本記事でわかること
Over view
- 情報資産の意義
- 情報管理の意義・重要性
- 情報を適切に管理できないことによるリスク
- 情報セキュリティの3要素
- 具体的な情報管理体制の構築方法
近年では、データの取り扱いが社会的な問題を引き起こし、個人情報保護法が注目されるなど、特定の性質を持つ情報は法律上も特別の取り扱いが求められるようになりました。現代は情報の管理と法制度が密接に関係する時代であると言えるでしょう。
本コラムでは、経営者・情報システム部・総務部・管理部・法務部等、企業の重要な情報を取り扱う方に向けて、法制度との関係にも触れながら、経営・事業活動にとって重要な情報資産の取り扱い、すなわち「情報管理」の意義、重要性から管理の手法まで分かりやすく解説します。
経営資産としての情報資産とは?
情報社会においては、「人」「物」「金」の3大経営資源に次ぎ「情報」が企業経営の根幹を成す重要な経営資源と認識されています。
付加価値を提供する企業活動は、情報によって企画され管理されており、財務情報、取引情報・契約情報、取引先・顧客・従業員の個人情報、市場調査結果、技術情報、生産管理情報など、あらゆる種類の情報を情報の性質に応じて適切に取り扱うことで正しい経営が可能になります。
雑多な情報も含め、多様な情報がある中でも、特に「情報資産」として管理・活用していくべきものは、企業経営・事業活動にとって重要性が高い重要情報と、それらの情報を管理(収集・処理・保管・伝達・廃棄)するための仕組みを言います。
情報資産は紙、電子データ、人のノウハウやナレッジ等、多様な形をとりますが、デジタル社会への移行後は、特にデータの蓄積や活用が情報資産の価値を左右する重要な要素であると認識されるようになりました。
AI技術が飛躍的に発展した現代では、企業が正しく経営を行い、競争力を高め、企業価値を向上させるために、これらの情報資産を適切に取り扱うための情報管理が求められています。
情報資産を管理する情報管理の意義と重要性
情報管理とは?
このように経営や事業にとって重要となる「情報資産」を管理・活用することを「情報管理」と言います。
すなわち、単に雑多な情報を蓄積・保管するだけでは適切な管理ができているとはいえず、企業にとって必要な情報を特定した上で、適切に収集・保管・廃棄するとともに、伝達・共有・処理する仕組みを回し、重要な情報を活用できている状態こそが「情報管理」の意味です。
情報管理プロセスを詳述すれば、下記のような流れになります。
- ① 企業経営・事業にとって重要で特に管理・活用すべき情報を特定
- ② 重要情報を取り扱う責任者・関係者の範囲を情報の類型毎に決定
- ③ 重要な情報を適切に収集・保管・廃棄するルール・手続きを策定・運用
- ④ ②で定めた責任者のレポートライン上で関係者が処理・伝達・共有し適切に活用
この情報管理の各プロセスにおいて特に重要なポイントは以下の4点です。
- ① 情報の特定
- 企業にとって特に重要な情報を性質ごとに分類し、性質に応じた管理を行うこと
- ②責任者・関係者の範囲を決定
- アクセス権限の設定・管理、情報流出や外部侵入等を防止するセキュリティ対策を行うこと
- ③管理ルールの策定・運用
- ルールを形骸化させないために業務プロセスに手続きを乗せること
- ④情報の活用
- 必要な情報に必要なタイミングでアクセスし、活用できる環境を構築すること
情報管理の必要性・重要性
情報管理の重要性は、経営資源たる情報を活用することで企業の競争力を向上させるというプラスの側面と、情報管理を適切に行わなければ法令違反、情報漏洩や紛失・流出事故等により個人や他企業に損害が発生し、社会からの信頼を失う結果、企業価値を低下させるリスクがあるというマイナスの側面の両側面から基礎づけられます。
特に近年では、AI技術の台頭によるデータの利活用に脚光が当たっています。
一方で、個人情報に関わる企業の対応が注目を浴び、世界的にも個人情報保護制度が厳格になっているだけでなく、SNSの浸透による社会的影響の拡大のしやすさから、情報の適切な管理・取扱いが社会的な責任だと認識されるようになりました。
こうした状況下で情報管理の重要性・必要性はかつてなく高まっており、情報の利活用及び適切な管理は重要な経営課題になっているといえるでしょう。
法律上求められる情報管理
企業における情報管理の必要性は、日本の法制度のもとでは、例えば下記の法律からも読み取ることができます。
情報の安全管理措置を含む内部統制体制や情報セキュリティ環境の構築は、今や企業の義務として規定されているのです。
各種法律では、情報を特定・分類した上で、情報の性質に応じて収集、保存、管理、取扱いや開示の方法・内容が異なり、企業が情報管理を行う際にどのような情報を保存・管理する義務があり、情報資産として特定し、適切な取り扱いを行う必要があるのか決める上で必ず参照しておくべきでしょう。
この他にも医療や金融に関わる領域においては、業界に応じたガイドライン等も策定されておりますので注意が必要です。
| 個人情報保護法 | 個人情報の利用が拡大しているデジタル社会において、個人情報の有用性に配慮しつつ個人の権利利益保護のために、個人情報の収集、保管、管理、取扱いから本人による請求への対応(開示や削除等)義務が規定されている。「要配慮個人情報」から「個人関連情報」まで個人情報の性質に着目して異なるルールが定められている。 |
| 不正競争防止法 | 事業者間の公正な競争や国際約束の的確な実施を確保し、営業秘密の保護、不正競争行為を防止するため、営業秘密や限定提供データの不正取得・不正使用・不正開示等を禁じ、損害額の推定規定や罰則が定められている。 |
| 不正アクセス禁止法 | 電気通信に関する秩序の維持を図ることで高度情報通信社会の健全な発展に寄与することを目的として、不正アクセス行為の禁止、ユーザーIDやパスワードなどの他人の識別符号の不正取得・保管・提供行為を禁止し、アクセス管理者による防御措置も努力義務として定められている。 |
| 会社法・税法 | 株主総会議事録、取締役会議事録・監査役会議事録や国税関係帳簿・書類、計算書類等の作成・保存義務が定められており、税務署や株主による帳簿書類の閲覧請求・提示の求めに対して開示義務が定められている。 |
| 電子帳簿保存法 | 税法上保存が必要とされている国税関係帳簿・書類をデータの状態で取り扱う場合について、真実性の確保と可読性の確保等改ざんを防止するための保存ルールが規定されている。 |
| 金融商品取引法(ディスクロージャー制度) | 証券の発行・流通市場において投資者が十分な投資判断を行えるよう、企業の財務情報や経営情報の開示を義務付けており、内閣総理大臣による開示検査も定められている。 |
| マイナンバー法 | 主に行政機関や地方公共団による、マイナンバーカードや住民票等の個人番号や特定個人情報の管理や取扱いを規律しているが、企業の努力義務も定められている。 |
企業の企業価値・競争力の向上
もっとも、情報管理の必要性はこうした企業の義務を果たすためだけにあるのではなく、情報やデータからイノベーションの創出・事業活動の効率化により企業の競争力を強化するためにも重要です。
特に、かつてなく人材の流動化が高まる現代においては、情報の属人化を防ぎ、企業資産としてナレッジを蓄積・共有していくナレッジマネジメントや情報格差を解消して社員の能力を最大化する仕組み作りが喫緊の課題と叫ばれています。
加えて、働き方改革等の影響で労働生産性の向上が求められている昨今においては、蓄積データの活用による工数削減や適正なリソース分配をしていかざるを得ない状況にあると言えるでしょう。
情報管理ができないことにより生じるリスク
こうした情報資産を適切に管理し、活用できなければ、次のようなリスクが生じます。
- ①企業価値・企業競争力低下のリスク
- 企業秘密・営業秘密等の流出や経営情報・個人情報等の漏洩を起因とする企業価値の低下
- 情報・ナレッジの属人化による情報資産の喪失
- 生産性の低下による競争力低下
- ②法令違反・契約違反のリスク
- 上述した各種法律に規定されている義務違反
- 秘密保持契約違反・取引先からの信頼喪失
- 適時対応・適時開示ができないことによる上場への影響、株主・投資家からの評価低下、税務調査・監査対応コストの増大
- ③事故対応等のコスト増大のリスク
- 漏洩事故等の公表・報告徴収・立入検査/命令違反に対する罰則
- 秘密保持義務違反に基づく損害賠償/被害者に対する損害賠償、関係先への連絡・謝罪対応コスト
- 情報の回復・情報管理システムの原状回復・改善費用や調査・原因究明費用・情報拡散防止対策費用等のコスト
- ④社会的信用喪失リスク(レピュテーションリスク)
- 取引先との関係悪化
- 自社ブランド棄損
情報管理の具体的方法
ここからは適切な情報管理の具体的な方法について解説します。
重要度合いに応じた分類
法律上も、情報の性質や重要度合いに応じて、取扱いのルールの厳格さが異なっているように、企業における情報管理もまずは情報資産として企業経営や事業活動にとって重要な情報を特定し、重要度合いや性質に応じた分類を行うことから始めましょう。
情報資産の分類の仕方は様々な観点から評価・整理する必要がありますが、大前提として以下の2分類は重要です。
- ①法律上条情報管理が求められている情報
- ②それ以外の情報
②の法律上情報管理が必須である情報以外にも、事業活動や企業運営上重要度合いを高・中・低の3段階で表せば、例えば、以下のような分類ができます。
| 重要度 | 性質 | 具体例 |
|---|---|---|
| 必須 | 法律上保存・管理義務がある情報 =個人情報や会社運営に関する情報、財務情報や税務情報等の会社経営に直結する情報 | 有価証券報告書、株主総会・取締役会・監査役会議事録、国税関係帳簿書類、個人情報が記載された契約書や利用申込書、人事ファイル、顧客データ・取引先データ等 |
| 高 | 【機密情報】企業競争力の源泉となる情報 =ナレッジやノウハウを含む営業秘密、知的財産等の事業活動の根幹をなす情報 | 研究データ、未公開の取引情報、特許取得前の技術情報・仕様書・設計図等、新製品の開発資料、公表前デザイン、重要営業資料、戦略立案書等 |
| 中 | 【秘密情報】法律上保存・管理が義務付けられているわけではないが、会社の運営上必要な情報 | 組織情報、技術情報、市場調査結果・データ、会議の議事録、研修書類、過去の取引関連情報、営業資料、開発書類・企画書等 |
| 低 | 【一般情報】上記のいずれにも当たらないが、業務フロー上流れている情報 | その他公開情報、業務履歴・報告書、業務指示等 |
手続・規程の策定・運用
情報の特定・分類
上記は情報分類の一例であり、①外部文書、②内部文書、③一般文書のように情報の宛先に着目した分類も可能です。
また、①財務情報、②契約情報、③営業情報、④技術情報…といった具合で情報を取り扱う部署や類型に着目した分類もあり得ます。
このように、企業や業界毎に重要な視点で情報資産の分類と特定を行い、リスト化し文書規程や秘密情報取扱規程等の社内規程を策定します。
分類に応じた責任者・管理者を設定・アクセス制御
情報の特定や分類完了後は、各類型に応じた責任者・管理者や所轄部署を決定し、情報を取り扱うべき必要最小限の範囲の関係者が情報にアクセスできる環境を整備した上で、役職や業務内容に応じたアクセス権限を設定します。
その上で、情報へのアクセス履歴を記録し、定期的に監査等を行うことで不正アクセスや情報漏洩事故を防止する措置を取らなければなりません。
分類に応じた収集・保管・利用・廃棄等のルールを策定・運用
法律上作成や保管年数、保存方法や公開・廃棄等の定めがある情報については、法令を遵守した適切な管理ルールを策定し運用する必要があります。
例えば、税法上多くの契約書は7年間の保存義務がありますが、大半の企業ではこれを超える10年や15年の保存義務を設けている企業が多いのではないでしょうか?
この背景には、法律上重要な契約書をはじめとする文書は、情報が古くなっても企業の資産として活用の余地があると認識されていることの他、訴訟等で重要な証拠にもなるため、必要性が低くなると考えられる年数保管されていることが多いと言えます。
保管については、施錠管理やパソコンの持ち出し禁止などの物理的なセキュリティ対策の他、IDの適切な管理、情報の暗号化等の技術的セキュリティ対策の両面が必要となり、個人情報や機密情報が含まれる文書については廃棄の方法まで定めておく必要があるでしょう。
情報管理のルールの周知・運用の徹底
ルールは策定した後、運用に乗せるまでが重要です。
責任者のレポートライン上で関係者が処理・伝達・共有・活用できるように、研修や周知活動を行うだけでなく、業務フロー上に情報管理のルールを乗せていく仕組みや環境作りを意識すべきです。
一定期間の運用後は定期的なアセスメントを行い、ルール自体を見直すことでより良い管理のサイクルを実現していくのが理想です。
情報セキュリティ体制の構築
情報セキュリティの3要素とは?
情報管理においては、以下の情報セキュリティの3つの要素を確保しつつ、企業の情報資産を取り巻く様々な脅威から情報資産を守る対策も必要です。
- ①機密性
- =情報への不正アクセスや情報漏洩事故等を防ぐため許可された人だけにアクセス可能である状態
- →情報漏洩防止措置、アクセス権の設定、暗号の利用などの対策
- ②完全性
- =情報の改ざんや破損を防止し、情報の正確が保証され信頼が維持されている状態
- →改ざん不可の環境の整備、変更・削除等履歴ログの記録、改ざんの検出措置の整備
- ③可用性
- =情報資産を適切に管理・活用するため、必要なときに必要な情報アクセスできる状態
- →システムのバックアップ、システムの二重化、災害復旧計画などの対策・準備
セキュリティ措置の変化
従来は紙を前提としたキャビネット等による物理管理を前提に、施錠、ハンコの管理や拠点の分散等、従業員が出社することを踏まえた物理的なセキュリティ対策が行われてきました。
デジタル社会に移行し、情報が紙ではなくデータとして流通するようになった後も、法制度や企業の管理規程はデータの性質をとらえた情報管理体制を整備しきれずにいました。
しかし、コロナ禍を境に、リモートワークが急速に普及した結果、データを前提とした遠隔での情報管理をせざるを得なくなるようになっています。
求められる情報管理のレベルも変化
こうした変化を踏まえ、データを前提とした法規制が策定されるようになりました。
その代表例が企業に電子データの保存義務や取扱いのルールを新たに規定した改正電子帳簿保存法でした。
さらに、グローバルでも個人情報の取り扱いに関するルールは厳格化されていく流れは不可逆であり、企業の情報の不適切な管理や取扱いによる事故・情報漏洩によるリスクは年々高まっています。
従って、現代ではデジタル管理を前提とした情報管理体制や内部統制体制を整備し、ガバナンスを高めていくことが非常に重要です。
具体的な情報管理体制の構築方法
最初の一歩は会社にとって最も重要な情報から
これまでご説明してきた通り、企業が情報管理を適切に行うためには情報の特定・分類から規程の整備・運用まで様々なアクションが求められます。
さらに、紙がデータ化し、情報の性質も多様化している中で、社会や技術の変化に応じた見直しも必要になってきます。
しかし、いきなり企業にあふれている情報のすべてを網羅的に管理・活用していくことは現実的ではありません。
そこで、情報管理体制の構築や見直しを担う経営者・事業責任者の皆様や情報管理担当者の皆様に特に最初の一歩として意識してほしいのは、以下の2つの情報適切な管理です。
- ①法令上適切な管理が求められている情報
- ②企業にとって特に重要な情報
では、どうやってこれらの情報を特定していけばいいのでしょうか?
この2類型には個人情報、経営情報、機密情報の3つが含まれており、財務情報、取引情報、技術情報…等と情報の性質に着目してそれらのデータの取り扱いを定めていく方法もあります。
しかし、例えば個人情報は、取引情報として営業の顧客データベースにも、人事ファイルにも従業員のPC上、はたまた手書きのノートにも含まれている可能性があります。そうした情報には個人情報以外の情報も当然に含まれているため、しらみつぶしに重要情報の所在を特定し、個別に管理する方法は、網羅性はありますが適切な情報管理体制を企業全体で実現するには長い年月がかかります。
そこで情報管理の第一歩としてお勧めしたいのが、個人情報、経営情報、機密情報の含有率が高い対象(データ・文書)を特定し、そこで特定された対象情報の適切な管理・保管から始めることです。
個人情報、経営情報、機密情報の含有率が高い文書の具体例
個人情報、経営情報、機密情報の含有率が高い対象の代表例に、契約書や株主総会議事録、取締役会議事録があります。人事ファイルや顧客ファイル等も典型例です。
さらに医療業界ではカルテといったように、各業界・各企業毎に個人情報、経営情報、機密情報の含有率が高い文書は変わってきます。
これらの文書管理の具体的な在り方を考えていくと、特に紙でキャビネット保管する企業が大半だった従来の管理方法から、電子契約が普及している現在では、デジタルを前提とした権限管理に基づく情報管理体制を確立する必要があります。
しかし、多くの企業は紙と電子の二重管理を適切に行うことができず、企業にとって非常に重要となる契約情報や契約関連情報が散在し、場合によっては散逸してしまっているという惨状があります。
このような状況では、必要な時に必要な情報にアクセスができず、情報セキュリティの要素となっている「可用性」が確保されているとは言えませんし、適切な情報管理ができていなければ、不正なアクセスや情報の改ざんに気付くことができず「機密性」や「完全性」もありません。
特に、機密性や完全性が確保されていなければ、不正会計や情報の不正利用、漏洩事故などを誘発する土壌になるため、危機感を持って対策を講じるべきです。
情報管理のバランス
ここで、機密性と可用性はセットで考えていくとよいでしょう。
なぜなら、機密性を高めることだけを考えると、ごく一部の責任者や責任部署しか見ることができない環境を整備する方向に向きがちですが、必要な範囲の関係者のアクセスまで遮断してしまえば、アクセスできるごく一部の者が情報の所在や内容の確認、閲覧の申し出等の問い合わせ対応に追われるとともに事業スピードが落ち、業務の生産性が著しく低下するリスクがあるためです。
契約書の例でいえば、契約書を法務担当者や経営者のみのごく一部の者のみがアクセスできる環境を作ってしまうと、取引情報を取り扱い、契約交渉を担当する事業部から過去の担当案件の取引情報の問い合わせを法務担当者にしなければならないという状況が発生するのです。
逆に、アクセス範囲を柔軟に設定できないスプレッドシート等で契約情報を管理していたために、インサイダー情報となりうる契約の存在自体が漏洩してしまう可能性が出てきます。
したがって、情報管理のベストプラクティスは、重要な情報は全体最適の視点で必要な人が必要なタイミングで必要な情報にアクセスできる可用性を確保しながら、柔軟かつ厳格な権限設定で機密性と完全性を維持するための環境を整備することだと言えるでしょう。
この理想状態は情報アクセスの効能・便益と改ざんや不正利用・漏洩等のリスクとの比較衡量の上に成り立っており、そのバランスを考えていくのがまさに、ガバナンス体制の構築、内部統制体制の確立や情報管理・文書管理に責任を持つ経営者、管理部門、情報システム部門等の役割です。
情報の更なる活用のために
さらに、昨今では、出てはいけない情報が外に漏れる不正アクセスや情報漏洩の他、人材の流動性の高まりの中で失われてはならない情報をなくす情報の散逸対策も重要であり、4つの経営資産の中の「人」と「情報」は密接な関係があります。
人に属人化した情報を会社の資産として維持していくためには、属人的な情報を共有知に転換しナレッジとして蓄積・共有していく仕組み作りを真剣に考える時が来ていると言えるでしょう。
記事執筆者:Hubbleリーガルリサーチ・編集部
Hubbleのコラム「契約業務の基礎知識」は契約業務に携わるすべての皆様に有益な情報を提供すべく、法的な観点も交えた記事を配信しています。司法試験に合格し、司法修習を経て弁護士資格を有する社員により行われた緻密な法的リサーチを土台として、お客様の声も踏まえた実務に役立つ内容を執筆しています。
