Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
企業活動を行なう組織は、顧客の個人情報や組織の内部情報など、多くの機密情報を保持しています。
機密情報は全て適切に管理して漏洩を防ぐ必要がありますが、機密情報にも種類があり、それぞれ取り扱いが異なります。
この記事では、機密情報のひとつである「社外秘」に焦点をあて、文書の取り扱い方法について解説します。
社外秘とは
企業は外部に流出させてはならない機密情報を保持しており、「社外秘文書」「秘文書」「極秘文書」の3つに分類されます。
機密文書とは
一般的に「組織が保有する重要情報が記載されており、秘密を保持する必要がある文書」を機密文書と呼びます。
組織の競争力に関わる技術情報やノウハウ、人事情報、財務情報、取引情報、個人情報など、機密文書に該当する情報は様々です。
機密文書の分類は、内容の重要度や公開範囲に合わせて組織によって決定します。
機密文書の分類
- 社外秘文書
社外に流出させてはならない情報を指し、基本的に従業員であれば閲覧できる情報です。
企業のルールにもよりますが、議事録や社員名簿、就業規則などが該当します。
社外秘であっても業務をアウトソーシングする場合は、社外秘情報を相手先に伝える場合があります。
そうした場合には「機密保持契約」を交わし、社外秘情報が不用意に漏洩しないようにします。 - 秘文書
役員や役職者、人事部など、一部の人が閲覧する情報です。
従業員のプライバシーに関わる人事情報や、経営に関わる情報が該当します。 - 極秘文書
3つの分類の中で最も機密性が高い文書です。
経営層が従業員に対して非公開とした社内情報や、事業の核となる技術・研究情報、特に重要なプロジェクトの情報など企業の存続に大きな影響を及ぼす情報です。
多くの場合は役員と一部の役職者など、企業内のごく一部の人のみに共有されます。
このように、社外秘文書は機密文書の中では公開範囲が広い文書に位置します。
機密文書を守る組織のセキュリティ
社外秘文書は、機密文書の中で最もオープンな情報です。
そのため、情報を閲覧する人すべてが十分なセキュリティ意識を持ち、適切な取り扱いをする必要があります。
社外秘文書について、どのようなセキュリティ対策が考えられるでしょうか。
社外秘文書の取り扱いルールを策定する
従業員が機密情報をどのように取り扱うべきなのかを明確にし、情報管理規定や就業規則などに明記します。入社時や退職時には情報を漏らさない旨の誓約書の提出を義務付けることも有効です。
それにより個人による意識のばらつきを抑制し、情報の取り扱いに関して従業員に迷いが生まれることを防ぐことができます。
また、文書の目立つ場所に「社外秘」と記載し、文書を閲覧した従業員が一目で社外秘文書であるとわかる状態にすることが大切です。
データであれば直接「社外秘」と入力しておくか、PDF等であれば社外秘スタンプを表示させるとよいでしょう。
機密文書の取り扱いについてリテラシー教育を実施する
社外秘情報は社内ではオープンに扱われているケースも多く、悪意なく外部の人間に伝わってしまう、公の場で口にしてしまうなどのインシデントが起こりやすい傾向にあります。
ささいな内容でも情報が漏洩すれば大きな問題になることもあるため、従業員が適切な情報の取り扱いを理解できるようリテラシー教育を実施しましょう。
リテラシー教育を行なう際は、社外秘文書の取り扱いルールを事前に制定しましょう。
従業員へのリテラシー教育についてはこちらで解説していますので、併せてご覧ください。
システムによるセキュリティ対策
情報漏洩を防ぐセキュリティ対策は必須ですが、社外秘文書のセキュリティを高めるあまり業務効率が大きく低下してしまうような方法は避けた方がよいでしょう。
社外秘文書は実務で日常的に閲覧することもあり、効率とセキュリティのバランスが大切です。
システムによるセキュリティ対策として、考えられる例を紹介します。
- アクセスを管理する
組織の正規従業員全員が閲覧する文書であっても、協力会社や外注要員などを含めるかなど、社外秘の情報公開範囲は明確に定義する必要があります。
組織内のアカウントに正規従業員用の権限を作成し、その権限が付与されているアカウントのみがアクセスできるディレクトリを作成するのが一般的です。 - 操作ログを記録する
文書の閲覧や編集を行なったログを収集し、どのようなアクセスが行なわれているのかをIT管理部門が正確に把握できる環境を整えます。
そうすることで、不適切な場所に保存されている文書も発見でき、万が一セキュリティインシデントが発生した際にも素早く状況を確認することが可能になります。
多くの場合は資産管理ツールを活用し、クライアント端末の操作ログを収集することで実現します。 - 適切なセキュリティ設定を施した場所に情報を格納する
テレワークが広がっている現在では、オフィスのファイルサーバーに保管している文書へアクセスするためにVPNを利用している組織も多く存在します。
適切に構築されたVPN環境であれば基本的に問題はないのですが、同時に大量のアクセスがあった際のレスポンス悪化やVPN装置不具合によるアクセス遮断など、安定性に欠ける面も存在します。
必要に応じてクラウドストレージへの移行を検討しましょう。クラウドストレージに適切なセキュリティ設定を行なうことで、通信速度や切断に悩まされず安全に情報へアクセスすることが可能となります。
情報漏洩を防止するセキュリティ対策は、多角的に講じることが大切です。
こちらの記事では情報漏洩対策について詳しく解説していますので、併せてご覧ください。
機密情報は適切な取り扱いを行なわなければ漏洩に繋がり、大きな損失を被るリスクがあります。
文書の特性を把握し、取り扱いには十分に注意しましょう。
情報漏洩を防ぐために、社外秘文書を柔軟に管理しよう
社外秘文書は機密文書のひとつであり、情報漏洩を起こさないよう堅牢なセキュリティ環境で保管する必要があります。
この記事で紹介した社外秘文書の取り扱いルールやシステムによるセキュリティ対策は、制定後も継続的に改善を行なうことが大切です。
組織の状況やビジネス環境の変化に対応したセキュリティ環境を維持することが、予期せぬ情報漏洩を防ぐことに繋がります。
しかし、情報にアクセスするたびに煩雑な手間が発生するほどの厳格な対策を施せば、実務の効率低下を招き、経営上望ましくない状態に陥ることもあるでしょう。
社外秘文書を不便なく安全に取り扱うために、自組織にとってバランスの良い対策を目指しましょう。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事
