1. 機密保持と情報開示について
総務の仕事に初めて就く人の中には、「機密保持」と「情報開示」の扱い方に困惑される方も多いのではないでしょうか。情報セキュリティの観点から、基本的には業務上知り得た情報を外部に漏らしてはいけません。一方で、経営情報などは率先して公開しなければいけない場合があります。同じ情報でも秘密にするものと公開するものが分かれる場合があり、この判断を間違えると大きなトラブルになります。機密保持と情報開示の原則を理解することが大切です。
機密保持
前回の『初めての総務【第7回】経営者のサポート業務』でもご説明しましたが、総務担当者は、経営者のサポート業務で経営上の秘密事項や人事関係など社外秘情報に触れる機会が多いことから「機密保持」が求められます。機密保持のルールは、一般的には情報セキュリティの規則として確立され、明文化されている場合が多いと思います。通常はこの規則に従って機密保持を行います。機密保持のルールが確立されていない場合は、以下の原則を守るようにしましょう。
機密保持の原則
下記に該当する情報は開示してはいけません。後述する情報開示しなければいけない場合を除き、原則として機密を保持します。
- 個人情報の保護
- 情報を開示することで会社にマイナスの影響が出る場合
- 真偽の確認が取れない情報
機密保持契約書作成のポイント
機密保持契約を書面に記すのが機密保持(守秘義務)契約書(NDA:Non-Disclosure Agreement)です。社員やスタッフの場合は入社もしくは契約時に締結します。社外向けの場合は、一般的に受発注時やプロジェクトの立ち上げ時など、取引や事業がスタートする前に締結します。
1. 機密情報の内容を特定
具体的に何が機密情報に該当するのかを明確にします。場合によってはプロジェクトの存在自体も機密情報となることもあります。機密内容は、情報漏えいが発生した際に争点となりますので曖昧な表現で定義することは避けましょう。
2. 情報開示の対象と管理
情報開示する委託企業やスタッフは必要最小限にとどめます。また、各委託先とはそれぞれ機密保持契約を締結し、必要な資料の配布と回収、廃棄は厳重に行います。
3. 有効期間の設定
プロジェクト発足時は機密事項でも、数年たつと誰もが知る情報となることもあります。また、機密保持の管理にも労力がかかります。そのため、内容によって機密保持の期間を定めておきましょう。
4. 損害賠償の設定
機密情報が漏えいした場合の責任と賠償内容を定めます。ただし、情報の流出による被害額などを具体的に想定することは困難な場合が多いので、賠償内容は契約相手および弁護士と相談のうえ決定します。
5. 委託(再委託)先の設定
機密保持を順守するために、原則として委託や再委託は必要最小限にとどめましょう。ただし、調達や配送などで委託(再委託)が想定される場合は、各委託先とそれぞれ機密保持契約を締結します。
このように社外の企業やスタッフに業務を委託する場合は、機密保持契約書を必ず締結するようにしましょう。また、機密内容によって条件などが異なりますので、契約内容は弁護士の確認を取ることをおすすめします。
目次へ戻る
2. 情報開示(公開)と信頼性の向上
これまで機密保持について説明してきました。次に、最近企業に求められている情報開示(公開)についてご説明します。
企業活動の原則として、業務上知り得た情報は漏えいさせてはいけません。一方で、経営成績や財務状況などは開示する情報です。開示することで経営状況が客観的に把握され事業活動の透明性が担保されます。それにより企業は投資家や出資者、取引先などのステークホルダー(利害関係者)などから信頼を得ることができ、投資対象としての期待や安心感を与えることができます。その結果、消費者や取引先、金融機関からの優良企業としての認識が高まります。
情報開示は「ディスクロージャー(Disclosure)」と呼ばれ、法律により開示が定められているものと自主的に開示するものとがあります。
法律で定められている情報開示
企業が情報開示を行う時期や内容は、証券取引所規則や商法、証券取引法によって定められています。例えば、四半期ごとの決算短信などは、企業が定める適切な時期に発表しなければなりません。これらの情報開示は投資家保護のために定められた制度です。
- 決算短信の公表
- 有価証券報告書の公開
- 会社の業績に大きな影響を与えるような事象が発生した際の広報
自主的な情報開示(IR)
IR(Investor Relations)とは、投資家向けの広報活動のことです。法律的な開示義務はありませんが、企業が自主的に情報開示する場合があります。
IRは、年次報告や月次データなどの資料や詳細な企業活動をリーフレットやホームページなどで公開したり、決算や事業に関する説明会を開催したりする活動です。本来は投資家や出資者を対象にしたもので、企業の経営状況を明らかにして投資や出資をさらに促す目的で行われてきました。
最近ではIRの対象が、投資家から地域住民など消費者まで拡大する傾向にあります。以下の観点から、IR活動も活発になっているのです。
このような活動は、企業活動の透明性を高め、社会から広く信頼を得る効果があるため、今後も活発に展開されるものと思われます。
事件・事故の情報開示
企業や社員が巻き込まれる事件や事故には、自然災害によるもの、人為的なもの、業務上発生するものなどがあります。それらの可能性を踏まえたうえで、企業としてすぐに対応しなければならないのは、安否確認と被害状況の把握です。そのうえで早急な復旧(復帰)により、速やかに通常業務に戻れるように最善を尽くすことが重要です。
情報開示はそれらの手順を前提に行います。情報開示に当たっては、正しい状況の把握と復旧(復帰)の予定をできるだけ具体的に公開するようにしましょう。ただし、従業員やその家族の個人情報やプライベートに関する内容については原則として非公開とし、直属の管理職までの共有にとどめるなど必要最小限にするようにします。
社員が関係する事件・事故の情報開示
社員が関係する事件や事故が発生した場合は迅速な対応と適切な情報開示を行う必要があります。社員が被害者なのか加害者なのか、業務中あるいは業務時間外の発生なのかなどにより企業の管理責任が異なるため対応が変わります。リスクマネジメントの観点から、詳細については情報開示も含めた対応方法を定めます。
社員が引き起こした事件・事故については、情報を隠ぺいする=企業の信頼を失う、といったことになるため、事態の把握と公開、謝罪などの対応を迅速に進めることが重要です。インターネット時代では情報が瞬時に広がるため、事態の把握と対応の判断は迅速に行われなければなりません。
目次へ戻る
3. まとめ
かつては、企業に不利な情報はできるだけ広めないようにすることが総務の仕事だといわれた時代もありました。しかし、現在では原則として情報は開示することが望ましく、総務担当者も的確な情報収集を行ったり、情報開示の内容とタイミングを判断したりすることが重要な仕事になっています。その一方で、機密情報や通常の企業活動に差し障る情報は漏えいさせてはいけません。特に、社員が業務に関係する情報をSNSなどで発信することがないように注意しましょう。
業務上の機密を保持しながら、社会から求められる情報は可能な限り公開することが総務担当者に求められる役割なのです。
目次へ戻る
4. Webや周辺機器からの情報漏えいを防ぐ
Sophos Endpoint(ソフォスエンドポイント)
SophosLabsが提供する解析情報にもとづき、リアルタイムで疑わしい振る舞いや活動状況を関連付け、エンドポイントとデータを保護します。マルウェアなどの脅威を検出してコンピューターが脅威に感染することを防ぎ、攻撃対策やデータ漏えい対策を提供。また、コンピューターへの接続デバイスを制御し、USBメモリーや光学ドライブなどからの情報漏えい対策も可能です。
- *本記事中に記載の肩書きや数値、社名、固有名詞、掲載の図版内容等は公開時点のものです。
目次へ戻る
