見出し画像

連載:内部不正を防止するための企業・組織の体制の現状 調査結果(第1回)

IPAが2022年末に実施した「企業における内部不正防止体制に関する実態調査」によって明らかになった企業・組織における内部不正防止体制について再構成して紹介します。
内部不正は組織に属する、あるいは過去に属していた内部者が組織内にある個人情報などの重要情報を私利、私怨等のために持ち出したり、消去、破壊したりする行為です。内部者には正社員のほか派遣社員、委託先社員、退職者も含まれます。
また、内部不正は一般的に、「動機」・「機会」・「正当化」という3要素がそろったときに発生すると言われています。「動機」とは、例えば金銭的問題を抱えている、や転職先での厚遇を得るためなど、不正を働くための動機を指します。「機会」とは、内部不正を行えてしまう環境、立場のこと。適切にアクセス制限が設定されていないとことで、情報の持ち出しを可能にさせてしまいます。また、管理者権限を有する立場も「機会」に該当します。「正当化」は内部不正行為を自己正当化するマインドのことです。倫理観の欠如も「正当化」にあたります。
その対策には動機や機会の発生を抑制し、正当化させない工夫が必要ですが、サイバー攻撃に対する対策と異なるのは、組織の情報に正当なアクセス権限を有している人が内部不正を行うという点です。よって組織は、サイバー攻撃とは異なる切り口で対策を行うことが求められます。
IPAが作成、発行する「内部不正防止ガイドライン」では内部不正防止の基本原則として以下を挙げています。

  • 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする。

  • 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める。

  • 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ。

  • 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する。

  • 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する。

さて、IPAでは内部不正に関する調査を2011年ごろから断続的に行っていますが、今回内部不正防止の体制について調査を実施した理由は次の通りです。

  1. テレワーク、クラウド利用の増加等ニューノーマルな労働環境、雇用流動化等の社会情勢の変化、AIの応用等の新技術の進展などが顕在化し、内部不正リスクが上昇しているものの、防止策や体制の変革が進んでいないのではないかとの仮説を実証するため。

  2. 内部不正のための企業・組織全体の体制に関し、確立された拠るべき指針が存在しておらず、現状を把握し、今後の指針を明確にするための検討に資するため。

過去数年を振り返ると、回転すしチェーンや通信キャリア会社の同業他社に転職し、前勤務先から営業秘密を持ち出したことが明るみに出て大きく報道された事例がありました。これら事例における「動機」は特定しきれないところですが、雇用流動化や5Gなど新技術の進展といった背景が当てはまるかもしれません。

ここからはIPAが実施した調査の全体像を説明していきたいと思います。調査は以下の構造で行いました。

1. 調査構造
  ① 企業アンケートとインタビュー調査を実施。
  ② リサーチパネルと日経平均銘柄企業に対し企業アンケートとしてウェ
   ブアンケートを実施
  ③ 企業および有識者に対してインタビューを実施

この連載では②についてのみ取り上げます。
リサーチパネルの選定は以下の5つの担当者業務の要件のいずれかを満たす企業・組織の担当者をリサーチ会社から選定しました。

2.リサーチパネルの属性

表1 :担当業務別割合
表2:常用雇用者数別社数と割合

3.日経平均銘柄企業

表3:常用雇用者数別の企業分布

アンケートでは以下の5つの観点を切り口に質問を設定しています。この連載では①~④の観点でのアンケート結果を一般企業のサンプルであるリサーチパネルと大手企業のサンプルである日経平均銘柄企業の結果を比較しながら、一般的な企業の内部不正防止対策の現状を見ていきます。

4.調査で対象とした観点
  ① 企業・組織全体として知っておくべき基礎知識
  ② 内部不正防止に取り組む組織全体の体制
  ③ 組織全体への周知・教育
  ④ 内部不正防止の課題と対策
  ⑤ 内部不正防止ガイドラインの利用状況

5. 調査結果:企業・組織全体として知っておくべき基礎知識
  ① 内部不正にかかわる社内規定の組織全体への浸透状況

対策の第1歩は社内規定を整備することから始まります。規定を整備し、社員へ周知、教育機会などの提供を通じてし、組織としての内部不正対策の底上げを図ります。

図1:内部不正にかかわる社内規定の組織全体への浸透割合(複数回答)

リサーチパネルでは就業規則のみが60%以上の浸透を示している一方で、日経平均銘柄企業では60%を超える規定は8つありました。このことから、リサーチパネル企業の内部不正防止に関わる社内規定の浸透が十分でないことがうかがえます。今後、リサーチパネルの企業が社内規定の浸透を目指す場合、日経平均銘柄企業並みの浸透割合をひとつの到達点として考えることができます。

連載第1回はここまでです。次回は法制度の知識や内部不正に取り組む組織的体制についての調査結果を紹介します。

この連載で紹介している調査についてはIPAのウェブサイトで調査報告書を公開しています。


いいなと思ったら応援しよう!