「組織における内部不正防止ガイドライン」は、内部不正のリスクを低減するために、経営者が果たすべき役割、組織の体制、技術対策などを記載しているもので、IPAが2013年3月に初版を公開した。
今回の改訂版の発行は、7月に発覚したベネッセの顧客情報漏えい事件を分析した結果、「経営層によるリーダーシップの強化」「情報システム管理運用の委託における監督強化」「高度化する情報通信技術への対応」の3点を強調したものとみられる。
1. 経営層によるリーダーシップの強化
経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化した。
- 経営層の責任をより明確にし、組織の経営戦略に則って内部不正対策の基本方針と、必要なリソースの配分を行い、対外的な説明責任も負っていくこと
- 重要情報保護の専門部署の設置の検討
- 責任者・担当者に必要な能力の確保(外部専門家の採用、研修等の実施)
2. 情報システム管理運用の委託における監督強化
業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加した。
- 業務委託に際し、委託先の情報セキュリティ対策、体制に対する評価の実施、および業務委託を実施する場合の必要な体制の確保
- 委託先に対する業務委託中の監督
- 再委託する場合、委託元への事前承認
- 内部不正が発生した際の委託元と委託先間の事後対策の連携
3. 高度化する情報通信技術への対応
高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調した。
- 技術の進展を常に見据えた継続的な対策の見直し
- スマートデバイスなどによる情報の持ち出しを抑止する対策
- 適切なアクセス権限の設定・管理、およびアクセスの監視
- ログ活用による監視
【関連リンク】
