情報処理推進機構(IPA)は4月6日、「組織における内部不正防止ガイドライン」第5版を公開した。2017年以来5年ぶりの改訂で、新たにテレワークや退職、検知技術などの解説を加えている。
同ガイドは、組織内部者の不正行為による情報セキュリティ事故の防止を推進するために公開しているもの。最新版では、コロナ禍を契機としたテレワーク拡大などの新しい働き方への移行、雇用や人材の流動化、個人情報保護法や不正競争防止法などの改正、産業競争力強化法の施行といった変化を踏まえてリスクや対策などを取りまとめたほか、技術面も進展していることから、技術と運用対策も多数追記したという。
主な改訂内容としてテレワークでは、オンラインストレージやクラウドなど外部サービスの利用拡大を背景に、例えば、重要情報と通信の暗号化、クラウドサービスのアクセス権限、テレワークを行う役職員などへの教育、テレワーク中の内部不正に対応するログや証跡の取得といった項目を加えた。
退職関連では、IPAの調査で営業秘密の漏えいルートの36.3%が中途退職者だったことなどを踏まえ、退職予定者が秘密保持契約や誓約書の提出を拒否することを想定した対策や役職員をモニタリングする場合の就業規則への記載による周知や同意など、退職予定者に配慮しながらの対応を示した。
技術面では、人工知能を用いた振る舞い検知機能を内部不正対策で運用する場合のポイントなどに触れ、役職員の保護のために適切な設定ができるシステムを選定して、人手による判断と組み合わせるといった説明責任を果たせる運用の必要性を挙げている。
改訂版のポイント
