情報セキュリティマネジメント試験 平成30年春(2018)午後 ②内部不正事案

ここでの勉強のポイント

このサイトは、国家試験、情報セキュリティマネジメント試験の過去問題の中の一部です。
このページでは主に下記の事柄を勉強致します。

  1. 退職時の秘密保持誓約書
  2. 不正のトライアングル
  3. 再発防止策



はじめに、架空の会社 Q 社の説明

Q 社は、従業員数 300 名の保険代理店であり、生命保険会社 2 社、損害保険会社 2 社と代理店委託契約を締結し、保険商品を販売している。Q社の主な組織と担当業務下記の通りです。

営業担当者が、保険商品の説明資料や提案書を顧客に渡す方法には、面会して直接渡す、郵送する、電子メールに添付して送信する。の 3 通りがある。最近は面会が少なくなり、メールに添付して送信することが大半を占めている。

Q 社が導入しているメール管理ツールの機能

メール利用ルール

Q 社では、ここ数年、売上向上や事務作業効率化を目指して、業務のシステム化を推進している。その一環として、各営業担当者が担当している顧客及び見込み客の個人情報をデータベース化して一元的に管理する顧客情報管理システムを 2017 年 4 月 3 日に利用開始することにした。
顧客システムは、営業担当者と営業所管理者が顧客情報を共有し、顧客及び見込み客に対して最適な保険商品を迅速に提案することを目的の一つにしている。

顧客システムは、総務部と営業部の従業員の一部で編集された開発チームが、ベンダの協力を得ながら開発した。2016 年 10 月から 3 か月間、顧客情報の登録業務など機能およびユーザビリティの最終確認のために T 営業所で顧客システムを試行運用した。

試行終了時に、開発チームは試行利用者全員に対して、ダウンロードした顧客情報を PC から削除するように連絡し、試行用の利用者 ID を削除した。

内部不正事案の発生

2017 年 3 月 1 日 T 営業所の J 主任が 3 月 31 日付で退職したいと申し出たという事であった。J 主任の退職届を 3 月 6 日に受理し、 退職の際、誓約書で誓約している退職時の点検手続きに従って、社外に送信したメールをチェックした。
チェックの結果、J 主任の私用と思われるメールアドレス宛にファイルが 5 回送信されていることが分かった。送信されたファイルは、暗号化されていた。H 主任は、分かったことをすぐに営業部長に報告した。

J 主任との面談結果

K 所長と面談の結果

営業部長は、社長及び Q 社委員会の委員に一報するとともに、各保険会社に対しても状況を報告した。又、営業部長は、総務部長及び弁護士とも相談して、K 所長と H 主任に J 主任の自宅に訪問し、後日の調査への備え及び顧客情報保護のために、J 主任の自宅の PC を会社で預かってくるよう指示した。訪問時は、セキュリティ専門事業者の情報処理安全士である U 氏にも同行を依頼した。
J 主任の自宅で、U 氏が確認したところ、メールで送信された顧客ファイルは自宅の PC に保存されていた。又、面談結果は事実に相違ないこと、顧客情報を業務外で利用していないこと、Q 社から持ち出した顧客情報が他に残っていないか改めて確認し、残っていたら直ちに削除することなどについて J 主任から念書をとった。

営業部長及び総務部長は、今回発生した内部不正事案について、3 月 13 日に臨時に開催された Q 社委員会に報告した。又、両部長は、個人情報の保護に関する法律、保険業法、各保険会社との契約などへの対応、社内規定に基づいた J 主任に対する処分と法的処置について、弁護士と相談の上、対応していくことを報告した。

Q 社委員会では CISO が両部長にメールによる顧客ファイルの不正な送信が他にないか調査すること。及び事案の原因分析と再発防止策の検討を早急に行うことを指示した。

事案のメール調査

Q 社委員会の翌日、両部長は、H 主任と G 主任に顧客情報をダウンロードして社外に送信したものが J 主任以外にいないかの調査と事案の原因分析を指示した。
両主任は、社外送信メールの調査範囲として、対象期間を2016 年 10 月 1 日から 2017 年 3 月 13 日まで、対象者を T 営業所の営業担当者及び営業所管理者、営業部の顧客管理スタッフ及び開発チームのメンバに設定した。調査の結果、顧客ファイルの不正送信はなかたが、自宅に仕事を持ち帰るために、使用のメールアドレス宛に業務関係のファイルを送信している事例が発見された。

事案の原因分析

両長主任は、事案発生までの顧客システムやメールの取り扱い、J 主任及び K 所長との面談結果から、不正のトライアングルを基に次のようにまとめ、J 主任の立場から見た事案の原因を整理した。又、事案発生までの Q 社の状況を確認するために IPA の組織における内部不正防止ガイドラインを基にまとめ整理した。

不正のトライアングルを基にした原因の整理

①機会、②動機、③正当化が3つ揃うと不正が起こるといわれています。

①同期プレッシャ
顧客情報を持ち出して利用すれば、転職先で、実力が発揮でき高く評価されると考えたこと

➁機会
・顧客システムから顧客情報を大量にダウンロードできたこと
・メールに顧客ファイルを添付して、使用のメールアドレス宛に送信できたこと。
営業所長が多忙で不在な時が多くメールの確認が十分に行われていなかったこと
顧客ファイルを会社の PC に保管し続けることができたこと

③正当化
T 営業所が担当する顧客情報には自分が担当する顧客情報も多くあり、退職後ももっていても構わないと考えたこと

組織における内部不正防止ガイドラインを基にした原因の整理

1.観点:基本方針
原因:営業所ごとの個別の情報セキュリティリーダの任命・配置が未実施
2.観点:人的管理
原因:社内の懲戒処分を含めた内部規定及びメール利用ルールなど周知、教育が不十分
3.観点:職場環境
原因:営業所長が多忙で、不在の時が多く、営業所内のコミュニケーションが不十分

事案の再発防止策の策定

開発チームでは、顧客システムからの顧客情報のダウンロードについて、抽出件数に上限を設けるという対応策を考えた。又、顧客ファイルの保管場所や保管期間についても案を検討した。
営業所管理者によるメールの確認が不十分であるという問題については、総務部が個人別の社外送信メール数、送信時刻など監視をするとともに監視について従業員全員に周知する案をまとめた。
再発防止案の案が固まり、両部長は、Q 社委員会にメール調査結果、原因分析結果、及び再発防止策の案を報告し、了承された。Q 社委員会の報告を受けた社長は、全営業所長と面談した上で、営業所の管理業務全般の見直しを取締役会に提案し、併せて営業所管理者に対する教育にも力を入れることにした。
Q 社では、営業所の管理体制の強化及び全従業員への教育含めた再発防止への取り込みを進めた。2017 年 6 月にはその取り組みの成果が確認できたので Q 社委員会の承認の下、2017 年 7 月に全社で顧客システムの利用を再開した。



関連する用語

組織における内部不正防止ガイドライン第5版
「基本方針」「資産管理」「技術的管理」「職場環境」「事後対策」等の10の観点のもと、合計33項目からなる具体的な対策を示されている。




学習の確認

  1. 退職時の秘密保持誓約書
  2. 不正のトライアングル
  3. 再発防止策