ファイルサーバから営業秘密が漏えいしてないか？：コンプライアンスに耐える情報システムとは？:（2/3 ページ）

[佐藤隆，ITmedia]

コンプライアンスの適用状況をチェックする

　そこで、まずは秘密情報の管理状況を把握することから始める必要がある。チェックポイントを挙げながら、確認していこう。

チェックポイント1：秘密表示があるか？

　企業には、その情報が機密であることを示すために「秘密表示」というものがある。「秘」「極秘」「社内限定」「XX部門内」といった表示がそれに当たる。該当する情報にこれら表示がなければ、利用者はその情報が秘密であることを識別できない。これらの秘密表示は、本来は企業が定めたルールに基づいて付けられる。一般には、文書管理要領、電子文書管理規定などで定められているので、社内規定から確認できる。

インク・コムの場合：○

　同社には社内規定（文書管理規定）があり、電子媒体であっても秘密とする書類には「秘密」として管理することが明記され、実際にも運用されていた。

チェックポイント2：秘密情報の適切な管理がなされているか？

　秘密表示があっても、施錠されない保管場所に置かれていれば、それは秘密管理とはいえない。しかし、デジタル情報の場合は、紙の文書に比べて少し複雑になる。社内のファイルサーバが情報システム部門の人間以外は入室できないサーバルームに置かれていたとしても、社員の誰もが社内LAN経由でアクセスできる共有領域に置かれていれば、実質的には机の上に置かれた状態になっているのと同じだ。これでは適切な秘密管理ということはできない。

インク・コムの場合：×（対処する必要あり）

　同社では、ファイルサーバに部門単位でアクセス権を設定していた。そのため、同じ部門内の人間であれば、アクセスできる状態にあった。情報システム部門による対応が必要だ。

チェックポイント3：業務に関係ない情報が置かれていないか？

　業務に無関係な情報と一緒に秘密情報が置かれていると、施錠された保管庫に置かれ、秘密表示がなされていたとしても、秘密管理されていると判断するのは難しい。目視できる紙媒体であれば、このような点を確認することは容易だが、デジタル情報の場合はそれを確認することが難しい。

インク・コムの場合：○

　紙およびデジタル情報について調査したが、業務に関係ない情報は確認できなかった。

チェックポイント4：公開情報を秘密情報としていないか？

　一般的な営業活動として使用される会社案内、求人に関する社員の採用情報、株主向けに作成された決算発表後の決算報告書などは、公開情報に当たる。

インク・コムの場合：○

公開された情報を秘密として取り扱ってはいなかった。