機密情報(きみつじょうほう)とは、企業にとって外部への開示を予定していない情報のことです。
機密情報、秘密情報、営業機密、営業秘密などいろいろな呼び方がありますが、一般的な意味はすべて同じです。
とはいえ、普段業務で扱っている情報のうち、どれが機密情報にあたるのかの判断が容易でない場合も多いかもしれません。
この記事では、どんな情報が機密情報にあたるのか、機密情報の概要と管理の必要性、漏洩を防ぐための方法についてご紹介します。
|
IT・ネット法務が得意な弁護士を探す ※無料相談・メール相談・オンライン面談が可能な 法律事務所も多数掲載! |
|
|---|---|
| 北海道・東北 | 北海道 | 青森 | 岩手 | 宮城 | 秋田 | 山形 | 福島 |
| 関東 | 東京 | 神奈川 | 埼玉 | 千葉 | 茨城 | 群馬 | 栃木 |
| 北陸・甲信越 | 山梨 | 新潟 | 長野 | 富山 | 石川 | 福井 |
| 東海 | 愛知 | 岐阜 | 静岡 | 三重 |
| 関西 | 大阪 | 兵庫 | 京都 | 滋賀 | 奈良 | 和歌山 |
| 中国・四国 | 鳥取 | 島根 | 岡山 | 広島 | 山口 | 徳島 | 香川 | 愛媛 | 高知 |
| 九州・沖縄 | 福岡 | 佐賀 | 長崎 | 熊本 | 大分 | 宮崎 | 鹿児島 | 沖縄 |
それでは、機密情報とはどんなものなのでしょうか。
『機密情報』は法律的な用語ではありませんので、明確な定義はありません。一般的には、
これらはすべて機密情報といえるでしょう。
例えば、設計図やマニュアル、企画書、顧客情報はもちろん、人事異動に関する情報や給与情報、在庫・仕入先リストなども企業にとっては保護しなければならない機密情報にあたります。
また、データ化されていない書類や口頭で伝えられる情報も含まれる場合があります。
もし、誰かに話してしまった場合、情報漏洩として扱われるケースもあるので十分注意が必要です。
建物やOA機器など形のある資産と違って『情報』は、形を持たない会社の資産です。インターネットが発達したいま、一度情報が流出してしまえば、あっという間に拡散されてしまいます。
情報の複製も容易にできるため、漏洩した情報を完全に回収・対処することはできないでしょう。
多大なコストをかけて生み出したアイデアが簡単に盗まれてしまうかもしれません。
特に新規事業の企画や新商品の研究・開発などの情報が競合他社に渡ってしまった場合、模倣品の製造や競合事業を立ち上げられるリスクになります。
そのため、自社の情報が漏洩・流出しないように管理することは重要な経営課題です。
『機密情報』は上記のように『営業秘密』や『秘密情報』などと呼ばれることもありますが、これは単に呼び方が異なるだけで一般的な意味合いは同じです。したがって、これら用語の違いを意識することに実益はありません。
機密情報はあらゆる情報を含む広い概念です。
しかし、このような機密情報のうち、特定の情報は、不正競争防止法で特別な保護を受けます。
不正競争防止法では機密情報のうち、特別な要件(秘密管理性、有用性、非公知性)を満たす情報を保護しています。
きちんと機密情報が管理されておらず、適切に取り扱われていなかった場合、どのようなリスクが考えられるでしょうか。
実際に起きた事例と併せて、確認しておきましょう。
事業活動は、企業単体では成り立ちません。どの企業にも自社のサービスや商品を使ってくれたり、支持してくれたりする顧客や取引先がいますよね。
こうしたステークホルダーとの関係を構築し、維持していく上で大切なのが“信頼”です。
「あの会社はしっかり品質管理をしている」「この企業はセキュリティやコンプライアンス意識が高い」といった安心感は、企業間の取引や提携、購買意欲やサービス満足度の向上につながっています。
しかし、ひとたび顧客情報や会社の機密情報が外部に漏洩してしまうと、またたく間にメディアで報道され、拡散されます。
特にインターネット上では、情報の歪曲やデマも生まれやすく、風評被害に遭うことも少なくありません。
そのため、ステークホルダーは「自分たちとの取引情報はきちんと守られているのか?」「今後もこの会社と関わって大丈夫か?」という不安にかられるはずです。
近年は大企業であっても、こうしたメディアやインターネットでの情報のひとり歩きにより、顧客離れや企業ブランドの信用を失墜させてしまうケースが多発しています。
中小企業であれば、より大きなダメージを受ける場合もあります。
情報漏洩は、会社存続に関わる重大な危機になり得るものといえるでしょう。
大切な自社の顧客情報や機密情報が漏洩した場合、調査などの各費用に加え、損害賠償など金銭的な対応にも追われます。
具体的には、以下のような支出が考えられます。
また、漏洩した情報の中身が自社だけのものとは限りません。
共同開発会社など提携先や取引先から預かっている情報や技術、ノウハウを流出させてしまった場合、さらに莫大な損害賠償を求められる場合もあります。
こうした金銭的なダメージが重なると、最悪の場合、倒産に至ることもあり得るでしょう。
2013年4月、宇宙航空研究開発機構(JAXA)のサーバーに外部から不正アクセスがあり、宇宙ステーションに関する準備情報や関係者情報が漏洩しました。
管理していた複数の情報システムのうち、1ヶ所のIDとパスワードが見破られ、情報が流出。
また、流出した情報の中に、職員のIDとパスワードが含まれていたため、さらに他の4つの情報システムに不正アクセスされるという二次被害に。
幸い、流出した情報は業務に直接支障が出るレベルのものではありませんでしたが、情報システムの再構築を実施することになりました。
また、再発防止のため、セキュリティ対策や教育も行うと発表されました。
それでは企業が機密情報を適切に管理し、取り扱うためにはどうしたらよいのでしょうか。
管理のための情報整理、把握方法から管理運用について留意すべきポイントまでご紹介します。
まずは、自分の会社がどんな情報を持っているのか調べていきます。
資料や契約書などの書類、社内サーバーやPCに保管されているデータなどを仔細に把握していきましょう。
また、試作品や金型などの物品をはじめ、特定の従業員だけが保有しているノウハウといった明文化されていない情報も機密情報になる場合があるので、注意しましょう。
企業活動は常に変化していきます。合併や子会社化されたり、事業内容や組織編成の変更、製品・サービスの刷新や改良が行われたりすれば、情報の数が増えて重要度も変わってきます。
社内状況にあわせて把握した情報を更新していくことも大切です。
保有情報の把握をする際、調査担当者によって判断の差異や情報の抜け漏れがないよう、社内の判断基準を統一させるようにしましょう。
具体的には、以下のように社内の情報把握を統括するポストを立てて行うとスムーズです。
・経営者など事業責任者から直接各部署や担当者にヒアリングなど調査を実施。情報を集約し、把握する
・機密情報管理の統括部署を設置、または指定して統一的な基準を設ける。その後、各部署や担当者が基準に即した情報調査を実施。経営者や事業責任者への報告とともに、情報を集約する
特に自社の個性やメイン事業となっている製品やサービスについては、細かく分析しましょう。中でも文章化やデータ化されていない“物”や“記憶”などについては、把握が難しいものです。
他社との差別化や特徴となる要素などを考え、まとめていくと保護すべき情報が見えてくるでしょう。
なお、保有情報を全体的に把握するといっても、社内にあるすべての書類やデータなどを1つひとつ網羅するのは困難です。
『〇〇の設計に関する情報』など、ある程度まとめて把握できれば問題ありません。その後、日々の業務サイクルで新しく生まれた情報や入手した情報、破棄した情報を適切に把握することが重要です。
社内で取り扱っている情報の量や種類、性質など全体像がわかれば、漏洩対策も立てやすくなります。
社内であっても、重要なデータに誰でもアクセスできる環境は非常に危険です。
機密情報の内容や重要度、性質などを踏まえて、どのような手続きで誰がアクセスできるのか?
保管場所ごと、部署や役職ごと、プロジェクトごとなど明確なルールを設けましょう。
退職者の発生時、人事異動、プロジェクト終了時など、アクセス権は従業員単位でも適切に変更し、見直します。
出向または他社の社員が常駐しているといったときにも、一時的なアクセス権のコントロールを行うことで漏洩リスクを低減させることができます。
取引先企業から預かった情報に関しては、取り扱い規程を定め、社内で閲覧できるようにしておきましょう。
また、自社サイトに掲載することで、対外的な信用を高めるだけでなく、宣誓にもなるので、社内意識の向上にもつながるはずです。
規程には以下の項目を定めましょう。
機密情報の漏洩リスクは、社内のあらゆるところに潜んでいます。
近年、保護意識が高まっている個人情報だけでなく、機密情報にも同等のセキュリティ意識や保護体制を敷くべきでしょう。
中でも「取り扱っていた情報が機密情報だと知らなかった」など、従業員の危機意識の低さや言い逃れを助長しないためにも、機密情報にはきちんと“マル秘”マークをつけるなど、区別をすることが重要です。
また、保護すべき情報が誰でもアクセスできる場所に置かれていないか、持ち出しが容易ではないか、保管方法や場所も管理しましょう。
書類そのものが紛失したり、知らないうちにデータが流出・改ざんされたりしてしまえば、それだけで取り返しのつかない事態になってしまいます。
最後に、機密情報の『取り扱い』、『保管』とともに重要なプロセスが『破棄』です。
機密情報の書類や資料は、必ずシュレッダーにかけるか、溶解処理をするようにします。
そのままゴミ箱に捨ててしまうと、中身を見られる危険性があり、情報漏洩につながる恐れがあります。
企業に多大な損害をもたらしかねない機密情報漏洩。
原因のほとんどが故意、もしくは意図せずに社内から持ち出されてしまうことです。
情報漏洩を防ぐためには、情報を容易に持ち出せない管理体制が必要です。
特にデータ類は、適切な取り扱いと管理、保管を心がけましょう。
USBメモリや外付けHDD、カメラなど機密情報データを容易に記録できる媒体の持ち込みは原則禁止するなど、社内のIT利用環境を整えましょう。
特にPC容量の増設や社内のバックアップなどでよく利用されている外付けHDDは、多くのデータを複製・記録できる上に持ち出されるリスクがあります。
セキュリティワイヤーなどで固定するなど、持ち出し防止措置を講じておくとよいでしょう。
重要なドキュメント、もしくはそれを保管しているディレクトリやフォルダには原則アクセス制限やパスワードをかけ、適切に保護しましょう。
アクセスできるユーザーも役職ごとや部署ごと、従業員単位などでアカウントを管理し、退職者が出た場合にはそのつど見直します。
また、誰がいつアクセスし、どんな操作をしたのか記録するアクセスログをとっておくと、インシデント発生時の対応に役立ちます。
基本は機密情報を共有しない方針を立てるのが望ましいですが、共同開発や業務提携などで機密情報を社外に共有しなければならないケースもあるでしょう。
その場合には、情報の授受から取り扱い方法、保管期限または返還期限、破棄方法まで一連の業務プロセスに沿ったセキュリティ対策を講じる必要があります。
例えば、担当者や面会日時など機密情報を授受した状況の記録をとる、データや資料の取り扱い担当者を決める、保管または返還期限を設けて溶解処理の破棄証明書をもらうなどです。
また、情報共有先の企業が自社と同じようなセキュリティ基準を設けているかどうか、事前にチェックしておくことも大切です。
まずは、資料や機材をきちんと整理整頓しているか確認しましょう。
普段から業務資料などが乱雑に置かれていては、勝手に重要な書類が持ち出されていたとしても気づきにくいものです。
知らないあいだに持ち出されて、気づいたときには数ヶ月経っていた…という事態も起こりかねません。
また、外部者が立ち入ることのできるオープンスペースと、さまざまな企業情報が置いてある執務スペースは区切りましょう。
オープンスペースには受付を設けて来訪者管理をしたり、執務室にはIDカード施錠をかけたりして入退室管理を行います。
執務室内でも、極秘情報に関しては施錠付きの書庫管理にするなど、重要度によって管理方法を変えるのも効果的です。
いくら物理的なセキュリティ措置を講じても、経営者をはじめ、従業員のセキュリティ意識が低ければ、漏洩の危険性はそのままです。
ペーパーレス化が進み、どんな情報でもデータ化する今、セキュリティ意識だけでなく、インターネットやアプリケーションを目的にあわせて正しく活用するためのITリテラシーも求められています。
例えば、ワイヤレスネットワークの利用について。ファストフード店やホテルなど無料のWi-Fiスポットが増え、暗号化などセキュリティを意識せずにビジネスメールやデータのやりとりが横行している場合もあります。
社内規程を制定することはもちろん、外部の専門講師による研修など社内教育を行うことで社員のコンプライアンスを高めることも必要です。
機密情報は企業活動の軸となる、守るべき大切な資産です。
中でも業務に密接に関係していて目にする機会や使用頻度が多い情報ほど、“機密情報”という意識が薄れてくるもの。
意外なデータや資料が、実は機密情報だったというケースも多いので、しっかりと社内の情報整理をして重要度の区分をし、管理体制と従業員のセキュリティ意識を高めることが不可欠です。
|
IT・ネット法務が得意な弁護士を探す ※無料相談・メール相談・オンライン面談が可能な 法律事務所も多数掲載! |
|
|---|---|
| 北海道・東北 | 北海道 | 青森 | 岩手 | 宮城 | 秋田 | 山形 | 福島 |
| 関東 | 東京 | 神奈川 | 埼玉 | 千葉 | 茨城 | 群馬 | 栃木 |
| 北陸・甲信越 | 山梨 | 新潟 | 長野 | 富山 | 石川 | 福井 |
| 東海 | 愛知 | 岐阜 | 静岡 | 三重 |
| 関西 | 大阪 | 兵庫 | 京都 | 滋賀 | 奈良 | 和歌山 |
| 中国・四国 | 鳥取 | 島根 | 岡山 | 広島 | 山口 | 徳島 | 香川 | 愛媛 | 高知 |
| 九州・沖縄 | 福岡 | 佐賀 | 長崎 | 熊本 | 大分 | 宮崎 | 鹿児島 | 沖縄 |
SNSで記事をシェアする
ネットの誹謗中傷問題を弁護士に依頼した場合、投稿削除・開示請求・損害賠償で弁護士費用は100万円前後になることが多いです。
月額2,950円の保険料で、依頼したときにかかる弁護士費用(着手金)の補償が受けられます。
ネットの誹謗中傷問題だけでなく、労働問題、自転車事故、刑事事件被害、離婚や相続など様々なトラブルで使うことができます。
プライバシーポリシーを作成しておくことでWEB上で掲示することで個人情報保護法に規定された利用目的明示等の義務を果たすことができます。この記事では①...
本記事では秘密保持契約書に収入印紙の貼付が必要なのかについてご紹介します。また収入印紙が必要になる書類の定義や必要にもかかわらず貼り忘れてしまったと...
機密情報とは、企業にとって外部への開示を予定していない重要な情報のことです。 どんな情報が機密情報にあたるのか、機密情報の概要と管理の必要性、漏洩を...
爆サイで誹謗中傷の被害を受けた際に、該当するスレッド・レスを削除する方法をご紹介します。削除依頼のテンプレや例文、依頼時の注意事項なども解説していま...
優良誤認とは、自社が提供する商品やサービスを、消費者に対して実際よりも優れたものとして表示する行為で、景品表示法に規定されている違反事項の1つです。...
秘密保持契約書とは、自社の秘密情報を業務委託者や取引先企業などの外部に渡す際に、情報を漏洩しないよう取引相手に約束させる契約書のこと。この記事では、...
景品表示法とは、消費者の利益を守るための法律です。事業者の方が景品表示法に違反しないために、なにが違反行為なのか、違反したときのペナルティはなにか、...
個人情報漏洩(こじんじょうほうろうえい)とは、第三者の故意や過失によって、本人の同意なしに他人の手に渡ることです。そのような事態を回避するために、こ...
消費者は商品やサービスを購入する際に企業がおこなう宣伝活動には、景品表示法によってある程度の制限がかかっています。景品表示法における有利誤認表示の概...
企業におけるネット炎上の実態や原因を解説します。その上で、具体的な対策も記述していきますので、企業のSNS運用担当者も参考にしていただければ幸いです...
サイバー警察は、インターネットやコンピュータネットワーク上で発生する犯罪やトラブルに対応している組織です。本記事では、サイバー警察とはどんな組織かを...
爆サイで誹謗中傷の被害を受けた際に、該当するスレッド・レスを削除する方法をご紹介します。削除依頼のテンプレや例文、依頼時の注意事項なども解説していま...
個人情報漏洩(こじんじょうほうろうえい)とは、第三者の故意や過失によって、本人の同意なしに他人の手に渡ることです。そのような事態を回避するために、こ...
優良誤認とは、自社が提供する商品やサービスを、消費者に対して実際よりも優れたものとして表示する行為で、景品表示法に規定されている違反事項の1つです。...
プライバシーポリシーとは個人情報取扱事業者の個人情報の取扱いや保護などを求めた規範のことです。なぜ事業者はプライバシーポリシーを公表するのか、その理...
企業におけるネット炎上の実態や原因を解説します。その上で、具体的な対策も記述していきますので、企業のSNS運用担当者も参考にしていただければ幸いです...
機密情報とは、企業にとって外部への開示を予定していない重要な情報のことです。 どんな情報が機密情報にあたるのか、機密情報の概要と管理の必要性、漏洩を...
秘密保持契約書とは、自社の秘密情報を業務委託者や取引先企業などの外部に渡す際に、情報を漏洩しないよう取引相手に約束させる契約書のこと。この記事では、...
営業秘密とは、一般的には、企業が事業活動の中で取得する情報で、企業外への開示を予定していないものを指します。しかし、不正競争防止法で保護される『営業...
この記事では、企業がTwitterを活用するメリット・デメリットと、Twitterを炎上させないための方法、そして万が一Twitterが炎上してしま...
カテゴリからコラムを探す
弁護士を探す
