https://www.ipa.go.jp/security/fy24/reports/insider/index.html
付録Ⅱ:内部不正チェックシート.xlsx

  • 内部不正の対策が経営者の責任であることを組織内外に示す「基本方針」を策定し、役職員に周知徹底していますか?
  • 「基本方針」に基づき対策を実施するためのリソースが確保されるよう、必要な決定、指示をしていますか?
  • 経営者は、内部不正対策の総括責任者の任命及び管理体制と実施策の承認を行っていますか?(ただし、経営者が組織全体に目が届く組織であれば、自ら内部不正対策の実施にあたり、管理体制を必ずしも構築する必要はありません。)
  • 総括責任者は、基本方針に則り組織横断的な管理体制を構築し、実施策を策定していますか?
 
  • 重要情報を把握し、重要度に合わせて格付け区分し、取り扱い可能な内部者の範囲を定めていますか?
  • 重要情報の作成者は、定めた格付け区分を選択し、その選択について上司等に確認を得ていますか?
  • 重要情報を含む電子文書には、内部者が分かるように機密マーク等の表示をしていますか?
 
  • 情報システムを管理・運営する担当者は、利用者ID及びアクセス権の登録・変更・削除等の設定手順を定めて運用していますか?
  • 情報システムを管理・運営する担当者は、異動又は退職により不要となった利用者ID及びアクセス権を、ただちに削除していますか?
  • 複数のシステム管理者がいる場合は、情報システムの管理者IDごとに適切な権限範囲の割り当てを行い、相互に監視できるように設定していますか? また、システム管理者が一人の場合は、ログ等により監視していますか?
  • 情報システムでは、共有IDや共有のパスワード・ICカード等を使用せず、個々の利用者IDを個別のパスワード・ICカード等で認証していますか?
 
  • 重要情報の格納場所や取り扱う領域等を物理的に保護するために壁や入退管理策によって保護していますか?
  • PC等の情報機器やUSBメモリ等の携帯可能な記録媒体は、盗難や不正持ち出し等がないように管理・保護していますか?
  • 情報機器や記憶媒体を処分する際には重要情報が完全消去されていることを確認していますか?
  • モバイル機器や携帯可能な記録媒体を外部に持ち出す場合には、持ち出しの承認及び記録等の管理をしていますか?
  • 個人のモバイル機器及び記録媒体の業務利用及び持込を制限していますか?
 
  • モニタリングシステムが提供する AI監視機能等(例: ふるまい解析機能)の有効性を評価していますか?
  • 組織のネットワークは、重要情報を不正に持ち出し可能なファイル共有ソフトやSNS、外部のオンラインストレージ等の使用を制限していますか?
  • 委託先等の関係者への重要情報の受渡しは、受渡しから廃棄迄を含めて管理していますか?
  • インターネット等の組織外を介す重要情報の受渡しでは、誤って関係者以外に渡ってしまうことも考慮し、暗号化等で保護していますか?
  • 組織外部で利用・取り扱い可能な重要情報を限定し、重要情報や情報機器を保護していますか?
  • 組織外で重要情報を用いた業務を行う際に、周囲の環境やネットワーク環境等を考慮して保護していますか?
  • 委託する業務内容に応じたセキュリティ対策を契約前に確認・合意し、契約期間中にも契約通りにセキュリティ対策が実施されていることを確認していますか?
 
  • 重要情報へのアクセス履歴及び利用者の操作履歴等のログ・証跡を定めた期間に従って安全に保護していますか?(推奨)
  • システム管理者のアクセス履歴や操作履歴等のログ・証跡を記録して保存するだけでなく、そのログ・証跡の内容を定期的にシステム管理者以外が確認していますか?
 
  • すべての役職員に教育を実施し、組織の内部不正対策に関する方針及び重要情報の取り扱い等の手順を周知徹底していますか?
  • 教育を定期的に繰り返して実施し、教育内容を定期的に見直して更新していますか?
  • 従業員の行動や心身の状態のモニタリングの目的が、従業員の適正かつ健全な就業を支援し、従業員を内部不正から 保護する ためであることを、就業規則で 広く 周知していますか?
  • 派遣労働者による重要情報の漏えい等の不正行為が発生しないように、派遣元と協力して、秘密保持義務を課していますか?
  • 雇用の終了時に秘密保持義務を課す誓約書の提出を求めていますか? (推奨)
  • 役職員の雇用終了時および請負等の契約先との契約終了時に、取り扱いを委託した情報資産のすべてを返却または完全消去し、情報システムの利用者IDや権限を削除していますか?
 
  • 就業規則等の内部規程を整備し、正式な懲戒手続を備えていますか?
  • 役職員に対して重要情報を保護する義務があることを理解させるために「秘密保持誓約書」等を要請していますか?
 
  • 公平で客観的な人事評価を整備するとともに、業績に対する評価を説明する機会を設ける等、人事評価や業績評価の整備を推進していますか? (推奨)
  • 業務量及び労働時間の適正化等の適切な労働環境を整備するとともに、業務支援を推進する体制や相談しやすい環境を整える等職場内において良好なコミュニケーションを組織全体で- - 推進していますか? (推奨)
  • 相互監視ができない環境における単独作業を制限し、単独作業には事前承認、事後確認等の手続きを定めていますか? (推奨)
 
  • 内部不正の影響範囲を特定するために、事象の具体的状況を把握するとともに、被害の最小化策や影響の拡大防止策を実施し、必要に応じて組織内外の関係者との連携体制を確保していますか?
  • 内部不正者に対する処罰を検討し、内部不正の事例を内部に告知することを検討していますか?
 
  • 内部不正と思わしき事象が発生した場合についての通報制度を整備し、通報受付を複数設置し、必要に応じて通報者の匿名性を確保していますか?
  • 内部不正対策の項目を抽出し、定期的及び不定期に確認(内部監査等の監査を含む)し、確認した結果は、経営者に報告し、必要に応じて対策の見直しを実施していますか?