IPA、「組織における内部不正防止ガイドライン」第5版を公開

　IPA（独立行政法人情報処理推進機構）は6日、内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」を改訂し、第5版を公開した。

　5年ぶりの改訂となる第5版では、個人情報保護法や不正競争防止法などの法改正に伴い、事業環境の変化を受け、それらを踏まえた経営リスクを具体化して経営者へのメッセージをより強化するとともに、新たに必要となる対策・強化すべき対策を示している。また、情報漏えい対策技術では、5年間でAIの活用によるふるまい検知など、内部不正対策の技術面が進展していることなどから、技術・運用対策にも多くの追記を行っている。

　テレワークの普及に伴う対策としては、働き方の変化や、それに伴うオンラインストレージやクラウドなど外部サービスの利用拡大といった環境変化に対応し、対策の指針を改訂した。テレワーク環境では、技術的な対策に加えて人的管理と職場環境も重要となり、さらに事後対策と証拠確保もテレワークに特化した配慮が必要となるため、それらの項目で修正・追記を行っている。例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限といった技術・運用面での対策や、テレワークを行う役職員などの教育といった人的管理、テレワーク中の内部不正に対応できるログ・証跡の取得といった事後対策に至るまで、対策を示している。

　また、情報漏えい対策として、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど、雇用終了の際の対策強化を示している。IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」でも、営業秘密の漏えいルートは「中途退職者」による漏えいが36.3％と最多で、退職者の内部不正を防止する目的でシステムのログ収集・解析を行えるようにしておくことは抑止力として有用である一方、プライバシー保護の観点などから注意点も存在するとしている。

　また、役職員モニタリングにあたっては、その目的が役職員を内部不正から保護するためであることを就業規則に記載し、広く周知の上で了解を得ることを指針として新たに追加し、退職予定者に配慮しながら合意を得ることの重要性を示している。

　新たなセキュリティ対策への対応としては、AIによるふるまい検知機能などを、内部不正対策として適用するにあたり必要な措置を、技術・運用管理の項目に記載した。具体的には、役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせるなどにより、説明責任を果たすことができる方法で運用しなければならないことを示している。

　これと関連した人的管理の項目としても、人権・プライバシー保護の観点から、役職員モニタリングの目的などを就業規則で周知することをはじめ、自動化された判断に頼りすぎない運用体制の構築などを対策のポイントとして挙げている。