情報処理推進機構さんから7月17日に「組織内部者の不正行為によるインシデント調査」なる報告書がリリースされておりまして、この調査結果がなかなか興味深いものであります。企業の経営者に対して「内部不正を防止するためにもっとも効果的施策は何か」との質問に対して、一番多かった回答が「重要情報は特定の職員のみアクセスできる体制になっていること」二番目が「情報システムの管理者以外に情報システムへのアクセス管理ができないようになていること」だそうです。
これに対して、一方、社員向けアンケート結果のうち、「内部不正への気持ちが低下する対策」としては、「社内システムの操作の証拠が残る」ことが1位となっています。しかし、この項目は、前述した経営者に限定したアンケート結果での「現状講じている効果的と考える対策」においては、21項目中19位(下から2番目)という結果でした。つまり経営者やシステム管理者が「不正防止に効果的」と考えていることと、従業員の考えているところとでは大きなギャップがあるということのようです。
不正のトライアングル(動機、機会、正当化根拠)の思想からいえば、いずれも「不正を生じさせる機会」の減少に向けた施策だとは思うのですが、経営者はやはり「免責的コンプライアンス」、つまり従業員の不正行為を抑止させるために、目に見える形で施策を講じようとします。もし社内不正による責任追及がなされる場合、自分たちの監督責任を免れるためには、こういった施策を講じていました、と説明できるようにしたいところです。そもそも不正が発生すること自体を防止するため、こういった管理手法にならざるをえないところであります(ただ、こういった施策を講じても、100%不正を防止できるわけではないことは当然ではありますが)。
しかし従業員の側からすると、不正が発生したとしても、確実にばれてしまうのだから、不正行為をやるだけ損だ、という意識を浸透させることが効果的とのこと。社内不正はどこの会社でも発生する可能性を認めたうえで、もし問題が発覚した場合には昨今のデジタルフォレンジックの発達によって、だれが不正に関与したのかはわかってしまう、ということを従業員に周知徹底させるほうが効果的だというものであります。情報漏えい対策や企業秘密保護の必要性が高い企業であれば、前者の不正未然防止型のほうがリスク管理という意味では妥当なものかと思います(一度機密情報が洩れてしまったら取り返しのつかない損失が発生してしまうことを考えますと、多少費用がかかってでも未然防止の施策を重視することもやむをえないかもしれません)。
しかし、経営者が「うちの社員はとてもまじめで、不正など発生するわけがない」と本気で認識されているのでしたら、むしろ不正発見型の後者を重視すべきではないでしょうか。「社内システムの操作の証拠が残る」ということを広く教育、研修される方が、長い目でみると極めて効率的な手法ではないでしょうか? 各企業が頭を悩ませているインサイダー取引の防止体制の整備などでも同様の問題があるのではないかと。
編集部より:この記事は「ビジネス法務の部屋 since 2005」2012年7月30日のブログより転載させていただきました。快く転載を許可してくださった山口利昭氏に感謝いたします。
オリジナル原稿を読みたい方はビジネス法務の部屋 since 2005をご覧ください。
