2022.12.28
情報セキュリティ概要・トレンド
【最新版】組織における内部不正防止ガイドラインの改訂ポイントは?基本原則も解説

2022年4月6日、組織における内部不正防止ガイドラインが改訂されました。テレワークの拡大やオンライン上での新しい働き方に合わせて大きな改訂が行われましたが、内容をしっかり理解できている人はどれほどいるのでしょうか。本記事では、実はあまり内容をわかっていないという人に向けて、改訂ポイントを解説していきます。企業の経営や管理職を担う方はとくに参考にしてみてください。
この記事の目次
MDM導入のご検討・ご相談はこちら
組織における内部不正防止ガイドラインとは
はじめに、組織における内部不正防止ガイドラインに関する基本知識を簡単に解説していきましょう。
組織における内部不正防止ガイドラインは、IPA(独立行政法人情報処理推進機構)が設置した「組織における内部不正防止ガイドライン検討委員会」によって作成された文書です。2013年3月15日に第1版が公開されました。2022年に改訂された第5版は2017年以来約5年ぶりとなる改訂で、時代に合わせた内容に変更されています。
このガイドラインは組織内部の関係者による不正の防止を推進する目的で作られており、経営者・経営陣に向けて書かれたものです。内部不正防止の重要性や対策の体制、関連する法律などか簡潔に書かれており、「内部不正対策って言われても、なにをしたらいいかわからない」という人でも、組織における内部不正防止ガイドラインを読めば効果的な内部不正対策を整備することができます。
組織における内部不正防止ガイドラインの基本原則
以下では組織における内部不正防止ガイドラインの基本原則をリストで紹介していきます
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘惑を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯行の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
この基本原則は犯罪学者の Cornish & Clarke(2003)が提唱した都市空間における犯罪予防の考え方を応用して作られています。この基本原則の観点で業務環境を見直すと内部不正を起こしにくい組織を作ることができます。
MDM導入のご検討・ご相談はこちら
組織における内部不正防止ガイドラインの改訂ポイント
最初に説明したように、組織における内部不正防止ガイドラインは2022年4月6日に改訂されています。その理由は、コロナ禍を契機とした、テレワークの普及などのオンライン上での新しい働き方、個人情報保護法や不正競争防止法の改正、産業競争力強化法の施行などの最近の社会環境の変化によるものです。
以下のリストで組織における内部不正防止ガイドラインの改訂ポイントを確認しておきましょう。
- テレワークの普及に伴う対策の修正・追記
- 退職者関連対策を修正・追記
- ふるまい検知などの新技術活用に伴う対策を修正・追記
テレワークの普及に伴う対策を修正・追記
コロナ禍がきっかけとなったテレワークに代表される働き方の変化やオンラインストレージ、クラウドなどの外部サービスの利用拡大という背景を受けて追記され、これまでの環境にはなかった部分が改訂されています。
技術的な対策では、重要情報と通信の暗号化、クラウドサービスにアクセス権限といった技術・運用面での対策が追記。他にもテレワークを行う役職員などの教育といった人的管理、テレワーク中の内部不正に対応できるログの習得といった事後対策に至るまで幅広く修正されています。
また、具体的な技術的な対策としてMDMの導入を検討することもおすすめです。MDMとは一元的に管理・運用することに加え、企業のセキュリティを維持・強化するためのソフトウェアのこと。MDMの機能を使えば会社から貸与した社用スマートフォンやタブレット、PCを遠隔で管理し、アクセスの権限や機能を制限することができます。これによりシャドーITを防ぐことが可能に。さらに端末をMDMによって一元管理することによってセキュリティ対策の煩雑さが無くなり、経営者や管理職が目に見える形で把握できるようになります。
MDMに関しては以下の記事で詳しく解説しているのでぜひご覧ください。
関連記事:「MDM(モバイルデバイス管理)とは?基本や導入時の注意点まで徹底解説」
退職者関連対策を修正・追記
2つ目の改訂ポイントは、退職者関連対策についてです。IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」では営業秘密の漏えいルートとして中途退職者が36.3% と最多となっています。退職者からの情報漏えいが多いのが現状です。退職者の内部不正を防止する目的でシステムのログ収集・解析を行えるようにすることは抑止力として有効です。しかし、一方でプライバシー保護の観点から注意が必要な点でもあります。
第5版では、退職予定者の秘密保持規約や宣誓書の提出拒否を想定した対策を推奨するなど、雇用終了の際の対策強化について修正されています。また役職員を内部不正から保護するためと就業規則に記載して、役職員モニタリングの了解を広く得る必要性が追記されていて、退職予定者に配慮しながら合意を得ることが重要であると記載されています。
ふるまい検知などの新技術活用に伴う対策を修正・追記
近年では、従業員モニタリングする様々なシステムが登場しています。こういったAIによるセキュリティやモニタリング技術は内部不正対策に大きな効果がありますが、従業員の人権・プライバシーに配慮した運用が求められます。
第5版では、AIによるふるまい検知機能などを内部不正対策として使用するにあたっての必要な措置について追記されています。AI技術の導入は情報漏えいリスクへの対処として有効ですが、経営者は自動化に頼りすぎず、人手による判断と組み合わせてどのような目的で従業員を監視するのかを明確に示さなければなりません。プライバシーへの配慮を前提に、AI技術を用いて従業員の監視を行わなければならないということが記載されています。
内部不正を防止する重要性
顧客情報、製品情報などの漏洩は大きな損害を出すばかりでなく、企業の信頼を大きく損なうリスクがあります。
内部不正対策を講じていないと起きる問題として、事故発生を未然に防げないことはもちろん、事故発生後も気づかず関係者に迷惑が及ぶほど被害が拡大して初めて発覚することも。また、仮に内部不正を行った人を特定できても、企業側が注意を怠ったとして懲戒処分ができない、内部不正を行った本人や協力者などに対する責任追究をすることが困難になるケースも起こりえるのです。まずは内部不正防止対策が実施可能な体制を整えることが重要となります。
内部不正が起こる理由
内部不正は、不正のトライアングルと呼ばれる「動機」「機会」「正当化」の3つの要素がすべてそろったときに発生すると言われています。
「動機」とは、「金銭的な問題を抱えている」「会社から強いノルマを受けている」「業務上のミスを隠したい」などの本人が不正を働くための理由のことです。
「機会」とは、「他の社員に業務を把握されていない」「内部統制が機能しておらず経費申請などが十分に精査されない」といった内部統制や監視が機能していない、内部統制や監視を無視できる立場にあることで不正の実行が可能あるいは容易な環境のことです。
「正当化」とは、「他にも似たようなことをしている人がいるからよいだろう」「自分はもっと評価されるべきだ」などと良心の呵責を乗り越える都合のよい解釈、また他人へ責任転嫁をすることです。
この不正トライアングルの3つの要素の低減が、内部不正を防止するのに有効になります。なかでも組織が能動的に対策を講じることのできる「動機・プレッシャー」と「機会」の低減は基本方針として行うようにしましょう。
内部不正への対策
内部不正対策は不正の種類によって効果的な対策が変わってきます。ここからは、内部不正を種類ごとに要因とあわせて見ていきましょう。また対策例も一部紹介していきます。
退職にともなう情報漏えい
退職にともなっての情報漏えいが起こる要因は以下の6つです。
- 従業員(退職予定者含む)の監視ができていない
- 重要な情報にアクセスできる
- 重要な情報が海外に持ち出されている
- 在職中の入館証やアカウント、権限が使える
- 退職後の(守秘義務契約の余後効含む)秘密保持策や競業避止対策が未整備
- 退職後は重要情報漏えいへの抑止力が働かない
こういった要因は退職前後の対策が重要になってきます。退職前は情報機器の持ち出し管理やログの記録を残す、アクセス制限などして監視ができるようにしましょう。退職後は、情報資産を返却するようにして事前に要因を排除することが必要です。
システム管理者による不正行為
システム管理者による不正行為が起こる要因は以下の5つです。
- 権限が集中している
- 必要以上の要員に権限が付与されている
- 特権の使用が限定されていない
- 重要情報にアクセスしたシステム管理者が特定できない
- システム管理者の監視ができていない
このような要因への対策はシステム管理者に適切な権限を与えることが重要です。必要以上に権限を与えず、ちゃんと必要最低限の権限を付与するようにしましょう。また内部モニタリングシステムでシステム管理者を監視するということも大切になってきます。
委託先からの情報漏えいなど
委託先からの情報漏えいなどが起こる要因は以下の3つです。
- 契約前及び契約期間中、委託先の体制やセキュリティ対策をチェックできていない
- 重要情報の安全管理に必要な事項が契約に盛り込まれていない
- 委託先との重要情報の受け渡し、廃棄・削除の手続きが定められていない
このような要因への対策は、統括責任者を置く、契約に安全管理事項を盛り込むなどの対策をして、委託先を受け入れられる体制を整えることが必要です。
職場環境に起因する不正行為
職場環境に起因する不正行為が起こる要因は以下の5つです。
- 人事評価に納得しておらず、不満がある
- ある社員が、特定の業務を長期間担当している
- 特定の社員の業務量が過大になっている
- 業務の悩みを誰にも相談できない、孤立している
- 単独作業が多い
このような要因への対策は公正な人事評価の整備や良好なコミュニケーションなど、職場環境を整えることが重要になります。
ルール不徹底に起因する不正行為
ルール不徹底に起因する不正行為が起こる要因は以下の5つです。
- 重要情報の取り扱い等の社内ルールが周知されていない
- 私物のスマートフォンやUSBメモリ等の持込、業務利用が制限されていない
- ルールが明確でない
- 無許可アプリや SNS等の使用を制限できていない
- 情報が第三者に流出した場合を想定した対策ができていない
このような要因への対策は内部不正対策の周知、情報機器の管理、制限などの情報漏えい対策が効果的になります。
組織における内部不正を防止する際のポイント
組織における内部不正を防止するポイントは、技術的な対策ばかりではありません。通報制度を整備することも防止に繋がります。とくに通報者の保護を実施することが重要です。通報者の匿名性を確保することは、通報者の保護に繋がります。匿名性を確保しないと組織内の人間関係の影響から内部不正情報を得られない可能性が出てきます。
また、内部不正を通報することによる不利益が生じないようにしなければなりません。内部通報による、解雇、降格、減給などが行われてしまった場合、通報者も何かしらの処分をされるリスクを考えてしまい通報が遅れてしまう、ということが起きてしまいます。通報者を保護する環境を整えるようにしましょう。
まとめ
今回は、組織における内部不正防止ガイドラインの改訂ポイントについて解説してきました。テレワークなどオンラインでの情報のやり取りが増えて、情報漏えいリスクが高まっているので、今回解説した改訂ポイントをしっかりチェックして、内部不正の起こらない企業を作りましょう。また、セキュリティ対策としてMDMの導入も検討してみてはいかがでしょうか。