LASSIC Media らしくメディア

2026.07.03 らしくコラム

内部不正・情報漏えい対策の要点

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

内部不正・情報漏えい対策のイメージ

この記事のポイント

  • 内部不正・情報漏えいは外部攻撃と並ぶ経営リスクであり、退職者・誤操作・ルール不徹底など経路が複数存在します。
  • IPAの内部不正防止ガイドラインは、方針・資産管理・技術的管理・職場環境・事後対策という複数の観点から対策を整理しています。
  • アクセス権限の管理やログ監視は専門知識と継続運用が欠かせず、外部パートナーの活用が現実的な選択肢になります。

内部不正・情報漏えいが経営リスクになる理由

アクセス管理・ログ監視のイメージ

内部不正・情報漏えい対策とは、従業員や委託先など組織の内部関係者による情報の不正な持ち出しや、意図しない誤操作による漏えいを防ぐための管理・技術・体制づくり全般を指します。IPA(情報処理推進機構)は「情報セキュリティ10大脅威 2026」の組織編で「内部不正による情報漏えい等」を上位項目のひとつに挙げており*1、外部からのサイバー攻撃と並ぶ脅威として位置づけています。

図

内部不正防止対策を進める5つの観点

情報漏えいというと外部からの攻撃を思い浮かべがちですが、実際には組織内部の関係者が起点となるケースが少なくありません。退職予定者による顧客データの持ち出しや、従業員の誤操作によるメール誤送信など、経路はさまざまです。

内部不正による情報漏えいが表面化すると、取引先からの信用低下や損害賠償、行政対応など、事業経営に直結する影響が生じます。IPAも内部不正防止ガイドラインの中で、経営者に向けてこのリスクの重さを強調しています*2。役員会や経営会議で内部不正対策を議題化していない企業ほど、対応が後手に回りやすいのではないでしょうか。

中途採用や委託契約の広がりで組織に関わる人材が流動化する中、内部不正対策は情報システム部門だけの課題ではなく、人事・法務・経営を含めた全社的な取り組みとして捉える必要があります。

漏えいの経路 — 退職者・誤操作・ルール不徹底・不正行為

内部不正・情報漏えいの経路は一様ではなく、退職者による持ち出し、現職従業員の誤操作、社内ルールの不徹底、意図的な不正行為など複数のパターンに分かれます。それぞれ原因も対策の重点も異なるため、まず経路ごとの特徴を押さえることが出発点になります。

経路1:退職者・異動者による情報の持ち出し

退職や異動が決まった従業員が、在職中の権限を使って顧客リストや技術情報を私物端末やクラウドストレージへ複製する事例が知られています。IPAの内部不正防止ガイドラインは、雇用の流動化による退職者増加がもたらすリスクを踏まえ、人的管理の対策を強化する形で改訂されています*2。ID・アカウントの棚卸しと退職時の即時無効化が対策の起点になります。

経路2:現職従業員の誤操作・設定ミス

メールの宛先間違い、クラウドサービスの公開設定ミス、私用端末への無断保存など、悪意のない誤操作による漏えいも一定数を占めます。ヒューマンエラーをすべてなくすのは難しいため、誤操作が起きても被害が広がらない仕組みを組み合わせる発想が欠かせません。

経路3:社内ルールの不徹底・形骸化

アクセス権限のルールや持ち出し禁止規定が存在していても、現場で守られていなければ実効性を持ちません。規定はあるが運用が伴わない状態は、内部不正が発生した際に「対策を怠っていた」と評価されるリスクにもつながります。

経路4:金銭目的・報復目的の意図的な不正行為

待遇への不満や金銭的な動機から、意図的に情報を持ち出し外部に売却・提供する行為も存在します。件数としては多くありませんが、発覚時の被害規模が大きくなりやすく、経営への影響も深刻になりがちです。

これら4つの経路は互いに独立しているわけではなく、ルールの不徹底が誤操作を誘発したり、退職前の不満が意図的な不正行為に発展したりと連鎖することがあります。経路ごとに個別対応するのではなく、組織全体のリスクとして横断的に捉える視点が欠かせません。

IPAガイドラインが示す対策の考え方

IPAは「組織における内部不正防止ガイドライン」第5版(2022年4月改訂)で、基本方針・資産管理・技術的管理・職場環境・事後対策など10の観点から合計33項目の対策を示しています*2。個別の技術対策だけでなく、組織全体の枠組みとして内部不正対策を設計する考え方が特徴です。

第5版では、テレワークの広がりに伴う組織外での情報取扱いリスクへの対策や、退職者増加を踏まえた人的管理の強化、経営者向けメッセージの追記など、近年の働き方の変化を反映した改訂が加えられています*2。在宅勤務やリモートアクセスを前提にした運用設計が求められる場面が増えているといえるでしょう。

ガイドラインが示す観点は、技術部門だけで完結させず、人事・法務・経営層を含めた横断的な体制で運用することを前提としています。次章以降では、この考え方を技術的対策と人的・組織的対策に分けて具体的に見ていきます。

技術的対策 — 権限管理・ログ監視・持ち出し制御

技術的対策の中心は、権限を必要最小限にとどめる最小権限の原則と、操作の記録・追跡を可能にするログ管理です。この2つを軸に、持ち出し制御やテレワーク対応を組み合わせて設計します。

アクセス権限の最小化とID棚卸し

業務上必要な範囲だけにアクセス権限を絞る最小権限の考え方は、内部不正対策の基本です。加えて、退職・異動時にIDやアクセス権限を即時に削除・変更する運用を徹底しないと、使われないアカウントが不正利用の入口になりかねません。定期的なID棚卸しを仕組み化することが重要な取り組みになります。

アクセスログの取得と監視

誰が・いつ・どの情報にアクセスしたかを記録するアクセスログは、不正の抑止と発覚後の原因究明の両方に役立ちます。ログを取得するだけでなく、異常なアクセスパターンを検知して担当者に通知する仕組みまで含めて設計する必要があります。

データの持ち出し制御・DLP

USBメモリへの書き出し制限、私用クラウドサービスへのアップロード禁止、印刷制御といった持ち出し制御に加え、機密情報の外部送信を検知・阻止するDLP(Data Loss Prevention、情報漏えい防止の仕組み)の導入も選択肢になります。持ち出し経路を技術的に塞ぐことで、ルール違反そのものを起こりにくくします。

テレワーク環境の情報管理

在宅勤務やリモートアクセスが定着する中、社外での機密情報の取扱いは新たなリスク要因になっています。VPN経由のアクセス制御、私物端末の業務利用制限、画面キャプチャの禁止など、テレワーク特有のルールと技術対策をセットで整備することが求められます。

自宅やコワーキングスペースなど社外の通信環境は、社内ネットワークに比べて監視の目が届きにくいという課題があります。端末の紛失・盗難対策や画面のぞき見防止も含め、オフィス勤務とは異なる観点でのリスク管理を組み込む必要があるでしょう。

人的・組織的対策 — 教育・抑止・相談窓口

人的リスク管理・体制づくりのイメージ

技術的対策だけでは内部不正を防ぎきれません。従業員の意識に働きかける人的・組織的な対策を組み合わせることで、初めて実効性のある体制になります。

セキュリティ教育と意識づけ

入社時研修や定期的な社内教育を通じて、情報の取扱いルールと違反時の影響を周知します。ルールを知らないまま違反するケースを減らすことが、教育の一次的な目的です。

不正の抑止につながる職場環境づくり

不満やストレスを抱えた従業員が不正行為に及ぶリスクを下げるには、日頃のコミュニケーションや評価の公平性など、職場環境そのものへの配慮も欠かせません。IPAのガイドラインでも職場環境は対策の主要な観点のひとつに位置づけられています*2

内部通報・相談窓口の整備

不正の兆候に気づいた従業員が気兼ねなく相談できる窓口を設けることは、早期発見につながります。窓口の存在を周知し、相談者が不利益を受けない運用を明確にすることが、実効性を左右する条件になります。

コンプライアンス体制との連携

内部不正対策は情報セキュリティの枠にとどまらず、就業規則・雇用契約・秘密保持契約といったコンプライアンス施策とも密接に関わります。人事・法務部門と連携し、規定と運用を整合させる必要があります。

運用の外部活用で人的リスクに備える視点

アクセス権限管理・ログ監視・持ち出し制御を自社だけで継続的に運用するには、複数の専門領域を横断する知識と、日々の監視業務にあたる人員が必要です。ID棚卸しのルール設計、ログ分析ツールの選定・チューニング、異常検知後の初動対応など、担当者が兼務で対応するには負荷が大きくなりがちです。

内製で体制を維持する場合、ID管理・ログ監視・インシデント対応にそれぞれ専門知識を持つ人材を継続的に確保する必要があります。特権ID管理(PAM、Privileged Access Management)のようなツールを導入しても、運用ルールの設計と日常監視を怠れば十分な効果を得られません。

アクセス権限管理やログ監視の運用を外部パートナーに委託すると、自社で一から体制を構築するのに比べて、既存の監視ノウハウやオペレーション体制をすぐに活用できる利点があります。委託範囲を運用監視に絞ることで、社内の担当者は方針策定や委託先管理に専念しやすくなるはずです。

LASSICのようにシステムの受託開発・運用保守を担う事業者では、アクセス管理やログ監視を含む運用業務を継続的に受託してきた知見を蓄積しやすい面があります。内部不正対策を検討する際は、運用面の一部を外部委託し、社内は方針・体制づくりに集中する選択肢も体制設計に組み込んでおくとよいのではないでしょうか。

まとめ:内部不正・情報漏えい対策を進める3つの判断軸

本稿では、内部不正・情報漏えい対策を経営視点で整理しました。要点を3つに集約すると次の通りです。第一に、内部不正による情報漏えいは外部攻撃と並ぶ経営リスクであり、退職者・誤操作・ルール不徹底・意図的な不正行為など経路は複数存在します。第二に、IPAの内部不正防止ガイドラインは方針・資産管理・技術的管理・職場環境・事後対策という複数の観点から対策を体系的に示しています。第三に、権限管理やログ監視の運用は専門性と継続対応が求められるため、外部パートナーの活用を体制設計に組み込むことが現実的な進め方になります。

LASSICに相談するメリット

LASSICは元請としてシステムの受託開発・運用保守を担う立場から、アクセス権限管理やログ監視を含む運用体制づくりに知見を持っています。内部不正・情報漏えい対策の体制設計や、運用監視の外部活用について、貴社の状況に合わせて相談を承ります。まずはお気軽にご相談ください。

よくある質問

内部不正対策はどこから着手すればよいですか。

まずアクセス権限とIDの棚卸しから着手するとよいでしょう。誰がどの情報にアクセスできる状態かを可視化しないと、最小権限化やログ監視の設計が進みません。棚卸しの後にIPAガイドラインの10観点*2に沿って方針・技術・職場環境の対策を順に整理する進め方が現実的です。

退職者による情報持ち出しはどう防げますか。

退職・異動が決まった時点でアクセス権限を即時に見直し、業務移管が完了次第IDを速やかに無効化する運用が基本になります。あわせてアクセスログを取得しておけば、退職前後の不審な操作を後から確認できます。誓約書の取り交わしなど人事面の対応と組み合わせることも有効です。

中小規模の組織でも本格的な対策は必要ですか。

組織規模にかかわらず、内部関係者が情報にアクセスできる以上リスクは存在します。大規模なシステム投資が難しい場合でも、権限の最小化や退職時のID削除など運用面の見直しから始められる対策は多くあります。優先順位を付けて段階的に取り組む方針が現実的です。

テレワーク環境特有の注意点はありますか。

社外への情報持ち出しや私物端末の業務利用が増えるため、VPN経由のアクセス制御や画面キャプチャの制限といった対策が重要になります。IPAのガイドラインもテレワークの広がりに伴うリスクを踏まえて改訂されており*2、在宅勤務を前提にしたルール整備が求められます。

運用監視を外部委託すると社内に知見が残りませんか。

委託範囲と社内保持すべき判断業務を切り分けて設計すれば、この懸念は軽減できます。日常のログ監視や異常検知の一次対応は外部委託し、方針決定や委託先管理のノウハウは社内に残すという役割分担が一般的な考え方です。委託先との報告・連携方法を事前にすり合わせておくとよいでしょう。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:IPA(情報処理推進機構)「情報セキュリティ10大脅威 2026」https://www.ipa.go.jp/security/10threats/
  2. *2 出典:IPA(情報処理推進機構)「組織における内部不正防止ガイドライン」第5版(2022年4月改訂)https://www.ipa.go.jp/security/guide/insider.html


View