機密情報とは
機密情報とは、企業秘密とも呼ばれる企業にとって重大な秘密情報のことで、特定の企業を識別できる情報です。
具体的には、顧客情報、給与情報および住所録、昇格に関する情報、仕入先リストなどが機密情報に該当します。機密情報は、書面やデータなどの有形資料だけではありません。形になっていない無形資料も、機密情報として保護されるものがあります。例えば、会社の秘密情報を口頭で知った場合、外部の第三者に漏らすようなことがあれば、情報漏洩の責任を問われ得るということです。
また、似た呼び方で、機密情報、秘密情報、営業機密、営業秘密などと呼ばれているものもありますが、一般的な意味は同じです。しかし、労働者側の視点では、通常業務で扱っている情報のうち、どれが機密情報にあたるのかの判断が容易でない場合も多いと言えるでしょう。
また、画一的にほぼ全ての情報を機密情報として扱うと業務に迅速性がなくなり、生産性が低い事態となり、本質的でないと考えます。
よって、今回は、予見可能性を高める意味でも、以下に機密情報の定義などを記載していきます。そして、迅速性と安全性を兼ね備えた業務展開が出来ることを目的とします。
機密情報の定義
- 企業が保有している情報のうち、外部への開示が予定されていないこと
- 情報秘密として管理されている情報
- 開示されれば、企業に損害が生じ得る情報
となります。
また、自社オリジナルの情報だけでなく、他社と共同開発して享受した情報も含まれます。
しかし、争いがある部分で、営業マンのノウハウについては、例えば、営業マンが個人的に通常の努力をして、享受した営業ノウハウなどは、営業マンの普段の努力が源泉となり、獲得したスキルとも言え、前述の概念と画一的に機密情報の枠組みに含めるのは無理が生じると言えるでしょう。
本件は、営業マンが退職する場合で、かつ、同業界に転職する際に争いが生じる部分です。
機密情報のレベルと分類方法
機密情報は企業として競争力を高めていくための情報資産とも言えるでしょう。そして、不確実性の高い現代において、企業間の競争は激化すると言わざるを得ません。そうなると、情報の鮮度や保護に値する位置づけは高まってくると言えます。
では、レベルと分類方法についてどう考えるかについて後述します。
客観的な意見を聴取するまでもなく、主観的判断でも、明らかに機密情報に含めるべき情報は㊙などの印を押すべきです。必然的に他の情報とレベル感を峻別することができ、危機管理意識の浸透や企業のコンプライアンスの視点から見ても適切でしょう。
レベルの区分けについては、業界や事業規模などを考慮すると画一的な当てはめは適切ではないものの、一定の区分けは行っておくべきです。
また、分類方法については、機密事項のデータは、インターネットなどの外部環境からアクセスが可能な端末には機密情報の含まれるファイルは保存しないこと、パスワード設定、USBメモリを使用する際はウイルスチェックの徹底は必須事項です。
重要度の分類器であるVAPSとは
VAPSとは情報の重要度の分類を行うべきものに対し、どのような尺度で分類すべきかを示す指標であり、以下の用語の頭文字から生まれています。
略称 | 語源 | 意味 |
V | Vital | バイタル情報資産 |
A | Archival | アーカイバル情報資産 |
P | Personal | 個人情報資産 |
S | Security | セキュリティレベル |
営業秘密や秘密情報との違い
まず、営業秘密について、明確にしましょう。
経済産業省は不正競争防止法により、法的保護を可視化することを目的とした「営業秘密」について、定義しています。前述のとおり、機密情報は秘密情報、営業機密、営業秘密などと複数の呼ばれ方がありますが、一般的な意味は同じです。
よって、法律条文を確認してみましょう。
不正競争防止法2条第6項に「この法律において営業秘密とは、秘密として管理されている生産方法、販売方法その他事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう」と定義されています。
技術やノウハウが「営業秘密」として不正競争防止法で保護されるためには、以下の3要件を全て満たすことが必要です。
- 秘密管理性(秘密として管理されていること)
- 有用性(有用な営業上又は技術上の情報であること)
- 非公知性(公然と知られていないこと)
よって、一つでも欠けていると法的には営業秘密にはあたらいと解されますが、主観的な要素も含まれていること、他企業と共同開発した情報は、自社だけでは判断できない(すべきでない)ことなどを総合考慮すると慎重な対応にならざるを得ません。
次に秘密情報について確認しましょう。
秘密情報については、契約実務の上では、秘密保持義務の対象となる情報と定義します。しかし、これは、法律上明確に定義づけられているものではありません。また、定義づけてしまうとその対象となり得る範囲も相当広くなってしまい、また、時代の流れ、ニューノーマル(新常態)の変化によっても、変わり得るため、法律で画一的に定義づけるのは適切ではありません。
また、他の法律では、以下のような条文が定められています。
社会保険労務士法や行政書士法では「秘密を守る義務」として、いわゆる守秘義務が規定されています。 当然、法で定められた法律の範囲内の業務を生業とする士業であれば、秘密を守る義務が課されて当然と言えるでしょう。しかし、何をもって秘密情報と定義するかまでは、具体的な範囲が定義されているわけではありません。
しかし、扱う顧客情報(例えばクレジット番号)はそもそも不特定多数の目に晒される環境へ開示されることが想定されておらず、慎重な対応が求められます。また、健康診断の情報となるとよりプライバシーの程度が高くなると言え、情報の重要度は増すと考えられます。
機密情報の管理方法
最も避けるべきは、対策が一時的なもので終わってしまうことです。そこで、最低限、以下の3点は整備しておくべきです。
担当者の選任
機密情報に触れることができる人数については、あまりにも多くの人数となる状態は望ましいものではありません。よって、自社の規定に則り、責任あるポストである旨の明示と同時に、当該ポストへの担当者を配置すべきです。
機密情報の峻別
これは、判断する時間が取れない、定義が曖昧なゆえに妥当な判断が出来かねるという理由のみで、画一的に(事実上ほぼ全ての情報を)機密情報とするのは本質的ではありません。このような取り扱いをしてしまうと、労働者の慣れや疑念が生じてしまい、危機管理意識が希薄化する遠因となります。
よって、自社で定めた基準に沿った情報の棚卸しは不可避です。
定期的なチェック体制とセキュリティ対策
人的エラーをゼロにすることは極めて困難です。よって、定期的なチェックと、前述の「機密情報の峻別」が曖昧になっていないかは定期的に確認すべきです。
また人的な定期チェックでは限界もあるので、不正アクセスを監視するセキュリティ対策やシステムへの不正ログインを防ぐ2段階認証の導入が求められます。
取り扱いをする従業員を教育
機密情報に限らず、従業員への教育は必要です。しかし、機密情報のレベルになると、万が一、漏えいした場合の社会的責任やビジネスリスクもあり、やらないという選択肢は取れないと言えるでしょう。
一般的には以下の3パターンが挙げられます。
- 外部講師を招聘:実態として、一定の実績が担保された講師であれば、費用が発生することは不可避です。しかし、客観性や実績、時間的コストを考えると妥当な選択肢と言えます。
- 資格取得を推奨:資格取得者が増加することで、企業内の従業員同士のスキルアップ、ひいては企業価値の上昇が期待できます。しかし、働きながらとなるのが一般的であることから、一定の時間を要してしまうことは想像に難しくないでしょう。また、業務と密接した部分とも言え、資格取得に係る費用負担の問題も生じ得ます。
- 内部講師からの講義:既に有資格者が在職しているのであれば、むしろ積極的に活用すべきでしょう。講師となると理解がない者への説明が前提であるため、言語の変換などが求められ、当事者の更なるスキルアップが期待できます。かつ費用をかけずに行うことが出来ること。そして、一定の相乗効果(内部講師がロールモデルとなれば)も期待できると考えます。
機密情報が漏洩したら
まず、重要な点は、通報で発覚した場合は、事実確認をすべきです。狂言であった場合、先走って漏洩前提の対応をした場合、「結果的に」漏洩がなかった場合、印象だけが悪くなります。
次に漏洩が事実であった場合、原因の調査、謝罪広告の掲載、事後対応(被害者およびマスコミ対応など)となります。
特に顧客情報などが漏洩した場合、被害を被った方への謝罪も文書や口頭のみでは納得感を得られないこともあるでしょう。その場合、お詫びの品(例えば図書カード)などの費用は計上しておくべきです。
そして、原因の調査では必ず、再発防止の視点が抜け落ちてはなりません。永続的に続いていくことが期待されている企業であるからこそ、漏洩の原因、背景は突き止めることが、早期の信頼関係の回復にも繋がると言えます。
機密情報の漏洩リスク
被害の拡大を防止するには、一定期間業務を停止せざるを得ないでしょう。当然、機密情報漏洩時の対応は「有事」であり、日常業務よりも優先順位が上がります。ゆえに顧客への説明や定例業務にかかるスケジュールの見直し、社内業務分担の再編など、副次的に業務過多となることは想像に難しくありません。
また、一定期間の機会損失は否めません。これは、新たな顧客開拓を始め、進行中の新規プロジェクトも取引先への影響も鑑みると延期せざるを得ないでしょう。また、報道発表による株価への影響や求人にも影響を及ぼすリスクがあります。そうなると株主への説明にかかる時間的コストなども検討しなければなりません。
求人については、新規および中途キャリア採用にいおいても消去法で真っ先に消される対象となり得ます。入社に当たっては、親族の反対や、敢えて渦中の企業に入社する必要性も高いとは言えません。
これは、労働力人口の低下という国難な状況において、人手不足を黙認し続けられるほど余裕のある企業は少ないでしょう。また、不確実性の高い現代において、有能層から漏洩企業の「レッテル」を張られ、転職市場から脱落することは、競争力低下の面からも看過できません。
特にニューノーマル(新常態)でのビジネス戦略を発信していくには、創造力豊かな有能な労働者なくして達成は困難と言わざるを得ません。
企業は情報漏えいにより信用を失う
情報漏洩発生は、社会的な信用を失ってしまうことを認めざるを得ません。機密情報が漏洩したらにも記載した通り、粛々と事後対応を進めることしか選択肢はありません。
SNSなどが発達した現代において、一度漏洩してしまった情報を完全に回収することは事実上不可能です。キャッシュレスアプリとしてリリースされた7Payが2段階認証不足によりクローズしたのもその顕著な例といえるでしょう。しかし、迅速に問い合わせ窓口を設置するなど、被害者に対して正確な情報を伝えること、原因や因果関係へ説明を継続することで一定期間経過後にはイメージの回復することはあります。
また、事態の重さによっては、第三者委員会の設置も議論に挙がってきます。目的は早期の解決ではあるものの、拙速な解決とするのは本質的でなく、再発のリスクもあるでしょう。そして、そのような「幕引き」を図ったととられた場合は、社会的な批判も甘受せざるを得ません。
よって、事故発生後にその企業の真価が問われるとも言えます。
情報漏えいは損害賠償のリスクがある
情報漏洩事故が発生した場合には、情報漏洩によって被害者となった方への「損害賠償費用」が発生する可能性があります。当然、故意・過失によるものかによっても損害額は異なりますが、故意の場合でかつ他の要件にも該当した場合、「不正競争防止法」に基づく損害賠償請求となる場合があります。賠償額はそれぞれの事案によって異なりますが、考慮すべきは、賠償額だけでなく、多大な時間が埋没費用と化すことです。
JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)では1事故あたり、1人あたりの平均損害賠償額を掲載してますが、あくまで「平均」であるため、それぞれの事案に応じて、弁護士などの専門家に意見を仰ぎながら対応すべきです。
また、個人情報保護法では、漏洩事故発生の場合、個人情報取扱事業者が個人情報保護法に基づく命令に従わず、適切に対応しない場合には「6ヶ月以下の懲役または30万円以下の罰金」という刑事罰が科されることがあります。