組織における内部不正防止ガイドラインとは? 対応する際のポイントや具体的な対策について
- INDEX
-
組織における内部不正防止ガイドラインに関する基礎知識
はじめに組織における内部不正防止ガイドラインに関する基礎知識について簡単に説明します。組織における内部不正防止ガイドラインとは何か
組織における内部不正防止ガイドラインはIPA(独立行政法人情報処理推進機構)が設置した組織における内部不正防止ガイドライン検討委員会によって作成された文書です。 組織における内部不正防止ガイドライン:IPA 独立行政法人 情報処理推進機構 https://www.ipa.go.jp/security/event/2013/ist-expo/documents/preso11.pdf 詳細は上記URLより、公式のPDF資料を参照することをおすすめします。 IT技術の進歩によって、サイバー攻撃が多様化する中、社内や組織内において権限や立ち位置、役職を悪用することで内部不正も増加傾向にあります。そのため、外部からのサイバー攻撃とともに、内部不正への対策を行わなければ、結果的に重大なセキュリティインシデントを引き起こす可能性が高まってしまいます。 日本においても内部不正は他人事ではなく、情報漏えいやデータ改ざん、データ隠蔽や証拠隠滅など、電子的に処理できるデータの取扱いを厳密かつ正確、そして安全に運用する必要があるということです。内部不正防止や内部不正対策の必要性
内部不正防止や内部不正対策は後述する不要なリスク・被害から従業員および企業や組織を守るために必要であると言えます。内部不正は人為的かつ悪質な行為であるにも関わらず、内部の人間ということで信用されやすいことから、防ぎづらい犯罪でもあります。しかし、実際に内部不正を起こされてしまっては、企業や組織としても雇用した責任を問われますし、何よりも内部不正によってセキュリティインシデントが頻発するようなことはあってはなりません。 従業員、もしくは何らかの役職および立場のある人間としても「技術的に監視されており、絶対にバレる」ことがわかっていれば、内部不正を行う可能性は低くなるものです。いわゆる抑止力として、実効性の高い対策としても、内部不正防止と内部不正対策に取り組む必要があるのです。内部不正で起こり得る被害や内部不正の抱えるリスク
内部不正ではほとんどが情報資産に関する被害・リスクであり、情報漏えい、データ改ざん、データの隠蔽や削除、データの悪用など電子データが対象であると言えます。とはいえ、電子データを改ざんすれば、直接的に金銭を略取することもできますし、個人情報を悪用すれば、顧客等に直接的な被害が発生することも考えられることから、どれも無視できる被害・リスクではありません。 中でも個人情報や機密情報に関するデータの情報漏えいは企業や組織としての信頼を失うだけでなく、将来的な利益や売上の損失、同時に既存の顧客やユーザーも失ってしまう可能性も高くなります。内部不正は組織的なものもありますが、個人が自身の利益のために犯罪に及んでしまうこともあるため、監視や管理の体制が整っていなければ、いつ起こってもすぐに検知できないという危険性があります。組織における内部不正防止ガイドラインに対応や準拠する際のポイント
次に、組織における内部不正防止ガイドラインに対応や準拠する際のポイントをご紹介します。組織における内部不正防止ガイドラインをしっかりと読み解いておく
内部不正防止、または内部不正対策をすべきと感じていただけたのであれば、まずはIPAの作成したガイドラインをしっかりと読み解いておきましょう。いわゆる「セキュリティはよくわからない」という形で終わらせるのではなく、セキュリティを理解することから始めるということです。 内部不正においては「まさか、うちの会社ではそんなことはないだろう」という気持ちや考え方が最大の脆弱性になります。どのような企業および組織であっても、対策をしておかなければ内部不正が発生するということを留意しておくと良いでしょう。従業員を疑うためではなく、守るためにあることを前提に前向きに取り組む
内部不正防止や内部不正対策は従業員を疑うため、もしくは罰するために行うものではありません。物理的な警備で例えるなら、企業や組織として盗まれては困る財産を守るため、そして従業員を直接的な被害から守るためにあると言えます。 言い換えれば「うちの会社は社員を信用しているから」と内部不正対策を行わないのは、逆に社員を守ろうとしていないのと同じということです。鍵を開けっ放しにしたまま悪意のある人物に好きなようにさせてしまうような状況は、企業や組織として健全ではないと理解すべきです。同時に内部不正対策がしっかりと行われて入れば、透明性が確保され、うっかりミスやヒューマンエラーなど、故意ではないセキュリティインシデントの防止にもつながります。サイバー攻撃・内部不正・情報漏えいなど、個別に対策しないこと
ガイドラインに対応、準拠する際、内部不正防止だけに注力しないこと、サイバー攻撃や情報漏えいなど個別に対策するのではなく、情報資産やIT資産といった統合的な対策を行うことを意識すべきです。 もちろん、システムや仕組み的に個別の対策が必要なものもありますが、基本的には情報システム部やセキュリティ担当が一元管理できるような体制、仕組み、システムを導入することをおすすめします。
