Select Language : English 日本語
Global Site : NTT Ltd.

お客さまの課題解決のヒントをお届けするデジタルマガジンICT Business Online

メルマガ登録 サービス
オンライン注文

テレワークは内部不正が起きやすい!? IPAの資料を読み解く

印刷

メルマガを登録する!(無料)

内部不正を防ぐためには、具体的にはどうすれば良いのか?5年ぶりに改定された IPA(情報処理推進機構)のガイドラインから、その方法を読み解きます。

ガイドライン5年ぶり改訂の裏に、社会の変化あり

独立行政法人「IPA(情報処理推進機構)」は、2022年4月に、企業における内部不正対策の重要性と具体的な取り組みを解説する「組織における内部不正防止ガイドライン」(※)の最新バージョンとなる第5版を発表しました。

(※)独立行政法人情報処理推進機構「組織における内部不正防止ガイドライン」

IPAではこのガイドラインを2013年からリリースしており、以降何度も改訂を行っていますが、今回の第5版は2017年以来となる5年ぶりの改訂となり、テレワークや雇用の流動化、セキュリティ技術の進化など、より最新のビジネスシーンに合わせた内容に変更されています。

IPAでは、組織内部者が不正を行い、顧客情報や製品情報が漏えいしてしまうことについて、「事業の根幹を揺るがすインシデント」であり、リスクの把握や効果的な対策を検討することは、組織にとって喫緊の課題としています。

組織内部の人間による不正行為を防ぐためには、どうすれば良いのでしょうか? 同ガイドラインを読み解きます。

テレワークで内部不正を防ぐために、○○の設定は欠かせない

今回の改訂にて特に多く追記されたのが、テレワークに起因する内部不正のリスクに関する内容です。

ガイドラインの61ページでは、テレワークが普及し、ビジネスシーンで常態化しつつあるものの、重要情報の機密レベルに応じたアクセス制限やPCへのデータ保存の制限をしないと、組織の管理下にない個人所有のPCに重要情報が格納されてしまったり、本人以外がそれらの重要情報へアクセスできてしまうことで、重要情報が漏えいするリスクが高まると指摘されています。

これに加えて、テレワークでクラウドサービスを使用することの危険性についても触れられており、重要情報をクラウドで不正に使用したり、たとえ使用が許可された重要情報であっても、アクセス権限設定に不備があれば、重要情報の漏えいリスクが高まるとしています。

こうした重要情報の漏えいを防止する対策としては、テレワーク環境において他人にPCの画面を覗かれないよう、PCに覗き見防止フィルムを貼ることや、ホテルなどで有線LAN/無線LANを使用する際は、VPNを用いて通信を暗号化すること、クラウドなど外部サービスを利用する場合はアクセス権限を適切に設定することなどが挙げられています。

テレワーク中の従業員は、内部不正を起こしやすい心理状態にある

同ガイドラインではさらに、テレワーク中の従業員は、疎外感、不公平感、ルール順守意識が低下し、内部不正を起こしやすい心理状態にある、ということも指摘されています(73ページ)。

テレワークでは、従業員同士が離れて仕事を行い、互いに相談しづらい環境にあるため、悩みやストレスを抱えるケースが多く、そうした状態が続くことで内部不正を起こしてしまう恐れが高いといいます。特に、新入社員はコミュニケーション不足に陥りやすい傾向があるとのことです。

こうした内部不正が起こりやすい心理状態を改善するためには、良好なコミュニケーションを保つ環境を整備することが重要といいます。具体的には、オンラインコミュニケーションツールの導入や、オンライン会議での定期的な上司と部下のコミュニケーション、定期的な出勤日の設置など、職場勤務の時と変わらない継続的に確保することが求められるとしています。

転職時に重要情報を持ち出す従業員がいる

今回の改訂では、雇用の流動化に関する内容も追記されました。

ガイドラインの23ページでは、日本の終身雇用制が崩れ、転職する従業員が増加することに伴って、転職時に自分が有利になるよう、重要情報を不正に持ち出すリスクが高まっていることが指摘されています。今後は転職時に重要情報を持ち出す手口が、多様化・巧妙化することが懸念されるといいます。

転職時の内部不正を防ぐためには、退職する従業員に対し秘密保持義務を課す誓約書の提出が重要になります。この秘密保持契約を締結しないと、従業員が重要情報の扱いについて認識しないまま退職し、重要情報を公開してしまう可能性が高まります。さらに、秘密保持契約が無いことにより、重要情報の公開を未然に防ぐための差止請求や、重要情報を公開したことに対する損害賠償の請求が認められない危険性もあります。

退職時にはさらに、その従業員が取り扱っていた「情報資産」の全てを返却、もしくは完全消去することも重要になります。情報資産には、システムの利用者 ID や権限も含まれるため、消去せずに放置しておくと、元従業員や過去の契約先から重要情報が漏えいしてしまう恐れや、建物への不正侵入、ネットワークから情報システムへの不正侵入が発生し、情報資産を持ち出される恐れもあります。

漏えい発生のルート

(※)独立行政法人情報処理推進機構「企業における営業秘密管理に関する実態調査2020」

個人情報保護のルールも厳格化。円滑なビジネスのためにまずは一読を

ガイドラインでは、個人情報保護法に関する内容も改訂されています。

2022年4月に施行された改正個人情報保護法では、個人データ漏えい時の報告義務が強化され、個人の権利利益を害するおそれがある漏えいが発生した場合は、個人情報保護委員会及び本人に速やかに報告し、30 日以内(故意の内部不正の場合は60日以内)に再度報告することが義務付けられています。

同法では個人情報の漏えいや不正利用から個人の権利・利益を保護するため、個人情報を取り扱う事業者の順守すべき義務が規定されています。もし事業者がこの義務規定に違反し、不適切な個人情報の取り扱いを行った場合、事業を所管する主務大臣が事業者に対し勧告、命令等の措置を取ります。

もし事業者がその命令に従わなかった場合は、罰則の対象になります。加えて、漏えいした情報にインサイダー情報が含まれている場合は、インサイダー取引につながるリスクも考えられます。

今回改訂されたガイドラインの内容をまとめると、テレワークや雇用の流動化により、内部不正の危険性は従来と比べてさらに高くなっており、しかも個人情報保護法の改正によって、情報漏えいが発生してしまった場合に企業が被る罰則も厳しくなっていることがわかります。

内部不正や情報漏えいに無知でいることは、ビジネスの大きな妨げになることは間違いありません。同資料には具体的な対策が記載されているため、一度目を通すことをおすすめします。

メルマガを登録する!(無料)

この記事のキーワード

  • メルマガ登録キャンペーン
  • 法人サービスを24時間365日 オンラインで注文できる! ICT Business Mall
  • パートナー共同開発 サービス・ソリューションのご案内