機密情報とは ｜ 情報資産管理の必要性と漏洩を防ぐ方法

機密情報(きみつじょうほう)とは、企業にとって外部への開示を予定していない情報のことです。

機密情報、秘密情報、営業機密、営業秘密などいろいろな呼び方がありますが、一般的な意味はすべて同じです。

とはいえ、普段業務で扱っている情報のうち、どれが機密情報にあたるのかの判断が容易でない場合も多いかもしれません。

この記事では、どんな情報が機密情報にあたるのか、機密情報の概要と管理の必要性、漏洩を防ぐための方法についてご紹介します。

機密情報の概要

それでは、機密情報とはどんなものなのでしょうか。

機密情報とは

『機密情報』は法律的な用語ではありませんので、明確な定義はありません。一般的には、

• 企業が保有している情報のうち外部への開示が予定されない情報
• 秘密として管理されている情報
• 開示されれば企業に損失が生じるおそれのある情報　など

これらはすべて機密情報といえるでしょう。

例えば、設計図やマニュアル、企画書、顧客情報はもちろん、人事異動に関する情報や給与情報、在庫・仕入先リストなども企業にとっては保護しなければならない機密情報にあたります。

また、データ化されていない書類や口頭で伝えられる情報も含まれる場合があります。

もし、誰かに話してしまった場合、情報漏洩として扱われるケースもあるので十分注意が必要です。

情報管理がなぜ重要か

建物やOA機器など形のある資産と違って『情報』は、形を持たない会社の資産です。

インターネットが発達したいま、一度情報が流出してしまえば、あっという間に拡散されてしまいます。

情報の複製も容易にできるため、漏洩した情報を完全に回収・対処することはできないでしょう。

多大なコストをかけて生み出したアイデアが簡単に盗まれてしまうかもしれません。

特に新規事業の企画や新商品の研究・開発などの情報が競合他社に渡ってしまった場合、模倣品の製造や競合事業を立ち上げられるリスクになります。

そのため、自社の情報が漏洩・流出しないように管理することは重要な経営課題です。

営業秘密・秘密情報との違い

『機密情報』は上記のように『営業秘密』や『秘密情報』などと呼ばれることもありますが、これは単に呼び方が異なるだけで一般的な意味合いは同じです。

したがって、これら用語の違いを意識することに実益はありません。

不正競争防止法の保護

機密情報はあらゆる情報を含む広い概念です。

しかし、このような機密情報のうち、特定の情報は、不正競争防止法で特別な保護を受けます。

不正競争防止法では機密情報のうち、特別な要件(秘密管理性、有用性、非公知性)を満たす情報を保護しています。

機密情報の管理・取り扱いに関するリスク

きちんと機密情報が管理されておらず、適切に取り扱われていなかった場合、どのようなリスクが考えられるでしょうか。

実際に起きた事例と併せて、確認しておきましょう。

 

情報漏洩は信用失墜につながる

事業活動は、企業単体では成り立ちません。どの企業にも自社のサービスや商品を使ってくれたり、支持してくれたりする顧客や取引先がいますよね。

こうしたステークホルダーとの関係を構築し、維持していく上で大切なのが“信頼”です。

「あの会社はしっかり品質管理をしている」「この企業はセキュリティやコンプライアンス意識が高い」といった安心感は、企業間の取引や提携、購買意欲やサービス満足度の向上につながっています。

しかし、ひとたび顧客情報や会社の機密情報が外部に漏洩してしまうと、またたく間にメディアで報道され、拡散されます。

特にインターネット上では、情報の歪曲やデマも生まれやすく、風評被害に遭うことも少なくありません。

そのため、ステークホルダーは「自分たちとの取引情報はきちんと守られているのか？」「今後もこの会社と関わって大丈夫か？」という不安にかられるはずです。

近年は大企業であっても、こうしたメディアやインターネットでの情報のひとり歩きにより、顧客離れや企業ブランドの信用を失墜させてしまうケースが多発しています。

中小企業であれば、より大きなダメージを受ける場合もあります。

情報漏洩は、会社存続に関わる重大な危機になり得るものといえるでしょう。

損害賠償請求のリスクも懸念される

大切な自社の顧客情報や機密情報が漏洩した場合、調査などの各費用に加え、損害賠償など金銭的な対応にも追われます。

具体的には、以下のような支出が考えられます。

• 情報漏洩の状況や原因特定など専門会社への調査費用
• 謝罪や状況報告など広告出稿や各メディアへの広報、連絡費用
• 危機管理のためのコンサルティングや相談費用
• 設備増強や社内体制構築など再発防止への投資
• 情報漏洩被害者への損害賠償費用　など

また、漏洩した情報の中身が自社だけのものとは限りません。

共同開発会社など提携先や取引先から預かっている情報や技術、ノウハウを流出させてしまった場合、さらに莫大な損害賠償を求められる場合もあります。

こうした金銭的なダメージが重なると、最悪の場合、倒産に至ることもあり得るでしょう。

機密情報の取り扱いによる事例

2013年4月、宇宙航空研究開発機構(JAXA)のサーバーに外部から不正アクセスがあり、宇宙ステーションに関する準備情報や関係者情報が漏洩しました。

管理していた複数の情報システムのうち、１ヶ所のIDとパスワードが見破られ、情報が流出。

また、流出した情報の中に、職員のIDとパスワードが含まれていたため、さらに他の４つの情報システムに不正アクセスされるという二次被害に。

幸い、流出した情報は業務に直接支障が出るレベルのものではありませんでしたが、情報システムの再構築を実施することになりました。

また、再発防止のため、セキュリティ対策や教育も行うと発表されました。

企業が機密情報を適切に扱うための知識

それでは企業が機密情報を適切に管理し、取り扱うためにはどうしたらよいのでしょうか。

管理のための情報整理、把握方法から管理運用について留意すべきポイントまでご紹介します。

保有する情報の全体像の把握

まずは、自分の会社がどんな情報を持っているのか調べていきます。

資料や契約書などの書類、社内サーバーやPCに保管されているデータなどを仔細に把握していきましょう。

また、試作品や金型などの物品をはじめ、特定の従業員だけが保有しているノウハウといった明文化されていない情報も機密情報になる場合があるので、注意しましょう。

企業活動は常に変化していきます。合併や子会社化されたり、事業内容や組織編成の変更、製品・サービスの刷新や改良が行われたりすれば、情報の数が増えて重要度も変わってきます。

社内状況にあわせて把握した情報を更新していくことも大切です。

保有情報の把握方法

保有情報の把握をする際、調査担当者によって判断の差異や情報の抜け漏れがないよう、社内の判断基準を統一させるようにしましょう。

具体的には、以下のように社内の情報把握を統括するポストを立てて行うとスムーズです。

・経営者など事業責任者から直接各部署や担当者にヒアリングなど調査を実施。情報を集約し、把握する

・機密情報管理の統括部署を設置、または指定して統一的な基準を設ける。その後、各部署や担当者が基準に即した情報調査を実施。経営者や事業責任者への報告とともに、情報を集約する

特に自社の個性やメイン事業となっている製品やサービスについては、細かく分析しましょう。中でも文章化やデータ化されていない“物”や“記憶”などについては、把握が難しいものです。

他社との差別化や特徴となる要素などを考え、まとめていくと保護すべき情報が見えてくるでしょう。

なお、保有情報を全体的に把握するといっても、社内にあるすべての書類やデータなどを１つひとつ網羅するのは困難です。

『〇〇の設計に関する情報』など、ある程度まとめて把握できれば問題ありません。その後、日々の業務サイクルで新しく生まれた情報や入手した情報、破棄した情報を適切に把握することが重要です。

社内で取り扱っている情報の量や種類、性質など全体像がわかれば、漏洩対策も立てやすくなります。

情報システムにおけるアクセス権者の決定

社内であっても、重要なデータに誰でもアクセスできる環境は非常に危険です。

機密情報の内容や重要度、性質などを踏まえて、どのような手続きで誰がアクセスできるのか？

保管場所ごと、部署や役職ごと、プロジェクトごとなど明確なルールを設けましょう。

退職者の発生時、人事異動、プロジェクト終了時など、アクセス権は従業員単位でも適切に変更し、見直します。

出向または他社の社員が常駐しているといったときにも、一時的なアクセス権のコントロールを行うことで漏洩リスクを低減させることができます。

取引先企業から預かった情報の取り扱い規程

取引先企業から預かった情報に関しては、取り扱い規程を定め、社内で閲覧できるようにしておきましょう。

また、自社サイトに掲載することで、対外的な信用を高めるだけでなく、宣誓にもなるので、社内意識の向上にもつながるはずです。

規程には以下の項目を定めましょう。

• 規程の目的：自社がどのような目的で規定を定めたのかについての定義
• 規程で用いられる用語の定義：『営業秘密』『機密情報』『個人情報』など自社で保護し、適切に管理すべき情報の定義
• 規程の適用範囲：規定が適用される人物の範囲
• 守秘義務について：保護すべき情報に関する守秘義務の期間など
• 利用に関すること：どのようなルールや手続きで情報を利用するのか、外部への持ち出しや複製の禁止、データの返還義務について
• 機密情報の収集について：収集方法や行っている対策など
• 機密情報の保管方法：書類やデータなどの保管方法について
• 保管期間と廃棄処分について：機密情報を保管しておく期間、廃棄方法について
• 罰則：規程に違反したときの罰則について
• 機密情報管理責任者：開示や訂正などの問い合わせ対応、機密情報の管理責任を負う窓口について

 

機密情報の管理において留意すべきこと

機密情報の漏洩リスクは、社内のあらゆるところに潜んでいます。

近年、保護意識が高まっている個人情報だけでなく、機密情報にも同等のセキュリティ意識や保護体制を敷くべきでしょう。

中でも「取り扱っていた情報が機密情報だと知らなかった」など、従業員の危機意識の低さや言い逃れを助長しないためにも、機密情報にはきちんと“マル秘”マークをつけるなど、区別をすることが重要です。

また、保護すべき情報が誰でもアクセスできる場所に置かれていないか、持ち出しが容易ではないか、保管方法や場所も管理しましょう。

書類そのものが紛失したり、知らないうちにデータが流出・改ざんされたりしてしまえば、それだけで取り返しのつかない事態になってしまいます。

最後に、機密情報の『取り扱い』、『保管』とともに重要なプロセスが『破棄』です。

機密情報の書類や資料は、必ずシュレッダーにかけるか、溶解処理をするようにします。

そのままゴミ箱に捨ててしまうと、中身を見られる危険性があり、情報漏洩につながる恐れがあります。

機密情報の漏洩を防ぐためにできる５つのこと

企業に多大な損害をもたらしかねない機密情報漏洩。

原因のほとんどが故意、もしくは意図せずに社内から持ち出されてしまうことです。

情報漏洩を防ぐためには、情報を容易に持ち出せない管理体制が必要です。

特にデータ類は、適切な取り扱いと管理、保管を心がけましょう。

記録媒体の持ち込み制限、持ち出し防止

USBメモリや外付けHDD、カメラなど機密情報データを容易に記録できる媒体の持ち込みは原則禁止するなど、社内のIT利用環境を整えましょう。

特にPC容量の増設や社内のバックアップなどでよく利用されている外付けHDDは、多くのデータを複製・記録できる上に持ち出されるリスクがあります。

セキュリティワイヤーなどで固定するなど、持ち出し防止措置を講じておくとよいでしょう。

機密情報データへのアクセスコントロールをする

重要なドキュメント、もしくはそれを保管しているディレクトリやフォルダには原則アクセス制限やパスワードをかけ、適切に保護しましょう。

アクセスできるユーザーも役職ごとや部署ごと、従業員単位などでアカウントを管理し、退職者が出た場合にはそのつど見直します。

また、誰がいつアクセスし、どんな操作をしたのか記録するアクセスログをとっておくと、インシデント発生時の対応に役立ちます。

機密情報の共有時はセキュリティ対策を決める

基本は機密情報を共有しない方針を立てるのが望ましいですが、共同開発や業務提携などで機密情報を社外に共有しなければならないケースもあるでしょう。

その場合には、情報の授受から取り扱い方法、保管期限または返還期限、破棄方法まで一連の業務プロセスに沿ったセキュリティ対策を講じる必要があります。

例えば、担当者や面会日時など機密情報を授受した状況の記録をとる、データや資料の取り扱い担当者を決める、保管または返還期限を設けて溶解処理の破棄証明書をもらうなどです。

また、情報共有先の企業が自社と同じようなセキュリティ基準を設けているかどうか、事前にチェックしておくことも大切です。

持ち出しが容易にわかるオフィスレイアウトにする

まずは、資料や機材をきちんと整理整頓しているか確認しましょう。

普段から業務資料などが乱雑に置かれていては、勝手に重要な書類が持ち出されていたとしても気づきにくいものです。

知らないあいだに持ち出されて、気づいたときには数ヶ月経っていた…という事態も起こりかねません。

また、外部者が立ち入ることのできるオープンスペースと、さまざまな企業情報が置いてある執務スペースは区切りましょう。

オープンスペースには受付を設けて来訪者管理をしたり、執務室にはIDカード施錠をかけたりして入退室管理を行います。

執務室内でも、極秘情報に関しては施錠付きの書庫管理にするなど、重要度によって管理方法を変えるのも効果的です。

社内のITリテラシーとセキュリティ意識を高める

いくら物理的なセキュリティ措置を講じても、経営者をはじめ、従業員のセキュリティ意識が低ければ、漏洩の危険性はそのままです。

ペーパーレス化が進み、どんな情報でもデータ化する今、セキュリティ意識だけでなく、インターネットやアプリケーションを目的にあわせて正しく活用するためのITリテラシーも求められています。

例えば、ワイヤレスネットワークの利用について。ファストフード店やホテルなど無料のWi-Fiスポットが増え、暗号化などセキュリティを意識せずにビジネスメールやデータのやりとりが横行している場合もあります。

社内規程を制定することはもちろん、外部の専門講師による研修など社内教育を行うことで社員のコンプライアンスを高めることも必要です。

まとめ

機密情報は企業活動の軸となる、守るべき大切な資産です。

中でも業務に密接に関係していて目にする機会や使用頻度が多い情報ほど、“機密情報”という意識が薄れてくるもの。

意外なデータや資料が、実は機密情報だったというケースも多いので、しっかりと社内の情報整理をして重要度の区分をし、管理体制と従業員のセキュリティ意識を高めることが不可欠です。