不正のメカニズム



 人はどうして不正をしてしまうのでしょうか?そのことを解明すれば、不正行為の発生を抑えることに役立つかもしれません。特に内部犯罪には有効だと思います。

 内部犯行者は社内ネットワーク内にいて、しかもアカウントを持ち、アクセス権限も持っています。社内の人間が一旦犯行を思い立ってしまうと、簡単にできてしまうという一面があります。また、実際に権限を持っている人間のすることですので、被害は大規模なものになります。アクセス権限を持っている人間の犯行は、アクセス制御やログなどの技術的な防御機構では気づきにくく、実際に甚大な被害が発生してしまった後に初めて発覚するということが一般的です。TVや新聞などのマスコミで取り上げられることが少なく、世間の注目は今一つですが、発生件数は多く、被害も大規模です。



不正の発生要因

 不正はなぜ起きてしまうのでしょうか。人はなぜ不正を働くのでしょうか?米国の組織犯罪研究者のドナルド・R・クレッシーはこのことに関して体系的な研究を行い、「不正のトライアングル」という考え方を提唱しました。

 彼は横領犯罪者に興味を持ち、犯罪者が誘惑に負けた環境に着目して研究を重ね、「不正のトライアングル」という考え方が有効であると気づきました。

 不正のトライアングルという理論では、不正リスクの要因を、動機、機会、正当化という3つの要素に分けて、分析します。



機会の認識

 「機会」とは不正を犯す機会、職場環境がこれに当たります。例えば、請求業務と入金業務を一人の人間が担当するという環境がこれに当たります。情報セキュリティの場合は、機密情報を扱う部署の人間、あるいは利害関係者が、ファイルのアクセス権の設定業務を行っているような場合、個人情報を扱う担当者が、個人情報の持ち出し許可権者を兼ねている場合などがこれに当たります。犯罪を犯す機会が存在しないように、業務の流れを検討する必要があります。



不正を犯す動機

 「動機」とは、不正行為をするしかないと考えるに至る事情です。例えば、横領する動機としての「借金返済に追われている」などの事情です。誰にも相談できないという状況がきっかけになっているとも言われています。

 割り当てられた責務が大きすぎて手に負えない状況になっているとか、失敗をしたが上司や仲間に知られる前に取り返したいという場合でも、気軽に周りの人に相談するという関係ができていれば不正に走る機会は減るはずです。地位向上への渇望があっても、地位向上への明確な筋道が示されていれば道を踏み外すことはないでしょう。経済状態などでも、「困っていることがあれば相談する」という窓口が職場に用意されていれば、不正に手を染めることを思いとどまらせることができるかもしれません。職場で孤立している人が相談できるカウンセラーなども必要かもしれません。もちろん、相談といっても、直属の上司や、相談窓口、カウンセラーだけでは解決できない場合もあります。このような場合には、被雇用者と、雇用者の関係にも注意を払わなくてはなりません。



正当化

 「正当化」とは、不正行為を自らに納得させる理由付けのことです。不正をしようとするときは、誰でも良心の呵責があるはずです。その良心の呵責を振り切って不正を実行するには、何らかの力によって背中を押してもらう必要があります。これが正当化です。

 例えば、仕事を期限までに片づけるには自宅残業が必要だからという理由付けをして、会社管理の個人情報をUSBに入れて持ち帰ったところウィルスに感染して、漏えいさせてしまった場合などが考えられます。この場合には、自宅残業をせざるを得ない状況に追い込まれたのは、上司がスケジューリングに誤り、自分に過大な業務を押し付けてきたからである。個人情報を上司に無断で持ち帰らざるを得なかったのは上司の責任である。また、自分が自宅残業でノルマを達成すれば、プロジェクトは成功し、会社のためにも、上司のためにもなる。不正したのは、自分の利益のためではなく、会社や上司のことを考えた上でのことなのだ。だから、自分は少しも非難されるべきところはないのだ、と言い聞かせることです。



不正を未然に防ぐためには

 不正を未然に防ぐためには、機会、動機、正当化のどれかを解消することです。具体的には次のような対策が考えられます。

要素 対策
機会 ●サーバルームには監視システムを導入する。●機密情報は暗号化して、復号鍵を持つ者を限定する。●ファイルのアクセス権限は業務と関係ない者が設定する。●個人情報や機密情報は個人の判断で持ち出せないような仕組みにする。持ち出したデータは管理簿で管理し、使用済みのデータは削除されたことを、当事者に確認させる。●個人管理のパソコンには業務データを保存しない。●USBメモリは会社管理のもの以外は利用させない。
動機 ●社員が深刻な悩みを持たないように相談窓口を設ける。●上司との関係が良好になるような工夫をする。●社員を孤立させないような職場を目指す。●仕事の適性、満足度調査などを実行して、仕事に不満を持つ社員がいないかチェックをする。
正当化 ●プロジェクトのタイムスケールを検討して、無理がないかをチェックする。●部下から見て不適格な管理職がいないかチェックする。

 スマートフォンで使うSDカードはパソコンでも使えますので、非常に悩ましいところです。できれば、スマートフォンも会社管理のものに限定すべきです。



更新記録
2017/10/13            作成

















ページの先頭へ