IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

　株式会社NTTデータ経営研究所は5月23日、経営研レポート「経済産業省とIPAの新しい取り組みに見る情報漏えい／内部不正対策の新潮流」の第2回を公開した。同社金融政策コンサルティングユニットのエグゼクティブスペシャリストである三笠武則氏、同マネージャーである鈴木聡史氏が執筆した。

　第1回では、前回の改訂から5年以上を経過した「秘密情報の保護／内部不正防止の指針」の改訂について説明した。第2回では、「近年の環境変化に則した内部不正対策の指針改訂」として、情報処理推進機構（IPA）の「組織における内部不正防止ガイドライン」第5版（2022年4月公開）に焦点を当てている。

　同ガイドラインは、電子化された重要情報（当初は主に個人情報）を漏えいさせるメール誤送信などのミスを含む内部不正の防止を目的に、2013年3月に策定・公開された。その後の改訂を経て、2017年1月に第4版が公開されていた。

　第5版は、第4版公開からの5年間における重要な社会環境の変化によって、対象を主に個人情報に絞っていたガイドラインが実態に合わなくなっていたことを受け、大幅な改訂が行われている。

　重要な社会環境の変化として、コロナ禍に伴うテレワークなどの働き方変革とクラウド利用の拡大、サプライチェーン攻撃の急激な深刻化、雇用の流動化に伴う秘密漏えい事件の増加、セキュリティ対策技術の急速な進展、不正競争防止法や個人情報保護法の改正、そして漏えいから守るべき重要な情報の認識が営業秘密やビッグデータへ拡大したことなどを挙げている。

　こうした変化を受けて、第5版では多くの改訂がなされている。例えば、事業経営を担う経営層のリーダーシップ発揮の重要性が高まっていることから、経営層に向けてより強いメッセージを伝えることができるように改訂された。これには、個人情報だけでなく、重要技術情報、営業秘密、重要なビッグデータなどにも十分な注意を払うことも加えられ、これらの保護に関する教育も推奨している。

　環境の変化では、急速なテレワークへの移行とクラウド利用を挙げている。これらにより、重要なデータが社外に持ち出されたり、デジタル化されてクラウド上で扱う機会が増えた。そこで第5版では、重要な秘密へのきめ細かなアクセス管理、エンドポイントのセキュリティ強化、ゼロトラストの概念の適用等を新たに推奨し、技術的観点からの対策強化を求めると同時に、監視とプライバシー保護の適切なバランスに関する指針を提示している。

　レポートでは、「経営者に向けたメッセージとして新たに組み入れられた事項」、「ガバナンスとコンプライアンス」、「技術・運用管理」、「原因究明と証拠確保、事後対策」、「教育、人的管理」、「テレワークに関する対策の追記」に分け、同ガイドラインの改定箇所を丁寧に解説している。