こんにちは、東証プライム上場企業で情報システム部のセキュリティ担当をしている城咲子です。CISSPと登録セキスペの資格を持ち、日々「経営の片腕」としてセキュリティと向き合っています。
さて、サイバーセキュリティと聞くと、多くの人が外部からのハッカーやマルウェアを想像するかもしれません。しかし、私たちセキュリティ実務家が本当に恐れている脅威の一つは、「内部不正」です。
なぜなら、内部者は「信頼」されており、正規のアクセス権を持っているからです。外部の攻撃者が何重もの壁を乗り越えなければならないのに対し、内部者はすでに城の中にいるのです。
東京商工リサーチの調査でも、情報漏洩事件の発生件数は4年連続で過去最多を更新しており、その脅威は増大しています。
国内の重大事例、法的リスク、そして私たちが実務で講じるべき組織的・技術的対策までを盛り込みました。「内部不正について深く理解したい」「本質的な対策を知りたい」という経営層の方、同僚である情シス・セキュリティ担当者の方にこそ、読んでいただきたい内容です。
- 第1部 日本における内部不正の現状:画期的な事件とその教訓
- 第2部 漏洩の解剖学:なぜ内部不正は起きるのか?
- 第3部 法的・財務的影響:「経営の片腕」として知るべきリスク
- 第4部 レジリエントな組織の構築:ガバナンスと内部統制
- 第5部 先進的技術防御:ゼロトラストという最終回答
- 結論:内部不正は「技術」「プロセス」「人」の三位一体で防ぐ
第1部 日本における内部不正の現状:画期的な事件とその教訓
まずは、国内で発生した大規模な情報漏洩事例を振り返ります。これらの事件は、単なる過去の失敗ではなく、私たちが学ぶべき教訓の宝庫です。情シス担当者として、私はこれらの事件を「対岸の火事」ではなく、「自社でも起こりうる現実」として分析しています。
1.1. 株式会社ベネッセコーポレーション事件(2014年):委託先リスクの典型
この事件は、約3,504万件という膨大な個人情報が、業務委託先の従業員によって持ち出され、名簿業者に売却されたものです。
- 手口: システムエンジニアが正規のアクセス権を悪用し、業務用端末から自身のスマートフォンにUSBケーブルで接続しデータを転送しました。
- 根本原因:
- 不十分な委託先管理: 委託・再委託が重なり、セキュリティ責任が曖昧になっていました。自社がISMS認証を取得していても、サプライチェーン全体で統制が効いていなかったのです。
- 技術的対策の欠如: スマートフォンの接続を許可しており、USBポートの制御やDLP(Data Loss Prevention)が機能していませんでした。
- 監視体制の不備: 大量データへのアクセスや持ち出しが長期間検知されませんでした。
城咲子の視点: この事件の最大の教訓は「アウトソースは責任のアウトソースではない」という一点に尽きます。システム運用を外部に委託しても、データ管理の最終責任は委託元(ベネッセ)にあります。私たちが実務で委託先を選定・管理する際は、契約書にセキュリティ条項を盛り込むだけでなく、「委託先が持つ特権IDを、自社の社員以上に厳しく監視する」という意識が不可欠です。
infomation-sytem-security.hatenablog.com
1.2. NTTグループ事件(2023年):長期間監視されなかった特権IDの脅威
記憶に新しいこの事件は、約928万件の顧客情報が、コールセンターシステムの運用保守を担当していた元派遣社員(システム管理者)によって、約10年間にわたり不正に持ち出されていたものです。
- システム的欠陥:
- システム管理者が本番データベースから直接データをダウンロード可能でした。
- 保守端末でUSBメモリなどの外部記憶媒体が利用可能でした。
- アクセスログや操作ログの定期的・実効性のあるチェックが実施されていませんでした。
城咲子の視点: これは「鶏小屋を狐に番させる」状態、つまり内部統制の完全な失敗です。最も強い権限を持つ「特権ID」を性善説に基づいて信頼し、「信頼するが検証する (Trust but Verify)」という原則を怠った結果です。
NTTグループは是正措置として、リモートデスクトップ接続の導入(直接ダウンロード禁止)、USBポートの物理的無効化、そしてログ監査を当事者以外の第三者組織が実施する体制を構築しました。これは「属人性の徹底排除」という私の信条とも合致します。特権IDの操作は、必ず「誰か別の人が」監視する仕組みを組み込まなければなりません。
infomation-sytem-security.hatenablog.com
1.3. 株式会社東芝の技術情報流出事件(2008年):企業スパイ活動としての内部不正
この事件は、個人情報ではなく、企業の競争力の源泉である営業秘密(技術情報)が標的となったケースです。提携企業の元技術者が、NAND型フラッシュメモリの重要情報を不正取得し、競合他社に漏洩させました。
- 法的枠組み: この事件は「不正競争防止法」が適用された典型例です。東芝の技術情報が「営業秘密」の3要件(秘密管理性、有用性、非公知性)を満たしていたため、法的な保護対象となりました。
- 影響: 加害者は実刑判決を受け、東芝は情報を受け取った競合他社に対しても民事訴訟を提起し、約330億円という高額な和解金を勝ち取りました。
城咲子の視点: IT化がいかに技術情報の窃取を容易にしたかを物語っています。かつてのスパイ活動のように書類を撮影する必要はなく、正規のIDでアクセスし、USBメモリ一本に膨大なデータをコピーできてしまいます。
経営層に伝えたいのは、「技術情報」も「個人情報」と同様に、あるいはそれ以上に厳格なアクセス管理と監視が必要だということです。特に退職者が競合他社へ転職する際の技術流出は、企業の存続を揺るがすリスクとなります。
infomation-sytem-security.hatenablog.com
1.4. 金融・公共分野のパターン:報復、過失、そして利得
その他にも、金融機関で解雇された元従業員が報復として顧客情報を流出させた事例や、平塚市で退職した元職員がアクセス制限のなかったPCから情報を持ち出した事例など、動機や原因は様々です。
- 金融分野: 転職先での営業利用や金銭目的のほか、「報復」という動機が特徴的です。
- 公共分野: 悪意よりも、アクセス制御ポリシーの不備といった「過失」や「管理体制の穴」に起因するケースが目立ちます。
これらの事例からわかるのは、画一的な対策では不十分だということです。金銭目的なら静かに大量のデータを狙い、報復目的なら破壊的な行動に出る可能性があります。人事部門とセキュリティ部門が連携し、リスクの高い状況(例:退職直前、強い不満を持つ従業員)を把握し、アクセス権のレビューや監視を強化するなど、的を絞った対策が必要です。
第2部 漏洩の解剖学:なぜ内部不正は起きるのか?
事件の背景には、共通するメカニズムが存在します。ここでは、犯罪学の理論を用いて内部不正の発生原因を解剖します。
2.1. 不正のトライアングル:動機、機会、正当化
米国の犯罪学者ドナルド・R・クレッシーが提唱した「不正のトライアングル」理論は、内部不正を理解する上で非常に有効なフレームワークです。不正は以下の3要素が揃ったときに発生するとされています。
- 動機 (Motive):
- 不正行為に駆り立てるプレッシャー。借金などの金銭的問題、待遇への不満、組織への報復感情など。
- 機会 (Opportunity):
- セキュリティ担当者が最も注力すべき要素です。これは、不正を実行できる環境、つまり「内部統制の欠陥」を指します。
- (例)業務に不要な情報にアクセスできる過剰な権限。
- (例)上司の承認なしに重要データを操作できる職務分掌の不備。
- (例)USBメモリの利用が野放しになっている物理的セキュリティの甘さ。
- (例)NTT事件のように、ログが監視されていない状況。
- 正当化 (Rationalization):
- 不正行為を自分の中で正当化する心理。「会社は私に借りがある」「他の皆もやっている」といった身勝手な論理です。
城咲子の視点: 情シス部門や経営層が、従業員の「動機」(借金など)や「正当化」(倫理観)に直接介入するのは困難です。しかし、「機会」は、組織のポリシー、内部統制、技術的対策によってほぼ完全にコントロール可能です。私たちの仕事は、この「機会」を徹底的に潰すことにあります。
2.2. 脅威の類型:誰が「内部」脅威なのか?
「内部脅威」と一口に言っても、そのリスクプロファイルは異なります。
- 現職・元従業員:
- 現職従業員は悪意または過失(うっかりミス)によって脅威となります。元従業員は、退職後のアカウント削除が遅れた場合に重大なリスクとなります(報復の動機と組み合わさると最悪です)。
- システム管理者および特権ユーザー:
- 最もリスクが高いグループです。NTT事件のように、彼らは広範なアクセス権と高度な技術知識を持ち、ログ改ざんなどで犯行を隠蔽する能力さえ持つ場合があります。
- 第三者(業務委託先、サプライチェーン):
- ベネッセ事件が示す通り、基幹システムへの特権アクセスを持ちながら、正規従業員と同レベルの監視や教育を受けていない場合があります。民法上の「使用者責任」により、委託先の行為は委託元の責任となります。
城咲子の視点: 脅威を類型化することで、対策の優先順位が見えてきます。一般従業員の過失はDLPや教育で防げますが、特権ユーザーの悪意を防ぐには、権限を厳格に管理する「特権アクセス管理(PAM)」と、彼らの操作を独立して監視する仕組みが不可欠です。
第3部 法的・財務的影響:「経営の片腕」として知るべきリスク
内部不正は、単なる「セキュリティ事故」ではなく、企業の屋台骨を揺るがす「経営リスク」です。情シス部門が「経営の片腕」として機能するためには、これらの法的・財務的影響を正確に理解し、経営層に説明できなければなりません。
3.1. 個人情報保護法:義務化された報告と「1億円」の罰金
特に2022年4月に施行された改正個人情報保護法の影響は甚大です。
- 報告・通知の「義務化」:
- 従来は「努力義務」だった個人情報保護委員会への報告および本人への通知が「法的義務」になりました。
- 1,000件を超える漏洩や、不正な目的による漏洩(内部不正含む)が発生した場合、3~5日以内の「速報」と30日以内(不正アクセスの場合は60日以内)の「確報」が必須です。
- 罰則の大幅強化:
- 委員会の措置命令に違反した場合、法人に対する罰金の上限額は最大1億円に引き上げられました。
城咲子の視点: 「罰金1億円」という数字は、経営層にとって非常にインパクトがあります。これは、情報漏洩対策が「推奨事項」から、遵守しなければ甚大な財務的ペナルティを課される「必須の経営課題」に変わったことを意味します。私たち情シスは、このリスクを盾に、必要なセキュリティ投資の予算を獲得する必要があります。
3.2. 不正競争防止法:企業の「宝」を守る法律
東芝の事件で適用された法律です。
- 営業秘密の保護: 技術情報や顧客リストなど、企業の競争力の源泉である「営業秘密」を保護します。
- 重い罰則: 違反した個人には最大10年の拘禁刑または2,000万円の罰金、法人には最大5億円の罰金が科されます(海外での使用目的ならさらに加重)。
城咲子の視点: この法律の保護を受けるには、企業側が「秘密管理性」を証明する必要があります。つまり、「これは秘密情報です」と機密表示をし、アクセス制限をかけるなど、「秘密として管理している」努力がなければ、法は守ってくれません。ルールを整備し、それを実行することがいかに重要かがわかります。
3.3. 民法(使用者責任)と裁判例:損害賠償額の相場観
従業員や委託先(指揮監督下にある場合)が不正を働いた場合、企業は民法第715条の「使用者責任」に基づき、被害者に損害賠償を行う責任を負います。
では、裁判所は損害をどう評価するのでしょうか? 判例を見ると、慰謝料額を左右する要因は明確です。
- 情報のセンシティビティ(質):
- これが最大の要因です。TBC事件では、エステのコース名やスリーサイズといった秘匿性の高い情報が漏洩したため、一人当たり3万5,000円という高額な慰謝料が認められました。
- 一方、ベネッセ事件やYahoo! BB事件では、氏名や住所が中心だったため、3,000円~6,000円程度にとどまりました。
- 二次被害の有無:
- 漏洩情報が悪用され、迷惑メールや金銭的被害が発生したかどうかも重要です。
- 企業対応の誠実さ:
- 事件後の迅速な通知、真摯な謝罪、お詫び(金券など)の対応は、慰謝料額を算定する上で考慮されます。
城咲子の視点: リスク評価において、漏洩件数という「量」よりも、漏洩した情報の「質」がいかに重要かを示しています。1件の医療情報や信用情報の漏洩が、数万件の住所録の漏洩よりも深刻な経営ダメージを与えうるのです。自社がどのレベルの情報を扱っているか、そのリスク認識を経営層と共有することが不可欠です。
第4部 レジリエントな組織の構築:ガバナンスと内部統制
技術的な防御(第5部)も重要ですが、私の信条は「自分が動くのではなくルールを変えて人と組織を動かす」ことです。強固な組織とプロセスこそが、内部不正の「動機」や「機会」を根絶する鍵となります。
4.1. IPA「内部不正防止ガイドライン」に基づく基本戦略
国内企業が参照すべき最も権威のあるフレームワークが、IPA(情報処理推進機構)の「組織における内部不正防止ガイドライン」です。このガイドラインは、技術論だけでなく、経営層の役割から職場環境までを網羅しています。
特に重要なのが、犯罪学の「状況的犯罪予防」に基づく5つの基本原則です。
- 犯行を困難にする(やりにくくする): アクセス制御の強化、職務分掌。(技術的対策)
- 捕まるリスクを高める(やると見つかる): ログ監視、監査の強化。(技術的対策)
- 犯行の見返りを減らす(割に合わない): データの暗号化。(技術的対策)
- 犯行の誘因を減らす(その気にさせない): 公平な人事評価、良好な職場環境。(組織的・人的対策)
- 犯罪の弁明をさせない(言い訳させない): 就業規則や誓約書の明確化。(組織的・人的対策)
城咲子の視点: このガイドラインを見てわかる通り、内部不正対策の半分以上は「技術」以外の領域、すなわち「人」と「組織」の課題です。
私たち情シスは、4と5(誘因を減らす、弁明させない)についても、人事部門や法務部門と積極的に連携すべきです。従業員の不満が「動機」となり、ルールの曖昧さが「正当化」の余地を与えるのです。公平な人事評価や風通しの良い職場環境は、それ自体が強力なセキュリティ対策となります。
4.2. サードパーティリスク:委託先管理の徹底
ベネッセ事件やNTT事件の教訓から、委託先管理(サードパーティリスク管理)は最重要課題の一つです。
- 選定・評価: 契約前に、委託先のセキュリティ体制を厳格に評価します(質問票、現地査察など)。
- 契約による統制: 秘密保持義務(NDA)、遵守すべきセキュリティ要件、監査権限、漏洩時の責任分担を契約書に明記します。
- 継続的な監視: 契約して終わりではありません。定期的な監査や、委託先従業員による自社システムへのアクセスログ監視を継続します。
- 最小権限の原則: 委託先には、業務に必要な「最小限の権限」のみを「最小限の期間」だけ付与します。
城咲子の視点: 実務では、委託先に「性善説」で丸投げしてしまいがちです。しかし、ベネッセ事件を教訓に、委託先に対しても「ゼロトラスト」(信頼しない)の原則で臨む必要があります。特に委託先が利用する特権IDは、自社で直接管理・監視する体制が理想です。
4.3. 内部通報制度:機能させるための「独立性」と「匿名性」
内部不正の「兆候」を早期に発見する仕組みとして、内部通報制度は重要です。しかし、多くの企業で形骸化しています。
- 機能しない理由: 「通報したら報復されるのではないか」という恐怖、調査プロセスへの不信感。
- 実効性を高める要件:
- 匿名性と通報者の保護: いかなる不利益も受けないことを徹底的に保証します。
- 独立性の確保: 通報の受付・調査を、社内の利害関係から独立した窓口(監査役、外部の法律事務所など)が担当します。
- 経営層のコミットメント: 経営トップが「すべての通報を真摯に受け止める」という姿勢(トーン・アット・ザ・トップ)を示すことが不可欠です。
第5部 先進的技術防御:ゼロトラストという最終回答
組織とプロセスを整えた上で、最後にモノ(技術)による防御を固めます。ここでは、CISSP/登録セキスペの視点から、現代の内部不正対策に不可欠なテクノロジーを解説します。
5.1. 譲れない技術的ベースライン
まずは、絶対に導入すべき基本的な対策です。
- ID・アクセス管理 (IAM):
- 最小権限の原則: 職務に必要な権限「だけ」を与えます。
- ライフサイクル管理: 入社・異動・退職に合わせ、アクセス権を即時に付与・変更・剥奪します(特に退職時の「即時剥奪」は最重要)。
- データ損失防止 (DLP) とデバイス制御:
- 機密情報の不正な送信(メール、クラウド)やコピー(USB)を検知・ブロックします。ベネッセ事件や東芝事件は、これが未整備だったために発生しました。
- 包括的なログ取得と監視 (SIEM/UEBA):
- 「誰が、いつ、どの情報にアクセスしたか」を記録します(ログ取得)。
- しかし、ログは「取るだけ」では意味がありません。SIEM (Security Information and Event Management) でログを一元管理し、UEBA (User and Entity Behavior Analytics) を使ってAIに「普段と違う行動」を検知させる必要があります。
- (例:深夜の大量データアクセス、普段アクセスしないサーバーへの接続)
5.2. 特権アクセス管理 (PAM):最強の「内部」を制御する
NTT事件の教訓は、「特権ID(管理者アカウント)」の管理がいかに重要かを示しています。PAM (Privileged Access Management) は、この特権IDを厳格に管理するためのソリューションです。
城咲子の視点: PAMは単なるパスワード管理ツールではありません。その本質は以下の3点です。
- アクセス制御: 誰が特権IDを使えるかを制御し、必要な時だけ貸し出します (Just-in-Time)。
- 操作内容の記録・監視: 特権IDを使った操作をすべて動画やテキストで記録し、不正な操作が行われていないかリアルタイムで監視・警告します。
- パスワードの秘匿: 管理者本人にもパスワードを知らせず、システム経由でのみアクセスさせることで、パスワードの使い回しや漏洩を防ぎます。
これは、「信頼するが検証する」を技術的に強制する仕組みであり、内部不正対策の要です。
5.3. ゼロトラスト・パラダイム:「内部も信頼しない」という戦略的回答
そして、これらすべての対策の集大成とも言えるのが「ゼロトラスト」アーキテクチャです。
- 基本原則: 「決して信頼せず、常に検証せよ (Never Trust, Always Verify)」
- 旧来のモデルとの違い:
- 従来の「境界型(城と堀)」モデルは、「社内ネットワーク=安全(信頼できる)」、「社外=危険」という前提でした。
- しかし、ベネッセ事件やNTT事件が示したように、脅威は「内部」にこそ潜んでいます。
- ゼロトラストの仕組み:
- 社内・社外を問わず、すべてのアクセス要求を「信頼できないもの」として扱います。
- アクセスのたびに、「①そのユーザーは本物か?(多要素認証)」「②そのデバイスは安全か?(セキュリティ状態のチェック)」「③そのアクセスは妥当か?(最小権限)」を厳格に検証します。
城咲子の視点: ゼロトラストは、内部不正対策における根本的なパラダイムシフトです。「信頼された内部者」という概念そのものをなくし、すべてのアクセスを「検証」の対象とします。
これにより、万が一アカウントが乗っ取られても、あるいは正規の従業員が悪意を持っても、その権限でできることを最小限に抑え、異常な振る舞いを即座に検知することが可能になります。内部不正対策に悩むすべての組織が目指すべき、究極のアーキテクチャだと私は考えています。
結論:内部不正は「技術」「プロセス」「人」の三位一体で防ぐ
内部不正による情報漏洩を防ぐための「特効薬」は存在しません。本記事で徹底的に解説したように、効果的な防御は、複数の要素を組み合わせた統合的かつ多層的な戦略によってのみ実現可能です。
- 強固なガバナンスと組織文化(人):
- 経営層の明確なコミットメント。セキュリティを重視し、公正な処遇を行うポジティブな組織文化。「動機」と「正当化」を減らします。
- 堅牢なプロセス(プロセス):
- 採用から退職までをカバーする厳格な人事プロセス。サプライチェーン全体を視野に入れた徹底的な委託先管理。内部通報制度の整備。「機会」をルールで潰します。
- 先進的なテクノロジー(技術):
- ゼロトラストの原則に基づき、IAM、PAM、DLP、SIEM/UEBAを統合した現代的なセキュリティアーキテクチャの構築。「機会」を技術で潰し、「実行」を検知します。
内部不正との戦いは、一度対策を講じれば終わりではありません。それは、新たな脅威、変化するビジネス環境、そして進化するテクノロジーに対応し続ける、リスクマネジメントの継続的なプロセスです。
私たち情シス担当者は、経営の片腕として、これら三位一体の対策を粘り強く推進し、組織全体のレジリエンス(回復力)を高めていく責任があります。
この記事が、あなたの組織の内部不正対策を見直すための一助となれば幸いです。
引用文献
- 【2025年最新】個人情報漏洩事件・被害事例ニュースまとめ|不正検知Lab
- お客様情報の漏えいについてお詫びとご説明|ベネッセホールディングス
- あの“ベネッセ事件”の真実|情報漏洩の原因と再発防止策|コラム ...
- 事故の概要 | お客様本部について|ベネッセグループ
- 個人情報漏えい事故調査委員会による調査結果のお知らせ|ベネッセ ...
- 【2025】個人情報漏洩の有名・最新事例12選!ベネッセの事例・原因や有効な対策も解説|キャド研
- 「ベネッセ大規模情報流出事件」から学ぶセキュリティ対策|Cybersecurity-Info
- 情報漏洩の事例【最新版 2024年上半期】|内部不正対策ソフトならティエスエスリンク
- 報道発表「特定健康診査受診電話勧奨業務委託における個人情報の流出について」|岸和田市
- NTTビジネスソリューションズに派遣された 元派遣社員による ...|NTTビジネスソリューションズ
- 内部不正対策とは?|事例から学ぶ傾向と3つの対策ポイント|NRIセキュア
- 内部不正を防ぐには?対策の基本的な考え方とソリューションを解説|セキュア
- お客さま情報の不正持ち出しを踏まえた NTT西日本グループの情報 ...|NTT西日本
- 【2025】情報漏洩が発生したNTT系の企業を3社紹介!原因・補償内容・NTTの事後対策まで徹底解説|キャド研
- 【発生要因別】セキュリティインシデント事例11選と企業がとる ...|AI QVene (アイキューブワン)
- 東芝研究データ流出事件|Wikipedia
- 知的財産ニュース 東芝の半導体技術がSKハイニックスに流れた疑惑を捜査|ジェトロ
- 技術流出の被害想定額は1,000億円、技術流出は技術で防止可能 ...|FinalCode
- 東芝研究データ流出事件に見る営業秘密保護方策の変遷|Nitech Repository
- 営業秘密の漏洩で懲役5年+罰金300万円!|弁護士谷原誠の法律解説ブログ
- 実際に起きた情報の不正持ち出し事例|リスクと対策を併せて解説|株式会社アクト
- プルデンシャル生命、元従業員による情報持ち出しで個人情報漏洩の可能性|Rocket Boys
- 【銀行出向社員による情報流出事件から学ぶ】組織間の垣根が低い働き方が招く内部不正とは?|FinalCode
- 【最新】情報漏洩の国内事例10選!原因から対策まで解説|wiz LANSCOPE ブログ
- 情報漏えいの事例13選!有名な被害事例を一覧表でわかりやすく紹介|株式会社IWI
- 内部不正による情報漏洩の事例5つ!漏洩が起きる要因や防止対策ポイントも解説|Watchy
- 内部不正とは?よくあるパターンや原因、対策を解説|インターコム
- 内部不正とは? 情報漏洩が起こる要因や影響、対策のポイントを解説|SKYSEA Client View
- 内部不正対策とは?主な手口と効果的な方法を解説|ティエスエスリンク
- 内部不正とは?発生原因、防止対策を事例付きで解説|ミスター弁護士保険
- 内部不正による情報漏洩の事例と3つの対策方法を解説|NRIセキュア
- 委託先からの個人情報の流出|【公式】弁護士法人 ロア・ユナイテッド法律事務所
- 組織における 内部不正防止ガイドライン|IPA
- 「改正個人情報保護法」に向けた行動を~すぐに着手すべき ...|JBS
- 漏えい等の対応とお役立ち資料|個人情報保護委員会
- 2022年4月に改正された個人情報保護法をわかりやすく解説|京セラドキュメントソリューションズ
- 個人情報保護法 いわゆる3年ごと見直し規定に基づく検討(実効性のある監視・監督の在り方①)|個人情報保護委員会
- 営業秘密漏えい防止|警視庁ホームページ
- 不正競争防止法違反とは?会社のデータ持ち出しは営業秘密侵害罪?|アトム弁護士相談
- 平成27年不正競争防止法の改正概要 (営業秘密の ...|経済産業省
- まとめ「個人情報の漏えいの損害賠償額の判例まとめ」|企業法務ナビ
- 個人情報漏洩の損害賠償の金額についてわかりやすく解説|咲くやこの花法律事務所
- 個人情報漏洩(えい)による損害賠償の金額は?3つの事例をもとに解説|【公式】損保ジャパン
- 情報漏洩による損害賠償の相場は?事例から読み解く金額やリスク|日本通信ネットワーク
- 損害額はどれくらい?情報漏洩による賠償金の相場を解説|KOTORA JOURNAL
- 組織における内部不正防止ガイドライン|情報セキュリティ|IPA ...
- IPAが「組織における内部不正防止ガイドライン」第5版を公開|JPCERT/CC
- 組織における内部不正防止ガイドラインとは?第5版の改訂ポイントを解説|アビタス
- 経済産業省とIPAの新しい取り組みに見る情報漏えい/ 内部不正対策の新潮流 ~第2回|NTTデータ経営研究所
- サイバーセキュリティ対策・内部不正防止対策|経済産業省
- 組織における 内部不正防止ガイドライン|(PDF)
- 再確認したい!委託先管理の重要性|セキュマガ|LRM株式会社
- 情報漏洩の原因とは? 事例や対策を解説|SKYSEA Client View
- ソフトバンク、業務委託先から顧客情報14万件流出 ...|DataClasys
- 内部通報制度の実効性向上の必要性|消費者庁
- 内部通報の失敗事例から学ぶ、制度の改善ポイント|株式会社エス ...
- 内部通報制度の運営状況アンケート調査(2024年)|株式会社エス・ピー・ネットワーク
- 【弁護士解説】コーポレートガバナンス強化の必要性|近年の不正事例と具体的な強化施策12選|No-limit
- 内部通報制度とは|重要性や実務運用上の課題を近時の企業不祥事などを踏まえて解説|No-limit
- 企業不祥事における内部通報制度の実効性に関する調査・分析業務|消費者庁
- NTT西日本の個人情報流出事件から学ぶべき企業の内部不正・情報漏洩問題とその対策|Exosphere
- ゼロトラストとは?基本概念からメリット・課題までわかりやすく解説|OPTAGE for Business
- ゼロトラスト:その詳細と仕組み|Elastic
- ゼロトラストの仕組みは?メリットやデメリットも徹底解説|Fortinet
- ゼロトラストの導入事例 各社はこのように導入している|InfoGov
- (参考資料1)民間企業におけるゼロトラスト導入事例|デジタル庁
- 企業のビジネスを守る ゼロトラストセキュリティ入門 - 導入事例編|NTTデータ先端技術
