チェック項目で弱点克服、内部不正の防止策：セキュリティ強化塾（4/5 ページ）

[キーマンズネット]

人的、組織的対策

　内部不正の発生を予防するには人的、組織的対策がキモになる。

　第一に取り組むべきことは、内部不正防止対策を経営層と従業員（派遣社員など非正規従業員も含めて）に周知徹底することだ。何が重要情報なのか、重要情報は格付けに応じてどのような取り扱いが必要なのかについて説明する。

　ルールが守れなかった場合にどうなるか、また監視体制がどうなっているかを具体的に理解してもらう必要がある。例えば、次のような内容を繰り返し研修会を開くなどして、何度もレクチャーするとよい。

• 内部不正による組織への影響の具体的事例を説明する
• 重要情報の分類や管理方法などのルールを具体的に説明する（例えば、プリンタやコピー機の出力紙の放置禁止、内部不正発生のときの通報手順など）
• 内部不正が発覚した際の懲戒処分（具体例があるとより効果的）
• 重要情報の保護や管理方法の実施状況を説明する。メールの監視やWebアクセスのモニタリング、PC操作ログなどの取得といった対策を知らしめることで不正抑止効果がある
• 運用規定の背景となる関連法規（個人情報保護法、不正競争防止法など）について説明する

　ルールとその意義を理解して順守してもらうことが第一の目的だが、周知していないと不正発覚後に責任追及や損害賠償、懲罰などの対応がとれない場合があり得る。全ての従業員に向けた教育は、単なる努力目標ではなく必須事項だと心得ておくべきだ。

　不正行為が退職者の手で行われることが多く、また、業務委託業者の内部不正も少なくないことから、雇用や契約終了の際の手続きによって「縛り」をかける必要がある。

退職者の場合

　雇用終了前に、秘密保持対象の情報を特定した「秘密保持契約」、あるいは職業選択の自由に配慮したうえで「競業避止義務契約」を交わすことが望ましい。もし何も契約上の制約がないと、重要情報が公表されても損害賠償請求もできないことがあり得るので、必ず契約書を作成する。

退職者および業務委託契約終了の場合

　契約終了前に情報資産の返却や完全消去を求める必要がある。例えば次のようなものだ。

• 重要情報
  • 顧客情報
  • プログラムソースや、設計図などの製造に関する情報
  • 情報システムに関連する情報（情報システムの設定情報など）
  • 企業が所有する公開されていない知的財産（特許）関連情報など
• ハードウェア
  • PC、企業貸与のスマートフォン、CD-ROM、DVD-ROM、USBメモリなど
• 情報へのアクセス権
  • 入館証
  • 利用者IDとパスワード
  • 保管庫（金庫、ワゴン、キャビネットなど）の施錠鍵