情報セキュリティマネジメント試験 2018年 春②内部不正事案

はじめに架空の会社の説明

Q 社は、従業員数 300 名の保険代理店であり、生命保険会社 2 社、損害保険会社 2 社と代理店委託契約を締結し、保険商品を販売している。本社には、総務部、営業部からなり、総務部、経理、人事、情報システム管理、営業部からなり、営業所には主任 3 名、営業担当者 45 名、スタッフ3 名がいて情報セキュリティ委員会を設置している。

Q 社の情報セキュリティ関連規定では、役職、職務などに応じて、アクセス可能なデータの範囲及び情報システムの操作権限を適切に設定することを求めている。
営業担当者が、保険商品の説明資料や提案書を顧客に渡す方法には、面会して直接渡す、郵送する、電子メールに添付して送信する。の 3 通りがある。最近は面会が少なくなり、メールに添付して送信することが大半を占めている。

Q 社が導入しているメール管理ツールの機能

・社外送信メールの一時保留機能
・社外送信メールの上長への Bcc による自動送信機能
・社外送受信メールの送信者、日時、宛先、件名、メール本文、添付ファイルなどをメールサーバ
に自動保存する機能
・保存されているメールの情報検索、閲覧機能
・メール利用状況のレポート作成機能

メール利用ルール

・社内外を問わず、私的なメールを送信してはならない。
・社外にメールを送信する場合、送信者は送信トレイを開いて、一時保留されたメールの宛先、
件名、メール本文、添付ファイルがある場合はその内容を確認し、確認ボタンを押さなくてはなら
ない。
・秘密情報は、原則社外に送信してはならない。業務上必要な送信の場合は、事前に上長の承認を得
てから、秘密情報を暗号化した上で送信しなければならない。
・上長は、Bcc で届いた社外送信メールを確認しなければならない。暗号化されている場合、上長
は、宛先と件名を見て、必要に応じて送信者に内容を確認する。

システムの見直し

Q 社では、ここ数年、売上向上や事務作業効率化を目指して、業務のシステム化を推進している。その一環として、各営業担当者が担当している顧客及び見込み客の個人情報をデータベース化して一元的に管理する顧客情報管理システムを 2017 年 4 月 3 日に利用開始することにした。
顧客システムは、営業担当者と営業所管理者が顧客情報を共有し、顧客及び見込み客に対して最適な保険商品を迅速に提案することを目的の一つにしている。

顧客システムは、総務部と営業部の従業員の一部で編集された開発チームが、ベンダの協力を得ながら開発した。2016 年 10 月から 3 か月間、顧客情報の登録業務など機能およびユーザビリティの最終確認のために T 営業所で顧客システムを試行運用した。

・営業担当者全員は、自らの顧客情報を登録し、機能を確認
・開発チームメンバは、利用者管理機能、顧客情報のダウンロード機能などを確認

試行終了時に、開発チームは試行利用者全員に対して、ダウンロードした顧客情報を PC から削除するように連絡し、試行用の利用者 ID を削除した。

内部不正事案の発生

2017 年 3 月 1 日 T 営業所の J 主任が 3 月 31 日付で退職したいと申し出たという事であった。J 主任の退職届を 3 月 6 日に受理し、 退職の際、誓約書で誓約している退職時の点検手続きに従って、社外に送信したメールをチェックした。
チェックの結果、J 主任の私用と思われるメールアドレス宛にファイルが 5 回送信されていることが分かった。送信されたファイルは、暗号化されていた。H 主任は、分かったことをすぐに営業部長に報告した。

 J 主任との面談結果

1.宛先と送信したファイル

宛先のメールアドレスは、J 主任の私用メールアドレスであり、J 主任が送信したファイルは、顧客システムの試行期間中、J 主任が会社の PC に保存した顧客ファイルである。試行終了時に会社のPC から削除する指示があったが J 主任は削除しなかった。ファイルは自宅の PC に保管している。

2.私用のメールアドレス宛に顧客ファイルを送信した理由、状況

J 主任は、次のように考えた。
・試行期間中に T 営業所で担当している全顧客情報が顧客システムに登録されたが、その中には自分
が担当する顧客の情報も多くあるので退職後ももっていてもかまわない。
・同業他社に転職したときに、営業所の全顧客情報を利用して営業で良い成績を上げたい。
・登録された顧客情報を利用することは Q 社に迷惑を掛けるようなことではないし、後ろめたいよう
なことでもない。
・ K 所長は外回りなどで多忙なので、メールの確認はあまりしていないようであり、又、スタッフも
様々な事務で忙しそうであったので、見つかりはしない。

3.退職理由など

他チームの営業成績が良い中で、自分のチームだけノルマが達成できず、J 主任は孤独を感じていた。今からの状況では自分の実力を発揮できず公平に評価もされないが、同業他社に転職すればもっと実力を発揮でき、評価されると考えた。ただし、他社との雇用契約は未締結。

営業部長は、社長及び Q 社委員会の委員に一報するとともに、各保険会社に対しても状況を報告した。又、営業部長は、総務部長及び弁護士とも相談して、K 所長と H 主任に J 主任の自宅に訪問し、後日の調査への備え及び顧客情報保護のために、J 主任の自宅の PC を会社で預かってくるよう指示した。訪問時は、セキュリティ専門事業者の情報処理安全士である U 氏にも同行を依頼した。
J 主任の自宅で、U 氏が確認したところ、メールで送信された顧客ファイルは自宅の PC に保存されていた。又、面談結果は事実に相違ないこと、顧客情報を業務外で利用していないこと、Q 社から持ち出した顧客情報が他に残っていないか改めて確認し、残っていたら直ちに削除することなどについて J 主任から念書をとった。

営業部長及び総務部長は、今回発生した内部不正事案について、3 月 13 日に臨時に開催された Q 社委員会に報告した。又、両部長は、個人情報の保護に関する法律、保険業法、各保険会社との契約などへの対応、社内規定に基づいた J 主任に対する処分と法的処置について、弁護士と相談の上、対応していくことを報告した。

Q 社委員会では CISO が両部長にメールによる顧客ファイルの不正な送信が他にないか調査すること。及び事案の原因分析と再発防止策の検討を早急に行うことを指示した。

事案のメール調査

Q 社委員会の翌日、両部長は、H 主任と G 主任に顧客情報をダウンロードして社外に送信したものが J 主任以外にいないかの調査と事案の原因分析を指示した。
両主任は、社外送信メールの調査範囲として、対象期間を「 2016 年 10 月 1 日から 2017 年 3 月 13 日まで 」、対象者を「 T 社営業所の営業担当者及び営業所管理者 」、「 営業部の顧客管理スタッフ及び開発チームのメンバ 」に設定した。調査の結果、顧客ファイルの不正送信はなかたが、自宅に仕事を持ち帰るために、使用のメールアドレス宛にぎゅおうむ関係のファイルを送信している事例が発見された。

事案の原因分析

両長主任は、事案発生までの顧客システムやメールの取り扱い、J 主任及び K 所長との面談結果から、不正のトライアングルを基に次のようにまとめ、J 主任の立場から見た事案の原因を整理した。又、事案発生までの Q 社の状況を確認するために IPA の組織における内部不正防止ガイドラインを基にまとめ整理した。

不正のトライアングルを基にした原因の整理

1.要因:同期プレッシャ
原因:・「 顧客情報を持ち出して利用すれば、転職先で、実力が発揮でき高く評価されると考え
       たこと 」
2.要因:機会
原因:・顧客システムから顧客情報を大量にダウンロードできたこと
・メールに顧客ファイルを添付して、使用のメールアドレス宛に送信できたこと。
・「 営業所長が多忙で不在な時が多くメールの確認が十分に行われていなかったこと 」
・「 顧客ファイルを会社の PC に保管し続けることができたこと 」
(省略)
3.要因:正当化
原因:・「 T 営業所が担当する顧客情報には自分が担当する顧客情報も多くあり、退職後も
もっていても構わないと考えたこと
 」

組織における内部不正防止ガイドラインを基にした原因の整理

1.観点:基本方針
原因:「 営業所ごとの個別の情報セキュリティリーダの任命・配置が未実施 」
2.観点:人的管理
原因:「 社内の懲戒処分を含めた内部規定及びメール利用ルールなど周知、教育が不十分 」
3.観点:職場環境
原因:「 営業所長が多忙で、不在の時が多く、営業所内のコミュニケーションが不十分

事案の再発防止策の策定

開発チームでは、顧客システムからの顧客情報のダウンロードについて、抽出件数に上限を設けるという対応策を考えた。又、顧客ファイルの保管場所や保管期間についても案を検討した。
営業所管理者によるメールの確認が不十分であるという問題については、総務部が個人別の社外送信メール数、送信時刻など監視をするとともに監視について従業員全員に周知する案をまとめた。
再発防止案の案が固まり、両部長は、Q 社委員会にメール調査結果、原因分析結果、及び再発防止策の案を報告し、了承された。Q 社委員会の報告を受けた社長は、全営業所長と面談した上で、営業所の管理業務全般の見直しを取締役会に提案し、併せて営業所管理者に対する教育にも力を入れることにした。
Q 社では、営業所の管理体制の強化及び全従業員への教育含めた再発防止への取り込みを進めた。2017 年 6 月にはその取り組みの成果が確認できたので Q 社委員会の承認の下、2017 年 7 月に全社で顧客システムの利用を再開した。