内部不正とは? よくあるパターンや原因、対策を解説
企業で発生する情報漏洩の中でも、中途退職者や現職従業員による内部不正は少なくありません。内部不正はどのような原因で起こり、発生を抑制するためにはどのような対策が必要となるのでしょうか。
本記事では日本の内部不正の現状やよくあるパターン、原因のほか、内部不正防止の基本5原則、代表的な対策について解説します。
内部不正とは、企業の関係者による重要情報の持ち出し・漏洩・消失のこと
内部不正とは、中途退職者や現職従業員、業務委託先といった企業の関係者が、社内の個人情報や営業情報、技術情報などの重要な情報を持ち出したり、社外に漏洩させたり、消失させたりすることです。故意による行動でもミスでも、関係者によるものであれば内部不正となります。
内部不正が発生すると、被害者や関係企業への損害賠償、刑事罰の適用、社会的な信用の失墜などが生じるリスクがあるため、経営に多大な影響を与えかねません。
内部不正の対象となる重要な情報は、以下のように社外秘、部外秘(関係社外秘)、極秘といった区分で分類するのが一般的です。
| 種類 | 内容 |
|---|---|
| 社外秘 | 企業内部でのみ共有される情報であり、外部に公開されることを想定していない資料(例えば、営業企画書、議事録、顧客リストなど) |
| 部外秘(関係社外秘) | 特定の部署や関係者に限定して共有される情報で、組織内でも閲覧できる人が制限されているもの(例えば、経営戦略、新製品情報、人事情報など) |
| 極秘 | 企業にとって特に重要度が高く、限られた経営層や担当者のみが扱う最重要情報(例えば、未発表の研究情報やM&Aに関する情報、財務情報など) |
一方で、一般情報と呼ばれる公開可能な情報や広く共有される情報は、こうした機密情報とは区別して管理されます。企業の内部にいる関係者によって、これらの重要情報が不正に扱われる行為を総称して、内部不正と呼びます。
日本の内部不正の現状
情報処理推進機構(IPA)が選定した「情報セキュリティ10大脅威 2026」によると、企業などの組織が情報セキュリティ上で注意しなければならない脅威の第7位に、内部不正による情報漏洩が挙げられています。また、IPAの「企業における営業秘密管理に関する実態調査 2024 調査実施報告書」P.12~13によると、少なくとも1回以上「明らかに情報漏洩があった」と答えた企業は全体の23.2%で、「おそらく情報漏洩があった」という回答も含めると35.5%以上にもなるということです。
従業員規模別に見ると、「情報漏洩の可能性がある事例があった」と答えた企業は300人以下の規模で25.2%、301人以上の規模で45.8%と、企業規模が大きいほど発生確率も高いという傾向があることがわかります。
内部不正が起きた場合の影響
内部不正による情報漏洩やデータの不正持ち出しが発生すると、企業には様々な悪影響が及びます。被害は単なる情報流出にとどまらず、企業の信頼や経営にまで影響を与えかねません。
以下では、内部不正が起きた場合に企業が受ける代表的な影響について解説します。
| 項目 | 概要 |
|---|---|
| 対外的信用の低下 | 顧客や取引先からの信頼を損ない、企業ブランドや市場価値に悪影響を与える |
| 内部統制強化によるコスト増 | 再発防止のためのセキュリティ対策や教育、監査強化などの対応コストが発生する |
| 損害賠償など法的責任の追及 | 被害者からの損害賠償請求や法令違反による行政処分・罰則の可能性がある |
対外的信用の低下
内部不正による情報漏洩が発覚すると、顧客や取引先からの信頼を損なう可能性があります。企業は重要な情報を安全に管理していることが前提で取引されているため、その信頼が崩れると企業活動にも影響が出るケースもあります。
例えば、顧客情報の漏洩が発生した場合、顧客は「この企業に情報を預けて大丈夫なのか」という不安を抱きやすくなるでしょう。その結果、サービスの利用を控えたり、他社へ乗り換えたりするケースも考えられます。
また、取引先企業から契約条件の見直しを求められることや、新たな取引が成立しにくくなる可能性もあります。こうした状況が続いた場合に、企業のブランドイメージや市場価値にも悪影響が及び、売上の低下につながるリスクがある点も念頭に置いておかなければなりません。
内部統制強化によるコスト増
内部不正が発生すると、企業は再発防止のために内部統制を強化することが必要になります。その結果、新たなセキュリティ対策の導入や体制整備など、様々なコストを負担しなければなりません。
例えば、新たな情報セキュリティツールの導入やアクセス権限の見直し、ログ監視体制の整備などの技術的対策が必要になる可能性があります。また、従業員に対する情報セキュリティ教育や社内ルールの見直し、内部監査の強化なども必要になるでしょう。
これらの対策には、ツール導入費用や専門家への依頼費用だけでなく、従業員が対応業務に時間を割くことによる業務負担の増加も伴います。結果として、生産性の低下や業務の圧迫といった影響が生じることもあります。
損害賠償など法的責任の追及
内部不正によって情報漏洩が発生した場合、企業は被害者から損害賠償請求を受ける可能性があります。特に、個人情報や機密情報が流出した場合には、企業の責任が問われるケースも少なくありません。
また、情報管理が不十分であった場合には、個人情報保護法などの関連法令に基づき、行政機関からの指導や処分を受ける可能性もあります。状況によっては、罰金などの罰則が科されることも考えられます。
訴訟に発展した場合は、一般的に長期にわたる対応が必要です。訴訟費用や弁護士費用などの負担が積み重なるだけでなく、企業の経営やブランドイメージにも影響を及ぼす可能性があります。
内部不正のパターン
IPAの「企業における営業秘密管理に関する実態調査 2024 調査実施報告書」P.20によると、情報漏洩のルートは現職従業員のルール不徹底による漏洩が32.6%、現職従業員による金銭目的などの具体的な動機を持った漏洩が31.5%、現職従業員の誤操作・誤認などによる漏洩が25.4%となっており、上位2~4位までが内部不正によって引き起こされています。中途退職者や現職従業員などが行う内部不正のパターンとしては、下記の3つが代表的です。
| 項目 | 概要 |
|---|---|
| 退職後のアカウント情報の悪用による情報漏洩 | 退職後も従業員のアカウント情報を削除していなかったことから、不正侵入を許してしまうケースがある |
| アクセス権限の悪用による情報漏洩 | 業務上許されたアクセス権限を不正に使用し、社外への売却などの不正な目的で情報にアクセスして持ち出す |
| 現職従業員などの操作ミスやルールの不徹底 | クラウドサービスでの情報公開範囲の設定ミスや、メールの誤送信などによって第三者に情報が漏れる |
退職後のアカウント情報の悪用による情報漏洩
中途退職者による内部不正は、在籍時のアカウントの不正利用によって引き起こされます。退職後も従業員のアカウント情報を削除していなかったことから、不正侵入を許してしまうパターンは少なくありません。
アクセス権限の悪用による情報漏洩
現職従業員、委託先従業員などの関係者が業務上許されたアクセス権限を不正に使用して、情報を持ち出すのは内部不正の代表的なパターンです。社外への売却などの不正な目的で情報にアクセスし、USBメモリやクラウドストレージへの転送、印刷といった方法で情報を持ち出します。
現職従業員などの操作ミスやルールの不徹底
現職従業員の意図していない操作ミスや、情報漏洩を防ぐためのルールの不徹底によって内部不正が発生することもあります。クラウドサービスでの情報公開範囲の設定ミスや、メールの誤送信などによって第三者に情報が漏れてしまうケースなどが典型例です。
内部不正の事例
内部不正は様々な企業で実際に発生しており、その多くで顧客情報や営業情報、技術情報などの重要データが持ち出されています。退職や転職のタイミングで情報が持ち出されるケースも少なくありません。
以下では、実際に公表された内部不正の事例を紹介します。
| 項目 | 概要 |
|---|---|
| 元従業員が顧客や従業員の個人情報を社外に漏洩させた事例 | 旅行事業を展開する企業で営業担当として勤務していた元従業員が、顧客である宿泊施設255施設の担当者481名分の個人情報を持ち出し、退職後の営業活動において利用した |
| 元従業員が同業他社へ転職する際に不動産登記簿の情報を持ち出した事例 | 不動産会社の元従業員が、不動産登記簿に記載されている所有者2万5,406人分の氏名、住所、マンション名、部屋番号などの情報を持ち出し、転職先企業での営業活動に悪用した |
| 電機メーカーのパートナー企業の元従業員が技術情報を漏洩させた事例 | 電機メーカーの提携先企業に勤務していた元従業員が、研究データを不正に持ち出し、転職先企業でその研究データを基に製造されたとみられる製品が販売された |
元従業員が顧客や従業員の個人情報を社外に漏洩させた事例
旅行事業を展開する企業で、元従業員による個人情報の持ち出しが発覚した事例があります。この元従業員は営業担当として勤務していましたが、2024年3月末に退職する直前に、顧客や従業員の個人情報が記載された社内資料を社外へ持ち出していました。
漏洩した情報は、顧客である宿泊施設255施設の担当者481名分の個人情報です。2025年4月に情報提供があり、企業が社内調査を実施した結果、2025年6月にこの事実が判明しました。
調査の結果、元従業員は退職後の営業活動においてこの情報を利用していたことが確認されています。ただし、ダイレクトメール送付以外の二次的な個人情報の漏洩や悪用は確認されていないとされています。
元従業員が同業他社へ転職する際に不動産登記簿の情報を持ち出した事例
2024年8月には、不動産会社の元従業員が不動産登記簿の情報を不正に持ち出していたことが公表されました。漏洩した情報は、不動産登記簿に記載されている所有者2万5,406人分の氏名、住所、マンション名、部屋番号などです。
元従業員は同業他社へ転職する際にこの情報を持ち出し、転職先企業でダイレクトメールを送付するなどの営業活動に悪用されていたとされています。なお、ダイレクトメール送付以外の二次被害は確認されていないと報告されています。
電機メーカーのパートナー企業の元従業員が技術情報を漏洩させた事例
電機メーカーの提携先企業に勤務していた元従業員が、研究データを不正に持ち出した事例もあります。この元従業員は2008年7月頃に、競合企業へ転職する際に研究開発に関する技術データを持ち出しました。
持ち出されたデータは転職先の企業内で共有され、その研究データを基に製造されたとみられる製品が販売されていたとされています。
この問題を受けて、電機メーカーは製品の製造・販売の差し止めを求める民事訴訟を提起しました。最終的には和解に至りましたが、元従業員は不正競争防止法違反で逮捕され、有罪判決を受けています。
内部不正が起きやすくなる要因
内部不正は、心理面・環境面の要因が揃っていると発生しやすくなります。その要因は、下記のように人的要因と技術的要因に分類できます。
人的要因
内部不正の人的要因とは、情報漏洩のきっかけとなる、企業関係者の心理的な要因のことです。
「動機」「機会」「正当化」の3要素があり、これらすべての要素が揃うと、内部不正が発生しやすくなると考えられています。
動機
動機とは、内部不正を働きたくなるような誘因のことです。金銭的な動機もあれば、「業務多忙や待遇への不満から、企業に損害を与えたい」という動機などもあります。
機会
機会とは、内部不正を働ける状況が整ってしまっていることです。重要情報の管理者が1人しかいない場合や、監視体制や情報管理体制が不十分である場合は、この機会という要素が揃ってしまっています。
正当化
正当化とは、内部不正を働いてしまうのも仕方ない、と思ってしまう心理状態のことです。「企業側が私を不当に扱ったのだから、内部不正を働いて多少企業に損害を与えてもいいだろう」「この程度の情報漏洩なら大きな問題にはならないはずだ」などと考えられるような状態だと、内部不正が起こりやすくなります。
技術的要因
技術的要因とは、内部不正を防ぐためのシステムが適切に構築できていないことです。アカウント情報の管理が不十分で退職者の不正アクセスが可能な状態になっているケースや、機密情報へのアクセス制限が不十分なケースなどが該当します。操作ログの追跡ができないような場合も、内部不正が発生しても原因を調査できない状態になってしまっているため、それが従業員などに知られてしまえば内部不正を招く要因になりかねません。
内部不正防止の基本5原則
IPAが公表している「組織における内部不正防止ガイドライン」P.124以下では、内部不正防止の基本5原則が提示されています。
下記の5つの原則を意識して、内部不正を防げる社内体制を整えることが必要です。
- 内部不正防止の基本5原則
-
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠す・排除する、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
現状の社内体制で上記の5原則に対応できているか、見直すことをお勧めします。重要なのは、情報の持ち出しなどを防ぐための管理・監視体制などを作るだけでなく、犯行につながる動機の発生を防ぐための環境整備や、情報の扱い方に関する基本方針を策定し周知することによって、心理的に犯罪を行いにくくする必要もあるということ点です。
内部不正の代表的な対策
企業が内部不正を防ぐためにできることは、多種多様です。多くの企業で有効な、代表的な対策としては、下記の3点が挙げられます。
| 項目 | 概要 |
|---|---|
| アクセス権限の管理 | 従業員ごとにアクセスできる情報の範囲を変えることで、業務に不必要な情報にはアクセスできないようにして、退職者のアクセス権限は速やかに削除する |
| 情報の持ち出しにつながる行為の監視・制御 | 重要情報へのアクセスを監視して、印刷や記録媒体へのコピーといった不正な操作が行われようとしている場合にその操作を制限したり、アクセスログを追跡したりできるようなシステムを導入する |
| 情報管理のルール策定・従業員教育 | ルールを策定した上で、すべての従業員への周知を徹底し、定期的にセキュリティ教育を実施し、内部不正を正当化できないような状況を整える |
アクセス権限の管理
内部不正を防ぐために重要になるのが、企業の重要な情報にアクセスできる人物を制限するという対策です。従業員ごとにアクセスできる情報の範囲を変えて、業務に不必要な情報にはアクセスできないようにします。退職者のアクセス権限の設定も、速やかに削除しなければなりません。多要素認証などを導入して、権限外の情報へのアクセス難度を高める方法も有効です。
また、入退室制限などを設けて、物理的に情報にアクセスできないようにすることも効果的です。さらに、保管している不要なデータや記憶媒体を破棄することも、内部からの不正アクセス対策になります。
- 併せて読みたい
情報の持ち出しにつながる行為の監視・制御
重要情報へのアクセスを監視して、情報の持ち出しにつながる行為を監視・制御することも重要です。印刷や記録媒体へのコピーといった不正な操作が行われようとしている場合にその操作を制限したり、アクセスログを追跡したりできるようなシステムを導入することで、情報の持ち出しに即座に対処できるようになります。
重要情報の保管場所を集中させ、その保管場所への入退室記録を管理することや、重要情報が保存された端末の持ち出し記録を管理することも効果的な対策です。不用意な情報の持ち出しができないように、状況に応じて制限をかけましょう。
情報管理のルール策定・従業員教育
社内でセキュリティ対策に関する方針やルールが定められておらず、従業員への教育が不十分なことも、内部不正のリスクを高めてしまいます。ルールを策定した上で、すべての従業員への周知を徹底し、定期的にセキュリティ教育を実施し、内部不正を正当化できないような状況を整えてください。情報の取り扱い手順自体に関するルールももちろん重要ですが、例えば、紛失の危険性を考慮して重要情報の持ち運びは飲酒の予定がない場合に限定するなど、リスクが高まる場面を想定したルール作りが必要になります。
また、内部不正は業務の忙しさや評価・処遇への不満によって起こるケースもあるため、労働環境の改善も重要です。従業員が内部不正を働きたくなるような心理状態にさせないためにも、公正な人事評価を実現し、円滑なコミュニケーションができる環境を整備してください。動機や正当化といった、内部不正の人的要因をできるだけ排除するような対策が重要です。
- 併せて読みたい
内部不正は、ログの監視やアクセス制限で防ごう
内部不正を防止するためには、ログの監視やアクセス制限を実施して、不正やミスが起きにくくなる環境を整えなければなりません。ログ監視やアクセス制限が不十分だと感じる場合は、情報漏洩への適切な対策ができるツールを活用するのがお勧めです。
インターコムの情報漏洩対策ツール「MaLion」シリーズは、セキュリティポリシー(パソコンの操作制御ルール)設定やポリシー違反者への警告通知、外部デバイスの監視・制御、送受信メール監視、ファイルアクセス監視・制限といった内部不正対策を強化できる様々な機能を搭載しています。内部不正対策を強化したいとお考えの場合は、ぜひ「MaLion」シリーズの導入をご検討ください。
