にも知られずに、顧客情報などの重要な情報を持ち出せる方法を知っている（３５）これまでに、顧客情報などの重要な情報を持ち出しても、誰からも注意や指摘を受けなかった（３６）社内で、自分以上に情報システムについて理解している人がいない（３７）かつて同僚がルール違反を行ったことが発覚したが、社内で処罰されなかった（３８）自分が情報システムの管理者ではないが、情報システムへのアクセス管理を操作できる（３９）自分が情報システムの管理者ではないが、不正操作した証拠を消去することができる（４０）社内の開発物や重要な情報に誰にも知られずに閲覧・編集する方法を知っている（４１）社員の大半のパソコンのセキュリティ設定が管理されず、社員任せになっている（システム管理者設定したパスワードが長く変更されていないことを知っている） 94 問30 あなたは、どのような条件が整えば不正を行いたいと思う気持ちが低下すると思いますか。あてはまるものを上位 5 つまでをお答えください。（１）顧客情報などの重要な情報は、認められた職員のみがアクセスできるようにする（２）顧客情報などの重要な情報にアクセスした人が監視される（アクセスログの監視等を含む）（３）ネットワークへの利用制限を設ける（メールの送受信先の制限、Web メールの制限、Web サイトや閲覧制限がある）（４）管理者を増員する等、社内の監視体制を強化する（５）職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）顧客情報などの重要な情報を持ち出した場合の罰則規定を強化する（７）ルール違反（職務違反や個人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな行為についての問い合わせ窓口を設置する（８）社外や業務時間外に仕事をしなくても済むように業務量を軽減する（９）社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する（１１）社内の重要な情報が暗号化されている（社内の重要な情報を誰もが閲覧できない）（１２）退職者のアカウントは、即日、削除される（退職者は退職日以降に社内システムへログインできない）（１３）パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている（私物との区別がつく）（１４） CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている（１５）上司や同僚に頻繁に相談できる環境がある（１６）システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている（１７）社内システムで行ったルール違反の痕跡を消すことが難しい（１８）これまでに同僚が行ったルール違反が発見されたことがある（１９）これまでに同僚が行ったルール違反が発覚し、処罰されたことがある（２０）情報システムの管理者以外に、情報システムへのアクセス管理を操作できない 95 【経営者・システム管理者向け調査票】 Part１．回答者プロフィールあなたのご職業、ご経験についてお尋ねします。問1 ★あなたの勤務先の従業員数を選んでください。（○は１つ）（１）100 名未満（２）100 名以上 300 名未満（３）300 名以上 1,000 名未満（４）1,000 名以上問2 ★あなたの所属する企業・組織の業種（主な事業内容）として、以下のうち、もっとも近いものを１つ選んでください。（○は１つ）（１）農林業・水産業・鉱業（４）情報通信機械器具製造業（６）その他製造業（２）建設・土木・工業（５）電気機械器具製造業(上記に含まれないもの）（７）電気・ガス・熱供給・水道業（９）情報サービス業（10）その他の情報通信業（13）金融業・保険業（14）不動産業・物品賃貸業（16）宿泊業・飲食サービス業（19）医療・福祉（３）電子部品・デバイス・電子回路製造業（８）通信業（11）運輸業・郵便業（17）生活関連サービス業・娯楽業（20）複合サービス業（12）卸売業・小売業（15）学術研究・専門技術者（21）その他サービス業（18）教育・学習支援業（22）その他問3 ★あなたの現在の所属部門として、もっとも近いものを以下から選んでください。（○は１つ）（１）企画・広報部門（２）販売・営業部門（５）生産管理・品質管理部門（８）経理・財務部門（３）製造・生産部門（６）技術・研究開発部門（４）調達・購買部門（７）総務・人事部門（９）情報システム部門問4 ★あなたの現在の職位として、もっとも近いものを以下から選んでください。（○は１つ）（１）経営層・役員相当長・主任相当（２）情報システム管理者（６）一般社員相当（３）部長相当（４）課長相当（５）係（７）その他専門職・特別職等問5 あなたが所属する組織・企業の情報管理、個人情報の管理についての取り組み状況を教えてください。あなたが所属する組織・企業では、ISMS（Information Security Management System）*やプライバシーポリシー**を取得していますか。（○は１つ）（１）ISMS を取得している（２）プライバシーマークを取得している（３）ISMS とプライバシーマークの両方を取得している（４）ISMS とプライバシーマークのどちらも取得していない（５）わからない *ISMS（情報セキュリティマネジメントシステム）とは、企業や組織で情報を適切に管理する仕組みです。例えば、国際規格の ISO/IEC 17799 や ISO/IEC 27000 などがこれに該当します。 **プライバシーマークとは、個人情報の取り扱いや管理する仕組みであり、日本工業規格のプライバシーマーク制度（JIS Q 15001）などがこれに該当します。 96 問6 あなたは、所属する組織・企業で、不正なルール違反による個人情報や営業機密情報の漏えい等のインシデント*に関わったことはありますか。なお、ご自身がかつて所属していた組織・企業での経験もあわせてお答えください。（○はいくつでも）（１）自分が所属する組織・企業内で発覚したルール違反を調査した経験がある。（２）自分が所属する組織・企業で発覚したルール違反の調査に協力したことがある。（３）自分が所属する組織・企業で、上司・部下・同僚がルール違反を起したことを知っている。（４）自分が所属する組織・企業の協力会社社員がルール違反を起したことを知っている。（５）組織・企業のルール違反に関する調査や対策検討をコンサルタントとして関わった経験がある。（６）自分が所属する（又は所属していた）組織・企業で発生したルール違反に関わった経験はない。 *インシデントとは、個人情報や営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能性のある事象のことを示します。問7 ★あなたは、これまでに下記のような経験をしたことがありますか。ご自身がかつて所属していた組織・企業での経験もあわせてお答えください。（○はいくつでも）（１）自分が所属する組織・企業で、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（２）自分が所属する組織・企業で、うっかり顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（３）自分が所属する組織・企業で、業務が忙しく社外で業務を遂行するために、顧客情報等の職務で知りえた情報の持ち出しを行い、ルールや規則を違反した経験がある。（４）自分が所属する組織・企業で、個人情報を売買するなど職務で知りえた情報を目的外に利用し、ルールや規則を違反した経験がある。（５）自分が所属する組織・企業で、インシデント*をともなう、何らかのルール違反を起したことがある。（６）インシデント*に関わる行為を行ったことはない。 *インシデントとは、個人情報及び営業機密情報の漏えい等、事業活動又は情報セキュリティを損ねる可能性のある事象のことを示します。 97 Part２．内部不正行為にコストと対策について問8 あなたの企業では、社員等の内部者によるインシデント等の不正行為について、どのような対策を実施していますか？下記の主な対策からあてはまるものをお答えください。（○は１つずつ）（１）（２）（３）（４）（５）（６）（７）実施している一部で実施して実施したいが費実施したいが人実施したいが法実施したいが効果が認めらいる用面の理由で材不足のため的理由で実施（３）～（５）以外れないため実実施できていな実施できていなできていないの理由で実施施していないいいできていない開発物（ソースコード）や顧客情報などの（１）重要情報は特定の職員のみアクセスで１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７きるようにする開発物（ソースコード）や顧客情報などの（２）重要情報にアクセスした人が監視される（アクセスログの監視等を含む）ネットワークへの利用制限を設ける（メー（３）ルの送受信先の制限、Web メールへのアクセス制限、Web サイトの閲覧制限がある）（４）管理者を増員する等社内の監視体制を強化する職務上で作成・開発した成果物は、企業（５）に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）職務上で開発した成果物を公開した場合の罰則規定を強化するルール違反や禁止行為（職務違反や個（７）人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する（８）（９）社外や業務時間外に仕事をしなくても済むように業務量を軽減する社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する社内の重要な情報が暗号化されている（１１）（社内の重要な情報は限られた関係者しか閲覧できない）退職者のアカウントは、即日、削除され（１２）る（退職者は退職日以降に社内システムへログインできない）パソコンや USB メモリなどの会社備品に（１３）会社の管理シールが貼られている（私物との区別がつく）（１４）（１５） CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている上司や同僚に頻繁に相談できる環境を整備する 98 システム管理権限が複数人に設定され、（１６）ルール違反の相互監視が徹底されてい１２３４５６７１２３４５６７１２３４５６７１２３４５６７１２３４５６７る（１７）（１８）（１９）（２０）社内システムで行ったルール違反の痕跡を消すことが難しいこれまでに、同僚が行ったルール違反が発見されたことがあるこれまでに、同僚が行ったルール違反が発覚し、処罰されたことがある情報システムの管理者以外に、情報システムへのアクセス管理を操作できない問9 あなたの企業では、社員等の内部者によるインシデント等の不正行為について、上記以外にどのような対策を行っていますか？（自由回答）問10 あなたの企業で、社員等の内部者によるインシデント等の不正行為について、最も効果があると思われる対策をお答えください。（自由回答）問11 あなたの企業では、社員等の内部者によるルール違反やポリシー違反が発生した場合に、どのような対策を実施していますか？また、違反した際に罰則を定めている場合は、内容をお答えください。（自由回答） 99 問12 あなたの企業では、社員等の内部者によるインシデント等の不正行為に対して、今後どのような対策を行いたいと思いますか？上記（Q８）の対策からあてはまるものをお答えください。（○はいくつでも） ※Q8 で実施していないもの(（3）、（4）と回答しているもの)のみ表示する。あてはまるものに○ （１）開発物（ソースコード）や顧客情報などの重要情報は特定の職員のみアクセスできるようにする（２）（３）開発物（ソースコード）や顧客情報などの重要情報にアクセスした人が監視される（アクセスログの監視等を含む）ネットワークへの利用制限を設ける（メールの送受信先の制限、Web メールへのアクセス制限、Web サイトの閲覧制限がある）（４）管理者を増員する等社内の監視体制を強化する（５）職務上で作成・開発した成果物は、企業に帰属すること（不正競争防止法に抵触すること）を研修で周知徹底する（６）職務上で開発した成果物を公開した場合の罰則規定を強化する（７）ルール違反や禁止行為（職務違反や個人情報管理策や情報セキュリティポリシーを含む）に抵触しそうな事柄についての問い合わせ窓口を設置する（８）社外や業務時間外に仕事をしなくても済むように業務量を軽減する（９）社内システムにログインするための ID やパスワードの管理を徹底する（１０）職場に監視カメラを設置する（１１）社内の重要な情報が暗号化されている（社内の重要な情報は限られた関係者しか閲覧できない）（１２）退職者のアカウントは、即日、削除される（退職者は退職日以降に社内システムへログインできない）（１３）パソコンや USB メモリなどの会社備品に会社の管理シールが貼られている（私物との区別がつく）（１４） CD や USB メモリ等の外部記憶媒体への書き出しや持ち出しが制限されている（１５）上司や同僚に頻繁に相談できる環境を整備する（１６）システム管理権限が複数人に設定され、ルール違反の相互監視が徹底されている（１７）社内システムで行ったルール違反の痕跡を消すことが難しい（１８）これまでに、同僚が行ったルール違反が発見されたことがある（１９）これまでに、同僚が行ったルール違反が発覚し、処罰されたことがある（２０）情報システムの管理者以外に、情報システムへのアクセス管理を操作できない問13 あなたは、社員等の内部者によるインシデント等の不正行為がどの程度発生すると思いますか？各項目について数字をお答えください。（発生する場合を 100 として直感的にお答え下さい。）（１）（２）（３）組織内で管理している個人情報の漏えい事件顧客情報の窃盗や持出しによる不正競争防止法に関する事件開発情報の窃盗や持出しによる不正競争防止法に関する事件（４）サービスやシステムの破壊等の事件（１）0% （発生しない）（２）1～25% 発生する（３）26～50% 発生する（４）51～75% 発生する（５）76～100% 発生する１２３４５１２３４５１２３４５１２３４５ 100 問14 あなたの企業で、社員等の内部者によるインシデント等の不正行為に対して、今後、どの分野の対策を強化していきたいとお考えですか？下記の中からあてはまるものをお答えください。（○は１つずつ）（１）対策を強化する（２）対策は変わらない（１）開発情報の管理１２３４５（２）顧客情報の管理１２３４５１２３４５１２３４５１２３４５（３）（４）顧客情報管理以外の個人情報漏えい対策内部不正対策の一環としての退職者向けの対策（５）上記以外の情報セキュリティ対策（３）対策を緩める（４）どちらともい（５）わからないえない問15 あなたの企業で、社員によるインシデント等の不正行為が発生した場合を想定してください。発生したインシデント等が内部（社内及び関係者間）で解決できた場合、その内容について今後の有益な対策を検討する事例として情報を公開する（関係機関への届出も含める）可能性はありますか？下記の想定される場合への対応方針で、あてはまるものをお答えください。（○は１つずつ） ※情報の公開は、プレスリリース及び所轄機関やプライバシーマーク認定機関への届出を含みます。（１）（２）（３）個人や企業名等を明記した公開の場合個人や企業などが特定できない状態での公開の場合関係者から「個人や企業名等を明記した公開」で合意を得られた場合（１）公開する（２）公開を検討する（３）公開しない（４）どちらともい（５）わからないえない１２３４５１２３４５１２３４５１２３４５１２３４５１２３４５関係者から「個人や企業などが特定（４）できない状態での公開」で合意を得られた場合公的または中立的な機関に対し、「個（５）人や企業などが特定できない状態での公開」を条件にした場合関係者から、公的または中立的な機（６）関に対し、「個人や企業などが特定できない状態での公開」を条件にした場合 101 問16 上記（Q15）で、一つ以上『公開しない』を選択した方に伺います。『公開しない』という判断に影響を与えるものとしてあてはまるものを、下記の中からお答えください。（○は１つずつ）（１）影響する（２）影響しない（３）どちらともいえない（４）わからない（１）報告をしようという考えはないから１２３４（２）社内対応で十分だから１２３４１２３４１２３４１２３４１２３４１２３４（３）（４）（５）（６）（７）警察／監督官庁等では直接的に問題解決できないから関係者との調整が困難だから情報を開示することにより、競合他社に利用されるおそれがあるから風評被害など企業のイメージダウンとなる可能性があるからその他（）問17 あなたの企業で、社員によるインシデント等の不正行為が発生した場合、届出・相談を行う可能性のある外部組織についてあてはまるものを下記の中からお答えください。（○は１つずつ）（１）届出・相談を（２）届出・相談を（３）どちらともい（４）わからない検討する検討しないえない（１）監督官庁１２３４（２）警察１２３４１２３４１２３４（５）弁護士／弁理士１２３４（６）監査人（内部監査員含む）１２３４（７）不正検査士１２３４（８）フォレンジック事業者１２３４（９）その他１２３４（３）（４） JPCERT/CC（JPCERT コーディネーションセンター）＊１ IPA（＊2 独立法人情報処理推進機構）＊1 インターネットを介して発生する侵入やサービス妨害等のコンピュータセキュリティインシデントについて、報告の受け付け、対応の支援、発生状況の把握、手口の分析、再発防止のための対策の検討や助言などを、技術的な立場から行なう機関。＊2 不正アクセスや機密情報漏洩などコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析を行う事業者。 102