悩ましい「内部不正」、“うっかり”が理由の6割のワケ

ブロードバンドセキュリティ

2016年3月3日（木） 12時49分

　ここ数年、組織内部の情報が漏えいしてしまう「インシデント」に関する報道が増えている。昨年5月には、ウイルス感染により日本年金機構から、125万件の個人情報が漏えいした事件が大きな注目を浴びたが、それ以外でも、ざっと、このような事件・事故があった。

2015年5月：東京商工会議所：標的型メールによりウイルス感染。1万件以上の個人情報が漏えい
2015年6月：全国健康保険協会：サイバー攻撃被害。不審な通信が確認される（漏えいは未確認）
2015年9月：キングレコード：一斉配信で「ももいろクローバーZ」のライブ当選者のメアド934件が流出
2015年11月：三菱東京UFJ銀行：出会い系サイト利用者の電話番号約1万4千件が漏えい
2016年1月：セキュリティ企業：不正アクセスにより情報を盗まれ、犯人からさらに恐喝される

　これ以外に、2015年11月には、大阪・堺市の職員が有権者データを不正に持ち出し、68万人分を流出させるという事件も発生した。

　こうした状況に対し、IPA（独立行政法人情報処理推進機構）は、「内部不正による情報セキュリティインシデント実態調査」を実施、その結果を3日に公開した。

　それによると、内部不正経験者があげた理由の6割が「うっかり」だったという。「うっかり違反した」が40.5％、「ルールを知らずに違反した」が17.5％で、あくまで故意ではないという。一方、残る4割は「故意」ということになるが、「業務が忙しく、終わらせるために持ち出す必要があった」16.0％、「処遇や待遇に不満があった」11.0％という内訳で、明確に組織へのダメージなどを狙った悪質なケースは約1割だった。

　対策状況をみると、従業員規模が300名未満の企業の過半数が、「方針やルールはない」と回答している。こうした状況認識の甘さが、「うっかり」6割の理由になっているといえる。しかしその結果が、重大なインシデントにつながる可能性もあるため、組織の管理者がルールや規則を明確にし、内部に対して教育を行い、徹底させることが重要と考えられる。

《冨岡晶》