内部不正が発生する要因について

はじめに

　ドジャースがワールドシリーズで勝利し、大谷選手は世界一の目標を達成しました。
　目標を明確に定め、困難に直面してもブレず歩みを止めない。
　驕らず、感謝の気持ちを忘れず、さらに高みを求める姿勢など、彼から教えられることを多すぎて、言い尽くせません。
　これからも、ますますの活躍をお祈りします。
　世界中に感動と勇気を与え続けてください。

「動機、機会、正当化」の３つの要素

　さて、内部不正に関するニュースが後を絶ちません。
　どうすれば内部不正を防ぐことができるのでしょうか？

　不正を犯す要素と対処策について、自身が所属した組織の状況も踏まえて、組織や上司（管理者）が実施すべきことについて述べたいと思います。
　長文になりましたので、2回に分けて投稿いたします。

　どうすれば内部不正を防ぐことができるのでしょうか？

　不正のトライアングルといわれる「動機、機会、正当化」の３つの要素を排除することが重要とされています。

　まず「動機」について
　　社員のやる気を高めて、働きやすい環境を整備して社員の不満やストレスを減らす。適正な評価と報酬を与えて、不正を犯そうとする動機をなくす。

　次に「機会」について
　　重要な情報を区別して、アクセス制御を施し、情報に近づけないようにする。USBメモリを使用できないようにして情報の持ち出しを困難にする。
重要な情報を扱う部署には監視カメラを設置するなどで、不正を犯そうとする機会を排除する。

　最後に「正当化」について
　　従業者に対して、コンプライアンスや情報セキュリティに関する研修を実施する。社内の倫理規定、懲戒規程を整備して従業者に理解させることで、不正を正当
　化する理由をなくす。

　以上のような対処が必要と言われています。

私が従事していた職場の状況

　私が従事した職場の状況は、不正を根絶できる環境が整備されていたのか、思い出してみることにします。

　上司とのコミュニケーションは良好でした。
　部下とも同様に、信頼関係を構築でき、楽しく、忙しく業務に従事できていました。
　定期的なストレスチェックが実施されていましたし、評価も公平性を持ってなされており、納得感を持っていました。

　社内の業務ネットワークの環境では、サーバーのフォルダ毎にアクセス権が設定され、USBメモリの利用もシステムで制限されていました。
操作ログ、アクセスログも取得し、データ解析がなされ、評価されていました。

　情報セキュリティやプライバシーマークのマネジメントシステムが適応されており、毎年定期的な従業者教育も実施されていました。

　懲戒を含む規定類も整備されており、非正規社員含めて、退職後も情報管理を遵守するよう、指定された「宣言書」に署名し、運用されていました。

　「動機、機会、正当化」の要素を排除する施策が適応されていたようです。

　このような環境の組織では、内部不正を発生させる要素はないと思われます。

　ちなみに、当時の私の業務所掌は、情報セキュリティ、情報システムの責任者です。
　プライバシーマークの運用リーダー、BPR、DXのリーダーでもありました。

　私はフォルダアクセス権の設定を決める権限、USBメモリ利用を可能とするシステム対応を実施する権限を有していました。
　私は、区分された重要な情報にアクセスし、社外へ持ち出す権限がありました。

　内部不正に直結する権限が集中していました。
　操作ログ、アクセスログの解析、評価、経営幹部へのレビューも所掌していました。
　ログの解析結果も容易に改ざんできます。

　しかも解析結果の正当性をモニタリングする手順を整備していませんでした。

　つまり私は組織にとって要注意人物とされるべきポジションに身を置いていました。

　誰も私が、内部不正を犯すとは思っていませんでした。
　組織にも内部不正が発生するような雰囲気はありませんでした。
　従業者は皆真面目で、真摯に業務に向き合っていました。

内部不正を犯す人

　不正は軽い気持ちから始まると言われています。
　自身の仕事と関連するところから始め、反復される。

　業務に精通しているため、隠ぺいが可能で、エスカレートする。
　業務成績が良く、信頼が厚い従業者が不正を犯すとのことです。
　そのような従業者は、管理の抜け道を見つけることができるそうです。

　では、どうすれば、内部不正を防ぐことができるのでしょうか？
組織は、上司は、何をすればいいのでしょうか？

内部不正への対処について、次回に述べたいと思います。