チェック項目で弱点克服、内部不正の防止策：セキュリティ強化塾（3/5 ページ）

基本方針

図4 基本方針の記述例（出典：IPA）

　基本方針の作成は、経営者が内部不正防止を経営課題として捉え、最高責任者として重要情報の保護、管理の徹底、実施体制の統括を行う主体となることの表明だ。ひな型はIPAより提供される図4を参考にするとよい。

秘密の指定（情報の格付けとアクセス管理）

　基本方針に従い、情報資産の重要度を格付けする。格付けが難しければ、保護対象とするか否かの2段階でもよい。保護対象の情報の中で取り扱いに差をつけるべきものがあれば、さらに詳しく仕分けして格付けしてもよい。ただし4区分程度を超えると管理が煩雑になる。

　秘密にすべき情報は顧客情報はじめ営業情報、設計情報、技術情報などさまざまな種類があり、部門ごとに異なる。機密を要する情報であっても、取引先と共有することで生産性が上がることもあるので、取り扱いルールが異なる場合が多い。

　また一、部製品情報は販売開始のタイミングで秘密ではなくなるように、一定の時間や条件のもとで秘密のランクを変更する情報もある。重要度ランクの管理には管理者が必要だ。

　情報には重要度ランクをラベル付けし、それに触れる誰もが機密情報は機密情報として認識できる必要がある。これをしておかないと、ウッカリ持ち出しやコピーが起きても、責任を追及し、処罰できないことになるので要注意だ。

　電子文書の場合は、格付けに応じて文書管理ツールやIRMツールなどによる文書保護機能が使える。DLPツールでは機密文書の条件を設定すると自動的に社内文書に格付けに応じた「タグ」を付けることも可能だ。紙の場合には適切なファイリングとラベルづけ、鍵のかかる部屋やロッカーなどセキュリティ強度に応じた保管場所選びが必要だ。

　情報へのアクセス権限は役職や職種などによって従業員それぞれに適切に割り振る必要がある。特に退職者や異動による職務の変更には注意が必要だ。人事管理システムと連携するアクセス権限の管理が大切だ。アイデンティティー管理やID管理ツールが役立つ。

　なお、重要な作業時には、特定の人に作業の権限が集中しないようにし、また単独作業が行える機会をなくすことが求められる。冒頭の銀行の事件のように、1人が他の監視の目がないところで単独作業が可能な環境で内部不正は起こりやすい。必ず2人以上で相互監視しながら作業できるようにするか、作業の事前申請を行い、上司の確認や承認の下に作業し、作業後は作業内容の確認、申請内容との違いがないかのチェックが行える体制が望ましい。

物理的管理

　機密情報保管場所への入退管理や、PCなどのモバイル機器、USBメモリなどの記憶媒体の持ち出し管理、持ち込み制限といった物理的管理も実施する必要がある。

技術、運用管理

　ネットワークを利用したファイル共有やSNS、外部オンラインストレージの利用には、機密情報が漏えいしないようにサービス業者のセキュリティ対策を確認した上で、情報を暗号化したり、利用できる情報の範囲を決めたりといったリスク低減策が必要だ。また、情報廃棄や消去に関する技術面と運用面での厳密なルールが必要だ。

証拠保全対策、ログ管理

　証拠保全は内部不正の原因特定や不正行為者の追跡、影響範囲の調査、処罰の検討などのために重要だ。