Comments
Description
Transcript
サイバー犯罪: 増大する脅威から組織 を守る 経済犯罪意識調査
www.pwc.com/jp サイバー犯罪: 増大する脅威から組織 を守る 経済犯罪意識調査 78カ国、3,877名からの回 答により、経済犯罪に関す るグローバルの動向を調査 した。 November 2011 目次 序文 1 エグゼクティブサマリー 4 注目されるサイバー犯罪 7 不正行為、不正行為者とその被害者 16 まとめ 28 付記 調査手法 29 序文 サイバー犯罪: 新たなる脅威 私たちが経済犯罪意識調査を開始して10年が経ったが、この10 年間、非常に多くの出来事があった。 何千億円規模の不正会計が新聞の一面を飾った。そして、1930 年代以来最悪の経済危機の始まりを目撃した。また、ビジネスの やり方や私たちの生活におけるテクノロジーの変遷を目の当たり にした。 前回の調査では、不況下における不正と不正会計をテーマとした 調査を行った。今回は、高まるテクノロジーへの依存がもたらし た新たなる脅威、「サイバー犯罪」へ焦点を当てている。 10年前の私たちの調査では、多くの人はサイバー犯罪が何かとい うことすら知らなかった。しかし、今年の調査では、サイバー犯 罪は、資産横領、不正会計、贈収賄・汚職に次いで4番目に多い 経済犯罪という結果となったのである。 あらゆるビジネスは、外部だけでなく内部のサイバー犯罪者から の脅威にさらされている。当然のことながら、経営者たちはこの サイバー犯罪のリスクをより深刻に受け止めなければならない。 心配なことに、10人中4人の回答者が、サイバー犯罪を防止もし くは発見する能力が自身の組織にはない、と回答している。 増加する不正行為 不正行為についてより広範囲に見てみるとどうだろうか。2年前 の調査では、回答者のほぼ半数が不正行為は増加している、と回 答した。不正を行う機会の増加と、プレッシャーの増大により不 正を犯してしまうということだ。その回答は正しかったことが証 明されたのである。2011年の調査では、前回より多くの組織が 不正の被害にあったと回答した。そして今回の回答者たちもま た、この傾向は続くと考えている。 つまり、10年が経過したが、経済犯罪の脅威は今もなお増え続け ている。私たちのレポートが、経済犯罪に対抗する手段の一助と なることを願っている。 Tony Parton Partner, Forensic Services, PwC 英国 サイバー犯罪:増大する脅威から組織を守る 1 経営陣による サイバー犯罪 対抗策 ビジネス界も政界も、ソーシャルネットワークからクラウドコン ピューティングに至るサイバー社会の恩恵を受けている。問題は 多くの人、特に上層部がそのリスクに対処しきれていないという ことだ。 従来、組織のトップたちはサイバーセキュリティをITの問題と位 置づけてきた。しかし、それは攻撃に対して無防備なリスクアプ ローチだと言える。 サイバーセキュリティはITだけの問題ではない。それは、従業員 がセキュリティポリシーを理解しているかどうか確認したり、サ イバー攻撃から組織を守る専門知識・能力を持った人を雇い入れ る責任のある人事の問題でもある。また、法律や規制への準拠を 促す法務・コンプライアンス部の問題でもある。そして、物理的 に事務所やIT機器を守るという問題でもあるのだ。さらに、新商 品を投入する際にサイバーセキュリティについても考慮するマー ケティングの問題でもある。 もし組織があらゆる角度からサイバーセキュリティというものを 見なければ、落とし穴を見逃すことになってしまう。つまりこれ は、取締役レベルで広く話し合われなければならない問題なの だ。経営者たちは、そのリスクを深く理解した上で、この問題に 取り組まなければならない。 経営者たちは実行に移さなければならない では、経営者たちは何をすべきだろうか?それは下記のようなこ とである。 • サイバーセキュリティに関して、誰が何について責任があるの か明確に決定する。 • 常に最新の知識を持つ(サイバー犯罪の変化は速いので、常に 新たなリスクが生まれている)。 • 自分たちの組織が、リスクをよく理解し、問題が起こったとき に素早く対処できるようになっているか、常に確認しておく。 今回の調査の回答者は、サイバー犯罪は増加傾向にあると考えて いる。あらゆる組織は正しい防御策を講じておかなくてはならな い。そしてそれは経営陣が指揮を取ってやるべきことである。 William Beer Director, Cyber Security Services, PwC 英国 2 PwC 学術的 パートナー からの一言 第6回目の経済犯罪意識調査を行うにあたり、PwC 1 に対して助 言を与える機会をいただけたことを嬉しく思う。ビジネス界も 学術界も、偏りのない信頼性のある情報に基づいて、この問題 についての研究を発展させることができるのだ。 この調査は次のような方法で行われたことに価値がある。世界 中の、見識のある4,000人近い回答者の意見を基にしているこ と。どのように質問するか、またどのようにウェブ上に質問を 表示させるかについて、細心の注意を払ったこと。言葉の定義 を質問ごとに表示させるなどして、回答者に質問の意図が正確 に伝わるようにしたこと。最後に、回答のレビューを何段階に も渡って行ったことである。 サイバー犯罪のリスクを評価するにあたり、重大な問題がいく つかあった。それは、確立された定義がないということ、つま り、同じ事件が「サイバー犯罪」と同様「産業スパイ」や「知 的財産窃盗」と言える可能性があるということだ。また、費用 について、不正行為による損失そのもののみとするか、再発防 止策の策定費用を含むか、または評判の失墜による損失も含め るか、もしそうだとすればどのようにその損失額を算定する か、といったような問題である。 今、経営陣にとってサイバー社会のリスクと機会を深く理解す ることは、必要不可欠なことと言えるだろう。 この経済犯罪意識調査は、サイバー犯罪のリスクの現状を知る 上で非常に貴重な洞察を与えている。 Peter Sommer ロンドンスクールオブエコノミクス(LSE) 経営学科(情報システム改革グ ループ) 客員教授、オープン大学 数学・コンピュータ・テクノロジー学部 準教授 1. 「PwC」はプライスウォーターハウスクーパース インターナショナル(PwCIL)のグローバルネットワークのメンバーファーム、またはその指定子会社の総称であり、 それぞれ独立した別法人として業務を行っている。 サイバー犯罪:増大する脅威から組織を守る 3 エグゼクティブサマリー 経済犯罪はその対象を問わない。真の意味でグローバ ルな現象であり、経済犯罪と無関係でいられる業種、 組織はない。経済犯罪の被害を受けた組織数は前回の 調査から13%増加しており、その数字は今後さらに 増加すると見られている。 経済犯罪による悪影響は、直接的損失のみに留まらな い。ブランドや評判の失墜を招き、マーケットシェア を失うことにもなりかねない。不正行為に対する社会 の目がより厳しさを増す中、企業は社会的信頼の構築 とその維持に細心の注意を払っていく必要がある。 調査開始より 10年、不正リスクは 依然として高まり 続けている 第6回目にあたる今回の「経済犯罪意識調査」では、 脅威を増しているサイバー犯罪にスポットライトを当 てている。現在多くの人々や企業が、インターネット を始めとするテクノロジーに依存しており、その結 果、世界中のサイバー犯罪者から攻撃される危険性に さらされているといえる。昨今のデータ紛失・窃盗、 コンピュータウィルスおよびハッキングによる犯罪と いった背景を踏まえ、本調査ではこの新たな経済犯罪 の重大性およびインパクトについて、またそれが世界 中の企業にいかに影響を及ぼすかについて考察して いる。 本年の調査は、以下の2つのセクションから構成され ている。 • サイバー犯罪:組織に与える影響、この犯罪に対 する認識の度合い、リスクへの対処法 • 不正行為、不正行為者とその被害者:経済犯罪の 種類、発見方法、不正行為者の人物像、不正行為 の影響 4 PwC ハイライト サイバー犯罪 •サイバー犯罪は今や4大経済犯罪の1つにランクイン •全体の40%が「評判の失墜」を最大の懸念と回答 •全体の60%が、自社の組織がソーシャルメディアを注視してい ないと回答 •回答者の5人に2人が、サイバーセキュリティに関する研修を受 けていないと回答 •回答者の4分の1が、サイバー犯罪の脅威に関してCEOおよび取 締役会が正式な定期調査を実施していないと指摘 •回答者の過半数が、サイバー犯罪危機対応策を設けていない、 あるいは設けているかどうか分からないと回答 不正行為、不正行為者とその被害者 •回 答 者 の 3 4 % が 、 過 去 1 2 カ 月 間 に 経 済 犯 罪 を 経 験 (2009年調査の回答では30%) •約10人に1人が、不正行為により500万米ドル以上の損 失が生じたと回答 •自社において不正行為による被害が発生しているかどう か把握していないと答えた回答者の約半数が経営幹部 •回答者の56%が、最も深刻な不正行為は内部犯行による ものであったと報告 •「疑わしい取引に関するモニタリング」が、最も効果的 な不正行為発見方法として浮上(2009年調査の5%から 18%に上昇) •不正行為リスク評価を実施している組織は、より多くの 不正を発見・報告 サイバー犯罪:増大する脅威から組織を守る 5 経済犯罪から組織を守る 5つの方法 1.誰を相手にしているのかよく知っておく (従業員、仕入先、取引先、代理人) 2.経済犯罪に立ち向かう上で、IT部門、内 部監査組織、取締役会の足並みを揃える 3.定期的に不正リスク評価を実施する 4.サ イ バ ー 関 連 の 知 識 が 豊 富 な C E O の リーダーシップにより、サイバーリスク への意識が高い企業風土を醸成する 5.サイバー危機対応策を実施する 6 PwC 注目される サイバー犯罪 私たちの調査における質問票では、サイ バー犯罪を以下のように定義した。 「コンピュータやインターネットを使用 した経済犯罪。ウィルスを流布したり、 違法にファイルをダウンロードしたり、フ ィッシングやファーミングといったオンラ イン詐欺を働いたり、また銀行の口座情 報のような個人情報を盗んだりすること などを 含 む。1台もしくは複 数のコン ピュータ、インターネットが犯罪の中心 的役割を担い、偶発的ではないものをサ イバー犯罪という」2 これはかなり標準的なサイバー犯罪の 定義だが、多くの人が違った捉え方をし ているようだ。 たとえば、ある営業担当者が競合他社 へ転職する前に、売上やマーケティング のデータをUSBメモリーにコピーして盗 み、自分個人のアドレスへメールした場 合、彼はいくつかの犯罪を犯したことに なるかも知れない。知的財産の窃盗また はサイバー犯罪、あるいはその両方だ。 今現在、世界的に認められ、共通してい るサイバー犯罪の定義はない。したがっ てその危険性についてもあまり知られて おらず、それ故にサイバー犯罪を発見し、 その対抗策を講じることは難しい。基本 的に、 「敵の概念」がぼんやりとしている と、その敵に対抗する努力も無駄なもの となってしまう。 サイバー犯罪は、単に不正行為者が違法 行為をするための手段なのだろうか。そ れともそれ自身が経済犯罪なのだろう か。組織はそのリスクのために、そのほ かの不正防止・発見対策とは別に、また はそれにプラスして、何らかの対策をとる べきなのだろうか。私たちの調査はこれ らの点について注目した。 私たちの見解では、サイバー攻撃は下記の5つの主要なタイプに分類され る。それらは手段や目的がそれぞれ異なるが、重複している部分がある場 合もある。 1. 財務的犯罪と不正 – 犯罪者(高度 に組織化され潤沢に資金を持つ場 合が多い)が、金銭やそのほかの 資産を盗むための手段としてテク ノロジーを利用するもの。 4. テロリズム3 – テロリストが政府 や個人の資産、多くは国家の重要 な基盤(『CNI』)にかかわる電 力や通信、財務システムなどを攻 撃すること。 2. スパイ行為 – 現在、組織が持つ知 的財産(『IP』)には、従来から ある研究開発(『R&D』)と同 様に、電子的通信やファイルも含 まれる。IP窃盗の恐れは常にあ り、被害者は、突然模倣品が市場 に現れたり、彼らのR&Dを基に した特許が別の会社によって登録 されるまで、窃盗にあったことす ら知らない場合もある。 5. 戦争3 – 国家がほかの国家、もし くは私的な組織、特にCNIを攻撃 するもの。 3. 積極行動主義(アクティビズム) – 攻撃が理想主義的運動の支援者 によって実現される、最近で言え ばウィキリークスのような ケース。 *PwCによる「『Delusions of Safety?』 – The Cyber Savvy CEO Report, 2011」を参照。 2. PwCとその学術的パートナーであるピーター ソマー教授により2011年のGECS(経済犯罪意識調査)にて定義されたものである。 3.テロリズムと戦争型のサイバー攻撃については分類の網羅性のために記載しているが、経済犯罪に焦点を当てている本調査においては調査対象外とし ている。 サイバー犯罪:増大する脅威から組織を守る 7 「個人、企業、政府、全てがそれぞれ に対するさまざまなサイバーセキュリ ティリスクに直面している」 ‘Future Global Shocks’ Project, OECD4 , 2011年 4.OECD とは経済協力開発機構です 8 PwC 図表1: 報告された4大犯罪 Asset misappropriation 資産横領 72 不正会計 Accounting fraud 24 Bribery 贈収賄・汚職 and corruption 24 サイバー犯罪 Cybercrime 23 0 10 20 30 40 50 60 70 80 % reported frauds % 過去12カ月間で経済犯罪を経験した回答者の中での割合 サイバー犯罪:動向 私たちの調査において、サイバー犯罪は 今 や4大 経 済 犯 罪の1つに数えられて いる。 前回の調査では、サイバー犯罪を経験し たことがあるという回答は非常に少な く、統計的に重要ではなかったため「そ のほかの犯罪」として分類されていた。 今年度の調査では、サイバー犯罪に焦点 を当て、過去12カ月以内にサイバー犯罪 を経験しているかどうかを、再度「不正 の種類」という質問形式で実施した。そ の結果、経済犯罪の経験者の4人に1人 が過去12カ月以内に1件もしくは複数の サイバー犯罪事件の被害にあったと回答 した。 (図表1参照) それでは、なぜ、どのようにしてサイバー 犯罪は4大不正の1つとして浮上してきた のだろうか。調査の結果、以下のポイン トがその要因として挙げられた。 • 近年のサイバー犯罪事件へのメディア の注目により、企業がこれらの不正に 対し、発見および報告の統制を一層 強化しているため • サイバー犯罪の定義が曖昧で確立さ れていないため、コンピュータや電子 機器、インターネットを使用した従来 から起こっている経済犯罪を、改めて サイバー犯罪として認識したため • 規制当局が今までより注目している ため • 技術の進歩により、サイバー犯罪が以 前よりも容易になっているため また、過去12カ月以内に経済犯罪を経 験したと答えた回答者のおよそ半数(48 %)が、サイバー犯罪のリスクの増加を 危惧している。全体のわずか4%の回答 者だけがサイバー犯罪のリスクは低下し ていくと回答し、そのほかの回答者はサ イバー犯罪のリスクは今後も変わらない と回答した。これらの統計はサイバー犯 罪の増加とそれに伴う不安を顕著に表し ていると言えるだろう。 過去12カ月以内に 経済犯罪を経験した と答えた回答者の48%が、 サイバー犯罪のリスクの増加を 危惧している 48% サイバー犯罪:増大する脅威から組織を守る 9 「サイバーセキュリティーは 『警戒すべきリスク』 としては、大量 破壊兵器や資源安全保護よりも 重要な課題である」 世界経済会議 グローバルリスク 2011レポート サイバ ー 犯 罪:リスクは 低く、 得るものは大きい 本調査において、サイバー犯罪の特徴を そのほか従来の犯罪と比較してみた。サ イバー犯罪は従来の犯罪とは異なったリ スクと見返りを有している。 外部の不正行為者が銀行のシステムへ 侵入し、預金や個人情報を盗む、といっ たサイバー犯罪の例を挙げてみよう。そ れは実際に強盗に入り、物理的に金品を 盗みだすよりもリスクが低いと言える。 • 不正行為者はその場に物理的に現れ な い た め 、現 行 犯 逮 捕 の 確 率 が 低い。 • システム侵入者は多くの場合、被害者 とは違う法域にいるため、犯罪実行 時にシステム侵入者を特定し、見つけ 出すことが法的に困難なケースが多く 10 PwC 見られる。そのため、従来のような方 法で犯罪者を特定し、逮捕、起訴する ことがより困難となっている。現行の 法律は、サイバー犯罪者を起訴するた めの整備が不十分と言える。また、技 術の進歩とともに、サイバー犯罪の手 口も進化しているため、組織は最新 の法令に常に注意を払い、会社の規 程がそれに沿っているか常に気を付 けていなければならない。 • このような理由により、犯人は捕まる ことをほとんど恐れず、繰り返し犯罪 行為を行うことにつながる。 組織は資産横領、不正会計、贈収賄や汚 職などの従来からある経済犯罪のリスク を軽減するような防止策を立てることは できるが、サイバー犯罪への対応は非常 に難しいものとなるだろう。 「サイバーセキュリティーは、貧困の根 絶や気候変動への取り組みと同等の努力 をしなければならない」 William Hague, 英国外務長官 2011年11月 外部からの脅威だけなのか? インターネットの普及以来、私たちは従 来のサイバー犯罪を外部的な脅威とみ なしてきた。現に全体の46%の回答者は 似たような見解を持っている。しかし、今 回の調査の結果、企業のサイバー犯罪 への認識は、内部からのリスクへと変化 しているということが分かった。 図表2: サイバー犯罪のリスクの主な要因 組織外部者による犯行 46% 組織外部者および 内部者による犯行 29% 組織内部者による犯行 13% 不明 12% % 全回答者中の割合 サイバー犯罪が組織内部のリスクと考え る回答者のうち、53%がその脅威はIT 部門に所属する内部者による犯行だと 回答した。IT部門の人間は、サイバー犯 罪に必要な知識や犯行の機会があると 多数の回答者が考えるのは自然だろう。 特にIT担当者はシステムへアクセスする ための特別な権利や、監査証跡を抹消 するといった「特権」を持っていて、不正 行為の発覚を難しくすることができるの ではないかと考えられている。 しかし興味深いことに、回答者はIT部門 以外のオペーレーション部門(39%)、 営業やマーケティング部門(34%)、財 務部門(32%)にもリスクが存在すると 認識している。 また、人事部門(14%)や法務部門(8%) のサイバー犯罪のリスクは比較的低い、 と考えられている。しかしながら、たとえ ば悪意のある従業員が人事部門や法務 部門の極秘情報へアクセスするといった サイバー犯罪はどこにでも起こり得るの で、企業はこれらの部門を例外と扱うべ きではないだろう。 サイバー犯罪は、直接的な金銭的損失 が発生するだけでなく、企業の評判やブ ランドイメージの失墜、従業員のモラル 低下、業務の中断など、被害を受けた企 業にさまざまな影響を及ぼす。以下にサ イバー犯罪に関する潜在的な事例を挙 げている。そのうちのいくつかは、そのほ かの経済犯罪の要素を含んでいる。 • 不満のある従業員が給与、ボーナス、 そのほかの手当などの彼らが目にす べきはない極秘情報を入手し、自己の 利益のために使用する。 • 従業員が買掛金に関する情報を手に 入れ、架空の取引先情報を登録し、 会社がその口座へ支払った金銭を引 き出す。 • 従業員が「知人」やソーシャルメディ アで重要な情報を共有し、それらが 公共のドメインへと流出する。 • 従業員が同僚のEメールアカウントへ アクセスし、そこから悪意のあるメー ルを送信し、ほかの従業員へいじめ 行為を行う(ネットいじめ)。これらに よって直 接 的な金 銭 的 損 失はない が、組織の評判への悪影響、業務の 中断、また巨額の訴訟費などにつな がる恐れがある。 これらの行為は厳密にはサイバー犯罪 なのだろうか、それとも経済犯罪の一種 で、コンピュータやインターネットが手段 として使われているだけなのだろうか。サ イバー犯罪の定義やその構成要素に関 わらず、これらの犯罪はIT部門だけでは なく、組織内のすべての部門で起こり得 る脅威であることが、私たちの調査で明 らかになっている。 サイバー犯罪が外部からの脅威 となると、それはどこから起こる のか? 外部からのサイバー犯罪のリスクは国内 または国外からのものかとの質問に、国 外からと答えた回答者からは、香港(お よび中国)、インド、ナイジェリア、ロシ ア、また米国などの国名が挙げられた。 これらの国は5、最もサイバー犯罪が発生 しやすいと考えられている。しかし、これ はあくまでそのように思われているだけ であり、サイバー犯罪は世界中のどの国 からでも発生し得、またその所在の特定 は非常に難しいものとなっている。 たとえば、ナイジェリアがハイテク犯罪 の拠点だと示す証拠はなにもないが、前 払い送金などによるEメール詐欺(俗に 言う「419詐欺」)もサイバー犯罪の一種 だと考えられている。米国やインドが高 リスクの国と認識されているのは、これ らの国にはITに精通した人々が多く、ま たオンラインショッピングが盛んに行わ れていることが原因となっていると考え られている。 現実的にサイバー犯罪は世界中どこから でも狙われる脅威であり、ほかの従来の 犯罪のように、地域的な境界はない。 5.この質問は、サイバー犯罪のリスクが「国外からのもの」「国内・国外両方からのもの」と答えた回答者全員に行っている。 サイバー犯罪:増大する脅威から組織を守る 11 消費財の闇市場が存在するように、盗難 されたクレジットカードがわずか数円で 売 買 さ れ る「 ダ ー ク マ ー ケ ッ ト (DarkMarket)」のように犯罪に使わ れるウェブサイトなども存在する。また、 「アノニマス(Anonymous)」を筆頭に 「ハクティビズム(hacktivism)」と呼ば れる、社会的・政治的な主張の下にハッ キング活動を行う新しい政治活動もあ る。この組 織は最 近、大手クレジット カ ード 会 社 が ウィキリー クス (WikiLeaks)への援助を取りやめたこ とを理由にシステムをハッキングしたり、 同組織のハッカーが誘拐された報復に、 メキシコの麻薬組織のメンバーの情報 を公開すると脅迫したりした 6。 企業が本当に危惧することとは 何か? 図表3: サイバー犯罪に於ける懸念事項 Reputational damage 40 組織への評判の失墜 Theft or loss of personal 個人情報の漏洩 36 identifiable information 知的財産権または 35 データの流出 IP theft, including theft of data Service disruption 34 業務の中断 財務的損失 Actual financial loss 31 Regulatory risks 22 法規制上のリスク 調査および Cost of investigation 18 and損害回復コスト damage control 0 5 10 企業にとって評判の失墜が大きな懸念 事項であるため、彼らが市場において最 も安全な企業であると示すことが、市場 で優位に立つためには重要となる。 • 全体の40%が、組織内にサイバー犯 罪の防止および発見の能力がない、も しくはあるかどうか分からないと回答 • 全体の61%が、フォレンジックテクノ ロジーを使用した調査が可能な環境 がない、もしくはあるかどうか分から ないと回答 • 全体の60%が、組織内にサイバー犯 罪を調査する能力がない、もしくはあ るかどうか分からないと回答 PwC 30 35 40 • 全体の46%が、緊急時のネットワーク 遮断制御がない、もしくはあるかどう か分からないと回答 ソーシャルメディアサイトへの注視 全体の60%が、自社の組織がソーシャル メディアサイトを監視していない、もしく はそのような指針があるかどうか分から ない、と回答している。もし従業員やハッ カーに悪用されれば、ソーシャルメディ アサイトが甚大なセキュリティリスクを引 き起こす可能性のある状況で、これは驚 くべきことである。 フェイスブック(Face book)やツイッター (Twitter)、リンクトイン(LinkedIn)な どのソーシャルメディアサイトはサイバー 犯罪の本当の温床とはならないかもし れない。しかし、犯罪者は、フィッシング 攻撃などのサイバー犯罪を実行する際に そういったサイトに登録されている個人 情報を利用する。たとえば、ターゲット を定めて情報を収集したり(スピアフィ ッシング)、会員について調査したり、 ターゲットのコンピュータに有害ソフト をインストールしたりといったことが簡 単に行えるのである。 サイバー犯罪のリスクを低減するための 対 策を 講じていると回 答した 組 織 の 内、85%がウェブページを含む内部およ び外部の電子通信のモニタリングをして いると回答した。また、62%が契約書に 情報・文書の適切な使用基準の順守を 含めていると回答し、37%が研修を実施 していると回答している。 これらの結果をみると、段階を踏んで対 応している企 業は正しく対応している が、大半の企業は適切な対策を講じて いないため、評判の失墜や機密情報の 漏洩などの脅威にさらされている。 調査の結果、典型的な内部のサイバー 犯罪者像が示された: • 若年もしくは職位の低い従業員や中 間管理職(84%) • 40歳以下の従業員(65%) • 入社5年未満の従業員(51%) 若い世代はソーシャルメディアサイトを 多用しており、そこには多数の仲間がい て、彼らと情報共有をしなければならな いという社会的プレッシャーがある。し たがって、このようなウェブサイトをモニ タリングしなければ、組織はサイバー犯 6.http://www.bbc.co.uk/news/technology-15520912 http://www.guardian.co.uk/media/2010/dec/08/anonymous-4chan-wikileaks-mastercard-paypal?INTCMP=ILCNETTXT3487 12 25 % 全回答者の割合 • 全体の56%が、メディア対応計画が ない、もしくはあるかどうか分からな いと回答 これまで見てきたように、過去12カ月に 経済犯罪を経験したと答えた回答者の 半数近くがサイバー犯罪は増加の傾向 にあると答えている。このようなリスクに 気がついていながらも、企業の対応はい まだ不十分であり、その対応は積極的に サイバー犯罪と闘うというよりも、ことが 起きてから対応するという受け身の姿勢 が続いている。 20 % all respondents 全体の40%の回答者が、サイバー犯罪に よる評判の失墜を最も危惧していると回 答した。そのほかの回答で上位にきたリ スクとしては、個人情報の漏洩・紛失、IP 盗難や業務の中断などが挙がっている。 (図表3参照) 企業に対する外部的な脅威 15 罪の問題を抱える可能性がある。しかし ながら、これらの世代の人々はソーシャ ルメディアサイトと共に育ってきたため、 個人情報の共有が日常化しており、これ らのウェブサイトが抱えるリスクに対して 全く異なる考え方をしているかもしれな いということを覚えておかなければなら ない。よって、企業はその従業員に対し、 サイバー犯罪のリスクについて認識させ ておく必要がある。 リスクの軽減 サイバー犯罪が増加傾向にあるという認 識があるにも拘らず、全体の42%もの回 答者が過去12カ月間にサイバーセキュリ ティのトレーニングを受けていないとい うことは、憂慮すべきことである。これは サイバー犯罪が自分の組織にも起こり得 るというリスクに企業が恐らく気付いて いないということを示している。 私たちは、回答者がどのようなトレーニ ングを受講したことがあるかを質問し た。回答者のわずか4人に1人が講師が 直接教えるトレーニングを受講、全体の 22%がコンピュータでのトレーニングを 受講(Eラーニング)、そして全体の40% が単にEメールによる通知、もしくは啓発 ポスターを見たことがあると回答した。 (図表4参照) 講師が直接教えるトレーニングは、時間 やコストがかかることからほとんど実施 されていないというのは、驚くべきことで はない。多くの企業が過去12カ月間でコ スト削減をしており、トレーニングの予算 はその対象となってしまっている。しかし ながら、全 体 の6 0%の回答 者 がサイ バー犯罪への意識の向上という面にお いて、研修会などの講師が直接教えるト レーニングが最も効果的だと答えてい る。 (図表5参照) 図表5: 最も効果的だと思われるサイバー犯罪 トレーニング 27% 13% 60% %all 全回答者の割合 % respondents Computer-based training Eラーニング メールでの通知/啓発ポスターなどによる告知 Email announcements/posters/banners 研修会の開催 Face-to-face(プレゼンテーション/チーム training events (presentations/ ミーティング/ワークショップなど) team meetings/workshops etc.) 図表4: 過去12カ月間に受講したサイバー犯罪トレーニング Eラーニング Computer-based training 22 メールでの通知/ Email/announcements/ 啓発ポスター 40 posters/banners などによる告知 研修会の開催 (プレゼン Face-to-face events (presentations/team 25 テーション/チームミーティ workshops etc.) ングmeetings/ /ワークショップなど) 未実施 No training received 42 0 10 20 30 40 50 % all respondents % 全回答者の割合 サイバー犯罪:増大する脅威から組織を守る 13 回答者の4分の1が、サイバー犯罪の脅威 に対するCEOや取締役会による定期的な レビューが行われていないと回答 企業において、誰が最終的にサ イバー犯罪の責任を負うのか? サイバーセキュリティはITの問題として 片付けてしまいがちだが、これは社内の 事業部門とセキュリティ担当とのコミュ ニケーション不足と言える。サイバーセ キュリティはビジネスの中心的な問題だ という意識は広がっている。情報セキュ リティの戦略的価値はIT 7 よりもビジネ スと連携しており、情報セキュリティ統 括役員(「CISO」)が、情報 統括役員 (「C I O」)よりも、最 高 経 営 責任 者 (「CEO」)の直属となっているケース が増えている。 サイバー犯罪の脅威に対し、最終的に 責任を負うのは誰であるべきか、との問 いに全体の54%がCIOおよびテクノロ ジーディレクターと回答し、わずか21% がCEOおよび取締役会と回答した。IT のセキュリティリスクにCIOが責任を負 うのは当然のことだが、CEOおよび取締 役会がサイバー犯罪のリスクを理解し、 定期的な調査を行うことは、非常に重 要なことである。 者が、CEOおよび取締役会がこれらのリ スクを少なくとも1年に1回見直すと回答 し、回答者のほぼ4分の1が不定期な見 直ししか行われていないと回答してい る。 (図表6参照) 統計が示すとおり、組織の上層部の人間 がサイバー犯罪の脅威に対する管理の 重要性を十分に認識していないと言え る。CEOは自らこれらの脅威に対して真 摯に取り組み、サイバー問題に関して精 通することが必要と考えられる。公的企 業か民間企業かを問わず、サイバー分野 のリスクおよび機会を真に理解したCEO を持つことが、これからの組織のあり方 となっていくであろう。 CEOおよび取締役会による企業内のサ イバー犯罪の脅威への定期調査が行わ れていないという調査結果は驚くべきこ とではない(私たちは行われるべきだと 考えるが)。全体のわずか36%の回答 7. See PwC’s Global State of Information Security Survey 2011 14 PwC 図表6: CEOおよび取締役会によるサイバー犯 罪リスクの調査 5% 11% 26% 5% 15% 15% 23% % all respondents 月1回 Monthly 未実施 Not at all 四半期に1回 Quarterly 不明 Don’t know 半期に1回 Biannually 年1回 Annually 必要に応じて Ad hoc basis throughout year % 全回答者の割合 サイバーセキュリティに 対する攻撃からいかにして 組織を守るか • CEOの関与 -CEOおよび取締役会がサイバー分野のリスクと機会に対する 認識を高める。 • 組織がサイバー犯罪に対して備えができているか常にチェック する -従来の経済犯罪と違いサイバー犯罪は刻々と変化し、常に新 しいリスクが存在するので、企業は常に対応手順を変える必要 がある。 • サイバー環境の現状と新たな問題を認識する(状況認識) -これによって初めて、事態や状況に適応した判断ができ、適 切なタイミングで適切な行動をとることができる。 • 素早く対応し行動できるサイバー事故対応チームの結成 -それにより企業はビジネス内のどこでサイバー事故が起こっ ても、すぐにそれを追跡、リスク評価を行い、事故への対応を行 うことができる。 • 関連スキルおよび経験のある人員の確保 -そのような人物からほかの従業員へと知識を広げることがで きるため、 「サイバー意識」の高い組織を構築することができ、 さらに自己防衛へとつながる。 • サイバー犯罪に対し、厳格かつ明確なスタンスで対応する -組織はサイバー犯罪者に対して法的手段を取ることにより、 また、サイバー犯罪の脅威や事故に対しどのように対応してい るかを周知していくことにより、サイバー犯罪対策に本気で取り 組んでいる姿勢を示さなければならない。 サイバー犯罪:増大する脅威から組織を守る 15 不正行為、不正行為者と その被害者 組織は直面している問題を十分理解 しているのか? 世界各地から参加した3,877人の回答 者の内、34%が過去12カ月間に経済 犯罪を経験していると回答した。これ は前回2009年の調査から13%の増加 率を示している。 興味深いことに全体の11%の回答者 は、自身の組織が過去12カ月間に不 正の被害にあったかどうかを把握して いないと回答した。一部の職位の従業 員はこの問題に答えるための情報を知 らされていないかもしれない。しかし ながら、不正の被害を把握していない と回答した内の44%は経営幹部であ った。 経営幹部が、組織が被害を受けた全て の不正について、その種類、重大さ、 被害額を把握していないことは仕方が ないかもしれないが、不正被害の中で 特に深刻なものについては把握してい るべきだろう。彼らがこれらの被害に ついて把握していないとすれば、これ らの不正を発見するためにどのような ことを行っているのか、また行うべき なのだろうか。 16 PwC 私たちの経験上、組織が採り得る最も 効果的な方法は、経済犯罪を発見する ための、定期的な不正リスク評価の実 施である。この11%の不正の被害を 把握していなかった人たちが、「(都 合の悪いことは)見ざる、聞かざる」 というスタンスをとっていないことを 願う。問題を無視するということは、 さらに問題につながることにほかなら ない。 図表7: 経済犯罪の経験 34 有り Yes 30 55 No 無し 63 11 不明 Don’t know 7 10 0 20 30 40 % all respondents 2011 % 全回答者の割合 2009 50 60 70 不正に関する世界の状況 図表8は先進国および新興国での不正 の報告件数の割合を調査した結果 である。 インドネシア、インド、ルーマニア、 ギリシャなどのいくつかの新興国で不 正が報告された割合が、驚くほど低い 結果になった。これはその国々の不正 調査手法が効果的でないか、または不 正の報告に消極的である可能性がある と言える。 図表8: 地域別不正報告割合 不正報告の発生率が高い地域 (40%以上) 2011 2009 ケニア 66% 57% 南アフリカ 60% 62% 英国 51% 43% ニュージーランド 50% 42% スペイン 47% 35% オーストラリア 47% 40% アルゼンチン 46% 39% フランス 46% 29% 米国 45% 35% マレーシア 44% 28% メキシコ 40% 51% 不正報告の発生率が低い地域 (25%以下) 2011 2009 ルーマニア 24% 16% インド 24% 18% スウェーデン 22% 19% スロバキア 21% 29% トルコ 20% 15% スイス 18% 17% オランダ 17% 15% イタリア 17% 19% ギリシャ 17% 23% スロベニア 17% 調査未実施 インドネシア 16% 18% 日本 6% 10% サイバー犯罪:増大する脅威から組織を守る 17 不正の発生比率が高い業種 経済犯罪は業種を問わない。しかし、 通信業界および保険業界が不正の報告 比率でトップに位置している。 2009年の数字と比べると、政府・公 共機関での不正は24%の増加率を示 し、経済犯罪の業種トップ5にランク インした。 前回の調査で分かったように、金融な どの規制が厳しい業界において、より 多くの経済犯罪が報告されている。そ れは実務において高い透明性が求めら れており、不正事件の発覚の確率を高 めているためである。建設業界など規 制が比較的緩い業界では経済犯罪が起 こりやすくなっており、不正への規制 や調査方法が甘くなっていることが分 かった。さらに、いくつかの業界では 不正による損失を避けられないものと して受け入れており、リスクを無視し ている状態も見受けられた。 図表9: 業種別不正報告比率 通信 Communications 48 46 保険 Insurance 48 45 Government/ 政府/公共機関 state-owned enterprises 46 37 ホスピタリティ・ 45 レジャー 42 Hospitality and leisure Financial services 金融サービス 44 44 Retail and consumer 小売・商業 42 37 エンターテイメント・ 34 メディア 27 Entertainment and media Transport and 運輸・物流 logistics 32 38 Engineering and 土木・建設 construction 31 24 エネルギー・電気/ Energy, utilities 29 and mining 27 ガス・水道/鉱業 Aerospace and defence 航空宇宙・防衛 29 24 Automotive 自動車 25 26 Manufacturing 製造 23 21 Pharmaceuticals and 医薬・生命科学 life sciences 23 20 Chemicals 化学 22 15 Other industries その他 23 36 0 10 20 30 % reported frauds 2011 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合業種別の不正報告比率 18 PwC 40 50 組織の規模の大小に 関わらず、経済犯罪 は行われている どのような組織が不正の被害にあ っているのか? 組織の規模(従業員人数によって区 分)と経済犯罪の発生確率とは密接 に関係している。図表10が示すよう に、大規模の組織になればなるほど 不正件数が多くなる傾向が見られ た。経済犯罪を経験している回答者 の54%が従業員数1,000人以上の組 織に属している。しかしながら、小 規模および中規模の組織内における 経済犯罪の件数も増加の傾向にあ り、不正行為者がこれらの組織を ターゲットにすることが増えてきて いると言えるだろう。 組織が大規模になるにつれて、その 従業員数、資産、取引先規模、多国 籍性なども含め、不正の被害に遭う 可能性が高くなる。しかし、このよ うな組織も、不正発見とその防止に さらに資源や人員を振り分ければ、 より多くの不正を特定できるように なるだろう。 図表10: 組織規模別の不正報告 More than 1,000 54 1,000人超 employees 46 29 201-1,000 employees 201人-1,000人 26 17 Up to 200 200人以下 15 0 不明 Don’t know 13 20 10 0 30 40 50 60 % reported frauds 2011 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合 組織の規模別の不正報告の割合 サイバー犯罪:増大する脅威から組織を守る 19 具体的にどのような経 済犯罪なのか? 経済犯罪にはさまざまな種類がある が、中にはより頻発するものや、継続 的に行われているものがある。図表 11は過去12カ月間に経済犯罪を経験 したと回答した回答者が経験した不正 の種類を表している。 資産横領、不正会計、贈収賄・汚職が 経済犯罪のトップ3を占めている。興 味深いことに、2011年度の調査では サイバー犯罪が新しい分野として登場 している 8。 反競争的行為は2009年の調査時に比 べると倍以上となり、経済犯罪の中で はサイバー犯罪に次いで2番目に大き な増加が見られた。これは恐らく経済 不況により、企業がマーケットシェア を維持するのが難しくなっているとい う現状によるものと考えられる。した がって、企業のわずか4社中1社しか 積極的に反競争的行為の発見への取り 組みを行っていないというのは驚くべ き結果である。反競争的行為のリスク を管理するためには「トップのコンプ ライアンスに対する姿勢」や「リスク 評価を基にした公正競争についてのコ ンプライアンスフレームワーク」など が鍵となる。具体的には、明確な指 針、内部告発システム、従業員教育、 競争相手との関係調査および内部監査 のレビューなどが鍵となっている。 そのほかの経済犯罪の形態として、サ ステナビリティ関連の不正が今回登場 してきた。環境に関する規制の強化と 気候変動およびサステナビリティへの 社会の注目により、今後2年間を通 し、サステナビリティ関連の不正が増 加していくだろう。 図表12に見られるように、資産横領 は、過去数年で常に最も一般的な経済 犯罪というだけでなく、その報告件数 も2003年から20%も増加した。最も 多く資産横領が報告された業界は、ホ スピタリティーおよびレジャー業界 (85%)、続いて小売・消費財業界(79 %)、通信業界(78%)、保険業界(76 %)、エンジニア・建設業界(76%) となる。 図表11: 経済犯罪の種類 Asset misappropriation 資産横領 72 67 Accounting fraud 不正会計 24 38 Bribery and corruption 贈収賄・汚職 24 27 Cybercrime サイバー犯罪 23 1 7 IP infringement 知的財産権の侵害 15 9 Money laundering マネーロンダリング 12 4 Tax fraud 税金関係の不正 5 インサイダー取引 Illegal insider trading 6 4 Anti-competitive 反競争的行為 behaviour 7 3 2 Espionage スパイ活動 3 サステナビリティに 1 Sustainability fraud 関する不正 0 4 5 Others その他 10 0 20 30 40 50 60 70 80 % reported frauds 2011 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合 図表12: 報告された不正の兆候 72 67 Asset misappropriation 資産横領 70 62 60 24 38 Accounting fraud 27 不正会計 24 10 24 27 Bribery and corruption 30 贈収賄・汚職 24 14 0 10 20 30 40 50 60 70 80 % reported frauds 2011 2009 2007 2005 2003 % 2009年、2011年については過去12カ月の間に経済犯罪を経験した回答者中の割合、2003年、2005年、2007年につ いては過去2年間に経済犯罪を経験した回答者中の割合 8. 以前の調査においては、サイバー犯罪を経験したことのある回答者は非常に少なく、統計的に重要ではなかったため「そのほかの犯罪」と分類した。サイバー犯罪へ の不安が高まる中、今年度の調査ではサイバー犯罪に焦点を当て、過去12カ月間以内にサイバー犯罪を経験しているかどうかを、再度「不正の種類」という質問形式 で調査した。サステナビリティ(環境)不正という分野も今年度の調査で初めて設けた。言葉の定義については、本レポートの最後に添付してある「用語」のページ を参照。 20 PwC 贈収賄や汚職の被害組織の およそ5分の1が、 500万米ドル以上の損失 本年度の調査で2009年から不正会計 の報告が急激に減少していることが分 かった。不正会計が行われたと回答し た回答者は2009年から37%も減少し ており、2005年の水準まで戻った。 これにはさまざまな理由が考えられる が、私たちの考え得る原因として以下 が挙げられる。 • 組織内での内部統制が強化されたこ とにより、犯罪が抑止された。 • 規制当局からの監督強化、および実 刑判決などの厳しい罰則によって抑 止された。 • 2009年度の調査では不正会計の報 告数の急激な増加が見られた。いく つかの統計によると、これは厳しい 経済状況の中で生き残るためのプレ ッシャーから、経営陣が決算報告書 の改ざんに手を出したということが 判明した。今日では、改ざんをする メリット、およびそうさせるプレッ シャーが以前よりも減少したという ことが考えられる。 • 組織における経済犯罪の発見率の低 下。過去2年間で世界中の労働人口 が減少している。したがって、経済 犯罪の調査および防止を担当する部 門の人員も減少することとなる。た とえば、内部監査部門の人数が減少 すると、それに合わせて不正の発覚 件数も減少する。不正会計の発覚件 数が減少すれば、その報告数も減少 するのである。 • 今年度の調査の焦点をサイバー犯罪 に置いた結果、コンピュータやイン ターネットを使用した不正会計を、 サイバー犯罪と分類した回答者がい る可能性がある。本レポートのサイ バー犯罪の項で示したように、回答 者によって解釈が異なるためで ある。 経済犯罪を経験した回答者のう ち、4人に1人が、贈収賄や汚職など の経済犯罪の被害を経験したと回答し ている。被害が大きかった業種は、エ ネルギー・電気/ガス/水道・鉱業 (40%)、エンジニアリング・建設 業界(35%)、通信業界(34%)と なっている。 図表13: 二次的被害 Organisation’s 19 組織の評判やブランド brand/reputation Share 株価 price 従業員の士気の低下 Employee morale Business relations 取引先との関係 監督機関との関係 Relations with regulators 19 2 6 $5m 世界的な反汚職法および規制の強化に も関わらず、企業はこれらの経済犯罪 の被害に遭い続けている。事業の健全 性や誠実さが、世界中どのような組織 においても成功の基盤となっている 中、企業は技術的、財政的に何を達成 したかという面だけではなく、どのよ うに達成したかということが重要視さ れている。汚職事件は、組織のどこで 発生しようと、企業がそれまで築き上 げてきたものを台無しにしてしまい、 多大なる経済的リスクや規制リスクを もたらす。企業は直面している汚職リ スクの理解とその文書化を行い、それ に対処する適切な手続きが必要で ある。 不正行為によるコストと二次的被害 過去12カ月で不正の被害にあった回 答者の内、10人に1人が500万米ドル 以上の損失があったと報告している。 贈収賄・汚職の被害にあった回答者の 損失額はそれよりずっと大きく、約5 人に1人が平均500万米ドル以上の損 失があったと報告している。 私たちはさらに経済犯罪の二次的被害 についても質問した。評判やブラン ド、株価、従業員のモラル、取引先と の関係や規制当局との関係への影響な どについてである(図表13参照)。 経済犯罪を経験した回答者の内、28% が従業員のモラルが低下したと回答 し、19%が評判やブランドの失墜を招 いたと回答した。また取引先との関係 が悪化したとの回答も19%に上った。 28 32 19 23 15 16 0 5 2011 10 15 20 25 30 35 % reported frauds 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合 サイバー犯罪:増大する脅威から組織を守る 21 図表14: 業界別不正行為者 Engineering and construction 土木・建設 77 21 Pharmaceuticals and 医薬・生命科学 life sciences 75 23 Manufacturing 製造業 75 22 運輸・物流 Transportation and logistics 69 67 自動車 Automotive 63 通信 Communications 52 40 金融サービス Financial services 38 0 4 13 41 35 6 42 39 5 45 テク ノロジー 45 Technology Insurance 保険 4 24 ホスピタリティ レジャー Hospitality・ and leisure 58 56 4 29 59 専門家サービス Professional services 3 28 エンターテイメント メディア Entertainment ・ and media 59 小売・商業 Retail and consumer 2 27 エネルギー・電気/ Energy, utilities and mining 68 ガス・水道/鉱業 Government/state-owned 政府・公共機関 enterprises 2 3 45 10 59 1 60 10 20 30 40 2 50 60 70 80 90 100 % reported frauds 内部 Internal fraudsters 外部 External fraudsters 不明 Don’t know % 業界別、経済犯罪を報告した回答者中の割合 誰による不正か? 不正の数がこれだけ増加しているとい うことは、不正に対して組織はこれ以 上受け身の姿勢ではいられないという ことである。組織を不正から守るに は、より積極的に対応する必要が ある。 そのための手段の1つとして、不正行 為者に関する情報をできる限り集め る、という方法がある。不正行為者が どのような人物で、どこから来るのか といったことを知ることは、自社の組 織の対応策や内部統制の弱点を発見す るのに必要不可欠と言える。 過去12カ月間で経済犯罪を経験した と回答した回答者に対し、最も深刻な 不正の主犯がどのような人物かについ て質問した。結果は、56%が内部の人 間の犯行で、40%が外部の人間の犯行 であった。 図表15: 内部の不正行為者の人物特性 39 Junior staff members 一般従業員 42 42 18 Senior executives 経営幹部 14 2 その他従業員 Other employees 2 20 10 0 30 % reported frauds 2011 2009 % 内部の不正行為業者が主犯となる不正を報告した回答者における割合 22 PwC 組織内部の不正行為者に関する分析 組織外部の者による不正行為よりも、 組織内部の者による不正行為の方が多 いということは、組織はその対策とし て、内部統制を改善し、また、内部の 不正行為者の人物特性についてより注 意を払う必要がある。組織内部の者に よって引き起こされた経済犯罪の被害 者のうち、10人に1人はその犯人がど の程度の期間、その組織で働いていた のか知らないと回答している。 図表15は、私たちの調査に基づいた 内部の不正行為者の人物特性を示して いる。 41 中間管理職 Middle management しかし、金融サービス・保険業界につ いてはほかの業界と違い、組織外部の 人間による犯行が主流であった。これ は金融サービス・保険業界に特有の事 象なので、驚くべきことではない。 40 50 組織外部の不正行為者に関する 分析 顧客による不正行為の発生件数は、 大幅な減少傾向にある。しかしその 一方、誰によって引き起こされたか がわからない不正行為の件数は急増 している(図表16参照)。 組織外部の不正行為者の場合、その 情報を入手することは困難ではある が、徹底した調査を実施している組 織では、加害者を特定できる可能性 が高くなるのである。 誰による犯行か分からないケースで 最も一般的な経済犯罪は、サイバー 犯罪、資産の横領、不正会計だっ た。サイバー犯罪の犯人は、その素 性を隠した巧妙な組織的犯行の可能 性がある。しかし、組織が資産の横 領や不正会計の犯人を知らない場 合、特に外部の犯行者の場合には、 内部統制が有効に機能していないこ とを示している。 不正を防止する最善の方法の1つと して、誰を相手にしているのか、顧 客、仕入先、代理人をよく知ってお く、ということが挙げられる。 「詐欺師は陽の光から逃げ出す」と いう言葉がある。取引先に関する知 識を高めるためにビジネスの透明性 を高めるプログラムは、不正防止の 効果的な予防ツールの1つであると 言える。 図表16: 外部の不正行為者 Customers 顧客 Agents/intermediaries 代理店/中間業者 仕入業者 Vendors 不明 Don’t know Other thirdその他 parties 35 45 18 20 9 10 17 2 21 23 0 10 20 30 40 50 80 100 % reported frauds 2011 2009 % 外部の不正行為者が主犯となる不正を報告した回答者における割合 図表17: 内部の不正行為者に対する処罰 Dismissal 解雇 77 85 Civil action / 62 民間・刑事訴訟の提訴 criminal charges 48 Warning 警告・懲戒 18 22 Notify relevant 17 監督機関へ報告する regulatory authorities 24 Transfers 異動 4 4 何もしない Did nothing 4 2 Don’t know 不明 3 0 Other その他 actions 1 5 0 20 40 60 % reported 全回答者の割合 % frauds 2011 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合 サイバー犯罪:増大する脅威から組織を守る 23 61%の回答者が、 不正行為者と今も 取引関係・雇用関係が あると回答 組織は不正行為者に対して、何がで きるのか? もし組織が不正行為者を発見した場 合、その対処法はいくつかある。 「内部の犯行者」に対しては、当該従 業員について、77%は解雇、44%は被 害届を提出、40%は民事訴訟を提起し たと回答している 9 。これらの組織は 明らかに強硬な姿勢で臨んだと言える だろう。 しかしながら、従業員によって行われ た最も深刻な不正事件のうち、当該従 業員について、4%が何も処罰を行わ なかった、4%が他部署へ異動させ た、18%が警告を与えたのみ、と回答 している。 組織によっては、不正行為に対して控 えめな対応に満足している、または望 んでいるように思える。しかし、不正 行為者を組織内に留めて再犯のリスク を負うということは、正しい対応だろ うか? 私たちは、組織は不正に対して「一切 寛容せず、断固とした措置を取る」と いう姿勢をとり、不正行為者に対し て、関係当局の関与を含めた厳格な処 置を公表することで、組織の内外にそ の姿勢を示すべきだと考えている。 組織はどのようにして経済犯罪を検 知するのか? 社外の不正行為者に対して、63%の回 答者が被害届を提出、43%の回答者 が民事訴訟を提起、40%が監督官庁に 報告したと回答している。 • 内部監査や不正リスク管理、疑わし い取引の自動検出とモニタリング、 機密保持体制や定期的な人事異動と いった「企業の内部統制」 多くの組織が厳格な対応を取った一方 で、そのうち61%の組織が不正行為者 とその後も取引があると回答してい る。この事実は憂慮すべきことであ り、これらの組織の企業風土に対して 疑念を抱かざるを得ない。もちろん、 被害者側は不正行為者に対して何らか の対応を取った上で、取引関係を継続 していることだろう。また、ネット ワークへのハッキングが不正の原因で あった場合は、取引関係を解消する対 象にはなり得ない。 • 内部・外部通報制度や公益通報制度 といった「企業風土」 図表18: 外部の不正行為者に対して取られた対応 Civil action / 77 民事・刑事訴訟の提訴 criminal charges 59 Notify relevant 40 監督機関へ通告する regulatory authorities 46 Cessation of the 39 取引を停止する business relationships 51 Did nothing 何もしていない 5 4 不明 Don’t know 3 5 Other actions その他 7 16 0 10 20 30 40 50 % reported frauds 2011 2009 % 過去12カ月間で経済犯罪を経験した回答者の中での割合 9. この質問は、複数回答可である。 24 PwC 61% 60 70 80 組織は不正の発見のためにさまざまな 手法を用いて調査している。これらの 手法は大きく3つのグループに分類さ れる。 • 偶然やメディアによる報道によって 発見されるといった「経営陣の管理 範疇外における発覚」 図表19で分かるように、内部監査の不 正摘発に対する有効性は2005年から 徐々に減少しており、2011年では、 内部監査によって発覚した不正は回答 全体の14%に留まっている。同様に、 不正リスク管理についても、回答数が 2009年の14%から10%に下がってい ることから、その有効性が減少してい ることが分かる。 2007年以降「企業風土」の有効性が 減少している、という事実は興味深い ものである。図表19で示されているよ うに内部、外部の関係者の通報による 摘発も2007年以降著しく減少してい る。これは、不正を発見した人が同僚 や顧客に告発しようとする意欲が以前 より減少しているか、部署間の話し合 いや情報交換が行われていないことを 示している。 「疑わしい取引のモニタリング」は、 調査手法の中で唯一、有効性が2009 年の5%から2011年の18%に増加して いる。不規則な取引や疑わしい取引を 電子的に自動検出する手法は、金融機 関でよく使用されているものである。 コンピュータによって探知される経済 犯罪数が増加し、人によって発見され る犯罪数が減少していることから、私 たちは、さまざまな業種の管理部門に おける人員削減によって、不正が以前 より発見されなくなっているのではな いかと懸念している。 今回の調査結果の内10%の回答者が、 最も深刻だった不正行為がどのように して発見されたのか分からない、と回 答したことは驚くべきことである。こ のことは、経営幹部が不正リスクと自 組織の検知および予防策について、よ り十分に認識する必要があるというこ とを明示している。 図表19: 不正の発見方法 Corporate control 社内統制 Internal audit 内部監査 14 17 19 26 10 14 不正リスクマネジメント Fraud risk management 4 3 疑わしい取引のモニタリング Suspicious transaction monitoring 企業文化 Corporate culture 18 5 4 0 社内セキュリティ Corporate security 6 5 4 4 人事ローテーション 社内セキュリティ Rotation of personnel 2 5 3 3 11 16 Tip-off (internal) 内部からの通信 21 17 外部からの通信 Tip-off (external) Whistle-blowing system 内部通信システム Beyond the influence 経営陣の管轄外 of management By accident 偶然 法律の施行 By law enforcement/investigative media その他 Other detection methods 7 11 14 11 5 7 8 3 8 13 6 10 4 3 3 0 5 4 14 23 0 10 5 15 20 25 30 %reported 全回答者の割合 % frauds 2011 2009 2007 2005 % 2009年、2011年において過去12カ月間、2007年、2005年において過去2年間に経済犯罪の被害を受けたとする回答者における割合 サイバー犯罪:増大する脅威から組織を守る 25 今後不正はさらに増加すると考えら れる 3つの一般的な不正事例は今後も増え ると予想されている:34%の回答者が 今後12カ月間に横領の14%が不正会 計、23%が贈収賄・汚職の被害者にな る可能性があると回答した(図表 20)。この傾向は、一般的な不正リ スクの傾向と一致している。 不正の発生実績と予測を比較したとこ ろ、今回の調査では今後12カ月間に より多くの不正が発生すると、多くの 回答者が考えている。図表21は、も し回答者の予測が正しければ、より多 くの回答者が将来経済犯罪の被害者と なるということを示している。 図表20: 不正発生予測の傾向 34 資産横領 22 Asset misappropriation 13 14 Accounting fraud 11 不正会計 6 23 贈収賄・汚職 Bribery and corruption 16 10 0 5 10 15 20 25 30 35 30 35 % all respondents 2011 2009 2007 % 全回答者の割合 全回答者の今後12カ月間(2011年および2009年)、今後2年間(2007年)に対する不正の発生予測 図表21: 予測に対する実績 資産横領 Asset misappropriation Accounting fraud 不正会計 贈収賄・汚職 Bribery and corruption 34 24 14 8 23 8 0 5 10 15 20 % all respondents 予測 Perception 2011 % 全回答者の割合 今後12カ月間に対する予測;回答された経済犯罪の種類 26 PwC 実績 Reality 2011 25 不正リスク評価はどのように組織 に役立つか 不正リスクを認識しその評価を行う ことは、経済犯罪に対抗する最も良 い方法と言える。不正リスク評価を 定期的に行うことで、リスク認識と 評価を行うことができる。今回の調 査で、不正リスク評価の実施頻度と 不正事例の報告件数とに相関関係が あることが分かった。不正リスク評 価の実施頻度が少ない組織は、不正 の摘発件数も少なくなっている。 たとえば、不正リスク評価を行って いない組織の内、4分の3以上は、10 件未満の不正事例しか報告していな い。これは「尋ねよ、さらば見出さ ん」という格言そのままと言えるだ ろう。 図表22では、直近12カ月間に1回以 上の不正リスク評価を実施している 組織のうち、39%が不正を報告して いる。反対に、過去12カ月間に1度 も不正リスク評価をしていない組織 では、28%しか不正を発見してい ない。 41%の回答者が不正リスク評価を実 施していない、または実施している かどうか分からないと回答してい る。これらの回答の内、半数が不正 リスク評価がどういったものか分か らない、または、どういう手続きが 必要かわからないと回答している。 図表23は問題意識の低さが問題であ ることを示している。組織は、定期 的な不正リスク評価を実施すること による有益性や、それが不正行為に 対抗する上でどれほど重要であるか を認識する必要がある。 図表22: 過去12カ月間に報告された不正事例に対する不正リスク評価実施頻度の割合 不正リスク評価の実施頻度 Frequency of fraud risk assessment 39 Once1回以上実施 or more often 不明 21 Don’t know 28 未実施 Not at all 5 0 10 15 20 25 30 35 40 % reported frauds % 過去12カ月間で経済犯罪を経験した回答者の中での割合 図表 23: 不正リスク評価を実施しない理由 11% 20% 3% 36% 30% 費用がかかるため Costly 不正リスク評価の実績に価値を見出せないため Perceived lack of value Not sure what a fraud assessment involves 不正リスク評価の方法が不明なため その他 Other reasons Don’t know 不明 サイバー犯罪:増大する脅威から組織を守る 27 まとめ 今こそ経済犯罪 の撲滅に向けて 皆で立ち上がる 時である 調査の結果から、不正は普遍的なもので あり、組織は、経済犯罪に対抗するため に、常に油断なく、能動的であることが 必要であると分かる。 資産横領、不正会計、贈収賄・汚職とい った「伝統的な」不正は、過去12カ月間 に不正犯罪の被害者となった回答者の 事例の上位3位を占めている。しかしな がら、サイバー犯罪といった新しい不正 も増加しつつある。新しい技術、新しい 商慣習、ビジネス環境の変化といった要 素は新たなリスクと不正行為者に新たな 犯罪機会をもたらす。組織はこういった 変化に留意し、対応する仕組みと検知方 法を導入する必要がある。 これは、新しい技術に関してより重要で あると言えるかもしれない。スマートフォ ン、タブレット、ソーシャルメディア、クラ ウドコンピューティングといった新しい 技術は、ビジネスに魅力的な解決策と機 会を提供してくれる。しかしながら、リス クと危険を抱えたパンドラの箱であると も言える。スマートフォンやタブレットを 持つことは、あなたの組織の機密情報を 不用意にポケットに入れて歩くのと同じ ことである。誰でも機密情報にアクセス 可能な状態を作り、財務的に、またそれ に付随するあらゆる面で重大な損害をも たらす事態にもなり得る。 この調査を開始して10年が過ぎたが、不 正リスクは引き続き増加している。導入 されるリスク管理システムの有効性に関 わらず、そこには常に、機会を見出した り、システムによる統制を回避または無 28 PwC 効化する方法を見つける個人またはグ ループが存在する。とくに、サイバーセキ ュリティに関しては、よりそういった危険 性が高いと言える。管理部門の人員が世 界的に減少している今日、私たちはより 多くの不正行為が発見されないことを恐 れている。 急速な技術の発展に伴い、不正行為者 も進化している。しかしながら、多くの 組織はその変化に対応しきれていない。 サイバー・情報セキュリティの問題は、組 織におけるリスクとして非常に重要なも のであるということを認識することは、 不可避であると言える。サイバー世界の リスクと機会を理解し受け入れる準備が 整っている組織は、今日のテクノロジー 主導の環境において、優位性を得ること ができるだろう。正しい「経営者の姿 勢」を確立することは、経済犯罪に対抗 するための鍵となるのである。 付記 調査手法 この第6回経済犯罪意識調査 は、2011年6月から11月にか けて行われた。この調査は次 の3つのセクションに分かれ ている。 • 企業・組織の概要に関する 質問 • どのような経済犯罪を経験 したかを問う選択式質問 • 今回のトピックであるサイ バー犯罪に関する質問 調査について 2011年の経済犯罪意識調査は78カ国 において3,877件の回答があった (2009年度の回答数は54カ国3,037 件)。回答者の内、52%が組織を代表 する経営幹部、36%が上場企業、38 %が従業員1,000人以上の企業で ある。 この調査においては、下記の手法を用 いている。 3.トレンド分析:本調査は2001年か ら開始し、主要な質問と調査時に重 要と思われる質問を付け加え、調査 内容は世界中の組織に影響を及ぼす と思われる問題に対応している。過 去の調査結果と合わせて分析するこ とで、現在の主要な問題点や移り変 わりを図表化して見ることができ、 また問題の傾向を捉えることがで きる。 1.経営幹部への調査:本調査は、回答 いただいた経営幹部の所属組織にお ける経済犯罪に関する経験に基づい ている。私たちはさまざまなタイプ の経済犯罪について、組織への影響 (発生した財務的、二次的な重大な 損害について)、犯罪の首謀者、組 織が講じた対応などの情報を収集 した。 2.サイバー犯罪に関する設問:本調査 では増加するサイバー犯罪の脅威と 組織がその脅威に対しどれだけ無防 備であるかを調査した。これらの設 問からサイバー犯罪が組織にとって どれほど重大なものかを理解するこ とがでた。 サイバー犯罪:増大する脅威から組織を守る 29 図表25: 参加者数(地域別) 2011 2009 北米 2009 209 123 アジア太平洋 796 652 カナダ 53 52 オーストラリア 79 75 米国 156 71 香港(中国を含む) 22 67 インド 106 145 2011 2009 インドネシア 84 50 西ヨーロッパ 1,317 1,243 日本 73 73 アンドラ 1 0 マレーシア 93 65 オーストリア 8 34 中近東諸国* 127 14 ベルギー 84 62 ニュージーランド 93 85 キプロス 5 1 パプアニューギニア 1 0 デンマーク 116 105 フィリピン 0 1 フィンランド 61 52 シンガポール 18 51 フランス 112 52 韓国 0 1 ドイツ 38 17 台湾 2 0 ギリシャ 92 96 タイ 79 25 アイルランド 80 91 ベトナム 19 0 2011 2009 イタリア 127 90 ルクセンブルグ 3 0 オランダ 41 76 アフリカ 260 145 ノルウェー 67 75 アンゴラ 1 0 ポルトガル 0 1 ボツワナ 1 0 スペイン 85 55 ガーナ 29 27 スウェーデン 79 78 ケニア 91 53 スイス 140 129 リベリア 5 0 英国 178 229 2011 2009 804 589 ナミビア 2 1 ナイジェリア 3 0 シェラレオネ 0 1 中央・東ヨーロッパ 南アフリカ 123 63 ブルガリア 58 59 スーダン 1 0 クロアチア 1 0 スワジランド 1 0 チェコ 84 83 チュニジア 2 0 エストニア 1 0 ザンビア 1 0 ハンガリー 85 53 リトアニア 7 0 2011 2009 モルダビア 1 0 中南米 483 275 モンテネグロ 1 0 アルゼンチン 77 39 ポーランド 79 63 ボリビア 3 0 ルーマニア 76 55 ブラジル 115 62 ロシア 126 86 チリ 1 76 セルビア 14 4 コロンビア 1 0 スロバキア 84 69 ドミニカ 0 1 スロベニア 48 0 エクアドル 11 1 トルコ 55 52 ウクライナ 84 65 不明 8 10 TOTAL 3,877 3,037 メキシコ 174 94 ペルー 17 1 ベネズエラ 84 1 * 中近東諸国:ヨルダン・サウジアラビア・アラブ首長国連邦・レバノン・イラク・クエート・バーレーン・カタール・オマーン 30 2011 PwC 図表26: 参加業種 図表29: 参加者職種(主たる業務) 回答者% 2011 回答者% 2009 2011 2009 財務・会計 46% 58% 監査 16% 12% リスク管理 6% 5% コンプライアンス 5% 4% 航空宇宙・防衛 1% 1% 自動車 4% 4% 化学 2% 2% 通信 3% 2% 保安・セキュリティ 4% 4% 教育 1% 0% 法務 4% 3% エネルギー・電力・ガス・水道・鉱業 7% 7% インフォメーションテクノロジー 4% 0% 土木・建設 5% 7% 顧問 3% 3% エンターテイメント・メディア 3% 3% 業務・製造 3% 3% マーケティング・営業 2% 0% 人事 1% 0% 金融 18% 16% 食品 1% 0% 税務 1% 0% 政府・公共機関 5% 6% カスタマーサービス 1% 0% 医療 1% 0% 研究開発 1% 0% サービス・レジャー 2% 2% 調達 1% 0% その他 2% 8% 保険 5% 5% 製造業 12% 14% 製薬・ライフサイエンス 5% 5% 専門家サービス 6% 6% 不動産 1% 0% 卸・小売 8% 9% テクノロジー 5% 5% 運輸・物流 4% 5% その他 1% 1% 図表27: 種別 回答者% 図表30: 参加者職位 回答者% 2011 2009 経営幹部 52% 52% 最高経営責任者・代表取締役 10% 12% 最高財務責任者・財務部長 23% 30% 最高執行責任者 2% 2% 最高情報責任者・最高セキュリティ 責任者 3% 1% その他経営幹部レベル役職者 10% 4% 取締役 4% 3% 2011 2009 上級管理職以外 48% 48% 非上場 51% 42% 上級副社長・副社長・ディレクター 8% 8% 上場 36% 43% 課長 7% 3% 政府・公共機関 10% 10% 部長 15% 15% 組合・非営利団体 3% 5% マネージャー 17% 15% その他 1% 7% 図表28: 従業員数 回答者% 2011 2009 200人以下 32% 32% 201人以上1,000人以下 29% 33% 1,000 人超 38% 34% 不明 1% 1% サイバー犯罪:増大する脅威から組織を守る 31 用語 国の法律によって経済犯罪の定 義が異なる。本調査の目的のた めに、PwCでは以下のようにカ テゴリーを定めている。これら の定義が、私たちのオンライン 調査で使用されている。 不正会計 財務諸表、そのほかの書類が、改ざん される、または、企業の価値や財務活 動を正確に反映しない報告がなされる こと。会計操作、不正借入・資金調 達、不正な与信申請、無権限の取引や 不正トレードを含む。 反競争的行為 市場における支配的地位を濫用した、 もしくは他社との共謀によるカルテル 行為(例えば、価格協定、入札談合や 企業間協定に基づく市場分割)など、 市場での競争を阻害する行為。 資産横領(使い込み・従業員による 詐欺を含む) 役員やその他受任者としての義務を負 う地位にいるもの、もしくは従業員 が、自己の利益のために、資産(金銭 資産・現金・事務用品・機器を含む) を盗取すること。 贈収賄や汚職(利益供与や恐喝を含 む) 公職にあるものが、職務に違反しその 地位を利用して、自分にとって有利な ものを得ること。経済的利益やそのほ か特別な取計らいの約束、脅迫・ゆす りを含む。また、それらの誘引を容認 することを含む。 サイバー犯罪 コンピュータ犯罪としても知られ、コ ンピュータやインターネットを使用し て発生するもの。サイバー犯罪の典型 的な例は、ウィルス、メディアの違法 ダウンロード、フィッシングやファー ミング(悪意のあるウェブサイトへの リダイレクト)や、銀行口座情報に代 32 PwC 表される個人情報の窃盗などが挙げら れる。サイバー犯罪には、犯罪を行う にあたりコンピュータを使用した通常 の不正行為は含まない。ただし、コン ピュータ、インターネットまたはその ほかの電子デバイス等が意図的に使用 され、当該犯罪における重要な要素と なっているような場合にはサイバー犯 罪に含むものとする。 サイバー犯罪への対応メカニズム サイバー犯罪を調査、検出、防止する ための社内の技術力であり、フォレン ジックテクノロジーを使用した調査が 可能な環境、メディアおよび広報活動 の管理計画、緊急時におけるネットワ ークの隔離手続などを含む。 経済犯罪・不正 他人の金銭、所有物、もしくは法的権 利を奪うために虚偽行為や策略を実行 すること。 スパイ活動 秘密情報を得るためにスパイ行為をす ること、またスパイを使うこと。 財務上の損失 不正による金銭的損失を推定する場 合、直接的および間接的な損失の両方 を含めるべきである。直接的な損失は 不正による損失の実際発生額であり、 間接的な損失は、通常、問題の調査や 修正に関わる費用、規制当局による課 徴金、訴訟費用、風評による被害を含 む。ただし間接的な損失からは「ビジ ネスチャンスの喪失」に起因する機会 損失の見積もり額は除外する必要があ る。 財務パフォーマンス 組織のポリシーや活動の結果を金銭的 に測ること。これらの結果は、投資収 益率や資産収益率、付加価値に現れ る。典型的には、民間部門では、収益 で測られ、公共部門ではサービス提供 で測られる。 不正リスク評価 組織が下記の(i)から(v)の事項を 確かめるために行う評価指標。 i. どの業務が不正リスクにさらされて いるか ii. 最も脅威となるリスク(重要性と可 能性の評価) iii.重要なリスクを緩和するための統制 の特定と評価 知的財産の侵害(商標、特許権、模 造品や模造サービスを含む) 違法コピー、特許権や著作権侵害にあ たる模造品のディストリビューショ ン、通貨の偽造を含む。 二酸化炭素排出権取引(カーボンクレ ジットの売買)や、二酸化炭素排出の 相殺に関する案件への従事といった活 動を含む。 マネーロンダリング サステナビリティ不正 犯罪等から得た利益を、その出所を偽 装するなどして正当化しようとする行 為。 サステナビリティ活動に関する不正 (サステナビリティ活動の項を参照) であり、排出権取引市場や、環境に関 する申し立てまたは法定での証言 など。 ファーミング ハッカーが、個人情報や財務情報を盗 むために、ユーザーの意図と違うウェ ブサイトに誘導すること。 フィッシング iv.組織内部の一般的な不正防止策や統 制の評価 Eメールを利用した詐欺の一種で、不 正行為者が個人情報や財務情報を盗む ために、正当な送り主を装ったEメー ルを送ること。 v. 統制が不十分な場合の救済措置 経営幹部 ハッキング 経営幹部(例えば最高経営責任者 (CEO)、代表取締役または執行役員 など)とは、組織の主要な意思決定を する人々をいう。 情報システムやネットワークのセキュ リティをかいくぐって不当にアクセス を試みること。 ハクティビズム 情報システムやネットワークに対し、 政治的・社会的意図を持ってハッキン グすること。 インサイダー取引 一般的に、忠実義務やほかの秘密保持 義務に違反して、重要な公開前の情報 を利用して有価証券を売買すること。 情報を漏洩することや、その情報を得 たものが有価証券を売買すること、ま た、そのような情報を利用して有価証 券を売買することを含む。 サステナビリティ活動 状況認識 米軍で使用される戦略用語の1つで、 自分を囲む、実際の脅威と潜在的な脅 威を含む周りの状況をよく分かってお くこと。 ソーシャルメディア インターネットコミュニティの中で、 情報を蓄積・共有・議論・送付するた めのコミュニケーション経路、および ツール。 サイバー犯罪:増大する脅威から組織を守る 33 www.pwc.com/jp お問い合わせ先 プライスウォーターハウスクーパース株式会社 フォレンジックサービス 〒104-0061 東京都中央区銀座8-21-1 住友不動産汐留浜離宮ビル http://www.pwc.com/jp/advisory 佐々木 健仁 パートナー 080-3473-8478 [email protected] ジャムナ・デシュムク(Jamuna.Deshmukh) マネージャー 080-1031-1492 [email protected] 岸和田 剛 シニアマネージャー 080-1031-1526 [email protected] PwCフォレンジックサービスについて PwCのフォレンジックネットワークは法廷会計士、 経済学者、統計学者、規制当局及び法執行機関出身 者、不正検査士、およびフォレンジック技術者で構成 されています。私たちは、経済犯罪に関連する会計上 のリスクや風評リスクへの対処をサポートします。 また、会計不正を発見し、複雑なビジネス上の問題を 分析し、将来における不正リスクを軽減します。 This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PwC does not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. © 2012 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way. 本誌はPwC Globalが発行した『Cybercrime: protecting against the growing threat』をPwC Japanで翻訳したものです。