経済産業省とIPAの新しい取り組みに見る情報漏えい/内部不正対策の新潮流

第1回 秘密情報保護と内部不正対策のガイドライン改訂とその背景について

NTTデータ経営研究所
金融政策コンサルティングユニット
エグゼクティブスペシャリスト 三笠 武則
マネージャー 鈴木 聡史

1.はじめに

2022年上半期に、経済産業省およびIPAから相次いで情報漏えい/内部不正対策のガイドラインの改訂版が公表された。具体的には以下の2つの文書がこれに該当する(公開順)。

■ IPA「組織における内部不正防止ガイドライン」第5版(2022年4月6日公開)
https://www.ipa.go.jp/security/fy24/reports/insider/

■ 経済産業省知的財産政策室「秘密情報の保護ハンドブック~企業価値向上に向けて」(2022年5月17日公開)
https://www.meti.go.jp/shingikai/sankoshin/chiteki_zaisan/fusei_kyoso/20220517_report.html

「重要情報の漏えい」と「組織における内部不正」は密接な関係にあるため、この2つの文書がほぼ同時に改訂されたことには大きな意味がある。両文書に追記された新しい記載を比較してみると、その内容には一貫性が見られ、2つの指針の間でしっかりと整合が保たれていることが分かる。

上記を踏まえると、重要情報の漏えい対策をアップデートする上では、まずは「秘密情報の保護ハンドブック~企業価値向上に向けて」の改訂箇所を読み込んで措置するのが良いと考えられる。さらに、情報漏えい対策の中でも特に重要となる「組織における内部不正対策」について詳しく検討することが求められるが、この目的のためには「組織における内部不正防止ガイドライン第5版」の改訂箇所を参考とするのが良い。

そこで本研究レポートでは、読者の皆様にこれら2つのガイドライン改訂へのご理解を深めていただくことを目的として、3回のシリーズ(図表1参照)で、改訂の背景と内容(特に重要なポイント)について詳しく解説していきたい。

図表1 本研究レポートのシリーズ構成

解説を予定している内容
第1回 (本稿) 秘密情報保護と内部不正対策のガイドライン改訂(全体俯瞰)とその背景
第2回 IPA「組織における内部不正防止ガイドライン」第5版改訂の重要ポイント解説
第3回 経済産業省「秘密情報の保護ハンドブック」改訂の重要ポイント解説

なお、情報漏えいというと近年は、フィッシング、標的型攻撃、二重脅迫型ランサムウェア、サプライチェーン攻撃などのサイバー攻撃をイメージすることが多くなってきている。他方で伝統的には情報漏えいは人を通じたものが主流であり、現在でもこれは変わっていない。そこで、本稿では焦点を「人を通じた情報漏えい」に絞らせていただく。サイバー攻撃による情報漏えいの拡大については、その重要性が益々高まってきていることから、機会を改めて別レポートとして報告させていただくこととしたい。

2.情報漏えい/内部不正を巡る直近5年間の環境変化

経済産業省「秘密情報の保護ハンドブック」の策定・公表は2016年2月、そしてIPA「組織における内部不正防止ガイドライン」第4版改訂の公開は2017年1月31日である。従って、両者ともに最新版の改訂までに5~6年を経過していることがわかる。この間に、コロナ禍で加速された働き方改革、クラウドファースト化、雇用流動化、高度な従業員監視技術の導入などが大きく進展するとともに、国内における関連法制度の改正/制定や関連ガイドラインの改訂/公開も進んできた。これらの環境変化に伴って、上記2つのガイドラインの対策記述が不十分になってきたことから、今回2つのガイドラインが同時に改訂されたものと考えられる。ここでは、これらの環境変化の現状について、IPAによるアンケート調査結果も引用しながら解説していく。

なお、アンケート調査結果の引用にあたり、IPAセキュリティセンターセキュリティ対策推進部の小川様よりご協力をいただいた。ここで厚く謝意を表しておきたい。

【出典:小川隆一様ご作成資料】

「組織における内部不正防止ガイドライン第5版 改訂の背景・狙い・ポイントについて」
https://www.apptras.org/_files/ugd/3d8bc9_b3e4d7425caf433d9a53e3449e135b7f.pdf
(本稿では、以後、「IPA小川様資料」という。)

図表2は、直近5~6年間で顕在化した、内部不正防止対策に影響を与えうる環境変化を①IT政策、②社会情勢の変化、③サービス・技術の変化の3つの観点から俯瞰してみたものである。DXおよびコロナ禍対応に伴うデジタル化/オンライン化、サプライチェーン問題、監視技術のブレイクスルーやゼロトラスト、転職者の急増など、「社会/技術の変革」とも言えそうな抜本的変化が直近で一斉に表面化した感があるが、現時点ではそれぞれがまだ出口を模索している段階と言えそうである。

図表2 内部不正防止対策に影響を与える環境変化

出典:IPA小川様資料に基づきNTTデータ経営研究所が作成

以下では、図表2でプロットした環境変化の中から以下に示す4つの重要テーマを抽出し、現状と内部不正対策への影響を深掘りしてみる。

抽出した4つの重要テーマ

① テレワーク・クラウドの普及及びサプライチェーンとの関わり
→デジタル化/オンライン化の進展とサプライチェーン問題

② 雇用の流動化
→転職者の急増

③ ふるまい検知等の新技術の登場
→監視技術のブレイクスルーやゼロトラスト

④ 国内における関連法制度の改正/制定、関連ガイドラインの改訂/公開

(1) テレワーク・クラウドの普及およびサプライチェーンとの関わり

情報漏えい/内部不正に関わる環境変化として一番影響が大きいと考えられるのは、やはりコロナ禍を契機として急速に進展した働き方の変革である。

テレワークや兼業・副業によって、重要情報がバラバラに社外に出ていく傾向が強まるとともに、会社保有IT機材の調達が追い付かないことでセキュリティ対策上の課題が大きいBYOD(Bring Your Own Device:従業員が個人所有の携帯用機器を用いて業務を行うこと)がやむを得ず拡大している。これらの問題点はコロナ禍での情報管理特例措置という側面を持っているが、コロナ禍が長引いていることが影響して、一時的な特例が想定外に長引いてしまっている実態があり、ガバナンス低下に影を落としていると言えるだろう。(図表3参照)

図表3 コロナ禍での情報管理特例措置の実態

出典:IPA小川様資料

さらには、「クラウドファースト」の掛け声の下に企業で幅広くクラウドが採用されるようになり、結果として重要情報がルール不備や運用上の不注意等によって社外(=クラウド上)に出ていくケースが散見される。(図表4参照)

図表4 テレワーク利用ルール規定の実態

出典:IPA小川様資料

上記に加え、サプライチェーン保護の観点からは、同様の課題がサプライヤにおいてより顕著になるという大きな問題が生じているため、大手企業は取引先(業務/ITシステム開発委託先、クラウドサービスプロバイダなど)に対するガバナンスにも十分に注意することが必要になっている。(図表5参照)

図表5 IT業務委託契約におけるガバナンス上の問題点

出典:IPA小川様資料

上述のとおり、こうした環境変化は、重要情報の企業内外への分散を促進するとともに、秘密保護/内部不正防止に対するガバナンスの低下をきたす原因となっている。従って、これに伴って生じるリスクを低減するための新たな対策が強く求められていると言える。

(2) 雇用の流動化

我が国の終身雇用制が崩れつつあると言われ始めて久しいが、その象徴となっているのは:

  • 多数の新入社員が3年以内に転職していく
  • 中途採用者の定着率が低く、短期間でさらに転職していく

という2つの実状である。終身雇用制が盤石であった時代には企業・組織と従業員との間に強い信頼関係が存在したが、雇用が流動化するにつれてお互いの信頼が崩壊しつつあるのが現状と言える。こうして従業員の企業・組織への忠誠心が薄れていく中で、転職により重要情報を不正に持ち出す機会が増えることから、結果として重要情報の漏えいリスクはさらに高まることが予見される。(図表6参照)

図表6 中途退職者からの情報漏えいの増加

出典:IPA小川様資料

中途退職者の不正による重要情報の漏えい対策については従前より踏み込んだ指針が提供されてきたが、①秘密保持契約/誓約書や就業規則の運用面に関する問題点、②海外での情報漏えいへの対抗策などについては、まだまだ対策を強化できる余地があるものと考えられる。

(3) ふるまい検知等の新技術の登場

従業員のふるまいや仕事の生産性を監視しようと考える企業は、国内においても海外においても増えており、特に大企業においてそのモチベーションが高いと考えられる。例えば、我が国では内部不正対策として防犯カメラのほか、不自然なアクセスの検知等の対策が進展し始めており、何も対策していない企業の割合は半減している。(図表7参照)

次に海外の状況も確認しておきたい。ガートナー社の調査によると、欧米では従業員監視ツールを導入した大企業は、パンデミック前と比べて倍増して6割に達しており、今後3年以内に7割に達すると予測されている*。このように、欧米ではさらに積極的に従業員監視ツールの導入が進んでいる。

*出典:https://www.gartner.com/en/articles/the-right-way-to-monitor-your-employee-productivity

図表7 不自然なアクセスの検知等の従業員監視の適用状況

出典:IPA小川様資料

この現状は、おそらく2つの環境変化が同時に重なったことによって加速されていると考えられる。1つめは、AIを適用することで、従業員のふるまいや心理状態を監視する技術が飛躍的に進歩し、ブレイクスルーに達したことである。これによってツールの選択肢が増えるなどの変化が生じているものと推察される。2つめは、テレワークの浸透や中途退職者の急増に伴って、企業側の従業員監視のモチベーションが高まっていることである。我が国では前述した通り、終身雇用制が崩れて企業・組織と従業員の間の信頼が薄れてきており、これがさらに従業員監視のモチベーションを高めている可能性が否定できない。

一方で従業員監視の強化は、企業・組織の考え方・姿勢(特に従業員を疑ってかかる姿勢)によっては逆に従業員の就業意欲を下げてしまい、内部不正を誘発する恐れもあるので、企業・組織としてもその運用姿勢・体制に注意を払う必要がある。

また国内外を問わず、従業員監視の強化は従業員のプライバシー保護との間で適切なバランスを保って運用することが必要であると考えられているが、この考え方が企業・組織に周知徹底されているかというと、必ずしもそうではない実状がある。

米国では、従業員の監視とプライバシー保護のバランスを適正に保つため、法規制の導入が進み始めている。例えば、ニューヨーク州、コネチカット州、デラウェア州では従業員を電子的に監視する場合は事前通知を義務付けており、カリフォルニア州においても同様の法案を検討中である。しかし、法規制の導入には時間がかかるため、AIによる急速な技術の進歩に規制が追い付いていない実状が見られる。

我が国においても、「個人情報の保護に関する法律についてのガイドラインに関するQ&A」のQ5-7で「従業者に対する監督の一環として、個人データを取り扱う従業者を対象とするビデオやオンライン等による監視(モニタリング)を実施する際の留意点」についてのQ&Aが公開されており、企業・組織としてもこれと整合した対応を取ることが必要である。

AIなどを用いた従業員監視技術は今後も急速な進歩が見込まれることから、企業・組織がこの技術を適用したツールを導入することは益々容易になってくるものと予想される。だからこそ我が国においても、こうしたツールを適用する際に従業員のプライバシーを保護する運用を徹底すべきであることを、企業・組織に広く浸透させることが急務であると言える。

(4) 国内における関連法制度の改正/制定、関連ガイドラインの改訂/公開

IPA「組織における内部不正防止ガイドライン」第4版、経済産業省「秘密情報の保護ハンドブック」の公開後5~6年の間に実施された内部不正防止に関わる法制度の改正/制定については、次のようなものがある。

  • 令和2年改正個人情報保護法
    個人の権利利益を害するおそれがある個人データ漏えい時(故意の内部不正によるものを含む)の報告義務を規定。内部不正の事後対応に影響が生じる。
  • 平成30年改正不正競争防止法
    限定提供データの新設。これに伴い、限定提供データが内部不正の新たな対象となった。
  • 下請中小企業振興法 振興基準(令和3年7月)
    下請事業者からの要請に応じ、委託元がセキュリティ対策の助言・支援を行うことを推奨。
  • 平成30年改正産業競争力強化法/技術等情報漏えい防止措置の実施の促進に関する指針
    技術情報管理認証制度の創設。

また、過去5~6年の間に制定された内部不正防止に関わるガイドラインの改訂/公開については、例えば次のようなものがある。

  • 各省庁・関連団体が制定したテレワークに関するセキュリティ対策指針等
    →テレワーク時の情報漏えい対策につき、参考とできる記載あり。
  • 経済産業省「渉外事案の適用関係の概略と民事訴訟における考えられる主張ポイント集」の制定(令和2年6月)
    →退職した役職員が海外において重要情報を不正に開示するような事態が生じた場合に取り得る対策や、適用しうる訴訟戦略について記載あり。

3.経済産業省およびIPAによる情報漏えい/内部不正対策のガイドライン改訂の全体像

前章では、内部不正対策に影響を及ぼす環境変化のうち重要なものを取り上げて説明し、新たな対策等の必要性を指摘してきた。これらの環境変化に対応していくためには、①経営者の積極的な関与、②新対策の導入/既存対策の強化、③法制との整合が求められてくる。そこで、これら3本の柱について、それぞれ何が課題となるかを取りまとめてみたのが図表8である。

図表8 環境変化によって顕在化した内部不正対策に関する新たな課題

「経営層の関与」については、①個人情報に留まらず重要技術情報の漏えいリスクにも重点を置くこと、②内部不正による事業リスク増大を受け入れることなどの課題を指摘することができる。「内部不正対策」については、③新たにテレワーク中の情報漏えいに対する対策が必要になるほか、④クラウドなどの外部サービス利用に対する対策強化、⑤新たに登場している高度なセキュリティ技術の導入にあたっての従業員プライバシーへの配慮、⑥中途退職者急増に伴う退職時の情報漏えい対策強化などが重要な課題となる。また、「法制との整合」については、⑦個人データ漏えい時の通報義務や限定提供データ保護などの新制度に対する新たな対策が求められてくる。

これら7つの重要課題について、IPA「組織における内部不正防止ガイドライン」第5版および経済産業省「秘密情報の保護ハンドブック」では、それぞれが経営者に向けたメッセージ強化や、新たに取るべき対策のポイントについての追記などを行っている。その概要を図表9と図表10に示した。

図表9 組織における内部不正防止ガイドライン改訂の概要 ~7つの重要な環境変化との関係
図表10 秘密情報の保護ハンドブック改訂の概要 ~7つの重要な環境変化との関係

上記2つの図表に見られるように、今回2つの指針には、7つの環境変化との関わりにおいてかなり広範囲な修正が加えられている。具体的な修正内容については、文章量の関係から稿を改めて、次回以降で解説していく予定なので楽しみにお待ちいただきたい。

4.第2回原稿でカバーする予定の内容について

第2稿では、IPA「組織における内部不正防止ガイドライン」の策定/改訂経緯、背景にある基本的な考え方、第5版改訂の背景とポイントについて解説した上で、第5版改訂の重要な内容について詳しく説明する予定である。

第5版改訂の重要な内容:

  • 経営者に向けたメッセージとして新たに組み入れられた事項
  • ガバナンスとコンプライアンスについて
  • 技術・運用管理について
  • 原因究明と証拠確保、事後対策について
  • 教育、人的管理について
  • テレワークに関する対策の追記

第1回を最後までお読みいただいた方は、是非次回、第2回もご確認をお願いしたい。

Page Top