内部不正・内部脅威対策とは？退職者の情報持ち出しを防止する実務と進め方

2026.05.28

はじめに

企業の機密情報が外部に流出する原因は、サイバー攻撃だけではありません。従業員や元従業員といった組織内部の関係者による情報持ち出しが、経営に深刻な打撃を与える事例が相次いでいます。内部不正への対策が不十分な場合、社会的信用の失墜や多額の損害賠償、事業の停滞といった重大な結果を招きます。

こうしたリスクを防止するには、法律・ガイドラインの理解、技術的な対策の導入、そして退職時の実務フローの整備を組み合わせる必要があります。本記事では、内部不正・内部脅威の定義から背景、関連法規、防止体制の構築、具体的な技術と人的対策、さらに実際の失敗例までを順を追って解説します。

内部不正・内部脅威の定義と分類

内部不正の定義と対象行為

内部不正とは、組織の内部者が情報資産に対して行う不正な行為の総称です。独立行政法人情報処理推進機構（IPA）は「組織における内部不正防止ガイドライン」において、違法行為だけでなく情報セキュリティに関する内部規程違反などの「違法とまではいえない不正行為」も内部不正に含めるとしています。対象行為としては、重要情報や情報システム等の情報資産の窃取、持ち出し、漏えい、消去・破壊等を挙げています。また、退職後に在職中に得た情報を漏えいする行為も内部不正として取り扱うとしています（参照*1）。

従業員や元従業員等の組織関係者による不正行為は発生しており、規則違反の持ち出しが紛失や漏えいにつながるケースもあるとされています。IPAは「情報セキュリティ10大脅威 2024」の解説書で、機密情報の持ち出しや社内情報の削除といった不正行為、組織内の情報管理ルールを守らずに情報を持ち出した結果の紛失や情報漏えいの事例を挙げ、社会的信用の失墜や損害賠償・業務停滞等による経済的損失につながるとしています（参照*2）。

悪意ある脅威と過失による脅威

組織内部の人物が引き起こすセキュリティリスクは、内部脅威（Insider Threat）と呼ばれます。対象者は従業員、契約社員、パートナー企業の関係者、そして元従業員など幅広く、内部の人物が持つ権限やアクセス権を悪用して機密情報の漏えいやシステムの破壊、不正行為などを行う可能性があるため、外部からの攻撃と同様に深刻な脅威とされています（参照*3）。

内部脅威は大きく2つに分かれます。1つは、意図的に情報を盗む・破壊するといった悪意ある行為です。もう1つは、規則を知らなかった・うっかりミスをしたといった過失による行為です。悪意の有無にかかわらず、結果として組織に損害を与える点は共通しており、対策では両面を考慮する必要があります。

深刻化する背景と検知の難しさ

退職者・転職者による持ち出しリスク

退職者や転職者による情報持ち出しのリスクは、内部不正の中でも深刻さを増しています。Gartnerは2026年のサイバーセキュリティ動向の一つとして、生成AIの利用拡大により従来型のセキュリティ意識向上策が機能しにくくなっている点を挙げ、個人用の生成AIアカウントを業務に使う従業員や、未承認ツールに機密情報を入力する従業員が一定数いることを指摘しています。こうした環境では、退職前後の情報持ち出しだけでなく、日常業務の中で機密情報や知的財産が外部サービスへ流出するリスクにも注意が必要です。（参照*4）。

不正に持ち出される情報の媒体は電子データであることが多い点も特徴です。クラウドストレージやオンラインサービスを介して営業秘密が持ち出された事案が報告されています（参照*5）。退職というタイミングは、権限管理の隙が生じやすい瞬間であり、電子データという複製が容易な形態と重なることで、情報持ち出しのリスクが一層高まります。

正規権限ゆえの検知困難性

内部不正が発見しにくい最大の理由は、不正を行う人物が正規のアクセス権限を持っている点にあります。外部攻撃とは異なり、内部不正を行うのは企業内の機密情報に正規のアクセス権限を持つ従業員であり、通常業務内でのアクセスと不正意図のあるアクセスが見分けにくいとされています。そのため不正行為がなかなか発覚しないことが多く、内部不正による被害規模が大きくなりがちだと報告されています（参照*6）。

外部からの攻撃であれば、不審な通信やマルウェアの痕跡といった明確な異常シグナルを手がかりに検知できます。しかし内部者による持ち出しは、日常的な業務操作の延長線上で行われるため、技術的な検知手段だけでは見抜けない場面が生じます。この検知の難しさが、防止の仕組みをあらかじめ整備しておくことの重要性を高めています。

IPAガイドラインに基づく防止体制

不正のトライアングル

内部不正の防止策を設計する際に役立つのが「不正のトライアングル」という考え方です。アメリカの犯罪学者ドナルド・クレッシーは、「動機」「機会」「正当化」の3つの要素が揃うと不正行為が起こりやすいと指摘しました。動機とは不正を働きたくなる要因、機会とは不正を実行できる状況、正当化とは不正行為を自ら正当化するための理由を指します（参照*1）。

防止体制を考えるうえでは、この3要素のうちどれか1つでも取り除くことが有効です。たとえば、機密情報へのアクセスを業務上必要な範囲に絞れば「機会」を減らせます。また、処遇の不満を放置しないことで「動機」の芽を摘むことにもつながります。IPAのガイドラインはこの理論を踏まえ、組織が講じるべき対策の枠組みを示しており、技術・人事・組織運営を横断した取り組みが求められています（参照*1）。

経営課題としての認識と組織体制

防止体制を実効性あるものにするには、経営層の関与が欠かせません。しかし、内部不正防止が「経営課題として捉えられている」と回答した割合は、調査ではほぼ40%にとどまり、高い水準には達していません（参照*9）。

課題としては、内部不正防止が「重要な経営課題」として認識されていないこと、営業秘密は各社の業務に依存するため定義が難しく守るべき情報資産を特定できていないこと、サイバーセキュリティ対策を講じているものの内部不正対策は後手に回っていることの3点が挙げられています（参照*10）。情報資産の洗い出しと優先度付けを経営層が主導しなければ、現場レベルの対策だけでは防止体制に穴が残ります。

技術的対策の選び方と導入手順

DLP・IRMによるデータ制御

情報持ち出しを防止するための技術的対策として、データそのものを制御する方法があります。代表的なツールがデータ損失防止（Data Loss Prevention：DLP）と情報権限管理（Information Rights Management：IRM）です。これらのツールを活用すると、情報の持ち出しに関するルールの遵守を可能な限り自動化でき、ルールの徹底が期待できます（参照*5）。

データの暗号化、データ分類とアクセス制御の強化、DLPツールの導入などを通じて機密情報の不正利用を防ぐ手段が挙げられています。外部ストレージへのデータ持ち出しやクラウドサービスの利用制限を適切に管理することで、内部からの情報漏えいリスクを軽減できるとされています（参照*3）。導入にあたっては、まず組織内の情報を重要度に応じて分類し、守るべき対象を明確にしたうえでツールの適用範囲を決める流れが合理的です。

UEBA・ログ監視による異常検知

正規権限を持つ内部者の不正を見抜くために有効な技術が、ユーザーおよびエンティティの行動分析（User and Entity Behavior Analytics：UEBA）です。UEBAの最大の特徴は、機械学習を用いてユーザーやデバイスの通常の行動パターンを自動的に学習し「ベースライン」と呼ばれる基準を確立する点にあります。たとえば「このユーザーはいつもこの時間帯にこのサーバーにアクセスする」「このデバイスは通常このくらいのデータ量をやり取りする」といった日常的な振る舞いを学習し、そのパターンから外れる動きを異常と見なします（参照*11）。

従来型のセキュリティツールが事前に定めたルールに基づいて検知するのに対し、UEBAはルールに定義されていない未知の逸脱行動も検出できます。ログ監視と組み合わせることで、退職予定者が突然大量のファイルをダウンロードするといった行動を早期に捕捉しやすくなります。ただし、導入直後は学習データが不足するため、一定期間のチューニングが必要となる点をあらかじめ見込んでおく必要があります。

人的・組織的対策と退職時の実務

秘密保持誓約書と教育の実効性

技術的対策だけでは内部不正を完全に防止することは困難であり、人的・組織的な対策が欠かせません。IPAの調査によると、多くの組織が講じている対策は、秘密保持義務の内部規則を定め就業規則で遵守を求めること、秘密保持義務契約書や誓約書を提出させること、就業規則に退職後の定めを規定することなどが中心です。しかし、これらは契約の締結や内規の作成・遵守に関わる基本的なものであるにもかかわらず、実施の割合は半数に達していません（参照*9）。

IPAは「入社、人事異動、退職等の重要なタイミングで、具体的に重要な秘密を示して何をしてはいけないのか、どのような時に上への報告が必要かを周知・徹底する」ことを推奨しています（参照*10）。抽象的な規定を並べるだけでなく、自社の秘密情報を具体的に示して禁止事項を伝える教育を節目ごとに行うことが、誓約書の実効性を高めるうえで欠かせません。

退職時チェックリストと権限即時削除

情報持ち出しが最も発生しやすいのは退職時です。退職時には特に注意が必要であり、書類やデバイスの回収、PCデータの確認、秘密保持義務を明記した誓約書の取得といったチェック体制を確実に行うべきだと指摘されています（参照*7）。

退職日当日に業務用アカウントやVPN接続、社内システムへのアクセス権限を即時削除することは、基本中の基本です。退職日以降も権限が残っていれば、外部から正規の認証情報を使ってデータを取得できてしまいます。貸与していたPCやスマートフォン、USBメモリなどの物理デバイスの返却確認も、チェックリストに組み込んでおくことが必要です。退職手続きを人事部門と情報システム部門が連携して進める体制をあらかじめ定めておけば、対応漏れのリスクを減らせます。

失敗例と注意点

対策の不備がどのような結果を招くのか、実際に発生した事例から学べることは多くあります。2023年10月、NTTビジネスソリューションズは同社に勤務していた元派遣社員が顧客情報の不正な持ち出しを行っていたことを公表しました。同派遣社員は2013年7月から2023年1月までの間に、運用に関わっていたコールセンターのシステムに管理者アカウントを悪用して不正アクセスし、少なくとも69組織の顧客情報928万件をUSBメモリーにコピーして持ち出していました（参照*2）。この事件の発生要因としては、保守作業端末にデータのダウンロードが可能な状態だったこと、保守作業端末に外部記録媒体を接続できる状態だったこと、セキュリティリスクの高い行動をリアルタイムに検知できなかったこと、各種ログの定期的なチェックが不十分だったことの4点が挙げられています（参照*12）。

退職者による持ち出し事案も報告されています。大手通信事業会社の高速通信規格5Gに関する技術情報が従業員の退職時に不正に持ち出された事案では、自己が管理するアカウント名のGoogleドライブに電子データをアップロードする方法により営業秘密が持ち出されました（参照*5）。いずれの事例でも、アクセス権限の制限やログ監視、外部媒体への書き出し制御といった防止策が事前に機能していれば、被害の規模を大幅に抑えられた可能性があります。

おわりに

内部不正・内部脅威への対策は、技術的な仕組みだけでも、規程や誓約書だけでも成り立ちません。不正のトライアングルの3要素を意識しながら、DLPやUEBAといった技術的対策、秘密保持誓約書と教育による人的対策、そして退職時の権限即時削除を含む組織的対策を組み合わせて初めて、情報持ち出しの防止が現実的なものとなります。

経営課題として内部不正防止を位置づけている組織はまだ4割程度にとどまるという調査結果が示すとおり、取り組みの余地は大きい状況です。まずは自社の情報資産の洗い出しと、退職時の実務フローの点検から着手してみてください。

お知らせ

内部不正や内部脅威への対策、情報持ち出しの防止に関する情報を集めておくことで、インフラエンジニアにとって案件選びの幅を広げることにつながります。
そして、インフラエンジニアが自身の仕事内容を把握することは、案件選びやスキル棚卸しに不可欠です。業務範囲や必須スキルを確認し、フリーランス向けの最新案件情報も参考にしましょう。
cyseekではフリーランスのITエンジニア向けの案件をご紹介しています。
案件に関する新着情報は、以下のリンクからご覧いただけます。

参照

cyseekはサイバーセキュリティ人材向けの案件紹介サービスサイトです。

サイバーセキュリティ業界に精通したエージェントが求人紹介、年収交渉、キャリアアップの実現など、採用課題の整理から稼働後のフォローまでトータルにサポートするほか、保有するノウハウを活かしフリーランスやサイバーセキュリティ人材に向けたコラムを発信しています。