【内部不正による情報漏えい】
不正のトライアングルとは?
概要から事例、対策をわかりやすく解説
不正のトライアングルをご存じでしょうか。
不正のトライアングルとは人が不正行為に走るメカニズムを説明した理論で、3つの条件がそろったときに不正が行われるとされています。不正行為は企業にとって大きな脅威です。本記事では不正のトライアングルの概要から影響度、被害、事例、対策をわかりやすく紹介します。
目次
- 不正のトライアングルと三要素
- 不正のトライアングルで発生する影響
- 不正のトライアングルによる被害
- 不正のトライアングルによる社内不正の事例
- 不正のトライアングルにおける情報漏えいの9つの対策
- 不正のトライアングルとEメール管理 内部不正の実例から考える防止策
- まとめ
不正のトライアングルと三要素
不正のトライアングルとは、アメリカの犯罪学者であるドナルド・R・クレッシーが提唱した、人が不正行為に手を染める際の要因を説明するモデルです。
3つの要因がそろったときに、不正行為が発生するリスクが非常に高まるとされています。
情報処理推進機構(IPA)の情報セキュリティ10大脅威 2025によると、【内部不正による情報漏えい等】は4位という高い脅威とされています。
内部不正による情報漏えいは、企業に経済的損失、信用の失墜、法的責任などの影響を及ぼす大きな脅威です。
ここでは不正のリスクとなる三要素について解説します。
動機
動機とは不正行為の出発点とされる重要な要素で、不正行為を行うための理由や背景にあるプレッシャーなどを指します。
動機の主な例は以下の通りです。
- 借金、生活苦、ギャンブル依存など、金銭的な問題
- 過度なノルマ、成果主義によるプレッシャー
- 業務上の失敗や損失の隠蔽
- 会社や上司への不満、人間関係のトラブルなど、個人的な不満やストレス
- 承認欲求、自己顕示欲、ステータスへの渇望など、個人的な欲望
- 周囲の人間が不正を行っているのを見て、「自分もいいだろう」という心情
- 社会的な不公平感や不平等感から、不正を働くことで「仕返しをしたい」という心情
このように、金銭的な動機から個人的な動機まで、動機は人によってさまざまであり、複合的な要因が絡み合っていることもあります。
また、内面的な問題であることが多いため、外部から検知することは困難な点が特徴です。
機会
機会とは不正行為を実行できる環境や状況を指し、不正行為を実際に行動に移させてしまう要因です。不正行為を働くための物理的・システム的な隙ともいえるでしょう。
機会の主な例は以下の通りです。
| 機会の種類 | 内容 |
|---|---|
| 内部統制の不備 | チェック体制の不備 |
| 承認プロセスの形骸化 | |
| 職務範囲が不明確で、誰が何を担当しているのか曖昧 | |
| 不正行為が発覚しても、軽い処分で済まされる、または処分されない | |
| 社内に不正行為を容認するような雰囲気がある | |
| 監視体制の欠如 | 防犯カメラやログの取得などの監視設備が設置されていない |
| 監視が行き届いていない、または機能していない | |
| 情報システムの脆弱性 | パスワード管理が甘く、推測が容易であったり使い回したりしている |
| アクセス制限が適切に設定されておらず、誰でも重要な情報にアクセスできる |
機会に関しては適切なチェックや監査を行えば、「見つかる」という心理が働くため内部不正は発生しにくいと考えられています。「機会」への対策は、不正のトライアングルの中で最も対応しやすいといえるでしょう。
これらの「機会」をできる限り排除し、不正行為を実行しにくい環境を整備することが、不正防止の重要な対策となります。
正当化
正当化とは、不正行為を自分自身に納得させるための、都合の良い解釈や言い訳を指します。不正行為を「悪いことではない」と思い込もうとする心理的なメカニズムともいえるでしょう。
正当化の主な例は以下の通りです。
| 正当化の理由 | 内容 |
|---|---|
| 会社のため | 「会社のためなら仕方がない」「みんなやっていることだ」など、組織の利益のためであると主張する |
| 自分は悪くない | 「会社が悪い」「上司が悪い」「自分は被害者だ」など、責任転嫁や被害者意識を持つ |
| 誰も傷つかない | 「少しくらいならわからない」「誰も損をしない」など、不正行為の影響を軽視する |
| 例外 | 「今回は特別」「今回だけは許される」など、例外的な状況であると主張する |
「正当化」は不正行為への心理的なハードルを下げてしまう要因です。
人は、たとえ不正な行為だと認識していても、何らかの理由をつけて正当化することで、罪悪感や抵抗感を軽減し、不正行為を実行に移すおそれがあります。
企業としては倫理教育の徹底、不正行為に対する厳格な処分を行い、正当化を抑制することが重要です。
不正のトライアングルとEメール管理 内部不正の実例から考える防止策
「不正のトライアングル」と「Eメールのリスク」について併せて解説します。
情報漏えいの脅威に備える 実例と対策から学ぶDLP活用
人的ミスによる情報漏えい事例と、DLPを活用した具体的な対策をご紹介します。
不正のトライアングルで発生する影響
不正のトライアングルが揃ってしまうと、企業や組織にさまざまな悪影響が生じます。
ここでは代表的な影響として「情報漏えい」「品質不正」「粉飾決算」の3つについて、それぞれの概要と具体的な影響について解説します。
情報漏えい
情報漏えいとは、企業や組織が保有する機密情報が外部に漏れることです。金銭的な動機や個人的な動機から内部の情報を収集し、機密情報を外部へ持ち出します。
例えば、多額の借金を抱えており金銭的補填を目的として内部情報を販売したり、日々のサービス残業により不満をため込み、困らせる目的で情報を漏えいしたりします。
一度流出した情報を回収することはほぼ不可能です。
さらに流出した情報をもとに不正アクセス、特殊詐欺といった二次被害を誘発するおそれがあります。
企業は情報漏えいの被害者であると同時に、二次被害者にとっての加害者にもなり得るため、情報漏えいは企業にとって非常に大きなリスクといえるでしょう。
品質不正
品質不正とは、製品やサービスの品質に関して、偽装、隠蔽、虚偽の報告などを行うことを指します。
納期、コスト、品質を達成しなければならないという業務上のプレッシャーから以下のような不正に発展するのです。
- 基準を満たしているかのように検査データを改ざんする。
- 安価な材料を高品質な材料を使用していると偽装する。
- コスト削減のために必要な検査工程を省略する。
- 製品の性能や効果について、虚偽の表示を行う。
これらの改ざんは、いつしか常態的になり繰り返されるケースが多い点が特徴です。
品質不正は顧客や社会の安全・安心を脅かす行為であり、企業の信頼を大きく損なうおそれがあります。
企業にとって深刻な事態に発展する大きなリスクといえるでしょう。
粉飾決算
粉飾決算とは、企業の財務状況を実際よりもよく見せるために、意図的に会計処理を操作することを指します。
個人的な利益をもたらすものではなく、会社の業績をよく見せないと借り入れができず、倒産してしまうから、仕方がないこととして不正に手を染めるケースが後を絶ちません。
例えば、以下のような粉飾決算が挙げられます。
- 実際には存在しない売上を計上し、利益を水増しする。
- 当期に計上すべき費用を、翌期以降に先送りする。
- 実際よりも多くの在庫があるように見せかけ、資産を水増しする。
- 将来発生する可能性のある損失に備えて計上する引当金を、過少に計上する。
このように、粉飾決算は企業の経営状態を偽る重大な不正行為であり、発覚した場合には企業の存続に関わる深刻な事態に発展するおそれがあります。
粉飾決算は、企業の信用失墜、株価下落、上場廃止、法的責任の追及などに発展する大きなリスクといえるでしょう。
不正のトライアングルによる被害
不正のトライアングルによって発生する被害は、金銭的なものにとどまらず、法的、組織的な影響など多岐にわたります。
ここでは、不正のトライアングルによる被害を見ていきましょう。
金銭的被害
不正行為によって発生する金銭的影響は、企業の経営を揺るがす深刻な問題に発展するおそれがあります。直接的な損害賠償、改修費用だけでなく、間接的な機会損失、株価への影響など、長期にわたって企業に経済的な負担を強いることになるためです。
主な金銭的影響は以下の通りになります。
| 種類 | 内容 |
|---|---|
| 直接的損失 | 損害を受けた顧客や取引先に対する賠償金 |
| 実態を調査するための費用 | |
| 漏えいしたシステムの改修費用 | |
| 間接的損失 | 新規事業の展開が遅れたり、取引が中止になったりする機会の損失 |
| 訴訟が発生した場合の弁護士費用や訴訟費用 | |
| 信頼の失墜による株価の下落 |
不正行為による金銭的影響は企業にとって非常に大きな負担となり、時には事業継続が困難になるほどの大きな被害を与えるのです。
法的影響
不正行為は、金銭的な影響だけでなく、法的にも重大な影響を及ぼします。刑事責任、民事責任を問われ、罰金、懲役などの刑罰が科せられるおそれがあるためです。また、行政処分によって業務停止命令、課徴金が課せられることもあります。
具体的には、以下のような影響が考えられます。
| 影響 | 内容 |
|---|---|
| 法的制裁 | 詐欺罪、横領罪、背任罪など、不正行為の内容に応じて刑事責任を問われる |
| 不正行為によって損害を受けた者から、損害賠償請求を受ける | |
| 行政処分 | 監督官庁から業務停止命令を受ける |
| 金融商品取引法違反など、特定の法律に違反した場合の課徴金が課される |
このように、不正行為による法的影響は社会的ペナルティとなり、企業にとって非常に大きなリスクとなるのです。
組織的影響
不正行為は、金銭的、法的な影響だけでなく組織内部にも深刻な影響を及ぼし、組織の基盤を揺るがすさまざまな問題を引き起こします。
具体的には、以下のような影響が考えられます。
- 従業員のモチベーション低下による生産性の低下
- 不信感を抱いた優秀な人材の流出
- 不正行為に関する悪い噂による風評被害、ブランドイメージ低下
- 取引先からの信用失墜による取引停止
このように、不正行為による組織的影響は企業の長期的な成長を阻害する深刻な問題となるのです。
不正のトライアングルによる社内不正の事例
不正のトライアングルによる社内不正が発生し、大きな影響となった事例を紹介します。
住民情報の漏えい事例
ある地方公共団体で発生した、住民情報漏えいの事例です。
職員が業務上知り得る住民情報を電子メールを利用して自宅パソコンに持ち出していました。内部不正は数年にも及び、数万人分の住民情報を不正に漏えいしています。
これにより、地方公共団体の信用を大きく失墜させることとなりました。市民からの通報により事件が発覚しており、適切な監査が行われておらず内部不正を検知できなかった例といえるでしょう。
機密情報の漏えい事例
企業の機密情報である営業情報を漏えいさせた事例です。
企業の営業情報を閲覧できる権限を持った社員が、情報を不正に入手し転職先企業に漏えいしました。「これぐらいいいだろう」という正当化により、内部不正を行ったと供述しています。
不正競争防止法違反の罪に問われ、有罪判決が下るとともに、転職先企業も多額の賠償金が課せられる結果になりました。
適切な情報資産の保護が行われていれば防止できた事件であり、相手企業にまで影響が及んだ事例といえるでしょう。
不正のトライアングルにおける情報漏えいの9つの対策
不正のトライアングルにおける情報漏えいの対策として、「動機」「機会」「正当化」の3つの要素をそろえないようにすることが重要です。
情報処理推進機構(IPA)では、不正が起きないように「組織における内部不正防止ガイドライン」を制定し、時代に合った改訂を行っています。
出典:情報処理推進機構(IPA) 組織における内部不正防止ガイドライン
ここでは不正のトライアングルにおける情報漏えいの対策を解説します。
内部不正防止の基本原則
内部不正を防止するための、基本原則は以下の5つです。
- 犯行を難しくする(やりにくくする)
- 捕まるリスクを高める(やると見つかる)
- 犯行の見返りを減らす(割に合わない)
- 犯行の誘因を減らす(その気にさせない)
- 犯罪の弁明をさせない(言い訳させない)
これらの原則に基づいた対策を講じることが、情報漏えいを防ぐための第1歩となります。
内部不正対策の体制構築
内部不正対策の体制構築は、情報漏えいを防ぐための組織的な取り組みの基礎となります。組織全体で情報セキュリティに取り組む体制の整備は、企業が一丸となって不正に立ち向かうために重要です。また、不正のトライアングルには「動機」のような個人の内面に関わる部分が少なくありません。
情報部門だけではなく人事部門、総務部門といった、全社横断的な体制づくりが必要です。体制を構築し全社に周知することで、内部不正に毅然と対応する姿勢を明確にしましょう。
資産の把握、格付け
対策の優先順位を決定するために、資産の把握と格付けは必要不可欠です。
格付けが明確でない場合、保護する必要のある重要情報が識別できずに漏えいするケースが少なくありません。まずは、情報資産がどこに格納されているか、どの程度の重要度かを明確にしましょう。
アクセス権の設定
情報資産を格付けした後は、適切なアクセス権の設定が必要です。
アクセス権が不適切な場合、取り扱う必要のない人員がアクセス可能となり、より多くの重要情報が漏えいの危険にさらされます。
主な対策は以下の通りになります。
- 必要最小限のアクセス権
- 異動や退職の速やかな反映
- 管理者を複数に分散
- 複数の管理者が互いの作業をチェック
管理者が1人の場合、監査が行き届かず不正に気付かないケースが少なくありません。必ずログ、記録を複数名で確認し、問題ないかを検証しましょう。
利用者の識別と認証
情報システムでは利用者、および管理者には個別のIDを割り当てる必要があります。これは複数のIDを共有していた場合、内部不正者の特定が困難になるためです。
特定が困難になることがわかれば、「不正の機会」を与える環境になりかねません。
また、利用者、管理者の認証にパスワードを利用していた場合、パスワードが盗まれると内部不正者の特定が困難になります。認証はパスワードだけではなく多要素認証、パスキーなどのセキュリティの高い認証を利用することが望ましいでしょう。
その他、リモートワークの普及から外部から社内への不正アクセスの可能性もあります。
あらかじめ承認されたデバイス証明書がインストールされたパソコンからのアクセスのみ許可する方法も有効です。
詳しくは以下のリンクをご参照ください。
情報機器及び記録媒体の資産管理及び物理的な保護
パソコン、USBといった情報を格納できる資産は、資産の管理と物理的な保護が重要になります。内部不正による情報漏えいは、社内パソコン、USBの持ち出しによるケースが少なくありません。
そのため、パソコンはセキュリティワイヤーで固定し、USB、DVDなどの媒体は利用できない設定とする方法が望ましいでしょう。仮に媒体を利用する場合は、承認されたもののみ一時的に許可し、操作ログの確認を確実に行いましょう。
内部不正モニタリング
内部不正をモニタリングする仕組みの導入が有効です。ログは収集しているだけでは意味を成しません。情報システムのアクセスログは定期的に監査し、内部不正が行われていないかをチェックする必要があります。
また、定期的な監査を実施していることを従業員に伝え、監査結果も共有する方法が有効です。不正のチェックをしているということがわかれば、内部不正を思いとどまる効果が期待できます。
ログのチェックは権限の大きい管理者も同様です。定期的にチェックしましょう。
ネットワーク利用のための安全管理
近年はクラウドサービスの利用が当たり前になっており、安全管理が必要です。
SNS、オンラインストレージへのアクセスができる場合、機密情報が外部へアップロードされるといった情報漏えいのおそれが生じます。
許可したクラウドサービスのみ利用を許可したり、自社などの特定の拠点からのみサービスが利用できるように許可したりする制限が有効です。
教育による内部不正対策の周知徹底
内部不正対策の教育と周知徹底は重要です。
従業員へ内部不正対策の教育を行うのはもちろん、管理する者に内部不正対策に関する方針、取扱いを教育しなければ適切な管理ができません。
情報システムを運用するのは人です。人への教育は内部不正を防ぐ上で、必要不可欠な対策といえるでしょう。
不正のトライアングルとEメール管理 内部不正の実例から考える防止策
上述したように不正のトライアングルによる内部不正は企業にとって大きなリスクとなります。
USB、DVD、HDDといった媒体はシステムにより利用を禁止できますが、Eメールに関しては業務上利用するケースが多いため規制が困難です。
そのため、Eメールへの対策は非常に重要です。HENNGE Oneであれば幅広いメールセキュリティ機能を提供します。
以下より詳しい資料がダウンロードできますのでぜひご活用ください。
不正のトライアングルとEメール管理 内部不正の実例から考える防止策のダウンロードページへ
まとめ
不正のトライアングルとは、企業にとって大きな脅威となる内部不正を引き起こす原因となります。一度、内部不正が行われれば企業活動ができなくなるほどの大きなダメージとなる場合もあるでしょう。
HENNGE OneのDLP Editionに、メールを中心に包括的に組織に散財するデータの意図せぬ 情報漏えいを防止するサービスがあります。 Microsoft 365やGoogle Workspaceなどのクラウドメールに対して、メール誤送信対策、メール監査機能、PPAP対策など、クラウドメールの標準サービスでは対応できない幅広いメー ルセキュリティ機能を提供しています。
またクラウドストレージに対しては、ファイル共有のステータスを可視化し、設定した条件で危 険度や共有リスクの検出をすることができます。 クラウドメールやストレージ活用に伴う情報漏えいリスクから企業や従業員を守るのに最適なソリューションです。
気になる方はぜひお気軽にご相談ください。