2016年12月 1日公開

【連載終了】企業のITセキュリティ講座

【アーカイブ記事】以下の内容は公開日時点のものです。
最新の情報とは異なる可能性がありますのでご注意ください。

最後の最後まで気を抜かない! 「機密文書」の取り扱い

テキスト: 吉澤亨史

機密文書は、文字どおり部外者に見られたら大変なことになる文書だ。以前は紙の文書が一般的だったが、ITが進んだ現在では多彩なものに記録されており、その扱い方も難しくなっている。ここでは、機密文書の取り扱い方からリスク、廃棄するまでのライフサイクルについて紹介する。

【お知らせ】がんばる企業応援マガジン最新記事のご紹介

「機密文書」とは

企業の業務は文書のやり取りがかなりの割合を占める。その中でも社外、あるいは部外に見られてはいけない文書を「機密文書(機密書類)」と呼んでいる。機密文書はその機密性の高さや適用範囲によって「極秘」「秘」「社外秘」「部外秘」などと区別される。特に明確な定義はないが、その文書が外部者に見られた場合に、企業に甚大な被害や機会損失が生じる可能性のある文書と言える。

以前は多くの文書が紙で作成されていたが、現在はIT環境の浸透と文書の電子化などにより、電子的なファイルが増えている。物理的な文書も電子的な文書も、機密文書はいずれも作成から破棄に至るまでのライフサイクルをしっかりと管理する必要がある。それぞれに長所も短所もあるが、特に注意したいのは電子的なファイルはコピーが容易であることだ。

また、機密文書は自社で作成するものだけとは限らない。関連会社や取引先から機密文書を受け取る場合もある。他社の機密情報となるため、より慎重に扱う必要がある。さらに、顧客などの個人情報、特にクレジットカード情報や医療データなど機微な内容を含む個人情報は機密文書扱いにすべきであろう。

ライフサイクルで追っていくと、まずは作成した文書が機密文書に該当するかどうかの判断を行う。そして機密文書であると認定されたら、紙の場合は「社外秘」などの記載や判を押し、電子ファイルの場合はファイル名や中身の文書に機密文書であることを明記する。また、重要度に合わせて閲覧できる人の役職などを規定する。

管理・運用においては、機密文書の置き場所や施錠などを行い、盗難やミスによる持ち出しを防ぐ。電子ファイルの場合もアクセス制限をかけた特定のフォルダーに入れておくなどの対策が必要だ。また、機密文書は保管すればいいというものだけではない。機密文書を使用する際には、誰がいつ、どのような目的で機密文書を使用したのか、内容の変更や印刷、コピーなどの記録を取る。そして、機密文書が不要になった場合の廃棄方法にも気をつけたい。

機密文書のライフサイクルと必要な要素の図

機密文書のライフサイクルと必要な要素

目次へ戻る

機密文書を適切でない方法で廃棄した場合のリスク

機密文書を破棄する際には、紙の場合はシュレッダーなどで社内処分するケースが一般的だ。しかし、社内で扱う機密文書は意外に多く、特に年度が切り替わる時期に大量に発生する傾向がある。そうした大量の書類をシュレッダーなどにかける作業は、思いのほか手間と時間がかかる。また、シュレッダーなどの周囲には細かいごみがたまりやすく、機器のメンテナンスも大変になる。さらに、シュレッダーなどの音が大きく、業務や電話対応などに支障が出るケースもある。

また、電子ファイルの場合にも、CDやDVDなどの光学ディスクに保存していた場合には細断など再利用できないようにする必要があり、紙と同様の手間が発生する。USBメモリーなどの外部記憶媒体に保存している場合は、ファイルを完全に消去する必要がある。これを「簡易フォーマット」で消去してしまうと、見かけ上ファイルは消えているが、専用のソフトウェアなどによりファイルを復旧されてしまう可能性がある。

ニュースなどでたびたび目にするのは、廃棄したパソコンのハードディスクドライブに機密文書が残っていたという例だ。パソコンを廃棄する際には、新規パソコンの購入時に引き取ってもらったり、専門業者に処理を依頼したりするケースが多い。しかし、専門業者が十分な初期化を行っておらず、機密文書が残ったまま中古品として販売されることがある。大手パソコンメーカーに引き取ってもらっても、その処分は専門業者に託されることが多いので、必ずしも専門業者が万全とは言い難い状況だ。

このような原因によって機密文書が流出してしまうと、企業は大きなダメージを受けることになってしまう。特に財務情報やM&Aに関わる情報が漏えいすると大問題に発展する可能性があるし、新商品の開発情報や、特定の施設のシステム図などが競合の企業の手に渡ると機会損失につながる可能性がある。さらに個人情報が含まれていた場合には個人情報保護法違反になるだけでなく、損害賠償や訴訟に発展する可能性もある。

紙媒体と電子媒体の理想的な廃棄方法の図

紙媒体と電子媒体の理想的な廃棄方法

目次へ戻る

適切な廃棄方法の選び方

機密文書の廃棄は、媒体に合わせた適切な処理を行う必要がある。そのポイントは、再現不能な状態にすることだ。シュレッダーも機種によっては細断された紙片が固まることがあり、その気になれば復元できてしまう。例えば産業スパイであれば、労を惜しまず復元しようとするだろう。焼却や融解処理なら安心だ。

電子ファイルの場合はコピーが容易なため、業務のためにコピーし、削除を忘れてしまうケースもあり、全社の状況を把握することは難しい。システムで把握するには資産管理製品が有効だ。それでも廃棄の実態までは把握できないため、廃棄を担当する部署を規定して制度化するなどの対策が必要であろう。

電子ファイルの機密文書は、ファイルを保存した媒体を物理的に破壊することが最良の手段となる。しかし、廃棄を専門に担当する部署をつくることは現実的でなく、兼任となるとミスも発生しやすくなる。紙にしろ電子ファイルにしろ、専門の外部業者に委託することが最善策と言える。ただし、前述のように手を抜く業者もいるため、その選定は慎重に行いたい。

例えば、大塚商会では、文書の融解処理「段ボール回収型 メルティBOX(タイプW)」や、データを消去する「法人向けデータ消去&パソコン買取サービス」を提供している。メルティBOXは、機密文書や大量の文書を段ボールで回収し、開梱することなく溶解処理を行う。気密処理を行ったという証明書も発行するので、手軽かつ安全なサービスだ。1箱あたり1200円という価格設定もうれしい。

法人向けデータ消去&パソコン買取サービスは、パソコンやサーバー、ストレージ、ハードディスクなどを、大塚商会の「ODTセンター」でデータを確実に消去する。同センターは厳重なセキュリティ体制で運用されていることが特徴で、米国国防総省の規定に準拠するなど、信頼性の高さも魅力となっている。データ消去のみ、パソコン買取のみの対応も可能だ。

廃棄専門の業者を選定する際には、料金に目が行きがちだ。しかし、ポイントは廃棄の品質なので、よりセキュリティに注力し、より利便性の高いサービスを提供している業者を選びたい。

廃棄業者を選ぶときのポイント

廃棄業者を選ぶときのポイント

目次へ戻る

【お知らせ】がんばる企業応援マガジン最新記事のご紹介