事業規模の大小にかかわらず、あらゆる企業は機密情報の漏えいリスクと日々隣り合わせの状態に置かれています。機密情報とは、顧客情報や企画書、設計図、給与情報など、企業が外部に漏らしたくない重大な情報のすべてを指すもので、万が一漏えいとなれば、企業に計り知れない損失をもたらすでしょう。

企業における機密情報とは何か、そしてITエンジニアが知っておきたい機密情報漏えい対策等について説明します。

機密情報とは

機密情報とは、企業にとって重大な秘密情報全般にあたるものです。顧客や従業員の個人情報から、人事に関する情報、取引先の情報などはいずれも機密情報に該当します。こうした機密情報の漏えいは企業にとって甚大なダメージをおよぼすため、各企業は自社の情報が漏えいしないよう、セキュリティ対策や社員教育に務めなくてはいけません。

記憶に新しいところでは、元ソフトバンク社員が同社の機密情報を不正に持ち出し、楽天モバイルに転職して情報を流出させたとして、2021年1月に逮捕される事件がありました。こうした情報漏えいは、企業側だけでなく、従業員側も気を付けなければならないものです。

特に、企業の機密データを扱う機会が多いエンジニアは、機密情報の取り扱いや漏えいを防ぐ方法を十分に理解しておく必要があります。

機密情報の定義

機密情報とは、管理されている企業情報のうち、外部への開示が予定されておらず、また開示によって企業に損害が生じる可能性のある情報が該当します。

• 顧客情報
• 企画書
• 設計図
• 給与情報
• 在庫情報
• 人事情報
• 研究報告書
• 仕入れリスト
• マニュアル
• 営業計画書　など

また、機密情報にはデータや紙で取り扱うもの以外に、口頭で聞かされた情報も含まれます。たとえ口頭で伝えられた情報でも、社外にその情報を伝えてはいけません。

機密情報と秘密情報との違い

機密情報と似た言葉に、秘密情報というものがあります。秘密情報は、秘密保持契約の際に秘密保持義務の対象となる情報を指すもので、法律上明確な定義などはなく、どのような情報が秘密情報にあたるのかまでは定められていません。

さらに、営業秘密という言葉もあります。営業秘密は法律で定義が定められており、「秘密として管理されている生産方法、販売方法、その他事業活動に有用な技術や営業上の情報」とされています。事業において重要な技術等が営業秘密として、不正競争防止法で保護されているのです。

IPAが定義する機密情報レベル

機密文書は、漏えいにより予見される影響の大きさからレベル分けされており、IPA（独立行政法人 情報処理推進機構）では次の3つのレベルに区分しています。

●社外秘文書
社外に漏らしてはならない情報。社内共有のみが認められる顧客情報や企画書などが該当

●秘文書
社内でも一部の者のみが確認できる情報。役員やプロジェクトマネージャーなどにのみ閲覧が許される、人事関連情報や契約書などが該当

●極秘文書
閲覧・確認は社内のごく一部の者のみに限定される、3つの区分のなかでもっとも厳重な管理が求められる情報。公開を控えた研究開発結果や未公開経理情報など、事業推進において漏えいが決して許されない情報が該当

機密情報が漏えいするリスク

万が一機密情報が漏えいした場合、企業側は次の2つの面で損害を被ることになるでしょう。

• 信用・信頼を失う
• 損害賠償のリスクと罰則

一度機密情報が漏えいしてしまうと、企業側のセキュリティ対策を疑問視する声が上がり、顧客を含むステークホルダーからの信用や信頼を失うことになります。また、情報を漏えいさせたとして損害賠償を請求される可能性も否めません。

信用・信頼を失う

機密情報の漏えいによって「情報の管理がずさん」であると判断されてしまえば、信用と信頼を大きく失うことになるでしょう。また、「情報が漏えいした企業」として、新規顧客獲得の機会を逃してしまうことも懸念されます。

さらに情報漏えいによってブランドイメージが損なわれた結果、内定辞退など、採用面での困難も発生するでしょう。一度失った信頼を回復するには、一定の時間と徹底した再発防止対策が欠かせません。

損害賠償のリスクと罰則

情報漏えいによって第三者に損害が発生した場合、被害者から損害賠償を請求されることがあります。損害賠償費用のほかに、損害賠償を支払うためのコストも発生するため、漏えいした情報の質と量によっては多大な損失を被ることになりかねません。

なお、万が一故意に情報を流出していた場合には、不正競争防止法に基づいて損害賠償を請求されることがあります。

また、情報漏えい事故が個人情報保護法に触れるもので、個人情報取扱事業者が適切な対応をしない場合は、刑事罰として6ヵ月以下の懲役または30万円以下の罰金が科されることがあることを覚えておきましょう。

機密情報を漏えいしないための方法

機密情報を漏えいさせないために、企業は次の3つの対策を行う必要があります。

• 保有する情報の把握
• セキュリティ対策
• 機密情報を取り扱う意識づけ

企業は、まず自社で保有する情報をすべて把握し、適切な管理体制構築に努めましょう。紙ベースの資料にデジタルデータ、従業員が持つノウハウや技術も機密情報として取り扱われます。

次に、重要な情報が漏えいしないよう、重要なデータにアクセスできる従業員を制限する、セキュリティを強化するなどのセキュリティ対策を取ります。

最後に、機密情報を取り扱う社員の、情報管理に対する意識づけも重要です。

保有する機密情報の把握

まずは、自社内が保有する機密情報を把握します。調査を行う担当者によって判断が属人的になったり、情報の抜けがあったりしないように、「なにが機密情報なのか」社内の判断基準を明確に定めておきます。

この際、情報整理の視点も欠かせません。「○○課が進めている○○プロジェクトに関する機密情報」というように、ある程度まとめて情報を保管しましょう。社内にある機密情報を整理し把握できれば、情報の性質や量に見合った情報漏えい対策を行えます。

また、保有する機密情報を把握する際に、「細かく定義すると面倒だから」とすべての情報を機密情報扱いにしてしまうのは望ましくありません・従業員が機密情報の扱いに慣れてしまい、危機管理意識が薄れてしまうことがあるからです。策定した判断基準に則って、適切に分類してください。

エンジニア個人が管理する情報も同様です。保有している機密情報を把握して、万が一の事態が起きないよう、個人レベルでも管理体制を徹底しましょう。

セキュリティ対策

情報漏えいリスクをできるだけ低減するためには、セキュリティ対策が欠かせません。セキュリティ体制を定期的にチェックして、不審なアクセス等がないか確認しましょう。あわせて、不正アクセスを監視し排除するセキュリティ対策システムの導入や、多要素認証の導入などでより強固なセキュリティ体制を構築することをおすすめします。

エンジニアは情報漏えいを防ぐために、セキュリティ対策関連知識を常に最新のものにアップデートし、堅牢なセキュリティシステムの構築に寄与できるようにしておきましょう。

機密情報を取り扱う意識

機密情報の漏えいリスクは、どこに潜んでいるかわかりません。思わぬミスで情報漏えいを引き起こさないよう、全従業員が高いセキュリティ意識のもと情報を管理する必要があります。

例えば、機密情報を書類で保管している場合は、改ざんされないように重要な書類は鍵付きの保管庫に入れておく、廃棄する際は必ずシュレッダーをかけるなど、取り扱いルールを徹底しましょう。

テレワーク下でITエンジニアが気を付けたいこと

急速に普及が進むテレワーク環境でセキュリティ体制に問題が生じ、情報漏えいにつながってしまうケースもあるようです。

総務省の「平成30年版 情報通信白書」によると、国内企業のテレワーク導入率は増加傾向にあり、テレワークの導入を歓迎するビジネスパーソンも増えています。

拡大画像はこちら

出典：総務省「平成30年版 情報通信白書」

なかでも、テレワークに適した職種であるITエンジニアについては、すでにテレワークを実施している企業も多く見られます。企業の機密やセキュリティに関与するエンジニアは、テレワーク下でも安全に情報を取り扱えるよう工夫と対策が欠かせません。

テレワークで起こり得る問題

オフィスに集まって同じ環境下で働く従来型の働き方とは異なり、個々が自由に働くテレワークでは、機密情報の取り扱いやセキュリティ対策が万全でない場合があります。テレワーク時に起こりうる、機密情報に関連する個別の問題について、順に確認していきましょう。

• 機密情報が記録されたUSBメモリの紛失
• コンピュータウイルスの感染
• Web会議システムへの攻撃
• フィッシングサイトへの誘導
• 無料のWi-Fiから情報を抜き取られる

機密情報が記録されたUSBメモリの紛失

USBメモリなど、外部記憶装置に機密データを入れていると、紛失してしまうリスクがあります。小さなUSBメモリは一度紛失すると見つけるのが困難になってしまうため、なくさないように定位置に置くなどして日頃から管理を徹底しましょう。

コンピュータウイルスの感染

デバイスにウイルスが感染して情報が漏えいしてしまうこともあります。パソコンはもちろんのこと、スマートフォンやタブレット等、業務で使うデバイスにはウイルス対策ソフトを入れて感染を防ぎましょう。

Web会議システムへの攻撃

無料のWeb会議システムなど、セキュリティ面で不安の残るシステムを利用して会議内容が筒抜けになってしまうのは避けたいところです。信頼できるWeb会議システムを利用しているか確認してください。また、自社で契約しているWeb会議システム以外を使用して機密情報に関わる話をするのは避けましょう。

フィッシングサイトへの誘導

フィッシングサイトも、近年では手口が巧妙化しています。本物そっくりのサイトに、似たようなドメイン、フィッシングサイトに誘導するメールやメッセージも思わずクリックしたくなるような文章です。サイトを利用する前に、ドメイン名のチェックなどをおこない、不審な点がないか確認しましょう。

無料のWi-Fiから情報を抜き取られる

テレワークで最も気を付けたいのが、無料のWi-Fiの使用です。カフェなどにデバイスを持ち込んで、その場所が提供している無料Wi-Fiを使用して仕事をするのは絶対に避けてください。悪意のある第三者に機密情報を抜き取られる危険があります。

外で仕事をしたい場合はテザリングを利用したり、モバイルWi-Fiを使うなど、自衛の意識を強く持ちましょう。

テレワーク時の注意点

テレワーク中のエンジニアは、情報漏えいを防ぐために次の点を心掛けましょう。

• セキュリティ対策ソフトの導入
• VPNの使用
• 端末に情報を保存させない
• 多要素認証を導入する

まず欠かせないのがセキュリティ対策ソフトの導入です。パソコンだけでなく、スマートフォンやタブレットにもウイルス対策ソフト等のセキュリティ対策ソフトを導入してください。マルウェア対策やフィルタリング、Wi-Fiの安全性の確認までできるものが望ましいです。

Wi-Fiを使用する際には、VPN（バーチャルプライベートネットワーク）を使用しましょう。通信を暗号化することでセキュリティを強化できます。

また、仮想デスクトップ等を導入して、端末自体に機密データを保存しないようにすることで、情報漏えいリスクを軽減できます。さらにIDとパスワードに加えてワンタイムパスワードや指紋などの認証方法を組み合わせる多要素認証を導入して、万が一ネットワーク内に侵入されてもログインされない体制を作っておくと安心です。

機密情報は適切に管理することが大事

テレワークの広がりを受け、機密情報漏洩のリスクは日々高まっています。エンジニアは、自身のリスク管理はもちろんのこと、自社へのセキュリティ対策ソフトや多要素認証の導入の提案などを行い、情報管理体制の構築と浸透を急いでください。