規程管理はできていないけど、社内機密は守れます。というお話し

2014.11.24

組織・人材

規程管理はできていないけど、社内機密は守れます。というお話し

荒川 大
株式会社ENNA 代表取締役

本日の日経新聞に掲載された「企業秘密の漏洩に対して未遂での刑罰」とする記事に感じた、機密文書管理のあり方と課題

毎年、下期になりますと翌年の監査対応に向けてということで「社内規程の見直し」というテーマが話題になることがあります。

今年は、情報漏洩事件・事故が多発した1年で、毎月のように企業秘密(営業機密や個人情報等)の漏洩に関するニュースを目にしてきました。

日本国内では未だに内部犯行が多かったり、ユーザーのID/パスワードの使い回しによるリスト型攻撃での漏洩だったりするものですから、ITシステムのセキュリティ対策や、雇用契約下にある社員に対しては、情報セキュリティ対策の頃と変わらない「性善説」に基づく対応が続けられています(ここに良し悪しの判断はありません。各社の状況に応じた対応ができていれば良いと考えています)。

さて、2008年より「規程体系の整備」というサービスを提供していますと、毎年様々な上場企業や関連会社、またそれら企業を主要取引先に持つ企業の方々からお問合せを頂くわけですが、最初にほぼ決まって伺うフレーズがあります。

「うちの会社では、社内規程は見直しをほとんど行っておらず、社員全員が正しく認知しているわけでもありません…」

問題意識を無理やり持つ必要は無いと思いながらも、社内規程類を拝見させて頂きますと、必ずと言っていいほど社内規程は秘密文書の一部となっています。

これは規程類のサンプルでそのように記載されているからであり、何気なく整えておこうと先の担当者が選定し、取締役会で制定してきた経緯があるわけですが、会社として定めた秘密文書を正しく管理していないという現実をそのまま素直に受け止めているということでもあります。

こうして、社内で閲覧可能な秘密文書の所在や運用が適切に管理されていない状況であることを吐露されるわけですが、反面、会社WEBには営業機密や個人情報は、体制を整え適切に運用管理いたしますと宣言されているわけです。

本日(2014/11/24)の日経新聞電子版にこんな記事がありました。

『企業秘密の漏洩、未遂も刑罰 海外流出防止に重点』

企業秘密を抜き取ろうと試(みて失敗)した場合であっても刑罰の対象となるという趣旨ですが、まずは抜き取ろうとした情報が企業秘密として管理されていたことを企業側が証明できる状態にしておく必要があります。

企業秘密であることを示すには要件がありまして、以下の通りとされています。

  1. 秘密として管理されていること
  2. 事業活動に有用な情報であること
  3. 公然と知られていないこと

特に、1.については、管理策が社内ルールとして定められ、社員に周知徹底され、会社及び社員一人ひとりがそれに基づいて秘密情報を適切に管理していることを示す必要がありまして、これを第三者から見ても十分に管理されていたと示すためには、社内規程が置いてあったというだけではなかなか難しいと考えられます。

特に、電磁的記録により企業秘密を管理している場合には、文書管理規程だけではなく、ITシステム関連や外注管理に関する規程類を整備していく一方で、情報資産の管理を積極的に進めていくITインフラが必要であり、規程管理に留まらない企業防衛の観点からのバランスの取れた対策が必要となるでしょう。

Ads by Google

この記事が気に入ったらいいね!しよう
INSIGHT NOW!の最新記事をお届けします

荒川 大

荒川 大

株式会社ENNA 代表取締役

企業実務(総務・人事・法務・社内システム等)におけるコンプライアンス対応について、企業実務者の観点からの業務改善、内部統制対応等の支援を行なっております。

フォロー フォローして荒川 大の新着記事を受け取る

一歩先を行く最新ビジネス記事を受け取る

ログイン

この機能をご利用いただくにはログインが必要です。

ご登録いただいたメールアドレス、パスワードを入力してログインしてください。

パスワードをお忘れの方

フェイスブックのアカウントでもログインできます。

INSIGHT NOW!のご利用規約プライバシーポリシーーが適用されます。
INSIGHT NOW!が無断でタイムラインに投稿することはありません。