無視できない内部犯行

　先日行われた「ベリサインFDSセミナー2011 ～オンラインバンクで今年発生した金融犯罪の実情と対策～」において、社団法人 情報セキュリティ相談センター 事務局長である萩原栄幸氏が、「急増する企業内部の不正事件とFATFの動向について」と題し、企業の内部犯行についての講演を行った。萩原氏は、国内大手都市銀行に22年間の勤務経験のある銀行システムの情報セキュリティ対策のエキスパートであり、同センターは、主に金融機関のセキュリティインシデントに関する相談窓口となっている。

　萩原氏は、金融機関への標的型攻撃が注目される中、実際に顧客情報が外部に漏れたり、大きな被害をもたらすのは内部犯行、もしくは内部的な要因によるインシデントの発生比率が高く、脅威として重く認識しなければならないと指摘。

「企業における犯罪行為や不正行為は、刑事事件として告発しないとなかなか表面化しないため、軽微なものは表にでることはありません。しかし、私が長年、金融業界で不正アクセスのフォレンジック（捜査）を行ってきた経験によれば、内部犯行、内部要因によるものが圧倒的に多かった」

　フィッシング対策、外部からの攻撃、インターネットバンキングの安全性の向上などももちろん重要課題だが、内部犯行を決して過小評価してはならないということだ。内部犯行については、地方銀行などは特に内部犯行への認識が低い傾向があるという。

「地方銀行の頭取や幹部は、『うちの行員には不正を働く人間はいない』と発言することが少なくありません。しかし現実には、そのような金融機関から、内部犯行に関する相談が多く寄せられています」

企業の存続にかかわる被害も起きている

　米Ponemon Instituteの調査によれば、退職した従業員の59％が、なんらかのデータを不正に持ち出しているという。「日本において同様な調査を行ったデータはないが、その割合は米国より高いはず」と萩原氏は見ている。たとえば自動車ディーラーの業界では、退職した営業マンが顧客の名刺やデータを持ち出し、再就職した別のディーラで営業活動に利用するといったことが、慣習的に行われていたという。このようなビジネス慣習も犯罪行為をグレーにすると警告する。

　内部犯行による情報漏えいによる被害は、時として企業そのものを破滅させる現実もある。海外では、若手従業員の不正行為によって破産した金融機関も存在するという。日本ネットワークセキュリティ協会（JNSA）の調査では、2010年の国内における個人情報の流出事件の損害賠償総額は1,200億円以上となっている。これを流出した個人情報の数（550万人強）で割ると、一人当たりおよそ43,000円の賠償額になる。漏えい事件1件あたりの漏えい人数は平均3,000人を超えている。これを計算すると、1回の情報漏えい事件を起こすと、賠償額の合計は平均1億2,900万円にも達する。企業の規模によっては、これは致命的な損失となる。