情報セキュリティ

「企業の内部不正防止体制に関する実態調査」報告書

公開日:2023年4月6日

独立行政法人情報処理推進機構
セキュリティセンター

企業が保有する営業秘密などの重要情報の保護は企業経営上の重要な課題であり、内部不正による情報漏えいの防止に資するため、IPAでは2022年4月に「組織における内部不正防止ガイドライン」を第5版に改訂し、近年の環境変化を踏まえた対策を加えた情報提供を実施しています。一方で、内部不正による情報漏えいに係る企業の課題認識、対策状況、マネジメント体制等の実態は必ずしも明らかにはなっていません。このたびIPAでは、企業の対策・体制に関する実態を把握し、各企業における今後必要とされる有効な施策立案に資するための調査を行いましたのでその結果を公開します。

調査の概要

企業を取り巻く環境変化(働き方・法制度・新技術等)を踏まえた調査軸に沿い、アンケートおよびインタビューによる以下の各項目の情報収集・分析を行いました。企業の調査対象は、リスクマネジメント、情報システム、経営企画部門の担当者・責任者および経営層です。

  1. 近年の環境変化を踏まえた調査軸の設定
  2. 企業パネルモニターに対するウェブアンケート
  3. 企業インタビュー
  4. 有識者インタビュー
  5. ウェブアンケート、企業/有識者インタビュー情報の整理・分析

アンケート調査期間

  • 2022年12月7日から2022年12月12日まで

インタビュー調査期間

  • 2022年11月から2023年1月まで

判明した課題

  1. 内部不正防止に関する知識の取得・周知・教育のあり方
    (1)情報漏えい、内部不正防止に関する社内規程等を学ぶ機会を増やすことが必要。
    (2)従業員に内部不正防止の知識を根付かせるためには、「してはいけないこと」を教育することが必要。
    (3)内部不正に関する動画やイラスト等の教育コンテンツ、グループディスカッション、セルフチェック等、多様なツールや教育機会を活用した「知識を組織に根付かせる取り組み」が必要。
  2. 内部不正防止に関する組織の体制のあり方
    (1)組織の責任・権限を実効的に確保し、全社的に対応することが必要。
    (2)内部不正対策を具体的に計画し、実施する責任・権限の確保
    (3)経営層が定める基本方針に基づき、組織全体の立場から内部不正対策の計画を承認し、実施を統制する責任・権限の確保
    (4) 経営層の不正に対する対策と透明性を確保し、内部不正対策のマネジメントシステムを実効的に機能させることが必要。
  3. 内部不正防止対策の課題
    (1)個人情報以外の重要情報の特定、管理は未実施の場合、特に必要。
    (2)悪意の内部不正対策は、低コストの従業員教育に軸足を置きつつ、悪意による部分は技術的対策でカバーする等、コストと効果を最適化する対策の整備が必要。
    (3)中途退職者、中途採用者の内部不正に対応できる対策(アクセスログの活用等)が必要。

判明した実態の例

  • 1.情報漏えいに関する内部不正防止の体制
    • 組織全体に対する責任部門がリスク・コンプライアンス部門である場合と、情報システム・セキュリティ管理部門である場合が約4割ずつでほぼ同等であることが分かりました(図1)。また、内部不正防止の主管部門の統括の下、連携して対策や事後対応にあたっている部門の実態は図2の通りでした。内部不正防止体制を問うインタビュー調査からは、いずれが責任部門となる場合でも、法務・知財部門、営業・事業部門といった関連部門との協働や緊密な連携による組織全体のガバナンス構築が望まれることが分かりました。
    • (図2の母数1082はQ20の「連携して対策や事後対応にあたっている関連部門」において「わからない」を回答した8.2%を除いたもの。)
  • 内部不正防止対策について組織全体に対して責任を負っている部門の割合
    図1.貴社において内部不正防止対策を主管し、組織全体に対する責任を負っている部門はどこですか。(Q20)
  • 内部不正防止体制において主管部門と連携する関連部門
    図2. 貴社の内部不正防止体制において、主管部門の統括の下で、連携して対策や事後対応にあたっている関連部門はどれですか。(Q21)
  • 2.経営層が内部不正リスクを優先度の高い経営課題として捉えている割合
    • 「捉えられている」と答えた回答者の割合はほぼ40%に留まっており、高い水準に達していないことがわかりました。
  • 経営層が内部不正リスクを経営課題としてどの程度重要と捉えているかの割合
    図3.貴社では、内部不正リスクは重要な経営課題として捉えられていますか。(Q30)
  • 3.重要情報を特定するための仕組作り
    • 個人情報以外の重要情報を特定する仕組みを持つ企業は半数に満たないことが分かりました(図4)。重要情報とは、個人情報を含む営業秘密や限定提供データなど組織の活動にとって重要な情報を指します。重要情報の特定は、内部不正を防止し、企業の秘密情報を保護するための基本的な取組みです。個人情報以外についても、情報を適切に区分し、管理する仕組みを構築することが重要です。
  • 重要情報を特定するために取り組んでいる仕組みとその割合
    図4.貴社ではどのような種類の重要情報を特定する仕組みを作っていますか。(Q7)
  • 4.中途退職者に課す秘密保持義務の実効性を高める対策
    • 秘密保持義務の内部規則を定め就業規則で順守を求めること、秘密保持義務契約書や誓約書を提出すること、就業規則に退職後の定めを規定すること等が中心となっていることが分かりました。これらの対策は契約の締結や内規の作成・順守に関わる基本的なものですが実施の割合は半数に達していませんでした(図5)。
  • 中途退職者に対し秘密保持義務の実効性を高めるために実施している対策
    図5. 貴社では、雇用の流動化を踏まえて、中途退職者に課す秘密保持義務の実効性を高める対策を実施していますか。(Q37)
  • 5.組織の責任や権限の明確化、情報セキュリティポリシー、規定の整備状況
    • 経営リソースの配分等のIT領域の対策はある程度進んでいた(青枠)一方、内部不正防止に特化した社内ポリシーや規定の整備等は限定的(赤枠)であることが分かりました(図6)。
  • 組織内で定められている内部不正防止に関する指針や規則
    図6. 貴社では内部不正防止について、どのような指針や規則が定められていますか。(Q13)
  • 6.注力することにより効果が期待できる対策(インタビュー調査から)
    • (1)内部不正リスクが重要な経営課題であるという認識を企業に浸透させることで対策の進展が期待できます。
    • (2)経営層、組織全体の責任者等が事業リスクを強く認識するためには、営業秘密漏えい等の事案/インシデントを事例として学ぶことが有効です。

調査報告書等のダウンロード

請負者

  • 株式会社NTTデータ経営研究所

お問い合わせ先

セキュリティセンター セキュリティ対策推進部 
セキュリティ分析グループ
佐川、白石

  • E-mail

    isec-infoアットマークipa.go.jp

更新履歴

  • 2023年7月20日

    「5.組織の責任や権限の明確化、情報セキュリティポリシー、規定の整備状況」の説明を補足するため図6に枠を追加