情報セキュリティは「攻め」の経営戦略です！

第2回：あなたの会社を守る「不正競争防止法」と今日からできる情報管理術

前回は、情報セキュリティが中小企業にとっての「攻め」の経営戦略であり、情報漏洩がいかに大きなリスクをもたらすか、そして身近な農業分野での事例を交えて「情報流出」が決して他人事ではないことをお伝えしました。
今回は、大切な情報を守るための法律、そして具体的な情報管理のステップについて掘り下げていきましょう。

情報セキュリティと法律の関係：不正競争防止法をご存知ですか？

大切な情報、特に「営業秘密」を守るためには、法律の知識も不可欠です。
ここでは「不正競争防止法」に注目してみましょう。
不正競争防止法で営業秘密として保護されるためには、以下の3つの原則を満たす必要があります。

　1. 秘密管理性: 秘密として管理されていること。
　2. 有用性: 事業活動に有用な情報であること。
　3. 非公知性: 公然と知られていない情報であること。

これらの原則を満たしていれば、万が一情報が漏洩した場合でも、法的な保護を受けやすくなります。
しかし、情報漏洩時に秘密保持性が認められず、法律の適用を受けられなかった事例も存在します。

【秘密管理性が否定された事例】
ピアノ調律サービス業の場合、地方裁判所は「厳格な方法による秘密管理措置まで要求することは現実的ではないとしても、業務において本件顧客情報に接することができる者は、パソコンのデータにアクセスする権限を有する正社員二、三名及び調律師３名と比較的少数にとどまるのであるから、これらの者に対しては、本件顧客情報に係る原告の秘密管理意思が容易にわかるような措置を採る必要があるというべき」とした上で、「調律師らに対し、本件各書類を配布した後、それを回収したり、廃棄を指示したりすることはなく、本件各書類には『マル秘』などの秘密であることを示すような記載もなかった」こと等を理由に、秘密管理性を否定しました。

【秘密管理性が肯定された事例】
一方、きちんとした管理をしていたために顧客情報が秘密管理性を認められたケースもあります。
投資ファンドを営む業者の事例です。
裁判所は「本件顧客情報管理システムで管理された情報にアクセスすることができる従業員は社内の利用規程等により一定の範囲に限定され、また、原告の就業規則等においても原告の顧客情報の第三者への漏えいや開示が禁止されていた」こと等を理由に、秘密管理性を肯定しました。

このように同じような情報であっても、内部管理の違いによって法律の適用を受けるか、受けられないかに違いが生じるのです。

情報セキュリティ導入のステップは次のとおり

まずは「情報の選別」から始めましょう！
情報セキュリティ対策の第一歩は、自社が保有する情報を「選別」することです。
全ての情報を同じように扱うのではなく、その重要度に応じて分類することで、効率的かつ効果的な対策が可能になります。
情報はその性質によって、大きく以下の3種類に分けるのがいいでしょう。
　• 公開情報: 社外からでも自由に閲覧できる情報です。プレスリリースがこれに該当します。
　• 社内情報: 社員であれば閲覧できる情報ですが、社外への開示は控えるべき情報です。例えば「就業規則」がこれに当たります。
　• 秘密情報: 従業員であっても、関係者以外は閲覧できない情報です。製造会社の場合、製造マニュアルが該当する可能性が高いです。

これらの区分を行う際の基準は、「その情報を知らないと、当該本人が仕事を遂行できないか」という視点です。
この選別がしっかりできていれば、万が一情報漏洩が起こってしまった際にも、秘密保持性の点から法的に有効な主張ができる可能性が高まります。

また選別が終わったら、これらの分類をラベリングしましょう。
紙の書類の場合、ファイルの背表紙に「公開情報」、「秘密情報」等を貼り付けてもいいですし、電子データの場合、エクセルやワードのヘッダーあるいはフッターに分類情報を追加することも有効です。

次は「情報の保管」を見直しましょう。

情報の選別が終わったら、次は「保管方法」です。適切なアクセス制限を設けることが非常に重要になります。
　• 紙の情報: 鍵がかかるキャビネットに保管し、その鍵は特定の責任者が管理するようにしましょう。
　• 電子データ: フォルダごとにアクセス権限を付与し、必要な従業員のみがアクセスできるように設定しましょう。

「PDCAを回す」ようにしましょう。

実は「情報セキュリティ」は導入よりも維持の方が難しいです。
年に一回、自社が保有する情報を洗い出し、適切な分類やラベリングがされているか、確認することが必要です。
また組織や人事の異動があった際にも見直すことが必要です。
異動前のアクセス権が残っていないか確認して正しい状態を確認することが肝要です。
ですから最初は狭い範囲からでも結構です。
また分類やラベリングが間違っていても怒らないで説明をすることが必要です。この「情報セキュリティ」というのは非常に息の長い作業なのです。

まとめ

情報セキュリティは、もはや「もしもの時の保険」ではありません。
自社の「情報」という「武器」を守り、最大限に活用することで、差別化を継続し、持続的な成長を実現するための「攻め」の経営戦略なのです。