Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
目 次
社外秘とは
社外秘と社内秘の違いとは
社外秘が漏洩する原因
社外秘を守る組織のセキュリティ
社外秘の漏洩を防ぐならLANSCOPEエンドポイントマネージャークラウド版にお任せ
情報漏洩を防ぐために、社外秘文書を柔軟に管理しよう
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
社外秘とは、社外に流出させてはいけない情報や技術のことです。
社外秘が漏洩してしまうと、企業・組織の社会的信用が低下するだけでなく、社外秘に個人情報などが含まれていた場合は、損害賠償を請求されることも考えられます。
そのため、企業・組織においては社外秘を適切に管理し、漏洩を防ぐための対策の徹底が必要不可欠です。
この記事では、機密情報のひとつである「社外秘」に焦点をあて、漏洩してしまう原因や文書の取り扱い方法などについて解説します。
▼この記事を要約すると
- 社外秘とは、社外に流出させてはいけない情報や技術のことを指し、機密情報の一つとして扱われる
- 機密文書とは、一般的に「組織が保有する重要情報が記載されており、秘密を保持する必要がある文書」を指す
- 機密文書は、「社外秘文書」「秘文書」「極秘文書」の3つに分類され、社外秘文書は機密文書の中では公開範囲が広い
- 社外秘は基本的に従業員であればだれでも閲覧・共有が可能だが、社内秘は社内の一部の人間しか、閲覧・共有が許可されていないという違いがある
- 社外秘が漏洩してしまう原因としては、「社外秘のデータ化」「社外秘を扱う従業員のセキュリティ意識の低さ」などが挙げられる
- 社外秘を守るために企業・組織が行うべきこととしては、「社外秘文書の取り扱いルールの策定」「機密文書の取り扱いに関するリテラシー教育の実施」「システムによるセキュリティ対策」などがある
社外秘とは
社外秘とは、社外に流出させてはいけない情報や技術のことを指し、機密情報の一つとして扱われます。
具体的には
・顧客情報
・会議の議事録
・企画書
・見積書
・各種マニュアル
などが社外秘にあたります。
機密情報とは、外部への流出を避けるべき重要な情報であり、それらが記載された文書を機密文書と言います。
機密文書の分類
機密文書の分類は一般的に
・社外秘文書
・秘文書
・極秘文書
の3つで、内容の重要度や公開範囲に合わせて企業・組織が決定します。
社外秘文書
社外に流出させてはならない情報を指し、基本的に従業員であれば閲覧できる情報です。
企業のルールにもよりますが、議事録や社員名簿、就業規則などが該当します。
社外秘であっても業務をアウトソーシングする場合は、社外秘情報を相手先に伝える場合があります。
そうした場合には「機密保持契約」を交わし、社外秘情報が不用意に漏洩しないようにします。
秘文書
役員や役職者、人事部など、一部の人が閲覧する情報です。
従業員のプライバシーに関わる人事情報や、経営に関わる情報が該当します。
極秘文書
3つの分類の中で最も機密性が高い文書です。
経営層が従業員に対して非公開とした社内情報や、事業の核となる技術・研究情報、特に重要なプロジェクトの情報など企業の存続に大きな影響を及ぼす情報です。
多くの場合は役員と一部の役職者など、企業内のごく一部の人のみに共有されます。
このように、社外秘文書は機密文書の中では公開範囲が広い文書に位置します。
社外秘と社内秘の違いとは
社内秘とは、社内の特定の部署や社員のみが共有・閲覧することができる情報を指します。
社内秘という言葉だと、だれが共有・閲覧してもよい情報なのかがわかりにくいため、「部外秘(特定の部署のみ)」といった言葉が使用されるケースもあります。
社外秘と社内秘の違いは、公開範囲です。
社外秘は先ほど説明したように、基本的に従業員であればだれでも閲覧・共有が可能であり、公開範囲は比較的広いです。
対して社内秘は、社内の一部の人間しか、閲覧・共有が許可されておらず、公開範囲がかなり限定的という違いがあります。
社外秘が漏洩する原因
昨今ペーパーレス化が進み、社外秘も紙の書類ではなく、データで管理されています。
データ化することでコピーや送付が楽になる一方、不正アクセスやマルウェア感染によって社外秘が攻撃者の手にわたる危険性があります。
また、持ち運びに便利なスマートフォンやノートPCに社外秘が保管されている場合、盗難や紛失によって情報が漏洩する危険性も否定できません。
他にも、社外秘を扱う従業員のセキュリティ意識が低いと
・社外秘を従業員のPCのローカルや私物のUSBに保存してしまう
・社外秘を会社から無断で持ち出してしまう
・公共の場で社外秘にあたる情報を口にしてしまう
といったインシデントが起こりやすく、情報漏洩に繋がる可能性があります。
社外秘を守る組織のセキュリティ
社外秘文書は、機密文書の中で最もオープンな情報です。
そのため、情報を閲覧する人すべてが十分なセキュリティ意識を持ち、適切な取り扱いをする必要があります。
社外秘文書について、どのようなセキュリティ対策が考えられるでしょうか。
社外秘文書の取り扱いルールを策定する
従業員が機密情報をどのように取り扱うべきなのかを明確にし、情報管理規定や就業規則などに明記します。入社時や退職時には情報を漏らさない旨の誓約書の提出を義務付けることも有効です。
それにより個人による意識のばらつきを抑制し、情報の取り扱いに関して従業員に迷いが生まれることを防ぐことができます。
また、文書の目立つ場所に「社外秘」と記載し、文書を閲覧した従業員が一目で社外秘文書であるとわかる状態にすることが大切です。
データであれば直接「社外秘」と入力しておくか、PDF等であれば社外秘スタンプを表示させるとよいでしょう。
機密文書の取り扱いについてリテラシー教育を実施する
社外秘情報は社内ではオープンに扱われているケースも多く、悪意なく外部の人間に伝わってしまう、公の場で口にしてしまうなどのインシデントが起こりやすい傾向にあります。
ささいな内容でも情報が漏洩すれば大きな問題になることもあるため、従業員が適切な情報の取り扱いを理解できるようリテラシー教育を実施しましょう。
リテラシー教育を行なう際は、社外秘文書の取り扱いルールを事前に制定しましょう。
従業員へのリテラシー教育についてはこちらで解説していますので、併せてご覧ください。
社外に情報を持ち出せないようにする
社外秘の漏洩を防ぐためには、そもそも外部に持ち出せないような体制を整えておくことも重要です。
具体的には
・従業員のPCのローカルに社外秘を移動・保存できないようにする
・社外秘のコピーを制限する
・社外秘が含まれた資料は会議後にその場で回収する
・USBポートを無効化しておく
などがあります。
システムによるセキュリティ対策
情報漏洩を防ぐセキュリティ対策は必須ですが、社外秘文書のセキュリティを高めるあまり業務効率が大きく低下してしまうような方法は避けた方がよいでしょう。
社外秘文書は実務で日常的に閲覧することもあり、効率とセキュリティのバランスが大切です。
システムによるセキュリティ対策として、考えられる例を紹介します。
アクセスを管理する
組織の正規従業員全員が閲覧する文書であっても、協力会社や外注要員などを含めるかなど、社外秘の情報公開範囲は明確に定義する必要があります。
組織内のアカウントに正規従業員用の権限を作成し、その権限が付与されているアカウントのみがアクセスできるディレクトリを作成するのが一般的です。
操作ログを記録する
文書の閲覧や編集を行なったログを収集し、どのようなアクセスが行なわれているのかをIT管理部門が正確に把握できる環境を整えます。
そうすることで、不適切な場所に保存されている文書も発見でき、万が一セキュリティインシデントが発生した際にも素早く状況を確認することが可能になります。
多くの場合は資産管理ツールを活用し、クライアント端末の操作ログを収集することで実現します。
適切なセキュリティ設定を施した場所に情報を格納する
テレワークが広がっている現在では、オフィスのファイルサーバーに保管している文書へアクセスするためにVPNを利用している組織も多く存在します。
適切に構築されたVPN環境であれば基本的に問題はないのですが、同時に大量のアクセスがあった際のレスポンス悪化やVPN装置不具合によるアクセス遮断など、安定性に欠ける面も存在します。
必要に応じてクラウドストレージへの移行を検討しましょう。クラウドストレージに適切なセキュリティ設定を行なうことで、通信速度や切断に悩まされず安全に情報へアクセスすることが可能となります。
情報漏洩を防止するセキュリティ対策は、多角的に講じることが大切です。
こちらの記事では情報漏洩対策について詳しく解説していますので、併せてご覧ください。
機密情報は適切な取り扱いを行なわなければ漏洩に繋がり、大きな損失を被るリスクがあります。
文書の特性を把握し、取り扱いには十分に注意しましょう。
社外秘の漏洩を防ぐならLANSCOPEエンドポイントマネージャークラウド版にお任せ
弊社が提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」であれば、情報漏洩に繋がる操作を管理コンソールにて把握することが可能です。
具体的には、操作ログ管理機能によって、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など PC の利用状況を把握できます。
取得できるログは
・ログオン・ログオフログ
・ウィンドウタイトル
・ファイル操作ログ
・Webアクセスログ
・プリントログ
など多岐にわたります。
中でもファイル操作ログは、デバイス上でのファイル操作(ファイル・フォルダのコピー、移動、作成、上書き、削除、名前の変更)でのログを取得することができるので、従業員が社外秘ファイルを移動させたり、コピーしたりした場合にログが残ります。
また仮に、あらかじめ設定したルールにデバイスが違反すると、アラート内容が管理者にメールで通知され、従業員の情報漏洩、また、従業員のPCやモバイル端末が万一紛失した場合も、遠隔で端末の画面をロックしたり初期化したりできる、リモートロック/ ワイプ機能が備わっており、第三者による情報漏洩のリスクを防止できます。
情報漏洩を防ぐために、社外秘文書を柔軟に管理しよう
本記事では「社外秘」をテーマに、その概要や漏洩を防ぐための対策について解説しました。
本記事のまとめ
- 社外秘とは、社外に流出させてはいけない情報や技術のことを指し、機密情報の一つとして扱われる
- 機密文書とは、一般的に「組織が保有する重要情報が記載されており、秘密を保持する必要がある文書」を指す
- 機密文書は、「社外秘文書」「秘文書」「極秘文書」の3つに分類され、社外秘文書は機密文書の中では公開範囲が広い
- 社外秘は基本的に従業員であればだれでも閲覧・共有が可能だが、社内秘は社内の一部の人間しか、閲覧・共有が許可されていないという違いがある
- 社外秘が漏洩してしまう原因としては、「社外秘のデータ化」「社外秘を扱う従業員のセキュリティ意識の低さ」などが挙げられる
- 社外秘を守るために企業・組織が行うべきこととしては、「社外秘文書の取り扱いルールの策定」「機密文書の取り扱いに関するリテラシー教育の実施」「システムによるセキュリティ対策」などがある
社外秘文書は機密文書のひとつであり、情報漏洩を起こさないよう堅牢なセキュリティ環境で保管する必要があります。
この記事で紹介した社外秘文書の取り扱いルールやシステムによるセキュリティ対策は、制定後も継続的に改善を行なうことが大切です。
組織の状況やビジネス環境の変化に対応したセキュリティ環境を維持することが、予期せぬ情報漏洩を防ぐことに繋がります。
しかし、情報にアクセスするたびに煩雑な手間が発生するほどの厳格な対策を施せば、実務の効率低下を招き、経営上望ましくない状態に陥ることもあるでしょう。
社外秘文書を不便なく安全に取り扱うために、自組織にとってバランスの良い対策を目指しましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事