機密情報とは？意味・種類・3段階の分類と企業が行う漏えい防止策を解説

「機密情報とは」と調べる方の多くは、社内の情報管理ルール整備やセキュリティ対策を検討しているのではないでしょうか。機密情報は企業が保有する情報のうち、外部への公表を想定していないもの全般を指します。昨今は世界規模で情報漏えい事案の報道が相次ぎ、企業による機密保持の重要性はかつてなく高まっています。この記事では、機密情報の正確な意味や種類、漏えいリスク、そして企業が取り組むべき管理方法についてご紹介します。

機密情報とは何か

まず「機密情報」の意味を整理し、混同されやすい「秘密情報」「営業秘密」との違いを確認しましょう。

「機密」という言葉の意味

辞書では「政治・軍事上きわめて重要な事柄についての秘密」と説明されています。それが転じて、ビジネスの現場でも業務上の情報漏えいを避けるべく管理が必要な「重要性の高い秘密事項」を機密と呼ぶようになりました。

一方、「秘密」は他人に知られないようにすること、または知られてはならない事柄そのものを意味します。

機密情報として認められるには、次の3つの要件を満たす必要があります。

• 非公知性：一般に知られていない情報であること
• 有用性：その情報が組織や個人にとって価値を持つこと
• 秘密管理性：その情報が適切に管理され、秘密として扱われていること

法律上、機密に関連する主な規定としては以下のものがあります。

「国家公務員法」第100条第1項

職員は、職務上知ることのできた秘密を漏らしてはならない。その職を退いた後といえども同様とする。

「刑法」第134条第1項

医師、薬剤師、医薬品販売業者、助産師、弁護士、弁護人、公証人又はこれらの職にあった者が、正当な理由がないのに、その業務上取り扱ったことについて知り得た人の秘密を漏らしたときは、六月以下の懲役又は十万円以下の罰金に処する。

「不正競争防止法」第2条第6項

営業秘密の定義「秘密として管理されている生産方法、販売方法そのほかの事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」

機密情報・秘密情報・営業秘密の違い

「機密情報」と似た言葉に「秘密情報」「営業秘密」があります。秘密情報は秘密保持契約（NDA）で保護義務の対象となる情報を指しますが、法律上の明確な定義はなく、契約内容によって範囲が変わります。営業秘密は不正競争防止法で定義された法律用語で、前述の3要件（秘密管理性・有用性・非公知性）を満たしたものを指します。機密情報は概念的に最も広く、これらを包含する形で用いられることが多い言葉です。

企業が守るべき機密文書の種類

企業が管理を求められる機密文書には、大きく次の4種類があります。

経営機密

中長期経営計画、M&A関連情報、取締役会の決議事項（組織改編・重要人事）、公表前の決算情報、資金調達計画（新株・社債発行の検討状況）などが含まれます。

技術機密

試作品の設計図・実験データ、製造工程における独自ノウハウ、特許出願前の発明情報、生産設備の仕様・設定値、トラブル対応手順書などが該当します。

営業機密

顧客データベース（購買履歴・信用情報）、取引先との契約条件（価格・支払条件）、販売戦略、仕入先情報、営業マニュアルなどが含まれます。

人事機密

従業員の個人情報（住所・家族構成・健康情報）、給与情報、人事評価データ、採用計画、労使交渉の内容などが該当します。近年はマイナンバーも重要な人事機密の一つとして注目されています。

そのほか、社外秘マークが付いた文書・データや一部の社員しか知り得ない情報も機密文書に含まれます。契約書に記載された情報も機密情報に該当しうる点に注意が必要です。なお「営業秘密」は法律上の概念であり、その範囲は法律によって定められています。

機密文書の3段階分類

機密文書は機密度のレベルに応じて3段階に分けて管理するのが一般的です。以下はIPA「事故事例に学ぶセキュリティ対策の実際（p45）」を参考にした分類です。分類区分は法令やガイドラインで定められているわけではなく、企業によって若干異なる場合があります。

著作権表示：Copyright「事故事例に学ぶセキュリティ対策の実際（p45）」

極秘文書（Top Secret）

3段階のうち最も厳重な管理が求められる文書です。漏えいが企業経営に直接影響するため、経営陣を含むごく一部のメンバーにしか共有されません。未公開の研究開発結果、特別プロジェクトの資料、開示されていない経理文書などが該当します。

秘文書（Secret）

極秘文書に次ぐ重要度を持つ文書で、社内でも担当部署の人員のみが閲覧可能です。重要契約書や人事関連情報のほか、経営戦略・営業企画の情報、特許申請に関する資料なども含まれます。

社外秘文書（Confidential）

社内での共有は可能ですが、社外への持ち出しや開示が禁じられている情報です。顧客リスト、企画書、議事録、就業規則、社員との秘密保持契約書などが該当します。

機密度レベルの判断基準

どのレベルに分類するかは、以下の観点から判断します。

• 機密情報の経済的価値
• 情報漏えいによって被る損失の程度
• 競合他社にとっての有用性
• 協力会社に与える損失の程度
• 機密情報を保護する法律に違反した場合の制裁の程度

機密度レベル	概要	該当する文書・データの例
極秘文書／ Top Secret	・漏えいがあると企業の全社的な経営に影響する可能性がある ・経営陣をはじめとする一部の限られた人員のみ閲覧可	・未発表の研究開発の結果 ・合併情報など特別プロジェクト関連資料 ・公表していない経理情報 など
秘文書／ Secret	・外部に漏えいすると事業に影響がある ・決められた部署の人員のみ閲覧可	・経営戦略や営業企画に関する情報 ・非公開の企業方針 ・特許申請に関する情報 ・顧客に関する情報 ・仕入れ値の価格が記載されたもの など
社外秘文書／ Confidential	・漏えいがあると信用および経済的な損失を被る可能性がある ・社内の人員のみ閲覧可	・契約書、見積書、発注書、請求書 ・就業規定、社員の個人情報、議事録 ・社員との秘密保持契約書 など
一般文書／ Normal	・既に外部へ公開済みの情報 ・社内外を問わず誰でも閲覧可	・製品・サービスのカタログや価格表 ・外部向けの情報を記載したホワイトペーパー　など

著作権表示：「Copyright 事故事例に学ぶ情報セキュリティ対策の実際（2009年度） IPA」

分類の区分数や名称は企業によって若干異なりますが、3段階が広く採用されています。

機密情報が漏えいするとどうなるか

企業内の機密情報が万一漏えいした場合、どのようなリスクが生じるのか、実際に起きた事案を交えて説明します。

主な情報漏えい事案の例

2014年、海外でも広く報じられた事案として、教育サービス企業が保有していた2,000万人超の顧客情報が漏えいした件があります。派遣社員として勤務していた者による内部不正であることが判明し、刑事事件に発展しました。

また、2019年までにモバイルサービス企業に在籍していたエンジニアが、最新技術に関する機密情報を不正に持ち出し、翌2020年1月1日に競合企業へ転職していたという事件も起きました。前職企業が持ち出しを察知し、当該エンジニアは逮捕されています。

このほか、業務メール作成時にテンプレートを流用した際に、申込先のメールアドレスを更新し忘れたために、外部の第三者に申込情報が届いてしまうといった、担当者の単純なミスによる漏えい事案も発生しています。

リスク1：経営への直接的な打撃

漏えいの事実が明るみに出ると、取引先からの信頼を損ない、取引停止や顧客離れによる売上減少、企業ブランドの毀損へとつながります。特に大口取引先を失うケースでは、経営基盤そのものが揺らぐことになります。

リスク2：法的責任・損害賠償

情報漏えいの経緯や事件性次第では、法律による罰金・罰則が科せられます。顧客に損害が生じた場合は多額の賠償請求に発展するケースもあります。

機密情報が漏えい・流出する主な原因

機密情報の漏えいには、次のような要因が挙げられます。

• 現職従業員・関係者による誤操作や誤記などの人為ミス
• 社内の管理ルール不徹底
• 社員などによる内部不正
• サイバー攻撃など外部からの不正行為
• 退職者による意図的もしくは誤った持ち出し

以下は、「企業における営業秘密管理に関する実態調査 2024」に基づいて、2024年の機密情報漏えい事案における漏えい経路の割合をグラフ化したものです。

著作権表示：「Copyright 企業における営業秘密管理に関する実態調査 2024 調査実施報告書（2025年8月） 独立行政法人情報処理推進機構」

これらのほか、コンピューターウイルス感染や無差別な不正アクセスによる被害など、多様な経路で機密情報が流出するリスクがあります。サイバー攻撃や不正アクセスの手口は巧妙化を続けており、企業にとって機密情報は重要な財産であると同時に、その保護は事業継続の生命線でもあります。社内の情報やデータを多方面から守る取り組みが必要です。

企業が取り組むべき機密情報の管理方法

情報漏えいを防ぐために、企業はどのような対策を講じるべきでしょうか。セキュリティ対策と情報管理の主なポイントを解説します。

情報・データのセキュリティ強化

IDやパスワードによる認証・暗号化の導入、保管場所への入室制限など、情報にアクセスできる人員を限定するしくみを設けることが基本です。アクセス権限は職務や役割に応じて設定し、定期的に見直すことが重要です。

脆弱性対策

使用中のソフトウェアを常に最新バージョンへ更新し、すべての機密情報を非公開の場所に保管することで、脆弱性を突いたデータ流出を防ぎます。セキュリティソフトの導入も有効な手段です。

社員への教育・意識醸成

社内文書の持ち出しや複製禁止の周知、機密度レベルに応じた管理ルールの明確化などが効果的です。情報漏えい対策の手順や社内のセキュリティポリシーを文書化し、定期的な研修を通じて社員全体の意識を高めましょう。

安全な情報管理環境を整えるには

権限のない人が紙・電子データを問わず機密情報を閲覧できる状況を発見したら、速やかに対処が必要です。対策は大きく「物理的対策」「情報セキュリティ対策」「組織的対策」の3層で考えると整理しやすくなります。

物理的セキュリティ対策

1. アクセス制御

建物や重要エリアへの入退室はICカードや生体認証で管理します。来訪者の記録・監視を行い、エリアをセキュリティレベルに応じてゾーン分けすることも有効です。

2. 文書・媒体の管理

機密性の高い書類は施錠可能なキャビネットに保管し、不要になった文書はシュレッダーで処理します。USBメモリなどの外部記憶媒体の持ち込み・持ち出しには厳格な制限を設けましょう。

3. 作業環境の整備

クリアデスクポリシー（離席時に書類を片付けるルール）の実施、のぞき見防止フィルターの設置、プリンターやFAXの出力物の放置禁止などが基本となります。

情報セキュリティ対策

1. システムセキュリティ

強固なパスワード設定と多要素認証の導入でシステムへの不正アクセスを防ぎます。ユーザーごとにアクセス権限を設定し、操作ログの取得と定期監査を実施します。社内PCやモバイル端末の利用状況をクラウドで一元管理できるIT資産管理ツールを活用すると、ログ取得の手間を大幅に減らすことが可能です。

2. ネットワークセキュリティ

ファイアウォールの設置と通信の暗号化を行い、ネットワークをセグメントごとに分離します。不正アクセスを検知するシステムの導入も有効です。

3. データ保護

重要なデータは暗号化して保存し、定期的にバックアップを取ります。データの外部持ち出しを制御するDLP（データ損失防止）システムを導入し、不要になったデータは確実に消去する手順を定めます。

組織的対策

1. 規程・ルールの整備

情報セキュリティポリシーを策定し、日常業務での運用手順を文書化します。インシデント発生時の対応フローも事前に定めておくことが重要です。

2. 教育・啓発

全従業員を対象とした定期的なセキュリティ研修を実施し、実際のインシデント事例を共有して組織全体で学習する文化をつくります。

3. 監査・改善

定期的な内部監査に加え、必要に応じて外部の専門機関による監査も活用します。その結果をもとにセキュリティ対策を継続的に見直すことが欠かせません。

これらの対策を組み合わせ、組織の実情に合わせて実装することが重要です。また、新たな脅威や技術の進展に応じて、定期的に見直すことも必要です。

ALSOKでは、社内の情報資産を守るためのさまざまなサービスをご提供しています。

ALSOK IT資産管理

社内のパソコンなど各種端末に保存されている機密情報の持ち出しや漏えいを監視するサービスです。テレワーク時でも操作ログの取得が可能で、IT資産をクラウドから手軽に一元管理可能です。

まとめ