機密情報の格付け、見直ししてますか？

会社で取り扱う情報は個人情報など機密情報に当たるものが多いですよね。そうしたものを管理、活用する際にはそれぞれのセキュリティランクを設定したうえで権限に合わせて閲覧範囲を決めるといった事が一般的ですが、プライバシーポリシーなどは法律や社会情勢の変化で段々変わるものです。そこで、適宜見直しをしているのかアンケートで聞いてみました。

【質問】
あなたの会社で機密情報に関する、社内規程や機密情報の格付けの基準について定期的に見直しを行っていますか？

【回答数】
定期的に見直しを行う仕組みがある：30
必要性が生じた時に見直しを行っている：29
見直しを行っていない：18
わからない：23

サイクルとして見直しを出来るように

1位は【定期的に見直しを行う仕組みがある】というものでした。

・リスク管理規程で見直しが義務付けられており、定期的な棚卸を行っている。(40代/男性/会社員)
・エンロン事件以来、定期的に監査等を行うようになってきている。(50代/男性/会社員)
・定期的に見直しが行われているため、そのたびにeラーニングや講習会などが開かれています。(30代/女性/会社員)

大きな情報漏洩事件などはこうした取り組みにはやはり影響があると考えられますね。定期的な見直しを組み込むことで、セキュリティチェックを再度行ったり、リテラシーの徹底といった効果もあるようです。一定期間ごとの監査や講習を行うことで、変更にも対応しやすいですし社員の入れ替わりなどがある時にも柔軟な対応を期待することが出来そうです。

会社によって頻度はまちまちという所も

2位以下は【必要性が生じた時に見直しを行っている】【わからない】【見直しを行っていない】と続きます。

・かなり頻繁に更新をされていて、正直うざいくらいである。が、このくらい意識が高くないと今の時代まずいのかも。(30代/女性/会社員)
・今の会社に入社して三年目で、職場内容も現場作業なので、詳しい内容はわからない。(40代/男性/会社員)
・個人事務所なので、個人情報や機密情報の取り扱いが大変粗雑です。顧客情報も机に放置、重要情報の外部メール送信時もパスワードの設定等行っていません。金融会社から転職してきたので大変カルチャーショックです。(30代/女性/契約派遣社員)

定期的ではなく随時見直しをしているというケースもあり、この場合には定期よりも頻度が高くなっているようですね。情報の取り扱いなどがあまりない部署では機密の扱いが分からない事もあるようで、この場合には接触すらないという意味で制限が適正にかかっているとも考えられそうです。個人事務所や金融関係など会社の内容によっても情報取り扱いは大きく落差があるという事が考えられますね。

円滑な情報取扱いのためにも見直しを

社内規程で機密情報の格付け基準の見直しを行うようにすることは煩雑な操作をするというだけではなく蓄積し続ける情報の整理にもつながると考えることができます。情報保護と同時にそれらの処理なども行っていくことで、保管するべき範囲を調整してサーバー負荷や倉庫でのファイル保管の物理的な分量を調整できますよね。会社の信頼性を維持するためにも役立つ工程と考えることも出来るので、全体の意識を徹底させておくことは有意義であると言えるでしょう。

■調査地域：全国
■調査対象：【職業】会社員 会社役員 公務員 契約派遣社員
■有効回答数：100サンプル

あなたの会社で機密情報に関する、社内規程や機密情報の格付けの基準について定期的に見直しを行っていますか？

【「定期的に見直しを行う仕組みがある」と回答した人の声】
・実際のその件について考えているうちに、定期的な見直しは必要だなと強く思いました。(30代/男性/会社員)
・定期的に見直しが行われているため、そのたびにeラーニングや講習会などが開かれています。(30代/女性/会社員)
・定期的に見直しを行う仕組みがあります、だんだんなぁなぁになりますから(30代/男性/会社員)
・研修チームがあるので、さまざまなものについて日々見直しながら内容を精査している(30代/女性/契約派遣社員)
・社内規定であれば、有効期限があるのでそこに達すれば見直しを行う。機密情報やそれ以外の社内規定も扱いは同じ。(60代/男性/契約派遣社員)
・プライバシーポリシーを取得して必ず定期的に見直しををしています。(30代/男性/会社員)
・何か問題があり規約に触れない場合には必要に応じて見直しを実施しています。コンプライアンス委員会で論議し最終的に決定していく仕組みを構築しています。役員会とは別な組織で運営しています。(50代/男性/会社員)
・年に一度定期的に見直しがなされている。また、期中のインシデントや世間のニュースをキッカケに臨時措置が行われ、翌年度の見直しに編入される。(40代/男性/会社員)
・会社で実施していることなので、選択肢を選んだ理由というのは回答できない。(40代/男性/会社員)
・多くのアルバイトが働いており、個人情報についての規則や罰則が設けられている。(40代/男性/契約派遣社員)
・社内通達などで、規定の変更や情報の重要性についての説明がある。(40代/女性/会社員)
・情勢は日々変化するので、定期的に見直す仕組みを持っている。必要性が生じた場合では遅くなる場合がある。(50代/男性/公務員)
・代理店契約をしているので親会社から定期的に見直しの依頼が来ます。(50代/女性/会社員)
・コンプライアンスを重視している会社なので、そういったことは定期的に行っています。(20代/女性/契約派遣社員)
・定期的に見直しを行わないと、機密情報にきをくばらなくなるから(30代/男性/会社員)
・ISO審査の前に全社的に見直すようにしています。普段はなかなか日常に追われてチェックに力が入っていません。ISO審査はそういう意味でよいと思います。(40代/女性/会社員)
・機密書類の定期的処分や、サーバーの定期的メンテナンスを実施しています。(40代/男性/会社員)
・やはり　会社の機密情報は　定期的に　見直しをしていかないと駄目だと思う。(50代/男性/会社員)
・顧客情報や外部記録媒体などの適正管理ができているかなどの監査が年に2回入ります。私たちの研修も年に2回程あります。(30代/女性/契約派遣社員)
・セキュリティー委員会が組織されていて年に１度各部署が保持している規定の棚卸しをするよう指示されている。(50代/男性/会社員)
・マニュアルを定め定期的に見直す期間を示して行い管理しています。(30代/男性/会社員)
・定期的に見直しが行われており、内容が陳腐化しないよう工夫がなされています。(50代/男性/会社員)
・エンロン事件以来、定期的に監査等を行うようになってきている。(50代/男性/会社員)
・定期的に見直しています。これ以外でも、見直しするようなルールがあり、主管区が見直し、発行している。(40代/女性/会社員)
・定期的に見直しを行うことで、情報の管理が確実になるからです。(30代/男性/会社員)
・リスク管理規程で見直しが義務付けられており、定期的な棚卸を行っている。(40代/男性/会社員)
・大事な個人情報を預かるので、定期的に見直しを行い、機密漏えいなどが内容にしている。(50代/女性/会社員)
・PCのパスワードの定期的な変更や、プログラムの定期的なアップデートがあるため。(20代/女性/契約派遣社員)
・月に一回見直しを行い，コンプライアンス統括部に送られメールや朝礼などで通知される。(50代/男性/契約派遣社員)
・情報のレベル分けについてやアクセスできる社員（人事異動があった場合その都度）の見直しが年に一度行われているから。(40代/女性/会社員)

【「必要性が生じた時に見直しを行っている」と回答した人の声】
・実際にそういった事例が発生したときや、ニュースで報道されたときなどに見直しを行っている。(30代/女性/会社員)
・基準自体の見直しは何か問題が起きない限りは行われないし、それが徹底されるのも何かが起きた時。(30代/男性/会社員)
・何かあったとき、その対処をするように見直しや変更をする場合があります。(20代/女性/契約派遣社員)
・営業所内では保管フォルダを決めて定期的に情報の移動を定期的に行っているが、あくまで自主的に行っていることだから。(30代/男性/会社員)
・たしか最後に改定したのが10年以上前だったような気がします。(20代/男性/会社員)
・同業他社で事故が発生した場合などには、それに従って自社のセキュリティー体制も見直されます。(40代/男性/会社員)
・何か問題がおきない限り、見直しを行うことが人員の現状での状況からすると致し方ない。(40代/男性/会社員)
・取引先の機密情報取り扱いのレベルに応じて、対応するようにしている。(40代/男性/会社員)
・特に顧客に関することは、1週間以内には周知出来るよう、業務統括責任者からメールや口頭で説明がある。クレームや顧客の要望については優先的に実施している。又、イレギュラーで、社員全員にアンケート調査を行い、困ったことや、良いアイディアがあれば取り入れるようにしている。(40代/女性/会社員)
・気になったときに見直しされているはずなんですが、効果はないですね。(40代/女性/会社員)
・かなり頻繁に更新をされていて、正直うざいくらいである。が、このくらい意識が高くないと今の時代まずいのかも。(30代/女性/会社員)
・自分がかかわったことはないが、会議等で行っていると思われる。(20代/女性/会社員)
・国からの通達などがあった際には、対応できるように見直しをしています。(30代/男性/会社員)
・それほど頻繁には行わないです。ニュースなんかになると見直しする？と騒ぐことはありますが。(30代/男性/会社員)
・不定期だが、見直しが入り、変更点などを明記した書類が、社内全体に通達されている。回数は結構頻繁。(40代/男性/会社員)
・それぞれが仕事に忙殺されている中で、処分すべき書類がある程度たまったら、その処分の方法を決定する過程で行われることが多い。(20代/男性/会社員)
・行われているが、たんとうしているわけではないので頻度等は不明(20代/男性/会社員)
・取引先から指摘された場合は、情報規定を扱う社内委員会で検討して規定の変更を行っている。(20代/男性/会社員)
・社内規定は必要に応じて改訂がなされているが、機密事項の格付けは明確な物がない。単に第三者に知られてはいけない事項となっているだけである。(60代/男性/契約派遣社員)
・他社がニュースで取り上げられたりした際は自社の見直しが行われます。(40代/女性/契約派遣社員)
・社内規程や機密情報の格付けの基準について、情報漏洩などのニュースがあると定期的に見直しを行っていますね。(30代/男性/会社員)
・何かあれば見直しをすると思うが、定期的に見直しているとは聞いたことがない。(20代/男性/会社員)
・何か問題が発生した場合には、必要性を感じて、見直しを行っています。(30代/男性/会社員)
・特に定期的には行っていません。問題が起きたら、その都度話し合うという状況です。(30代/女性/会社員)
・相当前に厳密に規定化したものがあるので、定期的見直しの考えはないが、状況により且つ必要性が生じた場合は所管部署で見直しを行うこととしている。(50代/男性/会社員)
・そこまで規模の大きな会社ではありませんので、人員の変更などがあった場合のみ見直しております。(20代/男性/会社員)
・ミーティングの際、社内での問題提起をする時間枠があり、仕事中に起こったトラブルや問題について、修正・解決案をその都度話し合います。(40代/女性/会社員)
・会社ではなく地方自治体であるが、情報公開に関して、法律又は条例が必要に応じて不定期に改正されることはある。(50代/男性/公務員)
・小さな会社で、機密情報の格付け自体がないようなもので、機密情報かそうでないかを必要に応じて行っています。(40代/男性/会社役員)

【「見直しを行っていない」と回答した人の声】
・会社の規模も小さく、業種的にそこまで機密情報というものもないので、基本的に社長が管理している。(20代/女性/会社員)
・見直しは行っていません。その都度機密情報が増えていく一方です。(20代/女性/会社員)
・ゆるい会社なので見直しどころか規定が無いので見直しようが無いんです。(40代/男性/会社員)
・それほどきちんとしていないので、形式だけは整えたものの、見直すというようなレベルに至っていない。(40代/男性/会社役員)
・もうちょっと見直したほうがいいんじゃないのかなあとは思うんですが。(40代/女性/会社員)
・入社時に軽く説明がある位で、あとは個々の判断、ということが多いが、見積書などの仕入価格が入っている用紙や、見積書の失敗した物は基本的にはすぐに破棄することになっている。(30代/女性/会社員)
・あまりそのようなことを扱う部署が明確ではないから見直す機会がないと思う。(50代/女性/契約派遣社員)
・定期的な見直しは実施されていない。都度都度気づいたら行動するような感じ。外部に定期的にチェックしてもらう必要がある。(30代/女性/会社員)
・見直しが行われたことすらありません。定期的に行ったほうがよいと思うのですが、、。(20代/男性/会社員)
・個人事務所なので、個人情報や機密情報の取り扱いが大変粗雑です。顧客情報も机に放置、重要情報の外部メール送信時もパスワードの設定等行っていません。金融会社から転職してきたので大変カルチャーショックです。(30代/女性/契約派遣社員)
・特に必要性を感じていないので、見直しを行った機会はありません。(20代/女性/契約派遣社員)
・定期的な見直しはなく、問題が起こる前に徹底はしていますが、実際に情報漏洩が起こった時にどうするのか分かりません。(30代/男性/公務員)
・自分が入社して、初めて聞いた社内規定から変更がされていないため。(30代/女性/契約派遣社員)
・どちらかというとほかのことに気を使っていることが多いので、情報漏洩で多大な損害が出た事件がない限りない。(30代/男性/会社員)
・最近になってやっと個人情報に対して持ち出しを禁止しただけで、それまでは緩かった。(50代/男性/契約派遣社員)
・設立から13年になるが、3年前のシステム変更時に見直しをおこなったが、毎年の見直しなどはおこなっていない。(30代/男性/会社員)
・行うべきだとは思いますが、多分見直しは出来ていないと思います。(30代/女性/会社員)
・機密情報のみならず、あらゆる情報管理に関するルール付は全くなく、個人の判断に委ねられている。(30代/女性/会社員)

【「わからない」と回答した人の声】
・なんとなくそういう話は聞くが、部署、役職が違うため具体的にはわからない。(30代/男性/公務員)
・機密情報に関する社内規定の存在自体があるかどうかわからないから。(30代/女性/契約派遣社員)
・もしかしたらやっているのかもしれないが、自分が携わる仕事の範囲内では聞いたことがない。(40代/女性/会社員)
・どれが機密情報化はわかりますが、社内規定や見直しを行っているかはわかりません。(20代/男性/会社員)
・入社したばかりな為、質問についてのことはわからないです。定期的かは不明ですが、見直しはしていると思います。(20代/女性/契約派遣社員)
・たまに通達がくるので見直しをおこなっているとは思いますが自分ではわからないです(30代/男性/会社員)
・１回勉強会形式で教育はありましたが、その後見直しや通達等はありません。(40代/男性/会社員)
・そういうところには関わっていないですし特に通達がないので分からないです(30代/女性/会社員)
・会社内では下っ端に位置しており、機密情報については全く通知されていない為。(20代/男性/会社員)
・年数回しかおこなっていなようだ。くわしいことは自分でもわからないです。(40代/男性/会社員)
・定期的に情報保護研修、コンプライアンス研修が実施されているが、定期的に見直しが行われているかはわからない。(30代/女性/契約派遣社員)
・頻繁に機密情報に触れる立場ではないため見直しをしているか不明です。(30代/女性/公務員)
・そのようなことがあるのか自体がわからないので何とも言えないです。(30代/男性/会社員)
・自分は配送の仕事だから、事務所にいることはほとんどないし、定期的にしているかもどうかも分からない(30代/女性/契約派遣社員)
・上層部ではそういった取り組みがあるのかもしれませんが、従業員にはあまりありません(20代/女性/契約派遣社員)
・まだ機密情報の詳しいところまで踏み込む権限を持っていないです。(40代/男性/会社員)
・会社で機密情報に関する、社内規程や機密情報の格付けの基準について定期的に見直しを行っているかわからないのでそれを選びました。(30代/男性/会社員)
・担当部署が見直しと行っているだろうとは思いますが、それが反映されたことはいままで一度もないからです。(20代/女性/会社員)
・　わかりません。機密情報にかかわる部署ではたらいていませんので(40代/男性/会社員)
・定期的にやっているのかさえも全くわかりません。そこまで秘密にしているみたいです。(30代/女性/契約派遣社員)
・そういったことを知る立場にないのでわかりませんが、今まで情報に関して問題がおきれば見直すような感じだったと思います(30代/女性/会社員)
・上の人間で行っているのかもしれないが、自分自身で見直しなどはしていない(20代/女性/会社員)
・今の会社に入社して三年目で、職場内容も現場作業なので、詳しい内容はわからない。(40代/男性/会社員)