機密文書とは?

機密情報は顧客情報、人事情報、商品開発や財務情報など

機密文書とは、「企業に関する極めて重要で秘密保持を行わなければならない文書」と定義されているものです。

秘密保持を行わず、万が一情報漏洩したしまった場合には企業に甚大な被害を与える可能性があります。

例をあげると、顧客リスト、人事情報、個人情報、財務情報、商品開発情報など秘密情報が記載されている文書は機密文書に該当します。

これらの情報は事業活動や競合企業と差別化する上で重要な情報資産となるため保護、管理の徹底が重要となってきます。

情報漏洩した場合の影響によって3つに区分される

また、法令やガイドラインなどで定められているわけではありませんが、それら機密文書は情報漏洩した場合の影響レベルによって3つに区分されております。

社外に開示してはならないものは「社外秘文書」、取扱い部署など一部の社員にしか開示してはならないものは「秘文書」、経営に関わる役職員などごく一部の社員にしか開示してはならないものは「極秘文書」の3分類です。

では各区分ごとの内容を詳しくみていきましょう。

機密文書の3つの分類

たとえば「社外秘」と記載された書類やデータなどは一部の社員にのみ開示され、その情報は企業内で「機密文書」として扱われます。

機密文書は重要度や開示の範囲に応じて、社外秘文書、秘文書、極秘文書という3つの区分に分けて、それぞれどの程度の機密であるか、またどのような書類が該当するか理解しておく必要があります。

社内で分類分け、機密文書の理解、周知が進んでいないようであれば要注意です。

「社外秘文書」は持ち出しや紛失に注意

社外秘文書は社内、社員での共有やアクセスは可能ですが、社外に漏らしてしまうと信用が失墜、法令違反、経済的損失などの不利益を被る可能性がある文書のことを指します。

3区分の中ではもっとも重要度が低い文書ですが、社外の人間の目に付く場所に不用意に置いたり、持ち出しによる紛失をしないように注意が必要です。

顧客リスト(顧客情報記載書類)、営業企画書、会議議事録などの文書が該当します。

「秘文書」は限られた人物のみアクセスできる体制を

秘文書は極秘につぐ程度の機密レベルの高い情報です。

社内であっても特定の関係者でしかアクセスや共有が出来ない、役員やプロジェクトメンバーなど社内でも限られた人物のみがアクセス出来る体制が必要となります。

人事関連書類、個人情報記載書類、重要契約書などの文書が該当します。

「極秘文書」は最も重要かつ厳重な管理が必要

極秘文書は3区分の中で最も重要かつ厳重に管理すべき文書です。

企業経営に直結する内容などが含まれますので、漏洩した場合に企業の活動や利益に損害を与える可能性があるため、経営に関わる役員などごく一部の人だけがアクセスできる文書となります。

未公開の経理文書、合併や未公開の経営情報、未公開の研究結果などの文書が該当します。

機密文書に関する法律

冒頭でお伝えしたように機密文書には法令やガイドラインがあるわけではありません。「極秘文書」「秘文書」「社外秘文書」についても一般的な考え方、分類であり、「機密文書」という言葉について定義している法律はありません。

近い概念としては、「不正競争防止法」の定める「営業秘密」という考え方が存在してます。

事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的とする法律で、つまりは不正な企業競争の被害にあった場合に民事上・刑事上の措置をとることのできる法律です。

また、「不正競争防止法」の定める「営業秘密」とは「秘密として管理されている生産方法、販売方法、その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」(法2条6項)と定義されており、以下3要件が全て満たされていることが必要です。

「秘密管理性」秘密として管理している
「有用性」有効な技術、情報である
「非公知性」公開していない情報である

仮に秘密とされている情報であってもこの3要件が満たされていなければ不正競争防止法は営業秘密として保護されないことになりますので、機密情報の管理や保護が重要なのが伺えます。

機密文書の管理方法

企業が保有するすべての秘密情報を管理すると、管理コストが非常に高く運用が現実的ではありません。

まず、自社が保護すべき情報を全て洗い出した上で重度に応じて「社外秘文書」「秘文書」「極秘文書」に分類しましょう。

次に3つに区分ごとに情報漏洩対策をたてることが必要です。

ステップ1 情報の洗い出し
どこに、どんな情報を、どのように保管しているかなどを洗い出し、台帳に整理する必要があります。

ステップ2 情報を評価・分類
秘密情報のレベルを評価します。評価するに当たって考慮すべき項目としては、以下をあげることができます。

・情報の経済的な価値
・情報漏洩等によって被る損失の程度
・取引先に与える損失の程度
・競合企業にとっての有用性
・情報漏洩によって生じる社会的信用低下による損失の程度
・情報漏洩による契約違反や法令違反に基づく制裁の程度

ステップ3 管理体制の強化
機密情報レベルの分類が終わったら分類ごとでの保管、情報漏洩対策を策定をします。

また、管理部署や担当者を選定し、リスクマネジメントの社内教育強化、ヒューマンエラーによるリスクを軽減するために、機密情報の取扱いルールの強化と周知を、管理部署もしくは担当者が適宜おこなう必要があります。

機密文書の処理方法

機密文書の取り扱いルールが社内で浸透しており、処理する量が少量であれば決められた処分ルールの中で社内シュレッダー処理する方がセキュリティ上のリスクを抑えることができます。

ただし、一定の手間と時間がかかるデメリットがあります。

管理体制の徹底や管理負担の大きさに不安を覚えるようであれば、多少の費用を投じて外部業者に依頼してみるのも1つの手段です。

詳しくは「業者選定のポイント」をご覧下さい。

まずは自社が機密文書の重度に応じて適切な対策、体制が整っているか、それらが社内浸透しているか考えてみましょう。