IPAが「組織における内部不正防止ガイドライン」を5年ぶりに改訂：内部不正対策にAIを使う場合の注意点などを追記

IPAは、「組織における内部不正防止ガイドライン」の第5版を公開した。個人情報保護法や不正競争防止法などの法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加した。

[＠IT]

　情報処理推進機構（IPA）は2022年4月6日、「組織における内部不正防止ガイドライン」を改訂した第5版を公開した。個人情報保護法や不正競争防止法等の法改正に伴い、事業環境の変化や技術の進歩を踏まえた対策などを追加している。IPAのWebページからダウンロードできる。

「組織における内部不正防止ガイドライン」第5版の改訂箇所（提供：IPA）

過去5年間の事業環境の変化を反映

　5年ぶりとなる今回の改訂では、テレワークの普及や人材流動化の加速、産業競争力強化法の施行など事業環境の変化を踏まえて、新たに必要となる対策や強化すべき対策を示している。特に情報漏えい対策技術についてIPAは「この5年間でAI（人工知能）を活用した振る舞い検知など内部不正対策技術が進展しており、大幅に追記した」としている。

　主な改訂ポイントとして「テレワーク普及に伴う対策」「退職者関連対策」「振る舞い検知などの新技術活用に伴う対策」がある。

テレワーク普及に伴う対策

　テレワークの対策については技術的な対策はもちろん、人的管理と職場環境、さらに事後対策と証拠確保にもテレワークに特化した配慮が必要だ。そのためIPAは「重要情報と通信の暗号化に加えて、アクセス権限といったクラウドサービスの運用面での対策、テレワークを実施する役職員の教育などの人的管理、テレワーク中の内部不正に対応できるログの取得といった対策を示した」としている。

退職者関連対策

　退職者の対策については、IPAが2021年に公開した「企業における営業秘密管理に関する実態調査2020」が基になっている。調査結果によると営業秘密の漏えいルートで最も多いのは「中途退職者による漏えい」（36.3％）だった。第5版では、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策を推奨するなど、雇用終了の際の対策強化を示している。

振る舞い検知などの新技術活用に伴う対悪

　「AIによる振る舞い検知」などを内部不正対策として適用する場合に必要な措置を示している。IPAはエンドポイントセキュリティやモニタリングなどのセキュリティ関連技術を利用する際は、役職員の人権やプライバシーに配慮した運用が必要としており、「役職員保護のための適切な設定ができるシステムを選定し、人手による判断と組み合わせるなど、説明責任を果たせる方法で運用すべきだ」と指摘している。