機密とは?情報漏えいを防ぐために企業が取り組むべき管理方法
「機密」とは、秘密とされる事項を意味する言葉です。昨今は企業や団体による情報漏えい事案に関する報道が絶えず、企業が行うべき機密保持に対する一層の対策が求められています。この記事では、機密という言葉の正しい意味や、情報漏えい回避のために企業が行うべき管理についてご紹介します。
目次
「機密」とは
まず「機密」とはどのような意味を持つ言葉で、「秘密」とはどう意味合いが異なるのでしょうか。
「機密」の言葉の意味は?
辞書などには「政治・軍事上きわめて重要な事柄についての秘密」と記されています。それが転じて、企業などでも業務上の情報漏えいを避けるべく管理が必要な「重要性の高い秘密事項」を機密と呼ぶようになったとされています。
一方、秘密は他人に知られないようにすること、隠して人に見せたり教えたりしないこと、またそのような事柄を意味します。
企業が守るべき機密文書
企業が業務上の機密を守るための取り扱いが求められる機密文書には、以下のようなものがあります。
・企業の機密が記された文書やデータ
営業上の秘密事項が含まれる文書・データ
・企業に関する重要な文書やデータ
見積書や契約書、新製品情報や公表前の研究データなどを含む文書・データ
その他、社外秘マークがあるものや一部の社員しか知り得ない情報を記した文書やデータも機密文書に該当します。契約締結時に契約書に記載した情報も機密情報や秘密情報に該当する可能性があります。営業秘密は法律上の概念となるため、その範囲は法律で決められています。
3つに分類される機密文書
機密文書は、機密度のレベルに応じて3段階に分類できます。ここでは、IPA「事故事例に学ぶセキュリティ対策の実際(p45)」を参考に記載いたします。
分類区分としては法令やガイドラインなどで定められているわけではないため、企業によって若干区分が異なる可能性があります。
著作権表示:Copyright「事故事例に学ぶセキュリティ対策の実際(p45)」
極秘文書
3区分のなかでも、もっとも重要かつ厳重に管理すべき文書です。外部に漏れると企業経営にも影響が及ぶため、経営に関わるごく一部の人にしか共有されません。
具体的には、未公開の研究開発結果、特別プロジェクトの資料、開示されていない経理文書などが該当します。
秘文書
極秘文書の次に重要とされる文書で、社内でも一部の人しか閲覧を認められません。具体的には重要契約書や人事に関する情報などが含まれます。
社外秘文書
社内のみで共有が可能で、社外への漏えいが禁じられている情報です。具体的には自社の顧客リストや企画書、調査資料、議事録などが含まれます。
情報の機密度レベルによる分類について、以下に表にしていますのでご参照ください。
機密文書を分類する機密度レベル
前述の「3つに分類される機密文書」でご説明したように、機密文書は機密度によって3段階に分類されます。機密度のレベルは以下の基準によって分けられています。
- 機密情報の経済的価値
- 情報漏えい行為等によって被る損失の程度
- 競合他社にとっての有用性
- 協力会社に与える損失の程度
- 機密情報を保護対象としている法律に違反した場合の制裁の程度
機密度レベルの度合 | 機密度に関する概要 | 該当する文書やデータ |
---|---|---|
極秘文書/ Top Secret |
・漏えいがあると企業の全社的な経営に 影響する可能性がある ・経営陣をはじめとする一部の限られた 人員のみ閲覧可 |
・未発表の研究開発の結果 ・合併情報など特別プロジェクト関連資料 ・公表していない経理情報 など |
秘文書/ Secret |
・外部に漏えいすると事業に影響がある ・決められた部署の人員のみ閲覧可 |
・経営戦略や営業企画に関する情報 ・非公開の企業方針 ・特許申請に関する情報 ・顧客に関する情報 ・仕入れ値の価格が記載されたもの など |
社外秘文書/ Confidential |
・漏えいがあると信用および経済的な損失を 被る可能性がある ・社内の人員のみ閲覧可 |
・契約書、見積書、発注書、請求書 就業規定、社員の個人情報、議事録 社員との秘密保持契約書 など |
一般文書/ Normal |
・既に外部へ公開済みの情報 ・社内外を問わず誰でも閲覧可 |
・製品・サービスのカタログや価格表 ・外部向けの情報を記載したホワイトペーパー など |
著作権表示:「Copyright 事故事例に学ぶ情報セキュリティ対策の実際(2009年度) IPA」
機密文書の分類は企業の判断で異なりますが、3段階に分けているところがほとんどです。
企業の機密情報が漏えいするとどうなる?
では、企業内の機密が万一漏えいしてしまった場合、どのようなリスクが想定されるか事例を交えて説明します。
主な情報漏えい事案の事例
大きく報道された事例としては2014年、教育サービス企業が保有していた2,000万人超もの顧客情報が漏えいした件があります。当該企業に派遣社員として勤務していた者による内部不正であることが分かり、事件にまで発展しました。
また最近では、2019年までにモバイルサービス企業に在籍していたエンジニアが、最新技術に関する機密情報を不正に持ち出し、翌日の2020年1月1日に競合企業に転職していたという事件が起きました。エンジニアが転職後、以前の企業が情報持ち出しに気付き、情報を持ち出したエンジニアは逮捕されました。
個人情報漏えいに該当する事案としては、地方自治体が主催したイベントの情報メールを協賛者が送る際、本文中のイベント参加申込先に誤ってイベントに関係のない団体のメールアドレスを記載してしまった結果、誤って記載された団体に参加希望者からの申込メールが多数届いてしまうということがありました。
この事案はイベント主催者からの指摘により判明、担当者が以前配信したイベント情報を基に文章を作成、申込先メールアドレスの書き換えを失念して送信したことが原因でした。
リスク1 企業の経営不振につながる
機密情報漏えい事案によって想定されるリスクでもっとも大きなものは、その事実が明るみとなったことで取引先の信用を損なうことでしょう。取引停止や顧客離れで売上が減少し経営に影響が及んだり、企業自体のイメージや信用を損なったりすることが想定されます。
リスク2 情報漏えいによる罰則
情報漏えい事案の経緯や事件性の有無次第では、法律によって罰金や罰則を科せられる場合があります。また、顧客へ損害を与える事態にまで発展してしまうと、多額の賠償を請求されることも考えられます。
機密情報が漏えい・流出してしまう原因は?
企業などの機密情報が漏えいしてしまう背景には、どのような原因があるのでしょうか。機密情報の漏えい要因として、以下のような要因が挙げられます。
- 現職従業員や関係者による誤操作や誤記などの人為ミス
- 社内の管理ルール不徹底によるもの
- 社員などによる内部不正
- サイバー攻撃など外部からの不正行為
- 退職者による意図的もしくは誤った漏えい
以下は、「企業における営業秘密管理に関する実態調査 2020」に基づいて、2020年の機密情報漏えい事案における漏えい経路の割合をグラフ化したものです。
著作権表示:「Copyright 企業における営業秘密管理に関する実態調査 2020 調査実施報告書(令和3年3月) IPA」
これらの他、社内機器のコンピュータウイルス感染、無差別な不正アクセスによる被害など、さまざまな原因で機密情報が流出してしまうリスクがあります。
総務省の「不正アクセス行為の発生状況(令和元年)」によると、不正アクセス被害の件数は年々増加しており、そのなかでももっとも多いのは一般企業が被害を受けるケースで、年間2,855件にも及びます。
サイバー攻撃や不正アクセスによって情報を盗む手口は、巧妙化の一途を辿っています。企業にとって機密情報は大きな財産で、それを守ることは生命線でもあります。今後も、社内の情報やデータの適正な管理を、あらゆる角度より徹底することが必要です。
企業が取り組むべき機密情報の管理方法
企業が情報漏えいを防ぐためには、どのような取り組みが必要なのでしょうか。ここでは、企業によるセキュリティ対策や情報管理のポイントをご紹介します。
情報・データのセキュリティ強化
情報にアクセスする際にIDやパスワードなどの暗号化を取り入れたり、保管場所に入室制限を設けるなど適切なセキュリティ対策を行ったりしておくなど、情報にアクセス可能な人員を限定することで対策を行えます。
脆弱性対策の強化
使用中のソフトウェアなどを常に最新のバージョンへアップデートすることや、すべての機密情報を非公開の場所に保管することで、脆弱性による万一のデータ流出を防止します。セキュリティソフトを導入することも、脆弱性対策に有効です。
社員に対する教育の徹底
社員間で機密情報に関するモラルを醸成するとともに、セキュリティに関する社員教育の機会を徹底して設けます。
具体的には、社内文書の社外への持ち出しや複製禁止の徹底・周知を行うことや、機密度レベルに合った管理方法を明確にルール化することなどが有効です。また同時に、情報漏えい対策の手順や、社内情報に関するセキュリティポリシーを策定し、社員への教育を徹底しましょう。
機密情報漏えいを防ぐには安全な環境づくりが大事
権限者以外の人が紙・電子データ問わず機密情報を閲覧している、あるいは閲覧できるような環境を発見したら迅速な対処が必要です。例えば書類棚の鍵が誰でも持ち出せたり、鍵がコピーされている、あるいは鍵を持ち出すのに必要な社員証が貸し借りされている場合などです。
もちろん、それ以前に情報を漏えいさせないための取り組みや、いつ何時でも異常を発見する環境づくりも大切になります。自社での対応が難しい場合は、セキュリティを専門で取り扱う会社に対策を依頼することも検討しましょう。
ALSOKでは、社内の情報資産を守るためのさまざまなサービスをご提供しています。
ALSOK IT資産管理
社内のパソコンなど、各種端末に保存されている機密情報の持ち出しや漏えいを監視するサービスです。テレワーク時でも操作ログの取得が可能で、手軽にIT資産を一元管理できます。
ALSOKの関連商品
まとめ
今回は機密情報とはどのような情報かをご説明するところから、社内の機密情報が漏えいするリスクの大きさや、情報を適切に管理するポイントまでご紹介しました。外部に公開できない文書やデータは、あらゆる側面から漏えいを防ぐことが大切です。
社内セキュリティ強化に関するお悩みがあれば、ぜひALSOKまでご相談ください。
各企業様の状況やご予算・ご要望をしっかりお伺いし、最適なサービスをご提案します。