IT用語集 2021/08/08

機密文書の3つの分類と正しい管理方法

コラム

2023年11月28日 www.soliton.co.jp より移設

「社外秘」と記載された書類や、一部の社員にのみ共有されるデータなど、社内でも取扱いに注意が必要な情報は「機密文書」として管理されます。機密文書は、漏えい時の影響の大きさや開示範囲に応じてレベル分けし、区分ごとに扱い方を変えるのが基本です。すべてを一律に厳重管理しようとすると、手間とコストが増え、結果として運用が形骸化するおそれもあります。

この記事では、機密文書の考え方と代表的な分類（社外秘文書・秘文書・極秘文書）を整理したうえで、作成から保管・廃棄まで、実務で迷いやすいポイントを含めて管理の要点を解説します。

機密文書とは

機密文書とは、その企業にとって重要で、秘密保持を前提として取り扱うべき文書やデータのことです。秘密保持が不十分なまま外部に漏えいすると、組織に大きな損害や信用低下を招くおそれがあります。

例として、人事・財務に関する情報、仕入れ価格やクレームの内容、研究・開発中の製品情報、取引先や顧客のリスト（個人情報を含むもの）、図面やデザインなどが挙げられます。これらは企業の業績や事業活動に直結する情報資産であり、競争力や取引上の信頼にも関わるため、不用意に外部へ漏らしてはならない情報です。

「機密」の判断は、漏えい時の影響と開示範囲で決める

機密文書は、漏えいした場合の影響レベルと、閲覧を許可する範囲（誰が見てよいか）に応じて区分して管理します。一般的には、社外に開示してはならないものを「社外秘文書」、取扱い部署など限られた社員にのみ開示するものを「秘文書」、経営に関わる役職員などごく一部にのみ開示するものを「極秘文書」として扱います。

ただし、これらの名称や区分は法令で統一されているものではありません。自社にとっての「漏えい時の損害」と「共有の必要性」を基準に、ルールとして定義し、運用できる形に落とし込むことが重要です。

機密文書の3つの分類

機密文書は、社外秘文書・秘文書・極秘文書に区分して管理されることがあります。ここでは、それぞれの考え方を整理します。

社外秘文書

社外秘文書は、社内での共有は可能である一方、社外に漏らしてはならない文書です。顧客情報や企画書など、社内でのみ共有できる情報が該当します。3区分の中では重要度が比較的低い扱いになることが多いものの、社外の人の目に触れる場所に放置しないなど、基本的な取扱いの徹底が必要です。

例：会議の議事録、顧客リスト、営業企画書

社外秘で判断が割れやすいポイント

社外秘は対象が広くなりがちです。「社内なら誰でも見てよい」としてしまうと、誤送信や持ち出しのリスクが増えます。業務上、全社共有が必要なのか、部署内に留めるべきなのかを、文書の性質に応じて決めておくと運用が安定します。

秘文書

秘文書は、役員やプロジェクト関係者など、閲覧できる人が限定される文書です。社外秘文書より重要度が高く、契約書や人事関連情報など、社内でも取扱いを絞るべき情報が該当します。

例：重要契約書、人事ファイル

秘文書は「共有の必要性」と「範囲」をセットで決める

秘文書は、業務上共有が必要な場面がある一方、閲覧範囲が広がるほど漏えいリスクも高まります。プロジェクト単位、役職単位など、現場が判断しやすい単位で「誰まで見てよいか」を定義し、閲覧申請や承認フローの要否も含めて決めておくと、運用のブレを抑えられます。

極秘文書

極秘文書は、3区分の中で最も重要度が高く、厳重な管理が求められる文書です。企業経営に直結する内容などが含まれ、経営に関わる役員などごく一部の人だけが閲覧できる情報として扱います。公開前の研究開発結果やプロジェクトの詳細など、漏えいが事業に重大な影響を与える情報は極秘文書として管理するのが基本です。

例：特命プロジェクト、未公開の経理情報

極秘文書は「持ち出しの前提」を置かない

極秘文書は、閲覧できる人を絞るだけでは不十分になることがあります。たとえば、閲覧は可能でも複製・転送・印刷・スクリーンショットの可否をどうするか、どの端末で閲覧を許可するかなど、「扱える操作」を制限する設計が重要になります。紙・データのいずれでも、持ち出しや二次利用が起きない前提で、ルールと仕組みを整えることが求められます。

機密文書の管理方法

機密文書の管理は、どの区分に該当するかによって求められる厳格さが変わります。まずは社内にある文書・データのうち、保護すべき情報を洗い出し、影響度に応じて分類しましょう。すべてを一律に機密情報として扱うと、コストや手間が増大し、運用が形骸化するおそれがあります。

最初にやるべきは「棚卸し」と「分類ルールの明文化」

分類は、個人の感覚で行うとブレやすいため、ルールを文章で定義しておくことが重要です。たとえば「漏えい時の損害（売上・競争力・法令違反・信用）」と「共有範囲（全社／部署／プロジェクト／役員）」の2軸で判断できるようにすると、現場で迷いにくくなります。

分類したあとは、保管方法と漏えい対策を区分ごとに定めます。「万が一漏えいしたらどうなるか」という観点で考え、外部に知られたくないものは暗号化して管理するなど、データの性質に応じたセキュリティ対策を実施します。

管理は「誰が責任を持つか」まで決めて初めて回り始める

あわせて、文書の作成・管理の担当者や責任範囲を明確にし、社内教育を行うことも重要です。情報漏えいは人為的なミスで起こることも多いため、受け渡し・保管・持ち出し・廃棄といった各工程のルールを策定し、周知徹底してください。

運用が破綻しやすいポイントを先に潰す

実務で事故が起きやすいのは、次のような場面です。

メール誤送信や添付ミスなど、送付時のミス
共有フォルダの権限設定ミスによる、閲覧範囲の拡大
個人端末・個人クラウドへの保存など、管理外への持ち出し
退職・異動後の権限が残ることによる、アクセスの残存

分類と同時に、「どの経路で漏れやすいか」を洗い出しておくと、対策の優先順位を付けやすくなります。

機密文書の保管と廃棄

紙媒体の機密文書は、第三者が容易に閲覧できない場所に保管する必要があります。さらに、社内から不正に持ち出されることを防ぐために、専用の保管場所を設けたり、収納ボックスを施錠・固定したりするなど、物理的な対策を講じることも有効です。

一方で、自然災害などでオフィスや倉庫が被災する可能性もあるため、必要に応じてデータ化して管理する方法も検討されます。データとして保管する場合は、不正アクセスや脆弱性の悪用による漏えいを防ぐために、アクセス権限の設計、暗号化、監査ログなどを含めた対策を整えることが重要です。

紙の保管は「見えない」より「持ち出せない」を重視する

施錠は基本ですが、鍵の管理が形骸化すると意味が薄れます。誰が鍵を持つのか、開閉履歴を残すのか、コピー機・スキャナー周辺で放置されないかなど、運用面まで含めて設計することが重要です。

紙媒体の廃棄方法（少量・大量で分けて考える）

紙媒体の機密文書を廃棄する際は、少量であればシュレッダー処理が選択肢になります。社内で完結できるため第三者に触れさせないという点では有効ですが、手間と時間がかかるデメリットがあります。

大量の廃棄では、専門業者による焼却処理を選ぶこともあります。ただし、回収・配送から処理完了までの間に情報漏えいが起きないよう、確実かつ迅速に処理できる体制や実績のある業者を選定することが前提になります。

焼却処理と同様に、文書を箱ごと処分できる「溶解処理（直接溶解）」を利用するケースもあります。開封せずに処分できる点は利点ですが、こちらも回収・配送中や処理完了までの間にリスクがゼロになるわけではありません。極秘文書など影響度が特に大きいものは、区分に応じて社内で廃棄するなど、廃棄方法も含めてルール化しておくことが重要です。