機密とは?情報漏えいを防ぐために企業が取り組むべき管理方法

「機密」とは、秘密とされる事項を意味する言葉です。昨今は企業や団体による情報漏えい事案に関する報道が絶えず、企業が行うべき機密保持に対する一層の対策が求められています。この記事では、機密という言葉の正しい意味や、情報漏えい回避のために企業が行うべき管理についてご紹介します。
目次
「機密」とは
まず「機密」とはどのような意味を持つ言葉で、「秘密」とはどう意味合いが異なるのでしょうか。
「機密」の言葉の意味は?
辞書などには「政治・軍事上きわめて重要な事柄についての秘密」と記されています。それが転じて、企業などでも業務上の情報漏えいを避けるべく管理が必要な「重要性の高い秘密事項」を機密と呼ぶようになったとされています。
一方、秘密は他人に知られないようにすること、隠して人に見せたり教えたりしないこと、またそのような事柄を意味します。
機密の要件は
- 非公知性:一般に知られていない情報であること
- 有用性:その情報が組織や個人にとって価値があること
- 秘密管理性:その情報が適切に管理され、秘密として扱われていること
と言えます。
法律等に定められているものでは以下のようなものがあります
「国家公務員法」第100条第1項
職員は、職務上知ることのできた秘密を漏らしてはならない。その職を退いた後といえども同様とする。
「刑法」第134条第1項
「医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。
「不正競争防止法」第2条第6項
営業秘密の定義「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」
企業が守るべき機密文書
企業が業務上の機密を守るための取り扱いが求められる機密文書には、以下のようなものがあります。
経営機密
経営機密は企業の将来的な方向性を示す中長期経営計画を含み、これには今後5年間の事業展開計画や新規事業への投資計画などが含まれます。また、企業の重要な戦略的決定であるM&A関連情報として、買収対象企業のリストや交渉状況なども含まれます。取締役会での決議事項として、組織改編案や重要人事なども経営機密の一部となります。さらに、財務諸表公表前の決算情報や、新株発行、社債発行の検討状況といった資金調達計画も重要な経営機密として扱われます。
技術機密
試作品の設計図や実験データといった研究開発中の新製品情報等が該当します。さらに、温度管理方法や品質管理基準などの製造工程における独自の技術も重要な技術機密です。特許出願前の発明情報や、生産設備の詳細な仕様や設定値も技術機密として保護されます。また、トラブル対応手順書などの不具合対策のノウハウも、企業の技術的優位性を支える重要な機密情報となります。
営業機密
購買履歴や信用情報を含む顧客データベース、価格設定や支払条件といった取引先との契約条件も重要な営業機密です。値引き基準や販売地域戦略といった販売戦略、取引条件や供給能力などの仕入先情報も営業機密として管理されます。さらに、商談プロセスやクロージング手法といった営業マニュアルも、企業の営業力を支える重要な機密情報です。
人事機密
従業員の住所、家族構成、健康情報といった個人情報等が該当します。また、基本給、賞与額、昇給率などの給与情報も重要な人事機密です。業績評価やコンピテンシー評価といった人事評価データ、採用予定数や求める人材像を含む採用計画も機密情報として扱われます。さらに、組合との交渉内容や合意事項といった労使交渉情報も、重要な人事機密として管理されています。近年注目されるものとして、社員のマイナンバーがあります。
その他、社外秘マークがあるものや一部の社員しか知り得ない情報を記した文書やデータも機密文書に該当します。契約締結時に契約書に記載した情報も機密情報や秘密情報に該当する可能性があります。営業秘密は法律上の概念となるため、その範囲は法律で決められています。
3つに分類される機密文書
機密文書は、機密度のレベルに応じて3段階に分類できます。ここでは、IPA「事故事例に学ぶセキュリティ対策の実際(p45)」を参考に記載いたします。
分類区分としては法令やガイドラインなどで定められているわけではないため、企業によって若干区分が異なる可能性があります。
著作権表示:Copyright「事故事例に学ぶセキュリティ対策の実際(p45)」
極秘文書
3区分のなかでも、もっとも重要かつ厳重に管理すべき文書です。外部に漏れると企業経営にも影響が及ぶため、経営に関わるごく一部の人にしか共有されません。
具体的には、未公開の研究開発結果、特別プロジェクトの資料、開示されていない経理文書などが該当します。
秘文書
極秘文書の次に重要とされる文書で、社内でも一部の人しか閲覧を認められません。具体的には重要契約書や人事に関する情報などが含まれます。
社外秘文書
社内のみで共有が可能で、社外への漏えいが禁じられている情報です。具体的には自社の顧客リストや企画書、調査資料、議事録などが含まれます。
情報の機密度レベルによる分類について、以下に表にしていますのでご参照ください。
機密文書を分類する機密度レベル
前述の「3つに分類される機密文書」でご説明したように、機密文書は機密度によって3段階に分類されます。機密度のレベルは以下の基準によって分けられています。
- 機密情報の経済的価値
- 情報漏えい行為等によって被る損失の程度
- 競合他社にとっての有用性
- 協力会社に与える損失の程度
- 機密情報を保護対象としている法律に違反した場合の制裁の程度
機密度レベルの度合 | 機密度に関する概要 | 該当する文書やデータ |
---|---|---|
極秘文書/ Top Secret |
・漏えいがあると企業の全社的な経営に 影響する可能性がある ・経営陣をはじめとする一部の限られた 人員のみ閲覧可 |
・未発表の研究開発の結果 ・合併情報など特別プロジェクト関連資料 ・公表していない経理情報 など |
秘文書/ Secret |
・外部に漏えいすると事業に影響がある ・決められた部署の人員のみ閲覧可 |
・経営戦略や営業企画に関する情報 ・非公開の企業方針 ・特許申請に関する情報 ・顧客に関する情報 ・仕入れ値の価格が記載されたもの など |
社外秘文書/ Confidential |
・漏えいがあると信用および経済的な損失を 被る可能性がある ・社内の人員のみ閲覧可 |
・契約書、見積書、発注書、請求書 就業規定、社員の個人情報、議事録 社員との秘密保持契約書 など |
一般文書/ Normal |
・既に外部へ公開済みの情報 ・社内外を問わず誰でも閲覧可 |
・製品・サービスのカタログや価格表 ・外部向けの情報を記載したホワイトペーパー など |
著作権表示:「Copyright 事故事例に学ぶ情報セキュリティ対策の実際(2009年度) IPA」
機密文書の分類は企業の判断で異なりますが、3段階に分けているところがほとんどです。
企業の機密情報が漏えいするとどうなる?
では、企業内の機密が万一漏えいしてしまった場合、どのようなリスクが想定されるか事例を交えて説明します。
主な情報漏えい事案の事例
大きく報道された事例としては2014年、教育サービス企業が保有していた2,000万人超もの顧客情報が漏えいした件があります。当該企業に派遣社員として勤務していた者による内部不正であることが分かり、事件にまで発展しました。
また最近では、2019年までにモバイルサービス企業に在籍していたエンジニアが、最新技術に関する機密情報を不正に持ち出し、翌日の2020年1月1日に競合企業に転職していたという事件が起きました。エンジニアが転職後、以前の企業が情報持ち出しに気付き、情報を持ち出したエンジニアは逮捕されました。
個人情報漏えいに該当する事案としては、地方自治体が主催したイベントの情報メールを協賛者が送る際、本文中のイベント参加申込先に誤ってイベントに関係のない団体のメールアドレスを記載してしまった結果、誤って記載された団体に参加希望者からの申込メールが多数届いてしまうということがありました。
この事案はイベント主催者からの指摘により判明、担当者が以前配信したイベント情報を基に文章を作成、申込先メールアドレスの書き換えを失念して送信したことが原因でした。
リスク1 企業の経営不振につながる
機密情報漏えい事案によって想定されるリスクでもっとも大きなものは、その事実が明るみとなったことで取引先の信用を損なうことでしょう。取引停止や顧客離れで売上が減少し経営に影響が及んだり、企業自体のイメージや信用を損なったりすることが想定されます。
リスク2 情報漏えいによる罰則
情報漏えい事案の経緯や事件性の有無次第では、法律によって罰金や罰則を科せられる場合があります。また、顧客へ損害を与える事態にまで発展してしまうと、多額の賠償を請求されることも考えられます。
機密情報が漏えい・流出してしまう原因は?
企業などの機密情報が漏えいしてしまう背景には、どのような原因があるのでしょうか。機密情報の漏えい要因として、以下のような要因が挙げられます。
- 現職従業員や関係者による誤操作や誤記などの人為ミス
- 社内の管理ルール不徹底によるもの
- 社員などによる内部不正
- サイバー攻撃など外部からの不正行為
- 退職者による意図的もしくは誤った漏えい
以下は、「企業における営業秘密管理に関する実態調査 2020」に基づいて、2020年の機密情報漏えい事案における漏えい経路の割合をグラフ化したものです。

著作権表示:「Copyright 企業における営業秘密管理に関する実態調査 2020 調査実施報告書(令和3年3月) IPA」
これらの他、社内機器のコンピュータウイルス感染、無差別な不正アクセスによる被害など、さまざまな原因で機密情報が流出してしまうリスクがあります。
総務省の「不正アクセス行為の発生状況(令和元年)」によると、不正アクセス被害の件数は年々増加しており、そのなかでももっとも多いのは一般企業が被害を受けるケースで、年間2,855件にも及びます。
サイバー攻撃や不正アクセスによって情報を盗む手口は、巧妙化の一途を辿っています。企業にとって機密情報は大きな財産で、それを守ることは生命線でもあります。今後も、社内の情報やデータの適正な管理を、あらゆる角度より徹底することが必要です。
企業が取り組むべき機密情報の管理方法
企業が情報漏えいを防ぐためには、どのような取り組みが必要なのでしょうか。ここでは、企業によるセキュリティ対策や情報管理のポイントをご紹介します。
情報・データのセキュリティ強化
情報にアクセスする際にIDやパスワードなどの暗号化を取り入れたり、保管場所に入室制限を設けるなど適切なセキュリティ対策を行ったりしておくなど、情報にアクセス可能な人員を限定することで対策を行えます。
脆弱性対策の強化
使用中のソフトウェアなどを常に最新のバージョンへアップデートすることや、すべての機密情報を非公開の場所に保管することで、脆弱性による万一のデータ流出を防止します。セキュリティソフトを導入することも、脆弱性対策に有効です。
社員に対する教育の徹底
社員間で機密情報に関するモラルを醸成するとともに、セキュリティに関する社員教育の機会を徹底して設けます。
具体的には、社内文書の社外への持ち出しや複製禁止の徹底・周知を行うことや、機密度レベルに合った管理方法を明確にルール化することなどが有効です。また同時に、情報漏えい対策の手順や、社内情報に関するセキュリティポリシーを策定し、社員への教育を徹底しましょう。

機密情報漏えいを防ぐには安全な環境づくりが大事
権限者以外の人が紙・電子データ問わず機密情報を閲覧している、あるいは閲覧できるような環境を発見したら迅速な対処が必要です。
物理的セキュリティ対策
1. アクセス制御
建物や重要エリアへのアクセスについては、ICカードや生体認証などの入退室管理システムを導入して制御します。また、来訪者の記録と監視を徹底し、必要に応じて警備員による巡回も実施します。さらに、建物内のセキュリティレベルに応じて、一般エリア、制限エリア、高セキュリティエリアなどにゾーンを階層化します。
2. 文書・媒体の管理
機密性の高い書類は必ず施錠可能なキャビネットやロッカーに保管し、不要になった文書は適切にシュレッダー処理を行います。また、USBメモリなどの外部記憶媒体の持ち込みや持ち出しについては、厳格な制限を設けます。
3. 作業環境の整備
机上の整理整頓を徹底するクリアデスクポリシーを実施し、離席時には重要な書類を片付けることを習慣化します。また、画面ののぞき見を防止するためにフィルターを設置し、プリンターやFAXでの印刷物は放置せず、速やかに回収します。
情報セキュリティ対策
1. システムセキュリティ
システムへのアクセスには複雑な文字列を組み合わせた強固なパスワードを設定し、さらに多要素認証を導入して安全性を高めます。また、ユーザーごとに適切なアクセス権限を設定し、定期的な見直しを行います。さらに、システムの操作ログを取得し、定期的な監査を実施します。
2. ネットワークセキュリティ
外部からの不正アクセスを防ぐためにファイアウォールを設置し、通信の暗号化を徹底します。また、ネットワークをセグメントごとに分離して区画化を行い、不正アクセスを検知するシステムを導入します。
3. データ保護
重要なデータは暗号化して保存し、定期的にバックアップを実施します。また、データの外部への持ち出しを制御するシステム(DLP)を導入し、不要になったデータは確実に消去する方法を確立します。
組織的な対策
1. 規程・ルールの整備
組織全体の情報セキュリティポリシーを策定し、日常業務における具体的な運用手順を文書化します。また、セキュリティインシデントが発生した際の対応手順を明確に定めます。
2. 教育・啓発
全従業員を対象とした定期的なセキュリティ研修を実施し、日常的なセキュリティ意識の向上を図ります。また、実際に発生したインシデント事例を共有し、組織全体で学習します。
3. 監査・改善
定期的な内部監査を実施し、必要に応じて外部の専門機関による監査も活用します。これらの結果をもとにPDCAサイクルを回し、セキュリティ対策の継続的な改善を図ります。
これらの対策を効果的に組み合わせ、組織の実情に合わせて適切に実装することが重要です。また、新たな脅威や技術の進展に応じて、定期的に見直しと更新を行うことが必要不可欠です。
ALSOKでは、社内の情報資産を守るためのさまざまなサービスをご提供しています。
ALSOK IT資産管理
社内のパソコンなど、各種端末に保存されている機密情報の持ち出しや漏えいを監視するサービスです。テレワーク時でも操作ログの取得が可能で、手軽にIT資産を一元管理できます。
ALSOKの関連商品
まとめ
今回は機密情報とはどのような情報かをご説明するところから、社内の機密情報が漏えいするリスクの大きさや、情報を適切に管理するポイントまでご紹介しました。外部に公開できない文書やデータは、あらゆる側面から漏えいを防ぐことが大切です。
社内セキュリティ強化に関するお悩みがあれば、ぜひALSOKまでご相談ください。
各企業様の状況やご予算・ご要望をしっかりお伺いし、最適なサービスをご提案します。