IPA「組織における内部不正防止ガイドライン(第4版)」2017年
(
https://www.ipa.go.jp/files/000057060.pdf)
本ガイドラインは、企業やその他の組織において必要な内部不正対策を効果的に実施可能とすることを目的としています。企業等が、内部不正対策の整備を可能とすることを目指したほか、内部不正防止だけではなく、発生してしまった際の早期発見・拡大防止をも視野に入れた構成としています。
本ガイドラインの構成は、以下のとおりです。
1章 背景
2章 概要
3章 用語の定義と関連する法律
4章 内部不正を防ぐための管理の在り方
付録I 内部不正事例集
付録II 内部不正チェックシート
付録III Q&A集
付録IV 他のガイドライン等との関係
付録V 基本方針の記述例
付録VI 内部不正の基本5原則と25分類
付録VII 対策の分類
組織における内部不正の在り方については、基本方針から、資産管理、技術的管理、証拠確保、コンプライアンス、職場環境、事後管理など10の観点のもと、合計30項目からなる具体的な対策を示しています。
そして、各対策項目では、次の構成になっています。
4-1. 基本方針 (1) 経営者の責任の明確化 (2) 総括責任者の任命と組織横断的な体制構築 4-2. 資産管理 (3) 情報の格付け区分 (4) 格付け区分の適用とラベル付け (5) 情報システムにおける利用者のアクセス管理 (6) システム管理者の権限管理 (7) 情報システムにおける利用者の識別と認証 4-3. 物理的管理 (8) 物理的な保護と入退管理 (9) 情報機器及び記録媒体の資産管理及び物理的な保護 (10) 情報機器及び記録媒体の持出管理 (11) 個人の情報機器及び記録媒体の業務利用及び持込の制限 4-4. 技術・運用管理 (12) ネットワーク利用のための安全管理 (13) 重要情報の受渡し保護 (14) 情報機器や記録媒体の持ち出しの保護 (15) 組織外部での業務における重要情報の保護 (16) 業務委託時の確認(第三者が提供するサービス利用時を含む) 4-5. 証拠確保 (17) 情報システムにおけるログ・証跡の記録と保存 (18) システム管理者のログ・証跡の確認 4-6. 人的管理 (19) 教育による内部不正対策の周知徹底 (20) 雇用終了の際の人事手続き (21) 雇用終了及び契約終了による情報資産等の返却 4-7. コンプライアンス (22) 法的手続きの整備 (23) 誓約書の要請 4-8. 職場環境 (24) 公平な人事評価の整備 (25) 適正な労働環境及びコミュニケーションの推進 (26) 職場環境におけるマネジメント 4-9. 事後対策 (27) 事後対策に求められる体制の整備 (28) 処罰等の検討及び再発防止 4-10. 組織の管理 (29) 内部不正に関する通報制度の整備 (30) 内部不正防止の観点を含んだ確認の実施