チェック項目で弱点克服、内部不正の防止策:セキュリティ強化塾(5/5 ページ)
「職歴30年、あの部長がナゼ」大手地銀のカード偽造など多発する内部不正事件。アナタの会社は大丈夫か? チェック項目で確認しよう。
コンプライアンス
内部不正が発覚した場合の懲戒処分など規定を作成する。営業秘密の侵害や個人情報の目的外利用などの処罰対象となる行為を記載した上で、刑事告発や民事訴訟などの法的手続きがとりやすいように作成するとよい。
また、「秘密保持誓約書」の提出を要請し、重要情報保護の義務についての意識を高めることが望まれる。内規については、経済産業省の「営業秘密管理指針 参考資料2:各種契約書の参考例」や「情報セキュリティ関連法令の要求事項集」が参考になろう。
職場環境
内部不正を働く要因として会社の処遇への不平不満や職場環境の問題が挙げられる。なかには報復や腹いせの感情を込めて情報流出を行う場合もあるし、劣悪な労働環境の中でモラルが低下して内部規定に反する行動をとってしまうこともある。不正行為を踏みとどまらせるためには、職場環境を適切に整備する必要だ。
不平不満の多くは、「自分が正しく評価されていない」「業務量や労働時間が多すぎる」ことに起因する。昇進や昇格の条件、給与体系などを透明にして、客観的に公平性が認められるようにし、上司などが説明できる体制にすることが求められる。
また、教育や研修の機会を作ることや、チームワークによって業務量を分散し、協力しあい、相談しあえる関係性が構築できるように導くことも大事だ。さらに休暇の取得状況や超過労働時間などの状況を把握し、負荷が高い場合は適正化する必要もある。働きやすく、評価を適正に行う職場にしていく努力が内部不正の発生確率を低くする。
事後対策
内部不正が発生した後の被害拡大防止や原因特定、影響範囲特定などがまず求められ、処罰などの検討や再発防止策をとることになる。不正行為を行ったPCの保全、各種ログの保全などを行い、デジタルフォレンジックなどによる不正操作の解析が行えるようにする必要がある。
また、弁護士、内部監査者などとの連携によって対応し、さらに監督官庁への報告義務がある場合は速やかに報告できる体制を用意する。なお、処罰を行った場合には、不正行為の事実と処罰について、組織内部に公表することが再発防止のために有効だ。
事後対策について、IPAの「情報漏えい発生時の対応ポイント集」(2012年10月)に詳しく記載されているので参照するとよい。
組織の管理
組織内で内部不正を発見したら、所属部門以外の内部不正対策関係者に通報できるようにしておくとよい。通報者が匿名でも受け付けられる制度とし、複数の通報受付け窓口を用意する必要がある。
通報者が少しでも不利を被ることがないよう配慮し、匿名私書箱や目安箱の利用や第三者機関の利用も検討するとよい。従業員には受付窓口と連絡方法を周知させた上で、通報に必要な最低限の情報として、次のようなものがあることを伝えておく。
- 対象となる情報や物理的資産
- いつ、どのような状態(不正利用、破壊など)になったのか
- 通報した事象をどのように知り得たのか
以上、今回は内部不正の防止策について概略をまとめた。詳しくはIPA「組織における内部不正ガイドライン」を参照してほしい。関連するITツールについて、NPO日本ネットワークセキュリティ協会(JNSA)が「内部不正対策ソリューションガイド」として各社のツールを紹介しているので、こちらも参考にするとよいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.