政府は国家機密を漏らした公務員等への罰則を強化する「特定秘密保護法案」の今国会での成立を目指しています。成立後に秘密基準に該当する約40万件を特定秘密に指定する方針とのことです。本法案についてはいろいろと議論があると思いますが、今回は皆様方が経営または所属している組織における秘密・機密の定義と管理について考えてみたいと思います。
組織における秘密や機密の定義はなんでしょうか。秘密・機密の対象を明確にする必要があります。JIS Q 27001情報セキュリティマネジメントシステムの用語及び定義に従えば、組織が保有している情報資産には価値があり、価値には「機密性」「完全性」「可用性」の要素を有し、この要素をそれぞれ算出して情報資産の価値が特定されます。
機密性:情報を使用不可または非公開にする特性
完全性:資産の正確さ及び完全性を保護する特性
可用性:許可された人がアクセス及び使用可能である特性
なお、組織の情報資産のうち「情報を使用不可または非公開にする必要性が高い」ものが「秘密・機密レベルが高い情報資産」となります。秘密・機密レベルが高い情報資産とは、どのようなものがあるでしょうか。例えば、お客様情報、プロジェクト情報、特許に関わるような技術情報、経理的情報、従業員やお客様の個人情報等、様々あると思います。組織の業種、規模、お客様、地域等によって機密レベルに差がありますので、どの情報資産が機密・秘密レベルが高いかを組織として検討し特定しておく必要があります。
つぎに、特定した秘密・機密レベルが高い情報資産をどのように管理するかを定める必要があります。一般的には次のステップを踏むと効率的と思います。
1.情報資産の目録等を作成し、それぞれの秘密・機密レベル決定し明示
2.それぞれの情報資産の管理者を指定
3.情報資産の利用制限の明確化
4.秘密・機密レベルにあわせた分類を定める(例 社外秘、部外秘、関係社外秘等
5.情報資産の取り扱い手順の明確化
秘密・機密レベルにあった、保管・メール・FAX・外部持ち出し・郵送等の方法
秘密・機密レベルが高い情報資産が外部へ漏洩すると、場合によっては経営を揺るがしかねない事件へと発展するケースがあります。是非とも、保有している情報資産の価値を確認し、特に秘密・機密レベルが高い情報資産については、セキュリティを確保した取り扱い手順を明確にされることをお勧めします。JIPDECにて参考資料があります
弊社では、情報セキュリティ向上、セキュリティ事故予防の支援を行っています。また情報セキュリティの国際規格ISO/IEC27001:2013の認証取得支援もおこなっています。ご興味ありましたら、お気軽にお問い合わせください。
コメント投稿にはログインが必要です。