DocuTracker 電子帳簿保存法対応

ナレッジ

ナレッジ 機密情報関連

機密情報の3つの種類と漏えいを防ぐ対策について解説

機密情報の漏えいは、企業経営に多大な影響を及ぼします。昨今では、大企業のみならず中小企業や病院などに対してもサイバー攻撃が行われており、企業の規模によらず機密情報の保護は万全にしなければなりません。この記事では、機密情報の種類と情報漏えいを防ぐ対策について解説していきます。




機密情報とはそもそも何を指す?


機密情報とは、企業が保有する情報のうち、外部に知られてはならず、流出すると企業に損害が生じる情報のことを指します。機密情報が収められた文書は、機密文書と呼ばれます。機密文書はその重要度によって、次の3つに分類できます。


  • ・社外秘文書
  • ・秘文書
  • ・極秘文書

      • ※機密文書に相当する情報は企業によって異なり、重要度の名称も企業によって異なる場合があります。



      社外秘文書:外部に開示しない情報

      社外秘文書は、社内での共有は可能なものの、社外には持ち出してはならない情報です。例としては、会議の議事録や営業企画書、製品規格書、就業規則など、実務に関連して内々に使用するものが挙げられます。どうしても社外に持ち出す必要がある場合には、持ち出しルールを定めて徹底することが重要です。


      秘文書:社内でも関係者のみ閲覧できる情報

      秘文書は、社内のなかでも限られた一部の人のみが閲覧できる情報です。例えば営業部門に権限のある重要契約書などが挙げられます。こうした契約書は、営業部門のメンバーは閲覧できても、システム開発チームのメンバーは閲覧できません。また、新製品情報や人事情報なども秘文書となります。社外秘と同様に社外に漏らしてはならない情報ですが、おおむね社外秘よりも重要度が高めです。


      極秘文書:流出すると損害を被る可能性のある情報

      極秘文書は、最も重要かつ厳重な管理を行うべき文書です。会社役員や経営層が持つ情報で、社外のみならず一般の従業員にも公開していないような情報を指します。極秘文書の例は、企業内にも極秘で進めているプロジェクトや企業の合併、事業の撤退の情報などです。


      営業秘密、機微情報、秘密情報との違い

      機密情報と似た言葉に、営業秘密や機微情報、秘密情報があります。いずれも取り扱いに注意が必要な情報である点は機密情報と同様です。異なるのは、営業秘密や機微情報、秘密情報が法律に関係する用語である、という点です。


      ・営業秘密

      営業秘密は、不正競争防止法で使われる用語です。営業秘密は不正競争防止法の2条第6項で、下記のように定義されています。
      『この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。(引用:不正競争防止法|e-Gov 法令検索)』
      営業秘密とするには非公知性、有用性、秘密管理性の3要件を満たすことが必要で、これらを満たせば法のもと営業秘密が保護されることになります。


      ・機微情報(センシティブ情報)

      機微情報(センシティブ情報)は、人種、病歴、健康診断や障害の情報、犯罪の経歴や被害を受けた事実などの情報を指します。個人情報保護法のなかでも、金融分野や債権管理回収業分野、それらに付随する分野における個人情報取扱ガイドラインに記載されているものです。基本的には法的な必要性や身を守るためなどの理由がない限り、機微情報の取得や利用、第三者への譲渡は行わないようにしなければなりません。


      ・秘密情報

      秘密情報は、情報保護に関する各法律に便宜的な用語として登場するほか、秘密保持契約(NDA)を締結する際に定義として用いられます。NDAとは、契約相手に開示する情報について、想定する用途以外での使用や他人への開示を禁止する契約です。NDAで対象となる秘密情報は、契約によって異なります。


      機密情報が漏えいしてしまったときに起きること


      いずれの機密情報も、漏えいしてしまった場合には次のような影響が起こりえます。


      • ・企業への信頼の低下
      • ・法律違反として罰則を受ける可能性
      • ・損害賠償が発生する可能性


          • 企業への信頼の低下

          たとえ一度であっても、機密情報の漏えいを起こすとその企業は「法令遵守ができない企業」と見なされてしまうでしょう。企業の取引先や顧客の信頼を失う可能性があり、関係解消となる恐れがあります。

          また、情報漏えいが起こると、対応のため業務が停滞、あるいは停止することになります。情報漏えいへの対応が長引くほど信頼を失い、顧客離れにつながっていくでしょう。新規顧客の開拓も難しくなる恐れもあり、企業の利益が減少するリスクもあります。


          法律違反として罰則を受ける可能性

          漏えいした機密情報の内容によっては、法的な処分を受ける可能性があります。

          個人情報漏えいに関しては、個人情報保護法上の義務に違反した場合、1年以下の懲役又は100万円以下の罰金(※)に処せられます。留意すべき点は、法人だけなく違反を犯した従業員に対しても罰則があることです。ほかにも意図的に利益を得るための情報漏えいであったり、個人情報保護委員会の命令に従わなかったりした場合など、違反の内容によって罰則が定められています。
          ※行政機関等に関わる者の場合は2年以下の懲役又は100万円以下の罰金となります

          個人情報以外では、過失による情報漏えいに対して罪に問われるケースは多くありません。ただし日本の防衛に関する機密情報や、医療資格の試験問題漏えいなどの場合に罰則が科された例は存在します。


          損害賠償が発生する可能性

          機密情報漏えいを起こした企業に対し、取引先や顧客から損害賠償請求が行われることもあります。

          NPO日本ネットワークセキュリティ協会が公開している「2018年 情報セキュリティインシデントに関する調査報告書」によると、2018年の1件あたりの平均想定損害賠償額は6億3,767万円とのことです。また、2016年~2018年の3年間における、1人あたり平均想定損害賠償額は28,308円です。仮に1万人の個人情報が漏えいしたとすれば、損害賠償額は単純計算で2億8000万円余りとなります。現状、損害賠償請求に至るケースは多くありませんが、もし損害賠償請求となれば、企業にとって痛手となるのは確実です。


          機密情報の漏えいを防ぐためにできること


          機密情報の漏えいの原因には、情報管理ルールの不備や人為的ミスのほかに、関係者による内部不正やサイバー攻撃などがあります。機密情報の漏えいを防ぐための方法としては、主に以下の3点が挙げられます。


          • ・機密情報の把握・取り扱いルールの明確化
          • ・機密情報を取り扱う担当者を決める
          • ・情報システムで脆弱性対策を行う


              • 機密情報の把握・取り扱いルールの明確化

              1点目は、ルールの明確化です。ルールを定めるにあたっては、企業内で保有している機密情報を洗い出し、重要度を決めます。実際に機密情報に触れる人によって判断にばらつきが出ないよう、重要度の統一基準を設けて適用するのが重要です。極秘文書と社外秘文書を同じように管理していてはコストがかかるため、重要度ごとの管理方法や取り扱いルールを決めていくことになります。


              機密情報を取り扱う担当者を決める

              機密情報を取り扱う担当者を決め、責任を明確にしておくこともポイントの一つです。担当者を含む企業内のすべての人に対して、機密情報の取り扱いルールを周知し、教育を徹底するようにしましょう。
              また、担当者以外の人にも、状況に応じて機密情報へのアクセス権限を制限することも必要です。機密情報へのアクセス制限の方法としては、企業経営の重要な情報は特別なサーバーに保管する、多重認証を行う、関係者以外立ち入り禁止の部屋を設けて情報を保管する、などがあります。


              脆弱性対策を行う

              昨今では特に、情報システムの脆弱性を突いたサイバー攻撃によって機密情報が漏えいするケースが後を絶ちません。機密情報を保管する情報システムに対しても脆弱性対策が必要です。脆弱性対策には、大きく2つの対策があります。

              一つ目は、「そもそも情報システムに脆弱性を作り込まないこと」です。脆弱性対策の根本的な解決となり、攻撃を無効化できます。また情報システムでセキュリティソフトを導入し、使用しているOSやソフトウェアは最新版にアップデートしておくことが基本です。

              もう1つの脆弱性対策として、「脆弱性を突いた攻撃が起こることを前提として、サイバー攻撃による影響を少なくする」という方法もあります。根本的解決にはなりませんが、脆弱性を作り込まないことと合わせて実施するのが有効です。サイバー攻撃の影響を減らすための具体的な対策としては、以下のようなものが挙げられます。


              <サイバー攻撃の影響を少なくする対策>

              • ・被害が起こったら速やかに情報システム部門や経営層に報告する
              • ・サイバー攻撃が起こっている端末をネットワークから切り離す
              • ・対応の振り返りや改善を行う
              • ・機密情報漏えいの影響度を調査する

                  • DocuTrackerなら書類の保管をブロックチェーンで証明


                  また、情報セキュリティのリスクは、機密情報の漏えいだけではありません。第三者による外部からの攻撃や内部不正によって、社内のデータが改ざんされるというリスクもあります。データ改ざんのリスクに対しては、タイムスタンプの付与が有効です。タイムスタンプとは、付与された時間にそのデータが存在したこと、それ以降にそのデータが変更されていないことを証明する技術です。タイムスタンプが付与されると、そのデータが改ざんされていないことを客観的に証明することができます。

                  DocuTrackerは、クラウドストレージにアップロードしたファイルに自動でタイムスタンプを付与するとともに、ブロックチェーン(※)と連動してファイルの信頼性を証明できるサービスです。DocuTrackerでは、ブロックチェーンの技術を活用し、タイムスタンプの生成を行っています。ブロックチェーンに記録されたデータを改ざんしようとすると、前後のデータの不整合が起こることから、改ざんは極めて困難です。タイムスタンプに加え、ファイルを識別する値である「ファイルハッシュ」もブロックチェーンに保存されます。対象のクラウドストレージサービスは、Google ドライブやMicrosoft OneDrive、Dropbox、Boxで、現在の情報システムを大きく変えずに利用することが可能です。

                  また2024年1月1日より本格的に施行されている改正電子帳簿保存法における、取引データの電子保存にも対応しています。


                  電子書類・データが改ざんされていないことを証明し、保管履歴の証明が可能。DocuTracker、詳しくはこちら ≫

                  ※ブロックチェーン……暗号技術を用いて分散的に処理・記録する技術。DocuTrackerはテックビューロ株式会社が開発・販売しているプライベートブロックチェーン「mijin」を利用しています。

                  まとめ


                  機密情報の種類とその内容、情報漏えいの対策を紹介しました。機密情報の漏えいが企業に及ぼす影響は計り知れず、従業員にも大きな不安を与えてしまいます。情報漏えいを防ぐためにも、機密情報の取り扱いルールの明確化や、脆弱性対策は欠かせません。ツールなどもうまく活用して、適切に管理を行いましょう。