法人向け機密文書廃棄マニュアル

安全な処理で情報漏洩を防ぐ!機密書類の適正な処分方法を紹介

法人向け機密文書廃棄マニュアル » 機密書類の定義と管理 » 機密文書はどう管理すべきか
 

機密文書はどう管理すべきか

機密文書の適切な管理方法

機密文書とは「関係者以外に漏えいすると、関係者に不利益が生じる情報を含む文書」と定義づけられる文書を言います。

一般的には情報漏えいが発生してしまった場合の影響度によって、「極秘」「秘」「社外秘/部外秘」という3つの分類に分けられ、その重要性に応じて適切に管理する必要があります。

極秘文書

極秘文書はその名の通り、会社の中でもトップシークレットに位置づけられるものです。漏えいしたときには、会社に甚大な被害が発生する可能性すら考慮しなければなりません。

そうした文書は、会社の中でも代表取締役や役員など、会社の経営を担うごく限られた人しか見られないようにしておく必要があります。会社の規模によっては、存在そのものを伏せる必要があり、高度なセキュリティーをかけておくべき書類です。

秘文書

秘文書は極秘文書ほどではないにせよ、関係者以外の人が見られないように保管する重要な情報です。こちらも、極めて高いセキュリティーの元での管理が必要です。

社外秘文書

社外秘文書は、社外に知られてしまうことで不利益が生じる可能性のある大事な情報です。

社内ではある程度閲覧できるにはしておいても、物理的・データ的に外部に流出するようなことがないよう厳重に取り扱う必要があります。

機密書類の一般的な管理方法

これらの機密文書に対し、多くの企業では文書の機密性の度合いに応じて管理体制を分類、その上で権限設定とアクセス制御を施します。

アクセス制御に関しては、企業内の金庫やキャビネットへの施錠のほか、電子ファイルであれば権限設定を施してパスワードロックをかける、操作ログを残すなどさまざまなものがあります。その上で、アクセスするための利用方法や申請方法を定義しておくのが一般的です。

機密情報のレベルと分類

機密文書の分類については、レベルに応じたものに加え、機密の内容に応じた分類も行われます。その中で推奨される考え方が「VAPS」と呼ばれるものです。

VAPS

「VAPS」は、重要度ごとに分類した文書を内容別に再分類し、その種類を表す英単語の頭文字から名付けたものです。具体的には、以下となります。

  • 「V」(Vital):バイタル情報資産。企業の保有する情報資産の中でも最上位にランクされ、紛失したときには事業継続すら危うくなる重要情報。事業の根幹に関わる契約書の原本、再現性が困難なもの、法律で保存が義務づけられているものなどがこれにあたる。
  • 「A」(Archival):アーカイバル情報資産。企業の歴史を編纂するときに必要な情報資産。創業者の理念や経営方針、合併の歴史、工場の建設などが該当。「社史編纂資料」「創業理念・方針」「重要行事にまつわる記録」など。
  • 「P」(Personal):個人情報資産。取引先や業務委託先を含め、保有している個人データ(6ヶ月以上利用)に関してはリスクヘッジの観点から保護。「氏名・住所などの個人情報」「犯罪・出生などの機微な個人情報」「マイナンバー」などが該当。
  • 「S」(Security):セキュリティレベル。「V」「A」「P」と評価された情報資産について、機密情報として取り扱う機密レベル「極秘、秘、社外秘」をランクづけしたもの。

営業秘密

機密文書の中には、会社や個人の秘匿すべき情報に加え、秘密として管理されている生産方法、事業活動に有用な技術などを指す「営業秘密」というものがあります。これらが流出すれば、他の企業に意図的にまねをされる、あるいは妨害を受けるなど、直接的・間接的な害を被ることになりかねません。

機密文書が漏洩したら?

まずは漏洩の有無を確認

機密文書が漏洩した際には、まずは事実確認を行い、どのような状態となっているのかを細かく把握する必要があります。

その際に肝心なのは正確な情報をつかむこと。場合によっては、実際には漏洩していなかったにもかかわらず漏洩したとして大騒ぎをし、結果として信頼を失うケースもあり得ます。

正しい情報がなくては誤った判断をしかねないため、丁寧かつ迅速に状況を把握しましょう。

原因調査と謝罪

漏洩の事実が確認できた場合は、原因の調査、謝罪広告の掲載、事後対応(被害者およびマスコミ対応など)などを行っていくこととなります。その際、まず必要なのが、情報漏洩によって被害を被った相手への謝罪やお詫びです。金券など、お詫びの品を用意する必要が出てくることもあるでしょう。

同時進行で原因調査を進め、再発防止案を策定します。二度と同じことが起きないよう、原因を徹底的に究明し、そこで見つかった問題点をしっかりと潰さなければなりません。

早期にこれらの対策を行えば企業としての信頼減を最低限で留め、信頼回復にもつながります。ただし、長く放置しておけば、あとで取り返しのつかない痛手となると考えましょう。

発生リスクを認識する

機密文書の管理を厳重にするためにも、機密文書漏洩のリスクは明確に認識しておく必要があります。具体的には、情報漏洩対策によって通常業務を止めざるを得ないこと、会社としての信頼が失墜してしまうことが挙げられます。

機密文書の漏洩が起き、それによって被害が生じた場合、お詫びや対策などに社内のリソースを割かざるを得ません。それらの仕事は収入に直結する経済活動ではなく、それでいて最優先の対応を求められるため、会社として仕事が止まることに直結します。

また、機密文書の漏洩を起こし他社に迷惑をかけた・損害を与えた会社との付き合いを控える会社は多いでしょう。そこから信頼を回復し、商取引を以前の規模まで戻していくためには、多大な労力が求められます。メディアで報じられる規模の情報漏洩が起きてしまえば、当然他府県にもニュースとして伝播するため新規開拓も困難を極めることに。他にも、会社の評判が落ちたことによって求職者から敬遠されやすくなり、さまざまな面での損害が考えられます。

それらを防ぐためにも、日常的に情報漏洩に関しては意識を高く持ち、機密文書の取り扱いを徹底していくべきです。不要な機密書類は早めに処理し、重要案件の保管に注力するのもリスクヘッジの良い方法と言えます。

処理費用が安く
かつ信頼性の高い業者3選を見る

法人向け機密文書廃棄マニュアル