連載：内部不正を防止するための企業・組織の体制の現状　調査結果（第2回）

第2回は前回最後にご紹介した「５．企業・組織として知っておくべき基礎知識」の調査結果の続きとして法制度の知識の蓄積度合の紹介から始めたいと思います。

５． 調査結果：企業・組織全体として知っておくべき基礎知識　
②　内部不正対策を所管する部署に蓄積されている法制度の知識

図1：内部不正対策を所管する部署に蓄積されている法制度の知識

最も知識の蓄積が進んでいると考えられる個人情報保護法であってもリサーチパネルの企業では40％以上が担当部署に必要な知識が蓄積されていないと回答しています。不正競争防止法になると蓄積していると回答した割合が30％台にとどまっています。担当部署での知識が不十分であれば、組織全体としても必要な知識の蓄積は十分でないと推察されます。また、日経平均銘柄企業でも不正競争防止法の知識の蓄積割合が60％となっており、この割合がもう少し上がることが望ましいと考えられます。

次に、組織体制に関する調査結果について紹介します。どういった部署がどのような時に対処、対策をしているのか、どの部署と連携を取っているのか、対策のマネジメントシステムはどうなっているのか、などについての調査結果です。

６．調査結果：内部不正防止に取り組む組織的体制

①　経営層による内部不正防止の取り組み方針等についての周知・指示の状況

経営層による情報発信を従業員が認識しているかをリサーチパネルに聞いたところ、その割合（「日常的に行っている」「必要に応じ行っている」合計）は75％に迫るほどでした。

図２：経営層による内部不正防止の取り組み方針等についての周知・指示の状況

一方、周知・指示を特定、認識できていないと回答したリサーチパネル（「ほとんど行っていない」「全く行っていない」「わからない」の合計）にその理由を確認したところ、「内部不正防止だけに焦点を絞って周知・指示することはほとんどない」を選択する割合が最も多く32.8％でした。経営者の周知・指示の仕方などに工夫の余地があることが示唆されました。

図3：図2で「ほとんど行っていない」「全く行っていない」「わからない」の回答者に聞いたその理由

②　重要情報が漏えいした時の組織的対応の体制

日経平均銘柄企業の96％が「重要情報が漏えいした時には、責任部門が主導し、全社的体制で対応している」と回答しているのに対し、リサーチパネルでは52.8％に留まりました。漏えいが発覚した部門が当事者として個別に対応している割合がリサーチパネルでは24.7％、日経平均銘柄企業ではゼロでした。リサーチパネルでは組織全体としての責任・権限が明確になっていないことが懸念され、責任部門主導のもと全社的体制で実施することが目指すべき組織の在り方と考えられます。

図4：重要情報が漏えいした時の組織的対応の体制

③　内部不正対策の主管部門

企業・組織内でどの部署が内部不正対策の主管部門であるのかを聞いた結果が以下のグラフです。リサーチパネルでは「情報システム・セキュリティ管理部門」「リスク管理・コンプライアンス部門」の割合に大きな差は見られませんが、日経平均銘柄企業では「リスク管理・コンプライアンス部門」が圧倒的に多く、8割を占めていました。「情報システム・セキュリティ管理部門」が組織全体に対する責任・権限を持つ場合は、「① 内部不正対策を具体的に計画し、実施する」「② 経営層が定める基本方針に基づき、組織全体の立場から内部不正対策の計画を承認し、実施を統制する」の責任・権限を両方とも集約しているものと考えられます。一方、「リスク管理・コンプライアンス部門」が責任・権限を持つ場合は、当該部門は組織全体に対して②を有しており、①を有する「情報システム・セキュリティ管理部門」を牽制できる体制になっていると考えられます。リスク・コンプライアンス部門のリソースが比較的厚い大企業においてはどちらかというと「リスク管理・コンプライアンス部門」が内部不正防止を主管する方が全社的な統制が効きやすく、企業規模が小さくなると「情報システム・セキュリティ管理部門」が主管する方が簡潔で実務運用がしやすくなるものと考えられます。この調査結果は組織の規模による体制の違いが顕著に表れたといえるかもしれません。

図5：内部不正対策の主管部門

④　内部不正対策の主管部門と連携して対策や事後対応にあたる関連部門

主管部門が他のどの部門と連携して対策や事後対応にあたっているのかを聞いた結果を以下のグラフで示しています。
リサーチパネルにおいて、雇用・労務管理・リテラシー教育等で重要な役割を果たす「人事・教育部門」、個人情報・営業秘密の管理やサプライチェーン対応等で重要な役割を果たす「法務・知財部門」との連携は一定程度あることが確認できました。しかしいずれも5割に至りません。一方、重要情報を実際に扱うことが多い「事業部門・営業部門」との連携は、リサーチパネル、日経平均銘柄企業ともそれぞれ３割、４割弱で十分であるとは言えませんでした。実際の内部不正事案でも顧客データ、取引先データの持ち出し例は多く、事業部門・営業部門とさらに緊密な連携が必要であると思われるところです。企業・組織は、内部不正対策の主管部門との連携を強化するためのリテラシー教育の導入などが望まれます。

図6：内部不正対策の主管部門と連携して対策や事後対応にあたる関連部門

⑤　経営層による内部不正防止に必要なリソースの配分状況

「経営層がリソースを適切に配分している」割合はリサーチパネルではほぼ半数に達しており、日経平均銘柄企業では64％でした。一方「適切に配分できていない」は30.2％で、日経平均銘柄企業はわずか4％と、差が開いています。

図7：経営層による内部不正防止に必要なリソースの配分状況

⑥　内部不正防止対策のマネジメントシステムの現状

内部不正対策に特化したマネジメントシステムを、成熟度高く構築・運用している割合はリサーチパネルでは43％に留まり十分な水準に達しているとはいえません。また、日経平均銘柄企業においても「経営陣が対策改善の方針を提示しリーダーシップを発揮」「内部不正防止対策の効果をレビュー又は内部監査体制が確立」では4割に過ぎない実施状況であり、他の選択肢と比べてリサーチパネルとの差は小さいものでした。

図8：内部不正防止対策のマネジメントシステムの現状

⑦　テレワークを行う従業員に内部不正の動機を与えないための環境整備の現状

リサーチパネルが最も重点を置いて実施している対策は「各部門による自主的なコミュニケーション強化の取組みの奨励」であり、その割合もほぼ50％に達していました。また、「全社的な連絡窓口を設置し、積極的に相談にのる」の割合はリサーチパネルの34.3％に対し、日経平均銘柄企業では16％と著しく低い割合でした。大企業は組織の規模から環境整備については各部門単位で行っていることがうかがえます。

図9：テレワークを行う従業員に内部不正の動機を与えないための環境整備の現状

連載第2回はここまでです。今回は主に内部不正対策に取り組む組織体制についての結果を紹介しました。次回は内部不正対策に関するリテラシー教育の実施状況などについて触れる予定です。

この連載で紹介している調査についてはIPAのウェブサイトで調査報告書を公開しています。

「企業の内部不正防止体制に関する実態調査」報告書 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構