見出し画像

連載:内部不正を防止するための企業・組織の体制の現状 調査結果(第3回)

IPAセキュリティエコノミクス

今回は内部不正防止対策を推進するための企業・組織における教育の実施状況や内部不正防止における課題、対策の実態についてのアンケート結果を紹介します。

7.調査結果:組織全体への周知・教育の実態について

この調査ではリテラシー教育の前提として、内部不正事案の経験の有無を聞いています。事案の経験がリテラシー教育に着手するきっかけになるのではとの仮説によるものです。

① 内部不正事件等の経験

リサーチパネルでは個人情報漏えい、営業秘密の漏えいの発生が35%を超え、限定提供データ等も28.4%とこれら3点の割合に大きな差はみられません。他方、日経平均銘柄企業では個人情報の漏えいが顕著に高いものの、営業秘密の漏えいは24%、限定提供データ等が12%とリサーチパネルよりも低い割合でした。

図1:内部不正事件等を経験した割合

② 内部不正防止についてのリテラシー教育の実施内容
 
リサーチパネルのリテラシー教育の具体的な実施状況をみてみると、重要情報の分類と表示に関する規則、個人情報保護法に関する知識については過半数に達し、営業秘密保護法に関する知識についても47.2%でした。

図2:内部不正防止についてのリテラシー教育の実施内容

他方、クラウド利用許可に関する規則、私物PC・デバイスの使用規則、テレワークに関する規則等は2割程度であり、ニューノーマルな職務環境に関する規則については教育機会を提供し、従業員にリテラシーのアップデートを行うなど、底上げが望まれます。

次に企業・組織が対策を実施する上での課題と対策の取り組み状況をアンケートの結果から見ていきます。

8. 課題結果:内部不正防止の課題と対策の実態について

対策の実施にあたっては、内部不正に限らず経営層の認識・理解は不可欠です。また内部不正の対策では組織内にある膨大な情報から「重要情報」を特定する必要があります。これらに関するアンケートの結果のほか、テレワーク、クラウドサービス利用などニューノーマルな労働環境を踏まえたアンケートや雇用流動化に関するアンケートの結果を紹介します。

① 内部不正の事業リスクについての経営層の認識
 
内部不正が優先度の高い経営課題として捉えられているとリサーチパネルが回答した割合は39.6%と4割に満たず、十分な水準とはいえません。日経平均銘柄企業は64%と6割を超えており、企業・組織はこの水準がひとつの目指すべき目安と考えられます。

図3:内部不正の事業リスクについての経営層の認識

② 特定する仕組みを持っている重要情報の種別

「重要な技術情報・ノウハウ」「重要な営業情報」「営業秘密として管理している情報」を特定する仕組みを持っていると回答したリサーチパネルの割合は45%前後でした。他方で個人情報以外の選択肢では、「限定提供データとして管理しているデータ」等、少ないものでは3割を切る選択肢もあります。守るべき情報等を特定できていないと対策を適切に講じることはできません。まずは、個人情報以外の重要情報を特定する仕組み全般の底上げが必要と言えます。

図4:特定する仕組みを持っている重要情報の種別

③ 個人情報以外の重要情報の漏えいに関する内部不正対策への取組み状況
 
リサーチパネルでは個人情報以外の重要情報の漏えい対策に対応できていると回答した割合は27%、個人情報以外の重要情報の特定、分類が十分でないとの回答割合は31.5%で、それ以外の選択肢の割合も極めて低く、全般的に大幅な底上げが必要と言えます。日経平均銘柄企業では、個人情報以外の重要情報の漏洩対策の実施割合は56%であり、この水準を目指すべきと言えます。

図5:個人情報以外の重要情報の漏えいに関する内部不正対策への取組み状況

 
④ 重要情報の管理策についての委託先等との合意状況
 
企業・組織のサプライヤーや委託先との重要情報の管理策の実施割合は
・「重要情報の管理水準、暗号化、返却・廃棄の方法等を契約等を通じて合意」
・「第三者提供を含む受け渡しができる重要情報の範囲を明文化し合意」
・「取扱いを受託した個人情報を漏えいした場合、サプライヤーや委託先が調査に協力するよう契約で合意」
・「重要情報漏えい時の事後対応や事業継続についてサプライヤーや委託先と協力できるように連携体制について合意」
の4項目について、リサーチパネルでは4割に達しておらず、委託先等との重要情報の管理策についての合意状況が十分でないことがわかりました。他方、日経平均銘柄企業ではこれらの項目について6割前後の実施割合となっており、リサーチパネルはこの水準を目指し実施率の底上げが望まれます。また、「受け渡した重要情報は自社情報と他社情報に分け、管理することを合意」はリサーチパネル(30.6%)、日経平均銘柄企業(24.0%)いずれも低い水準にとどまっており、実施率の向上が強く求められます。

図6:重要情報の管理策についての委託先等との合意状況

数年前にもシステム開発等を請け負ったシステムインテグレーターによる内部不正事案が発生しており、サプライチェーンにおける重要情報の管理策の合意は必須であると同時に、委託先等の重要情報の管理についても、「内部不正防止ガイドライン」で示している内部不正防止の基本原則が重要になってきます。

⑤ 非正規雇用者に対する内部不正対策の現状
 
非正規雇用者に対する内部不正対策は、重要情報へのアクセスを許可しない、契約形態に即した対策を実施するなど、何らかの対策を実施している割合が7割を超え、対策の未実施割合は10数パーセントであることから、対策実施の割合は十分に高い水準であることがわかりました。

図7:正規雇用者に対する内部不正対策の現状

連載第3回目では、企業・組織におけるリテラシー教育の実施状況、対策実施における課題、対策の実態について見てきましたが、経営層の認識が十分でないこと、重用情報を特定する仕組みは個人情報以外は過半数に満たない実施割合であることなど、改善が求められる現状がわかりました。次回はニューノーマルな環境で求められるようになった新たな対策の実施状況についてご紹介します。

この連載で紹介している調査についてはIPAのウェブサイトで調査報告書を公開しています。



この記事が気に入ったらサポートをしてみませんか?