HRプロとは株式会社インテリジェントウェイブは2024年6月20日、「内部不正対策における重要情報保護の実態」に関する調査の結果を発表した。調査期間は2024年2月15日~28日で、従業員数1,000名以上の日本企業に勤める、経営層もしくは社内情報セキュリティ担当者110名より回答を得ている。調査結果から、情報セキュリティ担当者が思う自社の内部不正対策の実態などが明らかになった。
3割以上が「内部不正による情報漏えい対策が不十分」と回答
近年、企業の内部からの情報漏えいは増加傾向にある。独立行政法人情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威2024」によると、「内部不正による情報漏えい」は3位と、前回の4位から順位を上げており、その重要性が改めて認識されているという。そうした中、企業の経営者や情報セキュリティ担当者は、重要情報保護についてどのように取り組んでいるのだろうか。はじめにインテリジェントウェイブが、「自組織の内部不正による情報漏えい(社員による誤操作や故意の情報流出)の対策について十分だと感じているか」と尋ねたところ、34.5%が「十分だと感じない」と回答した。
8割弱の企業が内部不正対策のためのソフトウェアを導入している
次に同社は、「自組織において、内部不正対策のためにソフトウェアを導入しているか」を尋ねている。すると、「導入している」が78.2%と8割に迫った一方、「導入していない」との回答も18.2%と、2割弱あった。
ソフトウェアで対策できていない項目は「情報を扱う部門へのルール設定」など
続いて、「現在導入している内部不正対策のソフトウェアで、対策ができていない項目」を尋ねた。すると、最多となったのは「顧客データや研究開発のデータといった、特に機微な情報を取り扱う部門への詳細なルール設定と適用」(47.6%)だった。以下は、「特定のキーワードが含まれているファイル(社外秘や取引先の企業名など)に対して、印刷の制限やメール送付の制限」(38.1%)、「社内で利用許可がされていないクラウドストレージへのアップロード制限」(28.6%)、「情報漏えいの危険性があるWebページへのアクセス制限」(28.6%)、「USBメモリなどの外部メディアの制限」(28.6%)と続いている。
内部不正対策を強化できない理由は「ソフトウェアの機能不備」が最多に
また、同社は「現在導入しているソフトウェアで内部不正対策を強化できていない理由」について尋ねた。すると、「導入しているソフトウェアに該当する機能がない」が40%で最多となり、次いで「対応する時間が確保できていない」が25%、3位は「他部門から意見がない(または、意見を収集する仕組みがない)」で20%となった。
約60%が「部門ごとに合わせたルールやソフトウェアの設定」の必要性を実感
同社は最後に、「内部不正を引き起こさないために、今後どのような対策を強化するべきだと思うか」と尋ねている。その結果、最多となったのは「各部門の管理者と連携し、部門ごとに合わせたルールやソフトウェアの設定」で、59.3%だった。以下は、「社内ガイドラインやセキュリティポリシーの見直し」が52.3%、「従業員に対する、情報セキュリティ教育の実施」が50%と続いた。
本調査から、経営層および情報セキュリティ担当者の3割以上が「情報漏えい対策が不十分」であると考えていることがわかった。また、8割弱の企業が内部不正対策のためのソフトウェアを導入しているものの、ソフトウェアの機能不備等の理由から、対策できていない項目もあるようだ。今後、社内で内部不正を引き起こさないためにも、部門ごとに合わせたルールやソフトウェアの設定に加え、社内ガイドラインやセキュリティポリシーの見直し、また従業員に対しては情報セキュリティ教育の実施なども必要となりそうだ。
