機密文書が外部に漏えいすると、企業や関係者に被害が及ぶ恐れがあるため、厳重に管理する必要があります。特に昨今ではテレワークが増えた影響で、機密文書の漏洩リスクが高まっているので管理方法の確立は急務です。
本記事では機密文書の基本的な知識からはじめ、機密文書が漏洩してしまう原因や、漏えいを防ぐ対策方法などを解説します。
機密文書とは
これらの情報が部外者に渡ってしまった場合、製品ノウハウを利用した模倣品を先に開発・発売されてしまう、顧客の個人情報を不正利用されて刑事責任を負うなどのリスクがあります。さらに組織・企業の売り上げや社会からの信用が下落するなどの間接的影響もあり、事業の存続が危うくなることも懸念されるでしょう。
そのため、機密文書は適切な管理のもと、部外に漏えいしないように秘密保持を行う必要があります。機密文書を保存する設備やパソコンのセキュリティの強化、機密文書の取り扱いに関する社内教育などにより、部外に漏えいしないように対策を講じることが重要です。
機密文書の漏えいによる影響
まずは漏えいによってどのような影響があるかを知り、そのうえで対策を検討しましょう。
機会損失を生む
また、漏えいによって機密文書を扱っていた企業だけでなく、営業先・顧客・販売パートナーなどの関係者にまで被害や不利益が生じる場合もあるでしょう。そのため、関係者からの信頼度が下がり、貴重な販売ルートや顧客を失う恐れもあります。
さらに、被害を受けた関係者だけでなく、地域や社会全体へ機密文書の管理が不適切な組織であるという悪印象を与えます。結果として、従来の取引先や顧客を失い、さらに新規獲得が難しくなることで、事業継続に致命的な損害を及ぼしかねません。一度失った信頼を取り戻すのは簡単ではなく、長い期間を要します。
刑事責任を問われる
情報の管理体制などについて国から是正勧告を受けたうえで従わない場合、経営者・役員には1年以下の懲役または100万円以下の罰金が科されます。故意に不正な利益を得る目的で漏えいさせた場合は、1年以下の懲役または50万円以下の罰金です。
個人情報などを含まない営業秘密が漏えいした場合、故意でなければ罰則を受けることはありません。営業秘密とは、企業が外部に公開していない機密情報や技術のことです。
営業秘密を含む機密文書を漏えいさせた加害者は、10年以下の懲役もしくは2,000万円以下の罰金または併科、法人などの組織ぐるみの犯行では5億円以下の罰金が科せられます。また、海外へ流出させた場合は罪がより重くなり、個人が10年以下の懲役もしくは3,000万円以下の罰金または併科、法人は10億円以下の罰金となります。
民事責任を問われる
賠償金や謝罪金の額については、漏えいした情報や規模によりさまざまです。「2018年情報セキュリティインシデントに関する調査報告書」では、2018年にインターネット上で公開された範囲で、漏えいの賠償額について調査されています。この調査結果によれば、情報漏えいの発生件数は443件、想定損害賠償は総額2,684億5,743万円にのぼります。つまり、漏えい1件につき平均6億円以上もの賠償額を企業が支払っている計算です。
参照元:2018年 情報セキュリティインシデントに関する調査報告書【速報版】
機密文書の重要度による分類
極秘(Top Secret)
極秘文書とする情報の具体例は、企業の経営に関する財務情報・新製品の仕様書や設計書・研究データ・独自の技術情報・協力会社との合併状況などです。
極秘文書は、保管場所のセキュリティ性や閲覧権限の制限などを厳重にし、特定の人だけが閲覧できるようにする必要があります。企業の中心人物となる経営者やその情報にかかわる数人のみが閲覧できる状態が望ましいでしょう。
秘(Secret)
秘文書に該当するものには、社内の人事情報・個人情報・他社との契約書・経営戦略情報などがあります。一般的に、役員・部門長などだけが閲覧できる情報を指す場合が多いです。
秘文書をメールや紙で送る際は、メールの暗号化や、本人以外が受け取れない方法で送付しましょう。
社外秘(Confidential)
例えば、就業規則や企画書、会議の議事録、マニュアルなどが社外秘文書にあたります。社内での共有が可能なため、秘文書や極秘文書ほど厳重な管理は必要ありません。
しかし、USB機器や社外で利用する端末には保存しないなど、データや文書の持ち出しについての規定を決め、従業員へ十分に周知することは必要です。
機密文書が漏えいする原因
機密文書の漏えいを防ぐには、その原因を把握し、原因に応じた適切な対策を講じる必要があります。
漏えいの原因は、主に会社の内部または外部からの2つに分けられます。内部の原因は、運用上の人的ミスや内部不正、外部の原因はサイバー攻撃によるものなどです。
内部からの情報漏えい
経済産業省がまとめた資料である『営業秘密の保護・活用について』によると、機密文書が漏えいする原因には、悪意を持って故意に漏えいするよりも、社員の人的ミスによって引き起こされる場合の方が多いとされます。
参照元:営業秘密の保護・活用について
人的ミスの例としては、メールの送信先間違いや、屋外への置き忘れ、機密文書データのアクセス権限の設定ミスなどがあります。いずれも注意していれば防げるものではありますが、人間が行動するうえでミスを完全になくすことは困難です。
また、故意に機密文書を漏えいさせる例としては、元社員が競合企業や悪徳業者から報酬を得る目的で営業秘密や個人情報などの機密文書を提供する場合があります。そのため、現職だけでなく退職者や業務提携先企業の社員などに対しても、機密文書の取り扱いに関する契約を交わし、対策することが大切です。
外部からの情報漏えい
例えば、メールに記載されているURLにアクセスしただけでコンピューターウイルスに感染し、パソコンに保存している重要なデータが漏えいすることがあります。また、協力会社の社員になりすまし、開発資料や技術情報を盗まれるといったケースもあるので要注意です。
機密文書漏えいを防ぐ対策
管理方法を見直す
まず、機密文書となるデータを洗い出し、それを秘密レベルごとに分類します。契約や会計などに関するデータは、法律で保存期間が定められているものもあるため、定期的に情報を見直しましょう。
電子データであれば、各社員の権限に応じてアクセス制限をかけることで、データを閲覧できる人や編集できる人を制限し、情報漏えいリスクを抑えることが可能です。また、万一漏えいしてしまった場合に備えてデータを暗号化しておくことで、情報の中身を読み取られるリスクを減らせます。
紙の文書であれば、廃棄の際はシュレッダーにかけたり、専門の業者に依頼するなどして焼却・溶解処分を行ったりしなければなりません。しかし、こうした処分方法は手間がかかるのがネックです。業者に依頼する場合は、処分するまでのあいだに不手際があるとそこから情報漏えいが起こるリスクもあります。
セキュリティ対策を強化する
しかし、人的ミスを防ぐ観点から、セキュリティ対策ソフトなどの導入で自動的に対策できる方法を取ることが重要です。マルウェアやサイバー攻撃の手法は日々進化しているため、セキュリティシステムやOSのセキュリティパッチを常に最新の状態に更新することも欠かせません。
クラウド上で機密情報を管理する場合は、多要素認証を導入することも有効です。パスワード以外の手段による認証操作もユーザーに義務づけることで、万一パスワード情報が漏えいした場合でも、不正アクセスを防げます。
ツールやパソコンの機能によって、外部からの不正アクセスや不審なメールを自動的にシャットアウトできます。データへのアクセス権限を設定し、閲覧できる人を限定するのも効果的です。
社員教育を実施する
まず、社内で機密文書に関する規定を作成し、全社員で共有します。具体的には、文書の受け渡し、保管、廃棄など、機密文書を取り扱う際のルールを明確にし、遵守させることが重要です。テレワークを導入しているのであれば、カフェなどの人目があるところで機密文書を扱わないなどのルールも必要でしょう。同時に、規定に違反した場合の責任(減給・賠償金・解雇など)も明記し、機密文書を守ることの重大性を周知します。
また、セキュリティに関するルールは一度だけではなく、定期的に社員に伝えましょう。ルールの内容をテストし、社員に回答してもらうのも効果的です。社内でルールや資料を作成するのが困難な場合は、eラーニングといった外部サービスを利用するのもおすすめです。いずれにしても、社員の情報リテラシーを高めるには継続的な取り組みが求められます。
クラウドストレージへ移行する
機密文書の漏えいは、主に保管場所からデータを移動する際に発生します。例えば、メールの誤送信やUSBメモリの紛失などです。メールではPPAP問題もあり、簡便な方法で暗号化したとしてもセキュリティが万全であるとは言えません。USBに関しても、特にテレワークで利用するとなれば、紛失・盗難のリスクはより増大するでしょう。
その点、クラウドストレージにデータを移行すれば、データを一元管理できるため、管理方法が煩雑化しにくく、いつでもどこでもデータにアクセスできるようになります。アクセス権限を設定すれば、データを閲覧・編集できる人を限定し、セキュリティ対策に配慮することも可能です。さらに、データの受け渡しをする際には、メールに直接データを添付するのではなく、クラウド上のデータへアクセスできるURLを記載すれば、たとえメール内容が流出しても許可を受けた人だけが受け取れる状態にできます。データ化した機密文書は、紙に比べて廃棄の手間や漏洩リスクを抑えられるのも利点です。
例えばクラウドストレージサービスのひとつであるBoxは、コンテンツを集約させることでチーム内外とのシームレスな連携を実現しつつ、高度なセキュリティ制御により重要な情報を保護できるソリューションです。Boxの具体的なセキュリティ機能としては、全てのファイルの暗号化や、7段階の細やかなユーザー権限の設定などが挙げられます、これらのセキュリティ機能は、不正アクセスを予防する上で強力な効果を発揮するでしょう。
さらに、各国・地域の規制に対応していることもBoxの特筆すべき点です。このような特長を備えたBoxを全社的に導入すれば、社員全体が共通のルールや方法で機密文書を適切に管理しやすくなるでしょう。
まとめ
関連する記事
関連ソリューション
関連事例
お問い合わせ