IPAは、「組織における内部不正防止ガイドライン」の第5版を公開した。個人情報保護法や不正競争防止法などの法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
情報処理推進機構(IPA)は2022年4月6日、「組織における内部不正防止ガイドライン」を改訂した第5版を公開した。個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加している。IPAのWebページからダウンロードできる。
5年ぶりとなる今回の改訂では、テレワークの普及や人材流動化の加速、産業競争力強化法の施行など事業環境の変化を踏まえて、新たに必要となる対策や強化すべき対策を示している。特に情報漏えい対策技術についてIPAは「この5年間でAI(人工知能)を活用した振る舞い検知など内部不正対策技術が進展しており、大幅に追記した」としている。
主な改訂ポイントとして「テレワーク普及に伴う対策」「退職者関連対策」「振る舞い検知などの新技術活用に伴う対策」がある。
テレワークの対策については技術的な対策はもちろん、人的管理と職場環境、さらに事後対策と証拠確保にもテレワークに特化した配慮が必要だ。そのためIPAは「重要情報と通信の暗号化に加えて、アクセス権限といったクラウドサービスの運用面での対策、テレワークを実施する役職員の教育などの人的管理、テレワーク中の内部不正に対応できるログの取得といった対策を示した」としている。
退職者の対策については、IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」が基になっている。調査結果によると営業秘密の漏えいルートで最も多いのは「中途退職者による漏えい」(36.3%)だった。第5版では、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど、雇用終了の際の対策強化を示している。
「AIによる振る舞い検知」などを内部不正対策として適用する場合に必要な措置を示している。IPAはエンドポイントセキュリティやモニタリングなどのセキュリティ関連技術を利用する際は、役職員の人権やプライバシーに配慮した運用が必要としており、「役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせるなど、説明責任を果たせる方法で運用すべきだ」と指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.