ランサムウェアと内部不正、そしてコンプライアンスを年末年始に考える

　新しい年を迎え、皆さまも穏やかな年末年始を過ごされたことと思います。
　今年もどうぞよろしくお願いいたします。

　さて、昨年を振り返ると、社会にインパクトを出来事がいくつかありました。
　ランサムウェア攻撃により飲料メーカーや物流会社のシステムがダウンし、社会生活に大きな影響がでたことがその1つです。
　詳細な原因は確認できていませんが、当該企業の調査結果によると、「業務委託先に付与していた管理者アカウントのIDとパスワードが漏えいし不正に利用された」ことを契機にランサムウェア攻撃を受けたことです。

　この一文だけを読んでも何点か疑問が思い浮かんで来ます。
　・　委託先にどんな管理者アカウントを払い出すのだろう？
　・　なぜ、その管理者アカウントが外部に漏えいしだろう？

　もしかしたら、組織の取り決めに少しの不備があり、その運用にちょっとした油断があったのではないでしょうか。
　本当に小さなミスが、大きな事故につながってしまいます。
　だからこそ、情報セキュリティに対するリスク対応は、今後ますます重要になっていくと思います。

　もう一つ、年末に大きく報じられたのが、大手マスコミで発生したコンプライアンス事案です。
　コンプライアンスを統括する役員自身が、社内の飲食費を「交際費」として不正に申請していたということです。内部通報によって発覚し、会社は役員の辞任と再発防止策の徹底を発表しました。

この事案から、「悪意を持った内部犯行を完全にシステムで防ぐことは極めて難しい」という現実を改めて認識しました。

　会社は、社内教育により意識を浸透させたり、 内部監査を実施したり、組織内の相互チェック機能を強化するなどの取り組みを実施し、コンプライアンスを強化しますが、「コンプライアンス部門のトップ」が不正を行った組織はどのようにガバナンス体制を再構築するのでしょうか。

　再発防止を徹底するために実行する対策の検討は本当に難しいと思います。
　AIを活用したチェックの強化など、技術的な工夫の余地はあるのでしょうか。

　例えば、監査の場面で、過度な支出がないか、特定の人物・同一企業に申請が偏っていないか、といった「異常値」をチェックすることを強化することは有効であると思います。また、裏を取るために、当該の飲食店に出向いて当日の状況を調査したり、会合に出席した相手の方に事実確認をすることも有効ですが、現実的ではありません。

「悪意を持った人間による不正をゼロにする」ために、組織は社内教育を徹底して、「不正を許さない文化」を創造することに尽きるのではないでしょうか。
　本当に、当面の間、交際費の支出を止めるという判断が必要なのかもしれません。
　それほどまでに、内部不正の防止は難しい課題であると思います。

　コンプライアンスは“仕組み”だけでは守れません。 

　最終的に組織を守るのは、そこで働く一人ひとりの意識です。

　今年も、社会全体でコンプライアンスの重要性を再確認しながら、より健全な組織づくりに向けて歩んでいきたいものです。