サイト内の現在位置

機密情報とは|漏洩しないための方法やおすすめのプラットフォームをご紹介

企業が守るべき重要な情報である機密情報。本記事では機密情報とは何かという基本から、機密漏洩がもたらす損害の大きさや漏洩を防止するにはどうするべきかという取り扱い方法などを解説しています。機密情報の保護はどんな企業でも直面する課題なので、漏れのないよう基本から確認してみましょう。

機密情報とは

機密情報とは、企業秘密とも呼ばれる重大な秘密情報のことです。顧客情報や企画書、従業員の個人情報など、企業が外部に漏らしたくない重大な情報のすべてが該当します。万が一漏洩が起きた場合、信頼の失墜や損害賠償のリスクなど、企業にもたらす損失は計り知れません。

機密情報の定義

企業がもつ情報の中でも、例えば「外部への開示が予定されていない」「秘密として管理されている」「流出すると損害が生じる」、これらが機密情報として定義されています。また機密文書は、一般的に「企業の極めて重要な情報で、特に秘密保持が必要な文書」と定義されています。関係者以外に渡ると関係者に不利益が生じるリスクがある文書のことで、従業員や顧客などの個人情報を含む文書や、営業秘密を含む文書などです。具体的には人事情報、自社の財務情報、顧客リスト、仕入れ価格、クレーム情報、開発中の製品の情報、製造工程図など企業の業務形態によってさまざまな種類があります。

機密情報の重要性

機密情報が保護されない場合、どうなってしまうのでしょうか。流出した際のリスクを考えてみましょう。まず企業の経営不振に繋がるのが1つ目のリスク。情報流出が起こると、企業のセキュリティ意識や社員教育の質を問われ、信頼失墜を招きます。信頼は一度失うと回復するまで時間がかかる上、信頼がなければ仕事は生まれません。

2つ目のリスクは情報漏洩による罰則が発生します。機密情報には自社内の情報だけではなく、取引先の機密情報も含まれます。流出した際には調査などの各費用に加え、損害賠償など金銭的な対応にも追われることに。共同開発会社など協力先や取引先から預かっている情報や技術、ノウハウを流出させてしまった場合、さらに膨大な損害賠償を支払う必要が出てくる可能性もあります。このように金銭的なダメージが膨れ上がると、倒産に至るという最悪な事態にもなりかねません。

3種類の機密情報

機密情報は「極秘文書」「秘文書」「社外秘文書」の3つの管理レベルで管理しましょう。機密情報は経済的価値や損失度合いで重要度レベルを設定します。分類する際には、「当該機密情報に経済的にどれほど価値があるのか」「漏洩した場合などにどの程度損失を被るのか」「ライバルにとってどの程度有用性があるのか」「共同開発などの関連企業に与える損失の大きさ」「保護対象としている法律に違反した場合に受けるであろう制裁の程度」を基準に分類すると良いでしょう。

  • (※
    管理レベル等は保有する情報の内容や会社の規模等によって異なってきます。ここで説明している管理レベル等は一例ですので、会社の状況等に応じた適切な対策を講じる必要があります。)

機密情報を3種類に分ける重要度レベル

各分類の管理内容の詳細を見ていきましょう。

文書名 管理方法 具体例
社外秘文書 社内での共有は可能だが、社外に持ち出してはならない情報。3種類の重要度レベルでは最も低いが、社外の人に簡単にアクセスされないようにする。 会議の議事録、顧客一覧、営業企画書、製品規格書など
秘文書 リーダーのみや同プロジェクトのメンバーなど、社内でも限られた一部の人のみが閲覧できる情報。社外秘よりは重要度はやや高め。 重要契約書、新製品情報、人事ファイルなど
極秘文書 3つの区分の中で最も重要で厳重に管理すべき情報。経営に直結する内容で、経営者層の役員などごく一部の人だけしか閲覧できない。 極秘プロジェクト、未公開の経理情報など

機密情報(文書)の管理は、上記の3区分のどれに当てはまるのかで管理方法に差異があります。社内のデータのうち、保護すべき情報をすべて洗い出したうえで重要度に応じて分類するとスムーズです。レベル分けし、それぞれの機密情報について保管・漏えい対策を講じます。「もしデータが漏洩したら?」を念頭に置き、外部に知られたくないものは暗号化してデータを管理するなど、セキュリティ対策も実施しましょう。

機密情報を漏洩させないための方法

まず自社で保有する情報をすべて把握することから始め、適切な管理体制構築を目指しましょう。ペーパーベースの資料、デジタルデータ、従業員が持つノウハウや技術も全て機密情報に該当します。重要な情報が漏えいしないよう、重要な情報へのアクセス制限を求めるセキュリティを強化するなどのセキュリティ対策も必要です。また、機密情報を取り扱う社員の、情報管理に対する意識づけにも取り組むべきです。機密情報を漏洩させないために、下記の4つの項目は必ず整備しましょう。


【機密情報を漏洩させないための方法】

  • 機密情報の把握・管理
  • 適切なセキュリティシステムの構築
  • 担当者の選任・教育
  • 取り扱い規定を定める

それぞれの方法の詳細を解説します。

機密情報の把握・管理

まずは自社においてどのような機密情報を保有しているのか、確認し把握します。保有する情報の把握をする際には、個人間で判断にばらつきが出ないようにするため、社内で「何が機密情報なのか」という統一の基準を設けるのが望ましいです。保有する情報の全体像の把握といっても、自社内に現在存在する書類や電子データなどの1つ1つを全て確認するということではありません。情報の種類を、ある程度一般化・抽象化した形で把握することです。把握した情報の質を、経済的価値や漏洩した場合の損失の大きさといった指標に基づいて評価し管理しましょう。

適切なセキュリティシステムの構築

情報漏洩を防ぐには、適切なセキュリティシステムの構築は欠かせません。セキュリティ体制を定期的にチェックするようにし、怪しいアクセスなどがないか確認しましょう。あわせて、不正アクセスを監視・排除するセキュリティ対策システムを導入することや、多要素認証の導入などでより強固なセキュリティ体制を構築することが重要です。また、取引先にもセキュリティ体制があるか確認するようにしましょう。

漏洩防止とスムーズな情報共有を実現するなら「PROCENTER/C」

当社の「PROCENTER/C」は多要素認証でなりすましを防止し、きめ細やかなアクセス権制御で文書の開示範囲の制限が可能。
また、内容が漏えいすることを防止するために、サーバ内のデータやダウンロードの際のファイルは暗号化されます。
二次漏えいを防止するために、ダウンロードの際にもファイル暗号化を行います。更には様々な操作ログを保存し、不正アクセスが検出可能です。
機密情報管理に求められるセキュリティ要件と利便性を両立できるためおすすめです。

担当者の選任・教育

機密情報を取り扱うことができる人数は、不用意に大人数になるのは望ましくありません。機密情報を取り扱う担当者は自社の規定に従って、責任あるポストである旨を明示し、専任として担当者を配置すべきです。情報の漏えいを防止するには、社員教育も欠かせません。漏洩対策の1つが機密情報を取り扱う意識づけになり、教育は大きな役割を担います。情報漏えい対策の手順や、社内情報に関するセキュリティポリシーを策定し、社員への教育を徹底しましょう。内容としては、社内文書の社外への持ち出しや複製禁止の周知徹底や、機密度レベルに合った管理方法を明確にルール化することなどが挙げられます。

取り扱い規定を定める

上記の機密情報の取り扱い方法を機能させるためには、ルール化する必要があります。ルール化する方法は、一般的には就業規則や情報管理規程といった社内の規程を定めることです。関係者が機密情報の管理を適切に行うことができるよう、秘密として保持すべき情報は何かということと、その情報をどのように取り扱うのか理解できるような内容にしましょう。社内の規程を周知し、関係者の機密情報に対する理解を深めることはそれ自体が「機密情報に対する認識の向上」に寄与します。重要な情報の取り扱いについて規程を定め、対外的にも信用に繋げるようにしましょう。

機密情報の漏洩対策実施例

当社の「PROCENTER/C」導入による、機密情報の漏洩対策の実施例をご紹介します。

ある企業では、営業部門で契約書や顧客情報など、秘匿性の高い情報を管理しないといけないという大前提があり、部門間での情報共有やテレワークでの機密情報へのアクセス方法が課題でした。


そこで同社は「PROCENTER/C」を導入し、多要素認証により、なりすましの防止を実現しました。
また、きめ細かなアクセス権制限によって文章の開示範囲が管理可能になりました。
さらに、サーバ内のデータは暗号化されるため、内容の漏えい防止につながります。
もちろんダウンロード時にもファイルを暗号化できるので、二次漏えいを防ぐことにもつながります。

不正アクセス検出のために、様々な操作ログが保存されるのも安心なポイントです。
セキュリティ要件を満たすことはもちろん、機密情報にセキュアにアクセスできるためテレワークの推進にもつながっています。

まとめ

機密情報は企業秘密や個人情報を含み、漏洩を防止するのはどの企業にも共通している責務です。テレワークも普及し、持ち出し、紛失などの可能性も高くなっています。機密情報を取り扱う専任者を設けたり、取り扱い方法に関する社内規程を設けるなど、取り組むべきことはたくさんあります。どんなに取り扱い方法を周知しても、セキュリティ体制が脆弱だとリスクを抱えたままですので、適切なセキュリティ体制の構築も合わせて行うようにしましょう。

企業間・部門間情報共有プラットフォーム「PROCENTER/C」

ビジネスのサプライチェーンがそのまま情報共有の範囲になる現在。
ビジネスに必要なさまざまなコンテンツをスムーズかつセキュアに共有・一元管理。
企業間、部門間 情報共有プラットフォーム「PROCENTER/C(プロセンターシー)」が効率的な情報活用でデジタルトランスフォーメーション(DX)を推進します。

製品TOP

お問い合わせ・Web相談

「かかる費用を知りたい」、「詳しい仕組みを知りたい」という方はお気軽にご連絡ください。

お問い合わせ・ダウンロード