文書管理のデジタル化による情報管理の必要性、情報漏えいリスクをどのようにマネジメントするか?

文書のデジタル化のメリットは、物理的な保管場所が必要なくなることです。同時に、検索機能により必要な文書・情報を探す手間が省ける・情報の修正や更新がしやすい・瞬時に情報を伝えたい人に送信できる・可視性が高いといったメリットもあります。
しかしながら、メリットもあればデメリットも存在します。
デジタル化の最大のデメリットは情報漏えいに関する問題です。

インターネットで社内が外部と常に“つながっている”点や、スマホやSDカードを使えば情報が社外に簡単に持ち出せる点は、悪意がなくても簡単に情報漏えいを引き起こす「穴」になり得ます。

紙文書とデジタル化された書類が違う点は、外部とのつながりのどこにその「穴」があるのかがわかりにくいことや、持ち出せる情報がスマホやSDカードの容量次第では相当量になってしまうことです。だからこそ管理について、しっかりと考える必要があるのです。

 

企業が管理すべき文書とは

企業が管理すべき主な文書を改めて確認しましょう。

・個人情報(従業員含む)
・顧客情報
・研究、開発内容
・営業情報
・事業戦略
・その他、社外に漏らしてはいけない情報

業種業態・上場非上場など、各企業によって違いはありますが、基本的には社外秘の情報を優先的に管理する必要があります。社外秘の情報とは社外に漏らしてはいけない情報、具体的には外部に漏れることで自社(ステークホルダー含む)もしくは顧客に損害を与える情報・競合他社に有利になる情報です。

文書管理は企業にとってとても重要ですが、日常業務において、「文書を管理する」ことを意識しするということはあまりないかもしれません。

ISO 9001、14001やISMS、PMSなどといったマネジメントシステムを導入していることで、自然と管理ができている企業もありますが、従業員自身の経験や知識に“任せた管理”をしている企業が多いのではないでしょうか。

紙だけで情報を管理していた時代であれば、“任せた管理”をしていても大きな問題は起こらなかったかもしれません。しかし、デジタル化が急激に進めば進むほど、ずさんな情報管理が大きなリスクとなってきているのです。

 

デジタル文書の情報漏えい経路は大きく2つ

デジタル文書の情報漏えいの経路は大きく分けて2つあります。ひとつは、外部からのサイバー攻撃による漏えい、もうひとつは、社内からの漏えい(誤操作、持出しなど)です。

 

1.外部からのサイバー攻撃による情報漏えい

外部からのサイバー攻撃による漏えいに関しては、対策に今までとは全く違う新しい知識と技術が必要です。

サイバー攻撃は日々進化を続け、かつ巧妙になっています。つまり物理的にオフィスの入り口に頑丈な鍵を設置しても安心とはいえず、絶えず新しいサイバー攻撃に備える必要があるのです。
外部の専門企業にセキュリティ管理を依頼するという手段もありますが、それ以上に重要なのは自社であらゆるリスクを想定したルール作りをすることです。

情報管理に関するルールや注意すべき点には以下のようなものがあります。

・安全なネット環境やインフラ整備
・メール上での添付ファイルの扱い方の統一
・従業員のWebサイト閲覧制限
・スマホやカメラの持込み
・貸与するスマホやPCの管理
・特定の情報にアクセスする社員の制限

「そこまでしなくても」と思うようなところまでしっかりルール作りをすることが理想です。とはいえ、ルールが厳しすぎると実際の業務の進行を大きく阻害する可能性もあるため、業務内容と調整しながら決めることが大切です。

新たなサイバー攻撃が日々生まれてきている以上、現実的に完全に防御することは不可能です。そのため万が一漏えいした場合を想定し、被害を最小限に抑えるための備えも必要になります。

 

2.社内からの情報漏えい

では、もう一方の社内からの漏えい(誤操作・持出しなど)はどのように管理すればよいでしょうか。社内からの漏えいはデジタル化の有無にかかわらず、紙文書でも起こり得ることです。そのため、全ての企業で対策が必要になります。

社内からの情報漏えいを防ぐために、従業員への日々の教育や意識づけは重要で最優先にすべきことです。その上でさらに、気をつけるべき点が2点あります。それは「ヒヤリ・ハットの低減」と「退職後の制約」です。

NPO 日本ネットワークセキュリティ協会が発表した「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~ 速報版」(2019年6月9日改訂版)によると、個人情報に関する情報漏えいは「紛失・置忘れ」「誤操作」「不正アクセス」が3大要因になっており、約70%を占めています。社内からの情報漏えいに限って見てみると、悪意のない「紛失・置忘れ」「誤操作」「管理ミス」「設定ミス」による情報漏えいがおよそ65%となっています。

漏えい原因比率(件数)

出典:「2018年 情報セキュリティインシデントに関する調査結果 ~個人情報漏えい編~速報版」P7より

 

この結果を見てみると、悪意を持って情報を持ち出すのではなく、「誤操作」や「管理ミス」といった単純なミスが原因の多くを占めていることがわかります。

次に、さらに気をつけるべき2つのポイント、「ヒヤリ・ハットの低減」と「退職後の制約」について具体的に解説します。

 

・ヒヤリ・ハットの低減

普段から、ミスが実際に発生する前の、ヒヤリ(ひやっとしたこと)・ハット(はっと気がついたこと)の共有をしっかり行い、運用面・システム面どちらで改善できるか、関係者全員で対策を練ることが大切です。1件のミスの裏側には300件のヒヤリ・ハットがあると言われています。ヒヤリ・ハットの時点で対策をとり低減することが1件の重大なミスを防ぐことにつながります。

・退職後の制約

比較的多いのが元社員による情報漏えいです。

退職者が、元いた企業の機密情報を持って競合他社に就職したり、売却するために顧客リストをSDカードなどで持ち出したりするリスクを想定した対策をとる必要があります。終身雇用の時代は、退職者による情報漏えいは少なかったかもしれません。ですが、転職が当たり前に行われるようになった現代は、特に注意が必要なのです。特許や特別な技術がない企業は危機感を持ちにくいかもしれませんが、どのような企業でも顧客情報を持ち出され何らかの形で悪用されるリスクはあります。

文書がデジタル化される前は、名刺を全て持っていかれるケースが多く存在しました。ビジネス上交換された名刺は個人のモノではなく「会社の資産」であり、退職者が名刺を持ち出すことは情報漏えいに当たるのです。

このような事態に陥らないために、文書管理に対する教育と退職後についても言及した雇用契約をきちんと整備する必要があります。

 

それ以外にも、企業として情報漏えいを未然に防ぐための仕組みを構築すべきです。具体的には、

・ファイルやメールの暗号化
・メール送信の一時保留
・ファイルの時限削除
・ログ管理と監視

などの対策をすることを強くお勧めします。前もってこのような仕組みを作っておくことで、情報漏えいを防ぐことができます。ログが管理されていることが分かれば、悪意のある情報漏えいの抑止にも繋がります。万が一情報が漏れてしまった場合にも、より早く気づくことで被害を最小限に抑えることができるのです。
(ログとは、例えば従業員の誰がどんな情報にアクセスしたのか、その情報をどこにどれだけ移動したのか、などの履歴です。通常業務と関係ない情報にアクセスしているログがあれば、漏えいの可能性を疑うことができるのです。ログの管理は誰かがアナログで行うのではなく、監視システムを導入することをお勧めします)

 

進むテレワークと文書管理

近年、働き方改革の影響もあり、テレワークが急速に浸透しています。業務の一部をテレワークで外注したり、社員の働き方としてテレワークを導入したり、中にはテレワークのみで正社員を雇う企業もあります。テレワークとは、情報通信技術(ICT = Information and Communication Technology)を活用した、場所や時間にとらわれない柔軟な働き方のことです。多くの場合、オンラインでつながった環境にてやり取りをしながら仕事を進めるため、文書管理に関しても今までとは違った新たな考え方が必要なのです。

 

◆考え方①テレワークを実現するのための文書管理

テレワークを実現させるためには、業務に関わる全ての文書をデータ化し、オンラインでやり取りできる状態が必要不可欠です。そのためには、紙の文書から全てをデータ化するのはもちろん、オンラインだけで業務が完結できるための方法を検討する必要があるのです。例えば、

・オンライン上での文書への署名
・データの直接送信以外に、クラウドサービスの活用
・オンラインで同時編集のできるGoogleドキュメントなどの活用

などが挙げられます。このように、文書をデータ化すると言っても、PDFのような紙の書類を直接データに取り込んだものだけでなく、さまざまな種類のものが存在します。テレワークを実現するためには、このようなさまざまな「新たな種類の」文書を管理する体勢を整える必要があります。

 

◆考え方②安全にテレワークを行うための文書管理

テレワークを導入することによって、データを社内から「社外」に出すことになります。つまり、その分情報漏えいのリスクが高まるのです。安全にテレワークを行うためには、

・作業環境やデータの取り扱いに関する契約書を交わす
・作業環境のセキュリティ確認を行う
・送付するデータはパスワードで保護する
・「社外」にあるデータは、作業が終われば速やかに削除する

などの対策が必要になります。つまり、テレワーク先にある文書を、社内からいかに管理・コントロールできるかが重要なカギになるのです。

 

まとめ

文書管理は、紙の時代からデジタルの時代へ移行しています。紙の時代に慣れた人にとっては、デジタルは「見えるようで見えない、よくわからない」というのが率直な感想かもしれません。しかし、紙の時代の名残を残したまま、従業員に“任せた管理”を続けては、後々大きな損害を被る危険性があります。
自社での改善が難しいようであれば、文書管理を専門にした企業やサイバーセキュリティ専門企業、ITコンサルタントに依頼することもひとつの手段です。長期的な観点から、自社で文書情報管理士を育成する、という手段もあります。

文書管理というと「守るべきもの」というイメージがありますが、情報は企業が成長するために、そして顧客により質の高いサービスを提供するために「最大限活用するもの」でもあります。特にヒト・モノ・カネに制限がある中小企業こそ、“制限がない”情報を管理し、有効活用することが成長へのキーになります。情報を管理し活用する時代だからこそ、その中から自分たちの得意分野を見つけ、そこで「一番」になれる可能性があるのです。

 

 

ライタープロフィール

くもと編集

くもと編集

マーケター兼編集者

NOC 当コンテンツの編集者。 宝飾業界と広告会社を経て2008年 NOC入社。営業や制作ディレクターを経験し、現在はWebマーケティング担当兼当コンテンツの編集を担当。 「NOCのサービスに直接関係のない記事であっても、読んでくれた方の役に立つ情報をお伝えしていきます。」