内部不正防止ガイドラインについてのメモ
不正防止の基本原則
- 犯行でき難しく
- リスクを高める
- 見返りを減らす
- 誘因をを減らす
- 弁明をさせない
犯罪学者の Cornish & Clarke(2003)が提唱した都市空間における犯罪予防の理論。犯罪予防対策を実施すべき 5 つに分類し、更に 25 の犯罪予防技術に細分化しています。内部不正防止ガイドラインは、犯罪予防の考え方を応用し、基本 5 原則としています。
構成
| 不正防止ガイドラインの構成 |
|---|
| 1 章 背景 |
| 2 章 概要 |
| 3 章 用語の定義と関連する法律 |
| 4 章 内部不正を防ぐための管理のあり方 |
| 付録 Ⅰ:内部不正事例集 |
| 付録 Ⅱ:内部不正チェックシート |
| 付録 Ⅲ:Q&A 集 |
| 付録 Ⅳ:他のガイドライン等との関係 |
| 付録 Ⅴ:基本方針の記述例 |
| 付録 Ⅵ:内部不正の基本 5 原則と 25 分類 |
| 付録 Ⅶ:対策の分類 |
内部不正チェックシートは実態チェック、対策すべき点の把握ができます。
関連する法律
- 個人情報の保護に関する法律(個人情報保護法)
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナン
バー法) - 不正競争防止法
- 労働契約法
- 労働者派遣法
- その他 刑法民法労働法理公益通報者保護法
10 の観点から対策
- 基本方針
- 資産管理
- 物理的管理
- 技術・運用管理
- 証拠確保
- 人的管理
- コンプライアンス
- 職場環境
- 事後対策
- 組織の管理
内部不正チェックシート
10 の観点から 30 項目の対策についての内部不正チェックシート
- 内部不正の対策が経営者の責任であることを組織内外に示す「基本方針」を策定し、役職員に周知徹底していますか?
- 「基本方針」に基づき対策を実施するためのリソースが確保されるよう、必要な決定、指示をしていますか?
- 経営者は、内部不正対策の総括責任者の任命及び管理体制と実施策の承認を行っていますか?
- 総括責任者は、基本方針に則り組織横断的な管理体制を構築し、実施策を策定していますか?
- 重要情報を把握し、重要度に合わせて格付け区分し、取り扱い可能な内部者の範囲を定めていますか?
- 重要情報の作成者は、定めた格付け区分を選択し、その選択について上司等に確認を得ていますか?
- 重要情報を含む電子文書には、内部者が分かるように機密マーク等の表示をしていますか?
- 情報システムを管理・運営する担当者は、利用者 ID 及びアクセス権の登録・変更・削除等の設定手順を定めて運用していますか?
- 情報システムを管理・運営する担当者は、異動又は退職により不要となった利用者 ID 及びアクセス権を、ただちに削除していますか?
- 複数のシステム管理者がいる場合は、情報システムの管理者 ID ごとに適切な権限範囲の割り当てを行い、相互に監視できるように設定していますか?
- 情報システムでは、共有 ID や共有のパスワード・IC カード等を使用せず、個々の利用者 ID を個別のパスワード・IC カード等で認証していますか?
- 重要情報の格納場所や取り扱う領域等を物理的に保護するために壁や入退管理策によって保護していますか?
- PC 等の情報機器や USB メモリ等の携帯可能な記録媒体は、盗難や不正持ち出し等がないように管理・保護していますか?
- 情報機器や記録媒体を処分する際には重要情報が完全消去されていることを確認していますか?
- モバイル機器や携帯可能な記録媒体を外部に持ち出す場合には、持ち出しの承認及び記録等の管理をしていますか?
- 個人のモバイル機器及び記録媒体の業務利用及び持込を制限していますか?
- 組織のネットワークは、重要情報を不正に持ち出し可能なファイル共有ソフトや SNS、外部のオンラインストレージ等の使用を制限していますか?
- 委託先等の関係者への重要情報の受渡しは、受渡しから廃棄迄を含めて管理していますか?
- インターネット等の組織外を介す重要情報の受渡しでは、誤って関係者以外に渡ってしまうことも考慮し、暗号化等で保護していますか?
- 組織外部で利用・取り扱い可能な重要情報を限定し、重要情報や情報機器を保護していますか?
- 組織外で重要情報を用いた業務を行う際に、周囲の環境やネットワーク環境等を考慮して保護していますか?
- 委託する業務内容に応じたセキュリティ対策を契約前に確認・合意し、契約期間中にも契約通りにセキュリティ対策が実施されていることを確認していますか?
- 重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を定めた期間に従って安全に保護していますか?
- システム管理者のアクセス履歴や操作履歴等のログ・証跡を記録して保存するだけでなく、そのログ・証跡の内容を定期的にシステム管理者以外が確認していますか?
- すべての役職員に教育を実施し、組織の内部不正対策に関する方針及び重要情報の取り扱い等の手順を周知徹底していますか?
- 教育を定期的に繰り返して実施し、教育内容を定期的に見直して更新していますか?
- 雇用の終了時に秘密保持義務を課す誓約書の提出を求めていますか?
- 役職員の雇用終了時および請負等の契約先との契約終了時に、取り扱いを委託した情報資産のすべてを返却または完全消去し、情報システムの利用者 ID や権限を削除していますか?
- 就業規則等の内部規程を整備し、正式な懲戒手続を備えていますか?
- 役職員に対して重要情報を保護する義務があることを理解させるために「秘密保持誓約書」等を要請していますか?
- 公平で客観的な人事評価を整備するとともに、業績に対する評価を説明する機会を設ける等、人事評価や業績評価の整備を推進していますか?
- 業務量及び労働時間の適正化等の適切な労働環境を整備するとともに、業務支援を推進する体制や相談しやすい環境を整える等職場内において良好なコミュニケーションを組織全体で推進していますか?
- 相互監視ができない環境における単独作業を制限し、単独作業には事前承認、事後確認等の手続きを定めていますか?
- 内部不正の影響範囲を特定するために、事象の具体的状況を把握するとともに、被害の最小化策や影響の拡大防止策を実施し、必要に応じて組織内外の関係者との連携体制を確保していますか?
- 内部不正者に対する処罰を検討し、内部不正の事例を内部に告知することを検討していますか?
- 内部不正と思わしき事象が発生した場合についての通報制度を整備し、通報受付を複数設置し、必要に応じて通報者の匿名性を確保していますか?
- 内部不正対策の項目を抽出し、定期的及び不定期に確認(内部監査等の監査を含む)し、確認した結果は、経営者に報告し、必要に応じて対策の見直しを実施していますか?
対策の分類
| 大項目 | 項目名 |
|---|
| 4-1 基本方針(経営者の責任、ガバナンス) | 経営者の責任の明確化 |
| ^ | 総括責任者の任命と組織横断的な体制構築 |
| 4-2 資産管理(秘密指定、アクセス権指定、アクセス管理等) 4-2-1 秘密指定 | 情報の格付け区分 |
| ^ | 格付け区分の適用とラベル付け |
| 4-3 物理的管理 | 物理的な保護と入退管理 |
| 4-4 技術・運用管理 | 重要情報の受渡し保護 |
| ^ | 業務委託時の確認(第三者が提供するサービス利用時を含む) |
| 4-6 人的管理 | 教育による内部不正対策の周知徹底 |
| ^ | 雇用終了の際の人事手続き |
| ^ | 雇用終了及び契約終了による情報資産等の返却 |
| 4-7 コンプライアンス | 法的手続きの整備 |
| ^ | 誓約書の要請 |
| 4-8 職場環境 | 公平な人事評価の整備 |
| ^ | 適正な労働環境及びコミュニケーションの推進 |
| ^ | 職場環境におけるマネジメント |
| 4-9 事後対策 | 事後対策に求められる体制の整備 |
| ^ | 処罰等の検討及び再発防止 |
| 4-10 組織の管理 | 内部不正に関する通報制度の整備 |
| ^ | 内部不正防止の観点を含んだ確認の実施 |
