/ コラム / By

コラム

組織における内部不正防止ガイドラインから学ぶ実践的ポイント

 あなたの組織では、内部不正への備えをどこまで進めていますか。外部からのサイバー攻撃対策には力を入れていても、内部不正──たとえば、機密情報や個人情報の持ち出し、不適切なアクセス権の利用など──に対する備えは十分でしょうか。

 社内の人間だからこそ気付きにくく、発覚が遅れがちな内部不正は、組織にとって重大な事業リスクになりえます。

 本コラムでは、IPAが公開する「組織における内部不正防止ガイドライン」に基づき、組織が実践すべき内部不正防止のポイントを整理します。

目次

  1. 内部不正とは何か、なぜ対策が必要か ▽
  2. 内部不正防止の基本原則 ▽
  3. 内部不正対策の体制構築の重要性 ▽
  4. 内部不正対策に関わる関連法令 ▽
  5. 内部不正を防ぐための管理のあり方 ▽
  6. 事後対応としての管理策 ▽
  7. まとめ ▽

1. 内部不正とは何か、なぜ対策が必要か

 近年、企業や組織では、内部不正による情報セキュリティ事故が事業の根幹を脅かす事例が増えています。たとえば、社員や役職員によって顧客情報が不正に流出し個人情報が大量に漏えいしたケース、退職時に技術情報を不正に持ち出し製品情報が漏えいしたケース、あるいは他組織への取引を通じてデータを無断で提供・拡散してしまうケースなどが報告されています。

 内部不正に関わる事故は、ランサムウェアなどの外部攻撃と並び、1件あたりの被害が大きく、事業に深刻な影響を与える可能性があります。IPAの調査によると、営業秘密の漏えい経路は「中途退職者による漏えい(36.3%)」「現職従業員の誤操作・誤認等(21.2%)」「現職従業員のルール不徹底(19.5%)」「現職従業員による金銭目的等の不正行為(8.0%)」と報告され、内部関係者による漏えいが大きな割合を占めています。

 さらに、内部不正事故は組織内部で処理され外部に知られにくく、報道や裁判例で公表されるもの以外にも多くの未公表事例が存在すると考えられます。このため、組織間での情報共有が進まず、実態の把握や効果的な対策の検討が難しい状況にあります。

 内部不正のリスクを軽視すると、事故発生を防げないだけでなく、発覚が遅れて被害が拡大したり、原因不明のまま事故が解明されなかったり、懲戒処分や責任追及が困難になるなど、組織運営上の大きな問題を引き起こす可能性があります。

 このように、内部不正は組織にとって重大なリスクであり、外部攻撃対策と同様に、予防策や対応体制を整備することが不可欠です。

関連コラム

2.内部不正防止の基本原則

 本ガイドラインでは、状況的犯罪予防の考え方を内部不正防止に応用し、以下の 5つの基本原則 を示しています。

  • 犯行を難しくする(やりにくくする)
    対策を強化することで犯罪行為を難しくする
  • 捕まるリスクを高める(やると見つかる)
    管理や監視を強化することで捕まるリスクを高める
  • 犯行の見返りを減らす(割に合わない)
    標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
  • 犯行の誘因を減らす(その気にさせない)
    犯罪を行う気持ちにさせないことで犯行を抑止する
  • 犯罪の弁明をさせない(言い訳させない)
    犯行者による自らの行為の正当化理由を排除する

 これら5原則は、それぞれが相互に補完し合う形で運用されることが前提です。例えば、単にアクセス制御等の技術的対策を強化しても、ログ取得や監査による証跡がなければ「捕まるリスク」は低く、不正の抑止力は十分に発揮されない可能性があります。また、教育や職場環境整備を行なければ、「犯行の誘因を減らす」「言い訳させない」部分が不十分となり、内部不正発生の可能性は残ります。

 よって、これら 5 つの原則を意識しながら、バランス良く対策を設計することが重要です。

3. 内部不正対策の体制構築の重要性

 内部不正対策を効果的に進めるには、経営者がリスクを認識し、積極的に関与することが重要です。内部不正は企業価値や競争力を損なう可能性があるため、法令遵守だけでなく企業価値維持・向上の観点からも推進する責任があります。経営者の関与は、組織内の意識向上や実施策の周知徹底にも大きな役割を果たします。

 内部不正対策は複数部門に関わるため、組織全体で協力し、役割と責任を明確にすることが必要です。最高責任者は基本方針を策定し、総括責任者を任命して対策を推進します。総括責任者は組織全体の具体的な施策を実施・確認し、各部門と経営者の間を仲介します。情報システム部門、人事部門、総務部門などの関係部門も参画・協力し、必要に応じて外部専門家や全社窓口を活用することで、効果的な体制を整えることができます。

 内部不正対策の体制においては、以下の役割が重要です。

  • 最高責任者
    経営者であり、会社法等の法令及び取締役会決議に従い、内部不正対策 に関して意思決定を行う最高責任を負います。
  • 総括責任者
    内部不正対策の体制の総括的な責任者であり、 経営者の基本方針に基づき 組織全体の具体的な管理策の作成及び管理策に基づいた対策を実施し、 対策状況を確認するとともに、見直しを行います。
  • 部門責任者
    部門の責任者として、総括責任者の指示のもと、自らが担当する部門における対策を実施 し、対策状況を確認するとともに、見直しを行います。

 また、テレワークや雇用の流動化などにより、内部不正リスクの評価や従業員のメンタルヘルスケアなど専門性が求められる場面が増えています。必要に応じて外部専門家の支援を体制に組み込むことや、全社的な連絡窓口の設置、各部門の自主的な協力を促す仕組みづくりも有効です。

 内部不正対策の体制構築では、経営者の積極的関与、総括責任者の明確化、関係部門の協力体制の整備が不可欠です。組織全体で責任と権限を明確化し、全ての部門が連携して対策を推進することで、内部不正のリスクを効果的に低減できます。

 

4.  内部不正対策に関わる関連法令

 内部不正対策を検討・実施する際には、関連する法律の理解が不可欠です。ガイドラインでは、法務部門や人事・総務部門と連携して対策を検討することが推奨されています。主な関連法令は以下の通りです。

  • 個人情報保護法
    個人情報の漏えいや不正利用を防止するため、事業者の義務や従業員・委託先の監督義務を規定しています。違反時には勧告・命令・罰則が適用され、 個人の権利利益を害するおそれがある漏えい等 (故意の内部不正によるものを含む)の発生時には報告義務が課されます。
  • マイナンバー法
    特定個人情報(マイナンバーを含む情報)の利用範囲を制限し、不正利用や第三者提供に対して刑事罰を規定。取り扱う事業者には厳格な安全管理措置と従業員監督が求められます。
  • 不正競争防止法
    営業秘密や限定提供データの不正取得・使用・開示に対して民事・刑事上の救済措置を規定。 情報が秘密として扱われ、適切に管理されていることが営業秘密としての保護前提です。
  • 労働契約法
    従業員が在職中に内部不正を行った場合、労働契約違反として解雇・懲戒処分や損害賠償請求の対象となる可能性があります。発生した損害については、債務不履行や不法行為に基づく賠償も求められる場合があります。
  • 労働者派遣法
    派遣労働者には派遣先との間に直接労働契約がないため、秘密保持義務を課す際は派遣元企業を通じて対応する必要があり、労働者派遣法を考慮する必要があります。
  • その他
    内部者による不正行為に関連する法制度としては、上記以外にも刑法(例えば窃盗罪、横領罪、背任罪等)や民法(例えば契約責任、不法行為責任等)、労働法(例えば秘密保持義 務違反、競業避止義務違反等)、公益通報者保護法も存在します。

 これらの法令を理解し、組織内のルールや体制設計に反映させることが、内部不正対策を法令遵守とともに効果的に進めるために不可欠です。

5 内部不正を防ぐための管理のあり方

 ガイドラインでは、組織内で講じるべき内部不正防止の具体的な管理策が示されています。本章では内部不正の防止の観点で整理します。

  • 基本方針(経営者の責任・ガバナンス)
    経営者は組織全体の基本方針を策定・周知し、実効性のある体制や必要なリソースを整備することが重要です。重要情報の分類や役職員の保護、リスクに応じた継続的な見直し、証拠保全や委託先管理など、内部不正発生時の対応体制も整備します。
  • 資産管理(秘密指定・アクセス権指定・アクセス管理)
    情報の機密性に応じた分類と適切なアクセス権の付与・管理を行います。情報システム上では、アクセス権を業務上必要な者のみに付与し、IDの登録・変更・削除やシステム管理者権限も適切に管理し、相互監視を行います。
  • 物理的管理
    重要情報や情報システムは、格納場所や取り扱い領域への許可のない者が立ち入れないように、入退室管理や物理的保護を行います。また、情報機器や記録媒体の持出し・個人機器の利用も承認・記録・制限します。
  • 技術・運用管理
    内部不正モニタリングは監視機能の有効性だけではなく、業員保護を考慮しつつ、人手確認と組み合わせて運用する必要があります。ネットワークや情報機器の利用、委託先管理では暗号化やアクセス制御で情報漏えいリスクを抑えます。さらに、テレワークやクラウド利用の際には権限管理や多要素認証で情報を適切に保護します。
  • ログ・証跡の記録と保存
    従業員やシステム管理者等のアクセス・操作ログを記録・保存し、定期的に確認することで、不正行為の前兆を早期に発見できます。システム管理者のログは設定変更や運用作業を含め、改ざん防止や暗号化等で保護し、収集できない場合は作業内容を文書化して管理者以外が確認します。また、ログ保存の事実を通知することで内部不正の抑止にもつながります。
  • 人的管理
    全役職員や派遣労働者に内部不正対策や重要情報の取り扱いに関する教育を繰り返し実施し、理解度や遵守状況を記録して周知します。従業員モニタリングは保護目的で適正に運用することで内部不正の抑止につなげます。さらに雇用終了時には秘密保持契約や情報資産の返却・削除で情報漏えいを防ぎます。
  • コンプライアンス
    懲戒処分や秘密保持義務、重要情報の範囲を内部規程で明確化し、適切な手続きを整備して内部不正に備えることが重要です。また、情報保護の意識付けのため、秘密保持誓約書は入社時だけでなく昇格・配置転換などの適切な機会にも提出を求めることが重要です。
  • 職場環境
    公平で客観的な人事評価や適切な人員配置、労働環境の整備は、役職員の不満や過重負荷による内部不正のリスクを低減します。また、職場内で相談しやすく良好なコミュニケーションが取れる環境やチームワークを推進し、テレワークでも疎外感や不安を解消することが重要です。さらに、単独作業は内部不正の温床となるため、事前承認や事後確認の手順を整備し、作業内容や重要情報の取り扱いを追跡できる体制を構築することが望まれます。
  • 組織の管理
    内部不正防止には、具体的な対策項目を定め、定期・不定期に監査で確認し、結果を経営者に報告して必要に応じて改善することが重要です。この際、テレワークも含め、役職員が内部不正防止策や情報管理手順に従って適切に行動しているかの対応状況を把握するとともに、部門間のばらつきや違反事例の有無も確認し、必要に応じて改善策を講じることが求められます。

 これらの管理策は、複数の内部不正を想定して示されています。そのため、事業への影響が小さくリスクを許容できる場合は必ずしもすべてを実施する必要はありません。対策を検討する際は、リスクや事業への影響、コストやリソースを踏まえた具体策の立案が重要です。

 次章では、万一不正が発生した場合にどのように対応し、再発防止につなげるかを整理します。

 

BlackBoxSuiteでは、アクセスログの取得・監視により、
内部不正を未然に防ぎます。

Webサイトに公開されていない資料をお
届けしています。
こんな方に最適な資料です。

社内システムのデータアクセスが心配
低コストでログ監査を導入したい方
真の情報漏洩対策を学びたい方
資料をダウンロード▶

6事後対応としての管理策

 本ガイドラインは、組織における内部不正の防止を主眼としています。しかし、対策を講じても内部不正が発生する可能性があることを考慮し、「早期発見」と「拡大防止」も視野に入れ作成されています。

本章では、内部不正が発生した場合の事後対応や再発防止の観点で、ガイドラインに示されている管理策を整理します。

  • 事後対策
    内部不正の影響範囲を把握し、被害の最小化や拡大防止策を迅速に実施するための体制を整備することが重要です。具体的には、証拠保全やログ・デバイス・サービスの記録取得、関係者(内部・外部)の連携体制の確保を行い、個人情報漏えいや営業秘密漏えいの場合には法的手続きや報告義務も速やかに対応します。また、内部不正者への処罰や再発防止策の検討、事例の組織内周知も実施することで、同様の不正を防ぎます。
  • 原因究明と証拠確保
    ログ・証跡が適切に保存されていない場合、内部不正の原因特定や不正者の追跡、影響範囲の調査が困難になり、処罰の根拠や法的紛争・訴訟時の証拠としても利用できなくなります。そのため、重要情報へのアクセス履歴や利用者・システム管理者の操作履歴などのログ・証跡を記録・保存し、定期的に確認することが重要です。テレワーク環境も含め、改ざん防止や権限管理を行い、安全に保管することが望まれます。
  • 内部不正に関する通報制度の整備
    内部不正の通報制度を整備し、役職員が所属部門以外の窓口にも通報できる体制を複数設置するとともに、匿名性の確保や利用方法の教育・周知を徹底します。通報制度により、内部不正の早期発見や対応の遅延防止、隠蔽防止を図ります。

 これらの対策により、内部不正が発生した場合でも、影響を最小化しつつ原因究明や関係者対応、再発防止策の実施が可能となります。また、通報制度や証拠の適切な管理を併せて運用することで、内部不正の早期発見や拡大防止が促進され、組織全体の信頼性向上につながります。

 

7まとめ

 内部不正は、社内に存在する見えにくいリスクであり、発覚が遅れるほど組織への影響は大きくなります。本コラムでは、IPAが公開する「組織における内部不正防止ガイドライン」に基づき、内部不正の基本的な理解、予防の原則、組織体制や関連法令の確認、具体的な管理策、さらに事後対応に至るまでのポイントを整理しました。

 内部不正の防止には、経営者の関与をはじめ、組織全体での役割分担や明確な責任体制の整備が不可欠です。また、アクセス管理や教育、職場環境整備など、複数の対策を組み合わせてバランスよく運用することが重要です。万一不正が発生した場合には、迅速な事後対応、証拠の確保、通報制度の活用を通じて影響を最小化し、再発防止につなげる体制を整えることが求められます。

 内部不正対策は、単なる規則遵守にとどまらず、組織全体の信頼性や事業継続性を高めるための重要な取り組みです。ガイドラインはあくまで「指針」であり、業務内容や取扱情報、働き方、組織形態によって最適な対策は異なります。環境や働き方の変化に応じて見直しを行い、自社にとって最も適切な内部不正防止体制を構築し、継続的に改善していくことが重要です。

製品概要を見る▶
事例・活用シーンを見る▶

お問合せ

BlackBox Suiteは、多くの実績を持つ情報漏洩対策ソリューションです。
ご不明な点はお気軽にお問い合わせください。
利用用途やリスクに応じて、最適なご提案をいたします。

資料請求・お問合せ
パートナー募集

上部へスクロール