情報セキュリティの脅威のひとつに、かねてから内部者による犯行が挙げられて来た。その時によく例に挙る想定犯人像は、不満を持つ従業員や解雇者だった。ところが会計監査会社KPMGの調査を基にした最近の記事によると、この想定がどうやら当っていないことがわかる。KPMGが監査で関わった69ヶ国の企業348件での不正事件を調査したところ、CEOが犯行に及んだものが26%にのぼり、2007年の11%から比べて上昇しているのだ。また内部犯行に関わった従業員の32%は役員を含む会計部門だった。ちなみに最も「不満を持つ従業員」の想定に当たりそうな18〜25歳の犯行は2%だと云う。
 CEOs - the new corporate fraudsters http://www.iol.co.za/sundayindependent/ceos-the-new-corporate-fraudstersds-1.1144649

  実際に日本でも、光学機器メーカーのオリンパスで現在起きている、日本人役員によるイギリス人マイケル・ウッドフォード社長CEOの突然の解職と、ウッドフォード氏が指摘しているオリンパスが近年行った不審な企業買収や、その際に2008年に支払ったファイナンシャル・アドバイザーへの6億8700万ドル(現在のレートで約520億円)の不透明な行方が問題になっているが、既にアメリカでもFBIが捜査に動き出すなど、これはエンロン社で起きたような経営陣による大きな企業不正会計事件に発展する可能性がある。この場合、もしかするとCEO以外の経営役員がすべて不正に関与していたかもしれない状況で、CEOが自ら内部告発者になったという事になる。

  さらに、昨年から大きく注目を集めている内部告発情報流出サイト「Wikileaks」による「Collateral Murder」などアメリカ軍や政府の公電情報の流出や、その効果を見て後に続き立ち上がっている様々なリークサイトの動きもこれに重なっている。これらには、ロシアに特化したRusleaksのような活動家が始めたサイトから、中東Al Jazeeraのような大手ニュースメディアが立ち上げた内部告発受付サイトまである。さらにアノニマスが立ち上げた内部告発活動のAnonymous Analyticsまで出現した。これらのサイトを使う事で内部告発は今までになく容易で安全な行為になりつつある。
 http://wikileaks.org/
 https://rusleaks.org/
 http://transparency.aljazeera.net/
 http://anonanalytics.com/

  ところがここで内部情報流出について見てみると、内部犯行の場合と内部告発の場合とでは対立している事が解る。

  企業や組織の内部規則や情報セキュリティポリシーなどは、その組織が犯罪や反社会的行為に携わらない状態を前提としている。そのため通常ならば企業や組織の内部情報を外部に流出させることは内部犯行として捉えられる。しかしもし企業や組織が犯罪や反社会的行為に手を染めているなら条件は同じではなく、企業や組織の内部情報を外部に流出させることは内部告発の場合がありうる。

  もしあなたが企業や組織の情報セキュリティ担当者なら、情報流出の第1発見者になる可能性が高いかもしれない。だが、発見したものが経営陣の不正の証拠になる通信内容やその内部告発だったならば、それをそのまま組織に報告してしまえるだろうか?

  もしここであなたが内部告発の情報流出を発見したとして、流出を食い止めて潰してしまえば、それは犯罪行為の進行に関与するのと同義になり共犯者の立場に置かれてしまうかもしれない。あるいは、あなた自身が経営陣の内部犯行の通信を目にしたなら、そこであなたが自身の身を案じて内部告発を行わなければその情報は法執行機関に届かず、しばらくは平穏を保てるかもしれない。だが、最終的に不正が明るみに出た場合にはあなたは事態を知らなかったとは言えず、やはり共犯者の立場に置かれてしまうかもしれない。

  情報流出は、それが内部犯行か内部告発なのかによって、あなたの判断次第で将来に大きな影響を及ぼすものだと理解しなければならないだろう。「私は規則に従っただけ」という言い訳が通じない事態が将来ありうるのだから。