ＩＰＡ「組織における内部不正防止ガイドライン（第４版）」

ＩＰＡ「組織における内部不正防止ガイドライン（第４版）」２０１７年
（ https://www.ipa.go.jp/files/000057060.pdf）

本ガイドラインは、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的としています。企業等が、内部不正対策の整備を可能とすることを目指したほか、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れた構成としています。

本ガイドラインの構成は、以下のとおりです。
　　１章　背景
　　２章　概要
　　３章　用語の定義と関連する法律
　　４章　内部不正を防ぐための管理の在り方
　　付録I　 内部不正事例集
　　付録II　 内部不正チェックシート
　　付録III　Q＆A集
　　付録IV　 他のガイドライン等との関係
　　付録V　 基本方針の記述例
　　付録VI　 内部不正の基本5原則と25分類
　　付録VII　対策の分類

２章　概要

内部不正防止の基本原則

• 犯行を難しくする（やりにくくする）
  対策を強化することで犯罪行為を難しくする
• 捕まるリスクを高める（やると見つかる）
  管理や監視を強化することで捕まるリスクを高める
• 犯行の見返りを減らす（割に合わない）
  標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
• 犯行の誘因を減らす（その気にさせない）
  犯罪を行う気持ちにさせないことで犯行を抑止する
• 犯罪の弁明をさせない（言い訳させない）
  犯行者による自らの行為の正当化理由を排除する

内部不正対策の体制

• 最高責任者
  経営者であり、会社法等の法令及び取締役会決議に従い、内部不正対策に関して意思決定を行う最高責任を負います。
• 総括責任者
  内部不正対策の体制の総括的な責任者であり、会社法等の法令に従い、経営者により任命されます。
  経営者の基本方針に基づき組織全体の具体的な管理策の作成及び管理策に基づいた対策を実施し、対策状況を確認するとともに、見直しを行います。
• 部門責任者（部門規模が大きい場合）
  各部門から当該部門の責任者として任命されます。
  総括責任者の指示のもと、自らが担当する部門における対策を実施し、対策状況を確認するとともに、見直しを行います。

３章　関連する法律

• 個人情報保護法
  個人情報の取扱いに関しては格段の留意が求められます。
• マイナンバー法
  マイナンバーをその内容に含む個人情報（特定個人情報）に関しては、利用範囲を限定する等、一般の個人情報よりも厳格な保護措置を定めています。
• 不正競争防止法
  本ガイドラインは、営業秘密を含む重要な情報の取扱方法等を示しています。
• 労働契約法
  従業員が在職中に漏えい等の内部不正を起こした場合に、従業員が労働契約に違反していることで、解雇・懲戒処分、損害賠償請求等を行う場合
• 労働者派遣法
  派遣先企業は、派遣労働者に秘密保持義務を直接負わせることはできません。
  派遣元企業を介して派遣労働者に秘密保持をさせるためには、労働者派遣法への考慮が必要です。
• その他
  刑法（例えば窃盗罪、横領罪、背任罪等）、民法（例えば契約責任、不法行為責任等）、労働法理（例えば秘密保持 義務違反、競業避止義務違反等）、公益通報者保護法なども関連します。

４章　内部不正を防ぐための管理のあり方

組織における内部不正の在り方については、基本方針から、資産管理、技術的管理、証拠確保、コンプライアンス、職場環境、事後管理など１０の観点のもと、合計３０項目からなる具体的な対策を示しています。
そして、各対策項目では、次の構成になっています。

• 対策の指針
  必要な対策の概要を示しています。チェックシートの項目でもあります。
• どのようなリスクがあるか
  対策の必要性を理解するために、対策をとらなかった場合に発生するリスクを示しています。
• 対策のポイント
  具体的な対策のポイントを箇条書きに整理、記述してあります。

１０の観点と３０項目

　4-1. 基本方針
　　　（１） 経営者の責任の明確化
　　　（２） 総括責任者の任命と組織横断的な体制構築
　4-2. 資産管理
　　　（３） 情報の格付け区分
　　　（４） 格付け区分の適用とラベル付け
　　　（５） 情報システムにおける利用者のアクセス管理
　　　（６） システム管理者の権限管理
　　　（７） 情報システムにおける利用者の識別と認証
　4-3. 物理的管理
　　　（８） 物理的な保護と入退管理
　　　（９） 情報機器及び記録媒体の資産管理及び物理的な保護
　　　（１０） 情報機器及び記録媒体の持出管理
　　　（１１） 個人の情報機器及び記録媒体の業務利用及び持込の制限
　4-4. 技術・運用管理
　　　（１２） ネットワーク利用のための安全管理
　　　（１３） 重要情報の受渡し保護
　　　（１４） 情報機器や記録媒体の持ち出しの保護
　　　（１５） 組織外部での業務における重要情報の保護
　　　（１６） 業務委託時の確認（第三者が提供するサービス利用時を含む）
　4-5. 証拠確保
　　　（１７） 情報システムにおけるログ・証跡の記録と保存
　　　（１８） システム管理者のログ・証跡の確認
　4-6. 人的管理
　　　（１９） 教育による内部不正対策の周知徹底
　　　（２０） 雇用終了の際の人事手続き
　　　（２１） 雇用終了及び契約終了による情報資産等の返却
　4-7. コンプライアンス
　　　（２２） 法的手続きの整備
　　　（２３） 誓約書の要請
　4-8. 職場環境
　　　（２４） 公平な人事評価の整備
　　　（２５） 適正な労働環境及びコミュニケーションの推進
　　　（２６） 職場環境におけるマネジメント
　4-9. 事後対策
　　　（２７） 事後対策に求められる体制の整備
　　　（２８） 処罰等の検討及び再発防止
　4-10. 組織の管理
　　　（２９） 内部不正に関する通報制度の整備
　　　（３０） 内部不正防止の観点を含んだ確認の実施