1.対象の概要(入門知識)
人的ミス・内部不正リスクとは、従業員や関係者が行う誤操作や不注意、または意図的な不正行為によって、情報漏洩・システム障害・信頼失墜が発生するリスクを指す。
悪意の有無にかかわらず「人」に起因するため、発生頻度が高く、被害規模も甚大になりやすい。
1-1.主な分類
| リスク・ロス | 内容 |
| 操作ミス(誤操作) RL-150 | システムや機器操作の誤りによる削除・設定ミス。 |
| 意図しない情報漏洩 RL-151 | 誤送信・誤公開など、悪意はないが漏洩を招く。 |
| 内部不正アクセス RL-152 | 正規権限を持つ社員が不正利用。 |
| 設定ミス(管理者 RL-153 | アクセス権やセキュリティ設定不備。 |
| 無断持ち出し RL-154 | USB等での情報持ち出し(意図的・無意図的)。 |
| アカウント共有 RL-155 | 個人アカウントを複数人で共有、追跡困難化。 |
| パスワードの杜撰管理 RL-156 | 安易なパスワードや紙での掲示。 |
| ソーシャルエンジニアリング被害 RL-157 | なりすまし電話・SNSで情報収集される。 |
1-2. 概要図
中央に「人的ミス・内部不正」
左側に「誤操作/不注意」(操作ミス・誤送信・管理者設定ミス)
右側に「不正行為」(内部不正アクセス・無断持ち出し・アカウント共有)
下部に「セキュリティ意識不足」(パスワード杜撰管理・ソーシャルエンジニアリング)
外周に「情報漏洩」「業務停止」「信用失墜」を矢印で接続
2.ケーススタディ
ある製造業E社では、社員が取引先に送るメールに添付する書類を誤って別のフォルダから選び、顧客情報を含むファイルを送信してしまった。
本人に悪意はなかったが、顧客1,000件分の個人情報が外部に流出。
さらに調査の過程で、社内では「アカウントを部署で共有」していたことが判明。誰が誤送信したのか特定できず、責任所在も不明瞭だった。
この事件はニュースでも取り上げられ、E社は「情報管理が杜撰な会社」として信用を大きく損なった。
3.主なプロセス(流れ)
人的要因の潜在:不注意・管理不備・セキュリティ軽視
誤操作/不正行為:誤送信、設定ミス、内部不正、持ち出し
情報漏洩・障害発生:外部への流出、システム停止
検知遅れ:責任不明瞭や監視不足により発見が遅れる
被害拡大:顧客・取引先の信頼喪失、社会的批判
4.トラブルや被害
4-1.トラブルや被害(一次被害)
情報漏洩(顧客・従業員データ)
システム障害や業務停滞
誤削除や設定ミスによるサービス停止
4-2.トラブルや被害(二次被害)
顧客・取引先からの信頼喪失
訴訟・損害賠償請求
行政処分・罰金
報道・SNSでの炎上、ブランド価値低下
社員のモラル低下・離職
5.要因(なぜ起きるのか?)
教育不足:セキュリティ研修や操作訓練不足
監視・統制不備:権限管理・アカウント管理が甘い
属人化:手順書未整備や責任の曖昧さ
セキュリティ意識低下:「大丈夫だろう」の思い込み
動機的要因:不満・金銭欲による内部不正
組織文化:報告しにくい雰囲気、チェック体制の欠如