独立行政法人情報処理推進機構(IPA)は5月30日、2023年度の「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書を公開した。これまでの調査により明らかになっている課題に対し、改善策に関する中小企業の状況を把握し示唆を抽出することを目的として実施した調査をまとめている。
調査結果によると、内部不正防止の基本方針を別建てで定めているところは、特に従業員数が100人以下の企業で全体平均と比べて格段に少なく、割合は42~44%と半数以下であった。
また、秘密情報の格付け表示が実効性を持って実施されている中小企業の割合は22%前後と全体平均と比べて低く、従業員が秘密情報か否かを中身を見ずに認識できる状況とは言い難い現状も明らかになっている。
これらの結果から、IPAでは中小企業の対策推進のファーストステップとなりうる示唆として「中小規模を逆手に取ったリーダーシップ発揮や訓示の活用」「リソース節約型の部門連携」「最小限の内部不正対策付加」を挙げている。
例えば、中小企業は経営者と従業員の距離が近いため、朝礼や全社集会などで全従業員に内部不正対策の経営方針や判断、蓄積した知見といった経営層のメッセージを直接伝えることができる。
また、先進的中小企業へのインタビュー調査から得られた、中小企業の内部不正防止に役立ちそうな示唆や好事例として、以下を挙げている。
1:取りかかるきっかけを生かす
経営者が自ら主導して技術情報管理やISMS等の可視化しやすい認証を取得すること等が秘密情報漏えい・内部不正リスクを重要な経営課題として認識するための契機となりうる。未導入であれば情報資産台帳を用いた秘密情報管理の導入も同時に期待できる。
2:小回りの利く機動力を生かす
経営者が自ら戦略を語り、基本方針を周知徹底し、自身の想いを伝えることで従業員に対するリーダーシップを発揮し、中小企業ならではの機動性を生かしながら、事業リスクの判断や秘密情報の特定・格付けをスピードアップさせることが有効。
3:風通しの良さを生かす
社員が少数という中小規模ならではの風通しの良さ、顔の見える人間関係を生かし、内部不正防止のための監視・報告体制整備に際しては、その意義をじっくり説明しながら構築し、唐突な体制整備による不信感を抑止することが有効。
報告書では、インタビューなどにより聴取できた多岐にわたる取り組みや事例も記載しており、中小企業等の参考になると考えられる。
