IPA（独立行政法人情報処理推進機構、理事長：富田達夫）は本日、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開しました。5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しました。

URL: https://www.ipa.go.jp/security/fy24/reports/insider/

　近年、組織内部者の不正行為による情報セキュリティ事故がたびたび報道されています。IPAは組織における内部不正防止を推進するため、2013年3月に「組織における内部不正防止ガイドライン」を公開し、2014年、2015年、2017年に改訂してきました。このたび、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりとなる改訂版を公開しました。

　事業環境の変化としては、コロナ禍を契機としたテレワークの普及・進展等の新しい働き方への移行、雇用・人材の流動化の加速や、個人情報保護法、不正競争防止法等の改正、産業競争力強化法の施行等があります。それらを踏まえた経営リスクを具体化して経営者へのメッセージをより強化するとともに、新たに必要となる対策・強化すべき対策を示しています。情報漏えい対策技術では、5年間でAIの活用によるふるまい検知など、内部不正対策の技術面が進展していること等から、技術・運用対策にも多くの追記を行いました。第5版の主な改訂ポイントは次のとおりです。

　・テレワークの普及に伴う対策
　テレワークに代表される働き方の変化や、それに伴うオンラインストレージやクラウド等の外部サービスの利用拡大といった環境変化に対応し、幅広い対策の指針に対して改訂しました。テレワーク環境では技術的な対策に加えて人的管理と職場環境も重要となり、さらに事後対策と証拠確保もテレワークに特化した配慮が必要となるため、広範な項目で修正・追記しています。例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限といった技術・運用面での対策や、テレワークを行う役職員等の教育といった人的管理、テレワーク中の内部不正に対応できるログ・証跡の取得といった事後対策に至るまで、幅広い対策を示しています。

　・退職者関連対策
　IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」でも、営業秘密の漏えいルートは「中途退職者」による漏えいが36.3%と最多でした。退職者の内部不正を防止する目的でシステムのログ収集・解析を行えるようにしておくことは抑止力として有用である一方、プライバシー保護の観点などから注意点も存在します。本版では、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど雇用終了の際の対策強化を示しています。また、役職員モニタリングにあたっては、その目的が役職員を内部不正から保護するためであることを就業規則に記載し、広く周知の上で了解を得ることを指針として新たに追加し、退職予定者に配慮しながら合意を得ることの重要性を示しています。

　・ふるまい検知等の新技術活用に伴う対策
　近年、セキュリティ技術（特にエンドポイントセキュリティやモニタリング技術）が急速に進展する一方で、こうした技術を適用する際は、役職員の人権・プライバシーに配慮した運用が求められます。本版では、AIによるふるまい検知機能等を内部不正対策として適用するにあたって必要な措置について、技術・運用管理の項目に記載しました。具体的には、役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせる等により説明責任を果たすことができる方法で運用しなければならないことを示しています。これと関連した人的管理の項目としても、人権・プライバシー保護の観点から、役職員モニタリングの目的等を就業規則で周知することをはじめ、自動化された判断に頼りすぎない運用体制の構築などを対策のポイントにあげています。

　以上の各項目について関連する法令を元に注意点を追記し、コンプライアンスに問題が生じないように配慮しています。

　本版では、インシデント事例調査に基づく内部不正事例集や、テレワークに係る対策一覧なども付録として掲載しています。「組織における内部不正防止ガイドライン」第5版は、IPAのウェブサイトからダウンロードできます。
https://www.ipa.go.jp/security/fy24/reports/insider/

　IPAは、近年の法改正、事業環境や技術の変化などに対応した本版を多くの企業・組織が活用することで、各組織の内部不正対策が効率的に進んでいくことを期待しています。