経営層が主導し部門連係で対処
独立行政法人情報処理推進機構(IPA)は、これまで秘密情報の管理と保護に関する実態調査を通じ、「守るべき情報資産の認識不足や内部不正防止対策の取り組みの遅れ」などの問題点や課題を示してきた。特に中小企業では、内部不正防止が「重要な経営課題」として認識されていない、守るべき情報資産を特定できていない、内部不正対策は後手に回りがちといった課題が顕著である。そこで、それらの課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、内部不正防止対策・体制整備などに関する調査を実施し、報告書としてまとめた。
内部不正防止の課題が顕在化してしまう要因には、中小企業のリソース不足と、多岐にわたる対策の優先度の判断が後手に回っていたことなどがある。今回の調査から得られた中小企業として対策推進のファーストステップとなり得る示唆を以下に示す。
■中小規模を逆手に取ったリーダーシップ発揮や訓示の活用
中小企業における経営層の意識やリーダーシップが持つ意味は大変大きい。そうした意識の下、リーダーシップを発揮し、リスクや対策優先度の判断を行い内部不正対策強化の推進力とする。さらに、中小企業では経営者と従業員の距離が近く、経営層のメッセージが響く。そこで朝礼や全社集会などを活用し、全従業員に、内部不正対策の経営方針や判断、蓄積した知見を直接伝える。
■リソース節約型の部門連携
内部不正防止に特化したリスク管理体制がない場合でも、情報システム/セキュリティ部門が内部不正防止で必要とされるIT技術面をカバーし、総務・人事部門が内部不正防止体制をカバーするように指向し、少ないリソースで専門管理部門設置と同等の効果を期待する。
■最小限の内部不正対策を付加
サイバーセキュリティ対策でカバーできない内部不正特有の対策などは、ある程度実施されている既存のサイバーセキュリティ対策に上乗せすること(共通の対策を適用しつつ、守るべきものとリスクの違いに応じて足りないところを補うのみとする)が、効率的かつ効果的。
先進的事例参考に自社の対策推進を
先進的中小企業へのインタビュー調査から得られた、中小企業の内部不正防止に役立ちそうな示唆や好事例を以下に示す。
■取りかかるきっかけを生かす
経営者が自ら主導して技術情報管理やISMS(情報セキュリティマネジメントシステム適合性評価制度)などの可視化しやすい認証を取得することなどが秘密情報漏えい/内部不正リスクを重要な経営課題として認識するための契機となり得る。未導入であれば情報資産台帳を用いた秘密情報管理の導入も同時に期待できる。
■小回りの利く機動力を生かす
経営者が自ら戦略を語り、基本方針を周知徹底し、自身の思いを伝えることで従業員に対するリーダーシップを発揮し、中小企業ならではの機動性を生かしながら、事業リスクの判断や秘密情報の特定・格付けをスピードアップさせることが有効。
■風通しの良さを生かす
社員が少数という中小規模ならではの風通しの良さ、顔の見える人間関係を生かし、内部不正防止のための監視・報告体制整備に際しては、その意義をじっくり説明しながら構築し、唐突な体制整備による不信感を抑止することが有効。
◇
その他聴取できた取り組みや事例は多岐にわたり、調査報告書に記載している。自社での取り組みの参考にしていただきたい。
(独立行政法人情報処理推進機構・江島将和)
2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書についてはこちら
