不正競争防止法の3要件と営業秘密管理指針を軸に、社内規程の設計、条項例、クラウド・生成AI対応、改定プロジェクトの進め方を実務目線で整理します。
規程文案だけでなく、秘密管理性を説明できる制度・運用・証跡まで一体で考えます。
規程文案だけでなく、秘密管理性を説明できる制度・運用・証跡まで一体で考えます。
営業秘密管理規程のひな型と改定を調べる企業担当者は、文案そのものだけでなく、退職者による顧客リストの持出し、クラウドや生成AIを使う現場への対応、委託先や共同研究先へ情報を渡す場面のNDA運用など、実務上の悩みを抱えていることが多いです。
このページでは、営業秘密管理規程を、会社が特定の情報を秘密として管理する意思を従業員等が認識できる形にする中核文書として整理します。不正競争防止法上の保護を見据える場合、規程、情報分類、アクセス権、表示、教育、契約、監査、ログ、退職時対応、事故対応が一体として運用されていることが重要です。
次の重要ポイントは、営業秘密管理規程が何を束ねる文書かを示しています。読者にとって重要なのは、文案の有無だけでなく、会社の管理意思が現場に伝わり、後から説明できる証跡として残るかを確認することです。
単なる社内ルールとして置くのではなく、情報分類、権限、表示、契約、教育、監査、ログ、事故対応をつなげることで、会社が本当に秘密として扱っていたことを説明しやすくなります。
不正競争防止法上の営業秘密として保護を受けるには、一般に次の3要件が問題になります。3つの項目は横並びで満たす必要があり、特に秘密管理性は規程と日々の運用の両方で確認されます。
秘密として管理する意思が、表示、アクセス制限、台帳、教育、契約などによって従業員等に認識できる状態です。
技術情報や営業情報など、事業活動に役立つ情報です。失敗データのようなネガティブ情報も、研究開発上の価値を持つ場合があります。
保有者の管理下以外では一般に入手できない状態です。公開情報の組合せでも、発見に相当な手間を要する場合は検討対象になります。
用語の射程を広げすぎず、社内運用で認識できる定義に落とし込みます。
営業秘密管理規程では、営業秘密だけでなく、個人情報、取引先秘密、未公表財務情報、輸出管理上の機微技術情報なども扱うことがあります。次の比較表は、規程上の定義を整理するためのものです。列ごとに、対象範囲、規程に入れる考え方、実務上の確認点を分けて読むと、自社規程の定義が広すぎるか、狭すぎるかを確認しやすくなります。
| 用語 | 意味 | 規程での設計 | 実務上の確認点 |
|---|---|---|---|
| 営業秘密 | 不正競争防止法上の保護要件を満たし得る技術上または営業上の情報です。 | 秘密情報のうち、秘密管理性、有用性、非公知性を満たす情報として位置づけます。 | 顧客リスト、原価表、設計図、ソースコード、研究データ、新規事業計画などを個別に確認します。 |
| 秘密情報 | 会社が秘密として管理すべき情報全般です。 | 営業秘密より広い概念として置き、契約上秘密保持義務を負う情報や個人情報も含めます。 | 「何でも秘密」としすぎると現場が判断できないため、分類と表示で補います。 |
| 秘密管理性 | 会社の秘密管理意思を、情報に接する者が認識できる状態です。 | 表示、アクセス制限、台帳、教育、誓約、契約、ログを組み合わせます。 | 完璧な管理ではなく、企業規模や情報の性質に応じた合理的な管理が問われます。 |
| 有用性 | 事業活動に役立つ性質です。 | 成功情報だけでなく、失敗実験データなどのネガティブ情報も対象に含められます。 | 違法行為を隠す情報など、公序良俗に反する情報は保護から外れる方向で考えます。 |
| 非公知性 | 一般に入手できない状態です。 | 公開情報との違い、組合せの独自性、入手に要する時間や費用を確認します。 | インターネットや刊行物で容易に取得できる情報は、原則として非公知性の説明が難しくなります。 |
| 限定提供データ | 一定の者に提供するために電磁的方法で相当量蓄積・管理される情報で、営業秘密を除くものです。 | 秘匿して守る営業秘密と、限定的に提供して活用するデータを分けます。 | 外部提供型のデータビジネスでは、契約・システム・表示・アクセス制御を設計段階で分けて考えます。 |
秘密情報を二層構造で定義すると、営業秘密として法的保護を狙う情報だけでなく、取引先情報や個人情報も同じ社内ルールで保護しやすくなります。次の比較一覧は、社内ルールでどの範囲まで扱うかを判断するためのものです。
会社が秘密として管理すべき情報全般です。個人情報、契約上秘密保持義務を負う他社情報、未公表人事情報、取引先情報なども含めて扱います。
秘密情報のうち、不正競争防止法上の保護要件を満たし得る情報です。規程では、秘密情報の一部として明確に切り出します。
従業員等が秘密であることを一般的かつ容易に認識できるよう、表示、保存場所、アクセス権、教育、契約を組み合わせます。
表示、権限、契約、ログ、教育、監査をつなげて、現場で動く規程にします。
営業秘密管理で失敗しやすいのは、規程だけが存在し、実際の保存場所やアクセス権、外部提供、退職時対応と結びついていない状態です。次の注意点一覧は、規程を改定する前に発見したい典型的なズレを示しています。各項目は、秘密管理性を説明する際に弱点になりやすい点として確認します。
社内ポータルに置くだけでは、秘密として認識できる状態を説明しにくくなります。
何が重要情報か分からない設計では、現場が守れず、分類の実効性が弱くなります。
紙文書には表示があっても、共有フォルダやSaaSで秘密区分が分からない状態は問題になります。
返却誓約書だけでは足りず、アカウント停止やダウンロードログの確認も必要です。
外部提供資料、利用目的、返還・削除義務が曖昧なままだと、紛争時に説明しにくくなります。
誰がログを保全し、誰が取引先や当局対応を検討するかを事前に決めます。
営業秘密管理規程には、少なくとも次の7つの機能を持たせます。左上から順に、情報の意味を定め、重要度を分け、権限と取扱いを決め、人的管理、監査、改定までをつなげて読むと、規程が単なる文書ではなく管理制度として機能します。
秘密情報、営業秘密、重要秘密、取扱者、管理責任者、外部提供、複製、持出しなどを定めます。
情報を重要度、利用態様、漏えい影響に応じて分類します。
誰がアクセスでき、誰が承認し、誰が棚卸しするかを定めます。
表示、保存、複製、送信、印刷、持出し、廃棄、クラウド、生成AI、外部提供を定めます。
採用、配属、異動、休職、退職、委託終了時の誓約、返却、アクセス停止を定めます。
ログ、台帳、研修記録、承認記録、監査結果、事故対応記録を残します。
法改正、指針改訂、システム変更、事故、監査指摘、組織再編に応じて見直します。
標準的な営業秘密管理規程は、第1章から第8章、附則、別紙で組み立てると、社内の責任体制から改定履歴まで追いやすくなります。次の表では、章ごとに入れる条項と、読者が見落としやすい実務上の狙いを対応させています。
| 章 | 主な条項 | 実務上の狙い |
|---|---|---|
| 第1章 総則 | 第1条 目的、第2条 適用範囲、第3条 定義、第4条 基本原則、第5条 他規程・法令・契約との関係 | 秘密情報全般を対象にし、営業秘密だけに閉じない基礎を作ります。 |
| 第2章 管理体制 | 第6条 統括責任者、第7条 情報管理責任者、第8条 部門責任者・情報オーナー、第9条 従業員等の義務、第10条 外部協力者への適用 | 誰が情報の分類、承認、棚卸し、事故対応に責任を持つかを明確にします。 |
| 第3章 秘密情報の指定・分類 | 第11条 秘密情報の指定、第12条 秘密区分、第13条 秘密情報台帳、第14条 表示・識別、第15条 指定解除・区分変更 | 秘密管理意思を現場が認識できる状態にし、台帳と表示で証跡を残します。 |
| 第4章 取扱い | 第16条 アクセス制御、第17条 電子データ、第18条 紙媒体・化体物、第19条 複製等、第20条 持出し、第21条 クラウド、第22条 テレワーク、第23条 生成AI、第24条 廃棄 | 情報が存在する場所と利用方法に応じて、取扱いの線引きを示します。 |
| 第5章 外部提供・契約管理 | 第25条 外部提供、第26条 NDA、第27条 委託先、第28条 共同研究、第29条 M&A、第30条 来訪者対応 | 事業上必要な社外開示を、承認・契約・記録とセットで行います。 |
| 第6章 人的管理 | 第31条 採用時、第32条 プロジェクト参加時、第33条 異動・休職時、第34条 退職・契約終了時、第35条 競業避止等 | 情報に接する人の入口、配置変更、出口を通じて管理します。 |
| 第7章 教育・監査・事故対応 | 第36条 教育、第37条 ログ、第38条 内部監査、第39条 初動対応、第40条 証拠保全、第41条 違反時措置 | 教育と点検を記録し、漏えい時に証拠を保全できる体制を作ります。 |
| 第8章 改定 | 第42条 定期見直し、第43条 臨時改定、第44条 周知・施行、第45条 証跡管理 | 法令、指針、システム、働き方の変化に合わせて継続的に更新します。 |
別紙は、現場が使う申請書や確認表として機能します。秘密区分基準、秘密情報台帳項目、外部提供承認申請書、退職時チェックリスト、改定チェックリストを規程本文と接続させると、運用が属人化しにくくなります。
目的、適用範囲、定義、分類、アクセス、クラウド、生成AI、廃棄までを条項単位で整理します。
総則と分類の条項では、秘密情報をどこまで対象にし、誰が責任を持ち、どの方法で秘密として認識できる状態にするかを定めます。次の表は、条項ごとに規程へ入れる内容と、導入時に確認する運用を分けたものです。条項名だけでなく、台帳、表示、アクセス権、教育記録につながるかを読み取ることが重要です。
| 条項 | 規程に入れる内容 | 運用で確認する点 |
|---|---|---|
| 第1条 目的 | 秘密情報の適正な管理、利用、保護、漏えい防止を目的として定めます。営業秘密だけでなく、信用、顧客・取引先との信頼関係、法令遵守も目的に含めます。 | 営業秘密、個人情報、取引先秘密、未公表財務情報、研究開発データを別規程と矛盾なく扱います。 |
| 第2条 適用範囲 | 役員、従業員、契約社員、派遣労働者、委託先、共同研究先、外部専門家、来訪者などに本規程の趣旨を及ぼします。 | クラウド上の情報、口頭・視覚的に開示される情報、試作品、金型、サンプル、設備、ソースコードも対象に含めます。 |
| 第3条 定義 | 秘密情報、営業秘密、重要秘密情報、情報オーナー、外部提供、持出しを定義します。 | 指定漏れに備えて、内容・性質・管理態様から秘密であると認識できる情報も対象に含めます。 |
| 第4条 基本原則 | 業務上必要な範囲で取得・利用・保存し、正当な権限がない者に閲覧、複製、送信、開示、持出しをさせない方針を示します。 | 研修、誓約書、部門別ルールに転用しやすい表現にします。 |
| 第6条 統括責任者 | 秘密情報管理統括責任者を置き、法務、知財、情報システム、人事、内部監査、事業部門と連携します。 | 必要に応じて秘密情報管理委員会を設置し、規程見直し、教育、事故対応を審議します。 |
| 第8条 情報オーナー | 秘密情報ごとに、分類、アクセス権、外部提供、保存期間、廃棄、棚卸しに責任を持つ情報オーナーを置きます。 | 複数部門が使う情報では主管部門や共同情報オーナーを決めます。 |
| 第11条 秘密情報の指定 | 情報の価値、漏えい時の影響、非公知性、契約、法令上の管理義務を考慮して指定します。 | 台帳登録、文書・ファイル表示、アクセス制限、フォルダ区分、契約書上の特定を組み合わせます。 |
| 第12条 秘密区分 | 極秘、秘、社外秘、一般などの区分を定めます。 | 全部を最高区分にせず、漏えい影響と利用範囲に応じて3段階から4段階で運用します。 |
| 第13条 秘密情報台帳 | 情報名、情報オーナー、秘密区分、保存場所、アクセス権、外部提供、契約、保存期間、最終確認日を記録します。 | 台帳に秘密情報の中身を詳しく書きすぎず、台帳自体も秘密情報として管理します。 |
| 第14条 表示・識別 | 文書、電子ファイル、フォルダ、記録媒体、図面、サンプル、試作品などに秘密区分や秘密である旨を表示します。 | 表示が難しい情報は、台帳、保管場所、アクセス制限、掲示、説明、契約で補います。 |
取扱いの条項では、情報がどこに保存され、誰が触れ、どの環境で利用され、いつ消去されるかを決めます。次の一覧は、電子データ、紙媒体、クラウド、テレワーク、生成AI、廃棄の各場面を並べており、現場の利用実態に抜けがないかを確認するために使います。
業務上必要な者に限り、最小権限の原則で権限を付与します。異動、休職、退職、契約終了、プロジェクト終了時には速やかに見直します。
第16条棚卸し承認済みのシステム、端末、クラウド、保存場所を使います。重要秘密情報では、暗号化、多要素認証、ログ、ダウンロード制限、印刷制限、DLP、端末制御を検討します。
第17条技術的措置施錠保管、承認済み媒体、暗号化、貸出台帳、返却確認を定めます。金型、試作品、サンプル、設備、研究材料も管理対象に含めます。
第18条物理管理端末、通信方法、保存場所、作業環境、Web会議、印刷物、廃棄物を管理します。公共の場所や共用端末での重要秘密情報の扱いも制限します。
第22条在宅勤務秘密情報の入力、アップロード、学習、解析、送信を原則禁止し、承認済みサービスと利用条件に従う例外を設けます。出力物に秘密情報が含まれる場合も管理対象にします。
第23条AI利用保存期間満了や契約上の返還・削除義務に応じ、紙媒体、電子データ、バックアップ、同期先、チャット、AI入力履歴まで確認します。
第24条復元可能性NDA、委託、共同研究、M&A、退職時対応、教育、監査、事故対応を一体で設計します。
営業秘密は、共同開発、委託、保守、監査、M&A、資金調達、採用面談、学会発表、展示会、営業資料などで社外に移転します。次の表は、社外提供と人的管理の条項を並べ、どの場面で契約、承認、記録を残すかを確認するためのものです。
| 場面 | 規程に入れる内容 | 残すべき証跡 |
|---|---|---|
| 社外提供 | 開示目的、開示範囲、開示先、方法、期間、返還・削除方法を事前に確認し、必要な承認を得ます。 | 外部提供承認申請書、開示リスト、送付記録、契約書、データルームログです。 |
| NDA | 秘密情報の定義、利用目的、開示条件、管理方法、返還・削除、漏えい時通知、存続期間、損害賠償、差止めを定めます。 | NDA、秘密保持条項、相手方への開示資料一覧、終了後の削除証明です。 |
| 委託先・再委託先 | 委託範囲、管理体制、再委託、国外移転、事故通知、監査または報告、契約終了後の義務を定めます。 | 委託先確認票、契約書、再委託承認、定期報告、返還・削除確認です。 |
| 共同研究・共同開発 | 秘密情報、バックグラウンド知財、成果物、発明、データ、発表、出願、利用権、終了後の取扱いを契約で定めます。 | 会議記録、実験記録、共有範囲、サンプル授受記録、共同研究契約です。 |
| M&A・資金調達 | 閲覧者、閲覧方法、ダウンロード可否、印刷可否、閲覧ログ、Q&A管理、競合企業対応、クリーンチームを確認します。 | データルーム権限、アクセスログ、Q&A履歴、段階開示記録、返還・削除記録です。 |
| 入社・異動・参加時 | 秘密保持義務を周知し、重要秘密情報を扱う職務では誓約書、個別NDA、教育記録を取得します。 | 研修記録、誓約書、配属時説明、アクセス権承認履歴です。 |
| 退職・契約終了時 | アクセス権停止、貸与物返却、アカウント削除、データ返還・削除、誓約事項確認を行います。 | 退職時チェックリスト、アカウント停止記録、ログ確認、返却確認です。 |
| 教育・監査 | 定期教育、重要部署向け個別研修、台帳、アクセス権、外部提供、委託先、ログ、廃棄、事故対応の点検を行います。 | 受講ログ、確認テスト、監査結果、是正期限、再点検記録です。 |
漏えいまたはそのおそれがある場合は、初動の順番を規程に落とし込みます。次の判断の流れは、報告、事実確認、証拠保全、被害拡大防止、外部対応をどの順番で検討するかを示しています。分岐部分では、個人データや規制対象情報が含まれる場合に、別の法令対応が必要になる点を読み取ります。
従業員等は所定窓口へ速やかに報告します。
共有リンク停止、アクセス停止、送信先確認、関係者ヒアリングを行います。
ログ、メール、チャット、端末、契約書、教育記録、台帳、権限履歴を保全します。
個人データ、インサイダー情報、輸出管理対象技術などを確認します。
取引先通知、専門家連携、再発防止を検討します。
差止請求、損害賠償請求、刑事告訴、仮処分、警告書、教育・権限見直しを検討します。
クラウド、生成AI、副業・兼業、海外共有、就業規則との関係を改定項目に入れます。
営業秘密管理規程は、本文だけでなく別紙の申請書や確認表で運用されます。次の表は、秘密情報指定申請書と改定チェックリストの代表項目をまとめたものです。読者は、情報名や保存場所だけでなく、アクセス権、社外提供、保存期間、生成AI入力禁止など、後で証跡として残る項目を確認します。
| 別紙 | 主な項目 | 読み取るポイント |
|---|---|---|
| 秘密情報指定申請書 | 情報名、情報オーナー、作成日・取得日、秘密区分、有用性、非公知性、保存場所、アクセス権、社外提供予定、保存期間、備考 | 例として、新製品Xの原価計算表は、価格戦略・調達交渉に利用し、社外未公表で、承認済みクラウドフォルダに保存する情報として記録します。 |
| 改定チェックリスト | 法令・指針、秘密区分、クラウド、生成AI、テレワーク、契約、退職時、監査、証跡、労務 | 不正競争防止法、営業秘密管理指針、秘密情報ハンドブックの改訂だけでなく、就業規則変更手続や労働者への周知も確認します。 |
営業秘密管理規程の改定で特に見落としやすいのは、紙文書中心の規程が現在の情報流通に合わなくなる点です。次の一覧は、2025年改訂の営業秘密管理指針や実務上の環境変化を踏まえ、改定時に重点確認すべき論点を示しています。
共有ドライブやSaaSでは、フォルダ構造、権限グループ、外部共有設定、リンク有効期限、ログ、管理者権限、退職者アカウント削除が実効性を左右します。
入力、学習、保存、監視、出力、再利用、社外提供の各段階でリスクが異なります。承認済みAI、入力可能情報、ログ、教育、例外承認を定めます。
従業員用の規程だけでなく、派遣労働者、委託先、外部専門家、インターン、出向者、兼業者、退職者への契約・誓約・アクセス権を接続します。
海外クラウド、海外子会社、国際共同研究、越境M&Aでは、準拠法、管轄、国外移転、輸出管理、個人情報、現地労働法を確認します。
改定プロジェクトは、法務部門だけで完結しません。次の時系列は、現状把握から監査・改善までの順番を示しています。前半で情報資産とリスクを把握し、後半で承認、教育、運用確認へ移る流れとして読むと、社内で進める段取りが整理できます。
情報資産、保存場所、アクセス権、外部提供、事故履歴、既存規程、契約ひな型を棚卸しします。
情報の価値、漏えい時損害、非公知性、アクセス人数、外部共有、法規制を評価します。
秘密区分、台帳、アクセス、クラウド、AI、退職、委託、事故対応、改定手続を条文化します。
IT、知財、人事、内部監査、経営、現場部門、海外拠点と実装可能性を確認します。
取締役会、経営会議、規程委員会など社内ルールに従い承認します。
全社研修と高リスク部門向け研修を分けて実施します。
3か月後、6か月後、年次に運用状況を確認し、改定を継続します。
他規程との接続、よくある失敗、企業規模別の優先順位、専門家の役割を整理します。
営業秘密管理規程は、就業規則、情報セキュリティ規程、個人情報取扱規程、文書管理規程、知財管理規程、契約管理規程などと接続してはじめて機能します。次の表は、接続先ごとに確認する点を示しています。規程間で同じ場面を別々に定めている場合は、どちらが実務で使われるかも確認します。
| 接続先 | 営業秘密管理規程で確認する点 |
|---|---|
| 就業規則 | 秘密保持義務、懲戒、退職時義務、副業・兼業、競業避止を整合させます。 |
| 情報セキュリティ規程 | アカウント、端末、暗号化、ログ、クラウド、外部媒体のルールをつなげます。 |
| 個人情報取扱規程 | 個人データ漏えい時の報告・本人通知、委託先管理を接続します。 |
| 文書管理規程 | 保存期間、廃棄、版管理、文書分類を合わせます。 |
| 知財管理規程 | 発明、ノウハウ、特許出願、先使用権資料、研究ノートを接続します。 |
| 契約管理規程 | NDA、委託、共同研究、ライセンス、M&A契約をつなげます。 |
| 内部通報規程 | 不正持出し、情報漏えい、報復禁止、調査手続を接続します。 |
| 生成AI利用規程 | 入力禁止情報、承認サービス、出力物レビューを合わせます。 |
| 海外子会社規程 | 越境共有、現地法、海外クラウド、輸出管理を確認します。 |
改定時には、規程文言の美しさより、現場で起きている失敗を潰すことが重要です。次の一覧は、典型的な失敗と対応策を組み合わせています。左側の見出しで問題を見つけ、本文で改定時の具体的な見直し箇所を確認します。
秘密表示、台帳、アクセス権、フォルダ設計をセットで見直します。
開示リスト、データルームログ、議事録、メール送付記録を残します。
アカウント停止、共有リンク解除、貸与端末回収、私物端末の業務データ削除確認を退職時確認に含めます。
承認済み共有方法、標準契約、標準フォルダ、標準アクセス権を用意します。
承認済みサービス、入力可能情報、禁止情報、相談窓口、教育を定めます。
営業秘密管理規程のひな型は、会社規模によって厚みを変える必要があります。次の比較一覧は、中小企業、中堅企業、上場企業・グローバル企業で優先すべき実装を分けたものです。自社に近い規模の項目から着手し、成長に合わせて管理を厚くします。
顧客リスト、価格表、原価表、設計データ、ソースコード、研究ノート、事業計画、資金調達資料を特定します。台帳は簡易でも、保存場所、アクセス者、外部提供先、NDAの有無を記録します。
部門ごとに情報オーナーを置き、秘密区分、台帳、委託先管理、教育、内部監査を制度化します。営業、研究開発、製造、海外事業には部門別細則を作ります。
営業秘密管理規程の改定では、法務だけでなく、知財、人事、内部監査、IT、経営が関わります。次の表は、専門家ごとの主な役割を整理したものです。誰に何を確認してもらうかを事前に分けることで、改定プロジェクトの抜け漏れを減らせます。
| 専門家・部門 | 主な役割 |
|---|---|
| 弁護士・企業内弁護士 | 法的要件、契約、紛争対応、労務・競業制限の設計を確認します。 |
| 弁理士・知財担当 | ノウハウ、特許、共同研究、ライセンス、先使用権資料を確認します。 |
| 社労士・人事労務担当 | 就業規則、誓約書、退職時手続、教育、懲戒を確認します。 |
| 公認会計士・内部監査担当 | 内部統制、監査証跡、不正調査、J-SOXとの接続を確認します。 |
| 税理士・M&A担当 | 組織再編、事業譲渡、デューデリジェンス資料管理を確認します。 |
| IT・セキュリティ担当 | アクセス権、ログ、クラウド、端末、暗号化、事故対応を確認します。 |
| 経営者・取締役 | 重要情報の価値判断、リスク許容度、全社方針を決めます。 |
一般的な制度説明として、規程・NDA・秘密表示・台帳の位置づけを整理します。
一般的には、規程は重要な証拠の一つとされています。ただし、情報の内容、非公知性、有用性、秘密管理措置、従業員等の認識可能性、運用実態によって結論が変わる可能性があります。具体的な保護可能性や対応方針は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、一律にすべてのファイルへ表示するより、秘密区分に応じた合理的な表示とアクセス制限を組み合わせる方が実務的とされています。ただし、情報の性質、保存場所、従業員の職務、システム環境によって必要な措置は変わります。電子データでは、ファイル名、透かし、メタデータ、フォルダ名、アクセス権、台帳を組み合わせて確認する必要があります。
一般的には、営業秘密管理規程は社内管理の基本ルール、NDAは社外提供時の相手方拘束として、どちらも重要とされています。ただし、社内で秘密として管理されていない情報を、社外NDAだけで十分に守ることが難しい場合があります。社内規程、NDA、開示資料の記録、返還・削除確認を一体で確認する必要があります。
一般的には、クラウド、テレワーク、生成AI、退職者、委託先、共同研究、M&A、海外共有に対応しているかが重要とされています。ただし、事業内容や情報資産によって優先順位は変わります。紙文書中心の規程は現代の情報流通に合わないことがあるため、実際の保存場所とアクセス経路から見直す必要があります。
一般的には、重要情報に限って簡易台帳を作ることが有用とされています。台帳は完璧である必要はありませんが、少なくとも情報名、担当者、保存場所、アクセス者、社外提供先、秘密区分、保存期間を記録すると、管理状況を説明しやすくなります。具体的な項目は会社規模、情報量、システム環境に合わせて調整する必要があります。
法令、行政資料、公的支援情報を中心に確認します。