深情報セキュリティ美学

自社機密情報とは、自社が著作権を持っているような、自らの情報である。たとえば、製品の設計図や、コストの原価表、営業戦略の内容などで非公開としているものなどである。
預かり機密情報とは、自社ではない誰か、たとえば、お客様や取引先から秘密保持契約などを締結して預かっている情報である。

どちらも、機密として扱わなければならないが、いろいろな面でこれら２つは異なる。

コントロール権

自社機密情報は、どの程度の機密度合いかは、自社で決めてよいものである。
機密度合いを会社の都合で途中で変更することもできる。
たとえば、製品の設計図が極秘だとしても、その設計図を高額で買いたいという取引先が現れれば、その会社にそれを売るということもあるし、同様の要求が多ければ、そもそも機密をやめてその内容を商品にしてしまうこともできる。
つまり、自社のビジネスの要求によって、その機密性は自社でコントロールすることができる。

その点において、預かり機密情報は、その情報の持ち主が指定したとおりの機密度合いを守りぬかなければならない。
その情報をいくら高く買いたいという人が現れても、それらを勝手に売ることはできないのは当然である。
自社のビジネスの都合では、最初に指定された保護策を持ち主の了解もなく変えることはできない。
自社にコントロール権はなく、預け主にコントロール権がある。

推察可能性

会社の外からこれら２つを考えるのもおもしろい。

自社機密情報については、どんなものをその会社が持っているのかは、概ね察しがつく。
ものによっては、社内のどの部署にそれがあるかも想像ができる。

それに対して、預かり機密情報は、どんなものを持っているのかが、外からではわかりにくい。
業種、業態などにより、その取引先がわかっている場合には、少しは想像することができることもある。

人への依存性

企業にとって、自社機密情報と預かり機密情報は、どちらも漏洩などがないように管理しなければならない。
それらへの保護策はどちらも共通のルールが設けられるだろう。
ただ、自社機密情報に比べると、預かり機密情報は、それを知る必要性のある人達に管理が任されることも多いと思われる。
逆に、預かり機密情報は、特定の秘密保持契約などで預かっているわけであるから、もともと関係者は少ない。
さらに、そのような預かり機密情報の存在自体を、関係者以外に教える必要もない。
存在自体を秘密にしておいた方が安全かもしれない。
また、何らかの業務の必要で預かっているわけであるから、その業務に適した保護策にした方がよいので、その管理がそれを取り扱う関係者に委ねられるのは自然なこととも言える。

情報漏洩の動機

機密情報の狙われやすさについても考えてみる。
それは、盗む動機を考えるということになる。

自社機密情報は、意外と本当は秘密ではなかったりする。
単に、よそ様に見られると恥ずかしいので機密にしよう。ということはよくあることだ。
もちろん、製造業などの設計図面など、それが漏れるとビジネスに被害が出るような本当の秘密もある。
そういう場合も、その設計図面が競合の会社に見られたら、模倣品を作られたりして初めてビジネスの被害になる。
そのとき、競合会社がそれを直接盗みにくるということは考えにくい。
誰か悪い人が情報を盗み出して、買いそうな企業を探して、売りつけるという構図が思い浮かぶ。
そういう場合に、その情報は狙われることになるのだろう。
悪い人とは、社内で悪いことを思いついた人であるかもしれないし、社外の悪い稼業の人かもしれない。あるいは、社外の悪い稼業の人に誘惑されて社内の人が共謀するかもしれない。

預かり機密情報についてはどうだろうか。
そもそも、外からは、その存在そのものについての推察可能性が低いため、狙われて盗まれるということは低いかもしれない。
狙われるとすると、その情報の持ち主が狙われていて、それを預かっていることが何らかの理由で知られたときに、持ち主から盗むのではなくて、預かっている企業から盗もうとするかもしれない。
内部の関係者はどうだろうか。かれらは、当事者であるのでその存在を知っている。その情報が価値あるものだとも知っている。
しかし、関係者の人数が少なければ、情報の漏洩が発生した場合に、疑われやすい立場にいるので、そうしょっちゅうそのような漏洩には至らないのかもしれない。

自社機密情報、預かり機密情報とも、その情報を対価を得て入手したいと思う相手は限られている。
一般の誰にでも売りつけやすいものではなさそうだ。
仮に、外部の悪い人が、多くの情報にアクセスできる状態になったとしても、その中でどれが売れそうな機密情報かを見分けることも大変そうである。

そんなことから、関係者による漏洩の方が多く発生するのだろう。
ただ、漏洩の流れ全体を見れば、外部の悪い人に入れ知恵されて、悪い行為になるのだろう。

外部の悪い人が悪いことを考えて、内部の者に実際の悪いことをさせる。という組み合わせなのだろう。

これまで、預かり機密情報に対する企業の対策は、いささか具体性を欠いていたり、明確ではなかったりしたかもしれない。
だからといって、頻繁に問題が起きているということもなさそうである。
おそらく、以下の点で、狙われにくいものだったようにも思う。
・何を持ってるかわかりにくい
・情報を見つけ出しにくい
・関係者が限られている

しかし、逆に言うと、上記のような狙われにくい条件に該当しない、預かり情報があったとしたら、いままでのようなことでは済まされなくなることが予想される。

結論は特にないまま、今回は、これでおしまい。
とりあえず、考えてみただけなので。。