IPA(情報処理推進機構)は5月30日、2023年度「内部不正防止対策・体制整備等に関する中小企業等の状況調査」報告書を公開した。
この調査は、「中小企業(従業員300人以下)等の内部不正防止対策および体制整備が進展していない」現状を踏まえて、改善のための方向性を探るためのもの。
調査は、Webアンケートと企業および有識者へのインタビューなどで実施され、Webアンケートの有効回答数は1248件。
IPAでは2022年度にも同種調査を実施し、中小企業で内部不正防止が顕在化する要因は「中小企業のリソース不足」と「対策の優先度の判断が後手に回る点」を指摘したが、今回の調査結果からは「中小企業における対策推進のファーストステップ」として、以下の3点を挙げている(引用は同報告書)。
(1)中小規模を逆手に取ったリーダーシップ発揮や訓示の活用
「中小企業における経営層の意識やリーダーシップが持つ意味は大変大きい。そうした意識のもと、リーダーシップを発揮し、リスクや対策優先度の判断を行い内部不正対策強化の推進力とする」
「さらに、中小企業では経営者と従業員の距離が近く、経営層のメッセージが響く。そこで朝礼や全社集会等を活用し、全従業員に、内部不正対策の経営方針や判断、蓄積した知見を直接伝える」
(2)リソース節約型の部門連携
「内部不正防止に特化したリスク管理体制がない場合でも、情報システム/セキュリティ部門が内部不正防止で必要とされるIT技術面をカバーし、総務・人事部門が内部不正防止体制をカバーするように指向し、少ないリソースで専門管理部門設置と同等の効果を期待する」
(3)最小限の内部不正対策付加
「サイバーセキュリティ対策でカバーできない内部不正特有の対策等は、ある程度実施されている既存のサイバーセキュリティ対策に上乗せすること(共通の対策を適用しつつ、守るべきものとリスクの違いに応じて足りないところを補うのみとする)が、効率的かつ効果的」
報告書は全174ぺージ。ほかに「概要説明資料」があり、そちらは全62ページ。
主な調査・分析結果は以下の通り。
◎ 中小企業では、経営層の秘密情報漏えいに関するリスク認識が全体平均と比べて全般に低い。しかし、組織が小さい分、経営層のリスク認識さえ上がれば、全社の状況を一変させやすい環境にはあるので、中小企業では経営層の意識を高めることが非常に重要になる。
◎ 企業規模が小さくなるほど、秘密情報の漏えいにつながる内部不正に関して、経営層と一般従業員・関連部門の対話を設けているとする回答割合が下がる。現状を踏まえると、この利点をより積極的に活かすことが望ましい。
◎ 中小企業では秘密情報の格付け表示が実効性を持って実施されている割合が全体平均と比べて低く、従業員が内容を見なくても秘密情報であると認識できる状況とは言い難い。
[i Magazine・IS magazine]