プレスリリース
2023年4月6日
独立行政法人情報処理推進機構
「企業における内部不正防止体制に関する実態調査」報告書を公開
〜内部不正リスクを重要な経営課題として捉えている企業は約40%〜
IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は本日、「企業における内部不正防止体制に関する実態調査」報告書を公開しました。
URL: https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html
近年、組織内部者の不正行為による情報の漏えい事案がたびたび報道されています。IPAは組織における情報漏えいに関する内部不正防止を推進するため、2013年から「組織における内部不正防止ガイドライン」を公開し、2022年には第5版へと改訂しました。このたびIPAでは、第5版で考慮したテレワークやクラウド利用等のニューノーマルな働き方や雇用流動化といった環境変化を踏まえ、企業の内部不正防止対策や体制に関する問題点を把握して課題解決に資することを目的に、実態調査を行いました。
本調査では、企業アンケート調査として情報セキュリティやリスクマネジメント関連の業務に携わる人や経営者など1179名のパネルモニターから回答を得たほか、国内企業15社や有識者7名へのインタビュー調査を実施しました。企業アンケート調査では、内部不正防止体制の他、内部不正の事業リスクが優先度の高い経営課題として必ずしも捉えられていないことや、内部不正防止対策の実施状況が十分でない現状などが明らかになりました。主なポイントは次のとおりです。
情報漏えいに関する内部不正防止の体制は、組織全体に対する責任部門がリスク・コンプライアンス部門である場合と、情報システム・セキュリティ管理部門である場合が約4割ずつでほぼ同等であることが分かりました(図1)。インタビュー調査では、いずれが責任部門となる場合でも、法務・知財部門、営業・事業部門といった関連部門との協働や緊密な連携による組織全体のガバナンス構築が望まれることが分かりました。
[画像1]https://user.pr-automation.jp/simg/2314/70081/350_286_20230406121404642e38fcd6b59.jpg
図1.貴社において内部不正防止対策を主管し、組織全体に対する責任を負っている部門はどこですか。(Q20)
経営層が内部不正の事業リスクについて十分に認識し、優先度の高い経営課題として捉えているかを聞いた質問では、「捉えられている」と答えた回答者の割合はほぼ40%に留まっており、高い水準に達していないことが分かりました(図2)。
[画像2]https://user.pr-automation.jp/simg/2314/70081/400_374_20230406121355642e38f311fd8.jpg
図2.貴社では、内部不正リスクは重要な経営課題として捉えられていますか。(Q30)
多様な重要情報を特定する仕組みを問う質問では、個人情報以外の重要情報を特定する仕組みを持つ企業は半数に満たないことが分かりました。重要情報とは、個人情報を含む営業秘密や限定提供データなど組織の活動にとって重要な情報を指します。重要情報の特定は、内部不正を防止し、企業の秘密情報を保護するための基本的な取組みです。個人情報以外についても、情報を適切に区分し、管理する仕組みを構築することが重要です(図3)。
[画像3]https://user.pr-automation.jp/simg/2314/70081/650_331_20230406121412642e39042ce33.jpg
図3.貴社ではどのような種類の重要情報を特定する仕組みを作っていますか。(Q7)
中途退職者に課す秘密保持義務の実効性を高める対策を実施しているかを聞いた質問では、秘密保持義務の内部規則を定め就業規則で順守を求めること、秘密保持義務契約書や誓約書を提出すること、就業規則に退職後の定めを規定すること等が中心となっていることが分かりました。これらの対策は契約の締結や内規の作成・順守に関わる基本的なものですが実施の回答は半数に達していませんでした(図4)。
[画像4]https://user.pr-automation.jp/simg/2314/70081/650_532_20230406121417642e39094a211.jpg
図4. 貴社では、雇用の流動化を踏まえて、中途退職者に課す秘密保持義務の実効性を高める対策を実施していますか。(Q37)
IPAはこのような結果を基に、内部不正リスクが重要な経営課題であるという認識の浸透、個人情報以外の重要情報の特定と対策の推進、中途退職者に対する対策強化をはじめとした課題を整理しました。今後、対策推進に向けた検討を進めると同時に、「組織における内部不正防止ガイドライン」のさらなる普及や活用促進に向けて、啓発活動を強化していきます。本調査報告書は、IPAのウェブサイトからダウンロードできます。
■調査概要(企業アンケート調査)
・対象者:市場調査会社の大規模調査パネルに登録しているモニターから選定し、以下の要件のいずれかを満たす1,179名
・情報システム関連部門の担当者または責任者
・リスクマネジメントの企画・運用に関わる部署の担当者または責任者
・経営企画部門における企業・組織のITやセキュリティ戦略の担当者または責任者
・上記以外の、リスクマネジメントに関する業務の担当者
・経営層
・調査期間:2022/12/7〜12/12
・調査方法:アンケートへの回答をWeb回答システムで取得
本件に関するお問合わせ先
■ 本件に関するお問い合わせ先
IPA セキュリティセンター 佐川/白石
Tel: 03-5978-7530 E-mail: isec-info@ipa.go.jp
■ 報道関係からのお問い合わせ先
IPA 戦略企画部 広報戦略グループ 伊藤/金子
Tel: 03-5978-7503E-mail: pr-inq@ipa.go.jp
関連リンク
「企業における内部不正防止体制に関する実態調査」
https://www.ipa.go.jp/security/reports/economics/ts-kanri/20230406.html