9月26日、独立行政法人情報処理推進機構(IPA)は、「組織における内部不正防止ガイドライン」を改訂しました。
本改訂は、2014年に入ってからベネッセ事件といった退職者、従業員および業務委託先関係者による情報流出事件が発生したことにともなうものです。

プレスリリース http://www.ipa.go.jp/files/000041997.pdf
主な改訂内容 http://www.ipa.go.jp/files/000041998.pdf
本文  http://www.ipa.go.jp/files/000041054.pdf

1.経営層によるリーダーシップの強化

経営者が自らの責任で行うことの強い意識を持ちリーダーシップを発揮することが必要であるため、経営層の責任を明確化しました。

  • 経営層の責任をより明確にし、組織の経営戦略に則って内部不正対策の基本方針と、必要なリソースの配分を行い、対外的な説明責任も負っていくこと
  • 重要情報保護の専門部署の設置の検討
  • 責任者・担当者に必要な能力の確保(外部専門家の採用、研修等の実施)
  • 経営者は、「基本方針」に基づき対策の実施のためのリソースが確保されるよう、必要な決定、指示を行わなければならない。

2.情報システムの管理運用の委託における監督強化

業務委託先のセキュリティ対策・体制が、扱う情報の重要度に相応かどうかを契約前、契約中にも確認・評価することを追加しました。

  • 業務委託に際し、委託先の情報セキュリティ対策、体制に対する評価の実施、および業務委託を実施する場合の必要な体制の確保
  • 委託先に対する業務委託中の監督
  • 再委託する場合、委託元への事前承認
  • 内部不正が発生した際の委託元と委託先間の事後対策の連携

 

3.高度化する情報通信技術への対応

高度化する情報通信技術に付随して高まるリスクを確実に把握することが可能な、体制、教育などの人的対策、技術の進展に沿った最適な対策の必要性について強調しました。

  • 技術の進展を常に見据えた継続的な対策の見直し
  • スマートデバイスなどによる情報の持ち出しを抑止する対策
  • 適切なアクセス権限の設定
  • 管理、およびアクセスの監視
  • ログ活用による監視

一連の事件を受けて情報管理規程の作成・見直しを行っている企業が多いと思われますが、今回のガイドラインの改定は参考となるものです。また、業務委託先との契約がガイドラインに照らして問題となっていないか(例えば、委託者側の監督権や再委託の事前承認権が明確に規定されているか)もチェックするべきでしょう。