内部不正とは
内部不正とは、組織に勤務する従業員や元従業員など組織関係者による重要情報の持ち出しや漏えいなど不正行為を指します。内部不正には、意図的な情報漏えいのほか、組織内の情報管理のルールを守らずに情報を持ち出し、過失による紛失や情報漏えいも含まれます。
内部不正は、発生する頻度は低くても、1件当たりの情報漏えいの件数はサイバー攻撃などに比べて多く、組織の社会的信用の失墜や損害賠償による経済的損失など、組織に多大な損害を与えます。
防止の5原則
内部不正の対策について、情報処理推進機構(IPA)の「組織のおける内部不正防止ガイドライン」では、以下の5原則が示されています。
| 1 | 犯行を難しくする | 対策の強化により犯罪行為を難しくする |
| 2 | 捕まるリスクを高める | 管理や監視を強化することで捕まるリスクを高める |
| 3 | 犯行の見返りを減らす | 犯行による利益を得にくくする、罰則を強化する |
| 4 | 犯行の誘因を減らす | 標的を隠すなどして、犯行を行う気持ちにさせない |
| 5 | 犯行の弁明をさせない | 犯行を正当化する理由を排除する、犯行の証拠を確保する |
内部不正の対策
内部不正の対策を次の9の観点より提示します。
基本方針
基本方針は、経営者の責任や組織のガバナンスに関する内容で、対策のポイントは以下になります。
01.経営者の責任の明確化
- 経営者は「基本方針」を策定し、役職員に周知徹底する。
- 対策のためのリソースが確保されるよう働きかける。
02.統括責任者の任命と体制構築
- 経営者が管理体制及び実施策の承認を行い、組織全体に示す。
- 業務委託先まで含んだ連携体制を構築する。
資産管理
重要資産の管理は、①基本方針の決定、②体制の構築、③重要度のレベル分け、④運用、⑤見直しといったフローで実施します。
03.情報の格付け区分・重要情報を把握し、重要度に合わせてレベル分けする
- 重要度のレベルに合わせて、取り扱いが可能な役職員の範囲を定める。
- 定めた重要度のレベル分けは定期的に見直す。
04.ラベル付け
- 重要度のレベルに合わせて、情報に機密マーク等を付ける。
05.利用者のアクセス権管理
- 利用者ID及びアクセス権の登録・変更・削除に関する承認手続きや設定終了報告等の手続きを定めて運用する。
- 重要情報へのアクセス権を持つ者を必要最小限とする。
06.システム管理者の権限管理
- 与える権限は必要最低限とする。
- システム管理者が相互に監視できるようにする。
07.利用者の識別と認証
- 共有のIDやパスワードを使用しない。
- パスワードは複雑なものを使うよう制限を掛ける。
物理的管理
物理的な管理では、特定のエリアへの人の立入り制限、情報機器・記憶媒体などの管理を行うます。
08.入館管理
- 許可された者以外の重要情報を取り扱う領域への立ち入りを制限する。
- パスワード、IDカード、バイオメトリックなど複数の認証方式を使う。
09.情報機器・記憶媒体の管理
- PC等の情報機器やUSBメモリ等の記憶媒体の盗難や紛失を防止する。
- 不要になった情報機器や記憶媒体を破棄する際は完全消去を確認する。
10.情報機器・記憶媒体の持出し
- 情報機器や記憶媒体を外に持ち出す場合は持ち出しの承認を取る。
- 持ち出した情報資産、日時、担当者、返却日などを記録する。
11.個人の機器の使用禁止
- 個人所有のPCやUSBメモリなどの業務での使用を制限する。
技術・運用管理
12ネットワーク利用の安全管理
- 業務で許可されたアプリケーション以外の使用を禁止する。
- ファイル共有ソフト、ソーシャルネットワークサービス(SNS)、外部のネットワークストレージの業務での使用を制限する。
13.重要情報の受渡し保護
- 重要情報は受渡から廃棄まで適切に管理する。
- 重要情報を暗号化等で保護する。
14.情報機器や記憶媒体の持出し保護
- 情報機器や記憶媒体を持ち出す場合は技術的な対策のよって保護する。
- IDとパスワードで認証を行う。
15.組織外での重要情報の保護
- 重要情報を暗号化したり、VPN等を用いて通信を暗号化する。
- 公共の場では覗き見防止フィルムなどを利用する。
16.業務委託時の確認
- 重要情報を安全に管理するための事項を契約書に盛り込む。
- 取り決め事項が守れているか定期的に確認を行う。
証拠確保
17.ログ・証跡の記録と保存
- 重要情報へのアクセス履歴や操作履歴のログを取得する。
- ログを取得していることを従業員へ通知する。
18.システム管理者のログ・証跡の確認
- システム管理者のアクセス履歴や操作履歴のログを取得する。
- 定期的に第三者が確認する。
人的管理
19.教育による周知徹底
- 関係者全てに教育を実施し、方針や重要情報の取扱い等を周知徹底する。
- 教育は定期的に見直して繰返し実施する。
20.雇用終了時の人事手続
- 事前に秘密保持義務を課す誓約書の提出させる。
21.雇用終了時等の情報資産の返却
- 取り扱いを委託した情報資産の全てを返却または完全消去させる。
- 委託先に与えた情報システムの利用者IDや権限を削除する。
コンプライアンス
22.法的手続きの整備
- 内部不正を犯した者に対する解雇等の懲戒処分を考慮し、就業規則等を整備する。
23.誓約書の要請
- 役職員に対し重要情報を保護する義務があることを理解させるために秘密保持誓約書の提出を要請する。
職場環境
24.公平な人事評価の整備
- 公平で客観的な人事評価を整備する、業績評価を説明する場を設ける。
- 必要に応じて人員の配置転換を行う。
25.労働環境とコミュニケーション
- 業務量や労働時間の適正化などの健全な労働環境を整備する。
- 相談し易い環境を整えるなどの良好なコミュニケーションに努める。
26.職場環境のマネジメント
- 相互監視を行い、単独での作業を制限する。
事後対策
27.体制の整備
- 内部不正の影響範囲の特定、被害や影響の拡大防止策を実施する。
- デジタルフォレンジックやインシデントレスポンスなどの第三者サービスを利用する。
28.処罰等及び再発防止
- 内部不正を犯したもの対する組織としての処罰を検討する。
- 再発防止の措置を実施する。
IT
マネジメント、セキュリティ、ネットワーク、システム
www.sansakuro.com
2021.04.25
散策路TOP
古典物理、量子力学、物性論、数学、応用数学、力学、電磁気学、相対論、熱・統計力学、解析学、代数学、幾何学、統計分析、情報
www.sansakuro.com
2021.03.24
