IPA「内部不正防止対策・体制整備等に関する中小企業等の状況調査」
IPAでは、これまで企業経営上の重要な課題である秘密情報の管理と保護に関する実態調査を通じ、「守るべき情報資産の認識不足や内部不正防止対策の取組の遅れ」などの問題点や課題を示した。特に中小企業等においては以下の課題が顕著であると示唆している。
- 内部不正防止が「重要な経営課題」として認識されていない
- 営業秘密は各社の業務に依存するため定義が難しく、守るべき情報資産を特定できていない
- サイバーセキュリティ対策を講じているものの、内部不正対策は後手に回りがち
そこで、今次調査ではそれらの課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの調査を実施し、報告書としてまとめた。
中小企業の内部不正対策推進のヒント
内部不正防止の課題が顕在化してしまう要因には、中小企業のリソース不足と、多岐にわたる対策の優先度の判断が後手に回っていたことなどがあった。まず、今回の調査から得られた中小企業として対策推進のファーストステップとなりうる示唆を以下に示す。
- 中小規模を逆手に取ったリーダーシップ発揮や訓示の活用
- 中小企業における経営層の意識やリーダーシップが持つ意味は大変大きい。そうした意識のもと、リーダーシップを発揮し、リスクや対策優先度の判断を行い内部不正対策強化の推進力とする。
さらに、中小企業では経営者と従業員の距離が近く、経営層のメッセージが響く。そこで朝礼や全社集会等を活用し、全従業員に、内部不正対策の経営方針や判断、蓄積した知見を直接伝える。
- 中小企業における経営層の意識やリーダーシップが持つ意味は大変大きい。そうした意識のもと、リーダーシップを発揮し、リスクや対策優先度の判断を行い内部不正対策強化の推進力とする。
- リソース節約型の部門連携
- 内部不正防止に特化したリスク管理体制がない場合でも、情報システム/セキュリティ部門が内部不正防止で必要とされるIT技術面をカバーし、総務・人事部門が内部不正防止体制をカバーするように指向し、少ないリソースで専門管理部門設置と同等の効果を期待する。
- 最小限の内部不正対策付加
- サイバーセキュリティ対策でカバーできない内部不正特有の対策等は、ある程度実施されている既存のサイバーセキュリティ対策に上乗せすること(共通の対策を適用しつつ、守るべきものとリスクの違いに応じて足りないところを補うのみとする)が、効率的かつ効果的。
ウェブアンケートによる中小企業の実態に関する調査結果
- 従業員規模別で比較した中小企業の取り組み状況の調査結果を示す。
- 従業員数が100人以下の企業では、内部不正防止の基本方針を別建てで定めているところは、全体平均と比べて格段に少なく、割合は42-44%と半数以下(下記赤破線部)。
・中小企業では秘密情報の格付け表示が実効性を持って実施されている割合が22%前後と全体平均と比べて低く、従業員が秘密情報か否かを中身を見ずに認識できる状況とは言い難い(下記赤破線部)。
先進的中小企業へのインタビュー調査から得られた、中小企業の内部不正防止に役立ちそうな示唆や好事例
- 取りかかるきっかけを生かす
- 経営者が自ら主導して技術情報管理やISMS等の可視化しやすい認証を取得すること等が秘密情報漏えい/内部不正リスクを重要な経営課題として認識するための契機となりうる。未導入であれば情報資産台帳を用いた秘密情報管理の導入も同時に期待できる。
- 小回りの利く機動力を生かす
- 経営者が自ら戦略を語り、基本方針を周知徹底し、自身の想いを伝えることで従業員に対するリーダーシップを発揮し、中小企業ならではの機動性を生かしながら、事業リスクの判断や秘密情報の特定・格付けをスピードアップさせることが有効。
- 風通しの良さを生かす
- 社員が少数という中小規模ならではの風通しの良さ、顔の見える人間関係を生かし、内部不正防止のための監視・報告体制整備に際しては、その意義をじっくり説明しながら構築し、唐突な体制整備による不信感を抑止することが有効。
その他聴取できた取り組みや事例は多岐にわたり、調査報告書の「結論と今後の方向性」(P155)の章や概要説明資料「7-2.改善策と現状を比較した結果~中小企業について~」に記載している。
調査方法
- 内部不正防止推進のため重要と目された下記各カテゴリーの改善を図るための実態や事例を把握するアンケート調査、インタビュー調査を実施。
- 経営課題の改善
- 重要な秘密の特定と取扱いの改善
- 組織体制・連携に関する課題の改善
- 社員教育とリテラシー構築に関する課題の改善
- 対策実施に関する課題の改善
- アンケート調査
- 企業の情報システム・リスクマネジメント・経営企画関連部門の担当者や経営層にWebアンケート。収集した1248名の回答結果を分析。
- インタビュー調査
- 内部不正防止や営業秘密管理に関する有識者4名と先進的中小企業8社にインタビュー。好事例等についての示唆とりまとめを実施。
- また、公開された情報から情報漏えいや内部不正等の関連事例を収集し、内部不正関連の実態概況を調査し、傾向を分析。
調査報告書等のダウンロード
請負者
- 株式会社NTTデータ経営研究所