ガイドラインの概要
IPA(情報処理推進機構)が公開する「組織における内部不正防止ガイドライン」は、組織内部者による情報漏洩や不正行為を防止するための対策を体系的にまとめたガイドラインです。2013年に初版が公開され、2022年4月に最新の第5版が公開されました。
内部不正による情報漏洩は、IPAの「情報セキュリティ10大脅威」でも毎年上位にランクインしており、退職者による営業秘密の持ち出し、システム管理者による不正操作、テレワーク環境での情報管理の不備など、多様なリスクが存在します。
5つの基本原則
| # | 基本原則 | 概要 |
|---|---|---|
| 1 | 犯行を難しくする | アクセス制御、持ち出し制限等で不正行為のハードルを上げる |
| 2 | 捕まるリスクを高める | ログ取得・モニタリングにより不正行為を検知可能にする |
| 3 | 犯行の見返りを減らす | 情報の暗号化等により、持ち出しても利用できない状態にする |
| 4 | 犯行の誘因を減らす | 公正な人事評価、良好な職場環境により不満・動機を軽減する |
| 5 | 犯行の弁明をさせない | 規程の整備・周知により「知らなかった」という弁明を排除する |
10の対策観点
| # | 対策観点 | 主な内容 |
|---|---|---|
| 1 | 基本方針 | 内部不正防止の基本方針の策定、経営者の責任 |
| 2 | 資産管理 | 重要情報の特定・分類、アクセス権限の管理 |
| 3 | 物理的管理 | 入退室管理、記録媒体の持ち出し制限 |
| 4 | 技術的管理 | アクセス制御、ログ管理、DLP、暗号化 |
| 5 | 証拠確保 | デジタルフォレンジック、ログの長期保管 |
| 6 | 人的管理 | 秘密保持契約、教育・啓発、退職時の対応 |
| 7 | コンプライアンス | 関連法令の遵守(不正競争防止法、個人情報保護法等) |
| 8 | 職場環境 | 公正な評価、ハラスメント防止、相談窓口 |
| 9 | 事後対策 | 内部不正発生時の対応手順、再発防止 |
| 10 | 組織の管理体制 | 最高責任者の指定、統括責任者・各部門の役割 |
第5版の改訂ポイント
テレワーク環境への対応
コロナ禍で急速に普及したテレワーク環境では、オフィス外での秘密情報の取扱いが増加しています。第5版では、通信の暗号化、クラウドサービスのアクセス権限管理、テレワーク環境でのログ取得と証拠確保、テレワーク従業員への教育など、幅広い対策が追記されました。
退職者による情報漏洩対策の強化
IPAの調査では営業秘密の漏洩ルートの最多は「中途退職者」(36.3%)です。第5版では、退職予定者が秘密保持誓約書の提出を拒否するケースを想定した対策や、退職前のログ収集・解析によるの抑止力について追記されています。
AI・モニタリング技術の運用
AIによるふるまい検知機能等を内部不正対策として適用する際の留意点が追記されました。従業員の人権・プライバシーに配慮し、自動化された判断に頼りすぎず人手による判断と組み合わせること、モニタリングの目的を就業規則に記載して周知することが求められています。
33項目のチェックシート
ガイドラインの付録として、33項目のセルフチェックシートが用意されています。10の対策観点ごとに具体的なチェック項目が設定されており、自組織の内部不正防止対策の現状を簡易に評価できます。
33項目のチェックシートで現状を評価し、未対応の項目を洗い出すことが第一歩です。「基本方針の策定」「秘密保持契約の整備」「アクセスログの取得」は、コストをかけずに着手できる最優先項目です。
まとめ
IPA「内部不正防止ガイドライン」第5版は、5つの基本原則と10の対策観点に基づく33項目の対策で内部不正を防止するフレームワークです。テレワーク時代の情報漏洩対策、退職者管理、AIモニタリングの運用が主な改訂ポイントです。チェックシートで自社の現状を評価し、未対応の項目から着手しましょう。