内部不正に対策する

「内部統制評価基準 勝ち抜く会社の800のポイント」を活用した内部統制の仕組みづくりでは、内部統制に関わる組織経営のプロセスを８つの側面（カテゴリ）に分けて、質問を通じて具体的に仕組みに落とし込んでいきます。

カテゴリ６．情報セキュリティについて見ています。

組織内部者の不正行為による情報セキュリティ上の事故を防ぐ取り組みについて確認します。

６．（８）情報セキュリティと内部不正
内部不正により情報セキュリティが守られなくなる可能性に十分留意していますか。

組織内部者の不正行為による情報セキュリティ上の事故として、顧客情報や製品情報の漏えいなどが度々発生しています。社員によって顧客情報が不正に売られたり、退職の際に製品情報が不正に持ち出されたり、また、悪意によるものではないけれど、社内情報を無断で持ち出して置き忘れや自宅PCでの利用から外部漏洩につながったなどのケースも報告されています。
IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2021」でも、「内部不正による情報漏えい」が6位に位置づけられています。

情報セキュリティの事故発生要因のうち、最も割合が多いのが人為的な要因であることを経営者は理解し、組織として対策をとることが必要です。

意図的な不正行為については、対策を強化することで不正行為を難しくする、管理や監視を強化することで不正行為が発覚しやすくする、また、不正行為の誘因となる事象を減らして不正行為を抑止するなどの観点から、対策を行います。

すなわち、
・内部不正リスクについて、そのリスクの程度により適切な牽制による不正を起こしづらい体制を構築する
・業務上やむを得ず情報資産へのアクセスにつき特別な権限が与えられている者がいる場合、特権者のアクションを監視する仕組みを設ける
・退職時における情報持ち出しリスクについて対処する
などを検討し、実施します。

また、内部不正による情報資産の毀損に備え、情報のバックアップ体制や復旧マニュアルの整備なども実施します。

内部不正を起こす可能性は自社の従業員だけではなく、委託先なども含まれていることを理解し、委託先などとの契約上の文言を含めて定期的に見直しを行うことも重要です。

★★

「組織における内部不正防止ガイドライン」がIPAから提示されており、対策に関する指針として活用できます。

内部統制評価基準改訂版「内部統制評価基準 勝ち抜く会社の800のポイント」については、NPO法人内部統制評価機構のウェブサイトをご覧ください。