電子文書(PDFファイル)に、見えない”透かし情報”を埋め込むことにより、情報漏えい抑止や不正利用防止など、電子文書のセキュリティ対策を支援します。
企業では非常に多くの情報を扱いますが、その中でも外部への公表を想定していない情報のことを機密情報と呼びます。機密情報が外部に流出すると大きな損害を受ける可能性があるため、厳格な管理が求められます。本記事では、機密情報の定義や具体例、取り扱う際の注意点や情報漏えいを防止する具体策などを網羅的に解説します。
まずは機密情報の定義や種類などについて見ていきます。
機密情報とは、企業が保有する情報の中で外部への公表を想定していない情報のことです。また、外部に流出することで企業に損害が生じるおそれのある情報や、企業内で部外秘として扱われている情報全般を指します。
情報化社会の進展によりインターネットなどを通じて情報漏えいが起きやすくなっており、流出した機密情報は容易に複製でき、一度漏えいすると回収したり完全に消去したりすることが難しいため、徹底した管理が必要となります。
機密情報には大きく分けて以下の3種類があります。
具体的には、自社の財務・経理に関する情報や未公開のプロジェクトに関する情報などの企業秘密、契約書や共同の研究開発のデータなど取引先に関する情報、また顧客・従業員などの個人に関する情報などが該当します。
機密情報の範囲としては、資料・契約書など書面化されたものや、社内PC、サーバーに保存されている電子データなど、目に見える形のものが主な範囲です。これに加えて、社員個人が記憶しており、口頭で伝達される無形の情報の中にも機密情報はあります。
機密情報と類似の概念として「個人情報」があります。
個人情報とは従業員や顧客など個人の属性(氏名、住所、年齢、財産、職種など)に関係し、その個人を識別できる情報のことです。
厳密には、個人情報保護法では「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」と定義されており、上記の属性に関する情報に加え、指静脈認証、顔認証などの生体認証関連情報や、信仰、病歴なども個人情報に含まれます。
個人情報が記載された情報は機密文書に属し、たとえば履歴書や人事情報などが該当します。つまり、機密文書という大きなカテゴリーの中に個人情報が含まれるということです。
「秘密情報」も機密情報と混同されやすい用語ですが、厳密な定義は異なります。秘密情報とは、秘密保持契約を結ぶ際に秘密保持義務の対象となる情報のことです。通常、契約書には秘密保持条項が含まれており、どの情報や範囲を秘密情報の対象とするかは契約の当事者間で取り決め、合意する必要があります。そのため、契約の内容によって秘密情報の対象は異なってきます。
一方、機密情報は契約書の有無や秘密保持契約の内容にかかわらず、前述の定義(外部への開示を想定しない、流出することで企業に損害が生じるおそれがある、企業内で部外秘として扱われている)を満たす情報全般が当てはまります。
電子透かしの基礎や入れ方、活用方法に関するPDF資料がダウンロードできます。
では、機密情報に含まれる情報と含まれない情報には具体的にどのようなものがあるのでしょうか。
機密情報には、主に企業の経営や財務、人事、研究開発、マーケティングなどに関する情報が含まれます。具体的には以下のようなものです。
一方で、機密情報に含まれないものとしては、主に一般に公開されている情報が該当します。具体的には以下のようなものです。
機密情報は、重要度別に以下の3つのレベルに定義できます。
| 社外秘文書 | 社内での共有に制限はないものの、社外に持ち出すことを避けるべき情報のことです。3つのレベルの中では機密性は低いですが、外部に情報が流出すると自社に不利益が生じるおそれがあります。会議の議事録や顧客リスト、見積書、製品規格書、営業企画書などが該当します。 |
|---|---|
| 秘文書 | 社内でその情報に関連する一部の人しかアクセスできない情報のことです。機密のレベルとしては社外秘よりは高く、後述の極秘よりは低いです。人事情報、重要な契約書、新製品の情報などが該当します。 |
| 極秘文書 | 最高レベルの厳重な管理が必要な文書のことであり、経営層など社内でもごく一部の人しかアクセスできません。経営に直接関係する内容の情報が分類されることが多いです。新製品の設計図や研究開発データ、公開前の経理情報、極秘プロジェクトに関する情報などが該当します。 |
電子透かしの基礎や入れ方、活用方法に関するPDF資料がダウンロードできます。
機密情報を定義することで、以下のようなメリットを得られます。
機密情報を定義することで、特定の文書やデータを慎重に取り扱わなければならないという共通認識が社内で醸成されます。これにより、たとえば机の上に置きっぱなしにしたり持ち出したり、部外者に口外したりするなどの不用意な情報の扱いを抑止し、紛失や破棄、流出のリスクを減らすことができます。
情報漏えいによって第三者に被害を与えてしまうと、損害賠償を請求される可能性があります。損害賠償が発生しない場合でも、情報漏えいが発覚すると取引先や顧客からの信用を失うことは避けられません。大企業の場合は特に大きく報道されるため、大きなダメージを受けやすいでしょう。
機密情報を定義し情報漏えい対策を徹底することで、こうした経営上のリスクを低減できます。
機密情報を取り扱うときには、以下の点に注意する必要があります。
極秘文書や秘文書は万が一漏えいすると経営上の損害が大きいものであり、重要度が高いがゆえに欲しがる人物や企業も多いため、悪意のある社員が意図的に外部に持ち出す可能性も高くなります。そのため、社内でも一部の関係者しかアクセスできないよう管理を徹底することが重要です。
たとえば、関係者以外は入室することのない部屋に保管したり、文書を保管しているキャビネットの鍵を関係者しか持たないようにしたり、またデータの場合は関係者以外に知られていないパスワードを設定するなどの対策が求められます。
機密情報の管理・保管を担当するメンバーを指定し、責任の所在を明確にすることも重要です。担当者は定期的に機密情報の管理状況や所在を確認し、万が一漏えいの可能性があった場合には即座に上層部に報告するなどの対応を取る必要があります。
仮に情報セキュリティ意識の低い社員がいて、その社員の情報の取り扱いに問題があると、そこから機密情報が漏えいする可能性があります。
機密情報を適切に扱うには、情報セキュリティを体系的に学ぶ研修を定期的に実施するなど、セキュリティ意識を社内全体で醸成することが大切です。
機密情報の漏えいを防止するための具体策としては、以下の5つの対策が効果的です。
まずは機密性の高い情報を洗い出し、機密情報の重要度に応じて前述のとおり「社外文書」「秘文書」「極秘文書」に分類した上で、それぞれのレベルに応じた管理や取り扱いのルールを整備することが重要です。情報そのものだけでなく、社用パソコンなどデバイスの持ち出しや個人で所有するデバイスの持ち込みに関するルールの整備も必要となります。
ルールを社内に周知することで機密情報の取り扱いに関する社員の意識が高まり、情報漏えいのリスクを低減できます。
機密情報の漏えいをもたらすようなウイルスやマルウェア、不正アクセスの手法などは日々進化しており、古いセキュリティソフトでは防ぎきれない場合があります。
たとえばテレワーク環境の普及に合わせて、社内と社外を区別せずすべての通信を信用しないという考えのもと監視を実行する「ゼロトラストモデル」のセキュリティソフトなど、新たな脅威に対応できるソフトを導入する必要性が高まっています。
セキュリティソフトのバージョンが古い場合も新たな脅威に対応できない可能性があります。そのため、常に最新版に更新することも忘れてはなりません。
機密情報の取り扱いを万全にするためには、社員が情報セキュリティの基礎知識や情報漏えいのリスクに関する危機意識をしっかりと持つことが非常に大切です。機密情報の取り扱いに関するセキュリティポリシーやルールを定め、それを基に研修を実施するなどして社員教育を徹底します。
教育の方法としてはeラーニングの活用や外部講師の招聘のほか、情報セキュリティに関する資格保持者が社内にいるのであれば、内部講師として活用することも有効です。
万が一機密情報が漏えいした場合に備え、電子透かしを導入することも効果的です。電子透かしは、電子文書(PDFファイル)や画像、動画、音声などのデータ内に、ユーザー情報・データ提供元・データ提供先などの情報を、”透かし情報”として埋め込む技術であり、電子データ内に「データの提供元」や「データの提供先」を埋め込むことができます。
これにより、機密情報が漏えいした際にデータの所有者が特定され、被害拡大のリスクを最小限に抑えることが可能であり、内部犯行の抑止にもつながります。
電子透かしの基礎や入れ方、活用方法に関するPDF資料がダウンロードできます。
電子透かしソリューションの詳しいご案内やお見積もり、ご質問・ご相談などございましたら、お気軽にお問い合わせください。
