logo
Insight
経営研レポート

経済安全保障で重視されるサプライチェーン全体の秘密情報管理と内部不正防止 第1回

IPAによる内部不正防止対策と体制整備に関する2023年調査で得られた知見から
経済安全保障
2024.09.18
金融政策コンサルティングユニット
シニアコンサルタント      岡田 明子
エグゼクティブスペシャリスト  三笠 武則
heading-banner2-image

はじめに

近年、企業が保有する秘密情報の管理と保護は、企業経営における重要な課題となっている。独立行政法人情報処理推進機構(以下、IPA)は2021年度に「組織における内部不正防止ガイドライン 1」(以下、「内部不正防止ガイドライン」)を第5版に改訂し、内部不正による情報漏えいの防止に資する情報提供を行った。さらに秘密情報の管理と保護に関する実態調査を毎年実施している(図表1)。

【図表1】IPAによる企業が保有する秘密情報の管理と保護に関する調査

年度

タイトル

実施事項/成果

2021

2021年度 中小企業における情報セキュリティ対策に関する実態調査」(以下、2021年度調査)

【実施事項】

中小企業における情報セキュリティ対策の実態や実施時の課題、経営層の認識、今後求められる対策などを把握する

【成果】

2016~2021年度の5年間で情報セキュリティ対策の実施状況は、わずかに改善しているものの、依然として中小企業の対策実施に関する課題は多く、更なる対策の必要性の訴求や、対策の実践に向けた支援の必要性が明らかとなった

2022

企業における内部不正防止体制に関する実態調査」(以下、2022年度調査)

【実施事項】

各企業における内部不正による情報漏えいに係る企業の課題認識、対策状況、マネジメント体制などの実態を把握するとともに、今後必要とされる有効な施策立案について調査を実施した

【成果】

情報漏えいに係る内部不正防止対策および体制整備が進展しておらず、特に中小企業などにおいて対応の遅れが顕著であることが課題として導出された

2023

内部不正防止対策・体制整備等に関する中小企業等の状況調査」(以下、2023年度調査)

【実施事項】

2022年度調査の課題に沿った改善策に関する中小企業の状況を把握し示唆を抽出するため、経営者の意識、基本方針の策定状況、組織体制の整備状況、対策の実態、企業の取り組み事例などの実態調査を実施した

【成果】

改善策の実施状況や関連する好事例を明らかにし、現状を改善するための今後の方向性を示した

各年度の調査概要説明資料をもとにNTTデータ経営研究所が作成

当社は2021年度よりIPAの依頼を受けて実態調査の支援を行っており、情報漏えい防止や内部不正対策の最新動向を追い続けている。2022年度調査については、3回にわたり「経済産業省とIPAの新しい取り組みに見る情報漏えい/内部不正対策の新潮流~」というシリーズで、各テーマに沿った報告を独自に行った(下記参照)。

本レポートは2回にわたり、2023年度調査結果について解説する。第1回では、同調査結果の分析から当社が重視した結果を抽出し、それらから得られた示唆を示す。第2回では、主題である「サプライチェーン全体における内部不正防止対策・体制整備の底上げに向けた提言」について解説する。

1. IPA2023年度調査の概要

目的

IPAはこれまで、企業経営において重要な課題である秘密情報の管理・保護に関する実態調査を通じて、「守るべき情報資産の認識不足」や「内部不正防止対策の遅れ」など、さまざまな問題点を明らかにしてきた。特に中小企業においては、以下の課題が顕著にみられる 2

  • 内部不正防止が「重要な経営課題」として認識されていない
  • 営業秘密が各社の業務に依存しているため、その定義が難しく、守るべき情報資産を特定できていない
  • サイバーセキュリティ対策は行っているものの、内部不正対策は後手に回りがちである

このような背景を踏まえ、2023年度調査は、これらの課題に対する中小企業の状況を把握し、示唆を抽出することを目的として実施された。

調査の調査・分析方法

2023年度調査では、中小企業の状況を把握し比較するために、大企業も含めた内部不正防止対策や体制整備などの現状について調査が実施された。なお、本調査では常用従業員数300人以下を中小企業、301人以上を大企業と定義している。また、2022年度調査で効果が確認された調査フレームワークが引き続き採用されている(図表2)。

【図表2】調査の実施プロセス

content-image

出典:2023年度調査概要説明資料

さらに調査から中小企業の課題を理解し、改善策を見いだすための具体的な視点として、全体で7つの共通のテーマ(調査軸)が設定された。特に調査軸(6)は、中小企業に焦点を当て、調査軸(1)~(5)の視点を適用して調査が行われた。

(1)経営課題の改善

(2)重要な秘密の特定と取扱いの改善

(3)組織体制・連携に関する課題の改善

(4)社員教育とリテラシー構築に関する課題の改善

(5)対策実施に関する課題の改善

(6)中小企業の構造的課題の改善

(7)ガイドラインの利用と実践に関する課題の改善

2. 2023年度調査結果の詳細

一般的に、内部不正による情報漏えい防止策はサイバーセキュリティ確保と比べて後回しにされる傾向がある。特に中小企業は、リソース不足が原因で対策がさらに劣後されやすい傾向にある。過半数の経営者や責任者は内部不正とサイバー攻撃の両方を事業リスクとして懸念しており、これらのリスクへの認識はもはや珍しいものではなくなってきている。しかし経営者が関心を持ち、組織全体の基礎知識と理解を底上げし、主体的に取り組まないと、対策の実効性を高めることは難しいのが実状である。以下に調査結果の詳細について、大企業と中小企業の特性を踏まえ対比しながら解説する。

調査軸(1)経営課題の改善

秘密情報漏えい/内部不正防止の取り組みは、大企業と比較して中小企業は遅れている。中小企業はその規模ゆえに、経営者の意向が組織全体に浸透しやすく、対策を迅速に適用できる可能性を有している。そのため、経営者が秘密情報漏えい/内部不正防止に関心を持ち、リーダーシップを発揮することが、対策の実効性を高める上でとても重要である。

■リスクに対する経営者の意識醸成

秘密情報の漏えいに関して懸念されるリスクの上位3つは、「誤送信/可搬媒体の紛失(不注意、ミス)」(59.1%)、「サイバー攻撃」(50.6%)、「中途退職者の悪意」(50.0%)となっている。この結果から多くの経営層や責任者が内部不正とサイバー攻撃の両方を危惧していることが分かる(図表3 赤枠)。しかし、中小企業ではこれらのリスク認識に関する数値が大企業よりも低く(図表3 黄枠)、経営者のリスク認識が相対的に低い傾向がみられる。

一方、大企業においても、経営者の秘密情報漏えいに対するリスク認識は十分とはいえず、一部の項目を除いて依然として課題が残っている。したがって、経営者自身がリスクについて率先して学び、対策を推進することが引き続き重要な課題であると考えられる。

【図表3】経営者の秘密情報漏えいに関するリスク認識

content-image

出典:2023年度調査概要説明資料

■経営者のリーダーシップ

秘密情報漏えいに繋がる内部不正防止に関して、経営層が一般従業員または関連部門との対話の場を設けている企業は、全体の過半数に達しており、経営層によるリーダーシップの発揮が広く浸透しているといえる。しかし、企業規模が小さくなるほど経営層が一般従業員や関連部門との対話の場を設けている割合は低くなっている(図表4 黄枠)。下記図表4に基づき、大企業全体と中小企業全体に分けて集計し直すと、大企業では52.4%が対話の場を設けているのに対し、中小企業ではその割合が45.2%にとどまっている。

中小企業ではその規模の特性から、経営者などが自分の考えを全社に繰り返し伝えることで、その熱意が全社に浸透やすく、従業員のあるべき行動に繋がりやすい傾向がある。しかしながら、実際にはこの利点を十分に活用できていないことが課題として考えられる。

【図表4】秘密情報の漏えいに繋がる内部不正に関する対話の機会の設置

content-image

出典:2023年度調査概要説明資料

秘密情報漏えい/内部不正防止対策においては、大企業と中小企業では適切なガバナンスの構築方法が異なると考えられる。中小企業では、経営者の認識が全社に浸透しやすい環境であるため、まず経営者がリスク認識を高めることが重要である。その上で、経営者が主導し、従業員との対話の場を設けることが効果的である。

一方、大企業では、その規模から全社的な秘密情報漏えい/内部不正防止のガバナンスおよび態勢の構築が効果的である。なお、組織体制・連携に関する課題の改善については調査軸(3)で詳しく解説する。

調査軸(2)重要な秘密の特定と取扱いの改善

調査結果によると、若干の例外はあるが、従業員数が少なくなるほど、個人情報以外の秘密情報の特定・格付け 3・表示 4 に関する取り組みの実施率が低下する傾向がある。従業員数が50人以下の企業では、秘密情報特定のために基準・運用ルールを定めている割合が約32%にとどまり、少数派となっている(図表5 赤枠)。このため、中小企業では秘密情報を特定するためのルール作りを強化する必要がある。

一方、秘密情報の格付け・表示の実効性を高める取り組みは、大企業であっても実施状況が十分とはいえず、社会全体で底上げを図る必要がある(図表5 黄枠)。

3 企業や組織が取り扱う技術情報、営業機密、個人情報について、主として漏えい事故などが起きないかどうか、そのセキュリティのレベルを示す指標

4 秘密情報を誰が目にしてもその正しい取扱方法(格付け)・開示範囲・所有者等がすぐに分かるように、秘密情報の冒頭・各ページ等にこれらの情報を明示すること

【図表5】個人情報以外の秘密情報の特定と格付けの実効性を高めるための取組

content-image

出典:2023年度調査概要説明資料

次に、秘密情報の格付け・表示の実効性について、「従業員が格付けの表示等によってほぼ漏れなく秘密情報を認知できる」とした企業の割合を下記図表6に基づき、大企業全体と中小企業全体に分けて集計し直した結果、大企業では38.7%にとどまり、中小企業では21.8%にとどまっている。この結果から、大企業においても格付け・表示の実効性は決して十分でないことが分かる。また、中小企業ではさらに遅れているという実状がうかがえる(図表6 黄枠)。

【図表6】秘密情報の格付け表示の実効性

content-image

出典:2023年度調査概要説明資料

調査軸(3)組織体制・連携に関する課題の改善

調査結果によれば、内部不正への対応についての責任の所在が定められている企業は82.4%に達している。つまり、大半の企業で内部不正防止の責任の所在が明確にされているといえる。その中でも「経営層が主体的に対応する」企業が最大の割合(28.6%)を占めている。一方で、「インシデント対応を現場組織が対応する」企業の割合は4%にとどまっている(図表7参照)。

【図表7】内部不正防止における責任・権限の取り決め状況

content-image

出典:2023調査報告書

さらに、内部不正に対応する経営層や組織は、平時に関連部門と連携し、自部門だけでは対処しきれないコンプライアンス・ガイドラインなどの専門知識や助力を得ている(図表8参照)。

【図表8】内部不正に対応する組織の連携状況

content-image

出典:2023年度調査概要説明資料

一方、中小企業では、経営者を責任者とし、その下にシステム、総務・人事、教育、内部監査などを担当する幹部が集まって委員会を設置するなどの事例はあるものの、組織の連携は必ずしも十分とはいえない。また、内部不正には予防に加えて、兆候や不審な挙動をできるだけ早く把握することが求められる。このため、秘密情報の不自然な扱いを目撃した際には、迅速かつ適切に報告・通報できる仕組みを整備することが重要である。しかし、こうした仕組みの整備は大企業でも不十分な部分があり、特に全社責任者や経営層へのエスカレーション 5 に課題がみられる。

また中小企業では、常用雇用者数が50人以下の場合に内部通報体制やルールの整備が顕著に遅れている(図表9 赤枠)。経営者と従業員が直接顔を合わせるため、性善説に基づく管理になりがちであり、これが対応の遅れに影響を及ぼしている可能性がある。

5 問題や課題が発生した際に、それをより高いレベルの管理者や責任者に報告し、対応を求めるプロセス

【図表9】内部不正発生時の報告ルート

content-image

出典:2023年度調査概要説明資料

調査軸(4)社員教育とリテラシー構築

個人情報のみならず、秘密情報についてもその内容と保護に関する知識を組織全体に浸透させる必要がある。また事業や経営における秘密情報の重要性や価値、漏えいや毀損などが発生した場合の影響や損害について、従業員が正しく認識することが求められる。調査の結果によれば、約8割の企業で秘密情報などの保護が個人情報保護と同じように重要であることを周知し、教育していることが確認できた(図表10参照)。

【図表10】個人情報以外の秘密情報の重要性の周知状況

content-image

出典:2023年度調査報告書

■秘密情報の特定と格付け:大企業と中小企業の実施状況と課題

秘密情報の特定と格付けについては、社内規程などでルールを定め、従業員に意識を浸透させることが重要である。その上で、従業員がこの知識や意識に基づいて行動し、格付けの表示から秘密情報であることを正しく認識できるようになることが求められる。調査結果によれば、大企業では秘密情報の特定と格付けに関する全社基準の周知・教育が進んでおり、従業員数が1,000人を超える企業では、その実施割合が50%以上に達している(図表11 赤枠)。

一方で、前述のとおり「従業員が格付けの表示などによってほぼ漏れなく秘密情報を認知できる」とした企業の割合は大企業でも38.7%にとどまっている(調査軸2参照)。このことから、秘密情報の特定と格付けの全社基準を定期的に周知するだけでは、従業員が格付け・表示の実効性を十分に理解できているかは少々疑わしいといえる。

中小企業に焦点を当てると、秘密情報の特定・格付けに関する周知・教育の実施割合は、大企業に比べて明らかに劣後している(図表11 黄枠)。しかし大企業においても、秘密情報の格付け・表示の周知・教育による従業員への浸透(十分な理解)と実践には課題が残っており、中小企業での実践と実効性確保は非常に難しい問題であると考えられる。

【図表11】個人情報以外の秘密情報の特定と格付けの全社基準を周知・教育

content-image

出典:2023年度調査概要説明資料

■従業員のリテラシー構築の課題と改善策

従業員のリテラシー構築に関しては、前述したとおり、ただ教育を行うだけでは必ずしも実効性を確保できないことが問題となる。例えばe-Learningによる教育では、テーマに関する資料や動画を見た後に理解度を確認するためのテストを実施することが一般的である。

しかし、2022年度調査では、受講する従業員が解説される法規制・規定・対策などの背景にある理由まで理解できていないため、なぜ行動しなければならないのか十分に把握できず、実際の行動には繋がりにくいという結論が導出されている。そして、この状況を改善するためには、有識者から以下の方策が有効であると指摘されている。

  • 社内外の事件/インシデント/ヒヤリハットを事例として取り上げて解説すること
  • e-Learningにとどまらずグループディスカッション、再発防止教育用のコンテンツ(動画など)の制作&閲覧(視聴)、定期的なルール遵守のセルフチェックなどを取り入れること

さらに有識者からは、法規制・規定・ルールなどについて、「何をしてはいけないのか」、違反した場合に「どのような罰則が課されるのか」、そして「会社の事業にどのようなインパクトを被るのか」を周知・教育することが有効であるという指摘もある。この指摘は次の観点から重要であると考えられる。

  • 自分の違反行為・不正などが自分にどのような損失や罰をもたらすのかを具体的に認識できる
  • 自分の違反行為・不正などが自社の事業にどのようなインパクトを与えるのかを具体的に認識できる
  • 上記を認識することで、従業員に対して、違反行為・不正などを行うことへの抑止力が働く
  • 違反行為・不正などの内部不正防止への貢献が職場に良い影響をもたらし、事業の発展に繋がっていると認識できることで、従業員のモチベーションが向上する

特に営業秘密の侵害については、有識者から「刑事罰が非常に厳しく、両罰規定で会社も罰せられるリスクがあるため、経営層をはじめとして情報システム担当者やその他の従業員にこの事実を教育・警告すべきである」との意見が寄せられている。

以上を踏まえると、内部不正にあたる違反行為や罰則の周知の意義は明確だが、実際にこの周知を実施している割合は従業員数が減るほど低下する。中小企業では、秘密情報などに関連する違反行為を周知している企業は半数に満たない。一方、大企業では6割以上が周知しているという調査結果が示されており、企業規模による違いが際立っている(図表12参照)。

【図表12】内部不正にあたる違反行為や罰則の定めの周知

content-image

出典:2023年度調査概要説明資料

調査軸(5)対策実施に関する課題の改善

秘密情報の漏えいに繋がる内部不正防止対策としては、現状、「会社などへの不満・鬱憤を蓄積させない職場環境の整備」、「雇用開始/終了時の秘密保持義務契約や誓約書の提出」、「人的ミスへの十分な注意指示・徹底」に重点が置かれており、これらを実施している企業の割合が5割を超えている(図表13 赤枠)。

一方で、多数の秘密情報が扱われる「重要プロジェクトへの参加/離任時の秘密保持義務契約や誓約書提出」は効果が見込まれるものの、実施している企業の割合は25.6%にとどまっている。また「社内システムなどのログの定期的な確認」は、内部不正を早期に発見するために重要だが、実際に内部不正の兆候を確認している企業は36.2%に過ぎない。会社が従業員のログを定期的に確認していることを従業員に周知することで、内部不正を抑止する効果が期待できるため、この点も踏まえて対策を検討すべきである。

クラウドサービスの利用やテレワークの拡大により、秘密情報を社外で取り扱う機会が増加している。このため、秘密情報を不必要に社外に持ち出さないことが重要になる。しかし、これに関する規定を定め、周知・徹底している企業は32.4%に過ぎない。昨今、クラウドサービスの設定ミスやVPN機器の脆弱性が多発していることを考慮すると、この割合は大幅に引き上げていく必要がある(図表13 青枠)。

【図表13】内部不正防止に特有の対策の取り組み状況

content-image

出典:2023年度調査概要説明資料

中小企業では、要員やリソースの不足から、内部不正防止に特有の対策の実施は後回しになっている。この現状を踏まえ、有識者からは「サイバーセキュリティと内部不正防止で共通する対策を適用しながら、限られた要員やリソースを効率的に活用すべき」という意見があった。具体的には、守るべき資産やリスクの違いに応じて、足りない部分にリソースを集中させるなどが挙げられる。

3. 中小企業における先進的な取り組み事例 ~先進的な中小企業へのインタビュー結果から~

2023年度調査では、優れた秘密情報管理を実践している8社の先進的な中小企業に対してインタビュー調査を実施し、秘密情報漏えい/内部不正防止に関する好事例を抽出して整理した。その結果、先進的な中小企業では情報資産台帳を作成し、秘密情報管理を徹底しているという共通点が判明した。全社での情報資産台帳作成に至る過程には、下記2つのアプローチがある。

  • 情報管理に関する認証取得(経済産業省の技術情報管理認証、ISMS認証、プライバシーマークなど)
  • 営業秘密管理の導入

いずれの過程においても、経営者が秘密情報管理の重要性を自ら理解し、率先してその推進に尽力した点が共通していた(図表14参照)。また情報管理に関する認証取得では、認証制度が要求する管理基準が営業秘密管理の導入ではアドバイザーが蓄積する管理ノウハウが、それぞれ情報資産台帳を作成する基盤となっていたことも明らかになった。

全社での情報資産台帳が完成すると、会社にとって重要な営業秘密がリストアップされ、それを保護する活動に従業員が貢献していることが可視化される。これにより、従業員は自身の業務が会社の重要な活動に貢献しているという認識と満足感を持ち、経営者はさらに優れたリーダーシップを発揮できるようになる。

【図表14】秘密情報漏えい/内部不正防止体制、対策を強化する方法

content-image

出典:2023年度調査報告書に基づき、NTTデータ経営研究所が作成

まとめーサプライチェーン全体における取り組みの底上げに向けてー

これまで述べたように、秘密情報漏えい/内部不正防止に関する大企業と中小企業の取り組みには、実態としてかなりの差がみられる。この差を対比することで、サプライチェーン管理において、大企業は中小企業(サプライヤーや委託先)に何を求めるべきか、またサプライヤーや委託先は大企業と何についてコミュニケーションを取り、協力を図るべきかを分析できる。第2回では、この分析に基づき、秘密情報漏えい/内部不正防止に関するサプライチェーン管理をどのように実施すれば良いのかについて整理し、解説する。

お問い合わせ先

株式会社NTTデータ経営研究所

金融政策コンサルティングユニット

シニアコンサルタント  岡田 明子

エグゼクティブスペシャリスト  三笠 武則

お問い合わせ先は こちら

TOPInsight経営研レポート経済安全保障で重視されるサプライチェーン全体の秘密情報管理と内部不正防止 第1回