個人データを、ビジネスを守る、IIJ

【論説】情報漏洩時の有事対応シリーズ④:内部不正対応時のお作法


個人情報漏洩・紛失事故が増加傾向あり

「悪意ある者が脆弱性を突く不正が存在する限り、完全な予防対策は存在しない」のが現実であり、情報漏洩の不正については、①内部不正、②外部からの不正(例:ハッキング、スパイウェア、サイバー攻撃)、③内部関係者と外部の者によるものが存在しています。

東京商工リサーチが2021年1月15日に公開した「上場企業の個人情報漏洩・紛失事故」調査(2020年)でも、2012年以降で、2020年の調査結果が社数と事故件数について最多となりました。最近では、転職元の営業秘密流出事案も複数報道されています。今回は情報漏洩の原因の一つである「内部不正」に特化して、実務上の対応ポイントを説明します。

内部不正への先進的な取り組み

社内外にハレーションも引き起こしかねないため、実現可能性は社内事情によって異なりますが、先進的な取り組み(例)には以下のようなものがあります:

  • AIや機械学習等のビッグデータ解析による異常点の自動検出を行うリモート・モニタリングの実施
    1. 異常点検出後、事実(信憑性)確認のため、現地でのオンサイト調査を実施
    2. 秘匿性を確保するために、大義名分を臨機応変に変更し覆面・ダミー調査を実施(例:職場環境アンケート調査、ランダムな社員意識調査)
  • 「常時見られている」という社員への意識付け、ショック療法としての効果を期待して、抜打ちコンプライアンス調査・監査の不定期実施(参考:不正発見目的のため、内部監査等とは目的や手法が異なる)
  • 社内リニエンシー制度の導入による内部・外部通報の実効性向上
  • 「不正とは徹底的に戦う」、「隠しても不正は必ず見つかる」というメッセージを社内に周知徹底させるために、迅速・適切な事後対応の実施、関与者に対するペナルティーの公表(参考:名前の公表はなし)、改善策の実施・進捗状況の公表
  • 法務部や内部監査部とは別に、独立性を維持したコンプライアンス・モニタリング部やコンプライアンス統括部を設置して、第三者性を確保した専属のモニタリング・監査体制の構築

逆にNG対応は、「なんちゃって調査」といった拙速で不適切な対応により、ネガティブ・メッセージを社内外に与えてしまい、内部不正の①機会、②動機・プレッシャー、③正当化の助長や、二次・三次被害を誘因することになります。過去の教訓から、厳格な経営トップの姿勢(Tone at the top)は、内部不正抑止の根幹であり、健全な組織風土醸成の肝となっています。

内部不正対応時の最大の障害とは?

内部不正対応時の一番の障害は、「隠す」という行為です。発覚前、発覚後、会社側の内部不正対応中、「隠される」タイミングは事案によって様々ですが、「隠される」リスクを可能な限り極小化することが、初期対応成否のカギになります。

「内部不正かもしれない」、「A部署やBさん達の関与が疑われる」という状況下において、社内での初期対応は先ず短期集中・秘密厳守・密行調査である必要があります。それは証拠隠蔽・偽装工作のリスクを下げるという目的もありますし、通常業務への悪影響、「A部署やBさん達」が実は関与していなかった場合のハレーション・リスクの低減、ギスギスした職場環境・人間関係の回避といった目的もあります。これらの対応に失敗した場合、以下のような事態に陥ることがあります:

  •  社内に疑心暗鬼・相互不信・悪い噂が生まれる
  • 社内で犯人探しが始まる
  • 調査対象者から協力を得ることが難しくなる(例:同意書等の取得が困難)

このため初期対応時の情報共有は、特定の少数メンバーに限定し、必要最小限の情報共有に留めておく必要があります。一部の会社では、調査対象が特定部署であることを分からせないように、あえて関係の無い他部署も意図的に含めて、隠されないための工夫をしています。迅速・適切な初期対応の重要性については、「情報漏洩時の有事対応シリーズ①:初動って何するの?」でも説明しているのでそちらもご参照下さい。

続きは有料会員様にご覧いただけます

ログイン 有料会員登録情報を見る

関連記事