情報処理推進機構(IPA)は4月6日、組織の内部不正による情報セキュリティ事故防止のための「組織における内部不正防止ガイドライン」の第5版の公開を発表した。
同ガイドラインは2013年3月に公開され、これまで2014年、2015年、2017年に改訂が行われてきた。5年ぶりの改訂となる第5版では、コロナ禍を契機としたテレワークの普及・進展や雇用・人材の流動化の加速、個人情報保護法や不正競争防止法などの法改正などの事業環境の変化のほか、技術の進歩を踏まえた対策が追加された。
第5版の主な改訂ポイントは以下となる。
テレワークの普及に伴う対策
テレワーク環境では技術的な対策に加えて人的管理と職場環境も重要となり、事後対策と証拠確保もテレワークに特化した配慮が必要となるため、広範な項目で修正・追記がなされた。例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限といった技術・運用面での対策や、テレワークを行う役職員等の教育といった人的管理、テレワーク中の内部不正に対応できるログ・証跡の取得といった事後対策が示されている。
退職者関連対策
退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど、雇用終了の際の対策強化を示している。また、役職員モニタリングにあたっては、その目的が役職員を内部不正から保護するためであることを就業規則に記載し、広く周知の上で了解を得ることを指針として新たに追加すること、退職予定者に配慮しながら合意を得ることの重要性を示す。
ふるまい検知等の新技術活用に伴う対策
AIによるふるまい検知機能などを内部不正対策として適用するにあたって必要な措置について、技術・運用管理の項目に記載している。関連して、人的管理の項目としても、人権・プライバシー保護の観点から役職員モニタリングの目的などを就業規則で周知し、自動化された判断に頼りすぎない運用体制の構築などを対策のポイントとして挙げている。
このほか、ガイドラインでは、インシデント事例調査に基づく内部不正事例集や、テレワークに係る対策一覧なども付録として掲載している。