機密情報とは？

機密情報とは、企業が保護すべき重要な情報のことを言います。「秘密情報」「営業機密」「営業秘密」といった呼び方をされることもあります。

例えば、顧客情報や企画書、従業員の給与情報や個人情報など、外部に流出してはいけない情報や企業が外部へ公開していない情報のことです。

書類やデータ化されているもの以外に、口頭で伝えられた情報も含まれる場合があります。

企業はこれらの情報を守るために、権限のない従業員によるアクセス、使用、開示、変更などを制限しなければなりません。

さらに具体的な対策として以下が挙げられるので、参考にしてください。

• アクセス制御
• 暗号化
• 物理的なセキュリティ対策
• 従業員への教育や啓発

テレワークの普及にともない情報漏えいリスクが増大傾向にある近年は、企業の情報漏えい対策の重要性が高まっています。

特に会社の財産の一つとも言える機密情報が、漏えい・流出することで、企業が莫大な損失を被るのです。

どのような情報が機密情報なのか、あるいは機密情報の取扱いについて規程等を定めると共に、社員教育や研修の実施などにより、従業員に対する周知を行うことが重要である。
出典：中小企業における組織的な情報セキュリティ対策ガイドライン

情報セキュリティの啓発活動を行うIPAは、上記の通りリスク対策のポイントをガイドラインに記載しています。

自社の機密情報を把握して適切な取り扱いや漏えい防止対策をすることが大切です。

機密情報に関わる法律：不正競争防止法

機密情報に関わる法律として、「不正競争防止法」が挙げられます。

不正競争防止法は、企業や事業者間が公正に競争ができることを目的に、定められた法律です。企業や事業者間の不正な競争行為を規制しつつ、違反者に対する罰則を設けることで、健全な競争環境の維持を図ります。

不正競争防止法では、「秘密性」「有用性」「非公知性」のある社内情報を「営業秘密」として扱うことを明記。これらを不正に持ち出して利用や開示すると損害賠償などの対象になると定められています。

不正に取得したものでなければ法律に触れることはありませんが、営業秘密は法律で保護されている情報のため、取り扱いには注意が必要です。

機密情報の定義

機密情報の定義について解説します。企業が保護するべき機密情報は、以下の2つに分けられます。

• 個人情報を含む文書
• 営業秘密を含む文書

それぞれどのような情報か、詳しく説明します。

（１）個人情報を含んだ文書

個人情報を含んだ文書には、具体的に次のような情報を含む文書が挙げられます。

• 氏名、生年月日などにより個人を特定、識別できるもの
• 年金番号
• 健康保険証番号
• マイナンバー
• 運転免許番号
• 指紋などの生体情報
• 銀行口座やクレジットカードの番号
• 健康診断結果や治療履歴などの医療情報
• 購買履歴や顧客IDなどの顧客情報

例えば、履歴書、社員名簿、申込書などをはじめ、個人が特定できる情報が記載されている文書すべてが該当します。

（２）営業秘密を含んだ文書

秘密情報とは、上述した不正競争防止法で、「秘密管理性」「有用性」「非公知性」の3つの要素を含んだものとして定義されたものです。

不正競争防止法第2条第6項に「この法律において営業秘密とは、秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう」と記載されています。

1. 秘密管理性・・・秘密として管理されていること
2. 有用性・・・有用な技術上又は営業上の情報であること
3. 非公知性・・・公然と知られていないこと

これら3つの要件を満たして初めて、秘密情報が不正競争防止法で保護されるのです。

例えば、以下のような文書が挙げられます。

秘密管理性のある文書	有用性のある文書	非公知性のある文書
「部外秘」や「社外秘」「マル秘」と書かれた文書 鍵のかかる保管庫に入ったもの	見積書 契約書 新製品情報 研究データ 顧客名簿 製品の製造方法 設計図面	非公開の情報が含まれる文章 一般入手できない情報を含む文書

上記のように、秘密情報と分かるように管理された文書や、会社の事業活動に役立つ情報が記された文書、一般に公開していない情報が記された文書が該当します。

なお、営業秘密に対する侵害行為を受けた場合、差止や損害賠償等の請求ができます。侵害者に対しては、懲役もしくは罰金に処されることもあるくらい、営業秘密は法律で守られているものなのです。

機密情報の3つの種類とレベル

機密文書は、以下の「極秘文書」「秘文書」「社外秘文書」3つの種類に分けられます。

極秘文書	秘文書	社外秘文書
経営に関する財務情報 新製品の仕様書や設計書 研究データ 技術情報 協力会社との合併状況	契約書 人事情報	会議の議事録 顧客リスト 企画書 見積書

上記のように、一言で機密情報と言っても、該当するすべての情報を同じように扱う必要はありません。

重要度によって3つのレベルに分け、必要に応じて限られた人だけが共有・閲覧できるようにしておく、社外に持ち出さないなどの体制作りが必要です。

それぞれの機密文書に関しては、次の項目で詳しく解説します。

（１）極秘文書

極秘文書は、機密情報の中でも特に高いレベルの機密性を持つ文書を指します。これらの文書には重要な情報を含んでいるため、最も厳重に管理されるべきです。

経営に直結する情報であることから、権限のない従業員がアクセスできないようセキュリティ対策を講じなければなりません。

もし技術情報や財務情報などが漏えいすると、企業が重大な損害を被ることになるでしょう。

したがって、企業の信頼性や経済的な安定性などを維持するために、極秘文書は経営者層のごく限られた人員のみが閲覧できるようにします。

（２）秘文書

秘文書も、機密性が高い文書や資料を指す文書を指します。

極秘文書ほどのセキュリティレベルではないものの、リーダーやプロジェクトメンバーなどの限られた従業員のみが閲覧可能なケースが多いです。

また秘文書も適切な人員にアクセス権限を付与し、情報を慎重に管理しなければなりません。アクセス制御や暗号化、取り扱いルールの定めなどが行われることが一般的です。

なお、秘文書を関係者に送付する場合は基本的に親展となり、作成時にも周囲に知られないよう十分に配慮する必要があります。

（３）社外秘文書

社外秘文書は、機密情報の中の重要度レベルは最も低いですが、社外に持ち出せないため取り扱いには注意しなければなりません。

社内での共有が可能で、一般社員でも閲覧できる情報がほとんどです。社外への情報漏えいを防ぐために、ポリシーやガイドラインなどを策定し、従業員に対して教育を行うことも重要でしょう。

また、外部からの不正アクセスへの対策も講じておかなければなりません。機密文書の中で重要度が低いとはいえ、適切な管理を行い企業の信頼性を損なわないように取り組む必要があります。

機密情報が漏えいした場合の被害

企業の機密情報が漏えいした場合には、どのような被害が出る可能性があるのでしょうか。

機密情報漏えい時に企業が受ける被害には、次のようなものが挙げられます。

• 企業としての信用失墜
• 罰則による金銭の損害

それぞれの被害について詳しく見ていきましょう。

（１）企業としての信用失墜

情報漏えいが発生した場合、世間から「情報漏洩を起こした会社」として認識されるようになってしまいます。

そのため、企業イメージの低下や企業としての信用失墜といった被害を招くことが予想されます。

また、信用力の低下により、顧客離れが起きる恐れがあるほか、取引の停止や新規顧客の機会損失、事業縮小といった事態につながることも考えられます。

上記の影響により、利益の低下など、長期的に経営に影響が出る可能性も高いでしょう。

さらには、従業員のモチベーション低下を引き起こし、離職や人材流出といった副次的被害を招く可能性もあります。

加えて、漏えいした機密情報が競合他社や市場に公開されると、競争上の不利につながることも。

競合他社に企業戦略や新製品開発の計画を知られることで、市場での立ち位置や競争力が低下してしまいます。

このように、機密情報が漏えいすると企業としての信用失墜だけにとどまらず、複数の被害が重なるのです。

（２）罰則による金銭の損害

機密情報が漏えいすると、損害賠償などの金銭的な損害を被る場合もあるでしょう。

参考までに、JNSAが提供する「2018年個人情報漏えいインシデント概要」を以下に示します。

	2018年データ	2017年データ
漏えい人数	561万3,797人	519万8,142人
漏えい件数	443件	386件
想定損害賠償総額	2,684億5,743万円	1,914億2,742万円
一件当たりの漏えい人数	1万3,334人	1万4,894人
一件当たり平均想定損害賠償額	6億3,767万円	5億4,850万円
一人当たり平均想定損害賠償額	2万9,768円	2万3,601円

参考：2018年情報セキュリティインシデントに関する調査結果

損害賠償の金額は漏えいデータの内容などにより異なりますが、クレジットカード情報の漏洩など高額になるケースもあるため注意が必要です。

機密情報が流出する原因

機密情報が流出する原因としては、以下のようなものがあります。

• 誤操作による内部のミス
• 退職した社員などによる内部不正
• 不正なアクセスなどのサイバー攻撃

以下に詳しく見ていきます。

（１）誤操作による内部のミス

情報流出の原因として、まず誤操作による内部の人的ミスが挙げられます。

人的ミスは故意ではない場合が多いものの、機密情報漏えいの原因として大きな割合を占めています。

例えば、「メールアドレスの宛先入力間違い」「誤ったファイルを添付する」といったミスにより、機密情報を送信してしまう行為です。

顧客情報を含む書類を送信する際に、FAX番号を間違えて関係のない宛先に送信されてしまう、というケースもあるでしょう。

うっかり送信先や添付ファイルを間違えてしまわないよう、外部に情報を発信する時は細心の注意が必要です。

特に、メール誤送信は起こりやすいうえに、送信先に情報が残ってしまうため、誤操作を防止するためのルールや環境を整備しておきましょう。

（２）退職した社員などによる内部不正

退職した社員などによる内部不正も、情報漏えいの原因となることがあります。

例えばリストラなどがきっかけで、退職した社員の中に会社に恨みを持つ人がいた場合、情報にアクセスできる環境があると不正アクセスにつながる恐れがあります。

加害者は損害賠償請求や刑事告訴されることになりますが、情報漏えいした事実は消えません。したがって企業側は、被害に遭わないよう対策を打っておくべきです。

退職した社員のアカウント情報やアクセス権を削除せずそのままにしておくと、情報に不正アクセスされ、情報流出につながる可能性があるため注意が必要です。

内部不正による情報流出を防止するには、退職した社員のアカウントはすぐに削除するなど、不正が起きない環境を作ることが必要です。

（３）不正なアクセスなどのサイバー攻撃

サイバー攻撃による不正アクセスも、情報流出につながる原因の一つです。

サイバー攻撃は、年々巧妙化してきており、企業の被害例も増加し、対策も難しくなっているため注意しましょう。

サイバー攻撃には、メールの添付ファイルからマルウェアに感染する、フィッシングサイトなど偽サイトへの誘導など、さまざまな手法やパターンがあります。

中でも、ソフトウェアの脆弱性を狙ったものが多く、防止には、OSやソフトウェアを常に最新版にしておく、セキュリティソフトを導入するなどの対策が必要です。

また、怪しいURLをクリックしない、添付ファイルを開封しないなどの対策も有効です。

なお、自社での万全なセキュリティ対策が難しい場合は、外部委託するのも1つのアイデアです。

たとえばメタップスクラウドでは、セキュリティ管理一式を請け負うサービスを提供しています。まずは、無料で試してみるのもいいのではないでしょうか。

機密情報が漏えいした3つの事例

ここからは、機密情報が漏えいした3つの事例をご紹介していきます。

1. 不正アクセスによる個人情報漏えい（大手製薬会社）
2. 誤設定により顧客情報が外部で閲覧可能に（大手自動車メーカー）
3. USBメモリ紛失により個人情報紛失（高知県某病院）

それぞれの事例を確認し、セキュリティ意識を高めていきましょう。

（１）不正アクセスによる個人情報漏えい（大手製薬会社）

2023年5月19日、海外法人に所属する従業員が不正アクセスを受けました。

これにより、同社子会社や関連会社の一部の取引先関係者の個人情報が流出した可能性があると明らかにしています。

なお、通信販売やキャンペーンなどを利用した一般消費者の情報漏えいはないとしています。

製薬会社によると、2023年4月28日に海外法人社員のアカウントを不正利用して、外部から同社グループのクラウド上のシステムに不正アクセスがあったということです。ただちに不正アクセスを遮断するとともに、監視を強化しています。

（２）誤設定により顧客情報が外部で閲覧可能に（大手自動車メーカー）

2023年5月12日、大手自動車メーカーの子会社が運用するクラウド環境に誤設定があり、同社顧客情報216万件が外部閲覧可能な状態にあったと明らかにしました。

外部からアクセスされた可能性があるのは以下の情報です。

• 車載端末に割り当てられたID
• 更新用地図データ
• 更新用地図データ作成年月

これらは子会社がクラウド環境で管理していたとのこと。

これらのデータのみでは、顧客の特定や車両へのアクセスには使えないそうです。

なお、車両位置情報やクレジットカード情報などは含まれておらず、二次被害なども確認していないということでした。

（３）USBメモリ紛失により個人情報紛失（高知県某病院）

2023年4月21日、高知県某病院にて1,129名分の患者の診療記録データを保存したUSBメモリを紛失したことが判明。

同院によるとUSBメモリは2023年3月31日に職員が使用したのち、所在不明になっているということです。

紛失が判明したのは2023年4月8日のことで、発覚後に院内を捜索するなどしましたが、公表時点で発見に至っていません。

なお、USBメモリには患者の住所、電話番号、生年月日、性別は含まれていないとのことです。

機密情報漏えいを防止する5つの対策

機密情報の漏えいを防止するには、次の対策が有効です。

• 機密情報を把握する
• 記録媒体を適切に管理する
• アクセス権限の設定を適切に行う
• 情報を監視するセキュリティソフトを導入する
• 社員に対しセキュリティ教育を行う

上記5つの防衛対策について、詳しく解説します。

（１）機密情報を把握する

まずは、自社が保有している機密情報にはどのようなものがあるのかを把握します。

保有する情報の把握をする際は、個人間で判断にばらつきが出ないよう、「何が機密情報なのか」という統一の基準を設けてください。

紙文書だけでなく、PCやサーバーに保存されているデータなど、すべて確認していきましょう。

また、文書やデータ化されていない情報も機密情報として含まれるケースがあることに注意が必要です。

一つひとつのデータすべてを把握するのは難しいため、どのような情報があるのか、全体像を把握するだけでも良いでしょう。

把握した情報を、漏えいした際の損失の大きさや経済的価値などに基づいて評価したうえで管理してください。

（２）記録媒体を適切に管理する

USBメモリや外付けHDDなどの記憶媒体を適切に管理することも重要です。

外付けHDDに重要データを保存しているケースもありますが、記録媒体は持ち運びが可能なため、外部に持ち出されるリスクがあります。

記憶媒体を使用する場合には、セキュリティワイヤーをデスクに取り付けて固定するなどして、持ち出しできないようにすると良いでしょう。

重要情報は社外へ持ち出さず、社内で管理するように環境を整えることが必要です。

IT資産管理を徹底するために、社内で使用している記憶媒体の数を常に把握したり、外部からの持ち込みを禁止したりすることも重要です。

（３）アクセス権限の設定を適切に行う

機密情報を含むデータに適切なアクセス権の設定を行うことも、情報漏えい対策の一つです。

機密情報を含む重要な文書や文書を保存しているフォルダには、アクセス制限をかけ、権限のある人だけが閲覧できるようにしておきましょう。

具体的には、部署や役職などのグループや範囲に応じて、適切にアクセス権を設定し、管理することがあげられます。

また退職者が出た場合には、そのまま放置せずに権限を削除するなど、常に最新の状態になるようメンテナンスを徹底する必要があります。

加えて、万一事故が起こった場合に追跡ができるよう、アクセスログを記録しておくことも必要です。

（４）情報を監視するセキュリティソフトを導入する

機密情報を監視するセキュリティソフトを導入することも対策として有効です。

機密情報そのものに対するセキュリティソフトも存在します。

機密情報をアップロード・ダウンロードしようとすると、アラートで通知するなどの機能が搭載されており、情報流出を未然に防止できます。

また、クラウドサービスに保存している機密情報には、CASB（Cloud Access Security Broker／キャスビー）の導入が有効です。

CASBとは、クラウドサービスの利用状況を可視化し、データのアップロードやダウンロードといった操作の監視や分析、制御が可能なシステムです。

（５）社員に対しセキュリティ教育を行う

社員へのセキュリティ教育を行う機会を設けることも大切です。

近年、テレワークの普及やペーパーレス化の促進により、より一人ひとりのITリテラシーの重要性が増しています。

例えば、リモートワークでカフェなどの公共のスポットに設置している無線LANのリスクを知らずに接続し、ビジネスデータのやり取りをする人もいるでしょう。

情報漏えいが発生すれば、最悪の場合企業が倒産するリスクがあることを社員に教育する必要があります。

社員のセキュリティ意識が低いままでは、悪意なく情報漏えいをしてしまいかねません。

そのため、定期的に研修を実施し、社員全体のセキュリティ意識を高めることが必要です。

まとめ｜機密情報は外部へ漏えいしてはいけない情報

機密情報とは、企業が保護すべき重要な情報を言い、個人情報や営業秘密といったものがあります。

また、機密情報は、重要度のレベルによって極秘文書、秘文書、社外秘文書といった種類に分けられます。

上記のような情報は、万一漏えいした場合、企業の信用力の低下や損害賠償などの大きな被害につながる恐れがあり、漏えい防止対策が重要です。

人的ミスや退職者による内部不正、サイバー攻撃と、情報流出につながる原因は複数あります。

機密情報が漏洩した事例も、ぜひ参考にしてください。

まずは社内にある機密情報には何があるのかを把握したうえで、情報を記憶できる媒体管理や、データのクセス制限を徹底しましょう。

また、セキュリティソフトのインストールや、セキュリティ教育で社員のセキュリティ意識を高めることも大切です。

テレワークの普及で情報セキュリティの重要性は増しているため、自社の情報を守るために適切な対策を行いましょう。