IPA「企業の内部不正防止体制に関する実態調査」報告書を公開
企業が保有する営業秘密などの重要情報の保護は企業経営上の重要な課題であり、内部不正による情報漏えいの防止に資するため、IPA(独立行政法人情報処理推進機構)では2022年4月に「組織における内部不正防止ガイドライン」を第5版に改訂し、近年の環境変化を踏まえた対策を加えた情報提供を実施した。一方で、内部不正による情報漏えいに係る企業の課題認識、対策状況、マネジメント体制等の実態は必ずしも明らかにはなっていない。そこでIPAでは、企業の対策・体制に関する実態を把握し、各企業における今後必要とされる有効な施策立案に資するための調査を行いその結果を公開した。
調査の概要
企業を取り巻く環境変化(働き方・法制度・新技術等)を踏まえた調査軸に沿い、アンケートおよびインタビューによる以下の各項目の情報収集・分析を行った。企業の調査対象は、リスクマネジメント、情報システム、経営企画部門の担当者・責任者および経営層。
- 近年の環境変化を踏まえた調査軸の設定
- 企業パネルモニターに対するウェブアンケート
- 企業インタビュー
- 有識者インタビュー
- ウェブアンケート、企業/有識者インタビュー情報の整理・分析
アンケート調査期間
- 2022年12月7日から2022年12月12日まで
インタビュー調査期間
- 2022年11月から2023年1月まで
判明した課題
1.内部不正防止に関する知識の取得・周知・教育のあり方
(1)情報漏えい、内部不正防止に関する社内規程等を学ぶ機会を増やすことが必要。
(2)従業員に内部不正防止の知識を根付かせるためには、「してはいけないこと」を教育することが必要。
(3)内部不正に関する動画やイラスト等の教育コンテンツ、グループディスカッション、セルフチェック等、多様なツールや教育機会を活用した「知識を組織に根付かせる取り組み」が必要。
2.内部不正防止に関する組織の体制のあり方
(1)組織の責任・権限を実効的に確保し、全社的に対応することが必要。
(2)内部不正対策を具体的に計画し、実施する責任・権限の確保
(3)経営層が定める基本方針に基づき、組織全体の立場から内部不正対策の計画を承認し、実施を統制する責任・権限の確保
(4) 経営層の不正に対する対策と透明性を確保し、内部不正対策のマネジメントシステムを実効的に機能させることが必要。
3.内部不正防止対策の課題
(1)個人情報以外の重要情報の特定、管理は未実施の場合、特に必要。
(2)悪意の内部不正対策は、低コストの従業員教育に軸足を置きつつ、悪意による部分は技術的対策でカバーする等、コストと効果を最適化する対策の整備が必要。
(3)中途退職者、中途採用者の内部不正に対応できる対策(アクセスログの活用等)が必要。
判明した実態の例
1.情報漏えいに関する内部不正防止の体制
組織全体に対する責任部門がリスク・コンプライアンス部門である場合と、情報システム・セキュリティ管理部門である場合が約4割ずつでほぼ同等であることが分かった(図1)。また、内部不正防止の主管部門の統括の下、連携して対策や事後対応にあたっている部門の実態は図2の通り。内部不正防止体制を問うインタビュー調査からは、いずれが責任部門となる場合でも、法務・知財部門、営業・事業部門といった関連部門との協働や緊密な連携による組織全体のガバナンス構築が望まれることが分かった。
(図2の母数1082はQ20の「連携して対策や事後対応にあたっている関連部門」において「わからない」を回答した8.2%を除いたもの。)
2.経営層が内部不正リスクを優先度の高い経営課題として捉えている割合
「捉えられている」と答えた回答者の割合はほぼ40%に留まっており、高い水準に達していない。
3.重要情報を特定するための仕組作り
個人情報以外の重要情報を特定する仕組みを持つ企業は半数に満たない(図4)。重要情報とは、個人情報を含む営業秘密や限定提供データなど組織の活動にとって重要な情報を指す。重要情報の特定は、内部不正を防止し、企業の秘密情報を保護するための基本的な取組みである。個人情報以外についても、情報を適切に区分し、管理する仕組みを構築することが重要。
4.中途退職者に課す秘密保持義務の実効性を高める対策
秘密保持義務の内部規則を定め就業規則で順守を求めること、秘密保持義務契約書や誓約書を提出すること、就業規則に退職後の定めを規定すること等が中心となっている。これらの対策は契約の締結や内規の作成・順守に関わる基本的なものですが実施の割合は半数に達していない(図5)。
5.組織の責任や権限の明確化、情報セキュリティポリシー、規定の整備状況
経営リソースの配分等のIT領域の対策はある程度進んでいた一方、内部不正防止に特化した社内ポリシーや規定の整備等は限定的である(図6)。
6.注力することにより効果が期待できる対策(インタビュー調査から)
- (1)内部不正リスクが重要な経営課題であるという認識を企業に浸透させることで対策の進展が期待できる。
- (2)経営層、組織全体の責任者等が事業リスクを強く認識するためには、営業秘密漏えい等の事案/インシデントを事例として学ぶことが有効。
調査報告書等のダウンロード
実施者
- 株式会社NTTデータ経営研究所