不正のトライアングルとは何か?セキュリティインシデントが発生するメカニズムを解説

最近は企業の不祥事が報じられることが多くなりましたが、なぜ不正というものは発生してしまうのでしょうか。その原因を不正のトライアングルでひも解きます。

この記事は動画でも解説しています。よろしければご覧ください。

不正のトライアングルの概要

「不正のトライアングル」とはアメリカの組織犯罪研究者であるドナルド・R・クレッシー(Donald Ray Cressey)が提唱したもので、不正が行われるには「動機」「機会」「正当化」という3つの要因がそろった時に発生するとした理論です。
以下では各要因について詳しく見ていきましょう。

ドナルド・R・クレッシーの写真
ドナルド・R・クレッシー。画像はWikiPediaより。

動機(Perceived Pressure)

動機は不正を犯す必要性のことを指しています。
動機は「プレッシャー」とも呼ばれ、人を不正に向かわせる圧力と言い換えてもよいでしょう。
例えば、「多額の借金を抱えてしまってお金が必要」とか、仕事のストレスから「会社に迷惑をかけてやろう」という気持ちは不正を行う動機になります。

機会(Perceived Opportunity)

機会は不正が発生する可能性がある状況のことを指しています。
例えば、大切な情報が引き出せてしまうなど、不正を行おうと思えば実施できてしまう状況が機会にあたります。
言いかえれば、不正を行うまでのプロセスが明確である場合、不正を行うための機会が発生すると言うことができるでしょう。

正当化(Rationalization)

正当化は不正行為をすることを正当化する不正行為者の考え方のことを指しています。
例えば「会社が俺の給料を上げないから」とか「仕事が終わらないから」など、不正を正当化するための言い訳がこれにあたります。

実例:赤信号を渡る人の心理

不正をする心理のイメージ図

日常的に目の当たりにする人の不正として「信号無視」があるのではないでしょうか。
赤信号でも通行してしまう人の心理を不正のトライアングルでひも解くと以下のようになります。

動機待ち合わせの時間に間に合いたい
機会誰も見ていない
正当化みんなやっている

人が信号無視をする時、「遅刻しそうだから急ぎたい」というように、何かしら個人的な動機から始まります。
そしてそれを実行してしまうのは機会が整っているからです。
もし信号の近くにお巡りさんがいたら、その人は信号無視なんてしないでしょう。しかし、誰も信号無視をしていることを見ていなければ、不正を行う機会が作られてしまいます。
あるいは、最後の良心で「それでも信号無視はいけない」と思いとどまればよいのですが、信号無視をする人の心情は「みんなもやってるから」とか「遅刻しそうなのは社会が悪い」とか自己を正当化する思考に陥ってしまっています。

その結果、信号無視という不正は発生してしまうのです。

COSOモデルを使った不正の防止

「機会」を排除する

不正のトライアングルでは、「動機」「機会」「正当化」3つがそろった時に不正が発生するとしていますが、逆に言えば1つでもそろわなければ不正というものは生じにくいものです。
「動機」「機会」「正当化」のうち、最も組織として取り組みやすいのが「機会」の排除です。
「アクセス権がない人に情報を開示しない」
「複数人の承認を経なければデータを取り出せない」
など、ルールやシステムを見直すことで、機会は取り除いていくことができます。
この性質に着目したのが、COSOモデルです。

COSOモデルとは?

COSOとは企業のリスク管理、内部統制および詐欺防止に関する枠組みおよび手引きの策定をするトレッドウェイ委員会支援組織委員会のことです。
COSOモデルとは1992年にCOSOが公表した『内部統制─統合的フレームワーク』のことです。

COSOモデルの5つの構成要素

COSOモデルは5つの構成要素、即ち「統制環境」、「リスク評価」、「統制活動」、「情報と伝達」、「モニタリング活動」の5つで成り立っています。
「統制環境」とは経営者も含めた環境作りのことであり、「リスク評価」では発生しうるセキュリティ問題を洗い出し、発生時の損害額を見積もります。
「統制活動」は不正防止を実行することであり、「情報と伝達」は不正防止活動のために情報を提供し支援することです。
「モニタリング活動」ではこれらの不正防止の活動がしっかりと機能しているかをチェックしていきます。

IPAの「組織における内部不正防止ガイドライン」

COSOモデル以外にも、不正防止の取り組み方法があります。
例えば情報処理推進機構(IPA)による「組織における内部不正防止ガイドライン」です。
内部不正のチェックシートなどもあり、どんな組織であっても不正防止に取り組むことができます。

ブラック企業にはご用心(!?)

このように不正を防止するためのCOSOモデルがあるとはいえ、すべての不正の機会を取り除くことはできません。
そのため、不正のトライアングルの中の「動機」「正当化」が残っている限りは、どこかに不正が行われる可能性が残ってしまいます。
「機会」は企業のルールで制御できますが、「動機」「正当化」は企業の風土が多分に影響しています。
不満を募らせた社員であふれている職場はまさに不正の火薬庫と言えるでしょう。

最近ではWebサイト制作をする際にも、価格や技術力だけでなく、働き方や会社の取り組みにまで注意を向けられる企業が多くなってきました。
下手にブラック企業に仕事を依頼してしまうと一大事です。大切な情報が不満を持ったスタッフによって漏らされてしまうかもしれません。

参考