日商 Assist Biz

更新

中小企業のセキュリティー対策 vol.14 内部不正対策は経営課題

組織における内部不正防止ガイドライン

関係者による漏えいが多数

近年、企業や組織において、内部不正による情報セキュリティー事故が原因で事業の根幹を脅かすようなケースが目立つようになってきた。その典型例としては、従業員によって顧客情報が不正に売られたことによる個人情報の大量漏えいや、製品情報が退職の際に不正に持ち出されたことによる技術情報の漏えいなどが挙げられる。また、悪意はないにしても、自宅で業務を行うために社内情報を無断で持ち出し、自宅PCから漏えいさせてしまう例も見られる。

経済産業省の調査において、営業秘密の漏えいがあった企業では、漏えい経路が「中途退職者(正規社員)による漏えい(50・3%)」、「現職従業員などのミスによる漏えい(26・9%)」、「金銭目的などの動機を持った現職従業員などによる漏えい(10・9%)」と報告されている。このように、競争力につながる価値ある営業情報の漏えいは、内部の関係者によるものが多くを占める。

しかし、「自社では内部不正は発生しないだろう」「自社の従業員に不正行為をするものはいない」と考えて、リスクを軽視する中小企業は多い。内部不正対策を講じていないと、事故発生を防止できない可能性があるのはもちろん、事故発生に気付かないために被害が拡大し関係者に迷惑が及んで初めて発覚するようなケースや、原因不明で事故を解明できないケースなど、事後対策に支障をきたすこともある。

さらに、不正行為を行った者を特定できたとしても、注意義務を怠っていたとして、懲戒処分が無効になったり、訴訟が困難になったりしてしまうケースさえ考えられる。このような事態に陥らないためにも、中小企業は内部不正を経営課題の一つとして認識し、経営者のリーダーシップの下、真摯(しんし)に取り組まなければならない。

IPAの防止指針活用を

内部不正対策を整備するに当たっては、独立行政法人情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」が参考となる。今回は、予防、早期検知、事後対応の観点から取り組むべき対策の一部を紹介する。

被害を予防するための対策

資産の把握・体制の整備

組織が保持する資産を重要度などで分類し、経営層が責任を持ち、資産の管理体制の整備を積極的に推進することが重要である。

重要情報の管理・保護(アクセス制御、暗号化)

不正競争防止法の営業秘密漏洩罪に問われないためには、「秘密管理性」が重要視される。

アカウント、権限の管理・定期監査

不必要に高い権限を付与しない。また、アカウントを共有しない。

罰則の周知と相互監視の強化

紛失・漏えいを隠蔽(いんぺい)した場合、より懲罰が重くなることを周知することも有効である。

外部記憶媒体の利用制限

USBメモリーなどの外部記憶媒体の利用に制限をかける。また、許可外の機器の接続を禁止する。

被害を早期検知するための対策

システム操作の記録・監視

IPAで行った内部不正に関する実態調査では、効果的な内部不正対策として、アクセスログの監視が上位となっており、効果が期待できる。

被害後の対応のための対策

事後対策に求められる体制の整備

被害の最小化、および影響の拡大を防止するために、求められる対応手順や報告手順などを事前に取り決めておく。内部不正防止ガイドラインの詳しくはIPAのウェブサイト(https://www.ipa.go.jp/security/fy24/reports/insider/)で確認してほしい。 (独立行政法人情報処理推進機構・江島将和)

次の記事

独立行政法人情報処理推進機構・江島将和

情報セキュリティーの脅威は増大の一途をたどっており、毎年のように新たな脅威が出てきている。これらの脅威に対応するためには情報セキュリティーの知識や技術を有するセキュ…

前の記事

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)が先頃公開した「ITサプライチェーンの業務委託におけるセキュリティインシデント及びマネジメントに関する調査」によると、情報通信業以外…

関連記事

独立行政法人情報処理推進機構・江島将和

在宅勤務で急速に拡大新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大している。Web会議サービスの活用は大変有益である一方、…

独立行政法人情報処理推進機構・江島将和

「サイバーセキュリティお助け隊」報告書公表独立行政法人情報処理推進(IPA)は6月15日、「中小企業向けサイバーセキュリティ事後対応支援実証事業(サイバーセキュリティお助け…

独立行政法人情報処理推進機構・江島将和

独立行政法人情報処理推進機構(IPA)では、情報セキュリティーに関する技術的な相談窓口として「情報セキュリティ安心相談窓口」を開設し、年間1万3000件近くの相談を受理してい…