経産省推奨、内部不正防止ガイドラインとその事例(2)

07-S-08

今回は、内部不正防止ガイドラインを参考にして、内部不正対策を検討しましょう。

内部不正の事例

① 企業において、メンテナンス業務を委託した際に、渡した個人情報が再委託先のアル
バイトによって複製され換金された。
【主な原因】
委託先の重要情報の管理体制を明確にし、再委託先までの管理ができていなかった。

② 企業において、在宅勤務の社員が、自宅のPCからインターネットを介して企業の情報
システムに接続し、機密情報を取得して換金していた。
【主な原因】
在宅勤務等によるインターネットを介しての情報システム及び機密情報へのアクセスを制限していなかった。

内部不正防止ガイドライン

組織の内部不正対策に寄与するために、内部不正の予防と問題発生時の早期発見対策に加えて、経営者責任の明確化、必要な人材の確保など、経営者主導が不可欠な取組みとして、以下の3点が掲げられています。
・ 経営層によるリーダーシップの強化
・ 情報システム管理運用の委託における監督強化
・ 高度化する情報通信技術への対応

内部不正防止ガイドラインの位置づけ

JIS Q 27001 付属書Aの管理策の中に記載のなかった、職場環境に関する事項について対策を示す内容3点を盛り込んでいます。

公平な人事評価の整備
適正な労働環境及びコミュニケーションの推進
職場環境におけるマネジメント

内部不正への気持ちが低下する対策とは

IPAの調査によれば、「内部不正への気持ちが低下する対策」として、従業者が挙げた対策の1位は、ログ監視などの「社内システムの操作の証拠が残る」でした。
一方、同調査における、経営者が内部不正対策として有効ととらえている対策は「ID、パスワードの管理」、「アクセス制限」などであり、従業員の意識とはかい離が見られました。
このことから、従業員が内部不正にかかわる危険性を軽減・排除するためには、ログ監視などの「社内システムの操作の証拠が残る」対策は、有効であると推測されます。

もし、現在ログ監視をしていない、データ取得のみで内容の確認をしていない、などであれば、従業者の心理を利用した内部不正対策として、ログ監視を取り入れておくことも検討してみてください。

また、ログ監視は監視を行うだけでなく、ログ監視していることを内部従業者に周知しておくことが非常に重要です。内部関係者にログ監視していることを知らしめておくことで、不正を行いにくい環境を構築し、不正の芽を育てない環境をつくりましょう。

トップダウンで、組織横断の取組みが必要

• 効果的に内部不正対策を実施するには、経営層のリーダーシップのもと、各部門を横断的に連携させ、組織全体(委託先も含む)で取り組むことが必要です。
・ 経営者自らが積極的に取り組み意思を組織内外に示し、周知徹底しましょう。
・ 経営者は、対策実施のために必要なリソースが確保されるよう、決定、指示を行う必要があります。

内部不正防止ガイドラインでは、以下の10の観点で分類したチェックシートが掲載されています。現状把握のツールとして活用してみてはいかがでしょうか。
1.基本方針
2.資産管理
3.物理的管理
4.技術的管理
5.証拠確保
6.人的管理
7.コンプライアンス
8.職場環境
9.事後対策
10.組織の管理

内部不正対策として、アクセス制限などの対策をとることは必要です。
しかながら、正規のアクセス権限を持った人間による内部不正は発見が遅れがちになるため、内部不正対策として、社内システムの操作の証拠が残るログ監視も行っておくことが重要です。
ログ監視は、内部不正発覚時には、迅速に調査を可能とするデータを提供するだけでなく、日頃から、適切なログ監視をしておくことは、従業者を不正から守ることにもつながります。ログ監視で不正を起こせない環境にすることで、快適な職場環境の構築に役立てましょう。

ここでは、経産省推奨の内部不正防止ガイドラインを参考に内部不正対策をお伝えしました。