「組織における内部不正防止ガイドライン」第5版を公開

2022年4月6日
独立行政法人情報処理推進機構

「組織における内部不正防止ガイドライン」第5版を公開
~テレワークや退職者の増加など事業環境の変化や、技術の進歩を反映~

 IPA(独立行政法人情報処理推進機構、理事長:富田達夫)は本日、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開しました。5年ぶりの改訂となる本版では、個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加しました。

URL: https://www.ipa.go.jp/security/fy24/reports/insider/

 近年、組織内部者の不正行為による情報セキュリティ事故がたびたび報道されています。IPAは組織における内部不正防止を推進するため、2013年3月に「組織における内部不正防止ガイドライン」を公開し、2014年、2015年、2017年に改訂してきました。このたび、近年の事業環境の変化や情報漏えい対策技術の進歩などを踏まえ、5年ぶりとなる改訂版を公開しました。

 事業環境の変化としては、コロナ禍を契機としたテレワークの普及・進展等の新しい働き方への移行、雇用・人材の流動化の加速や、個人情報保護法、不正競争防止法等の改正、産業競争力強化法の施行等があります。それらを踏まえた経営リスクを具体化して経営者へのメッセージをより強化するとともに、新たに必要となる対策・強化すべき対策を示しています。情報漏えい対策技術では、5年間でAIの活用によるふるまい検知など、内部不正対策の技術面が進展していること等から、技術・運用対策にも多くの追記を行いました。第5版の主な改訂ポイントは次のとおりです。

 ・テレワークの普及に伴う対策
 テレワークに代表される働き方の変化や、それに伴うオンラインストレージやクラウド等の外部サービスの利用拡大といった環境変化に対応し、幅広い対策の指針に対して改訂しました。テレワーク環境では技術的な対策に加えて人的管理と職場環境も重要となり、さらに事後対策と証拠確保もテレワークに特化した配慮が必要となるため、広範な項目で修正・追記しています。例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限といった技術・運用面での対策や、テレワークを行う役職員等の教育といった人的管理、テレワーク中の内部不正に対応できるログ・証跡の取得といった事後対策に至るまで、幅広い対策を示しています。

 ・退職者関連対策
 IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」でも、営業秘密の漏えいルートは「中途退職者」による漏えいが36.3%と最多でした。退職者の内部不正を防止する目的でシステムのログ収集・解析を行えるようにしておくことは抑止力として有用である一方、プライバシー保護の観点などから注意点も存在します。本版では、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど雇用終了の際の対策強化を示しています。また、役職員モニタリングにあたっては、その目的が役職員を内部不正から保護するためであることを就業規則に記載し、広く周知の上で了解を得ることを指針として新たに追加し、退職予定者に配慮しながら合意を得ることの重要性を示しています。

 ・ふるまい検知等の新技術活用に伴う対策
 近年、セキュリティ技術(特にエンドポイントセキュリティやモニタリング技術)が急速に進展する一方で、こうした技術を適用する際は、役職員の人権・プライバシーに配慮した運用が求められます。本版では、AIによるふるまい検知機能等を内部不正対策として適用するにあたって必要な措置について、技術・運用管理の項目に記載しました。具体的には、役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせる等により説明責任を果たすことができる方法で運用しなければならないことを示しています。これと関連した人的管理の項目としても、人権・プライバシー保護の観点から、役職員モニタリングの目的等を就業規則で周知することをはじめ、自動化された判断に頼りすぎない運用体制の構築などを対策のポイントにあげています。

 以上の各項目について関連する法令を元に注意点を追記し、コンプライアンスに問題が生じないように配慮しています。

 本版では、インシデント事例調査に基づく内部不正事例集や、テレワークに係る対策一覧なども付録として掲載しています。「組織における内部不正防止ガイドライン」第5版は、IPAのウェブサイトからダウンロードできます。
https://www.ipa.go.jp/security/fy24/reports/insider/

 IPAは、近年の法改正、事業環境や技術の変化などに対応した本版を多くの企業・組織が活用することで、各組織の内部不正対策が効率的に進んでいくことを期待しています。
本件に関するお問合わせ先
■ 本件に関するお問い合わせ先
IPA セキュリティセンター 小川/佐川
E-mail: isec-info@ipa.go.jp
■ 報道関係からのお問い合わせ先
IPA 戦略企画部 広報戦略グループ 伊藤
E-mail: pr-inq@ipa.go.jp

この企業の関連リリース

この企業の情報

組織名
独立行政法人情報処理推進機構
ホームページ
https://www.ipa.go.jp/
代表者
齊藤 裕
資本金
1,999,569 万円
上場
非上場
所在地
〒113-6591 東京都東京都文京区本駒込二丁目28番8号文京グリーンコートセンターオフィス
連絡先
03-5978-7503

検索

人気の記事

カテゴリ

アクセスランキング

  • 週間
  • 月間
  • 機能と特徴
  • Twitter
  • デジタルPR研究所