技術力を売りにする製造業、メーカーの経営者の皆様

特定分野のノウハウにはどこにも負けないという自負をお持ちのオンリーワン企業様

　　　　　　　　　　　“門外不出のノウハウ”が競合他社に漏れてしまう！！−その見えないリスク

　昨今、技術力が突出している企業から競合他社へのノウハウの漏洩が増加しています。記憶に新しいところでは、今年（２０１４年）３月に国内半導体大手メーカーの半導体のメモリー製造技術が転職した元社員を介在して韓国メーカーに漏洩してしまい、その元社員が不正競争防止法違反で逮捕されるという出来事がありました。

　この事件は世間一般に名の知れた大手企業で起こった出来事なので、『一流企業でしっかりと情報統制ができているはず。しかしノウハウが漏れてしまった』という点でショッキングな出来事ではなかったでしょうか。

　大企業ですら、開発に膨大な時間と巨額な費用をかけたノウハウやテクノロジーが簡単に漏れてしまうことがある。

　ともすれば、中小の製造業、メーカーやいわゆるオンリーワン企業は、“メシの種”である、自分たちのノウハウの外部漏洩に対して常に危険にさらされていると言っても過言ではないと思います。

　また、こういった情報漏えいは、製造業のノウハウだけに限定されません。昨今ニュース、新聞等で、顧客の個人情報を外部に漏洩させて、謝罪をしたり、損害賠償を支払う企業がなんと多いことか…。

　お客様の個人情報の漏洩対策は、製造業、メーカーだけではなく、小売り、卸売業などの商業等も含め、全ての企業に課せられた問題となってきています。

　このページでは、企業としての重要情報の管理の方法や、従業員に対して重要情報の取扱いに関しての意識のさせ方、啓蒙の仕方や、それを“業務情報の管理規程”という形で就業規則に落とし込んでいく手法をご紹介していきます。

　御社のノウハウやお客様の個人情報、危険にさらされていませんか？当事務所では大事な業務情報を就業規則で守る方策を提案しています。

　　　個人情報、業務情報保護キット付就業規則の紹介記事はこちらから

　　業務情報、顧客の個人情報の管理についてのご相談、ご依頼はこちらから

　　　　　　　　　　　　　　　　　　　　　　　　　　（以下のバナーをクリック下さい。）

業務情報の漏洩、流出は企業にどのようなマイナスのインパクトを与えるのか？

　こちらの記事では情報漏えいや流出に関して、具体的に企業がどのような負のインパクトを背負うことになるのかということについて解説を加えていきたいと思います。

　情報漏えいにのために、企業が背負うダメージは大きく３つに分類できます。　

　�@風評被害も含めた企業の信用の失墜のダメージ

　�A賠償等による金銭的なダメージ

　�B（流出したノウハウで）将来得られていたであろう利益（遺失利益）

　�@、�Aに関しては、主に顧客の個人情報の漏洩に関して、�Bに関しては主に企業の知的財産やノウハウの流出に関してということで見ていけば、イメージしやすいんじゃないかと思います。

　それぞれに関して見ていきたいと思います。

　�@（風評被害を含んだ）企業の信用失墜

　企業は取引先、お客様を含んだ、色々なステイクホールダー（関連先）とつながることで、その企業活動が成り立っています。お客様からは“あの会社は名が通っているから、商品も安心できる”とか“あのメーカーは品質保証体制がしっかりしているからあそこの商品は納入しても大丈夫だ”というプラスイメージや安心感を与えることで、売り上げや利益獲得につながります。

　そのプラスイメージや安心感は、“あの会社なら、自分の個人情報、つまり、氏名や住所、生年月日、メールアドレスやクレジットカードの番号を教えても大丈夫だろう”、“あそこの料亭、料理店なら、秘密に進めたい重要人物との会合や恋人、不倫相手と食事したとしても、絶対に外に漏れることはないだろう。”というその企業の商品への購買意欲の向上や、その企業と取引しても大丈夫だという信頼感につながります。

　それが一たび、個人情報や企業情報が外部に漏えいしたとなれば、今まで蓄積していた、お客様、一般の消費者、取引先を含んだステイクホルダーとの信頼関係が一気に崩れてしまいます。　

　つまり、お客様、取引先を含んだ利害関係者の全てがその企業に対して“不安”を抱くわけです。

　また、ネットの発達した現代においては、こういった企業の不祥事はＳＮＳや掲示板サイト経由で直ちに拡散してしまう傾向がありますし、もっと恐ろしいのは、それに乗じて、あることないことを拡散する連中も存在します。それが事実かデマかということが２の次となってしまい、情報だけが独り歩きしてしまいます。こういった“風評被害”も取引先、お客様を“不安”に拍車をかけてしまうことも十分にありえるのです。

　例え、こういった場合であっても、知名度のある大企業であれば、その“不安”を従来からある“ブランド力”が上回れば、痛い打撃であったとしても、会社の存続に影響するような致命的な打撃とまではならない可能性もあるでしょう。

　しかしながら、そもそも有名企業、大企業ほどのブランド力のない中小企業がお客様、取引先にこういった“不安”を抱かれてしまった場合はどうでしょうか？

　その会社との情報のやり取りに対して警戒心を持たれてしまうわけですから、情報のやり取りを前提とした、取引や商品の購入に対して、２の足を踏まれてしまいことは間違いありません。これが“顧客離れ”という痛手を招き、売上、利益が獲得することができなくなり、会社存続の重大な危機となるわけです。

　�A賠償等による、金銭的なダメージ

　一たび企業がお客様の個人情報を漏えいさせてしまったとすれば、どれくらいの金銭的なダメージを受けてしまうのでしょうか。以下のような支出が発生することがシュミレーションできます。

　　・外部調査会社への情報漏えい状況や原因の特定等の調査にかかる調査委託費用

　　・マスコミ対策のための広報、メディアコンサルタントに対する相談費用

　　・謝罪広告などの広告費用

　　・再発防止のための制度を構築するための構築費用

　　・情報漏えいをしてしまった相手方に対しての損害賠償費用

　　　　　　　　　　　　　　　　　　　　　　　といった損失が考えられます。

　損害賠償の費用としては、日本国内では一般的に個人情報漏洩についての賠償額が一人当たり５，０００円から５万円程度くらいの範囲が相当とされています。

　また、こういったことは、自社のお客様等の個人情報の漏洩に限定されるわけではありません。例えば、ある企業から技術提供を受けていたり、共同開発のパートナー企業であったり、取引先やパートナーから預かっている情報やノウハウを何らかの不注意で漏洩させてしまった場合の、金銭的な損失は自社の情報漏洩の場合の金額の比にならないくらいに相当すると考えられます。

　もし、中小企業が取引先やパートナー企業から預かっているノウハウを流出してしまったら…。莫大な金額の損害賠償のその先に待っているものは…“倒産”といっても過言ではありません。

　�B流出したノウハウで本来得られていたであろう利益（遺失利益）

　これは、何らかの先進的なテクノロジーやノウハウを持っていたり、ある分野でシェアを独占的に持っているオンリーワン企業さんが、何らかの情報流出の予防対策を講じなければ、こういった被害を被ってしまうということになってしまします。

　企業は、そのテクノロジーの開発にＲ＆Ｄ（研究開発）などのセクションを設け、優秀な人材の投入や金銭的投資をし、じっくり時間をかけて先進技術を開発します。その手塩にかけて開発を重ねたテクノロジーやノウハウが、ようやく商品化して市場に投入するとなった際に、そのテクノロジー、ノウハウがライバル会社に流出してしまったらどうなるでしょうか？

　本当ならば、その企業のその商品で将来市場を独占できたであろう売り上げや利益を損失してしまい、研究や開発にかけた莫大なコストがまったく回収できなくなってしまいます。

　これは、特定分野に特化している、オンリーワン企業にもいえることです。売上、利益の柱であり、いわばその企業の“メシの種”である要の商品のノウハウの流出…。それはその企業にとっての“命”の流出になってしまうのです。

　いういった企業を存続する上での大きなリスクを考えると、　今のノウハウや管理の状況がずさんであれば、今後、自覚や危機感を持って情報流出や漏洩対策をしっかりとやっていかなければ、企業の存亡にかかわることにもなりかねません。

　　　　　御社の大事な業務情報の漏洩対策、就業規則で行いませんか？

　　　経営戦略型就業規則（個人情報保護キット付）の紹介記事はこちらから

情報漏洩はなぜ起こるのか？その原因を考える。

　　　　これを潰せば、情報漏洩の可能性は飛躍的に回避できます！！

　企業が業務情報を漏えいした場合、どのようなリスクがあるかということは、１つ前の記事にて解説を致しました。

　では、どうして、そもそも“情報漏洩”が起こってしまうのかということを考察していきたいと思います。

　情報漏洩の原因としては以下の３つが考えられます。

　　�@人的な原因（いわゆる人災）

　　�A管理体制の要因

　　�B技術的な要因

　それぞれについて見ていきたいと思います。

　�@人的な原因（人災）

　　ここでは人が介在することによって、大事な機密情報が洩れてしまうリスクを指します。

　　人的な要因のケースは２パターン考えられるのですが、社内の人間が原因となるケースと産業スパイなとも含んだ社外の人間が違法に社内情報にアクセスして盗んでいくケースとが考えられます。

　ここでは、従業員の過失、不注意による情報漏洩や、退職した元従業員が介在する情報流出に限定して考えていきたいと思います。

　外部の人間が介在するケースは同じ“人災”であったとしても、外部からのサイバーアクセスに対して会社のシステムが整備されていなかったり等の技術的な原因も含まれますが、ここでは、�@には含まないこととします。

　人的な原因の例）

　　・持ち帰り残業を自宅のパソコンで行った際に、Ｗｉｎｎｙその他ファイル共有ソフトを使用時に、従業員が気づかないまま、企業秘密や個人情報が含まれたデータがインターネット上に流出してしまう。

　　・不注意によるメール、ＦＡＸ，郵便物の誤送信

　　・従業員による、業務における情報やお客様に関する情報の、軽い気持ちでのインターネット上への情報公開（個人ブログ、ＳＮＳ、２ちゃんえる等の掲示板サイトect.）

　　・従業員の不注意による、業務情報、顧客の個人情報が入った媒体（ノートパソンやＵＳＢメモリ）の紛失、盗難

　　・同業他社への転職や同業界への起業を前提にした、退職予定者からの業務情報や顧客情報の持ち出し。

　　　　　　　　　　　　　　　　　大体こういったことが挙げられます。

　対策としては個々の従業員の個々の意識づけ、教育、啓蒙ということになってくるでしょう。

　�A社内のずさんな管理体制が要因の場合

　　従業員個々の不注意というよりも、社内の管理体制の問題です。社内、社外含め誰でも、企業の機密情報や個人情報ににアクセスできる環境が問題といえます。中小企業さん等はこういった情報の交通整理が他の業務に忙殺されてできていないことが多く、情報漏洩が発生するということが、ままあります。

　　ずさんな情報管理体制の例

　　　　・社内共用のサーバーにパスワードが設定されていない。　

　　　　・企業秘密や個人情報が入った紙が無造作に机や外部の人間も入る可能性があるような共有スペース無造作に置いている。

　　　　・企業秘密の入ったロッカーや机が施錠されずに誰でもアクセスできるようになっている。

　　　　・ノートＰＣやＵＳＢメモリに格納された情報が制限なく、社員が社外に持ち出すことができる

　　　　・持ち出された情報に関して会社がきちんと把握できる体制を作っていない。

　　　各企業、事業所ごとで上記のようなずさんなところがないか確認し、改善すべきところは改善していきましょう。

　　�B技術的な要因

　　技術的な要因で業務情報や個人情報が漏えいするケースとしては、コンピューターやプログラミングのスキルのあるハッカーや産業スパイが故意に、会社内のサーバーなどに不正アクセスをし、情報を吸い上げていくということが考えられます。こういったことになってくると、もはや、社員を教育、啓蒙したり、就業規則等で情報の扱い方に対するルールを設けるといった方法だけで対処できない話となってきます。

　ハッカーの不正アクセスに関しては、会社側もサーバーなどのセキュリティーを技術的に強化して対応を図る等の措置が必要となるでしょう。

　会社内のサーバーが外部からアクセスできるというのであれば、対策として考えられるのは、ファイアウォールの設置であるとか、機密情報、個人情報そのものを外部からアクセスできないパソコンやサーバー上に移し替えるということも方法の一つでしょう。

　こうやって見ていくと、�B技術的な要因はハッカー等の犯罪対策まで考えなければならないので、コンピュータセキュリティの専門のコンサルタント等に依頼しないとなかなか対策は立てにくいところはあるのですが、�@人的な要因、および�A管理体制的な要因に関しては、就業規則で業務情報の取り扱いのルールを定め、しっかりとそのルールを根付かせることにより対策を講じることは可能です。

　つまらない人的ミスやずさんな管理体制から情報漏洩を防ぐことは可能です。

　できるところからはじめていきませんか？

　当事務所では、情報漏洩防止に特化した就業規則を企業さんに提案させて頂いています。

　　　　業務情報（個人情報）保護キット付就業規則のご紹介記事はこちらから

　　企業ノウハウ（メシのタネ）や個人情報の漏洩対策のご相談はこちらから

機密情報の漏洩防止策を就業規則に落とし込んでいく方法

　　　　　　　　　　　ー情報の取扱い手順をマニュアル化し、リスクを最小限に！！

　これまでの記事では、企業がお客様への個人情報を含んだ、業務上の機密情報を外部に漏洩させることがどれくらい会社にとってマイナスになるのか、また“なぜ漏洩が起こってしまうのか”という原因についてレクチャーして参りました。

　ここでは、そういったことを踏まえて、“だったらどのように対策しいけばよいのか！！”という点のフォーカスしていきます。

　当事務所の見解では就業規則を強化することで効果的な漏洩防止対策は可能と考えます。

　まず、就業規則の本則の中に組み込んでもよいし、別規程として独立させてもよいので、社内の機密情報や個人情報の取扱いについてのルールを定めた“業務情報管理”についての項目を設け、従業員に周知し、業務へのマニュアル化を徹底を計ります。

　もし、就業規則の本則そのものの中に組み込むのであれば、“第〇章　業務情報安全管理”として一つの独立した章立てとすべきでしょうし、別規程として独立されるのであれば、“業務情報管理安全規程”と名目の別冊を作成することになるでしょう。

　＊ちなみに当事務所が提供している“個人情報保護キット付経営戦略型就業規則”では“業務情報安全管理規程”という独立した別規程を作成、納入させて頂いております。

　次に“業務情報安全管理規程”にどのようなことを定めていくかということですが、まずは、この規定でいうところの業務情報、機密情報を定義付けるところから始めていきます。この規定で管理されるべき業務情報とはどういったものが入ってくるのか、というところです。

　これは、業種や会社の個々の考え方で変わってくると思います。メーカーや製造業のような特殊なノウハウやオンリーワンの技術を持った会社であれば、工程管理等を含めたその辺りのノウハウ部分なども入ってくるでしょう。だた、どんな業種であっても顧客、取引先を含んだステークホールダーの個人情報はその管理下に置かなければならないということは、必然的にご理解いただけるのではないでしょうか。

　“機密情報”として会社の管理下に置かなければならない情報の定義付けが終われば、次はそういった情報の外部漏洩対策をどうやって行うのかということを考えていかなければなりません。

　先の記事で見たように、情報漏洩の原因は“人的な要因（いわゆる人災）”“管理体制の要因”“技術的な要因”の３パターンです。

　このうち、ハッカーからの不正侵入を想定した“技術的な要因”に関しては、いくら自社の従業員の意識づけをきちんとしても、完璧な対策は難しいことは先の記事に述べたとおりです。

　よって、ここでは前の２者、つまり“人（人災）”と“管理体制”が起点となる漏洩原因を徹底的に潰していくという感覚で対策方法をレクチャーしていきます。

　人経由（人災）での情報漏洩原因を潰す

　　　・入社時や退職時には機密情報の扱いについての誓約書は必ず取る。また、それを義務付ける条文を就業規則（業務情報安全管理規程）に記載しておき、誓約書を提出しないものについては、懲戒の対象とするように、就業規則の懲戒部分も見直す。

　　　・個人でのブログやＳＮＳ等に関して仕事上の情報を掲載することの規制（程度については各々の企業の判断基準による）

　　　・２ちゃんねる等掲示板サイトへの業務上知りえたことの書き込みの制限

　　　・ＦＡＸ送信や郵送物の送付の際のダブルチェック体制のマニュアル化

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　ect.

　　ずさんな管理体制に起因する情報漏洩の原因をつぶす

　　・社内のオープンエリアとセキュリティエリアの区分けの徹底

　　・社内用パソコン等の機密情報格納物の持ち出しの際のルールの制定

　　・従業員私有の記録媒体や情報機器の社内使用での制限

　　・従業員の離席や退社の場合の机の整理整頓の徹底や機密情報を含んだ重要書類の格納・施錠の徹底。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　etc.

　こういったことを就業規則（業務情報安全管理規程）に記載して業務ルーチンとして徹底的に落とし込んでゆくというやり方を行いまた、これができていないことに対することに処罰ができるように、懲戒項目も整理していきます。

　また、就業規則（業務情報安全管理規程）に落とし込むことにプラスして、従業員に対しては、情報漏洩が会社に対して莫大な損失を発生されるということの意識づけを常日頃から持ってもらえるような、経営者のメッセージが伝わるような箇条書きしたメモ（例えば、“大事な情報の扱いの心得１０箇条”）のようなもの掲示するか、書く従業員に配布する。

　　　　　　ex)　大事な情報の扱いの心得１０箇条

　　　　　　　　　　第１条　“情報”は私たちのお給料を創出していることを忘れるな！！

　　　　　　　　　　第２条　個人情報１０件は５０万円の現金に値する

　　　　　　　　　　第３条　　　・・・・・・・・・・・・・・・・・・・・・・・・・・・

　　　　　　　　　　　　　　　　（以下省略）

　　同時に“禁止行動リスト（またはするべきリスト）”なんかも掲示または配布し、情報の扱いに対しての簡単な指針を示すこともしておいた方がよいでしょう。

　こういった対応は就業規則（業務情報安全管理規程）の内容が詳細に踏み込みすぎて深堀になってしまった場合に、従業員に簡素化したメモ等を閲覧することでベーシックなことだけに立ち返ってもらう意味もあります。

　また、会社からこういったものを配布、掲示すだけではなく、各人の業務に従って、“やってはいけない行動リスト”等を自分たちで考えて提出してもらうということも、従業煮に対しての情報の重要性の啓蒙となり有益だと思われます。

　以上のように、“就業規則（情報安全管理規程）での業務での落とし込み、マニュアル化”と“従業員に対する教育、啓蒙”の２本柱で、情報漏洩の対策を行えば、会社の命、メシの種をライバル企業に奪われるたり、大事なお客様の個人情報が流出したりするリスクは圧倒的に低下するでしょう。

　当事務所では、業務情報の漏洩対策を含んだ様々な形態の就業規則のコンサルティングを企業様にさせて頂いております。

　　　当事務所が誇る、様々なリクエストにお応えする就業規則作成サービスのページはこちら

　　企業様の“メシのタネ”、ノウハウの競合他社への漏洩、流出の防止対策を講じさせて頂きます。

　　　　　　お問い合わせ、ご相談はこちらから