内部不正による
顧客情報の持ち出し〈午後II相当〉
退職予定の従業員が、転職先での利用を目的にCRMから顧客データを持ち出した内部不正のケースです。発覚のきっかけは社内ではなく、外部(顧客)からの違和感の指摘でした。
この問題で問われている力
これまでの4題は外部の攻撃者やマルウェアが起点でしたが、今回は正当な権限を持つ従業員自身が起点です。①「ログは記録されていたが見ていなかった」という、外部攻撃とは異なる文脈での教訓②退職という「権限を持つ人がいなくなる」タイミングの統制③内部通報制度が「制度として存在する」ことと「実際に機能する」ことの違い④従業員のモニタリングとプライバシーのバランス、という論点が中心になります。
📋 設問構成
次の記述を読んで、設問1〜5に答えよ。
〔システム概要〕
R社は、人材紹介サービスを提供する従業員数300名の企業である。営業部門の従業員は、転職希望者の履歴書・経歴情報や、取引先企業の採用担当者情報を管理する顧客管理システム(CRM1)にアクセスし、業務に利用している。CRM1には、登録データを一覧形式でファイルに出力する機能(エクスポート機能)があり、営業担当者は自身が担当する顧客データを必要に応じて出力できる。CRM1のエクスポート操作はログサーバ(LOG1)に記録される設定になっているが、記録されたログを定期的にレビューする運用は確立されていなかった。
R社には、不正行為を発見した従業員が匿名で報告できる内部通報窓口が設置されているが、その存在や利用方法について、定期的な周知や研修は行われていなかった。
従業員の退職時には、人事部門が退職日を情報システム部門に連絡し、退職日当日にアカウントを無効化する運用となっている。
〔インシデントの発生〕
X年、R社の取引先である採用企業の担当者から、「最近退職したR社の元社員から、競合の人材紹介会社の名刺を持って突然連絡があり、転職希望者の情報を把握しているような話をされた」という連絡が、R社の営業部門に入った。これを受けて、情報システム部門と人事部門が合同で調査を行った結果、表1に示す経緯が判明した。
| 時期 | 出来事 |
|---|---|
| 退職の2か月前 | 営業担当者の従業員Gが、競合の人材紹介会社への転籍を決め、退職を申し出た。 |
| 退職の1か月前〜直前 | LOG1の記録によると、Gが、自身の通常の業務量と比べて著しく多い件数の顧客データを、CRM1のエクスポート機能を用いて繰り返し出力していた。 |
| 同期間 | 出力されたファイルの一部が、Gの私用のクラウドストレージおよび個人メールアドレスへ送信されていたことが、後の調査で判明した。 |
| 同期間 | 同じチームの同僚は、Gの業務量の変化に気付いていたが、「特に確認する必要はないと思った」として、誰にも報告していなかった。内部通報窓口の存在については、複数の従業員が「詳しい利用方法を知らなかった」と回答した。 |
| 退職日 | Gのアカウントは、退職日当日にIT部門によって無効化された。 |
| 退職後 | 取引先の採用企業担当者から、転職先の名刺を持つGから接触があったとの連絡がR社に入り、調査が開始された。 |
(a) 異常な業務操作を検知し、社内で気付くための仕組みが機能していなかった。
(b) 記録されたログを定期的にレビューする運用が確立されていなかった。
(c) 通報窓口が設置されているだけで、利用方法や利用すべき場面が従業員に十分周知されていなかった。
(c)は「通報窓口がなかった」のではなく「あったが周知されていなかった」という事実の違いを正確に捉えられているかが核心。制度の有無と、その実効性は別の論点である。
内部不正対策は「ログを取得しているか」「制度を設置しているか」だけでは不十分。「取得したログを実際にレビューする運用」「設置した制度を実際に利用してもらうための周知・研修」がセットでなければ、仕組みは形だけのものになる。
(a) CRM1のエクスポート機能を用いて顧客データを出力し、私用のクラウドストレージ等へ送信した。
(b) 1回あたりの出力件数や頻度に制限がなく、通常の業務量を大きく超える出力が技術的に可能だった。
(b)は「エクスポート機能があったこと自体」を問題視するのではなく、「件数・頻度の制限がなかったこと」という設計上の不備に言及できているかが核心。業務上必要な機能を奪うのではなく、異常な使い方を制限する視点が重要。
内部不正は、正当な権限の範囲内で行われることが多いため、「機能を禁止する」のではなく「通常とは異なる使い方(量・頻度・タイミング)を検知する」という発想の対策が有効。
(a) 退職予定者のアクセス権限を業務上必要な最小限に縮小し、操作ログのモニタリングを強化する。
(b) アカウント無効化を退職日まで待たず、業務上不要になった時点で権限を見直す運用にする。
(a)は「退職予定者だから即座にアクセスを禁止する」という極端な対応ではなく、「業務上必要な範囲に絞り、監視を強める」という現実的な落としどころを示せているかが評価される。退職予定者は引き続き業務を行う必要があるため、全面的なアクセス禁止は非現実的である点に注意。
退職予定が判明した時点から退職日までの期間は、内部不正のリスクが高まる典型的な期間。アカウントのライフサイクル管理は「退職日に無効化する」だけでなく、「退職が決まった時点から段階的に権限を見直す」という考え方が望ましい。
(a) 不正競争防止法に基づく営業秘密侵害として、Gおよび転籍先への法的措置を検討する。
(b) 個人情報保護法に基づく報告・通知義務を踏まえ、影響を受ける範囲を正確に伝える。
(c) モニタリングの目的・範囲を事前に規程として整備し、従業員に周知した上で実施する。
(c)は「モニタリングを強化すればよい」だけでなく、「事前の周知・規程整備がなければ従業員の権利(プライバシー)との関係で問題になりうる」という、対策自体が抱えるリスクにも触れられているかがより高い評価につながる。
従業員の操作ログのモニタリングは、内部不正対策として有効だが、無制限に行うと従業員のプライバシーとの関係で問題になりうる。モニタリングの目的・範囲・方法を事前に社内規程として明確化し、従業員に周知しておくことが、実施する上での前提条件となる。
(a) 通常と異なる操作パターンを自動検知し、アラートを発する仕組みを導入する。
(b) エクスポート件数・頻度にしきい値を設け、超過時に承認や通知を求める。
(c) 退職が決まった時点から権限を段階的に縮小し、操作ログを重点的に確認する。
(d) 通報窓口の利用方法を定期的に周知し、研修の機会を設ける。
(a)〜(d)は、設問1〜3で指摘した個別の問題点(ログ未レビュー、エクスポート制限なし、退職日まで権限が維持、通報窓口の周知不足)に、それぞれ一対一で対応する解答になっているかを確認すること。
内部不正対策は、外部攻撃対策(ファイアウォール、WAF等)とは異なる視点が必要。正当な権限を持つ人物による不正は、技術的な制限だけでなく、「異常な使い方の検知」「権限のライフサイクル管理」「通報しやすい組織文化」という、運用・組織面の対策が中心になる。
コメント