/ コラム / By

コラム

出向者による情報漏洩リスクとは―相次ぐ事例から考える企業の内部不正対策

 企業間の人材交流は、組織の知見を広げたり、ビジネス連携を強化したりするうえで重要な役割を果たしています。その代表的な仕組みの一つが「出向制度」です。グループ会社や取引先企業へ社員を出向させることで、業務理解を深めたり、協業関係を強化したりする取り組みは多くの企業で実施されています。

 しかし、こうした出向制度の運用においては、情報セキュリティや情報管理の観点から新たな課題が生じる可能性もあります。出向先で取得した情報が出向元の企業や関係者に共有された場合、それは情報管理上の重大な問題となり得ます。さらに、企業間の信頼関係にも影響を与えかねません。

 では、出向者による情報持出しリスクはどのような形で発生するのでしょうか。また、企業はこうした出向者リスクに対して、どのような内部不正対策を検討すべきなのでしょうか。

 本コラムでは、実際に公表された事例を参考にしながら、出向制度における情報漏洩リスクの構造と、企業が検討すべき情報管理・アクセス監査の考え方について整理します。

目次

  1. 出向者による情報持出し事例 ▽
  2.  出向制度が生みやすい情報管理の構造的リスク ▽
  3. 出向者による情報持出しは個人要因だけで説明できるのか ▽
  4. 出向者のアクセス権限管理が難しい理由 ▽
  5. 情報持出しリスクを把握するためのアクセスログ監査 ▽
  6. 業務効率を損なわない内部不正対策の実現 ▽
  7. まとめ:出向制度と情報管理を両立させるために ▽

1.出向者による情報持出し事例

 近年、金融・保険業界では、出向者による情報持出しに関する事案が複数公表されています。こうした事例は、出向制度における情報管理の難しさを示すものとして参考になります。

 第一生命ホールディングスが公表した資料によると、保険代理店へ出向していた社員が、代理店の了承を得ないまま内部情報を取得していたことが確認されています。
 取得されていた情報には、代理店の営業実績や営業方針、業績評価体系、研修資料などが含まれており、一部には顧客情報も含まれていたとされています。
 情報の取得・共有方法としては、会社メールのほか、私有スマートフォンのメッセージアプリ、紙媒体の手交や郵送などが確認されています。

 また、三井住友海上プライマリー生命保険の公表資料では、金融機関代理店へ出向していた社員が、販売実績や業績評価基準、他社の公表前の商品改定資料などの業務資料を持ち出していたことが確認されています。
 資料はスキャンや私用スマートフォンによる撮影などでデータ化され、出向者自身の会社メールを経由して自社の営業社員へ送信されていたとされています。

 さらに、住友生命保険相互会社が公表した資料では、複数の出向者が代理店の保険販売実績や募集人の評価基準、他社商品情報などの内部情報を取得していたことが確認されています。
 情報は私用スマートフォンで撮影した画像を送信する方法や、紙媒体を手渡しする方法などで共有されていたとされています。

 こうした事案は、出向制度における情報の取り扱いについて、企業としてどのように管理・統制していくべきかという課題を示しています。

2.出向制度が生みやすい情報管理の構造的リスク

 前章で紹介した事例からも分かるように、出向制度では情報の取り扱いに関する課題が生じやすい側面があります。

 出向者は、業務上の必要性から出向先のシステムや情報にアクセスすることになります。一方で、雇用関係としては出向元企業との関係も継続している場合が多く、組織としてのつながりも完全に切れるわけではありません。

 このような状況では、

「情報の帰属」と「組織の帰属」

 が一致しない状態が生まれます。

つまり、業務としてアクセスしている情報は出向先企業のものである一方で、出向者自身は出向元企業との関係も持ち続けているという状態です。

 この構造は、情報管理の観点から見ると非常に複雑です。出向者は業務上必要な情報にはアクセスできますが、その情報がどこまで共有されるべきなのかという判断が曖昧になりやすいからです。

 その結果として、

  • 出向元との情報共有がどこまで許されるのか
  • 業務報告の範囲はどこまでなのか
  • 営業情報の共有は問題ないのか

 といった点について、明確な線引きが難しくなるケースもあると考えられます。

 このような背景から、出向制度では情報の取り扱いに関する判断が難しくなる場面が生じる可能性があります。その結果として、情報漏洩や内部不正のリスクにつながる可能性も考えられます。

関連コラム

3. 出向者による情報持出しは個人要因だけで説明できるのか

 出向者による情報持出しが発生した場合、個人の倫理やモラルの問題として捉えられることもあります。しかし、すべてを個人の悪意だけで説明することは難しい場合もあります。

 先に紹介した事例の公表資料を見ると、情報が共有された背景には、必ずしも不正目的だけではなく、業務上の判断や組織的な慣行が関係していた可能性も示されています。

 例えば、出向先の代理店の方針や販売実績を把握することで、自社の営業施策の検討や代理店へのサポートにつなげようとしたケースや、出向元の担当部署からの情報提供依頼に応じた結果として情報が共有されたケースなどが公表されています。また、前任者からのアドバイスや慣習的な業務の進め方が影響していたとされる事例もあります。

 このような状況では、出向者本人に明確な悪意がなくても、

  • 自社の営業活動の参考になる情報を共有するべきではないか
  • 業界動向として報告することは問題ないのではないか

 といった認識が生まれる可能性も考えられます。

 また、組織文化として情報共有が重視されている企業では、暗黙のプレッシャーや期待が働くこともあり得ます。

 その結果として、出向者本人に明確な不正の意図がなくても、出向先の内部情報が出向元企業へ共有されてしまうといった状況が生じる可能性があります。

 そのため、出向者による内部不正を防ぐためには、個人の倫理だけに依存するのではなく、組織としてのガバナンスや情報管理の仕組みを整備することが重要になります。

 その中でも、特に課題となりやすいのが「出向者のアクセス権限管理」です。次章では、このアクセス権限管理がなぜ難しいのかについて整理します。

 

4.  出向者のアクセス権限管理が難しい理由

 出向者に対するアクセス権限管理は、実務上非常に難しい課題です。基本的に、出向者は出向先企業の業務を担う立場であるため、業務上必要な情報にはアクセスできるようにする必要があります。顧客情報や営業資料、販売実績など、代理店や金融機関で日常的に利用する情報は、業務遂行のために不可欠です。しかし、出向元企業との関係が残っているため、どの範囲で情報共有が許されるのかが曖昧になりやすい状況があります。

 また、企業間で機密情報の扱い方や保護レベルは必ずしも一致しません。出向元の企業では許容される情報の扱いが、出向先では機密情報として制限される場合もあります。このため、最小権限の原則を厳密に適用することが難しく、業務上必要なアクセスまで制限してしまうと、出向者の業務が滞るリスクがあります。

 さらに、出向者が業務の中で取得・閲覧するデータは、紙媒体やシステム上の画面、ファイルサーバなど多岐にわたります。これらをすべて個別に制御するのは現実的ではなく、過度に制限することで業務効率が低下する可能性もあります。

 つまり、出向者のアクセス権限管理が難しいのは、

  • 業務上必要な情報アクセスと機密情報保護のバランス
  • 出向元・出向先での情報管理基準の違い
  • データ形式や閲覧手段の多様性
  • 過度な制限による業務効率低下の可能性

 など、複数の要素が絡むためです。

 こうした特性を踏まえると、アクセス権限だけで情報持出しリスクを完全に防ぐことは難しいと考えられます。そのため重要となるのが、アクセスや操作を制限するのではなく、「データアクセスを監視する」という考え方です。出向者のアクセスログを記録・分析し、通常業務から逸脱した行動を早期に把握する運用は、業務効率を損なわずに情報持出しリスクを抑止するうえで有効です。

 

BlackBoxSuiteは、業務効率を損なうことなく
実効性のある情報漏洩対策を実現します。

Webサイトに公開されていない資料をお
届けしています。
こんな方に最適な資料です。

社内システムのデータアクセスが心配
低コストでログ監査を導入したい方
真の情報漏洩対策を学びたい方
資料をダウンロード▶

5情報持出しリスクを把握するためのアクセスログ監査

 出向者による情報漏洩や情報持出しリスクを抑止するためには、アクセス権限管理だけでなく、実際のデータ利用状況を把握する運用が不可欠です。ここで重要となるのが、アクセスログ監査です。

 アクセスログ監査では、出向者がどの情報に、いつ、どのようにアクセスしたのかを記録・分析します。これにより、情報持出しリスクを事前に検知したり、不審なアクセスを追跡したりすることが可能です。

 例えば、以下のような行動が通常業務と異なる場合、早期に対策を講じる手がかりになります。

  • 特定の資料やファイルに対する大量アクセス
  • 業務時間外での情報閲覧やダウンロード
  • 機密情報や重要情報への頻繁なアクセス

 こうした行動を監視することで、出向者本人に悪意があるかどうかに関わらず、不審な情報利用の兆候を把握することが可能です。アクセスログ監査は単なる不正の証拠収集手段ではなく、リスクの早期発見と抑止にも活用できる点が重要です。

 さらに、自分のアクセスが記録され監視されているという意識が、出向者への抑止力につながります。業務上必要な情報へのアクセスを妨げることなく、情報持出しリスクを低減できるのが、アクセスログ監査の大きな利点です。

 アクセスログの自動分析やアラート設定を活用することで、人手によるチェックに頼らず、不審なアクセスを自動的に検知することが可能になり、効率的にリスク管理を行うことができます。

6業務効率を損なわない内部不正対策の実現

 前章で述べたように、情報持出しリスクを把握するためには、ユーザーのアクセス状況を記録し、通常業務と異なる行動を早期に把握できるアクセスログ監査の運用が重要になります。

 一方で、ログ監査を実際の運用として定着させるためには、ログの取得・管理・分析を効率的に行える仕組みが必要です。ログが複数に分散していたり、手作業で確認する必要があったりする場合、監査作業の負担が大きくなり、継続的な運用が難しくなることがあります。

 こうした課題に対応するためには、アクセスログを統合的に記録・管理し、必要な情報を迅速に確認できる環境を整備することが有効です。

 BlackBoxSuiteでは、ユーザーのデータアクセスを一元的に記録し、誰が・いつ・どの情報にアクセスしたのかを紐付けて取得・可視化することができます。

 こうした分析結果は、アクセスやユーザーごとのリスク状況として可視化されるため、監査担当者は膨大なログを個別に確認することなく、注意が必要な行動を効率的に把握することができます。

 このように、アクセスログの可視化と分析を組み合わせた仕組みを導入することで、業務上必要な情報アクセスを妨げることなく、情報持出しリスクの把握と抑止を両立する内部不正対策を実現することが可能になります。

 

関連ページ

7まとめ:出向制度と情報管理を両立させるために

 本コラムでは、出向者による情報持出し事例を参考にしながら、出向制度において生じ得る情報管理上の課題について整理してきました。

 出向者は出向先の業務を担う立場であるため、業務上必要な情報にはアクセスできるようにする必要があります。一方で、出向元企業との関係も継続していることから、情報共有の範囲や取り扱いの判断が難しくなる場面が生じる可能性があります。

 また、機密情報保護と業務効率のバランス、企業間での情報管理基準の違い、データ形式の多様性などの要因から、アクセス権限の管理だけで情報持出しリスクを完全に防ぐことは難しい場合もあります。

 そのため、アクセスを制限するだけでなく、アクセスログを記録・分析し、データ利用状況を把握する監査運用を組み合わせることが重要になります。

 業務効率を損なうことなく情報利用状況を可視化する仕組みを整備することで、出向制度と情報管理の両立を図ることが可能になると考えられます。

出典・参考情報

製品概要を見る▶
事例・活用シーンを見る▶

Writer 

Kohki Taguchi  BlackBox Japan Inc.|常務取締役

某IT系総合研究所にてPG、SE、PM、営業を経験後、金融機関向けアクセス監査製品ベンダーにて営業責任者を10年間務める。その後、金融機関側での実務経験を10年積み、現在はBlackBox Japan Inc. 常務取締役としてBlackBox Suiteの日本市場展開を統括。金融・セキュリティ分野における豊富な実務経験を背景に、経営・監査・リスク管理の視点から情報発信を行っている。
趣味: 子守り、浜焼き、晩酌

お問合せ

BlackBox Suiteは、多くの実績を持つ情報漏洩対策ソリューションです。
ご不明な点はお気軽にお問い合わせください。
利用用途やリスクに応じて、最適なご提案をいたします。

資料請求・お問合せ
パートナー募集

上部へスクロール