HOMEディーシーエヌ コラム



2013/03/26 予防措置

2012年7月の「組織内部者の不正行為によるインシデント調査報告書」に続き
3月25日に「組織における内部不正防止ガイドライン」がIPAより公表された。

昨年の報告書では
  1. インシデント発生による被害が深刻化する中、犯罪目的がこれまでの愉快犯的な行為から、経済的利得や組織活動の妨害へと変化・多様化している。
  2. 内部者による不正行為の対策を検討する上で、犯罪として立件に至らない事例やヒヤリ・ハットに関する事例について情報収集が不可欠であるが、「風評被害が発生する恐れ」や「利害関係者との調整がつかない」等の理由から公開されることが稀であり情報共有も困難である。
  3. したがって、実態が把握されておらず、これまで内部者による不正行為の発生しやすい環境や効果的な対策等の検討が難しい。

として、不正行為の誘発要因やどのような抑止・防止策が不正行為への気持ちを低減させるかについて Webアンケートをもとに取りまとめたものである。

その中で、内部犯行調査で明らかになったポイントとして以下の7点をあげている。

  1. 多くの内部犯行者は悪意ある行動に身を冒す個人的な傾向を有している
  2. 多くの内部犯行者の不満は期待が裏切られたことに端を発する
  3. 処罰や(従業員にとって)好ましくない出来事が破壊行為の発生確率を上げる
  4. 多くの場合、犯行の兆候を示す振る舞いが確認されている。しかしそれらは看過される
  5. 内部犯行者は侵入するため、そして痕跡を隠すために組織の経営層に気づかれぬように裏口を設ける。大半の行為は退職後にその裏口を用いて行われる
  6. 組織は技術的な前兆を見落としている
  7. 物理的、技術的アクセス制御の欠如が破壊行為を容易にする

また、状況的犯罪予防における予防策として

  1. 犯行を難しくする:技術的な対策を強化することで犯罪行為を難しくする
  2. 捕まるリスクを高める:管理や監視を強化することで捕まるリスクを高める
  3. 犯行の見返りを減らす:犯行を難しくするための技術的対策によって、犯行者から適切な目標物を遠ざけることや隠すことが困難な場合に適用
  4. 犯行の挑発を減らす:外部からの挑発による犯罪行為を抑止
  5. 犯罪を容認する言い訳を許さない:犯行者による自らの行為の正当化理由を排除する

さらに25項目の状況的犯罪予防策(セキュリティ対策の例)が示されている。
いわゆる“不正のトライアングル”が成立する状況的な要因を排除することが
有効な手段となることについて事例をもとに検証した報告書となっている。

「組織における内部不正防止ガイドライン」ではこうした調査結果も踏まえ
不正行為の防止や、早期発見と被害の拡大防止も視野に入れた指針となっている。
関連する法令としては、個人情報保護法、不正競争防止法、労働契約法、労働者派遣法
刑法(窃盗罪、横領罪、背任罪等)、民法(契約責任、不法行為責任等)
労働法理(秘密保持義務違反、競業避止義務契約違反)、公益通報者保護法があげられている。

中身としては、情報セキュリティマネジメントシステム(JISQ27001)や
営業秘密管理指針と共通するものも多いが
個々の項目について想定されるリスクや対策のポイントがわかりやすく示されている。
中でも、4-8.職場環境のマネジメントについて触れているところは新しい視点である。
これまで事後対応に関する情報は数多く見てきたが
やはり未然に防ぐことが最善手であることに違いはない。
併せて読むことで共感できる部分も多いのではないかと思う。


このページのトップに戻る