内部関係者による犯罪を防ぐ「身元調査」「リスク評価」 どう実施する？：他人事ではない？

内部関係者による脅威は企業に重大なリスクをもたらす。本稿では、内部関係者による脅威を防ぐため、身元調査とリスク評価を利用する方法を取り上げる。

[Peter Sullivan，TechTarget]

内部関係者による脅威はどの企業にも起こり得る

　企業が犯す恐れのある最も大きな失敗の一つは、「内部関係者による脅威の問題は自社には関係がない」と思い込んでしまうことだ。全てのサイバー犯罪のうち30％近くは内部関係者が引き起こした可能性があることを、さまざまな調査や研究が示している。本稿では、内部関係者による妨害工作、窃盗、不正行為への対処として企業が使える保護戦略を取り上げる。

併せて読みたいお薦め記事

企業のITセキュリティ事情

• 「最高情報セキュリティ責任者」（CISO）は、なぜすぐ辞めるのか
• IPA「SECURITY ACTION」で学ぶ、中堅・中小企業が最低限やるべきセキュリティ対策
• 人工知能（AI）技術によるセキュリティ対策　企業は何に期待しているのか

内部関係者による脅威への対処

• 内部関係者によるソースコードや設計データの盗難はなぜ起きる？
• 最新レポートで読み解く企業の「本当の敵」とは　最新レポートの結果を紹介

採用前の身元調査

　従業員採用のプロセスは、企業が内部関係者による脅威行動のリスクを低減できる最初の機会だ。

　身元調査では、犯罪歴、履歴書の詐称、学歴や専門資格の不正提示について確認を取る。応募者の職場における問題対処能力について、前職の雇用主と話し合うことも必要だ。同僚との問題解消力についても聞き取らなければいけない。応募者の素性を確認することで、ある種の責任から雇用主が身を守れることもある。

　採用前の身元調査を実施する場合、留意すべきことが幾つかある。まず、身元調査は法律事務所や民間調査会社に委託することを考える。こうした会社は、守秘義務と応募者への通知要件について、該当する法律を全て確実に守れる。次に、採用前審査はその職位を問わず全ての求職者を対象に実施しなければならないことを企業は理解しておく必要がある。採用前身元調査を実施していない応募者がいると、差別や違法と見なされる恐れがある。

　応募者が採用を承諾してから身元調査を実施する雇用主もいる。その場合、必要な身元調査の回数とそれに伴う出費を減らすことができる。一方で雇用主は、採用承諾後それなりの期間にわたって実施される身元調査の結果に応じて、合否が変わる可能性があることを応募者に周知しなければならない。

　採用前の身元調査を実施する場合は、その方針をじっくりと検討することが不可欠だ。何を確認するかを決めておかなければならない。例えば、犯罪履歴、職歴、学歴、身元保証人、信用調査、運転歴、判決による確定義務、留置権などが確認対象になる。雇用対象として不適切と見なす不都合な調査結果を厳密に定義することも検討が必要だ。事前に定義しておくことで、企業が差別的な判断を下すのを防ぎ、全ての応募者を平等に扱うことに役立つ可能性がある。

リスク評価

　内部関係者による脅威から身を守るのに役立つリスク評価の種類は幾つかある。