★☆★JNSAメールマガジン 第44号 2014.9.19.☆★☆

こんにちは
JNSAメールマガジン 第44号 をお届けします。

内部犯行による個人情報の漏えい事件が起こっていますが、JNSA内では数年前に「組織で働く人間が引き起こす不正・事故対応WG」が発足し、活動を行っています。内部不正をいかに防ぐかは企業にとっても大きな課題となりつつあります。
そこで、今回のリレーコラムでは「内部不正の原因の可能性と対策に関する雑考」というテーマで、JNSAのWGメンバーでもある大日本印刷株式会社 野津 秀穂様による連載コラムをお送りします。
本日は、原因編・対策編・組織文化編の3回連載の1回目です。

【連載リレーコラム(1):テーマ「内部不正」】
「内部不正の原因の可能性と対策に関する雑考(1)原因編」
(組織で働く人間が引き起こす不正・事故対応WG/大日本印刷株式会社 野津 秀穂)

1.はじめに

内部不正については、その実態が発表される事例が少なく、また、報道に至った事例でも真相の考察に十分な情報を得られるとは限らない。このような限られた情報の中で、世の中のいくつかの事例から内部不正の原因について考察を試みる。犯人及び関係者へのインタビューを行ったわけではないので、本考察は筆者の主観的想像に基づくことは否めない。しかしながら、現代の内部不正の一形式として、新たな示唆を与え、効果的対策の提言を目的とする。

2.検討対象とする事例

本稿では、以下の2パターンを事例として考える。

(1)換金目的による情報資産の不正持ち出し

具体的には、過去に発生した複数の「個人情報の不正持ち出し」事件を事例とする。

(2)愉快目的による未公開情報のSNSへの投稿

雑誌発売前に漫画原作がネット流出などに代表される事件であり、広く職場での悪ふざけによる行動の投稿も同類として考察する。

それぞれ企業にとっては深刻な被害を与えるものであり、全く異なる事件に見える二つの事例から、共通の原因を探る。

3.原因の考察を進めるにあたり基準とした考え方
〜「不正のトライアングル」理論 〜

本稿では犯罪理論から「不正のトライアングル」理論[1]に基づき原因考察のアプローチを行う。

「不正のトライアングル」では、内部不正原因を3つの要因によると提案している。

●犯行に至る動機/プレッシャー ●犯行を行いやすい機会 ●犯行を自己正当化する事由

この3つの要因を取り除くと内部不正抑制に繋がる。

3.1 犯行に至る動機/プレッシャー

人間は何に基づいて働き、喜び、能率を上げ、進んで改善するかという原動力の一つとして経営学では「動機づけ(モチベーション)」を捉える。マイナスの原動力として犯罪学では、動機/プレッシャーを犯罪に至る一つの要因として捉える。

しかしながら、事例として取り上げた事件では、「(積極的な)動機がなかった」と考えることは、できないだろうか。「金が欲しかった」という動機は、必ずしも「金が必要だった」という切羽詰まった状況を示唆しない。一般社会人が仕事に就く目的の一つとして「(生活資金)金が欲しい」がある。この程度の動機だけで直接犯罪に結びつくことは理性で押さえ得る。しかし「手の届くところに自由な金があった」という状況が加わると気持ちが揺らぐことも推察できる。万人が「渇しても盗泉の水は飲まず(孔子)」という倫理感を維持できるとは限らない。

愉快目的のSNSへの投稿でも、本人はインターネットを通じて世界中に発信したいとまで深く考えていない。興味のある情報を、あたかも友達につぶやく程度の気持ちでSNSに投稿し、会社の評判・信用に大きな被害を与える。「こんなことになるとは思ってもいませんでした。」という発言から、結果を想定した動機は持っていないことがうかがい知れる。

ただし「動機があったか」については犯罪審判の重要要素でもあるので、「動機の存在」について本稿は、否定するものではない。

3.2 犯罪を行いやすい機会

先に述べたように「手の届くところに自由な金があった」あるいは「充電目的でスマートフォンをパソコンに接続したらデータもダウンロードできてしまった」という機会は存在していた。この場合、積極的に機会を探す「動機」はなく、意図せず、偶然に機会へ遭遇したという程度のものである可能性もある。未公開情報の投稿も世界中に情報発信できる機器(SNS)を身に付けている。この意味で機会は確かにあった。

3.3 犯行を自己正当化する事由

このように「動機」が希薄(軽薄)で、目の前に「機会」があったので犯行に至った場合、はたして「罪の意識」をどの程度感じていただろうか。 

「罪の意識」を持たない犯人は、事前に「自己を正当化」する必要・悩みがない。

犯人が特定できた際に「これは悪いことだと教育を受けていなかったのか?」とまず問いただす。「教育は受けていました。」と答えると「では、なぜやった?」と犯罪意識の確定を求める質問を行う。そこで返ってくる言葉は、「こんなことになるとは思ってもいませんでした。」あるいは「自分には、当てはまらないと思っていました。」と言う気の抜けたものであることもある。教育により得た知識と自分の行動が必ずしも結びついてない(当事者意識の欠如)。

○参考資料
[1]JNSAPRESS VOL.33「セキュリティ実現の原典から見た内部要因自己抑制手法」
   セコム株式会社IS研究所 甘利康文、新井真司、内田順一 2012年3月
   http://www.jnsa.org/jnsapress/vol33/3_kikou.pdf

#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★セキュリティ被害調査WG/理解度チェックWG/組織で働く人間が引き起こす不正・事故対応WG による合同セミナーを開催します。
<WG合同セミナー>
「セキュリティ、次の一手は 如何に打つ 〜企業内外の脅威と対策を考える〜」
・日時: 2014年10月7日(火)14時〜17時
・場所: 秋葉原UDX 6階 UDX Conference Room E
    http://www.udx-c.jp/access.html
・料金: 1,000円

 当日は会場内に「個別相談コーナー」を設置して、WG有志からなる情報セキュリティの専門家がご相談にお答えします!
 プログラム・お申込みは↓こちら↓をご覧ください。
 http://www.jnsa.org/seminar/2014/1007/
★会場変更のお知らせ:経営課題検討WG主催勉強会
お申込み多数のため、広い会場に変更して開催します。
   「情報セキュリティ企業向け、経済産業省 優遇助成措置等 説明会」
  日時:2014年9月24日(水) 17:30〜19:00
  場所:TKP虎ノ門ビジネスセンター カンファレンスルーム3B
    (東京都港区虎ノ門1-19-9 虎ノ門TBLビルディング3F)
http://tkptora.net/access.shtml

 経済産業省情報セキュリティ政策室室長さまをお招きして、同省の優遇助成(税務・融資・プロジェクト参画等)の政策措置についてお話しいただきます。
 お申込みはJNSA事務局 までお願いします。
【事務局からの連絡、お知らせ】
★「SECCON長野大会」(9月27日〜28日開催)
 「女性向けCTFワークショップ:第2回 CTF for GIRLS」(10月17日開催)
 本日夕方に申込受付を開始します。奮ってご参加ください。
 http://2014.seccon.jp/

★登録情報にご変更がある方がいらっしゃいましたら、事務局までご一報をお願いいたします。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
jnsa-mail

*************************************
JNSAメールマガジン 第44号 
発信日:2014年9月19日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.