営業秘密(秘密情報)管理に役立つ資料2

こんにちは、高田馬場で特許事務所を共同経営しているブランシェの弁理士 高松孝行です。

今回は、独立行政法人情報処理推進機構(IPA)が作成した資料(組織における内部不正防止ガイドライン)をご紹介します(リンク先を第4版にしたので、目次等が異なっている場合があります)。

このガイドラインは、これまで内部不正対策について「考えてこなかった」「何をすればよいかわからなかった」という企業(特に中小企業に重きをおいて)であっても、効果的な内部不正対策を整備できるようにすることを目的に作成されたもののようです。

このガイドラインには、『経済産業省の調査2において、営業秘密の漏えいがあった企業では漏えい経路が「中途退職者(正規社員)による漏えい(50.3%)」、「現職従業員等のミスによる漏えい(26.9%)」、「金銭目的等の動機をもった現職従業員等による漏えい(10.9%)」と報告されています。このように、競争力につながる価値ある営業情報の漏えいは、内部の関係者によるものが多くを占めます。』と記載されており、内部不正は、は、組織における脅威の一つと位置づけられるとしています。

このガイドラインに記載されていることをそのまま実施できる企業はなかなか少ないかもしれませんが、取り組めることだけでも行うことにより内部不正をかなり防止することができるようになるのではないでしょうか?

ちなみに、独立行政法人情報処理推進機構とは、経済産業省所管の独立行政法人で情報セキュリティ対策等に関する政府の唯一の実務実施機関です。

さて、このガイドラインの内容ですが、次のような目次になっています。

  1. 背景
  2. 概要
    1. 内部不正防止の基本原則
    2. 本ガイドラインの構成と活用方法
    3. 内部不正対策の体制構築の重要性
    4. 内部不正対策の体制
      1. 最高責任者
      2. 総括責任者
      3. 総括責任者の任命について
      4. 各部門/担当者の参画及び協力体制
  3. 用語の定義と関連する法律
    1. 用語
    2. 関連する法律
  4. 内部不正をふせぐための管理の在り方
    1. 基本方針(経営者の責任、ガバナンス)
    2. 資産管理(秘密指定、アクセス権指定、アクセス管理等)
      1. 秘密指定
      2. アクセス権指定
    3. 物理的管理
    4. 技術・運用管理
    5. 証拠確保
    6. 人的管理
    7. コンプライアンス
    8. 職場環境
    9. 事後対策
    10. 組織の管理

この他に、内部不正事例集、内部不正チェックシート、Q&A集、他ガイドライン等との関係、基本方針の記述例、内部不正の基本原則と25分類、対策の分類が付録として記載されています。

このガイドラインの面白いところは、次のような事項を検討するために上述した付録が付いていることです。したがって、これらの事項について簡単に検討できるようになっています。

  1. 所属する企業や組織の実態をチェックしたい
  2. 所属する企業や組織で発生するかもしれない具体的な事例に則して検討したい
  3. 所属する企業や組織で実施しているセキュリティ対策との差分を検討したい
  4. 所属する部署や部門で何を対策するべきかを知りたい
  5. 所属する企業や組織の環境(情報機器やネットワークの利用)により何を対策すべきかを知りたい
  6. 所属する企業や組織で発生するかもしれない不正行為の種類による対策のポイントを知りたい

これらの中には、経営者や情報セキュリティを担当している方が実際に検討したいと思っていることが含まれているのではないでしょうか?

たとえば、次の図のように、重要情報の格納場所や取り扱う領域等の参考例も掲載されています。

物理的に保護する領域の参考例

弊所も、このガイドラインを活用して、規模に応じた内部不正対策を行っていきたいと考えています。
なお、弊所でも、営業秘密等のご相談も承っております。これらの資料でも解決できないものについては、気軽にご相談ください。

今日は以上です。

追記:リンク先を第4版に変更(2017年8月)