本日の日経新聞に掲載された「企業秘密の漏洩に対して未遂での刑罰」とする記事に感じた、機密文書管理のあり方と課題

毎年、下期になりますと翌年の監査対応に向けてということで「社内規程の見直し」というテーマが話題になることがあります。

今年は、情報漏洩事件・事故が多発した1年で、毎月のように企業秘密(営業機密や個人情報等)の漏洩に関するニュースを目にしてきました。

日本国内では未だに内部犯行が多かったり、ユーザーのID/パスワードの使い回しによるリスト型攻撃での漏洩だったりするものですから、ITシステムのセキュリティ対策や、雇用契約下にある社員に対しては、情報セキュリティ対策の頃と変わらない「性善説」に基づく対応が続けられています(ここに良し悪しの判断はありません。各社の状況に応じた対応ができていれば良いと考えています)。

さて、2008年より「規程体系の整備」というサービスを提供していますと、毎年様々な上場企業や関連会社、またそれら企業を主要取引先に持つ企業の方々からお問合せを頂くわけですが、最初にほぼ決まって伺うフレーズがあります。

「うちの会社では、社内規程は見直しをほとんど行っておらず、社員全員が正しく認知しているわけでもありません…」

問題意識を無理やり持つ必要は無いと思いながらも、社内規程類を拝見させて頂きますと、必ずと言っていいほど社内規程は秘密文書の一部となっています。

これは規程類のサンプルでそのように記載されているからであり、何気なく整えておこうと先の担当者が選定し、取締役会で制定してきた経緯があるわけですが、会社として定めた秘密文書を正しく管理していないという現実をそのまま素直に受け止めているということでもあります。

こうして、社内で閲覧可能な秘密文書の所在や運用が適切に管理されていない状況であることを吐露されるわけですが、反面、会社WEBには営業機密や個人情報は、体制を整え適切に運用管理いたしますと宣言されているわけです。

本日(2014/11/24)の日経新聞電子版にこんな記事がありました。

『企業秘密の漏洩、未遂も刑罰 海外流出防止に重点』

企業秘密を抜き取ろうと試(みて失敗)した場合であっても刑罰の対象となるという趣旨ですが、まずは抜き取ろうとした情報が企業秘密として管理されていたことを企業側が証明できる状態にしておく必要があります。

企業秘密であることを示すには要件がありまして、以下の通りとされています。

秘密として管理されていること
事業活動に有用な情報であること
公然と知られていないこと

特に、1.については、管理策が社内ルールとして定められ、社員に周知徹底され、会社及び社員一人ひとりがそれに基づいて秘密情報を適切に管理していることを示す必要がありまして、これを第三者から見ても十分に管理されていたと示すためには、社内規程が置いてあったというだけではなかなか難しいと考えられます。

特に、電磁的記録により企業秘密を管理している場合には、文書管理規程だけではなく、ITシステム関連や外注管理に関する規程類を整備していく一方で、情報資産の管理を積極的に進めていくITインフラが必要であり、規程管理に留まらない企業防衛の観点からのバランスの取れた対策が必要となるでしょう。