機密情報とは？
企業が行うべき漏えい防止策・発生時の対処法を解説

現在、情報システムやネットワークに関する多くの公的機関が「機密情報」について定義しています。共通しているのは、「関係者以外に漏れた際に、その組織にとって重大なリスクを引き起こす可能性がある重要な情報」「許可された人だけがアクセスできる、保護されるべき情報」という点です。

企業において機密情報にあたる情報の例として、主に次のようなものが挙げられます。

① 財務・経理情報…予算・決算情報、融資先情報、公開前のM&A情報など

② 経営情報…未公開の経営・事業計画、投資計画、人事情報、重要会議の議事録など

③ 技術や商品に関する情報…研究開発中の技術情報、生産技術・製法・製造工程、商品の設計図など

④ 取引先にかかわる情報…仕入れ先リスト、仕入れ価格、共同開発に関する情報、契約書、見積書・請求書など

⑤ 顧客やマーケティングにかかわる情報…顧客リスト、顧客の購入履歴・サイト閲覧情報、商談情報、販促情報など

⑥ 個人情報…従業員・顧客・取引先などの個人情報

機密情報に似た言葉に「秘密情報」がありますが、両者とも用語の法律的な定義はなく、一般的に同様の意味でよく使われます。ただし「秘密情報」は、秘密保持契約（NDA）において保護すべき対象として定義された情報に対して呼ぶ場合もあります。

「個人情報」とは、「個人情報保護法」で定められている用語です。同法で定義されている「個人情報」は、機密情報に該当するものの一つです。

同法でいう個人情報とは、生存する個人に関する情報で、「特定の個人を識別できる情報」のことをいいます。単体で特定の個人を識別できる情報（氏名、顔が判別できる写真など）のほか、他の情報と容易に照合でき、それにより個人を識別できる情報も該当します（電話番号や住所など）。メールアドレスも、ユーザー名やドメイン名から特定の個人を識別できる場合は、単体で個人情報に該当します。

また、番号や記号、体の一部の特徴を電子処理のために変換した符号など、それ単体から特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、個人識別符号が含まれる情報は個人情報となります。

個人情報に該当する可能性があるもの

生年月日、住所、電話番号、メールアドレス

単体で個人情報に該当するもの

• 氏名、顔が判別できる写真や動画、ユーザー名やドメイン名から特定の個人を識別できるメールアドレスなど
• 体の特徴に関連した符号…顔認証データ、指紋認証データ、虹彩、声紋、歩行の態様、手指の静脈、掌紋、DNA配列など
• 個人に対する公的な符号…マイナンバー、パスポート番号、保険者番号、基礎年金番号、運転免許証番号、住民票コードなど

※出典：政府広報オンライン「個人情報保護法を分かりやすく解説。個人情報の取り扱いルールとは？」
https://www.gov-online.go.jp/useful/article/201703/1.html#secondSection（最終閲覧日2025年1月20日）

「営業秘密」は、不正競争防止法で定められた法律用語で、同法で保護される秘密情報のことを指します。こちらも機密情報に該当する情報の一つです。営業秘密が不正に持ち出されるなどの被害にあった場合には民事上・刑事上の措置を取ることができます。ただし、同法で保護されるためには、「非公知性」「有用性」「秘密管理性」という3要件を満たした同法上の「営業秘密」として管理されていることが必要です。

「不正競争防止法」で保護される営業秘密の3要件

「社外秘情報」も一般的に機密情報に該当します。次の項目で述べるように、機密情報を機密性の高さで分類する際によく使われる3区分のうち、一番下の区分を指す言葉としても使われています。

社内での共有には制限がないが、社外への持ち出しや社外の人からのアクセスを禁止する情報。3分類の中では機密性は最も低いものの、社外に漏えいすると自社や取引先、顧客に不利益が生じる情報です。

例：議事録、顧客リスト、製品規格書、営業企画書、見積書など

部門のリーダーや特定プロジェクトのメンバーなど、組織内の関連する人のみにアクセスが限られている情報です。

例：人事情報、発表前の新商品情報、重要な生産技術・製法、重要な契約書など

経営陣などごく一部の人しかアクセスできない、組織内での機密レベルが最も高い情報です。経営に直接関わる内容や、自社の競争力に関わる技術情報などがこれにあたります。

例：研究開発中の技術情報、新商品の設計図、発表前の事業・経理計画、公開前のM&A情報など

原因としてまず挙げられるのが、ランサムウエア（身代金要求型ウイルス）に代表されるサイバー攻撃です。独立行政法人情報処理推進機構（IPA）では、「情報セキュリティ 10 大脅威 2024」（組織向けの脅威）の中で、最新の脅威として、1位の「ランサムウエアによる攻撃」を筆頭に、2、4、5、7、8位などで、機密情報を窃取（盗み取る）・改ざん・削除するウイルスなどによるサイバー攻撃を挙げています。

ランサムウエアはパソコンやサーバーに感染して組織のデータを暗号化して使えなくし、データ復元の代わりに金品を要求するほか、機密情報を窃取（盗み取る）恐れがあります。ランサムウエアなどのウイルス感染の攻撃は、ネットワークの脆弱性を狙うほか、ユーザーのWebサイト（正規のサイトも含む）での閲覧やファイルのダウンロード、メールでの添付ファイルやリンクURLのクリックが利用されます。

「情報セキュリティ10大脅威 2024」 [組織]

なお、一般的なメール環境では、メールの経路全体が暗号化されていないことがあり、悪意ある攻撃者から盗聴（盗み見）され、情報が漏えいする原因になります。基本的に機密情報や重要な情報をメールで送受信することは避けましょう。中でも、ファイルをZip方式で圧縮してパスワードをつけて暗号化し、メールに添付して送るいわゆる「PPAP」は、添付ファイルとパスワードを同じ経路で送るため、情報漏えい防止の効果がないことが分かってきました。また、Zipファイルはウイルスチェックをスルーしてしまうという弱点があり、マルウエアの「Emotet」など、この弱点をついたサイバー攻撃も増加しています。そのため、Zipファイルの受信を拒否する企業が増えています。

同報告書で2位の「サプライチェーンの弱点を悪用した攻撃」は、機密情報漏えいの原因として注目が高まっています。これはセキュリティ対策に弱点のある組織にウイルスを感染させたり情報を窃取したりし、そこから取引先や委託先、顧客、サプライチェーンで使用されているシステムのベンダーなど、多方面に攻撃を広げ、各組織の機密情報の漏えいや窃取を行うものです。近年では組織の大小を問わず、自社のセキュリティ対策不足が多くのステークホルダー（利害関係者）への被害につながる恐れが高まっているのです。

4位に挙がった「標的型攻撃による機密情報の窃取」でも、特定の企業や官公庁・団体などへの攻撃を足掛かりとし、サプライチェーンへの攻撃が狙われているとされています。特定組織への攻撃の手口は、その組織がよく使うWebサイトを調べて改ざんし、そこに組織関係者がアクセスすることでウイルスに感染させることや、その組織がよく使うクラウドサービスやWebサーバーの脆弱性を利用した攻撃などです。

また、関係者間のメールに不正にアクセスして情報を入手し、悪用した「なりすましメール」によって、ウイルスに感染させるケースも増えています。

同報告書3位の「内部不正による情報漏えい等の被害」は、前年の4位からさらに上がり、より注意すべきものとなりました。報告書では具体例として、「従業員や元従業員等の組織関係者による機密情報の持ち出しや社内情報の削除等」「組織内の情報管理の規則を守らずに情報を持ち出し、紛失や情報漏えいにつながるケース」が挙がりました。報道でも、顧客の個人情報を大量に持ち出して業者に販売するケースや、以前の勤務先に不正アクセスして情報を改ざん、削除、システムを破壊するケースなどが伝えられています。

6位の「不注意による情報漏えい等の被害」も6年連続で上位になっており、ヒューマンエラーは機密情報漏えいの大きな原因の一つです。よくある例が、メール送信時の誤った宛先の入力や誤ったファイルの添付です。そして、このメール誤送信を想定した攻撃として、悪意ある第三者が組織のドメインに似たアドレスを用意しておき、組織のメンバーに誤ってその類似アドレスを入力させ、送信されたメールから機密情報を得るという手口も報告されています。

また、組織内外のメンバーでデータを共有しているクラウドストレージの設定を誤ったことで、機密情報が外部メンバーにも閲覧できるようになっていた例や、オンラインで回答できるアンケートアプリの設定ミスで、回答者である顧客たちに他者の回答が丸見えになっていたというケースもあります。

そのほか、企業の従業員が情報の重要度を認識せずに、SNSで発表前の商品情報や事業情報など機密に触れる言葉や画像を不用意に投稿するケースが増えています。機密データの入ったパソコンやスマートフォン、USBメモリーなどの紛失、置き忘れも依然として発生しているケースです。身近な日常の中で無意識に機密情報を漏えいさせるリスクが多々あるといえるでしょう。

機密情報漏えい事故のリスクとしてまず挙げられるのは、連鎖的な二次被害です。特に、顧客など社外の個人情報を漏えいさせた場合の被害は重大です。アカウントのIDやパスワード、クレジットカード番号や口座番号などの情報は、アカウント乗っ取りや金銭的な被害などにもつながりかねません。顧客やユーザーの購入履歴・サイト閲覧情報などの漏えいはプライバシーの重大な侵害となります。

また、取引先や委託先の情報についても、例えば共同開発に関する情報などは、相手のビジネス競争力や経営に大きな被害をもたらす可能性があります。

自組織に関する情報についても、例えばシステムやネットワークのID・パスワード情報が漏えいすると、新たな不正アクセスに利用され、さらなる情報の窃取や漏えい、自社内データやWebサイトなど外部発信情報の改ざん・削除、アカウントのなりすましや乗っ取りなどが考えられます。また、サイバー攻撃による情報漏えい時は、システムが停止することや、安全性が確認できるまで事業の一部を止めざるを得ない場合もあり、自社の運営の停滞だけでなく、取引先に損害を与える可能性があります。

このように機密情報の漏えいがいったん起きると、多くのステークホルダーに影響する場合が多く、企業の信頼性が著しく低下するというリスクがあります。セキュリティ対策の不備、会社と従業員のセキュリティ意識やコンプライアンス意識への不信感から、取引や売上の減少を招き、業績悪化にもつながりかねません。

取引先・委託先の機密情報や、顧客、ユーザーも含めたステークホルダーの個人情報を漏えいさせたり、自社の事業が止まったりした場合には、損害賠償を求められるというリスクもあります。二次被害の項目で紹介したように、相手のビジネスや生活に重大な損害を与える可能性があるからです。

機密情報漏えいでは全般として、他にも事故対応コストが発生します。被害状況の調査や原因の究明から、漏えいされた情報に関わる企業・個人や行政などへの説明と謝罪、再発防止対策の整備や公表、システムやネットワークなどの新たなセキュリティ対策の導入などにかかる、経済的・人的・時間的・精神的なコストがこれに当たります。

まず重要なのは、機密情報管理の責任者や限られた人数の管理担当を定め、彼らで組織にどんな機密情報がどこにあるのか（部門、PC・サーバー・媒体の場所など）を洗い出し、把握することです。

そのうえで、自組織における機密情報とは何かを改めて定義し、機密情報に該当する情報を、先に紹介した3区分などで重要度に応じて分類します。そして、機密情報の管理責任者や保管場所、保管方法、アクセス可能な対象範囲などの管理ルールを決めます。このルールは、必要に応じて就業規則や社内運用規則に盛り込み、違反した場合の罰則も規定しましょう。

次に、セキュリティソフトの導入と定期的な更新です。セキュリティソフトは、アンチウイルスや迷惑メールのフィルタリング、Web アクセスのフィルタリング（アダルトサイトやギャンブル、犯罪行為など特定カテゴリのサイトへのアクセスを防ぐもの）など、さまざまな機能が用意されています。特にアンチウイルス機能に関しては、最新のウイルスなどの特徴を記録した「パターンファイル」と呼ばれるデータでウイルスを検出するため、セキュリティソフトの定期的な更新を行うよう設定しましょう。

機密情報や重要情報の共有には、誤送信や盗聴のリスクがあるメールを避け、これに代わる仕組みを導入する必要があります。例えばクラウドストレージやファイル送受信サービスなどの中から、フォルダやファイルへのアクセス権・ダウンロード権の詳細な設定や、ログ情報の記録、ファイルや経路の暗号化、ウイルスチェック、共有ファイルのURLの無効化などに対応しているサービスを選んで導入することが考えられます。なお、無料のストレージサービスの場合は、こうしたセキュリティ対策が十分に取られていないことが考えられるため、機密情報の管理、共有先としては不適切です。秘密を保持する旨を明記した契約・利用規約を交わす法人向けの有料サービスを選ぶことが望ましいでしょう。

また、ファイル送受信サービスの中には、ファイルの送信時に、上長など第三者の承認をマストとする設定ができものもあります。

こうした条件でサービスを選んで導入すると、ファイルへのアクセスやファイル共有といった挙動を監視・制御できるため、内部不正の抑制にもつながります。

さらに、従業員への教育も機密情報漏えいの防止策として大切です。主に情報セキュリティとコンプライアンスの教育があります。情報セキュリティ教育には、社内の情報セキュリティや機密情報管理のルールの周知はもちろん、信頼できる情報を見極めて業務で適切に取り扱い、自身も適切に情報を発信するための「情報リテラシー」や「情報モラル」を高めるための教育があります。これには、最新のデジタルネットワーク事情の動向、サイバー攻撃や「なりすましメール」などの詐欺行為とその被害、対策などの周知も含まれます。

コンプライアンス教育には、情報をどのように扱うとコンプライアンス違反にあたるのか、判断を誤りやすい事例を挙げながら説明したり、内部不正への懲戒処分内容やそれを規定した就業規則についても周知します。また、情報漏えいの防止は自分自身を守ることでもあると理解させることが重要です。

具体的な内容は、経済産業省やIPAなどが示しているガイドラインを参考にすることができます。

また、情報の窃取やウイルス感染を狙った「なりすましメール」などの攻撃を疑似体験するための社内訓練を行うことも効果的です。訓練では悪意あるメールの疑似メールを社員に送り、不用意な開封、共有されたURLのクリックなどをしていないか、社内で規定された不審メールの報告がされているかなどをテストしたり、適切な対応への意識づけを促したりします。

機密情報漏えいの兆候や事実の発生時には、機密情報管理責任者に直ちに報告することがまず大切です。不正アクセスやサイバー攻撃の可能性があれば、システムに残された証拠を消してしまうことを防ぐため、不用意な操作は避けます。また、さらなる被害を防ぐ応急処置として、外部とのネットワークの遮断や機密情報データのネットワークからの隔離、ネットワークを使ったサービスの停止などを行います。

次に、情報漏えいに関わる事実・状況の客観的な情報を集め、整理して把握します。正しい把握には、機密情報管理責任者をはじめ決まったメンバーに集約して一元管理することが重要です。専用の問い合わせ窓口も設けます。さらに客観的に分かった事実・状況に基づき、原因の究明にあたります。被害の拡大を抑えるためにスピードが重要で、経営や広報、法務、人事、開発、生産、営業など、関係部門からの事実関係の情報収集や、知見の共有といった組織的な連携が要になります。

調査した事実や原因に基づき、取引先や個人への通知、業種別の監督官庁や警察などへの報告が必要かを検討します。個人情報の漏えい時は、監督官庁への報告が必要なほか、漏えい情報の帰属主体となる本人へその旨を通知し、クレジットカードや銀行口座、IDなどが含まれる場合には、それらの停止など注意を促します。

また、ステークホルダーへの二次被害拡大、組織内外での類似事故が予想される際には、ウェブサイトやマスコミなどを通じて公表し、説明責任を果たすことが必要になります。その際は、透明性を確保し、できるだけ速やかに情報を開示することが社会からの信頼につながります。ただし公表により被害拡大が予想される場合には、時期や対象などを検討します。

さらに、社内外の被害に対する補償などの処置を検討、実施します。

機密情報漏えい事故の直接的、間接的な原因を分析し、再発防止策を検討します。具体的には先に示した「機密情報漏えいの主な防止策」などに挙げた対策について改善、強化を検討します。