一般的な社外秘の意味や定義とセキュリティの観点での社外秘における権限やアクセス権について
- INDEX
-
一般的な社外秘の意味や定義とは
はじめに一般的な社外秘の意味や定義とは何か簡単に説明します。社外秘とは
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の枠組みを作る中、ISOを参考にした場合、企業や組織における活動で生じる情報は「極秘・社外秘・公開」という3つに分類して取り扱います。 公開はそのままの意味であり、内外問わず誰でも、どこからでもアクセスできる情報、極秘は社内や組織内においても、一部の人間しか閲覧およびアクセスができないレベルです。 そして、中間に位置する社外秘は社内や組織内の人間であれば閲覧やアクセスできるレベルであり、極秘と比べれば社外に情報漏えいした場合でも大きな被害にはならないレベルを指します。 ただし、大きな被害にならないレベルとはいえ、社外秘として取り扱う情報である以上、電子データとしてのセキュリティ性を確保する必要があるのも事実です。重要なのは極秘や公開とは区別されていることであり、情報漏えいしても良い情報ではないということを覚えておくべきと言えます。社外秘にありがちな誤解や勘違い
社外秘にありがちな誤解に、社内であれば個人情報や機密情報であったとしても情報漏えいしても構わないだろう、というものがあります。社外秘であったとしても、作業や業務で必要のない人間が閲覧やアクセスできてしまうと内部不正を引き起こす要因になるため注意する必要があります。 また、関係会社や委託先に場合にありがちなのが「信頼できるから」または「業務で必要だから」というような形で安易にデータを渡してしまうことです。特に個人情報においては本人の許諾なく、勝手に第三者や他の機関や組織に受け渡すようなことがあってはなりません。 社外秘のデータについては、単に社内ならOK、関係会社や委託先で必要ならOKと一括りにせず、どのような性質のデータなのか見極めた上で共有や受け渡しを行うべきということです。社外秘とセキュリティの関係性
一昔前であれば、社外秘というハンコや手書きなどによる記載を紙の書類の表紙などで区別するような状況が一般的でした。物理的な紙資源による書類で情報がやりとりされていたからこそ、社外に漏れることはそうあり得ないですし、それなりに安全性が保持されていたと言えます。 しかし、現代は電子データかつオンラインの時代です。そのため、極秘・社外秘・公開のどの情報においても、アクセスすることが可能であれば、公開と同じように誰でも閲覧することが可能になってしまいます。 社外秘を社外秘とするためにはネットワークへのログイン、データへのアクセス権、データおよびファイルを閲覧・編集・削除する権限などを適切に割り当て、電子データのセキュリティ性を確保する必要があるのです。セキュリティの観点での社外秘における権限やアクセス権について
次にセキュリティの観点での社外秘における権限やアクセス権について解説します。一般に公開されている情報との区別
公式サイトや公式のホームページ、またSNSやメールマガジンなど、誰でも手に入れることができる情報と社外秘は明確に区別すべきと言えます。 また、公開といっても、公式サイトや公式ホームページなど、アクセスすれば誰にでも見れる情報とSNSやメールマガジンに登録した人のみが見れる情報もそれぞれ区別すると良いでしょう。 これらは基本的に情報漏えいにはならない情報であり、その気になれば誰でも入手できる情報、すなわち社外秘とは明確に区別すべき類の情報と言えます。顧客との間で扱う情報との区別
顧客やユーザーとの間において、何らかの個人情報や機密情報を取り扱うことがあります。双方の間においてのみ利用する情報は公開とは違う区別が必要であり、アクセスするための権限をしっかりと設定すべきと言えます。 単純にAという顧客の情報をBという顧客に渡してしまった場合、これは情報漏えいです。情報の内容によっては致命的な場合もあることから、社外秘よりも上、極秘と同じような扱いと思った方が良いでしょう。特定の部門や部署、もしくは担当のみが閲覧、操作できる情報として取り扱うべきです。 ただし、他人が調べればわかるような公開されている情報の場合、必ずしも致命的とは言えません。むしろ、社外秘にあたる部分の情報の質でもあるため、取扱いが難しい電子データであるとも言えます。極秘および社内や組織内でのみ扱う情報との区別
極秘および社内や組織内、または特定の部門や部署でのみ扱う情報においても、それぞれ誰がアクセスできて、誰がファイル操作をできるのか区別しておきましょう。ほとんどは社外秘というより、極秘に近い扱いになる可能性が高いです。実際に電子データで考えた場合、公開はわかりやすいですが、社外秘は扱いが難しいことがわかります。 そのため、現実問題として現代の電子データにおける社外秘とは、公開か否かで分類し、その上で情報の質に応じてアクセス権やファイルの操作権限を割り当てることで、セキュリティ性を確保し、機密性や安全性を高めるべきであると言えます。
