HOMEIPAについて新着情報プレス発表 「組織における内部不正防止ガイドライン」を改訂

本文を印刷する

IPAについて

プレス発表 「組織における内部不正防止ガイドライン」を改訂

~経営者責任の明確化、必要な人材の確保など、経営者主導が不可欠な取組みを新たに追加~

2014年9月26日
独立行政法人情報処理推進機構

 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、今般の内部不正による事故・事件等を受けその発生を防止するため、組織の環境整備に向けた「組織における内部不正防止ガイドライン」を改訂し、公開しました。

 URL:http://www.ipa.go.jp/security/fy24/reports/insider/index.html


 2014年に入り、退職者による海外への技術流出や従業員による不正な情報の窃取など、内部者の不正行為による情報セキュリティ事件が相次いで報道されました。さらに7月には教育関係事業者において委託先の従業員により極めて大量の顧客情報が漏えいするという事件が発生しました。

 「組織における内部不正防止ガイドライン」(以降、本ガイドライン)は内部不正のリスクを低減するために、経営者が果たすべき役割、組織の体制、技術対策などを記載しているもので、IPAが2013年3月に初版を公開しました。今回の改訂版の発行は、本年発生した前述の事例を分析した結果、以下の3点を強調すべきと加筆したものです。

1. 経営層によるリーダーシップの強化

経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化した。

  • 経営層の責任をより明確にし、組織の経営戦略に則って内部不正対策の基本方針と、必要なリソースの配分を行い、対外的な説明責任も負っていくこと
  • 重要情報保護の専門部署の設置の検討
  • 責任者・担当者に必要な能力の確保(外部専門家の採用、研修等の実施)

2. 情報システム管理運用の委託における監督強化

業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加した。

  • 業務委託に際し、委託先の情報セキュリティ対策、体制に対する評価の実施、および業務委託を実施する場合の必要な体制の確保
  • 委託先に対する業務委託中の監督
  • 再委託する場合、委託元への事前承認
  • 内部不正が発生した際の委託元と委託先間の事後対策の連携

3. 高度化する情報通信技術への対応

高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調した。

  • 技術の進展を常に見据えた継続的な対策の見直し
  • スマートデバイスなどによる情報の持ち出しを抑止する対策
  • 適切なアクセス権限の設定・管理、およびアクセスの監視
  • ログ活用による監視
IPAは、今後も本ガイドラインの活用促進に向けた普及活動を行うとともに、効果的な対策であるかを常に見直し、組織に役立つガイドラインの策定に努めていきます。

プレスリリースのダウンロード

資料のダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小松/益子

Tel: 03-5978-7530 Fax: 03-5978-7546 E-mail: 電話番号:03-5978-7530までお問い合わせください。

報道関係からのお問い合わせ先

IPA 戦略企画部 広報グループ 横山/白石

Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 電話番号:03-5978-7503までお問い合わせください。