どのような企業であっても機密情報は少なからずありますよね。「社外秘」となっている資料などを見たことがある方も多いのではないでしょうか?しかし、その取扱については企業ごとに分かれるものでしょう。細部まで決められていない企業もあるかもしれませんよね。
そこで、機密情報に関してどのような取り組みを実施しているのかアンケートで調査してみました。
【質問】
あなたの会社で機密情報に関して実施している取り組み(複数回答可)
【回答数】
未然に防ぐための管理方針などを整備している:58
情報漏えい防止の為の教育を実施し、管理方針などを周知徹底している:45
情報漏えいの観点から、定期的な監査や調査を実施している:22
機密情報の管理に関する責任者を設置している:21
機密情報の管理に関する責任者の権限を明確化している:20
懲戒処分基準を設け、その内容を従業員に周知している:16
機密情報の管理について所管する部署を設置している:9
Contents
情報管理の徹底について意識して行動している企業は多い
アンケートの結果「未然に防ぐための管理方針などを整備している」が58人と最も多い結果になりました。
・会社外に絶対に出さないように、資料を指定の場所を決めて、従業員皆が熟知しているのを徹底して行っている。(20代/女性/会社員)
・外出時・出張する際などのパソコン持ち出し禁止やパスワードの定期的な変更など。(50代/女性/契約派遣社員)
・重要なことが知らされた直後に書類をシュレッダーにかけるなどのことをしている(20代/女性/会社員)
会社内の情報は社内の人間にとっては重要な要素が無いと思っても、社外の人間にとっては貴重な情報という場合もあるでしょう。そのため、社外にもれないように管理を徹底している企業が多いようです。シュレッダーの活用、パソコンのパスワードの定期変更などは情報漏洩防止に効果がありそうですね。
情報が漏れないためには社員教育が大切!
2番目に多い回答は「情報漏えい防止の為の教育を実施し、管理方針などを周知徹底している」は45人となりました。
・情報漏えい防止の為のコンプライアンスを実施し、見せしめもかねて管理方針などを周知徹底していること。(30代/男性/会社員)
・情報漏洩についての教育は社員全員がうけており、各自情報漏洩防止に気をつけています。(20代/男性/会社員)
・顧客の個人情報などが記されたデータを取り扱う部署の新入社員には専門の研修を行っている(30代/男性/会社員)
このように社員教育により情報が外部に漏れないように取り組んでいる企業も多いようですね。ただ、社員への教育を行って周知徹底をしても、社員の意識が向上しなければ情報漏洩を防ぐことは難しく、漏れない仕組みを整備することにはかなわないといえるかもしれません。
ルールを作っただけではダメ!定期的なチェックも必要!
3番目に多かったのは「情報漏えいの観点から、定期的な監査や調査を実施している」で22人となりました。
・半期に一度本部の情報管理部から各店舗に監査が入り、帳簿類などすべて確認し、会社全体が機密情報漏えい防止のため気を付けている(20代/女性/会社員)
・一応のルールを定めても、それが守られていなければ意味がないので、定期的な監査は必須だと思います。(40代/男性/会社役員)
・内部監査と外部監査をすることによって管理にもれがないように防いでいる。(20代/女性/契約派遣社員)
企業の機密情報は、常に危険にさらされているといっても過言ではないでしょう。回答にあるように、ルールがあっても守られていなければ意味をなさず、しっかりと守られているのか監査や調査を行うことは必要なのかもしれませんね。
情報が漏れてはならない!責任者の設置も重要かも
4番目に多いのは「機密情報の管理に関する責任者を設置している」の21人、以下「機密情報の管理に関する責任者の権限を明確化している」20人、「懲戒処分基準を設け、その内容を従業員に周知している」16人、「機密情報の管理について所管する部署を設置している」9人と続きました。
・管理者を設け、漏洩した場合の責任所在をハッキリさせる事により、そこでの厳しいチェックを日々行わせる。(40代/男性/会社員)
・秘密管理を怠ると、会社の不信に繋がるので、管理者を設けてチェックしている。(30代/男性/会社員)
・懲戒処分というか、社長から名指しでつるされます、恐ろしい・・・・・・(40代/女性/会社員)
・機密情報にアクセス出来る社員が限られている。必要以上に権限を広げていない。(30代/女性/会社員)
それぞれの企業で何らかの対策を行っているようですが、中には情報漏洩に対する処分を明確にしているところもあるようです。社長自ら処分に乗り出す企業は常に緊張感を持って情報の処理にあたるのかもしれませんね。情報が漏れないように日々のチェックが大切なようです。
企業ごとで情報の重要性は変わる!些細な情報でも管理は重要!
アンケートの結果、情報漏洩について管理方針を整備している企業が最も多い結果になりましたが、そこからもう一歩踏み込んで対策をしている企業も多い事が分かりました。確かに方針の整備をしたり社員教育をしたりということも重要ですが、責任者を明確にしたり調査をしたりということも大切かもしれません。個人にとっては意味をなさない情報であっても、他社にとっては目からウロコの情報である場合も考えられますので、情報の取り扱いにはくれぐれも気をつけたいものですね。
■調査地域:全国
■調査対象:【職業】会社員 会社役員 公務員 契約派遣社員
■有効回答数:100サンプル
あなたの会社で機密情報に関して実施している取り組み(複数回答可)
【「未然に防ぐための管理方針などを整備している」と回答した人の声】
・会社外に絶対に出さないように、資料を指定の場所を決めて、従業員皆が熟知しているのを徹底して行っている。(20代/女性/会社員)
・未然に防ぐことが一番大切ですので、管理方針を整備しています。(20代/男性/会社員)
・しっかりした規則があり、みんなほぼ遵守していると思うので特に大きな問題が起こったことは無いと思う(30代/女性/会社員)
・特別何か実施していることは無いと思います。一般的な、社のパソコンとインターネットを繋がないという程度のことです。(30代/女性/会社員)
・外部への持ち出しを原則禁止するデータを決めたり、持ち出さないデータでも暗号化するなどしています。(40代/男性/会社員)
・規則として記憶媒体の類は、自己PCに接続してはいけない決まりになっています。(40代/男性/会社員)
・会社に来る他の会社の人に進行具合などを簡単に教えないようにしている。(20代/男性/会社員)
・保持している情報が,容易に外部に流れる事は無いセキュリティ管理が出来ている。(60代/男性/会社員)
・管理方針のマニュアルを作成してそれを幹部職員が管理点検しています。(30代/男性/会社員)
・どこの会社にもある、同意書に捺印。席を離れるときは、机の上はなんにも置いていない状態にする。データの、持ち込み持ち出しは当然禁止。最初的には、警察に通報。(30代/女性/契約派遣社員)
・機密事項の書類のコピーなどは、使用後に担当者が集めてシュレッダーにかけてます。(50代/女性/会社員)
・そこまで必要としてない会社だからまあまあの定期検査ぐらいしかないようだ(40代/男性/会社員)
・あまりきちんとはしていないと思います。強いて挙げるなら方針の設備だと思います。(30代/女性/会社員)
・メモの手書きやパソコンでのデータ保存を禁止したり、社内の掲示板を廃止するなどの工夫が成されています。(30代/男性/会社員)
・セキュリティ室の媒体の持ち込み管理と持ち出し管理を出入口でチェックしている。(50代/男性/契約派遣社員)
・様々な情報漏えいのケースから、未然に防ぐにはどうしたらよいかなどのグループワークを定期的に行うことにより、対処力をつけられる。(20代/女性/契約派遣社員)
・とりあえず知っているのがこれくらいと言うだけでほかにもあるかもしれないですが。(30代/女性/会社員)
・機密情報管理規程と情報セキュリティ規程を制定し、管理を徹底している。(40代/男性/会社員)
・情報の漏洩は、未然に防ぐようにしないと意味がないと思うからです。(30代/男性/会社員)
・外出時・出張する際などのパソコン持ち出し禁止やパスワードの定期的な変更など。(50代/女性/契約派遣社員)
・会社で管理されているインターネット上に情報のレベル別にそれぞれを格納し管理している。最高レベルのフォルダには権限のある社員しか入ることがてきなくなっている。(40代/女性/会社員)
・SNSなどへの投稿を全面禁止にしていて、情報が流出しないようにしています(20代/女性/契約派遣社員)
・情報を管理する立場である以上は、管理方針を整備してマニュアルどおりにしています。(30代/男性/会社員)
・逆に言うとそれ以上のことが出来ていない。決まりはあるが忘れられており、意味がない。(40代/男性/会社員)
・未然に防ぐために施錠の数を多くしたり、チェックを複数で行うようにしています。(20代/女性/契約派遣社員)
・情報漏えいさせたときの処分や管理する部署を設置するところまでいたっておらず、管理方針を示す程度にとどまっている(20代/男性/会社員)
・重要なことが知らされた直後に書類をシュレッダーにかけるなどのことをしている(20代/女性/会社員)
・報告会などで定期的に情報管理 特に情報漏えいのリスクと注意喚起は成されている(30代/男性/会社員)
・未然に情報漏洩を防ぐために、処罰の対象であることや、管理の仕方、情報の扱い方などを周知しています。(30代/男性/公務員)
・未然に防ぐのが、何事においても大事である。後工程になるほど手遅れになる。(50代/男性/会社員)
・事故などを未然に防ぐためにヒヤリハットなどを導入していて、他にも第三者からの意見を取り入れている(30代/男性/会社員)
・フラッシュメモリーの使用禁止が常に頭になる。フラッシュメモリーが安いので、バックアップなどに使用したいので、変更して欲しい。(40代/男性/会社員)
・自社には取得した個人情報は別会社に委託しています。個人情報の取り扱いには、自社社員にも原則教えてもらえない事となっています。(30代/男性/会社員)
・共通の意識統一のためにインターネットを使ったEラーニングを実地、合格点がとれるまで何度も行っています。(30代/男性/会社員)
・工事会社でお客様の情報と図面を社外に持ち出すことになりますが、持ち出し管理簿があり持ち出しと帰社時の枚数を記入するルールになっています。まずは担当者が持ち出すものの枚数を確認し、サインする。月ごとに責任者が点検、サインするという二重の管理をしています。(30代/男性/会社員)
・各自で与えられているパソコンは、各自のデスクにある鍵のかかるところで保管しなければならない(20代/男性/会社員)
【「情報漏えい防止の為の教育を実施し、管理方針などを周知徹底している」と回答した人の声】
・会社で機密情報に関して実施している取り組みで一番実施しているので選びました。(30代/男性/会社員)
・機密情報に関しては、漏えいすると大変なことになるので、管理職が常にパスワードを変更している。そして、外部とつながるパソコンと内部で使用するパソコンを分けて管理している。(50代/女性/会社員)
・研修などでも特に時間を掛けていてかなりしっかりしている方かとは思います。ただし、行き届いているかといわれると疑問です。(20代/女性/契約派遣社員)
・所属グループごとにコンプライアンスミーティングという形で、情報漏えいのリスク等を周知している。(30代/男性/会社員)
・情報漏洩についての教育は社員全員がうけており、各自情報漏洩防止に気をつけています。(20代/男性/会社員)
・社員へeラーニングを活用していることによって機密情報の取り組みについて理解できるからです。(20代/女性/会社員)
・情報漏えい防止の為の教育をこつこつと実施していくしかないですね。(30代/男性/会社員)
・定期的に外部から講師を招いて徹底的に防止のために勉強会が開かれています(30代/男性/会社員)
・会社では、情報漏洩防止のための教育や管理方針などを周知徹底しています。(30代/男性/会社員)
・私の職場では重要な個人情報を膨大に取り扱っているので、全職員に情報漏洩に関する教育や研修を行っています。(30代/男性/会社員)
・安全ミーティングの一環として、情報漏えいも一部となっています。その時に、情報管理についても徹底してます。(30代/男性/会社員)
・機密は漏らそうと思えば誰にでも漏らすことができる。社員1人1人が徹底的な管理をするために定期的な教育が必要(20代/男性/会社員)
・1年目の頃から、eラーニングで毎年一度は機密情報に関する教育を受けています。(30代/女性/公務員)
・定期的に『情報漏洩をしないようにちゃんと管理をするよう心がけること』というメールが送られてくる。(20代/男性/会社員)
・当社接客業のため、どうしても顧客情報の取り扱いが頻繁になります(伝票作成など)。責任者がいるとはいえ、簡単な情報は誰にでも扱えてしまうので、その取扱いの管理方法については、社員だけでなく、パート・アルバイトにも徹底して教えています。(40代/女性/会社員)
・一年に一度、eラーニングで全従業員に教育を行い、周知徹底している。(30代/女性/契約派遣社員)
・小さな会社なので、しっかりした管理方針を周知徹底とまで言えるレベルではありません。明確な責任者をおくほど人がいないのですが、普段から声をかけるようにして、情報漏洩に関して緊張感を保つようにしています。それが結果的に教育だと、考えています。大企業だと、そうはいかないと思いますが。(40代/男性/会社役員)
・情報漏えい防止の為のコンプライアンスを実施し、見せしめもかねて管理方針などを周知徹底していること。(30代/男性/会社員)
・紛失することもあるので、社内情報・個人情報は施設の外に持ち出さないよう、職員に徹底させている。(30代/男性/会社員)
・入社時に正社員だけでなく、派遣社員に向けても会社方針や会社ルールなどを覚えるためのWEBプログラムを実施するため。(20代/女性/契約派遣社員)
・朝礼や、ミーティングを通じて定期的に周知し、理解度テストを実施するなりして情報漏えいの防止を教育しています。(40代/男性/会社員)
・情報漏洩は良くないことであるため、常にしっかりとしたルールを決めている(30代/女性/契約派遣社員)
・私の会社では取り組みすべてが実施されていますが、研修会を頻繁に実施し管理方針のみならず、漏洩してしまった際の影響及び影響力まで社員に周知する事で防止されていると思います。(40代/女性/契約派遣社員)
・定期的に外部の研修に参加させたり、外部講師を招へいしたりしています。(30代/男性/会社員)
・知らず知らず情報を漏らすことが一番恐ろしいと考えているからです。(40代/男性/会社員)
・情報漏えい防止の為にはそうするしかないと思う、それでもやばいこともあると思う(30代/男性/会社員)
・社内でネットリテラシーの講義があり、その際に個人情報の取り扱い方も学ぶ(20代/女性/会社員)
・顧客の個人情報などが記されたデータを取り扱う部署の新入社員には専門の研修を行っている(30代/男性/会社員)
【「情報漏えいの観点から、定期的な監査や調査を実施している」と回答した人の声】
・取り組みは会社で実施していることなので、実施している理由などはわからない。(40代/男性/会社員)
・半期に一度本部の情報管理部から各店舗に監査が入り、帳簿類などすべて確認し、会社全体が機密情報漏えい防止のため気を付けている(20代/女性/会社員)
・内部監査と外部監査をすることによって管理にもれがないように防いでいる。(20代/女性/契約派遣社員)
・情報漏えい防止のため、会社のネットワークには無線では繋げないようになっている。(30代/男性/会社員)
・人はなれる生き物なので、定期的に意識をすることや、新しい事項に対応できるようにすることが必要。(30代/女性/会社員)
・定期的に社内ネットに繋がったパソコンでeラーニングや講習等を全従業員が受けるようになっています(30代/女性/会社員)
・正直どういうことをやっているのか、全く分からないのですが、何をしているのでしょうか。(30代/女性/契約派遣社員)
・一応のルールを定めても、それが守られていなければ意味がないので、定期的な監査は必須だと思います。(40代/男性/会社役員)
【「機密情報の管理に関する責任者を設置している」と回答した人の声】
・一応情報管理の責任者が設定されています。おそらく形だけですけど。(30代/男性/会社員)
・部門単位で管理委員を設置し、事務局からの指示や報告を行っている。(40代/男性/会社員)
・二重三重のチェックを経ないと、担当者が機密情報に触れることはできなくなっています。(40代/男性/会社員)
・あまり情報漏洩については、きちんとできてはいないと思うが、担当者だけは決めて研修はしているから。(30代/女性/会社員)
・もし、情報を漏らす行為に繋がる行動をしている人物を見つけた場合、報告する責任者を数名置いていると会議で年に一度説明を受けている。(20代/女性/会社員)
・管理者を設け、漏洩した場合の責任所在をハッキリさせる事により、そこでの厳しいチェックを日々行わせる。(40代/男性/会社員)
・責任者などの数人しか大切な情報は管理しておらず、社員でも詳しく知らないこともある(20代/女性/会社員)
・ITの専門知識を持った人と委託契約をし、社内全体のネットワークシステム等を統括して管理してもらっている。又、そのIT担当者と業務統括責任者と直で話が出来るようになっており、社内全体の情報を一括管理している。(40代/女性/会社員)
・でも、責任者だけを責めてもどうしようもないですからねえ・・・・・・(40代/女性/会社員)
・責任者を決める事で、管理があいまいにならずきちんと管理出来ていると思う(40代/男性/会社員)
・機密情報を取り扱う人を徹底的に選定して決めているので、一般社員はまったく手を出せない状態にしてある。(30代/女性/会社員)
・上記のいずれの情報管理にも対応するため、各職場ごとに文書管理主任者及び情報セキュリティ主任者を置いて、文書や情報管理の徹底を図っている。(50代/男性/公務員)
【「機密情報の管理に関する責任者の権限を明確化している」と回答した人の声】
・機密情報は利用者が増えれば増えるだけ漏洩のリスクは高まります。(20代/男性/会社員)
・代理店契約をしているので親会社から定期的に見直しするよう依頼が来ます。(50代/女性/会社員)
・実際のその件について考えているうちに、いろんな対策を考えていかなければと強く思いました。(30代/男性/会社員)
・秘密管理を怠ると、会社の不信に繋がるので、管理者を設けてチェックしている。(30代/男性/会社員)
・複数人、携わるスタッフがいると管理体制が甘くなる。1人決めているとより責任も重くなり意識も強くなる。(40代/男性/会社員)
・社内の階層によりアクセスレベルの規定があり、普通はそれ以上の情報は入手できません。必要であれば管理責任者の許可を得る。(60代/男性/会社員)
【「懲戒処分基準を設け、その内容を従業員に周知している」と回答した人の声】
・どこの会社もそうだと思いますが、機密情報の漏洩は懲戒処分になります。(30代/男性/契約派遣社員)
・懲戒処分というか、社長から名指しでつるされます、恐ろしい・・・・・・(40代/女性/会社員)
・人的要因が大きいため、情報漏えいした者がどのような処分を受けたかを周知させることにより、情報漏えいを防ぐようにしています。(50代/男性/会社員)
・人間は罰という言葉に弱いと思う。意識付けがだいじではないか。(30代/男性/公務員)
・万が一の漏洩事故があれば事案とともに社内イントラに原因と対策と処分が公開され、全社的に再発防止への意識が高まるため。(30代/女性/会社員)
・懲戒処分基準があるため、従業員が個別に責任を感じるので管理をしやすくなっていると思われるため(30代/女性/契約派遣社員)
・人間の行うことに起因する事項もあるので、性悪説に立って、規則を犯した場合の不利益というものを徹底することによって抑止ができる。(50代/男性/公務員)
【「機密情報の管理について所管する部署を設置している」と回答した人の声】
・情報委員会という社内の機密情報の規定を扱う委員会が活動でしている。(20代/男性/会社員)
・やはり 会社内の機密情報は 絶対に 社外に出てはいけないので 気を付けています。(50代/男性/会社員)
・機密情報にアクセス出来る社員が限られている。必要以上に権限を広げていない。(30代/女性/会社員)