「情報セキュリティマネジメント試験」(セスペ)でよく取り上げられる「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/fy24/reports/insider/) の職場環境、事後対策、組織の管理の観点に含まれる内部不正対策(23)から(30)までの7項目を見ていきます。
(23)誓約書の要請
【概要】
- 役職員に対して重要情報を保護する義務があることを理解させるために「秘密保持誓約書」等の提出を要請する。
【想定されるリスク】
- 重要情報を保護する義務があることの意識付けができない。
- 内部不正を犯した役職員に対する解雇等の懲戒処分が、不当処分との訴えにより無効となる恐れがある。
【補足】
「秘密保持誓約書」に関しては、入社時だけでなく、特定の機会(昇格、配置転換等による業務の変更やプロジェクトの終了時)に誓約書を要請することが望まれます。誓約書のサインは、心理的な抑止効果にもつながります。
(24)公平な人事評価の整備
【概要】
- 公平で客観的な人事評価を整備するとともに、業績に対する評価を説明する機会を設ける。
- 必要に応じて人員配置及び配置転換等を行い、適切な労働環境の整備を推進する。
【想定されるリスク】
- 不平や不満を要因とした職場環境の低下を招き、内部不正を誘発する可能性がある。
- ある役職員が特定の業務を長期間にわたって担当し続けると、その役職員のみが重要情報を扱う状態になり、重要情報を不正に利用される可能性が高まる。
(25)適正な労働環境及びコミュニケーションの推進
【概要】
- 業務量及び労働時間の適正化等の健全な労働環境を整備する。
- 職場内において良好なコミュニケーションをとる。
【想定されるリスク】
- 業務量及び労働時間が健全な労働環境が整備されていないと、負荷軽減や作業時間短縮を目的とする内部不正を行う可能性がある。
- 良好なコミュニケーションが十分でない場合に、業務への悩みやストレスから内部不正が発生する恐れがある。
(26)職場環境におけるマネジメント
【概要】
- 他の役職員が不在で相互監視ができない環境における単独作業を制限する。
【想定されるリスク】
- 単独作業は相互監視のできない環境であり、内部不正が発生する可能性が高くなる。
【補足】
過去問(平成18年春SV午後Ⅱ問1)を見てみましょう。
IPAの解答例は、以下です。
- 責務の分離
-
- データベース管理作業、システム管理作業などの単位で、作業実施に必要な権限を、異なる管理作業実施者に分離して与える。
- 一つのシステム管理業務を異なる担当者で分担実施することによって、相互監視、相互抑制が働くようにする。
- 一つのシステム管理業務の実行を一人の担当者で完結させず、別の担当者による確認や上位権限保有者による承認が必要な体制にする。
このように、単独作業を制限し、複数人による相互監視ができるような状態で作業をさせるべきです。