内部不正回避に求められる経営者のリーダーシップ
では、故意の内部不正にはどのような対策が有効でしょうか。米国の研究者は、組織内部の犯罪について、「動機・プレッシャー」「機会」「正当化」という「不正のトライアングル」が揃った際に発生すると述べています。
普段は犯罪とまったく縁がない人でも、これら条件が整うことで、犯罪に走ってしまう可能性もあります。IPAが公表している「組織における内部不正防止ガイドライン 第3版」では、イギリスの研究者による状況的犯罪予防論をもとに、「内部不正防止の基本原則」として以下の5つを掲げています。
例えば、不正行為を行うことのハードルを上げ、犯行が発覚しやすく、さらに犯罪を行っても割に合わないとなれば、内部不正の「機会」が低減します。犯行に及びたいという「誘因」を減らすことで「動機・プレッシャー」を取り除いたり、「言い訳ができない」環境を用意することで、犯罪行為を「正当化」させないことも重要です。これら対策の相乗効果で「不正のトライアングル」が成立しないようにします。
同ガイドラインでは、これら原則を踏まえ、企業や組織のガバナンスや技術的な対策など、以下の10の観点から30項目を網羅し、説明しています。
- 基本方針
- 資産管理
- 物理的管理
- 技術・運用管理
- 証拠確保
- 人的管理
- コンプライアンス
- 職場環境
- 事後対策
- 組織の管理
いずれも大切ですが、とりわけ重要なのは、基本方針で述べられている「経営者のリーダーシップ」です。組織全体で効果的な対策を推進するには、経営者が関与し、情報資産に対して「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」、いわゆる「CIA」の観点から管理体制を構築することが求められます。
そして経営者の責任で基本方針を策定し、任命した統括責任者のもと管理体制を構築します。情報も闇雲に守るのではなく、重要度を格付けした上で、アクセス権を指定し、利用者を必要な範囲に絞り込みます。
複数が共有する「特権ID」問題
