ガイドライン改訂第5版を公開
独立行政法人情報処理推進機構(IPA)は4月、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開した。
近年、コロナ禍を契機としたテレワークの普及などの新しい働き方への移行、雇用・人材の流動化の加速、個人情報保護法や不正競争防止法などの改正、産業競争力強化法の施行など、事業環境が変化している。それらを踏まえた経営リスクについて、経営者へのメッセージをより強化するとともに、新たに必要となる対策・強化すべき対策を示している。
情報漏えい対策技術では、5年間でAI(人工知能)の活用による「ふるまい検知」(従業員の不審な行動を検知する仕組み)など、内部不正対策の技術面が進展していることから、技術・運用対策にも多くの追記を行っている。第5版の主な改訂ポイントは次のとおりである。
■テレワークの普及に伴う対策
テレワークに代表される働き方の変化や、それに伴うオンラインストレージやクラウドなどの外部サービスの利用拡大といった環境変化に対応し、幅広い対策の指針に対して改訂している。テレワーク環境では技術的な対策に加えて人的管理と職場環境も重要となり、さらに事後対策と証拠確保もテレワークに特化した配慮が必要となるため、広範な項目で修正・追記している。
例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限といった技術・運用面での対策や、テレワークを行う役職員の教育といった人的管理、テレワーク中の内部不正に対応できるログ・証跡の取得といった事後対策に至るまで、幅広い対策を示している。
■退職者関連対策
IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」でも、営業秘密の漏えいルートは「中途退職者」による漏えいが36・3%と最多であった。退職者の内部不正を防止する目的でシステムのログ収集・解析を行えるようにしておくことは抑止力として有用である一方、プライバシー保護の観点などから注意点も存在する。
本版では、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど雇用終了の際の対策強化を示している。また、役職員モニタリングに当たっては、その目的が役職員を内部不正から保護するためであることを就業規則に記載し、広く周知の上で了解を得ることを指針として新たに追加し、退職予定者に配慮しながら合意を得ることの重要性を示している。
■ふるまい検知などの新技術活用に伴う対策
近年、セキュリティ技術が急速に進展する一方で、こうした技術を適用する際は、役職員の人権・プライバシーに配慮した運用が求められる。本版では、AIによるふるまい検知機能などを内部不正対策として適用するに当たって必要となる措置について、技術・運用管理の項目に記載した。
具体的には、役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせるなどにより説明責任を果たすことができる方法で運用しなければならないことを示している。これと関連した人的管理の項目としても、人権・プライバシー保護の観点から、役職員モニタリングの目的などを就業規則で周知することをはじめ、自動化された判断に頼りすぎない運用体制の構築などを対策のポイントに挙げている。
本ガイドラインについてはIPAのウェブサイトに掲載している(下部URLを参照)。自社の取り組みの参考にしてほしい。
(独立行政法人情報処理推進機構・江島将和)
ガイドライン第5版はこちら ▶ https://www.ipa.go.jp/security/fy24/reports/insider/
