練馬のみなさまへ 協業のお願い!

不正のトライアングルとは何か?

セキュリティ系記事キャッチ画像

最近は企業の不祥事が報じられることが多くなりましたが、なぜ不正というものは発生してしまうのでしょうか。その原因を不正のトライアングルでひも解きます。

不正のトライアングルの解説

不正のトライアングルの概念図

不正のトライアングルの概念図

不正のトライアングルの概要

「不正のトライアングル」とはアメリカの組織犯罪研究者であるドナルド・R・クレッシー(Donald Ray Cressey)が提唱したもので、不正が行われるには「動機」「機会」「正当化」という3つの要因がそろった時に発生するとした理論です。
以下では各要因について詳しく見ていきましょう。

ドナルド・R・クレッシーの写真

ドナルド・R・クレッシー。画像はWikiPediaより。

動機(Perceived Pressure)

動機は不正を犯す必要性のことを指しています。
プレッシャーとも言われ、例えば仕事のストレスや不満なども不正を犯す要因となり得るのです。

機会(Perceived Opportunity)

機会は不正が発生する可能性がある状況のことを指しています。
例えば、大切な情報が引き出せてしまうなど、不正を行おうと思えば実施できてしまう状況が機会にあたります。

正当化(Rationalization)

正当化は不正行為をすることを正当化する不正行為者の考え方のことを指しています。
例えば「仕事が終わらないから」など、不正を正当化するための言い訳がこれにあたります。

実例:赤信号を渡る人の心理

日常的に目の当たりにする人の不正として「信号無視」があるのではないでしょうか。
赤信号でも通行してしまう心理を不正のトライアングルでひも解くと以下のようになります。

動機 待ち合わせの時間に間に合いたい
機会 誰も見ていない
正当化 みんなやっている

COSOモデルを使った不正の防止

「機会」を排除する

不正のトライアングルでは、「動機」「機会」「正当化」3つがそろった時に不正が発生するとしていますが、逆に言えば1つでもそろわなければ不正というものは生じにくいものです。
「動機」「機会」「正当化」のうち、最も組織として取り組みやすいのが「機会」の排除です。
「アクセス権がない人に情報を開示しない」
「複数人の承認を経なければデータを取り出せない」
など、ルールやシステムを見直すことで、機会は取り除いていくことができます。
この性質に着目したのが、COSOモデルです。

COSOモデルとは?

COSOとは企業のリスク管理、内部統制および詐欺防止に関する枠組みおよび手引きの策定をするトレッドウェイ委員会支援組織委員会のことです。
COSOモデルとは1992年にCOSOが公表した『内部統制─統合的フレームワーク』のことです。

COSOモデルの5つの構成要素

COSOモデルは5つの構成要素、即ち「統制環境」、「リスク評価」、「統制活動」、「情報と伝達」、「モニタリング活動」の5つで成り立っています。
「統制環境」とは経営者も含めた環境作りのことであり、「リスク評価」では発生しうるセキュリティ問題を洗い出し、発生時の損害額を見積もります。
「統制活動」は不正防止を実行することであり、「情報と伝達」は不正防止活動のために情報を提供し支援することです。
「モニタリング活動」ではこれらの不正防止の活動がしっかりと機能しているかをチェックしていきます。

IPAの「組織における内部不正防止ガイドライン」

COSOモデル以外にも、不正防止の取り組み方法があります。
例えば情報処理推進機構(IPA)による「組織における内部不正防止ガイドライン」です。
内部不正のチェックシートなどもあり、どんな組織であっても不正防止に取り組むことができます。

ブラック企業にはご用心(!?)

このように不正を防止するためのCOSOモデルがあるとはいえ、すべての不正の機会を取り除くことはできません。
そのため、不正のトライアングルの中の「動機」「正当化」が残っている限りは、どこかに不正が行われる可能性が残ってしまいます。
「機会」は企業のルールで制御できますが、「動機」「正当化」は企業の風土が多分に影響しています。
不満を募らせた社員であふれている職場はまさに不正の火薬庫と言えるでしょう。

最近ではWebサイト制作をする際にも、価格や技術力だけでなく、働き方や会社の取り組みにまで注意を向けられる企業が多くなってきました。
下手にブラック企業に仕事を依頼してしまうと一大事です。大切な情報が不満を持ったスタッフによって漏らされてしまうかもしれません。

参考