機密文書が外部に漏えいすると、企業や関係者に被害が及ぶ恐れがあるため、厳重に管理する必要があります。特に昨今ではテレワークが増えた影響で、機密文書の漏洩リスクが高まっているので管理方法の確立は急務です。
本記事では機密文書の基本的な知識からはじめ、機密文書が漏洩してしまう原因や、漏えいを防ぐ対策方法などを解説します。
機密文書とは
機密文書とは、部外者に漏えいした場合に組織・企業が不利益や被害を受けるような、事業活動において重要度の高い文書のことです。例えば、設計書や仕様書といった製品の内部情報や、顧客リストなどの個人情報、組織の内情を表す財務情報などがあります。
これらの情報が部外者に渡ってしまった場合、製品ノウハウを利用した模倣品を先に開発・発売されてしまう、顧客の個人情報を不正利用されて刑事責任を負うなどのリスクがあります。さらに組織・企業の売り上げや社会からの信用が下落するなどの間接的影響もあり、事業の存続が危うくなることも懸念されるでしょう。
そのため、機密文書は適切な管理のもと、部外に漏えいしないように秘密保持を行う必要があります。機密文書を保存する設備やパソコンのセキュリティの強化、機密文書の取り扱いに関する社内教育などにより、部外に漏えいしないように対策を講じることが重要です。
これらの情報が部外者に渡ってしまった場合、製品ノウハウを利用した模倣品を先に開発・発売されてしまう、顧客の個人情報を不正利用されて刑事責任を負うなどのリスクがあります。さらに組織・企業の売り上げや社会からの信用が下落するなどの間接的影響もあり、事業の存続が危うくなることも懸念されるでしょう。
そのため、機密文書は適切な管理のもと、部外に漏えいしないように秘密保持を行う必要があります。機密文書を保存する設備やパソコンのセキュリティの強化、機密文書の取り扱いに関する社内教育などにより、部外に漏えいしないように対策を講じることが重要です。
機密文書の漏えいによる影響
前述のように機密文書の漏えいにより、組織や企業に甚大な被害が及ぶ場合があります。さらに、各企業でリモートワークの普及が進んでいることに伴い、機密文書の漏えいリスクは高まっています。
まずは漏えいによってどのような影響があるかを知り、そのうえで対策を検討しましょう。
まずは漏えいによってどのような影響があるかを知り、そのうえで対策を検討しましょう。
機会損失を生む
機密文書が外部に漏えいした場合、漏えいの原因を突き止め、対策を完了するまで業務を再開できません。業務停止中に売り上げがなくなるだけでも機会損失による甚大な被害を及ぼします。
また、漏えいによって機密文書を扱っていた企業だけでなく、営業先・顧客・販売パートナーなどの関係者にまで被害や不利益が生じる場合もあるでしょう。そのため、関係者からの信頼度が下がり、貴重な販売ルートや顧客を失う恐れもあります。
さらに、被害を受けた関係者だけでなく、地域や社会全体へ機密文書の管理が不適切な組織であるという悪印象を与えます。結果として、従来の取引先や顧客を失い、さらに新規獲得が難しくなることで、事業継続に致命的な損害を及ぼしかねません。一度失った信頼を取り戻すのは簡単ではなく、長い期間を要します。
また、漏えいによって機密文書を扱っていた企業だけでなく、営業先・顧客・販売パートナーなどの関係者にまで被害や不利益が生じる場合もあるでしょう。そのため、関係者からの信頼度が下がり、貴重な販売ルートや顧客を失う恐れもあります。
さらに、被害を受けた関係者だけでなく、地域や社会全体へ機密文書の管理が不適切な組織であるという悪印象を与えます。結果として、従来の取引先や顧客を失い、さらに新規獲得が難しくなることで、事業継続に致命的な損害を及ぼしかねません。一度失った信頼を取り戻すのは簡単ではなく、長い期間を要します。
刑事責任を問われる
機密文書を漏えいさせた場合、刑事責任を問われます。例えば、顧客などの個人情報を漏えいさせた場合、故意でなくても組織に対して個人情報保護法の罰則が適用されるケースがあります。
情報の管理体制などについて国から是正勧告を受けたうえで従わない場合、経営者・役員には1年以下の懲役または100万円以下の罰金が科されます。故意に不正な利益を得る目的で漏えいさせた場合は、1年以下の懲役または50万円以下の罰金です。
個人情報などを含まない営業秘密が漏えいした場合、故意でなければ罰則を受けることはありません。営業秘密とは、企業が外部に公開していない機密情報や技術のことです。
営業秘密を含む機密文書を漏えいさせた加害者は、10年以下の懲役もしくは2,000万円以下の罰金または併科、法人などの組織ぐるみの犯行では5億円以下の罰金が科せられます。また、海外へ流出させた場合は罪がより重くなり、個人が10年以下の懲役もしくは3,000万円以下の罰金または併科、法人は10億円以下の罰金となります。
情報の管理体制などについて国から是正勧告を受けたうえで従わない場合、経営者・役員には1年以下の懲役または100万円以下の罰金が科されます。故意に不正な利益を得る目的で漏えいさせた場合は、1年以下の懲役または50万円以下の罰金です。
個人情報などを含まない営業秘密が漏えいした場合、故意でなければ罰則を受けることはありません。営業秘密とは、企業が外部に公開していない機密情報や技術のことです。
営業秘密を含む機密文書を漏えいさせた加害者は、10年以下の懲役もしくは2,000万円以下の罰金または併科、法人などの組織ぐるみの犯行では5億円以下の罰金が科せられます。また、海外へ流出させた場合は罪がより重くなり、個人が10年以下の懲役もしくは3,000万円以下の罰金または併科、法人は10億円以下の罰金となります。
民事責任を問われる
機密文書の漏えいで企業の外部関係者が不利益や被害を受けた場合、企業は被害者である顧客や取引先に対して民事上の責任を負うことになります。企業の管理不足などを理由に損害賠償責任を追及された場合、賠償金や謝罪金を支払わなければなりません。
賠償金や謝罪金の額については、漏えいした情報や規模によりさまざまです。「2018年情報セキュリティインシデントに関する調査報告書」では、2018年にインターネット上で公開された範囲で、漏えいの賠償額について調査されています。この調査結果によれば、情報漏えいの発生件数は443件、想定損害賠償は総額2,684億5,743万円にのぼります。つまり、漏えい1件につき平均6億円以上もの賠償額を企業が支払っている計算です。
参照元:2018年 情報セキュリティインシデントに関する調査報告書【速報版】
賠償金や謝罪金の額については、漏えいした情報や規模によりさまざまです。「2018年情報セキュリティインシデントに関する調査報告書」では、2018年にインターネット上で公開された範囲で、漏えいの賠償額について調査されています。この調査結果によれば、情報漏えいの発生件数は443件、想定損害賠償は総額2,684億5,743万円にのぼります。つまり、漏えい1件につき平均6億円以上もの賠償額を企業が支払っている計算です。
参照元:2018年 情報セキュリティインシデントに関する調査報告書【速報版】
機密文書の重要度による分類
機密文書は、公表できる範囲によって3種類に分類されます。それぞれに適した管理を実施することで、機密文書を効率的に保護できます。まずは社内の文書を正しく把握し、記載されている情報をどこまで公表できるのか検討することが重要です。
極秘(Top Secret)
機密文書の中で、公表できる範囲を最も限定したものが極秘文書です。社外に漏えいすると、企業に甚大な被害が及ぶ恐れがあり、また企業関係者に対しても不利益を及ぼすものが極秘文書に該当します。
極秘文書とする情報の具体例は、企業の経営に関する財務情報・新製品の仕様書や設計書・研究データ・独自の技術情報・協力会社との合併状況などです。
極秘文書は、保管場所のセキュリティ性や閲覧権限の制限などを厳重にし、特定の人だけが閲覧できるようにする必要があります。企業の中心人物となる経営者やその情報にかかわる数人のみが閲覧できる状態が望ましいでしょう。
極秘文書とする情報の具体例は、企業の経営に関する財務情報・新製品の仕様書や設計書・研究データ・独自の技術情報・協力会社との合併状況などです。
極秘文書は、保管場所のセキュリティ性や閲覧権限の制限などを厳重にし、特定の人だけが閲覧できるようにする必要があります。企業の中心人物となる経営者やその情報にかかわる数人のみが閲覧できる状態が望ましいでしょう。
秘(Secret)
秘文書は、機密文書のうち2番目に秘密性が高い文書です。極秘文書よりも公開できる範囲が広いものの、社内でも関係者のみに閲覧が限定されるものがこれにあたります。
秘文書に該当するものには、社内の人事情報・個人情報・他社との契約書・経営戦略情報などがあります。一般的に、役員・部門長などだけが閲覧できる情報を指す場合が多いです。
秘文書をメールや紙で送る際は、メールの暗号化や、本人以外が受け取れない方法で送付しましょう。
秘文書に該当するものには、社内の人事情報・個人情報・他社との契約書・経営戦略情報などがあります。一般的に、役員・部門長などだけが閲覧できる情報を指す場合が多いです。
秘文書をメールや紙で送る際は、メールの暗号化や、本人以外が受け取れない方法で送付しましょう。
社外秘(Confidential)
社外秘文書は機密文書の中でも公開可能な範囲が広く、社内全体で公開できる情報が該当します。
例えば、就業規則や企画書、会議の議事録、マニュアルなどが社外秘文書にあたります。社内での共有が可能なため、秘文書や極秘文書ほど厳重な管理は必要ありません。
しかし、USB機器や社外で利用する端末には保存しないなど、データや文書の持ち出しについての規定を決め、従業員へ十分に周知することは必要です。
例えば、就業規則や企画書、会議の議事録、マニュアルなどが社外秘文書にあたります。社内での共有が可能なため、秘文書や極秘文書ほど厳重な管理は必要ありません。
しかし、USB機器や社外で利用する端末には保存しないなど、データや文書の持ち出しについての規定を決め、従業員へ十分に周知することは必要です。
機密文書が漏えいする原因
機密文書の漏えいを防ぐには、その原因を把握し、原因に応じた適切な対策を講じる必要があります。
漏えいの原因は、主に会社の内部または外部からの2つに分けられます。内部の原因は、運用上の人的ミスや内部不正、外部の原因はサイバー攻撃によるものなどです。
内部からの情報漏えい
経済産業省がまとめた資料である『営業秘密の保護・活用について』によると、機密文書が漏えいする原因には、悪意を持って故意に漏えいするよりも、社員の人的ミスによって引き起こされる場合の方が多いとされます。
参照元:営業秘密の保護・活用について
人的ミスの例としては、メールの送信先間違いや、屋外への置き忘れ、機密文書データのアクセス権限の設定ミスなどがあります。いずれも注意していれば防げるものではありますが、人間が行動するうえでミスを完全になくすことは困難です。
また、故意に機密文書を漏えいさせる例としては、元社員が競合企業や悪徳業者から報酬を得る目的で営業秘密や個人情報などの機密文書を提供する場合があります。そのため、現職だけでなく退職者や業務提携先企業の社員などに対しても、機密文書の取り扱いに関する契約を交わし、対策することが大切です。
外部からの情報漏えい
外部からの情報漏えいの原因は、主にスパムメールや不正アクセスなどのサイバー攻撃があります。
例えば、メールに記載されているURLにアクセスしただけでコンピューターウイルスに感染し、パソコンに保存している重要なデータが漏えいすることがあります。また、協力会社の社員になりすまし、開発資料や技術情報を盗まれるといったケースもあるので要注意です。
例えば、メールに記載されているURLにアクセスしただけでコンピューターウイルスに感染し、パソコンに保存している重要なデータが漏えいすることがあります。また、協力会社の社員になりすまし、開発資料や技術情報を盗まれるといったケースもあるので要注意です。
機密文書漏えいを防ぐ対策
機密文書の漏えいリスクを下げるには、管理方法の見直しやセキュリティ性の強化といった対策が必要です。機密文書を正しく管理することで、部外への漏えいを防げます。
管理方法を見直す
機密文書は、前述した極秘・秘・社外秘といったレベルに分けて管理することが大切です。すべての機密文書を同じ方法で管理してしまうと余計な手間がかかるか、重要な機密情報の管理がおざなりになる恐れがあります。
まず、機密文書となるデータを洗い出し、それを秘密レベルごとに分類します。契約や会計などに関するデータは、法律で保存期間が定められているものもあるため、定期的に情報を見直しましょう。
電子データであれば、各社員の権限に応じてアクセス制限をかけることで、データを閲覧できる人や編集できる人を制限し、情報漏えいリスクを抑えることが可能です。また、万一漏えいしてしまった場合に備えてデータを暗号化しておくことで、情報の中身を読み取られるリスクを減らせます。
紙の文書であれば、廃棄の際はシュレッダーにかけたり、専門の業者に依頼するなどして焼却・溶解処分を行ったりしなければなりません。しかし、こうした処分方法は手間がかかるのがネックです。業者に依頼する場合は、処分するまでのあいだに不手際があるとそこから情報漏えいが起こるリスクもあります。
まず、機密文書となるデータを洗い出し、それを秘密レベルごとに分類します。契約や会計などに関するデータは、法律で保存期間が定められているものもあるため、定期的に情報を見直しましょう。
電子データであれば、各社員の権限に応じてアクセス制限をかけることで、データを閲覧できる人や編集できる人を制限し、情報漏えいリスクを抑えることが可能です。また、万一漏えいしてしまった場合に備えてデータを暗号化しておくことで、情報の中身を読み取られるリスクを減らせます。
紙の文書であれば、廃棄の際はシュレッダーにかけたり、専門の業者に依頼するなどして焼却・溶解処分を行ったりしなければなりません。しかし、こうした処分方法は手間がかかるのがネックです。業者に依頼する場合は、処分するまでのあいだに不手際があるとそこから情報漏えいが起こるリスクもあります。
セキュリティ対策を強化する
不正アクセスやスパムメールなどのサイバー攻撃に対して対策を講じることは、個人情報の扱いや契約を交わすうえでのコンプライアンス遵守に欠かせません。サイバー攻撃の種類によっては、不審なメールは開かずに削除する、怪しいサイトにはアクセスしないなど、注意していれば防げる場合もあります。
しかし、人的ミスを防ぐ観点から、セキュリティ対策ソフトなどの導入で自動的に対策できる方法を取ることが重要です。マルウェアやサイバー攻撃の手法は日々進化しているため、セキュリティシステムやOSのセキュリティパッチを常に最新の状態に更新することも欠かせません。
クラウド上で機密情報を管理する場合は、多要素認証を導入することも有効です。パスワード以外の手段による認証操作もユーザーに義務づけることで、万一パスワード情報が漏えいした場合でも、不正アクセスを防げます。
ツールやパソコンの機能によって、外部からの不正アクセスや不審なメールを自動的にシャットアウトできます。データへのアクセス権限を設定し、閲覧できる人を限定するのも効果的です。
しかし、人的ミスを防ぐ観点から、セキュリティ対策ソフトなどの導入で自動的に対策できる方法を取ることが重要です。マルウェアやサイバー攻撃の手法は日々進化しているため、セキュリティシステムやOSのセキュリティパッチを常に最新の状態に更新することも欠かせません。
クラウド上で機密情報を管理する場合は、多要素認証を導入することも有効です。パスワード以外の手段による認証操作もユーザーに義務づけることで、万一パスワード情報が漏えいした場合でも、不正アクセスを防げます。
ツールやパソコンの機能によって、外部からの不正アクセスや不審なメールを自動的にシャットアウトできます。データへのアクセス権限を設定し、閲覧できる人を限定するのも効果的です。
社員教育を実施する
機密文書が漏えいする原因では人的ミスが最も多く、社員が機密文書の取り扱いを軽視していることが大きく関係しています。社員に対し、機密文書を漏えいさせるとどのような被害があるのかを理解させ、自分も責任を負う可能性があると認識してもらうことが重要です。
まず、社内で機密文書に関する規定を作成し、全社員で共有します。具体的には、文書の受け渡し、保管、廃棄など、機密文書を取り扱う際のルールを明確にし、遵守させることが重要です。テレワークを導入しているのであれば、カフェなどの人目があるところで機密文書を扱わないなどのルールも必要でしょう。同時に、規定に違反した場合の責任(減給・賠償金・解雇など)も明記し、機密文書を守ることの重大性を周知します。
また、セキュリティに関するルールは一度だけではなく、定期的に社員に伝えましょう。ルールの内容をテストし、社員に回答してもらうのも効果的です。社内でルールや資料を作成するのが困難な場合は、eラーニングといった外部サービスを利用するのもおすすめです。いずれにしても、社員の情報リテラシーを高めるには継続的な取り組みが求められます。
まず、社内で機密文書に関する規定を作成し、全社員で共有します。具体的には、文書の受け渡し、保管、廃棄など、機密文書を取り扱う際のルールを明確にし、遵守させることが重要です。テレワークを導入しているのであれば、カフェなどの人目があるところで機密文書を扱わないなどのルールも必要でしょう。同時に、規定に違反した場合の責任(減給・賠償金・解雇など)も明記し、機密文書を守ることの重大性を周知します。
また、セキュリティに関するルールは一度だけではなく、定期的に社員に伝えましょう。ルールの内容をテストし、社員に回答してもらうのも効果的です。社内でルールや資料を作成するのが困難な場合は、eラーニングといった外部サービスを利用するのもおすすめです。いずれにしても、社員の情報リテラシーを高めるには継続的な取り組みが求められます。
クラウドストレージへ移行する
機密文書の漏えいは、主に保管場所からデータを移動する際に発生します。例えば、メールの誤送信やUSBメモリの紛失などです。メールではPPAP問題もあり、簡便な方法で暗号化したとしてもセキュリティが万全であるとは言えません。USBに関しても、特にテレワークで利用するとなれば、紛失・盗難のリスクはより増大するでしょう。
その点、クラウドストレージにデータを移行すれば、データを一元管理できるため、管理方法が煩雑化しにくく、いつでもどこでもデータにアクセスできるようになります。アクセス権限を設定すれば、データを閲覧・編集できる人を限定し、セキュリティ対策に配慮することも可能です。さらに、データの受け渡しをする際には、メールに直接データを添付するのではなく、クラウド上のデータへアクセスできるURLを記載すれば、たとえメール内容が流出しても許可を受けた人だけが受け取れる状態にできます。データ化した機密文書は、紙に比べて廃棄の手間や漏洩リスクを抑えられるのも利点です。
例えばクラウドストレージサービスのひとつであるBoxは、コンテンツを集約させることでチーム内外とのシームレスな連携を実現しつつ、高度なセキュリティ制御により重要な情報を保護できるソリューションです。Boxの具体的なセキュリティ機能としては、全てのファイルの暗号化や、7段階の細やかなユーザー権限の設定などが挙げられます、これらのセキュリティ機能は、不正アクセスを予防する上で強力な効果を発揮するでしょう。
さらに、各国・地域の規制に対応していることもBoxの特筆すべき点です。このような特長を備えたBoxを全社的に導入すれば、社員全体が共通のルールや方法で機密文書を適切に管理しやすくなるでしょう。
まとめ
関連する記事
関連ソリューション
関連事例
お問い合わせ
CONTACT
