HOME情報セキュリティ組織における内部不正防止ガイドライン

本文を印刷する

情報セキュリティ

組織における内部不正防止ガイドライン

最終更新日:2015年5月26日
掲載日 2013年3月25日
独立行政法人情報処理推進機構
技術本部 セキュリティセンター

 報道などで見られるとおり、組織内部者の不正行為による情報セキュリティ上のインシデントが度々発生しています。顧客情報や製品情報などの漏えいによる賠償や信用失墜など、事業の根幹を揺るがしかねないようなケースが目立ってきています。
 内部不正は風評被害が発生する恐れや、取引先などの関係者との調整がつかないなどの理由から組織内部で処理されてしまう傾向にあり、また、同業他社などの外部組織との間で情報共有されることは稀であることから、内部不正が発生する要因や効果的な対策の検討を要する場合には、それぞれの組織が自らの経験などをもとに個別に対策を講じているのが実情です。

 IPAセキュリティセンターでは、このような背景から、内部不正行為について調査(「組織内部者の不正行為によるインシデント調査」)(*1)を行うとともに、内部不正対策を検討する場として、内部不正の知見を有する様々な分野の有識者から成る「組織における内部不正防止ガイドライン検討委員会」を設置しました。
 「組織における内部不正防止ガイドライン」は、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的として同委員会において作成されたものです。

 本ガイドラインは、これまで内部不正対策について「考えてこなかった」「何をすればよいかわからなかった」という企業であっても、内部不正対策の整備を可能とすることを目指したほか、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れた構成としています。
 内部不正防止の重要性や対策の体制、関連する法律などの概要を平易な文体で説明しているほか、組織における内部不正の在り方については、基本方針から、資産管理、技術的管理、証拠確保、コンプライアンス、職場環境、事後管理など10の観点のもと、合計30項目からなる具体的な対策を示しました。
 各対策項目では、それぞれの概要を捉えやすいよう「対策の指針」を冒頭に記し、その対策をとらなかった場合のリスクと、具体的な対策のポイントを箇条書きに整理、記述してあります。
 また、付録として、先述の調査で得られた内部不正の事例のほか、30項目の自組織の内部不正対策の状況を把握するためのチェックシート、対策のヒントとなるQ&Aなどを用意しています。

 本ガイドラインの構成は、以下のとおりです。
 1章 背景
 2章 概要
 3章 用語の定義と関連する法律
 4章 内部不正を防ぐための管理の在り方
 付録I  内部不正事例集
 付録II  内部不正チェックシート
 付録III Q&A集
 付録IV  他のガイドライン等との関係
 付録V  基本方針の記述例
 付録VI  内部不正の基本5原則と25分類
 付録VII 対策の分類

 IPAは、本ガイドラインを公開することによって効果的な内部不正対策が多くの組織に広がることを期待するとともに、今後も組織における内部不正の防止に向けた取り組みを推進していきます。

組織における内部不正防止ガイドライン検討委員会

                            (敬称略、50音順)
委員 :
島 成佳     日本電気株式会社 クラウドシステム研究所 主任研究員
高木 大資    東京大学大学院医学系研究科 助教
名和 利男    株式会社サイバーディフェンス研究所 理事
原田 要之助   情報セキュリティ大学院大学 情報セキュリティ研究科 教授
宮内 宏     五番町法律事務所 弁護士(委員長)
矢島 典子    日本アイ・ビー・エム 情報セキュリティ推進 部長

オブザーバー :
経済産業省 経済産業政策局 知的財産政策室
経済産業省 商務情報政策局 情報経済課
              情報セキュリティ政策室
              情報処理振興課
事務局 :
IPA 技術本部 セキュリティセンター 情報セキュリティ分析ラボラトリー

脚注

(*1)2012年7月17日公表
  http://www.ipa.go.jp/files/000014169.pdf

ガイドライン等のダウンロード

組織における内部不正防止ガイドライン(日本語版) 第3版ガイドライン(日本語版)(PDFファイル) (2.59MB)
第3版の主な改訂内容ガイドライン(日本語版)(PDFファイル) (293KB)

内部不正チェックシート(日本語版) Ver.2.0内部不正チェックシート(日本語版)(Excelファイル) (33.3KB)

Guidelines for the Prevention of Internal Improprieties in Organizations Ver3.0
(組織における内部不正防止ガイドライン 第3版の英語版)ガイドライン(英語版)(PDFファイル) (2.3MB)


<関連資料>
NPO日本ネットワークセキュリティ協会(JNSA)の組織で働く人間が引き起こす不正・事故対応ワーキンググループより、IPAの「組織における内部不正防止ガイドライン」の各対策を実現するためのソリューションガイドが2013年12月26日に公開されました。
内部不正対策ソリューションガイド別ウィンドウで開く

プレスリリースのダウンロード

本件に関するお問い合わせ先

IPA 技術本部 セキュリティセンター 小松/益子

TEL:03-5978-7530 FAX:03-5978-7546 E-mail:03-5978-7530までお問い合わせください。

更新履歴

2015年5月26日 英語版ガイドラインをVer3.0に更新
2015年3月30日 日本語版ガイドラインを第3版に更新
2014年9月26日 日本語版ガイドライン、内部不正チェックシートをVer.2.0に更新
2014年8月21日 日本語版ガイドラインをVer.1.3に更新
2014年8月8日 “内部不正チェックシート”を「ガイドライン等のダウンロード」に追記
2013年12月27日 “内部不正対策ソリューションガイド”を「ガイドライン等のダウンロード」に追記
2013年9月4日 英語版(Ver.1.0)を公開。日本語版をVer.1.2に更新
2013年5月16日 日本語版ガイドラインをVer.1.1に更新
2013年3月25日 掲載