sg sg-security-management data_leakage security_training it_security_operations
まず結論
守秘義務とは、業務で知った秘密情報を、正当な理由なく外部に漏らさない責任のことです。
SG試験では、守秘義務そのものの法律論を深掘りするよりも、組織が秘密情報を守るために、従業員や委託先にどのような責任を負わせるべきかが問われます。
特に重要なのは、次の点です。
- 守秘義務は、勤務時間中だけの責任ではない
- 雇用終了後も、一定期間続くように定める場合がある
- 秘密情報へアクセスする前に、契約や誓約で責任を明確にする
- 違反時の対応をあらかじめ決めておく
選択肢で、「退職したら守秘義務はなくなる」のように書かれていたら注意です。
直感的な説明
守秘義務は、簡単にいうと、仕事で知った秘密を、仕事の外に持ち出さない約束です。
例えば、業務では次のような情報に触れることがあります。
- 顧客情報
- 取引先情報
- 社内の売上情報
- 設計図や仕様書
- システムの設定情報
- パスワードやアクセス権限に関する情報
これらは、仕事をするために必要だから見られる情報です。
個人が自由に使ってよい情報ではありません。
そのため、従業員は、在職中だけでなく、退職後であっても、業務で知った秘密情報を勝手に話したり、持ち出したりしてはいけません。
SG試験では、守秘義務を個人の道徳心だけに頼るものとして考えるのではなく、契約、規程、教育、アクセス管理などで支える管理策として理解することが大切です。
定義・仕組み
守秘義務は、秘密情報を扱う人に対して、その情報を漏らさないように求める義務です。
情報セキュリティ管理の文脈では、守秘義務は人的対策の一つです。
技術的な対策だけではなく、人が情報をどう扱うかを管理するために重要になります。
経済産業省の情報セキュリティ管理基準では、秘密保持契約又は守秘義務契約について、情報保護に対する組織のニーズを反映し、文書化し、定期的にレビューし、関係者が署名する管理策として示されています。
- 経済産業省:情報セキュリティ管理基準(令和7年改正版)
https://www.meti.go.jp/policy/netsecurity/is-kansa/IS_Management_Standard_R7.pdf
守秘義務を実効性のあるものにするには、次のような仕組みが必要です。
| 観点 | 内容 |
|---|---|
| 対象情報 | 何を秘密情報とするかを明確にする |
| 対象者 | 従業員、派遣社員、委託先など、誰が責任を負うかを明確にする |
| 期間 | 在職中だけでなく、退職後の扱いも明確にする |
| 契約・規程 | 雇用契約、就業規則、秘密保持契約などで定める |
| 違反時の対応 | 違反した場合の措置を定める |
ここで大切なのは、守秘義務を「口頭で注意しただけ」にしないことです。
秘密情報を守るには、誰が、何を、いつまで、どのように守るのかを文書で明確にしておく必要があります。
どんな場面で使う?
守秘義務は、秘密情報に触れる可能性がある場面で広く使われます。
従業員が秘密情報を扱う場面
従業員が顧客情報や社内情報を扱う場合、守秘義務が重要になります。
例えば、営業担当者が顧客リストを扱う場合や、システム担当者が利用者情報にアクセスする場合です。
このとき、組織は従業員に対して、秘密情報の扱い方を教育し、必要に応じて守秘義務契約や誓約書を求めます。
退職・異動の場面
退職や異動のときは、情報漏えいが起きやすい場面です。
例えば、退職者が顧客リストや設計資料を持ち出すと、組織に大きな損害が出る可能性があります。
そのため、退職時には、
- 貸与端末や資料を返却する
- アカウントを停止する
- 秘密情報の持出しがないか確認する
- 退職後も守秘義務が続くことを確認する
といった対応が重要です。
委託先や外部関係者に情報を渡す場面
業務委託や外部サービスの利用では、社外の人が秘密情報に触れることがあります。
この場合も、委託先に守秘義務を負わせることが重要です。
SG試験では、委託したから責任がなくなるのではなく、委託元にも管理責任が残るという考え方がよく問われます。
よくある誤解・混同
誤解1:雇用が終了すれば、守秘義務も終わる
これはSG試験で特に注意したい誤解です。
守秘義務は、雇用中だけでなく、退職後も一定期間続くように定めることがあります。
そのため、選択肢で、
雇用の終了をもって守秘義務が解消される
と書かれていたら、情報セキュリティ管理上の指摘事項になりやすいです。
誤解2:勤務時間外なら、守秘義務は関係ない
これも誤りです。
秘密情報を漏らしてはいけない責任は、勤務時間中だけに限られるものではありません。
例えば、勤務時間外に家族や友人へ顧客情報を話す、SNSに業務情報を書く、といった行為も問題になります。
SG試験では、勤務時間外だから守秘義務がないという考え方を切れるようにしておきます。
誤解3:秘密保持契約書に署名すれば、それだけで十分
署名は重要ですが、それだけで十分とは限りません。
守秘義務を実効性のある管理策にするには、次のような運用も必要です。
- 秘密情報の分類
- アクセス権限の管理
- 情報持出しの制限
- 教育・訓練
- 退職時の確認
- 違反時の対応
SG試験では、契約書だけでなく、管理策全体として機能しているかを見ることが大切です。
誤解4:守秘義務と秘密保持契約はまったく同じ意味
近い関係にありますが、少し見方が違います。
| 用語 | 意味 |
|---|---|
| 守秘義務 | 秘密情報を漏らさない責任そのもの |
| 秘密保持契約 | 守秘義務を契約として明確にする文書 |
つまり、守秘義務は「責任」、秘密保持契約は「その責任を文書で明確にする手段」と考えると整理しやすいです。
まとめ(試験直前用)
- 守秘義務は、業務で知った秘密情報を漏らさない責任である
- 雇用終了後も、一定期間続くように定める場合がある
- 勤務時間外でも、秘密情報を漏らしてよいわけではない
- 秘密保持契約や誓約書は、守秘義務を明確にする手段である
- SG試験では、「退職したら守秘義務がなくなる」という選択肢に注意する
確認問題
従業員の守秘義務に関する説明として、情報セキュリティ管理上、最も不適切なものはどれか。
- 秘密情報へアクセスする従業員に対して、アクセス前に守秘義務契約への署名を求める。
- 退職後も、定められた期間は秘密情報を漏らさない責任が続くように定める。
- 勤務時間外であっても、業務で知った秘密情報を外部に漏らしてはならない。
- 雇用が終了した時点で、業務中に知った秘密情報に関する守秘義務も自動的に消滅すると定める。
回答と解説
正解は **4** です。 守秘義務は、雇用中だけでなく、退職後も一定期間続くように定めることがあります。 そのため、「雇用が終了したら守秘義務も自動的に消滅する」とする考え方は、情報セキュリティ管理上、不適切です。 1、2、3は、秘密情報を守るための管理策として適切です。 特にSG試験では、**雇用終了後も続く責任かどうか**を判断できるかがポイントになります。🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】