開発者によるソースコードの持ち出しや、自宅作業のための機密情報の持ち出しなど、本人に悪気がなかったり、良かれと思ってした行為でも、内部不正にあたる場合があります。これらを防ぐには、社内教育や労働環境の整備などのソフト面と、システムによる防衛策といったハード面での対策が必要になります。
組織で発生する内部不正には、明確な悪意を持った不正行為だけではなく、本人に悪気がなかったり、良かれと思っての行為の場合が見られます。今回は、そのような事例を挙げて不正防止対策について説明します。
仕事で開発したソフトは自分の所有物なのか?
まず本人に悪気がない行為の例としては、ソフトウエア開発者による設計書やソースコードなどの開発物の持ち出しが挙げられます。有識者へのインタビューによって、ソフトウエア開発者の開発物の持ち出しは、主に個人的な利用が目的であることがわかりました。
今後携わるかもしれないプロジェクトで参考にしたり再利用できるのではないかと考えて、作成した設計書やソースコードを悪気なく持ち出してしまうのです。作成したソースコードを他の人にも役立ててもらいたい/見てもらいたいという理由で、自身のホームページで公開するために持ち出したという回答も少数ながらありました(図)。
本来、設計書やソースコードは開発元の企業に帰属するものですが、ソフトウエア開発者には、自分自身が作成した設計書やソースコードは自分自身の所有物だという意識があるようです。組織はソフトウエア開発者に、自身の開発物であっても開発元の企業の許可なく持ち出してはならないことを認識させておかなくてはなりません。
開発物の持ち出しには以下の方法が用いられていました。
|
情報管理の観点から情報システムの操作ログなどを監視していれば、許可のない開発物の持ち出しを早期に発見することができます。監視をしていない場合や監視をすり抜けた場合は、持ち出した者の自宅のパソコンからファイル交換ソフトによって漏洩したり、開発物を掲載した掲示板が検索エンジンにひっかかるなどして発覚しています。
