文書管理とセキュリティ ルール・運用・評価の視点から

2022-6-10
みなさまの会社では機密文書は問題なく保管運用されているでしょうか。今回は文書管理とセキュリティについて、ルール、運用、そしてそれらが問題なくできているかの評価について、秘密文書の管理を題材に順を追って見ていきます。

文書管理のルール・運用・評価の関係性

■ルール、運用、評価で常に確認し改善できるPDCAサイクルを!

文書管理においては、目的(企業の場合はビジネスの目的)に基づいてルールを定め、さらに現場で運用を行います。そして、評価するタイミングをうまく使って振り返り、ルールを再検討したり、運用時に発生した問題を解決していきます。つまり、PDCAサイクルを回していくことになります。

■ルールの決め方

文書管理のルールの構造は、このサイトでもよく説明しているように、文書管理規程を頂点とし、詳細のルールであるガイドライン、そして運用に即したマニュアルが位置します。
下記が文書管理ルールの構造となります。上の方向は抽象的であり下の方向は具体的なものとなっています。

文書管理ルールの構成

■文書管理規程での機密文書のルール

文書管理規程は文書管理の中では憲法のような位置づけのルールです。抽象的で当たり前のことが書かれている印象を受けるかもしれませんが、その当たり前のルールが無いとそれ以下がぶれてしまいます。

ここでは、文書を守るという観点で秘密文書について文書管理規程でどうあらわされているか見ていきましょう。
通常、秘密文書に係る記述は以下のようにあらわされているのではないでしょうか。

「秘密情報を含む文書は、適正かつ厳重に管理し、取扱いについては・・・・」

「適正に」とか「厳重に」とかって、じゃあどうやってやるの?と、突っ込みを入れたくなりますね。その「どうやってやるの?」という、その具体的なルールは、ガイドラインやマニュアルをみてくださいということになります。
では、次からは秘密文書についての具体的なルールを見ていきましょう。となるので、取扱が異なる紙文書と電子文書に分けて説明します。

紙文書におけるセキュリティ

紙文書と電子文書では取扱いが異なるの、ここからは紙と電子を分けて説明いたします。

まずは、紙文書のセキュリティです。紙文書の場合は、物理的な対策を施すことが基本となります。

■部門外制限文書の場合

部門の誰もがアクセス権を持ち、部門外に対して制限を行うような文書の場合は、施錠可能なキャビネットに文書を格納し、必要な時に開錠して閲覧するという方法をとります。鍵は管理者や担当者が管理する、あるいは、キーボックスに入れてキーボックスのアクセスは暗証番号で管理します。

近頃は、リモートワークの比率も多くなっているため、部門内の人かどうかを見分ける人の目がありません。またオフィスも自由に場所を移動することができるフリーアドレスの構成が増えて来ていますので、施錠することとその鍵の管理は非常に重要となります。

■重大リスクに関係する文書の場合

先ほどの部門外制限の文書とは異なり、重大リスクに関係する文書は漏洩した場合は経済的・社会的影響が大きいため、かなり厳格な管理が必要とされます。

施錠だけに頼ることはなく、他の施策も施すことを検討します。

例えば、機密文書庫の施錠管理を生体認証にすることにより、アクセス権限を持たない人物のアクセスを制限することができます。また、それらと連動させて書庫の入退館をアクセス履歴として記録を残すことができます。このことによって、問題発生時のタイミングなどを推測することができます。

電子文書におけるセキュリティ

紙文書は物理的なものですので、それを格納するキャビネットや文書庫、あるいは人の目といったものがセキュリティ対策となりますが、電子文書に関しては、情報システム技術を使ったセキュリティ対策となります。

たくさんの有効な製品がありますが、どの製品を使用するにしても文書分類や文書毎のセキュリティに関する運用ルールを予め定めておく必要があります。

・セキュリティレベルの分類
これは、秘密の度合いがどの程度なのかを示す分類です。例えば、重要機密、機密、部外秘、社外秘、公開などで区分されている場合があります。

・職位などに応じたアクセス権の検討
その職位に応じてアクセス権を制限します。

これらをかけ合わせた表などがあるとよいと思います。

電子文書の場合は、ファイルやフォルダ毎にアクセス権限の設定やアクセス履歴を確認する監査、本人確認の認証などをセキュリティ対策として行うことができ、物理的な場所にとらわれず安全な環境を構築することができます。

ルールや運用を評価する

ルールや運用の評価については、問題が発生していなくても、ルールは今のままでいいか、運用はきちんとできているかなど定期的に見直しましょう。

評価をするタイミングがないと改善へのきっかけが掴めません。

弊社ではコンサルタントによる監査をお勧めしています。
社内で行う場合は、監査を行う側受ける側の負担を減らす方法として他の監査とまとめて行うのも一つの手です。

文書管理の観点で確認するポイントを以下にあげてみますので参考にしてみてください。

・文書毎のセキュリティレベルは更新されているか。
・ルールは形骸化していないか。(目的が意識されているか)
・ルールは周知されているか。(ルール認知度を確認する)
・運用について意見があればどんな小さいことでもあげてもらう。


■■ まとめ ■■

今回は、文書のセキュリティについて考えてみました。
紙文書は、オフィス改革により状況が変わってきています。電子文書はあらゆる情報技術があり様々なサービスがある中、セキュリティレベルの分類が重要であることを説明しました。
是非、評価のステップを入れ、見直しするタイミングを利用して常によい状態になるようにしてみてください。

ご相談のある方はこちら ↓

文書コンサルティング/石川

※関連記事

アルパカアイコン
CONTACT

文書管理でお悩みの方は、お気軽にご相談ください

ご不明な点はお気軽に
お問い合わせください
文書管理のお役立ち資料は
こちらから
お電話でのお問い合わせはこちら
平日10:00~17:00

組織の知カラとは?

文書管理の専門家が長年培ってきたノウハウを企業担当者に向けて配信するサイトです。


文書管理サービスページから6つの資料がダウンロードできます。

このページでは以下の説明と資料のご案内をしています。

文書管理ルール
ファイルサーバー共有フォルダ
ペーパーレス化支援
法定保存文書
文書管理研修サービス
維持管理支援



「文書管理の教科書」を 見てみましょう

問題はあるのだけど何から始めていいかわからない、文書管理の手順を確認したい、そんな方はこの資料を見てみましょう。


記事カテゴリ一覧

会社情報