文書管理においては、目的（企業の場合はビジネスの目的）に基づいてルールを定め、さらに現場で運用を行います。そして、評価するタイミングをうまく使って振り返り、ルールを再検討したり、運用時に発生した問題を解決していきます。つまり、PDCAサイクルを回していくことになります。

文書管理のルールの構造は、このサイトでもよく説明しているように、文書管理規程を頂点とし、詳細のルールであるガイドライン、そして運用に即したマニュアルが位置します。
下記が文書管理ルールの構造となります。上の方向は抽象的であり下の方向は具体的なものとなっています。

文書管理規程は文書管理の中では憲法のような位置づけのルールです。抽象的で当たり前のことが書かれている印象を受けるかもしれませんが、その当たり前のルールが無いとそれ以下がぶれてしまいます。

ここでは、文書を守るという観点で秘密文書について文書管理規程でどうあらわされているか見ていきましょう。
通常、秘密文書に係る記述は以下のようにあらわされているのではないでしょうか。

「秘密情報を含む文書は、適正かつ厳重に管理し、取扱いについては・・・・」

「適正に」とか「厳重に」とかって、じゃあどうやってやるの？と、突っ込みを入れたくなりますね。その「どうやってやるの？」という、その具体的なルールは、ガイドラインやマニュアルをみてくださいということになります。
では、次からは秘密文書についての具体的なルールを見ていきましょう。となるので、取扱が異なる紙文書と電子文書に分けて説明します。

紙文書と電子文書では取扱いが異なるの、ここからは紙と電子を分けて説明いたします。

まずは、紙文書のセキュリティです。紙文書の場合は、物理的な対策を施すことが基本となります。

部門の誰もがアクセス権を持ち、部門外に対して制限を行うような文書の場合は、施錠可能なキャビネットに文書を格納し、必要な時に開錠して閲覧するという方法をとります。鍵は管理者や担当者が管理する、あるいは、キーボックスに入れてキーボックスのアクセスは暗証番号で管理します。

近頃は、リモートワークの比率も多くなっているため、部門内の人かどうかを見分ける人の目がありません。またオフィスも自由に場所を移動することができるフリーアドレスの構成が増えて来ていますので、施錠することとその鍵の管理は非常に重要となります。

先ほどの部門外制限の文書とは異なり、重大リスクに関係する文書は漏洩した場合は経済的・社会的影響が大きいため、かなり厳格な管理が必要とされます。

施錠だけに頼ることはなく、他の施策も施すことを検討します。

例えば、機密文書庫の施錠管理を生体認証にすることにより、アクセス権限を持たない人物のアクセスを制限することができます。また、それらと連動させて書庫の入退館をアクセス履歴として記録を残すことができます。このことによって、問題発生時のタイミングなどを推測することができます。

紙文書は物理的なものですので、それを格納するキャビネットや文書庫、あるいは人の目といったものがセキュリティ対策となりますが、電子文書に関しては、情報システム技術を使ったセキュリティ対策となります。

たくさんの有効な製品がありますが、どの製品を使用するにしても文書分類や文書毎のセキュリティに関する運用ルールを予め定めておく必要があります。

・セキュリティレベルの分類
これは、秘密の度合いがどの程度なのかを示す分類です。例えば、重要機密、機密、部外秘、社外秘、公開などで区分されている場合があります。

・職位などに応じたアクセス権の検討
その職位に応じてアクセス権を制限します。

これらをかけ合わせた表などがあるとよいと思います。

電子文書の場合は、ファイルやフォルダ毎にアクセス権限の設定やアクセス履歴を確認する監査、本人確認の認証などをセキュリティ対策として行うことができ、物理的な場所にとらわれず安全な環境を構築することができます。

ルールや運用の評価については、問題が発生していなくても、ルールは今のままでいいか、運用はきちんとできているかなど定期的に見直しましょう。

評価をするタイミングがないと改善へのきっかけが掴めません。

弊社ではコンサルタントによる監査をお勧めしています。
社内で行う場合は、監査を行う側受ける側の負担を減らす方法として他の監査とまとめて行うのも一つの手です。

文書管理の観点で確認するポイントを以下にあげてみますので参考にしてみてください。

・文書毎のセキュリティレベルは更新されているか。
・ルールは形骸化していないか。（目的が意識されているか）
・ルールは周知されているか。（ルール認知度を確認する）
・運用について意見があればどんな小さいことでもあげてもらう。