IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説 | ScanNetSecurity
2024.03.19(火)

IPA「内部不正防止ガイドライン」第5版改訂ポイント NTTデータ経営研解説

NTTデータ経営研究所は、経営研レポート「経済産業省とIPAの新しい取り組みに見る情報漏えい/内部不正対策の新潮流」の第2回「近年の環境変化に則した内部不正対策の指針改訂」を公開した。

調査・レポート・白書・ガイドライン
ガイドライン第5版における主要な改訂ポイントと改訂項目の関係図
  • ガイドライン第5版における主要な改訂ポイントと改訂項目の関係図
  • 内部不正対策の主たる構造

 株式会社NTTデータ経営研究所は5月23日、経営研レポート「経済産業省とIPAの新しい取り組みに見る情報漏えい/内部不正対策の新潮流」の第2回を公開した。同社金融政策コンサルティングユニットのエグゼクティブスペシャリストである三笠武則氏、同マネージャーである鈴木聡史氏が執筆した。

 第1回では、前回の改訂から5年以上を経過した「秘密情報の保護/内部不正防止の指針」の改訂について説明した。第2回では、「近年の環境変化に則した内部不正対策の指針改訂」として、情報処理推進機構(IPA)の「組織における内部不正防止ガイドライン」第5版(2022年4月公開)に焦点を当てている。

 同ガイドラインは、電子化された重要情報(当初は主に個人情報)を漏えいさせるメール誤送信などのミスを含む内部不正の防止を目的に、2013年3月に策定・公開された。その後の改訂を経て、2017年1月に第4版が公開されていた。

 第5版は、第4版公開からの5年間における重要な社会環境の変化によって、対象を主に個人情報に絞っていたガイドラインが実態に合わなくなっていたことを受け、大幅な改訂が行われている。

 重要な社会環境の変化として、コロナ禍に伴うテレワークなどの働き方変革とクラウド利用の拡大、サプライチェーン攻撃の急激な深刻化、雇用の流動化に伴う秘密漏えい事件の増加、セキュリティ対策技術の急速な進展、不正競争防止法や個人情報保護法の改正、そして漏えいから守るべき重要な情報の認識が営業秘密やビッグデータへ拡大したことなどを挙げている。

 こうした変化を受けて、第5版では多くの改訂がなされている。例えば、事業経営を担う経営層のリーダーシップ発揮の重要性が高まっていることから、経営層に向けてより強いメッセージを伝えることができるように改訂された。これには、個人情報だけでなく、重要技術情報、営業秘密、重要なビッグデータなどにも十分な注意を払うことも加えられ、これらの保護に関する教育も推奨している。

 環境の変化では、急速なテレワークへの移行とクラウド利用を挙げている。これらにより、重要なデータが社外に持ち出されたり、デジタル化されてクラウド上で扱う機会が増えた。そこで第5版では、重要な秘密へのきめ細かなアクセス管理、エンドポイントのセキュリティ強化、ゼロトラストの概念の適用等を新たに推奨し、技術的観点からの対策強化を求めると同時に、監視とプライバシー保護の適切なバランスに関する指針を提示している。

 レポートでは、「経営者に向けたメッセージとして新たに組み入れられた事項」、「ガバナンスとコンプライアンス」、「技術・運用管理」、「原因究明と証拠確保、事後対策」、「教育、人的管理」、「テレワークに関する対策の追記」に分け、同ガイドラインの改定箇所を丁寧に解説している。

《吉澤 亨史( Kouji Yoshizawa )》

編集部おすすめの記事

特集

調査・レポート・白書・ガイドライン アクセスランキング

  1. NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

    NRIセキュア「企業における情報セキュリティ実態調査 2023」公表、日本の生成 AI 導入済企業 18.0%

  2. 経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

    経済産業省「攻撃技術情報の取扱い・活用手引き」と「秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文」を策定

  3. マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

    マルウェアが OpenAI の認証情報窃取、約 68 万 8,000 件をダークウェブ等で発見

  4. 日本の人材不足 10年進歩なし ~ NRIセキュア「情報セキュリティ実態調査2022­」

  5. 7月のフィッシング報告状況、「.cn ドメイン」のフィッシングメールを多く確認

  6. 初の一兆円超え、2024年国内セキュリティ市場 ~ IDC 予測

  7. JSSEC、スマホアプリ開発者向けに網羅性の高い実施規範公開

  8. BEC事例から実際の手口を紹介--J-CSIP運用状況(IPA)

  9. JIPDEC「個人情報取扱い事故報告」2022年版、最多原因「手順やルールに違反した作業や操作」

  10. NRIセキュア 日米豪セキュリティ実態調査発表、日本は生成 AI 導入率も低迷

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×