秘密管理性（管理性）： アクセス制限がかかっていることや、保管場所・廃棄ルールが存在すること。または「社外秘」というラベルが貼られるなど、秘密として管理されていること。
有用性（有用であること）： その情報が事業活動において客観的に価値があること（失敗した実験データなども含まれます）。
非公知性（公知でないこと）： 一般に知られておらず、入手が困難な状態であること。

秘密管理性・有用性・非公知性の3要件を満たすと営業秘密として保護対象になり得ますが、差止めや損害賠償には、別途、不正競争防止法上の侵害要件を満たす必要があります。

契約（NDA）における機密情報の考え方と注意点

秘密保持契約（NDA：Non-Disclosure Agreement）は当事者間で守るべき機密情報の範囲や期間、利用目的、除外事項を定める契約です。

締結する際は、何が機密情報にあたるのかを条文で明確にします。注意点としては、口頭でのやり取りや暗黙の了解で範囲を限定しないこと、契約期間終了後の取り扱いや返却・消去のルールを明記することが挙げられます。

また、第三者提供や再委託に関する例外や罰則条項の有無も重要で、実務ではテンプレートを使いつつ個別交渉で具体化する運用が必要です。

NDAで機密の範囲を明確に定義する
例外事項（公知情報や既保有情報等）を列挙する
利用目的と期間を限定する
返却・消去義務を明記する
違反時の損害賠償や差止め条項を設定する

実務で使える「機密情報の判断基準」

実務では、機密情報かどうかを瞬時に判断するためのチェックリストを作ると便利です。

ポイントは、①外部に知られると事業に甚大な影響があるか、②情報が独自に蓄積されたか、③非公知であるか（まだ公開されていないか）、④社内でのアクセス制御が行われているか、⑤契約上の取り決めがあるか、などです。

これらをYes/Noで評価し、複数のYesが重なる場合は機密性を高く見積もり、アクセス権や保護措置を強化します。

損害の大小（漏洩で生じる損害の可能性）
独自性（他社が容易に再現できないか）
公知性（公開されていないか）
管理状況（アクセス制限や暗号化の有無）
契約的保護（NDAや就業規則で制限されているか）

■ 【部署別・種類別】機密情報の具体例と格付け基準

営業・マーケティング部門：顧客リスト・販売戦略

営業・マーケティング部門で特に重要なのは顧客リスト、営業先の優先順位、価格交渉の履歴、未発表のキャンペーンや販売戦略などです。これらが外部に漏れると競合に奪われる、取引条件が不利になる、顧客の信頼を損なうなどのリスクがあります。

顧客リスト： 連絡先だけでなく、過去の取引履歴や担当者の特徴。
販売戦略： 未発表のキャンペーン計画、競合対策資料。
見積価格： 個別の取引先への提示価格。

開発・製造部門：設計図・製造プロセス・ソースコード

開発・製造部門における機密情報は、設計図面、工程管理データ、製造ノウハウ、試作段階の性能データ、ソースコードやビルド手順などです。

これらが流出すると模倣品の製造や、競合に対する技術的優位性を失う恐れがあり、特にソフトウェアではソースコードの漏洩が致命的です。

知的財産： 特許出願前の発明、独自のアルゴリズム。
製造ノウハウ： 歩留まり（良品率）を上げるための独自の工程。
ソースコード： 自社開発ソフトウェアの基幹プログラム。

人事・総務部門：マイナンバー・履歴書・給与体系

人事・総務部門で扱う個人情報は法律上の保護対象であり、マイナンバー、履歴書、健康診断結果、給与情報、懲戒記録などが含まれます。

これらの漏洩は従業員個人の被害のみならず、企業の法的責任や信用失墜に直結します。

特定個人情報： 従業員およびその家族のマイナンバー。
評価情報： 昇進・昇給に関する社内評価や懲罰記録。
採用計画： 次年度の採用人数やターゲット校などの戦略。

関連記事：マイナンバー管理で企業が対応すべきこと｜5つの管理ポイント

経営・財務：経営戦略・財務データ

経営や財務に関する情報は、M&A計画、長期経営戦略、資金調達計画、未公開の財務データ、取引先との機密交渉などが含まれます。これらが外部流出すると市場での競争力低下や株価への悪影響、情報操作のリスクがあります。

経営方針： 合併・買収（M&A）の検討資料、新規事業計画。
財務情報： 決算発表前の売上数字、資金繰り表。

機密情報の重要度による「3段階」の格付け例

すべての情報を同じ強度で守るのはコストがかかりすぎます。情報分類の段数や名称に統一標準はありませんが、実務上は重要度に応じて2〜4段階程度で分類する企業・組織が多く、ここでは一例として3段階の格付けを示します。

各ランクごとに暗号化強度、アクセスログ保管期間、閲覧承認フロー、持ち出し可否といった管理ルールを定めることで現場での運用が統一されます。

格付け	内容	具体例
高（極秘）	漏洩が会社の存続を揺るがすもの	未発表の経営戦略案・コア技術等
中（秘）	社内でも関係者外への漏洩を禁止するもの。	人事情報・顧客リスト・契約書等
低（社外秘）	社内共有可能。外部の持ち出しを禁止するもの	社内規定・調査報告書・通常業務の計画書等

■ これは機密情報？判断に迷いやすいグレーゾーン事例

現場で最も判断が難しいのはグレーゾーンの情報です。

判断を誤ると不要な過剰管理で業務効率を落とすか、逆に保護不足で重大な漏洩を招きます。

そのため、実務ではチェックリストや担当者による判定フロー、定期的な見直しを組み合わせた運用が必要です。

社内資料はすべて機密情報なのか

社内資料がすべて機密情報というわけではありません。

たとえば公開予定のマニュアルは機密性が低く、過度な制限は非効率を招きます。

ただし、同じフォーマットの中に顧客情報や財務データなど機密性の高い要素が含まれる場合は、その部分を保護するか資料全体を機密扱いにする判断が必要です。

作業途中のデータ・下書きは対象か

作業途中のデータや下書きも、内容次第では機密情報に該当します。

企画段階の草案に未発表の戦略が含まれていたり、試作段階の性能データが含まれている場合は高い機密性を持ちます。

一方でテンプレートや形式だけの下書きは機密性が低いことが多いです。

作業途中データの保存場所と共有ルールを定め、アクセス権限を制限することでリスクを低減できます。

チャット・クラウド上の情報は機密か

SlackやTeamsでのやり取り、およびGoogleドライブ上のファイル等の情報は、利便性が高い反面、流出リスクも存在します。内容によっては機密情報となります。特に社外共有設定には注意が必要です。

機密情報を含むチャットは暗号化やログ保存、検索制限、エクスポート禁止などの制御が必要です。

クラウドストレージではアクセス制御、共有リンクの期限設定、ダウンロード制限、二段階認証などを組み合わせて保護します。

利用ポリシーと自動検知ツールの併用が有効です。

個人メモやローカルファイルの扱い

個人メモやローカルファイルは見落とされがちですが、そこに重要な情報が含まれていることがあります。

個人PCやローカル保存が許される範囲を明確にし、重要な情報は社内の管理されたストレージに保存するルールを徹底する必要があります。

また、端末のフルディスク暗号化やバックアップポリシー、持ち出し時の承認フローも設定すべきです。

■ 情報漏洩が企業に与える致命的な代償と3つのリスク

【事例】元従業員による顧客名簿の持ち出しと損害賠償

実際の事例では、退職した従業員が顧客名簿を持ち出し、競合他社への転職を有利にするため、競合に提供したことで、大手企業が顧客離脱と営業損失を被り損害賠償を請求したケースがあります。

このような内部関係者による持ち出しは検出が遅れると被害が拡大します。

事例から学べる対策はアクセスログの取得、退職時のアカウント停止、外部持ち出しの監視といった技術的・手続き的対策の併用です。

【法的・社会的・経営的】一度の流出で失う「3つの資産」

情報漏洩で失うものは大きく分けて三つあります。

法的リスク： 損害賠償、不正競争防止法違反による罰則（個人・法人両方）。
社会的リスク： 「セキュリティの甘い会社」というレッテル。取引停止やブランド失墜。
経営的リスク： 技術の模倣によるシェア低下、事故対応のための莫大な工数と費用。

これらは回復に長期間を要し、しばしば莫大な費用を伴います。

したがって予防投資や事後対応体制の整備は経営判断として不可欠です。

■ 【実務編】機密情報の漏洩を防ぐ「4つの管理対策」

実務では組織的対策、物理的対策、人的対策、技術的対策という四つの柱で機密情報管理を設計するのが効果的です。

各対策は相互に補完し合い、単独では限界があるため複合的に実施します。

組織的対策：社内規定の整備と秘密保持契約（NDA）の締結

機密情報の管理は、まずルール作りから始まります。どの情報を機密とするのか、どのように取り扱うのかを明文化し、社内全体で共有することが重要です。

また、取引先との間ではNDA（秘密保持契約）を締結し、情報の範囲や責任を明確にしておくことで、万が一のトラブルを防ぐことができます。

加えて情報のライフサイクル管理（収集、利用、保存、廃棄）を定め、監査や定期的な見直しを行う体制を構築することが求められます。

物理的対策：ICカードによる入退室制限や施錠管理

紙の書類やサーバールームなど、物理的な情報資産を守る対策も欠かせません。ICカードによる入退室管理やキャビネットの施錠などにより、アクセスできる人を限定することが基本です。

印刷物の管理、会議室での資料取扱いルール、Visitorログの記録なども含めて物理的に情報の持ち出しを抑止します。

特に人事情報や契約書など、紙で管理される情報は見落とされがちですが、漏洩リスクが高いため注意が必要です。

カメラやログと合わせて運用することで抑止力が高まります。

人的対策：従業員への定期的なリテラシー教育

人的対策は最も重要でありながら実行が難しい要素です。

多くの情報漏洩はヒューマンエラーによって発生します。そのため、従業員への継続的な教育が重要です。

たとえば、メール誤送信の防止、USBの持ち出しルール、クラウド共有設定の確認など、具体的な行動レベルで教育することで、実効性が高まります。

「何が機密か」「漏洩したらどうなるか」を繰り返し教育し、意識を高めます。

関連記事：【保存版】ヒューマンエラー12分類とは？原因と対策を解説

技術的対策：PCログの取得・デバイス制限・暗号化

技術的対策としては、アクセス制御やログ管理が中心となります。

PCの操作ログを取得することで、「誰が・いつ・何をしたか」を把握できるようになります。

また、USBなど外部デバイスの利用制限やデータの暗号化により、意図しない持ち出しや外部流出を防ぐことができます。

異常検知や自動遮断、複数要素認証の導入により人為的ミスや内部不正の影響を低減できます。

■ なぜ対策しても機密情報の漏洩が防げないのか

ヒューマンエラー・内部不正はゼロにできない

人が関与する限りヒューマンエラーや悪意を持った内部不正のリスクは残ります。

メールの誤送信や誤設定、持ち出しのつもりがないコピーなどは日常的に発生します。

このため技術的なブロックだけでなく、最小権限と業務フローの見直し、定期的な監査と早期検知体制を組み合わせることが現実的な対策です。

ルールだけでは行動は変わらない

ルールを作るだけでは、現場の行動は変わりません。

忙しさや慣れによって、ルールが形骸化してしまうことは多くの企業で見られます。

ルールと現実のギャップを定期的に評価して改善するPDCAも不可欠です。

実態が見えない限り管理は不可能

最大の問題は「見えていないこと」です。誰がどの情報にアクセスし、どのように扱っているのかが分からなければ、適切な管理はできません。

可視化ツールやログ基盤を整備し、定期的にレポート化することで情報の流れを把握し、不審な挙動を早期に検出することが可能になります。

可視化は管理の前提であり、対策の有効性を検証するための基盤です。

■ 機密情報の可視化と守りを自動化する「Eye“247” Work Smart Cloud」

『Eye“247” Work Smart Cloud』は、機密情報の可視化と制御を可能にするオールマイティなクラウド型ログ管理ツールです。

PC内のファイルスキャンによる情報検出、外部接続制御、操作ログの記録と追跡、印刷時のウォーターマーク付与など多彩な機能を提供し、情シスの負担を軽減しつつ高いセキュリティを実現します。

初期費用0円・月額500円（※50cl以上の場合）という価格設定で中小企業でも導入しやすい点が特徴です。

PC内の機密情報・個人情報を一括スキャンで可視化

機密情報をサーバーで厳重に管理していても、従業員がローカルPC（デスクトップやドキュメントなど）にデータをコピーして放置してしまうと、PCの紛失やウイルス感染による情報漏洩リスクが一気に高まります。

『Eye“247” Work Smart Cloud』は、氏名、住所、マイナンバー、電話番号、メールアドレスといった個人情報を含むファイルがPC内（デスクトップやドキュメント等）に存在しないかを、定期的にスキャンします。

指定した件数以上の個人情報が含まれるファイルや、あらかじめ設定した特定のキーワード（例：「顧客名簿」など）を含むファイルが検出された場合は、管理者のサーバーへ即座に通知されます。これにより、情報漏洩の芽を未然に摘み取ることが可能です。

USB・スマホ・コピー＆ペーストによる外部への持ち出しを徹底制御

機密情報の持ち出し経路として依然として多いのが、USBメモリやスマートフォンなどの外部デバイスです。

『Eye“247” Work Smart Cloud』では、USB機器やスマートフォン（WPDデバイス）へのデータ持ち出し（ファイルの読み書き）を禁止したり、「ファイルの読み込みは許可するが、書き込み（コピー）は禁止する」といった柔軟な制御が可能です。

さらに、ファイルそのものの持ち出しだけでなく、テキストデータの持ち出しにも対応しています。PC上での「コピー＆ペースト（クリップボード操作）」を監視し、コピーされたテキスト内に個人情報が含まれているかをチェックします。不正な情報のコピー＆ペーストが行われた際のログを取得できるため、チャットツールや個人のメールを使った巧妙な情報の持ち出しの早期発見や、心理的な抑止に繋がります。

関連記事：外部記録媒体とは何か？初心者にもわかる種類・メリット・危険性まとめ

1分単位の「操作ログ」で万が一の際も原因を即特定

万が一、情報漏洩などのインシデントが発生した場合、被害を最小限に抑えるためには「原因の迅速な特定」が不可欠です。

『Eye“247” Work Smart Cloud』は、「いつ」「どこで」「誰が」「どのくらいの時間」「どんなPC操作をしたか」をログとして1分単位で取得します。特に重要なファイル操作については、ファイルサーバーやPC端末上での「開く」「コピーする」「名前の変更」「削除」といったアクションを詳細に追跡できます。この詳細な操作ログにより、管理画面からインシデントの経緯を即座に絞り込んで検索でき、情報流出の経路や影響範囲をスピーディに特定することが可能です。

関連記事：【徹底解説】ログ可視化とは？ログ可視化ツールの導入メリットと選び方

印刷の強制透かし（ウォーターマーク）でアナログ流出も防止

デジタルデータへの対策が進む一方で、盲点になりやすいのが「印刷された紙媒体」からの情報漏洩です。このアナログな持ち出しを防ぐため、『Eye“247” Work Smart Cloud』では印刷の禁止や印刷枚数の制限を行うことができます。

さらに強力な対策として「強制透かし印刷」機能が備わっています。管理者が設定を行うことで、ユーザーが印刷した紙面の隅に「コンピューター名」「ユーザー名」「印刷日時」「プリンター名」などの情報を、ごく薄い透かし（ウォーターマーク）として自動で印字させることができます。これにより、印刷物の所有者が明確になって放置を防げるだけでなく、「誰が印刷したものかすぐにわかる」という強力な心理的抑止力として機能します。