【衝撃】｢内部不正｣による情報漏洩はサイバー攻撃の10倍以上多い！｢手土産転職｣で情報を持ち込まれた企業が有罪になった事例も…どう防ぐ？

プルーフポイントの調査「2024 Voice of the CISO」によると、73%のCISO(最高情報セキュリティ責任者)が退職者が情報漏洩に関わっていたと回答しています。そのため、退職時にすべてのデータを削除するよう書面によって誓約させたり、転職してきた中途採用者が前職のデータを持ち込んだ際に賠償責任に問うことを注意喚起したりする企業も増えてきています。

「グレーゾーンで注意喚起できるか」で企業の運命が変わる

いずれの内部不正や内部脅威のニュースを見てみても、悪意を持って行うケースは比較的少なく、過失や不注意に基づくもの、勘違いに基づくものが多いことに気づきます。

保険会社における不正の事件を見てみると、昔は当たり前に行っていた商習慣をそのまま引きずったまま、古いコンプライアンスレベルでそれを変革せずに行動を変えなかったために、不正という形で顕在化しているケースが多いように見受けられます。

数字目標を達成するようにとの圧力が強い場合は、本来持つべきパーパスや価値観、倫理観などを後回しにしてしまい、その結果、不正に結びついていることも多いようです。

明確なルールがあれば、人はそれに従います。しかしグレーゾーンでは迷いや誤った判断をしやすく、それが不正の引き金になります。グレーゾーンにおいて適切にタイムリーに注意喚起をすることによって、判断軸が明確になり、不正防止につながるのではないでしょうか。

内部脅威の3タイプとリスク

Ponemonが発表した「2025 Cost of Insider Threat Report」では、1組織あたり内部脅威によってかかるコストは年間約25億円（約1740万米ドル、1ドル145円で計算）であることがわかっています。

これには内部脅威に対応するためのモニタリング、調査、エスカレーション、インシデントレスポンス、封じ込め、事後分析、修復にかかるコストのほか、知的財産などのデータ窃取による損失、業務停止の影響、株価低下なども含まれます。

画像を拡大
画像：筆者提供

内部不正・内部脅威は大きく分けて、3つの形態があり、それぞれに異なるアプローチが必要です。

1. 不注意・過失による情報漏洩

最も多いのがこのタイプです。例えば、誤って社外にメールを送信したり、ファイル共有サービスの設定ミスで重要データが外部に公開されてしまったりといったケースです。また許されていると勘違いで情報を持って出たというような例があるでしょう。これら過失や不注意による情報漏洩は、内部脅威の55%を占めています。

⇒こういった過失による情報漏洩には、行動を起こそうとしているまさにそのときに、リアルタイムに注意喚起を行うことでグレーゾーンにおける判断軸を明確にすることが対策として考えられます。