ニュース

内部情報漏えいは“不正のトライアングル”で起こる、まずは現状確認を

 株式会社ベネッセコーポレーションの顧客情報漏えい事件を受け、独立行政法人情報処理推進機構(IPA)は10日、内部不正防止の社内ルールを策定する重要性について、改めて呼び掛けを行った。

不正対策チェックリストの例

 ベネッセでは9日の時点で、グループ外の内部関係者が漏えい元であると推定している。外部ネットワークからのハッキングではない、内部関係者による情報漏えいは従来から多発しており、IPAでは2013年3月の時点で対策ガイドラインを策定。一般企業などが利用できるよう、広く公開している。

 ガイドラインでは、10分類・全30項目のチェックシートを元に、現状をまず把握することが重要だと説明。「基本方針を策定しているか」「内部不正対策の総括責任者を任命しているか」などの項目があり、これらを経営者、情報システム部、総務部などの各業務部門が遵守しているか、確認できるようにした。

 ガイドラインの詳細な解説文書およびチェックシートは、IPAの公式サイトからPDFファイルでダウンロードできる。

 IPAでは、内部不正が発生する要因として、“不正のトライアングル”がそろうことを挙げている。「動機・プレッシャー」「機会」「正当化」の3つで構成され、これらの要因を低減させることが、不正防止に有効という。

 3要素のうち「動機・プレッシャー」「機会」については、企業側の努力によって能動的にコントロールできるとしており、具体的には情報アクセス権限付与や機器持ち出しに関するルールの徹底・監視などがある。

(森田 秀一)