機密情報とは？管理方法や漏えい防止策など法務担当者が知っておきたい対策を解説

機密情報とは、「企業が保有するさまざまな情報のうち、外部への公表を想定していない情報のこと」です。機密情報、秘密情報、営業秘密、営業機密など、さまざまな呼ばれ方をします。

近年の情報化社会では、機密情報の取り扱いには極めて慎重な姿勢が求められます。

なぜなら、機密情報がインターネットを通じて漏洩すると、想像以上の広範囲に拡散されて、完全に回収・消去するのが難しいからです。場合によっては、機密情報が競合企業に渡るなどして、損害が生じかねません。

本記事では、機密情報に含まれる情報の種類や概要、管理の必要性や機密情報の漏洩を防止するための方法などについて、わかりやすく解説します。

機密情報の取り扱い方法について悩んでいる方や、機密情報に関して何らかのトラブルを抱えている方は、ぜひ参考にしてください。

機密情報の概要

まずは、機密情報の概要や内容について解説します。

機密情報とは | 外部へ漏らしてはならない重大な情報全般

機密情報とは、企業の外部に持ち出すことが想定されていない情報全般のことです。

たとえば、設計図・マニュアル・顧客名簿・企画書・従業員の個人情報など、幅広いものが機密情報に含まれます。

また、データ化・書類化されている情報だけに限られず、口頭で伝えられるものも機密情報に含まれる場合があります。

情報管理はなぜ重要か

企業にとって、不動産や設備、従業員と並んで大切な資産が「情報」です。

特に、社外秘の機密情報は企業経営の根幹に位置付けられるといっても過言ではありません。

機密情報社外に流出すると、インターネットを通じて世界中に機密情報があっという間に拡散されてしまいます。情報はその性質上、簡単に複製できてしまうので、漏洩した機密情報を完全に回収・削除するのは不可能に近いでしょう。

たとえば、多大なコストを投じて生み出したアイデアが流出し、競合他社に盗用されると、自社の事業活動にとってはマイナスでしかありません。

そのため、企業が事業活動を安全な状態で継続していくには、自社の機密情報が漏洩・流出しないような管理体制を構築することが重要です。

機密情報と秘密情報・営業秘密の違い

一般的に、機密情報・秘密情報・営業秘密はいずれも似た意味で使用されますが、法律業界・ビジネス業界では、それぞれ異なる使われ方をします。

まず、機密情報とは「企業が保有している情報のうち、外部に公表する予定がない全ての情報」を意味する一般用語のことです。法律上の概念ではないため、企業や人によって機密情報の定義・範囲にはズレが生じる可能性があります。

次に、秘密情報とは「事業活動を展開する過程で締結する秘密保持契約のなかで秘密保持義務の対象になる情報」のことです。

秘密情報も機密情報と同じく、法律上定義された言葉ではありませんが、秘密保持契約によって対象が明確にされるため、機密情報よりも対象がはっきりしているといえるでしょう。

ただし、秘密保持契約の内容はそれぞれ異なるため、秘密情報に含まれる情報の中身も契約内容によって影響を受けるのが実情です。

最後に、営業秘密とは「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないもの」を意味します。

営業秘密は機密情報・秘密情報と異なり、秘密管理性・有用性・非公知性の3つの要件からなる不正競争防止法で明確に定義された法律用語です。

機密情報と個人情報の違い

個人情報とは「生存する個人に関する情報で、特定の個人を識別できるもの」を意味します。また、他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなる情報も含まれます。

たとえば、氏名・生年月日・住所・顔写真・メールアドレスなどが代表例です。

また、以下のような「個人識別符号」も、幅広い意味では個人情報に含まれるといえるでしょう。

• 顔認証データ
• 指紋認証データ
• 虹彩
• 声紋
• 歩行の態様
• 手指の静脈
• 掌紋
• パスポート番号
• 基礎年金番号
• 運転免許証番号
• 住民票コード
• マイナンバー
• 保険者番号　など

個人情報が記載された文書・電子データなどを企業が保有している場合、この文書・電子ファイルなどは機密情報に該当すると考えられます。

たとえば、履歴書・人事情報などは、個人情報が記載された機密情報といえます。

以上を踏まえると、個人情報と機密情報は明確に区別できるものではなく、近接した概念であると考えられるでしょう。

なお、個人情報の定義は、日本国内の法規制を想定したものです。主要な諸外国の法規制は日本よりも厳しいことが多いため、日本国外に居住する外国人に関する情報を扱う場合、個人情報の範囲はさらに広がる可能性が高いといえます。

機密情報における3つのレベルと機密情報の例

一般的に、機密情報の重要度は以下のようにランク分けされます。

重要度	種類	内容
低	社外秘文書	社内での共有制限はかけられないが、社外への持ち出し・流出は避けるべき情報のこと。議事録、顧客リスト、見積書、製品企画書、営業企画書など。
中	秘文書	社内でも一部の人しかアクセスできない情報のこと。社外秘文書よりも機密性が高い、人事情報・ 契約書・新規開発商品やサービスの情報など。
高	極秘文書	経営層や管理部門、プロジェクト担当者など、社内でも極めて一部の限られた人物しかアクセスできない最高レベルの機密性を有する情報のこと。新製品の設計図、研究開発データ、極秘プロジェクトに関する情報、公表前の財務データなど。

なお、以下のように企業が保有する情報全てが機密情報に含まれるわけではありません。

• 公開済みのIR情報
• 公開済みの製品・サービスに関する一般的に公開する情報
• 法律や業界規制に関する情報
• 一般に公開されている市場調査レポート・業界レポート
• プレスリリース・広報資料　など

もちろん、機密情報に含まれない情報だからといってずさんな扱いをして良いというわけではありません。

企業が保有する情報は機密情報であるか否かにかかわらず、適切に管理・保管するように注意してください。

機密情報に関わる主な法律

ここからは、機密情報に関わる重要な法律について解説します。

個人情報保護法

「個人情報の保護に関する法律」（通称「個人情報保護法」）とは、個人情報の有用性に配慮しながら、個人の権利・利益を守ることを目的として制定された法律です。

国の行政機関や独立行政法人、地方公共団体や個人情報を取り扱う事業者・組織などが遵守するべきルールについて定めています。

個人情報保護法では、個人情報取扱事業者などに該当する民間業者に対して、以下のようなルールを制定しています。

個人情報を取得・利用するときのルール	・個人情報を利用する目的は具体的に特定されている必要がある ・個人情報の利用目的は、事前にホームページなどで公表するか、本人に対して直接通知されている必要がある ・個人情報は、違法または不当な行為を助長したり、誘発するおそれがある方法に利用してはいけない ・取得した個人情報は事前に周知された利用目的の範囲内でしか使用できない（目的外利用をする際には、本人の同意が必要）
個人情報を保管・管理するときのルール	・個人情報の漏洩を防止して安全に管理するために必要な措置を講じる必要がある ・従業員や業務委託先にも個人情報を保管・管理するときのルールを徹底しなければいけない
個人情報を第三者に提供するときのルール	・個人情報を本人以外の第三者に提供するときには、原則として、事前に本人の同意を得なければいけない（警察・税務署からの照会、学術的利用目的などのケースを除く） ・「いつ、誰の、どんな情報を、誰に」提供したか、「いつ、誰の、どんな情報を、誰から」提供されたか、に関する情報を原則3年間保存しなければいけない
本人から個人情報などの開示を求められたときのルール	・本人からの請求があったときには、保有している個人情報の開示・訂正・利用停止などに対応する必要がある ・個人情報の取扱いに関する苦情を受けたときには、適切かつ迅速に対応しなければいけない ・個人情報取扱事業者の氏名・名称・連絡先・苦情の申出先などの情報を本人がいつでも知れるような状態にしておく必要がある
個人情報が漏洩したときのルール	以下のような漏洩事案が発生したときには、個人情報取扱事業者は、速やかに個人情報保護委員会に報告をしたうえで、本人へ通知しなければいけない ・要配慮個人情報の漏洩 ・財産的被害のおそれがある個人情報の漏洩 ・不正の目的によるおそれがある個人情報の漏洩 ・1,000人を超える個人情報の漏洩

個人情報保護法に関する疑問・不安は、弁護士へ相談するか、個人情報保護委員会が設置している以下の連絡先まで問い合わせてください。

個人情報保護法相談ダイヤル	03-6457-9849 平日9:30～17:30（土日祝日・年末年始は休業）
PPC質問チャット	https://2020chat.ppc.go.jp/

特定秘密保護法

「特定秘密の保護に関する法律」（通称「特定秘密保護法」）とは、特定秘密を守ることを目的とする法律です。

特定秘密とは、漏洩すると国家の安全保障に著しい支障を与えるおそれがあるため、特に秘匿することが必要であるものを指します。

特定秘密保護法では、特定秘密を取り扱う人を調査・管理したり、特定秘密を外部に漏洩、または外部からアクセスしようとしたりする人などを処罰します。

特定秘密に含まれるのは、以下のような情報です。

• 防衛に関する事項
• 外交に関する事項
• 特定有害活動の防止に関する事項
• テロリズムの防止に関する事項

特定秘密保護法の適用対象は、国家公務員、地方公務員、警察官、行政機関と連携する過程で特定秘密を取り扱う民間企業に限られます。

特定秘密と無関係の民間企業において特定秘密保護法が問題になる可能性は極めて低いでしょう。

機密情報の管理・取り扱いに関するリスク

機密情報の管理・取り扱いを徹底しなければ、企業側がさまざまな不利益を強いられます。

ここでは、機密情報のずさんな管理・取り扱いが招くリスクについて解説します。

機密情報の漏えいは信用失墜につながる

企業が安定的かつ継続的に事業活動を展開するには、取引先・金融機関・株主・一般消費者などから信用を獲得し続ける必要があります。

このような信用力は、良質な商品・サービスを提供することだけではなく、高いコンプライアンス意識をもって組織的に事業活動が展開されていることによって醸成されるものです。

しかし、「機密情報の漏洩」という事態が発生すると、企業の社会的信用が失墜しかねません。

たとえば、商品・サービスが売れなくなる、株主が離れて株価が下落する、取引先から関係を切られる、金融機関からの融資が通りにくくなる、などのデメリットが生じるでしょう。

特に、近年ではインターネットが普及したため、機密情報の漏洩事件が起きると、またたく間に事件の情報が拡散されてしまいます。

どれだけ企業側が真摯な姿勢で信頼回復に努めようとしても、短期間では回復できないほど信用が毀損される可能性が高いでしょう。

損害賠償請求のリスクも懸念される

以下のように、機密情報を漏洩させてしまうと、トラブル解決に至るまでにさまざまなコスト負担を強いられる可能性が高いです。

• 機密情報が漏洩した原因・状況を把握するための調査費用
• メディア向けの広告掲載費用・連絡費用
• 再発防止に向けた設備増強・教育システムの構築などへの投資費用
• 情報漏洩によって被害を受けた消費者や取引相手などへの損害賠償費用　など

特に、業務提携先企業や取引相手から預かっていた機密情報を漏洩させてしまった場合、高額の損害賠償責任を追及されかねません。

賠償責任の有無や賠償額について争うにしても、長期間民事訴訟手続きへの対応などの負担を強いられます。

また、他社の機密情報を漏洩させたことが世間に知られると、事業継続が困難なほどに信用が失墜しかねないリスクもあるでしょう。

そのため、企業側としては「機密情報が漏洩した場合にはどのような対策をとるべきか」よりも、「機密情報が漏洩しないようにするには普段からどのような施策をとればよいのか」に注力するべきだと考えられます。

機密情報の取り扱いが問題になった事例

ここでは、機密情報の取り扱いが問題になった実際の事例を紹介します。

外部からの攻撃で情報が流出した事例

2013年4月18日、宇宙航空研究開発機構（JAXA）のサーバーへ外部から不正アクセス被害を受けたことが判明しました。

不審な外部IPアドレスが不正にアクセスしたのは、国際宇宙ステーション日本実験棟「きぼう」の運用準備に使われる参考情報、「きぼう」運用関係者の複数のメーリングリストです。

その結果、職員のIDとパスワードが流出したため、JAXAが管理する複数の情報システムに不正アクセスされるに至りました。

不正アクセス被害が判明してから1週間後の4月25日には報道向けにプレスリリースが発表されており、機密情報漏洩の原因と範囲、事業活動への影響の有無、再発防止に向けたセキュリティ強化、従業員に対する教育・指導を徹底する旨が謳われています。

元社員が機密情報を不正に持ち出した事例

2023年9月、大手総合商社「双日」に転職した直後、以前勤務していた総合商社「兼松」から不正に営業秘密を持ち出した容疑で、双日の元社員が不正競争防止法違反（管理侵害行為）の容疑で逮捕されました。

本件で元社員が持ち出した機密情報は、自動車部品の新製品開発に関する提案書、利益見込みをまとめた採算表などのデータファイル3件です。

元同僚の女性派遣社員に「海外出張先の飲食店リストが欲しい」と嘘の説明をして、サーバーへ接続するために必要なIDなどを聞き出して犯行に及んでいました。

さらに、転職直前にも約37,000件以上のファイルをダウンロードした形跡が残されていたことから、転職前に入手した機密情報が転職後に不正利用された可能性も示唆されています。

本件では、双日・兼松双方がプレスリリースを発表しており、機密情報の不正持ち出しなどを防止するための再発防止策を実施することが宣言されました。

メールの誤送信によって個人情報（機密情報）が流出した事例

2022年4月1日、株式会社ガスパル中国の担当職員が、ガス設備の緊急時対応を委託している保安会社とのやり取りの際に、委託業務とは全く無関係の個人情報をまとめたエクセルファイルを誤送信するミスを起こしました。

これによって、株式会社ガスパル中国の顧客12,418名分の氏名・住所・電話番号などの個人情報が保安会社側に流出してしまいました。

その後の調査により、誤送信の原因は、限られた勤務時間内での過度な業務負担量にあったと発表されました。

マルチタスクによるミスが生じないようにするため、今後は顧客情報などの機密情報を送信する際には、事前に複数名での内容確認を徹底する旨が宣言されています。

また、業務委託会社側が受け取ってしまった機密情報については即時削除の対応が採られました。

企業が機密情報を適切に扱うためのポイント

ここからは、企業が機密情報を適切に扱うためのポイントを5つ解説します。

1.企業が保有する情報の把握と管理の徹底

まず最優先すべきは、企業が保有する機密情報の全体像を把握することです。

保管している機密情報の内容・種別・機密度がわからなければ、そもそも情報を管理することができません。

機密情報について把握する際には「何が機密情報に該当するのか」という統一基準を社内で設けるのがおすすめです。

なぜなら、機密情報に当たるかどうかの判断が個々の従業員で分かれると、機密情報の組織的な管理・保管体制を構築できないからです。

たとえば、業務関連のメールを1つずつ確認して、「これは機密情報に該当する、これは機密情報ではない」と棲み分ける作業は必要ありませんし、そもそも不可能です。

情報の種類をある程度抽象化・一般化したうえで、機密情報に該当するかどうかの基準・項目を設定して、全従業員にとってわかりやすい形で機密情報の全体像をつかむようにしてください。

そもそも、何が機密情報に該当するかは、事業活動の状況によって常に変化するものです。

事業の内容、取引先との関係性、合併や子会社化などの組織編制の変化、製品・サービスの改良や刷新などによって、機密情報に含まれるものとそれ以外との境界性は変わっていきます。

また、書類やデータという形式で保管されている機密情報もあれば、特定従業員だけが保有しているノウハウという無形の機密情報も存在します。

つまり「完ぺきな機密情報リスト」を作成しきるのは本来的に難しいということです。

企業が保有する機密情報の全体像を把握するときには、以下のフローに基づいて作業を進めると効率的でしょう。

1. 機密情報に関する全社の統一基準を設けて、従業員や調査担当者ごとに判断に差異・抜け漏れが生じないようにする
2. 機密情報の把握作業を統括する部署・ポストを設けて適任の人材を配属させる
3. 機密情報の管理者が各部署の担当者や従業員に対してヒアリングを実施する
4. ヒアリングによって得られた情報を集約してまとめる。また状況に応じて、適宜機密情報への該当性の判断基準にも修正を加える

2.情報の重要度を定義・社内で共有

機密情報の全体像を把握できたら、次は機密情報の重要度を定義・共有しましょう。

重要度ごとに機密情報を定義・分類して社内に共有すれば、企業側には以下のメリットが生じます。

• 機密情報の重要度ごとにマニュアルを作成・運用することによって、段階的に機密情報の漏洩リスクを軽減しながら、ビジネスの効率化を目指せる
• 機密情報に該当する文書・データに対して慎重な取り扱いをしなければいけない、という社内の共通認識が醸成される
• 情報漏洩によって生じる社会的責任・法的責任を回避・軽減できる

機密情報の重要度や定義方法は、事業活動の状況などによって変化する可能性があります。

そのため「一度マニュアルを周知したから従業員は理解したはずだろう」と考えて一度の対応で終わるのではなく、定期的に定義方法の更新・情報発信を継続するべきでしょう。

情報管理に関する項目を社内の目立つ箇所に掲示するなどして、周知を徹底している企業も珍しくありません。

3.情報システムにおけるアクセス権者の決定

機密情報を適切に管理・保管するには、機密情報の管理システムへのアクセス権者を限定するべきでしょう。

なぜなら、全従業員が誰でも機密情報にアクセスできる状況は漏洩リスクを高めるだけだからです。

機密情報へのアクセス権者を決定するときには、社内全体で一律ルールを定めるのではなく、機密情報の内容・重要度・性質などの諸般の事情を総合的に考慮したうえで、柔軟にアクセス権者を決定するのがおすすめです。

たとえば、機密情報を保管している場所に注目して「保管場所ごと」にアクセス権者を決定すれば、機密情報の漏洩リスクを軽減できます。

また、部署ごとや役職ごと、プロジェクトごとにアクセス権者を割り振れば、無関係の従業員や第三者が機密情報に触れる機会を減らせるでしょう。

なお、事業活動や組織構造は流動的なので、アクセス権限を与える人物は定期的に見直す必要があります。

たとえば、退職者や人事異動のタイミング、プロジェクトが終了したとき、出向中の他社の従業員が常駐しているケースなど、アクセス権限を再設定する際は十分に留意してください。

4.取引先企業から預かった情報の取り扱い規程を定める

自社が保有する機密情報の取り扱い方法だけではなく、取引先企業から預かった機密情報の管理体制にも注意する必要があります。

取引先企業から預かった機密情報を漏洩させてしまうと、自社の社会的信用度が低下するだけではなく、取引先企業に生じた高額の損害賠償責任を強いられるリスクが生じるからです。

信頼感のある事業活動の展開を目指すなら、取引先企業から預かった機密情報に関する取り扱い規程を定めるべきだと考えられます。

取引先企業から預かった機密情報の取り扱い規程に定めるべき項目は以下のとおりです。

• 取り扱い規程を制定する目的
• 取り扱い規程内で使用する用語の定義（機密情報、営業秘密など）
• 取り扱い規程の適用範囲
• 機密情報利用時に適用されるルール（外部への持ち出し・複製の禁止など）
• 機密情報の保管方法に関するルール
• 機密情報の保管期間に関するルール
• 機密情報の返還・廃棄に関するルール
• 取り扱い規程に違反したときの罰則・ペナルティ
• 機密情報の取り扱いに関する管理責任を負う部署・責任者の定め

なお、機密情報に関する取り扱い規程を定めた以上、全ての従業員が規定を常に閲覧できるようにしてください。

また、自社サイトへの掲載などによって外部からも閲覧できる状況を作っておけば、社外からの信用力も高まるでしょう。

5.破棄する場合も適切な処理を

機密情報の取り扱いで注意を要するのが「破棄」の段階です。

どれだけ保管・管理を徹底したとしても、破棄をする段階でずさんな扱いをしてしまうと、機密情報が漏洩しかねません。

機密情報の破棄方法として、以下のものが挙げられます。

• シュレッダー：機密文書を専用の機械を使って細かく細断する処理方法のこと。少量の機密文書であれば会社に設置できる小型シュレッダーだけで機密情報を廃棄できる。ただし、シュレッダーでは文書しか廃棄できない点、大量の機密情報を処理するには外部業者へ依頼をせざるを得ないので情報漏洩リスクが高まる点などがデメリットとして挙げられる。
• 焼却処分：機密文書やCD-ROMなどをまとめて焼却する方法。環境意識の高まり、「脱・焼却」の考え方が普及しているため、焼却処分サービスを提供している専門業者は減少傾向にある。
• 溶解処理：機密文書と水を大型ミキサー機（パルパー）に投入して、バラバラの繊維になるまで刃で粉砕する方法。段ボールに梱包したまま機密文書を液状化できるので、情報セキュリティの観点からも安全性が高い。ただし、溶解処理は他の廃棄方法に比べるとコスト負担を強いられる。
• デバイスの処分：機密情報が電子データとして管理・保管されている場合の処理方法。データを初期化して廃棄するだけでは復元される危険性を避けられないので、専門業者に依頼をして物理的に破壊をしてもらうのが安心。

なお、機密情報自体を丁寧に処分するだけではなく、機密情報に関わった従業員が口外などをしないように、普段からコンプライアンス意識を高めるのも重要でしょう。

機密情報の漏えいを防ぐためにできる５つのこと

機密情報が漏洩すると、企業に多大な損害が生じかねません。

機密情報が漏洩する原因はさまざまです。たとえば、従業員が故意に機密情報を外部に持ち出すケース、外部からの侵入者によって機密情報が盗まれるケース、従業員の過失によって機密情報を漏洩してしまうケースなどが挙げられます。

そのため、機密情報を保有する企業としては、どのような事象にも対応できるような対策を練る必要があるでしょう。

ここでは、機密情報の漏洩を防止するために役立つ5つの対策について解説します。

1.記録媒体の持ち込み制限、持ち出し防止

まずは、記録媒体の持ち込みを制限し、かつ持ち出しを防止する仕組み作りが重要です。

なぜならUSBメモリ・外付けHDD・カメラなどの機器は、機密情報を大量かつ用意にバックアップ・記録できてしまうので、外部に持ち出されてしまうと機密情報の漏洩リスクが高まるからです。

従業員が使用するUSBメモリや外付けHDDは、会社側で用意したもののみを利用するルールを徹底したり、外部持ち込みの機器を接続できないようなパスコードを設けたりするのが重要です。

また、外付けHDDをセキュリティワイヤーで固定するなど、物理的な漏洩行為に対する防衛措置も講じておきましょう。

2.機密情報データへのアクセスコントロールをする

機密情報データに誰でもアクセスできる状況を放置するのは漏洩リスクを高めるだけです。

社内のアクセスコントロール体制を整えて、関係者以外は機密情報に接触できない環境を構築してください。

アクセスコントロールの一例として、以下の施策が挙げられます。

• 機密情報に関わるドキュメント、フォルダー、ディレクトリにアクセス制限・パスワードを設定する
• 部署、役職、チーム、プロジェクト、従業員など、機密情報の種類によってアカウントやパスワードを共有する範囲を細かく設定する
• 異動者や退職者が出るたびにパスワードなどを変更する
• 社内PCを作動できる時間帯自体を制限して、深夜・早朝などの従業員数が少ないタイミングでPCなどを操作できないようにする
• アクセス履歴・ログイン履歴を・操作履歴を残す体制を構築して、インシデント発生時に原因究明しやすいように備える

3.機密情報の共有時はセキュリティ対策を決める

機密情報の漏洩リスクを可能な限り減らすには、そもそも「機密情報は社内だけで保管をして社外の人間とは共有しない」という方針を徹底するのが重要です。

しかし、実際に事業活動を展開する過程では、共同開発・業務提携・共同事業などの場面において、社内で管理していた機密情報を他社などと共有せざるを得ないケースも少なくはありません。

そのため、機密情報を共有するときには、共有が原因で情報が漏洩しないように、以下のようなさまざまなセキュリティ対策を講じるべきだと考えられます。

• 機密情報の受け渡し方法・取扱い方法・保管方法を事前に協議しておく
• 機密情報の保管期限・返還期限・破棄方法を事前に協議しておく
• 機密情報の授受から返還・破棄に至るまでのプロセスに過誤が生じたときのペナルティ・責任の所在を明らかにしておく
• 機密情報を受け渡した日時・担当者などを記録する
• 機密情報の担当者を決定したうえで管理状況を随時共有できる環境を構築する
• 機密情報を破棄した際には破棄証明書を提出してもらう
• 情報共有先の企業が設けているセキュリティ基準の程度・内容を事前に確認したうえで、機密情報を共有しても問題ないかを慎重に判断する

4.持ち出しが容易にわかるオフィスレイアウトにする

機密情報の漏洩を防ぐには、オフィスのレイアウトから工夫するのもおすすめです。

たとえば、外部者が立ち入ることができるオープンスペースと機密情報を保管・管理している執務スペースは明確に区切るのがよいでしょう。

執務スペースに誰でも簡単に侵入できる設計になっていると、機密情報を持ち出されてしまいかねないからです。

オープンスペースだからといって自由に立ち入りを認めるのではなく、受付を設けて来訪者名簿を作成したり、入館者には専用のIDカードを配布したりするなどの対策を講じるべきです。

また、執務スペースも機密情報の保管・管理のために、以下のような設計をしておくとよいでしょう。

• 執務スペースに入室する際には、IDカードやパスワード入力、顔認証・指紋認証が必要な設計にしておく
• 執務スペース内でも、機密情報のグレードによって管理方法を柔軟に設計して、業務効率性とのバランスを意識する
• 普段から業務資料を整理できるような書庫空間を設けておく

機密情報の保管・管理に適していない職場環境では、機密情報が外部に持ち出されたことに気付けない可能性があります。

オフィスレイアウトの設計は「働きやすさ」だけではなく、機密情報の管理・保管にも役立つので、現状の問題点を洗い出したうえで変更可能な箇所から改善を進めてください。

5.社内のITリテラシーとセキュリティ意識を高める

企業側が機密情報の漏洩リスクを軽減する措置を講じたとしても、機密情報を取り扱う人材側のセキュリティ意識が伴っていなければ漏洩の危険性を減らすことはできません。

そのため、機密情報の漏洩リスクを最大限減らすには、経営陣から現場の従業員に至るまで、企業に関わる全ての人材のセキュリティ意識を高める必要があります。

たとえば、従業員の情報セキュリティ意識を高める手段として、以下のものが挙げられます。

• 機密情報の保管・管理・取扱いに関する社内マニュアルを策定したうえで周知を徹底する
• 外部の専任講師を招いた社内研修やセミナーへの参加機会を設ける

近年では、企業活動にペーパーレス化・DX化が普及しているため、普段の業務からインターネットやアプリケーションを使用する機会が増えています。

そのため、機密情報の漏洩リスクを減らすには、セキュリティ意識だけではなくITリテラシーを向上させる必要もあるでしょう。

たとえば、以下のような行為は情報漏洩のリスクを高めてしまうため、会社のルールとして制限するのがおすすめです。

• 暗号化されていない無料Wi-Fiを使う
• 宛先不明のアドレスから送信されたメールを開封する
• 業務用のPCやスマートフォンをプライベートな目的で使用する

万が一、機密情報が漏えいした場合の対処法

どれだけ万全の環境を作っていても、機密情報が漏洩するリスクをゼロにすることはできません。

そのため、機密情報を管理・保管する企業側としては「万が一機密情報が漏洩してしまったときの対処法」を事前に決めておくことも重要です。

情報漏洩後に対応をおこなう目的は、「情報漏洩による直接的・間接的被害を最小限に抑えること」です。

ここでは、情報漏洩による被害を最小限に食い止めるための対処法について解説します。

状況を適切に把握する

機密情報が漏洩している事実を発見したときには、最優先で現状把握に努めてください。

特に、機密情報が漏洩した原因を究明するのが重要です。なぜなら、情報漏洩の原因次第で今後の対応策が異なるからです。

たとえば、適切な対応についての判断をおこなうために、「5W1H（いつ、どこで、誰が、何を、なぜ、どうしたのか）」という観点から情報を整理し、事実関係を裏付ける情報・証拠を確保するとよいでしょう。

なお、機密情報の漏洩について調査を進めるときには、機密情報を管理していた部署内で対策本部を立てて、組織的に調査を実施するのがおすすめです。

機密情報の管理状況などを以前から把握していた部署が調査することで、効率的に現状把握・原因究明を進めることができます。

どれくらいの被害が発生したか検証する

次に、機密情報の漏洩によってどれだけの被害が発生したのかを速やかに検証する必要があります。被害の範囲次第で、今後の対応策の内容や賠償責任の程度が変わってくるからです。

どの範囲の機密情報が流出したのか、どこまでの人たちに機密情報が漏洩してしまったのかを、具体的な証拠と合わせて検証してください。

漏えいした情報の拡散を防ぐ

機密情報の漏洩状況を確認できたら、漏洩した機密情報の拡散を防ぐための措置が必要です。

漏洩・拡散防止措置をとらなければ、漏洩による被害・損害が拡大し、回復しがたい状況に追い込まれかねないからです。

たとえば、機密情報がSNS上に公開されて外部から容易に閲覧できる状態にあるなら、投稿の削除など、速やかに漏洩した情報が今以上に拡散するのを防ぐ必要があります。

自社が保管している機密情報に外部から侵入されているなら、ネットワーク自体を遮断してください。

機密情報の漏洩が原因で事業活動の継続自体に支障が生じかねないなら、サービスの停止に踏み出すのも選択肢のひとつです。

機密情報の拡散状況次第では、自社だけでは効果的な拡散防止措置に踏み出せないケースも少なくありません。

弁護士やエンジニアなど、状況に応じた適切な外部の専門家の助けを借りてください。

法律に基づいた手続きをおこなう

機密情報が漏洩した原因を究明して、拡散防止策をとり終えたら、法律や各種制度に則った必要な手続きをおこなってください。

たとえば、個人データの漏洩などが発生した結果、個人の権利利益を害するおそれがあるときには、個人情報保護委員会への報告及び本人への通知が義務付けられています。

また、機密情報の漏洩が内部犯による盗難、外部からの不正アクセスなどによって引き起こされたときや、盗まれた機密情報を悪用して金銭の要求をされたりしたケースでは、警察に被害届を提出する必要があるでしょう。

法的な措置の必要性は、企業側だけで判断するのが難しいケースも少なくありません。弁護士などの外部の専門家や法務部門と連携しながら、事案の状況に適した対応に踏み出してください。

マスコミ対応など損失を最小化するための対応を実施する

機密情報の漏洩事件では、漏洩自体による直接的な損害を回避・軽減するだけではなく、間接的な被害を食い止めるための措置も欠かせません。

中でも何より重要なのが、マスコミへの対応です。

たとえば、ずさんな管理体制や従業員による不祥事が原因で機密情報の漏洩を招いたような事案では、報道向けに丁寧なリリースをしなければ、社会的信用が失墜しかねません。

また、個人情報が広範な範囲で漏洩してしまった事案では、本人それぞれに通知をするのが物理的に難しい以上、記者会見やホームページ上での情報公開などの対応も迫られるでしょう。

企業が安定的・継続的に事業活動を展開するためには、利益を上げるだけではなく、株主や一般消費者からの評判を高める必要があります。

情報漏洩をしてしまったあとは、マスコミや一般消費者向けの対応をいかにうまくできるかで、損失を最小化できる可能性・信頼回復の難易度が変わってきます。法務部門や広報部門、外部の有識者とうまく連携をとりながら対応方針を決定してください。

機密情報漏えいの責任を追及する場合の流れ

機密情報が漏洩した経緯・原因次第では、漏洩をした人物や加害者に対する法的責任を検討する必要があります。

ここでは、機密情報を漏洩した法的責任の追及方法について解説します。

なお、刑事と民事のいずれの法的措置を採るかについては相互に関係はなく、警察や弁護士などの専門家と相談しつつ、個別事案の具体的状況を踏まえて臨機応変に決定してください。

証拠を集める

機密情報を漏洩した人物に対する法的措置に踏み出すには、最優先で証拠収集・保全活動をおこなう必要があります。

機密情報が漏洩した兆候を確認した段階、初動対応時、責任追及のステージなど、全ての過程を通じて段階的に機密情報漏洩の事実を裏付ける証拠を確保しましょう。

機密情報漏洩に関する証拠を収集・保全する際には、以下3点に注意してください。

• 客観的証拠がない状況で機密情報を漏洩した人物に接触をすると証拠を隠滅・改竄されるリスクが生じる
• 機密情報の漏洩を示す証拠は時間が経過するほど散在したり証拠価値が低下したりしかねない
• 機密情報漏洩事件ごとに収集すべき証拠の種類・内容が異なるので法的責任を追及するために必要な証拠の選択が難しい

機密情報が漏洩した兆候を掴んだ段階で、自社だけでやみくもに証拠保全をおこなおうとすると、必要な情報が壊されてしまったり改竄を疑われてしまったりする可能性があり、結果的に法的責任を追及できなくなりかねません。

機密情報を漏洩した従業員などの法的責任追及を検討しているなら、即座に警察に通報したり、弁護士と適宜連携したりすることをおすすめします。

警察に相談をする

機密情報漏洩に関与した従業員や第三者に対して、刑事責任を追及することを検討しているなら、警察への相談は欠かせません。

機密情報漏洩に関する対応をしている責任者が、刑事訴追に必要と考えられる証拠などを持参して、近場の都道府県警察本部の担当課へ訪問をしてください。

なお、機密情報の漏洩状況が深刻なケースや、自社だけでは対応方針の判断がつかないケースでは、初期対応の一環として警察へ相談するのも選択肢のひとつです。

場合によっては、確保するべき証拠や今後の方針などについて警察側から指導を受けることも期待できます。

ただし、会社側で証拠を保全・収集できていない状況では、機密情報の漏洩に関する資料が不足していることを理由に、被害届や告訴状を受理してもらえないリスクが生じる点に注意が必要です。

損害賠償請求をおこなうか検討する

機密情報の漏洩によって会社側に損害が生じた場合、加害者に対して民事責任を追及できます。

機密情報の漏洩事件では、不法行為に基づく損害賠償請求によって金銭賠償を求めるのが一般的です。

ただし、損害賠償請求をおこなう方法は事案の状況を踏まえたうえで冷静な判断が求められます。

• 示談交渉：会社と加害者の紛争当事者間で解決条件について話し合い和解契約締結を目指す方法
• 裁判外紛争解決手続（ADR）：裁判によらず公正中立な第三者が当事者の間に入って話し合いによる紛争解決を目指す方法（調停、斡旋など）
• 民事訴訟：裁判所の口頭弁論期日において弁論手続き・証拠調べ手続きなどを経て判決による終局的解決を目指す方法

そもそも損害賠償請求が可能なのか、どの手段によって民事責任を追及するのかなど、損害賠償請求をおこなうには高度で専門的な知識が必要です。

機密情報漏洩の加害者に対する損害賠償請求を検討しているなら、できるだけ早いタイミングで弁護士へ相談をすることを強くおすすめします。

社内規定に沿って処分を下す

従業員が機密情報を漏洩させてしまったときには、就業規則の懲戒規程に基づく処分を検討してください。

一般的に、懲戒処分の種類は「戒告、譴責、減給、出勤停止、降格、諭旨解雇、懲戒解雇」に分類されます。

懲戒処分の内容を決定するときには、機密情報の漏洩をめぐる個別具体的な状況を踏まえたうえで、就業規則のルールに則る必要があります。

たとえば、意図的に機密情報を外部に持ち出して競合他社に売り込んだような悪質な事案の場合には、懲戒解雇処分を下すことも可能でしょう。

一方で、うっかりミスで機密情報を漏洩させたものの、漏洩範囲が広いわけではなく、事業活動への影響もほとんど生じていないケースの場合には、戒告・譴責・減給などの範囲でとどめるのが相当だと考えられます。

懲戒処分の内容・程度を見誤ると、後から従業員側から労働審判などを申し立てられるリスクに晒されます。

弁護士へ相談・依頼をすれば、機密情報の漏洩トラブルへの対策だけではなく、従業員に対する懲戒処分の内容などについてもアドバイスを期待できるでしょう。

さいごに

機密情報とは、企業の外部に持ち出すことが想定されていない情報全般のことを指します。

企業が安定的・継続的に事業活動を展開するには、機密情報の取扱いに細心の注意を払う必要があります。機密情報を漏洩させてしまうと、社会的信用が低下するだけではなく、高額の賠償責任を追及されかねないからです。

ベンナビITでは、機密情報漏洩時の対応やバックオフィス部門の構築経験を有する弁護士を多数掲載中です。

法律事務所の所在地、具体的な相談内容、初回相談無料などのサービス内容から、24時間無料で弁護士を検索できます。

機密情報をめぐる問題は企業の根幹に関わるので、機密情報の取扱いについて少しでも不安・疑問があるときには、できるだけ早いタイミングで弁護士まで連絡をしてください。