中小企業におけるセキュリティ脅威への対策強化　～内部不正による情報漏えい等の被害から対策を学ぶ～

独立行政法人 情報処理推進機構（IPA）が毎年発行している「情報セキュリティ10大脅威2025」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。

今回は4位に挙げられている「内部不正による情報漏えい等の被害」を深掘りします。

従業員や元従業員等の組織関係者による機密情報の持ち出しや、社内情報の削除等の不正行為が発生しています。

また、組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケースもあります。

組織関係者による不正行為は、組織の社会的信用の失墜や、損害賠償や業務停滞等による経済的損失を招きます。

また、不正に取得された情報を使用した組織や個人も責任を問われる場合があります。この脅威がどのように業務に影響を与えるのか、対策はどうすべきなのかを解説します。

引用元：IPA　情報セキュリティ10大脅威 2025解説書

１．内部不正による情報漏えい等の被害による脅威

悪意を持った組織関係者が、金銭受領、転職先での悪用、組織への私怨等を動機として、組織が保有する技術情報や顧客情報等の重要情報の持ち出しや第三者への提供、不特定多数が閲覧できる場所への公開、情報の削除や改ざん等の不正行為を行うことがあります。

また、自宅等の社外で作業するために組織の情報管理の規則を守らず情報を外部へ持ち出し、情報漏えいするケースもあります。

不正に取り扱われた情報の重要性や被害規模によっては、組織の社会的信用の失墜や、顧客等への損害賠償、損失補填、復旧作業等による経済的損失が発生し、組織の競争力の大幅な低下につながります。

その結果、組織経営の根幹を揺るがすおそれがあります。

また、自組織に持ち込まれた情報が不正に取得されたものであることを知りつつ使用した場合、刑事罰の対象になることもあります。

２．主な攻撃手口

以下に代表的な内部不正による情報漏えい手口を紹介します。

（１）アクセス権限の悪用

付与された権限を悪用し、組織の重要情報を窃取したり不正に操作を行うケースです。

必要以上に高いアクセス権限が付与されている場合、より重要度の高い情報が狙われ、被害が大きくなるおそれがあります。

また、複数人で端末を共用している場合、他人のアカウントで不正アクセスされるリスクも生じます。

（２）在職中に割り当てられたアカウントの悪用（離職後のアカウント利用）

離職者が在職中に使用していたアカウントが削除されていない場合、それを使用して組織の情報に不正にアクセスを続ける事が出来てしまいます。

これにより重要情報を容易に持ち出す事が可能となります。

（３）内部情報の不正な持ち出し（物理的な持ち出し）

組織の情報を、USBメモリーやHDD等の外部記憶媒体、メール、クラウドストレージ、スマホカメラ、紙媒体等を利用し、外部に不正に持ち出すケース。こうした行為は予防措置の欠如によって、発見が遅れる事が多々あります。

３．内部不正による情報漏えいの具体的な事例

【事例１：顧客情報を転職先に持ち出し、営業活動に使用】

2024年 8 月、不動産業T社は同業他社に転職した元従業員の個人情報の不正持ち出しを発表しました。不動産登記簿に記載されていた氏名、マンション名、部屋番号等、2万5,406件がもちだされ、転職先で DM（ダイレクトメール）送付に利用されていました。同社は刑事告訴を視野に管轄警察署に相談を行ったということです。
参照元：IPA　情報セキュリティ10大脅威 2025 解説書

この事例は、「２．主な攻撃手口」の「（３）内部情報の不正な持ち出し」の具体的な内容になります。

【事例２：委託先企業が仕入先情報を不正ダウンロード】

2024 年 2 月、機械メーカーD社は委託先作業者が私用で仕入先情報をダウンロードし、漏えいの可能性があると公表した。システム開発案件での再委託先による事案で、約 2 万 2,000 件の担当者氏名、連絡先、振込先情報が含まれていたとのことです。
参照元：IPA　情報セキュリティ10大脅威 2025 解説書

この事例は、「２．主な攻撃手口」の「（１）アクセス権限の悪用」の具体的な内容になります。

委託先への情報提供範囲は必要最小限にとどめることが重要です。また、委託先へ提供するデータの暗号化、アクセスログの取得・監視といった対策も有効です。

４．内部不正による情報漏えい等への対策

本対策は主に「システム管理者の観点」で説明していきます。

システム管理者の対応と対処

◇被害の予防

・基本方針の策定

「不正のトライアングル」を意識して基本方針を策定し、情報取扱ポリシーの作成、内部不正者に対する懲戒処分等を規定した就業規則等や、委託先との契約内容を整備します *1。

なお、組織内での対策推進は、経営層の積極的な関与が不可欠です。

内部不正対策の責任は経営者にあり、最高責任者である経営者が総括責任者の任命並びに管理体制および実施策の承認を行い、組織横断的な管理体制を構築する必要がある為です。

*1内部不正を想定した従業員規約等は下記の経産省発行の秘密情報の保護ハンドブックのP175ページ以降の「参考資料２ 各種契約書等の参考例」、また、情報管理も企業力を合わせてご参照ください。

・資産の把握、対応体制の整備
情報資産を把握し、その重要度をランク付けした上で重要情報の管理者を定めます。

・重要情報の管理、保護
重要情報の利用者IDおよびアクセス権の登録・変更・削除に関する手順を定めて運用します。
従業員の異動や離職に伴う不要な利用者ID等は直ちに削除します。
また、それらの適切な管理、定期的な監査を実施します。さらに、利用者IDの共用禁止等の処置を検討します。DLP（情報漏えい対策）等のツールの導入も併せて検討します。

・物理的管理の実施
重要情報の格納場所や重要情報を扱う執務室への入退室を管理します。
USBメモリー、スマートフォン、プリンター等の外部媒体は利用制限を行い、持ち出しや持ち込み等の履歴を管理します。
また、記録媒体の廃棄を行う際には、適切なデータ消去の運用 *2を実施します。
消去できない場合は媒体の物理的な破壊も検討する必要があります。
また、リース品はデータ消去/初期化してから返却します。

*2適切なデータ消去：

Windows11の場合、「完全に削除する」又は「ゴミ箱を空にする」を実行したり、クリックフォーマットをしたりしても、ハードディスクやUSBメモリー上にはデータが残っており、復元ツール等を利用すると復元できてしまいます。

ハードディスクやUSBメモリーの完全なデータ消去は、時間がかかりますがフルフォーマット(Windowsの場合にはクイックフォーマットのチェックを外して実行)で可能です。

・情報リテラシー、モラルを向上させる※

従業員向けに情報セキュリティ対策研修・情報事故対応演習等を実施します。従業員の入れ替わりや時間の経過に伴うリテラシーの低下に応じ、適宜実施していくことが必要になります。

・人的管理およびコンプライアンス教育の徹底

必要に応じ、従業員に秘密保持義務を課す誓約書に署名させます。 また、定期的な職務の変更、職場の異動を実施します。

被害の予防に対する対策の状況は、IPA発行の組織における内部不正防止ガイドラインの102ページ「付録Ⅱ：内部不正簡易チェックシート」を使ってチェックする事ができます。

◇被害の早期発見

・システム操作履歴の監視

重要情報へのアクセス履歴や利用者の操作履歴等のログ、証跡を記録し、監視する事で早期検知に努めます。また、監視していることを従業員に周知することで不正の予防が可能です。

さらに、特定時期の監視の強化 退職予定者の退職前後のシステム操作の監視を強化することで早期発見につながることがあります。

◇被害を受けた後の対応

・適切な報告／連絡／相談を行う※

・インシデント対応体制を整備し対応する※

・内部不正者に対する適切な処罰の実施

「※」の詳細については、IPAの「情報セキュリティ１０大脅威2025」の36ページの「共通対策」をご参照ください。


ここまで内部不正による情報漏えい等の事例や影響、対策方法について考えてきましたが、いかがだったでしょうか。

内部不正による情報漏えい等は、従業員又は元従業員が行うため通常のセキュリティ対策だけでは十分ではないことがお分かりいただけたかと思います。

内部不正による情報漏えいは、システム的な管理／監視と人的管理およびコンプライアンス教育の両輪で行い、これを防止する事は、企業の持続可能な発展を支える鍵となるとも言えます。

５．事例

事例を見る

・弊社元従業員による個人情報の不正な持ち出しに関するご報告とお詫び（不動産業T社）

・仕入先様情報の漏洩可能性に関するお詫びとお知らせについて（機械メーカーD社）


※本記事は令和6年度中小企業サイバーセキュリティ対策事業で制作された記事を最新情報等で更新したものです。