中小企業の内部不正に対する対策や体制の整備が進まず、企業の規模を生かした対策を　IPA報告書

IPA（情報処理推進機構）は5月30日、中小企業の内部不正防止対策の実情と、秘密情報の保護に関する内部不正対策推進のヒントをまとめた報告書を公開した。

IPAでは2013年に「組織における内部不正防止ガイドライン」（以下、「内部不正防止ガイドライン」）を公開。以降第5版まで改定を進めているが、2022年に実施した調査で、中小企業では内部不正に対する防止対策や体制の整備が進展していないだけでなく、内部不正の防止対策の重要性が認識されていないことが明らかになった。そこで、中小企業の現状を把握するために、経営者の意識や基本方針の策定、組織体制の整備などの調査を実施した。

なお、同調査では、以下のような事案を「内部不正」と例示する。

• 会社等への不満・鬱憤をきっかけとした秘密情報の開示・漏えい
• 離職前の秘密情報持ち出し・転職先での利用
• 不注意による秘密情報の社外送信／公開・記録媒体の紛失　など

従業員数が100人以下の企業では、半数以下が内部不正防止の基本方針を別建てで定められていない

秘密情報保護に関する基本方針などで、内部不正の防止をサイバーセキュリティの確保と意識的に分けているのは回答企業全体で6割ほどであるのに対し、100人以下の企業では5割を下回る。また、従業員数が小さくなるほど、個人情報以外の秘密情報を特定するルール作りが進んでいない。

秘密情報の不自然な扱いや不正な漏えいを目撃した際の望ましい行動について定期的に周知・徹底する割合は、従業員数が少なくなるほど低下する。従業員数が100人以下の企業においては3割を下回り、内部不正等の報告などに必ずしも積極的ではないことが推察される。