M&Aや監査、調査で機密資料を開示しながら守るために、閲覧権限、操作制限、電子透かし、ログ、削除・返却、漏えい初動を一体で整理します。
M&Aや監査、調査で機密資料を開示しながら守るために、閲覧権限、操作制限、電子透かし、ログ、削除・返却、漏えい初動を一体で整理します。
主要な論点を、実務で確認しやすい順に整理します。
この一覧は、データルームで同時に達成すべき統制を整理したものです。開示範囲、操作制限、電子透かし、ログを横断して確認することで、見せすぎと制限しすぎのどちらのリスクも読み取れます。
誰に、どの資料を、どの操作権限で、どの期間だけ見せるかを制御します。
漏えいを完全に防ぐ壁ではなく、抑止、追跡、責任明確化、証拠化を支える印として使います。
閲覧、ダウンロード、印刷、権限変更、Q&Aを記録し、終了時にアクセス停止と削除確認を行います。
このページは、弁護士、企業内弁護士、外部弁護士、法務担当、M&A法務担当、コンプライアンス担当、個人情報保護・プライバシー担当、内部監査担当、リーガルオペレーション担当、デジタルフォレンジック専門家、会計・税務・知財・労務の専門職が共同で検討することを想定し、データルーム利用時の閲覧制限と電子透かしを、法務・情報セキュリティ・証拠管理・実務運用の交差点として整理する専門解説です。
特定案件に対する法律意見ではなく、M&A、資金調達、監査、IPO準備、訴訟、社内調査、事業提携、ライセンス交渉などでデータルームを運用する際の検討枠組みを示します。実案件では、対象情報の性質、相手方の属性、適用法域、NDA、取引スキーム、競争法上の関係、個人情報の有無、上場会社情報の有無、ベンダー仕様を確認したうえで、弁護士、情報セキュリティ部門、IT部門、M&Aアドバイザー、会計士、税理士、知財・労務の専門家と協議する必要があります。
主要な論点を、実務で確認しやすい順に整理します。
データルームは、単なるファイル置き場ではありません。企業が第三者に対して機密資料を開示しながら、開示範囲、閲覧者、利用方法、証跡、責任の所在を統制するための情報管理基盤です。特にバーチャルデータルーム(VDR)は、M&Aや法務デューデリジェンスのほか、資金調達、監査、訴訟、危機対応、内部調査、共同研究、知財ライセンスなど、非公開情報を限定的に共有する場面で広く用いられます。主要VDR事業者も、データルームを、指定された者に対し機密文書を安全に開示し、アクセスや監査証跡を管理する仕組みとして説明しています。
このページの結論は次のとおりです。
主要な論点を、実務で確認しやすい順に整理します。
M&Aや資金調達では、買主、投資家、金融機関、会計士、税理士、弁護士、技術アドバイザー、保険会社、格付関係者、場合によっては規制当局や取引所関係者に対し、通常であれば社外に出さない情報を開示します。典型例は、契約書、顧客リスト、価格表、事業計画、未公表の業績情報、人事情報、紛争資料、知財資料、ソースコード、規制対応資料、取締役会資料、内部通報・不祥事関連資料です。
データルームの設計を誤ると、本来見せるべきでない相手に営業秘密や個人情報が開示されます。競合買主に、価格、顧客、供給先、製造原価、研究開発計画などの競争上機微な情報が渡ります。上場会社の未公表重要情報が広範に共有され、インサイダー取引管理が困難になります。誰が、いつ、どの資料を見たか分からず、漏えい後の原因究明ができません。NDA上は秘密保持義務があっても、実際には共有リンクやダウンロードファイルが拡散します。
企業法務におけるデータルーム管理の本質は、「情報を開示すること」と「情報を守ること」という矛盾する要請を同時に満たすことです。開示が不十分であれば取引判断はできません。しかし、開示しすぎれば機密性、競争優位、法令遵守、株主価値を損なう。したがって、法務、事業部、経営企画、財務、IT、情報セキュリティ、個人情報保護、知財、人事、内部監査、外部弁護士、FA、会計士、税理士が共通の設計思想を持つ必要があります。その中心にあるのが、閲覧制限と電子透かしです。
主要な論点を、実務で確認しやすい順に整理します。
データルームとは、特定の取引、調査、監査、紛争、投資判断等の目的のために、関係者が資料を閲覧できるようにした管理空間をいいます。かつては物理的な部屋に紙資料を置く「フィジカルデータルーム」が中心でしたが、現在はクラウド上のバーチャルデータルーム(Virtual Data Room、VDR)が主流です。
一般的なクラウドストレージとVDRは重なる部分もあるが、VDRは特に次の機能を重視します。
主要VDRの公式資料でも、データルームはM&Aや法的プロセス等における機密情報の安全な共有、監査証跡、権限管理を前提とした仕組みとして位置づけられています。
閲覧制限とは、データルーム内の情報について、誰が、どの資料に、どの範囲で、どの操作を、いつまで行えるかを制御する措置です。英語では access control、permission control、document protection、rights management などと呼ばれます。NISTはアクセス制御を、ユーザー、グループ、プロセス、デバイス、システム等の属性に応じて、情報やサービスへのアクセスを許可または拒否する仕組みとして整理しています。
データルーム実務に引き直すと、閲覧制限は次の問いに答える設計です。
電子透かしとは、デジタル文書、画像、動画、音声、PDF、Officeファイル等に、識別情報や真正性確認のための情報を埋め込む、または表示する技術・運用をいいます。データルーム実務では、文書の各ページに、閲覧者名、メールアドレス、所属会社、閲覧日時、プロジェクト名、文書ID、「CONFIDENTIAL」「無断複製・転送禁止」などを目に見える形で表示する可視透かしが中心です。主要VDRの公式資料でも、閲覧者や宛先に応じて文書に透かしを付す機能が紹介されています。
高度な用途では、人間の目には見えにくい情報をファイル内に埋め込み、後で専用の解析によって出所や改変の有無を確認する不可視透かしまたはフォレンジック透かしも検討されます。電子透かし研究では、透かしには可視・不可視、堅牢型・脆弱型などの分類があり、脆弱型透かしは改変検知等にも利用されると説明されています。
VDRで重要なのは、電子透かしは漏えいを完全に防ぐ技術ではない、という点です。透かしは、閲覧者に対する心理的抑止、漏えいファイルの出所推定、NDA違反や社内規程違反の立証補助、秘密情報として管理していたことの表示、誤送信・誤共有時の注意喚起、文書ごとの利用履歴やログとの突合を支える仕組みです。
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 仕組み | 主な役割 | 強み | 限界 |
|---|---|---|---|
| アクセス制御 | 誰が資料に到達できるかを制御する | 初期開示範囲を絞れる | 権限を持つ人の不正利用までは完全に防げない |
| 暗号化 | ファイルや通信を読めない形にする | 盗聴・不正取得に強い | 正規ユーザーが開いた後の再共有には別対策が必要 |
| IRM・権限管理 | ダウンロード後も閲覧、印刷、転送、期限等を制御する | ファイルが外部に出た後も一定の制御が可能 | 対応ファイル形式、端末環境、互換性に依存する |
| 電子透かし | 誰の閲覧・出力物かを表示または埋め込む | 抑止・追跡・証拠化に有効 | スマートフォン撮影、手入力、画面転記等は防げない |
| 監査ログ | 誰がいつ何をしたかを記録する | 原因究明、説明責任、内部統制に有効 | ログの粒度、保存期間、真正性確保が必要 |
Microsoft Purviewの感度ラベルのように、分類、暗号化、アクセス権、コンテンツに残る保護を組み合わせる製品もあります。 ただし、VDR内の閲覧制限、ファイル自体のIRM、社内文書管理、メールDLP、端末管理は、それぞれカバー範囲が異なります。案件ごとに、どの層で何を制御するのかを明確にする必要があります。
主要な論点を、実務で確認しやすい順に整理します。
企業がデータルームで扱う情報の多くは、不正競争防止法上の営業秘密になり得ます。経済産業省は、営業秘密について、一般に「秘密として管理されていること」「事業活動に有用な技術上または営業上の情報であること」「公然と知られていないこと」という三要件を示しています。 また、営業秘密管理指針は、同指針が法的拘束力を持つものではなく、最終判断は裁判所に委ねられることを前提に、営業秘密として法的保護を受けるために必要となる最低限の水準の対策を示すものと位置づけられています。
データルームの閲覧制限と電子透かしは、営業秘密の「秘密管理性」を実務上支えます。たとえば、NDA締結またはクリックラップ型利用条件への同意、フォルダ・ファイル単位の権限設定、閲覧者ごとの個別アカウント、共有ID禁止、多要素認証、ダウンロード・印刷・コピー制限、機密表示、閲覧者名入り電子透かし、アクセスログ保全、取引終了後のアクセス停止と削除・返却確認は、秘密として管理する意思を外部閲覧者に認識させ、後日の説明可能性を高めます。
もっとも、電子透かしを付けたから営業秘密性が必ず認められるわけではありません。逆に、電子透かしがないから直ちに営業秘密性が否定されるわけでもない。重要なのは、対象情報の性質に応じて、誰が見ても「この情報は秘密として扱うべきものだ」と認識できる管理がされているかです。データルームは、その管理状態を技術的に実装し、ログとして残す場所です。
データルームには、役員・従業員の履歴書、雇用契約、報酬、評価、懲戒、退職、労働紛争、顧客情報、患者情報、取引担当者情報、問い合わせ履歴など、個人情報が含まれることがあります。個人情報保護委員会のガイドラインは、個人データの安全管理措置として、技術的安全管理措置を含む措置をリスクに応じて講じる考え方を示しています。 同委員会のFAQでは、技術的安全管理措置の具体例として、アクセス制御、ユーザー識別・認証、不正アクセス防止、情報システム使用に伴う漏えい防止等が整理されています。
データルームで個人情報を扱う場合、まず、個人情報を開示する目的が取引・監査・調査上必要か、個人を識別できる形で開示する必要があるか、匿名化・仮名化・マスキング・集計化で足りないかを検討します。そのうえで、役員、従業員、顧客、取引先担当者など本人類型ごとのリスク、海外関係者への開示、閲覧者の限定、ダウンロード・印刷制限、アクセスログ保存、取引不成立時の返却・削除・アクセス停止を設計します。
欧州または英国の個人データを扱う場合には、GDPRまたはUK GDPR上のリスクベースの安全管理、暗号化、復旧可能性、技術的・組織的措置の有効性評価等も問題となります。英国ICOも、データセキュリティについて、適切な技術的・組織的措置を講じる必要性を説明しています。国際案件では、データルームベンダーの保管地域、越境移転、処理者契約、サブプロセッサー、アクセス国、ログ保管、削除証明も確認する必要があります。
上場会社のM&A、TOB、資本提携、業績修正、重要契約、訴訟、不祥事、行政処分、資金調達等に関する資料は、金融商品取引法上の未公表重要事実またはインサイダー取引規制に関連する情報となり得ます。日本取引所グループは、インサイダー取引規制について、会社関係者や第一次情報受領者等が重要事実の公表前に売買等を行うことが問題となる旨を説明しています。 金融庁も、インサイダー取引規制に関するQ&Aを公表している。
データルームでは、未公表重要情報を含む資料を分類し、案件名をコードネーム化し、閲覧者をneed-to-knowに限定し、閲覧前に秘密保持義務、株式売買禁止、情報伝達禁止を確認させる。外部アドバイザー、金融機関、候補先、専門家の閲覧範囲を分け、ログを保存し、誰がいつ重要情報に接したかを追跡できるようにします。電子透かしは、未公表重要情報を含む資料が外部流出した場合に、どのアカウント向けの資料かを推定する手掛かりになります。ただし、アカウント名入り透かしは、その人が漏えい者であることを直ちに証明するものではありません。パスワード共有、端末乗っ取り、社内転送、画面撮影、印刷物の再配布など、複数の可能性を検証する必要があります。
買主候補が競合企業である場合、データルームの閲覧制限は、単なる秘密保持ではなく、競争法上の情報遮断策として機能します。競合他社に対し、現時点の顧客別価格、入札戦略、販売条件、原価、供給制約、未公表の販売計画などを不用意に開示すると、取引不成立時にも競争上の影響が残ります。
この場面では、競争上機微な情報を事前に分類し、買主の事業部門ではなく、外部専門家またはクリーンチームに限定して閲覧させます。個社名、顧客名、価格、数量、将来計画はマスキングまたは集計化し、取引進行段階に応じて開示範囲を段階的に広げます。Q&Aでも競争上機微な回答が事業部門に流れないようにします。M&Aの公正性、情報提供、特別委員会、利益相反管理等については、経済産業省の「公正なM&Aの在り方に関する指針」も参照する必要がある実務資料です。
訴訟や不祥事調査では、データルームが証拠共有基盤として使われることがあります。この場合、閲覧制限と電子透かしは、弁護士・依頼者間秘匿特権やワークプロダクトに相当する資料のアクセス範囲を限定し、社内調査対象者に調査戦略や通報内容が漏れないようにし、証拠改ざん、無断持ち出し、情報漏えいを抑止します。
NISTは、監査証跡をシステムおよびユーザー活動の記録として位置づけ、セキュリティ違反の検知、説明責任、事後的な再構成に役立つものとして説明しています。ただし、ログは保存されていて初めて機能します。保存期間、タイムゾーン、改ざん耐性、エクスポート方法、ベンダー退会後の取得可能性を、案件開始前に確認する必要があります。
主要な論点を、実務で確認しやすい順に整理します。
最小権限とは、利用者に業務遂行上必要な最小限の権限だけを与える考え方です。NISTも、最小権限を、正当な目的の遂行に必要な最小限のアクセス権限に制限する原則として整理しています。
データルームでは、買主候補Aと買主候補Bを別グループにし、買主の事業部、法務、会計、税務、技術、人事、外部弁護士、外部会計士を別ロールにします。役員報酬、人事紛争、個人情報、営業秘密、ソースコード、未公表業績資料は必要者だけに限定します。一般フォルダに置いた資料でも、ファイル単位で例外設定を確認し、管理者権限も最小限にします。
M&Aや投資では、初期検討、一次入札、二次入札、独占交渉、契約締結前、クロージング前、PMI準備というように、取引の段階が進むにつれて必要な情報が変わる。最初から全資料を開示する必要はない。Phase 1では概要資料、財務サマリー、主要契約リストに留め、Phase 2で主要契約、訴訟、税務、労務、知財の詳細資料を開示し、独占交渉後に顧客別売上、価格、ソースコード、詳細人事資料を限定開示する、といった段階設計が有効です。
データルーム内で資料を見せることと、資料を持ち出せるようにすることは異なります。リスクの高い資料については、閲覧専用、ダウンロード不可、印刷不可、コピー不可、スクリーンショット抑止、Secure Viewer、IRMなどを検討します。主要VDRの公式資料でも、透かし、ダウンロード制限、印刷制限、セキュアビューア、IRM等の文書保護機能が説明されています。
ただし、操作制限には限界があります。Google Driveの公式ヘルプは、オーナーがダウンロード、印刷、コピーを制限できる一方で、ファイル内容を別の方法で共有されることまで完全に止めるものではない旨を明示しています。 画面をスマートフォンで撮影する、内容を手で転記する、オンライン会議で画面共有するといった経路を完全に技術で封じることは難しいです。したがって、操作制限は、NDA、電子透かし、ログ、教育、違反時対応と組み合わせる必要があります。
閲覧制限が「入る前の門番」だとすれば、電子透かしとログは「入った後の足跡」です。アカウントは個人単位で発行し、共有IDを禁止し、多要素認証を有効にします。閲覧者名、メールアドレス、会社名、閲覧日時、文書IDを透かしに含め、閲覧、検索、ダウンロード、印刷、Q&A、権限変更のログを保存し、透かし情報とログ情報を突合できるようにします。NISTは、多要素認証を、知識、所持、生体等の異なる認証要素を複数用いる認証として整理しています。
開示は不可逆になりやすい。取引不成立時、候補先脱落時、外部アドバイザーの担当変更時、退職・異動・委託終了時には、アカウントを停止し、ダウンロード済みファイルの返却・削除・破棄証明を確認します。Microsoftの感度ラベルや暗号化機能のように、コンテンツに保護が残る仕組みを併用できる場合は、データルーム外に出たファイルの利用制限にも一定の効果があります。
閲覧制限を厳しくしすぎると、レビュー担当者は資料を読めず、スクリーンショットを撮ったり、私用メモに転記したり、別のクラウドにアップロードしたりする誘因が生じます。大量の契約書をレビューする外部弁護士や会計士に対し、すべて画面閲覧のみで検索・比較・注記もできない設計を求めると、レビュー品質が低下し、取引判断にも悪影響が出ます。情報分類ごとに「閲覧のみ」「透かし付きダウンロード可」「印刷可」「承認制ダウンロード」「クリーンチーム限定」などを組み合わせる必要があります。
主要な論点を、実務で確認しやすい順に整理します。
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 制限項目 | 目的 | 実務上の設定例 | 留意点 |
|---|---|---|---|
| 個人別アカウント | 責任主体の明確化 | 共有ID禁止、メール認証 | 端末共有・認証情報共有のリスクは残る |
| 多要素認証 | なりすまし防止 | OTP、認証アプリ、SSO | 外部専門家の利用環境を事前確認する |
| NDA・利用条件同意 | 法的義務の明確化 | 初回ログイン前のクリック同意 | 既存NDAとの整合性を確認する |
| ロール別権限 | Need-to-know | 買主法務、買主会計、買主技術、クリーンチーム等 | グループ名だけで判断せず中の個人を確認する |
| フォルダ単位権限 | 大分類の制御 | Legal、Finance、Tax、HR、IP、Litigation | フォルダ移動時の権限継承に注意する |
| ファイル単位権限 | 高機微資料の例外管理 | 役員報酬、顧客別売上、ソースコードのみ別設定 | 例外設定の棚卸しが必要 |
| 閲覧専用 | 持ち出し抑止 | Secure Viewer、ブラウザ閲覧のみ | 画面撮影・手入力は防げない |
| ダウンロード禁止 | ファイル拡散防止 | L3以上は原則禁止 | レビュー効率とのバランスが必要 |
| 印刷禁止 | 紙媒体流出防止 | HR、訴訟、個人情報資料は印刷不可 | 印刷を許す場合は透かし必須 |
| コピー禁止 | テキスト抜き取り抑止 | コピー・ペースト不可 | OCRや画面転記のリスクは残る |
| スクリーンショット抑止 | 画面保存抑止 | Secure Viewer、透かし、画面キャプチャ制御 | OS・ブラウザ・端末に依存し外部カメラは防げない |
| IP・地域制限 | 不審アクセス抑止 | 指定国・指定ネットワークのみ | リモートワーク、海外アドバイザーとの整合性が必要 |
| 閲覧期限 | 開示期間の限定 | 入札終了後7日で停止 | 延長時の承認履歴を残す |
| 透かし | 抑止・追跡 | 氏名、会社、メール、日時、文書ID | 個人情報の過剰表示に注意 |
| 監査ログ | 証跡管理 | 閲覧、印刷、ダウンロード、権限変更を記録 | 保存期間、時刻、改ざん耐性を確認 |
| アラート | 異常検知 | 大量閲覧、大量ダウンロード、深夜アクセス | 誤検知と運用負荷を見込む |
| 管理者権限分離 | 内部不正・誤設定防止 | 二名承認、権限変更ログ | 小規模案件でも単独管理を避けるべき場合がある |
設定時に最も多い事故は、フォルダの権限継承を誤った、グループに誤ったユーザーを入れた、一部ファイルだけ例外的にダウンロード可能になっていた、過去の候補先のアカウントが残っていた、という基本的なミスです。主要VDRでも、プロジェクト、フォルダ、ファイルの各レベルで権限を比較・確認する機能が説明されており、階層ごとの権限確認は実務上不可欠です。
主要な論点を、実務で確認しやすい順に整理します。
データルームの電子透かしは、読みやすさ、抑止力、証拠価値、個人情報保護のバランスを取って設計します。標準的には、「機密」「Confidential」「Privileged & Confidential」等の秘密表示、プロジェクト名またはコードネーム、閲覧者の氏名、メールアドレス、所属会社、閲覧日時、文書IDまたはファイルID、ページ番号、「無断複製・転送・印刷禁止」等の利用制限文言を組み合わせます。
高リスク資料では、IPアドレス、セッションID、ダウンロード日時、出力番号等を追加することも考えられます。ただし、透かしに表示される情報自体も個人情報または機密情報になり得ます。過度に詳細な情報を表示すると、漏えい時に閲覧者の個人情報や内部管理情報まで外部に出ます。必要最小限の識別性を確保しつつ、過剰表示を避ける必要があります。
可視透かしは、見えることに意味があります。ただし、本文を読めなくするほど強い透かしはレビュー効率を下げる。すべてのページに表示し、ヘッダー・フッターだけでなくページ中央にも薄く斜め表示し、重要な数値、図表、契約条項を完全に覆わないようにします。印刷時、PDF変換時、ダウンロード時にも残ること、トリミングされにくい位置に複数配置されること、白黒印刷でも識別できること、文書の向きやサイズが変わっても崩れないことを検証します。
静的透かしは、すべての閲覧者に同じ表示を付ける。たとえば「Confidential」「Do not distribute」のみを表示する場合です。静的透かしは秘密表示としては有用だが、漏えい元の特定には弱いです。
動的透かしは、閲覧者ごと、セッションごと、ダウンロードごとに異なる情報を表示します。たとえば、A社のB氏が閲覧した文書には「A社 B氏 b@example.com 2026-05-05 10:30」と表示され、C社のD氏が閲覧した文書には別の情報が表示されます。データルームにおける電子透かしとしては、動的透かしが望ましいです。主要VDRの公式資料でも、宛先やユーザーに応じた透かし付与、複数受領者向け透かし、OfficeファイルやPDFへの透かし付与が説明されています。
不可視透かしは、通常の閲覧では見えない情報をファイルに埋め込み、漏えい時に専用ツールで解析するものです。高度な映像、画像、出版、金融情報、研究開発資料では検討価値があります。採用する場合は、対応ファイル形式、PDF変換・印刷・スクリーンショット・画像化後の識別可能性、解析主体、解析手順、訴訟・社内調査での説明可能性、透かし情報自体の保管・削除・アクセス権限を確認します。
悪い電子透かしには、次のようなものがあります。
主要な論点を、実務で確認しやすい順に整理します。
データルーム設計では、すべての文書を同じ扱いにしてはなりません。情報の機微性に応じて、閲覧者、操作権限、透かし、ログ、承認レベルを変える必要があります。
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| レベル | 情報の例 | 基本方針 |
|---|---|---|
| L1 ― 低機微 | 会社概要、公開済み資料、一般的な組織図 | 通常の閲覧、必要に応じて透かし付きダウンロード |
| L2 ― 通常機密 | 一般契約、社内規程、過去財務資料、許認可資料 | ロール別閲覧、透かし、ログ保存 |
| L3 ― 高機密 | 主要契約、訴訟資料、未公表事業計画、価格情報 | 閲覧専用または承認制ダウンロード、個人別透かし |
| L4 ― 個人情報・人事機微情報 | 従業員情報、報酬、評価、懲戒、労務紛争、顧客個票 | 最小化・マスキング、限定閲覧、原則ダウンロード禁止 |
| L5 ― 特別機密 | 営業秘密、ソースコード、顧客別価格、競争上機微情報、未公表重要事実 | クリーンチーム、短期閲覧、強い透かし、ログ重点監査 |
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| ロール | 主な目的 | 標準アクセス | 制限が必要な領域 |
|---|---|---|---|
| 売主側コア管理者 | データルーム運営 | 全体管理 | 管理者権限の濫用防止、二名承認 |
| 売主法務・外部弁護士 | 法務DD対応、Q&A | 法務、契約、訴訟、規制 | 人事・個人情報の過開示 |
| 売主財務・会計士 | 財務DD対応 | 財務、税務、監査 | 個人給与・役員報酬の開示範囲 |
| 買主経営陣 | 投資判断 | 概要、重要リスク、サマリー | 詳細個人情報、競争上機微情報 |
| 買主法務・外部弁護士 | 契約・規制・訴訟確認 | Legal、Compliance、Litigation | HR、価格、ソースコード |
| 買主会計・税務アドバイザー | 財務・税務DD | Finance、Tax | 法務秘匿資料、個人情報 |
| 買主技術チーム | 技術DD | IP、R&D、IT、Security | ソースコード、脆弱性情報は限定 |
| 買主人事チーム | 人事・労務DD | HRサマリー、就業規則 | 個人別評価・紛争資料は限定 |
| クリーンチーム | 競争上機微情報確認 | L5資料 | 結果共有の範囲と形式を制限 |
| 金融機関 | 融資審査 | 財務、担保、重要契約 | 競争上機微情報、個人情報 |
| 取締役会・特別委員会 | 意思決定・公正性確認 | 重要資料、アドバイザー報告 | 利益相反、ログ、保存性 |
権限マトリクスは、単なるIT設定表ではなく、法的リスク判断の記録です。少なくとも、文書カテゴリ、情報分類レベル、想定閲覧者、閲覧目的、閲覧可否、ダウンロード可否、印刷可否、透かし設定、ログ監査の頻度、承認者、開示開始日・終了日、開示根拠または備考を含める必要があります。権限マトリクスは、案件開始時に作成し、Q&Aや追加資料アップロードのたびに更新します。更新履歴を残さないと、後日「なぜその人に見せたのか」を説明できません。
主要な論点を、実務で確認しやすい順に整理します。
データルームを開く前に最も重要なのは、資料をアップロードすることではなく、資料を分類することです。開設前には、案件目的、開示対象者、NDA、アドバイザー契約、クリーンチーム契約、情報分類ルール、営業秘密・個人情報・未公表重要情報・競争上機微情報の有無を確認します。不要な個人情報は削除・マスキングし、文書名、フォルダ名、版数、文書IDを整理します。
初期設定は「全員不可」を原則にし、権限マトリクスを作成します。管理者権限、多要素認証、SSO、IP制限、電子透かしテンプレートを決め、テストユーザーで表示、ダウンロード、印刷、透かし、ログを検証します。ログ保存期間、エクスポート方法、取引終了後の取得方法、インシデント発生時の連絡先と判断権者も事前に決める。
データルーム開設後は、設定して終わりではありません。案件が進むほど、閲覧者が増え、資料が増え、例外承認が増える。新規ユーザー追加時には所属、役割、閲覧目的を確認し、脱落候補先、退職者、担当変更者のアカウントを即時停止します。週次または重要フェーズごとにアクセス権を棚卸しし、L4・L5資料の閲覧ログを重点確認します。大量ダウンロード、大量閲覧、深夜・海外アクセス等の異常も確認します。
Q&A回答に機密情報や個人情報が混入しないようにレビューし、新規アップロード資料の分類を確認してから公開します。ダウンロード例外を承認した場合は理由と期限を残し、インサイダー情報を含む資料へのアクセス者を別途管理します。
取引不成立、候補先脱落、案件中止、クロージング、訴訟終了、監査終了のいずれの場合でも、終了時の手続が重要です。全外部ユーザーのアクセス停止日を決め、候補先ごと、アドバイザーごとの停止状況を確認します。ダウンロード済み資料の返却・削除・破棄証明を求め、データルーム内資料のアーカイブ、アクセスログ、ダウンロードログ、印刷ログ、権限変更ログ、電子透かしテンプレート、権限マトリクス、承認履歴を保存します。
主要な論点を、実務で確認しやすい順に整理します。
正規ユーザーが閲覧権限を持つ画面をスマートフォンや外部カメラで撮影するリスクは常に残ります。ダウンロード禁止や印刷禁止だけでは不十分です。画面上にも動的透かしを表示し、透かしをページ中央と周辺に複数配置し、NDAで撮影、スクリーンショット、転記、第三者共有を明示的に禁止します。高機微資料は閲覧時間を短くし、閲覧者を限定し、必要に応じてオンサイト閲覧、クリーンルーム、外部弁護士限定閲覧とします。
「Buyer Legal」に入れるべき人を「Buyer All」に入れた、または「HR Confidential」を全買主グループに開示した、という事故は少なくありません。これは高度なハッキングではなく、運用ミスです。初期状態は全員非開示にし、フォルダ開示の前段階で二名により権限確認を行い、テストユーザーで実際の見え方を確認します。ファイル単位の例外権限を一覧化し、権限変更ログを保存します。
競合他社に顧客別価格表、原価、入札方針、将来の販売計画を開示すると、取引不成立後にも競争上の影響が残ります。競争上機微情報をL5として分類し、クリーンチームを設定し、外部専門家のみ閲覧可とし、価格や顧客名は集計化・マスキングします。Q&A回答もクリーンチーム経由にし、競争法弁護士のレビューを受ける。
従業員名簿、給与、評価、懲戒、健康情報、労務紛争、顧客データを、そのままデータルームに入れると、目的外利用や漏えい時の被害が大きくなります。個人を識別できないサマリーで足りるか検討し、個人名、住所、連絡先、マイナンバー、健康情報等を削除し、HR資料は別フォルダ・別権限にします。ダウンロード・印刷を原則禁止し、透かしとログを必須にします。
電子透かしに、閲覧者の個人情報、社内プロジェクト名、非公開の買主候補名、IPアドレス、内部IDを過剰に表示すると、漏えい時に二次的な情報漏えいが起きる。透かしは識別に必要な最小限の情報にし、プロジェクト名はコードネームを使い、住所、電話番号、社員番号等は表示しません。IPアドレスやセッションIDを表示する場合は必要性を検討します。
「ログはあります」と言われても、実際には閲覧ログがなく、ダウンロードログだけだった、保存期間が短かった、管理者が退会後に取得できなかった、タイムゾーンが不明だった、ということがあります。どの操作がログ化されるか、保存期間、エクスポート形式、ベンダー解約後のログ取得可否を確認し、重要フェーズごとにログを保全します。
主要な論点を、実務で確認しやすい順に整理します。
データルームからの漏えいが疑われる場合、初動で証拠を失うと原因究明が困難になります。まず、漏えいした疑いのあるファイルそのもの、ファイルのハッシュ値、取得日時、取得経路、文書ID、版数、アップロード日時、電子透かしの表示内容、閲覧ログ、ダウンロードログ、印刷ログ、当該時点の権限設定、ユーザー一覧、グループ一覧、管理者の権限変更ログ、NDA、利用規約、クリック同意記録、関連するメール、Q&A、アクセス承認履歴を保全します。
透かしにA氏の名前が入っているファイルが流出したとしても、それだけでA氏が漏えい者だと断定してはなりません。A氏本人が転送した可能性、A氏が印刷した資料を第三者が取得した可能性、A氏のアカウントが共有されていた可能性、A氏の認証情報が窃取された可能性、A氏所属組織内で再配布された可能性があります。透かしは重要な手掛かりではあるが、ログ、端末調査、メール調査、聞き取り、契約関係、アクセス権限、ダウンロード履歴と合わせて評価する必要があります。
漏えい時の初動は、事実確認前に不用意な断定をしないこと、当該ファイルとログを保全すること、当該ユーザーまたは該当グループのアクセスを一時停止すること、影響範囲のある資料を特定すること、個人情報、営業秘密、インサイダー情報、競争上機微情報の有無を確認することから始める。その後、外部弁護士、情報セキュリティ、フォレンジック、経営、広報、ベンダーへの連絡、個人情報漏えい等報告、取引所・当局対応、相手方通知、NDA違反、差止め、削除要請、損害賠償、刑事・行政対応の要否を検討します。
主要な論点を、実務で確認しやすい順に整理します。
データルームベンダーを選定する際、価格や画面の使いやすさだけでなく、閲覧制限と電子透かしの仕様を詳細に確認する必要があります。
ISO/IEC 27001、SOC 2等の認証・報告書、データ保存地域、通信時・保存時の暗号化、多要素認証、SSO、SAML、SCIM、パスワードポリシー、セッションタイムアウト、IP制限、国別制限、管理者権限の分離、ベンダー運用者のアクセス管理を確認します。ISO/IEC 27001は、情報セキュリティマネジメントシステムに関する国際規格として広く用いられている。ISOは同規格について、ISMSを確立、実施、維持、継続的に改善するための要求事項を定めるものと説明しています。
プロジェクト、フォルダ、ファイル単位で権限を設定できるか、グループ単位と個人単位の権限を併用できるか、権限の継承関係を一覧で確認できるか、ユーザーが実際に見える画面を管理者がプレビューできるかを確認します。ダウンロード、印刷、コピー、スクリーンショット抑止を個別に設定できるか、期限付きアクセスや自動失効が可能か、Q&Aの閲覧権限を文書閲覧権限と分けられるか、管理者の操作ログが残るかも重要です。
閲覧画面、印刷、ダウンロードのすべてに透かしを適用できるか、PDF、Word、Excel、PowerPoint、画像、CAD、動画等にどこまで対応するか、大容量ファイルや特殊形式で透かしが外れる条件はないかを確認します。氏名、メール、会社、日時、文書ID、ページ番号等を動的に表示できるか、透かしの位置、濃度、角度、反復表示を設定できるか、透かしを含むファイルの生成履歴が残るかも重要です。
VDRによっては、ファイルサイズ、ファイル形式、閲覧モードによって透かしやIRMの適用可否が異なります。たとえば、あるVDR公式資料では、一定サイズを超えるファイルには透かしが付かない条件が示されています。 したがって、重要資料で実際にテストすることが不可欠です。
閲覧ログがページ単位で取れるか、ダウンロード、印刷、コピー、検索、Q&A、権限変更のログがあるか、ログの保存期間、エクスポート形式、タイムゾーン、改ざん防止措置、ベンダー解約後のログ取得可否、異常アクセスアラートを確認します。NIST SP 800-53は、セキュリティおよびプライバシー管理策のカタログを提供し、リスク管理に応じて柔軟に選択・調整する考え方を示しています。
ベンダー契約上、データの所有権・利用権、サブプロセッサー、再委託、国外移転、インシデント通知義務、監査報告書の提供、サービス終了時のデータ削除・返却、ログの保存・提供義務、個人情報処理契約またはデータ処理契約、可用性、バックアップ、災害復旧が規定されているかを確認します。
主要な論点を、実務で確認しやすい順に整理します。
企業内でデータルームを反復利用する場合、案件ごとの属人的運用を避けるため、データルーム運用規程または標準手順書を整備する必要があります。適用範囲、管理責任者、情報分類基準、アクセス権限付与の承認手続、個人別アカウントの原則、共有ID禁止、多要素認証の原則、ダウンロード・印刷・コピーの制限基準、電子透かしの標準設定、ログ保存期間、個人情報・営業秘密・インサイダー情報の特別取扱い、クリーンチーム運用、取引終了時のアクセス停止、インシデント対応、ベンダー選定基準、監査・定期見直しを含めます。
以下は、実務上の検討素材としての条項例であり、具体的案件では法域、相手方、取引内容、既存NDAとの整合性に応じて修正が必要です。
受領者は、開示者が指定するデータルームに対し、開示者が個別に承認した者のみをアクセスさせるものとし、アカウント、ID、パスワード、認証情報またはアクセスリンクを第三者と共有してはなりません。
受領者は、データルーム内の資料を、本取引の検討、交渉、実行およびこれに直接関連する助言の目的に限り利用し、その他の目的で利用してはなりません。
受領者は、開示者が明示的に許可した場合を除き、データルーム内の資料をダウンロード、複製、印刷、スクリーンショット取得、写真撮影、録画、転送、再アップロードまたは第三者提供してはなりません。
受領者は、データルーム内の資料に、氏名、所属、メールアドレス、閲覧日時、文書識別子その他開示者が合理的に必要と認める情報を含む電子透かしが付されること、およびアクセス、閲覧、ダウンロード、印刷その他の操作履歴が記録・保存・確認されることに同意します。
受領者は、本取引の検討終了、開示者の請求または契約終了時に、データルームから取得した資料およびその複製物を速やかに返却、削除または破棄し、開示者の求めに応じてその完了を証明するものとします。
受領者は、データルーム内の資料に上場会社の未公表重要情報が含まれる可能性があることを認識し、適用ある法令に違反する有価証券の売買、情報伝達、取引推奨その他の行為を行ってはならない。
競合買主が存在する案件では、クリーンチームプロトコルを別途作成することが望ましいです。クリーンチームメンバーの氏名、所属、役割、事業部門との情報遮断、閲覧可能な資料の範囲、閲覧専用・ダウンロード禁止・印刷禁止の設定、Q&Aの提出・回答ルート、クリーンチームが買主社内に共有できる報告形式、個別顧客名、価格、原価、数量、将来計画のマスキング方針、ログ監査、違反時対応、取引終了後の削除・証明を定めます。
主要な論点を、実務で確認しやすい順に整理します。
データルーム運用を属人的な経験に委ねるのではなく、内部統制として管理するためには、定量・定性の指標を設定します。
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 指標 | 意味 | 望ましい使い方 |
|---|---|---|
| アクティブユーザー数 | 現在アクセスできる外部者の数 | 不要ユーザーの削除確認 |
| L4・L5資料数 | 高機微資料の量 | リスク集中領域の把握 |
| ダウンロード可能資料数 | 持ち出し可能な資料量 | 原則との乖離を確認 |
| 透かし未適用資料数 | 追跡困難な資料数 | 例外の理由を確認 |
| 権限変更件数 | 運用変動の大きさ | 変更承認の適切性確認 |
| 大量閲覧・大量DL件数 | 異常行動の候補 | アラート運用 |
| 休眠ユーザー数 | 不要権限の候補 | 定期削除 |
| ログエクスポート頻度 | 証跡保全の実施状況 | フェーズごと保全 |
定性監査では、情報分類が文書の実態に合っているか、個人情報の最小化が行われているか、営業秘密としての表示とアクセス制限が整合しているか、競争上機微情報にクリーンチーム制限がかかっているか、インサイダー情報の閲覧者管理が行われているか、ダウンロード例外に承認理由があるか、管理者権限が過大でないか、透かしテンプレートが実際の文書に適用されているか、ログが必要期間保全されているか、終了時手続が完了しているかを確認します。
内部監査担当や法務監査担当は、データルームを「案件のための一時的なツール」としてではなく、機密情報管理プロセスの一部として監査する必要があります。特に、上場会社、金融機関、医薬・ヘルスケア、重要インフラ、製造業、知財集約型企業、個人データを大量に扱う企業では、データルームの開設・運用・終了の証跡が内部統制上重要になります。
主要な論点を、実務で確認しやすい順に整理します。
電子透かしは、漏えいを完全に防ぐものではありません。正規ユーザーが画面を撮影する、内容を手で写す、口頭で伝える、別資料に要約する、といった行為は残ります。電子透かしは、漏えいの抑止と追跡を支える仕組みであり、閲覧制限、NDA、ログ、教育、違反時制裁と組み合わせて機能します。
ダウンロード禁止は有効な制限だが、完全なコピー防止ではありません。画面撮影、OCR、手入力、メモ、画面共有などの経路があります。一般的なクラウドサービスの公式ヘルプでも、ダウンロード・印刷・コピーの制限には限界があることが示されています。
NDAは重要です。しかし、NDAは違反後の請求根拠にはなるが、誤設定による過開示、内部の再共有、ログ欠如、個人情報の過剰開示を自動的に防ぐものではありません。営業秘密や個人情報の管理では、契約条項と技術的・組織的措置の両方が必要です。
専門家であっても、全資料へのアクセスが当然に必要なわけではありません。外部弁護士、会計士、税理士、弁理士、社労士、コンサルタントは、それぞれ役割が異なります。役割に応じて必要な資料だけを見せる必要があります。
過度な制限は、レビュー品質低下、案件遅延、非公式な回避行動を招きます。法務・セキュリティ部門は、実務上必要なレビュー方法を理解し、高リスク資料に重点的に制限をかける必要があります。
ログは重要だが、ログだけで全事実が明らかになるわけではありません。ログの真正性、保存期間、タイムゾーン、操作の意味、アカウント共有の有無、端末状況、ベンダー仕様を確認する必要があります。
主要な論点を、実務で確認しやすい順に整理します。
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 項目 | 標準設定 |
|---|---|
| 初期公開 | 全資料非公開から開始 |
| アカウント | 個人別、共有ID禁止 |
| 認証 | 多要素認証必須 |
| NDA | 初回ログイン前に同意確認 |
| 権限 | ロール別、フォルダ別、ファイル別 |
| L1資料 | 透かし付きダウンロード可を検討 |
| L2資料 | ロール別閲覧、透かし、ログ |
| L3資料 | 原則閲覧専用、承認制ダウンロード |
| L4資料 | マスキング、限定閲覧、ダウンロード禁止 |
| L5資料 | クリーンチーム、短期閲覧、強い透かし、重点ログ監査 |
| 印刷 | 原則禁止、必要時は透かし付き・承認制 |
| 透かし | 氏名、所属、メール、日時、文書ID、秘密表示 |
| ログ | 閲覧、DL、印刷、Q&A、権限変更を保存 |
| 権限レビュー | 週次、重要フェーズごと、候補先脱落時 |
| 終了時 | アクセス停止、ログ保全、削除・返却証明 |
日本語例 ―
機密 | Project [コード名] | 閲覧者: {{氏名}} / {{メールアドレス}} | 所属: {{会社名}} | 閲覧日時: {{日時}} | 文書ID: {{文書ID}} | Page {{ページ番号}} | 無断複製・転送・撮影禁止
英語例 ―
CONFIDENTIAL | Project [Code Name] | User: {{Name}} / {{Email}} | Organization: {{Company}} | Viewed: {{Timestamp}} | Document ID: {{Document ID}} | Page {{Page}} | No copying, forwarding, printing or screenshots without permission
特権性や訴訟資料を含む場合の例 ―
Privileged and Confidential | Attorney Work Product | User: {{Name}} / {{Email}} | Viewed: {{Timestamp}} | Do not copy, print, forward, photograph or disclose
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 項目 | 内容 |
|---|---|
| 申請日 | |
| 申請者 | |
| 閲覧者氏名 | |
| 閲覧者所属・役職 | |
| メールアドレス | |
| 閲覧目的 | |
| 閲覧対象フォルダ・文書 | |
| 情報分類 | L1 / L2 / L3 / L4 / L5 |
| 個人情報の有無 | 有 / 無 |
| 営業秘密の有無 | 有 / 無 |
| 未公表重要情報の有無 | 有 / 無 |
| 競争上機微情報の有無 | 有 / 無 |
| 希望権限 | 閲覧 / ダウンロード / 印刷 / Q&A |
| 希望期間 | |
| NDA確認 | 済 / 未 |
| 承認者 | |
| 条件・備考 |
次の比較表は、この章の判断項目を整理したものです。重要なのは、項目ごとの差を横に見比べることで、どの設定を厚くすべきか読み取れる点です。各行の内容と注意点を合わせて確認してください。
| 時点 | 対応 |
|---|---|
| 0〜2時間 | 漏えい疑いファイルを保全し、アクセス停止の要否を判断する |
| 2〜4時間 | 透かし、ログ、権限設定、ユーザー一覧をエクスポートする |
| 4〜8時間 | 影響範囲、個人情報、営業秘密、未公表重要情報の有無を確認する |
| 8〜12時間 | 経営、法務、セキュリティ、外部弁護士、広報、ベンダーの対応体制を作る |
| 12〜24時間 | 通知・報告・削除要請・差止め・フォレンジック調査の要否を判断する |
主要な論点を、実務で確認しやすい順に整理します。
法務担当・企業内弁護士は、NDA、利用条件、情報分類、営業秘密、個人情報、インサイダー情報、競争法、訴訟リスクを横断的に確認します。データルームの権限設定が取引書類、NDA、社内規程、取締役会決議、特別委員会の要請と整合しているかを確認する必要があります。
外部弁護士は、案件の法的性質に応じて、開示範囲、閲覧制限、クリーンチーム、個人情報、未公表重要情報、競争法、紛争リスクについて助言します。漏えい発生時には、証拠保全、通知義務、差止め、損害賠償、刑事・行政対応の要否を判断します。
M&A・経営企画担当は、取引の進行、入札プロセス、候補先管理、資料要求、Q&A管理を担います。法務・セキュリティと協働し、取引スピードと情報管理のバランスを取ります。
情報セキュリティ・IT担当は、VDRベンダーのセキュリティ、認証、アクセス制御、ログ、SSO、端末制御、ネットワーク制限、インシデント対応を評価します。一般的なファイル共有ツールで足りるか、VDRが必要かの判断にも関与します。
個人情報保護・プライバシー担当は、個人データの範囲、開示目的、最小化、マスキング、越境移転、委託、ログ管理、漏えい時対応を確認します。透かしに表示される閲覧者情報も個人情報になり得るため、テンプレート確認が必要です。
内部監査・内部統制担当は、データルームの利用が社内規程、決裁権限、情報管理基準に沿っているかを確認します。上場会社や規制業種では、案件終了後の証跡保全が重要になります。
会計士・税理士・弁理士・社労士等は、それぞれ財務、税務、知財、労務の専門資料を扱います。専門家であっても、閲覧対象は職務に必要な範囲に限定される必要があり、個人情報や競争上機微情報については追加制限が必要です。
主要な論点を、実務で確認しやすい順に整理します。
電子透かしは漏えい元を推定する強力な手掛かりになるが、それだけで漏えい者を断定できるとは限りません。透かしは「そのアカウントまたはその受領者向けに生成された文書である可能性」を示します。実際の責任判断には、ログ、認証履歴、端末、メール、印刷物、共有状況、関係者ヒアリングが必要です。
一般的には、会社名だけよりも、個人名、メールアドレス、閲覧日時、文書IDを含めた方が追跡可能性は高いです。ただし、透かしに表示される情報も個人情報になり得るため、必要最小限にし、利用条件やNDAでログ・透かしの利用を説明することが望ましいです。
高機微資料は原則として印刷禁止が望ましいです。ただし、契約書レビューや会計レビューでは紙での確認が必要な場合もあります。その場合は、承認制、ページ制限、個人別透かし、印刷ログ、保管・廃棄義務を組み合わせます。
閲覧専用は営業秘密管理を支える重要な要素だが、それだけで十分とは限りません。営業秘密性は、情報の有用性、非公知性、秘密管理性を総合的に見て判断されます。NDA、秘密表示、アクセス制限、ログ、教育、社内規程、削除・返却手続等との組合せが重要です。
目的上必要で、法令・契約・プライバシーポリシー等との整合性があり、安全管理措置が講じられている場合に限り検討されます。まずは、個人情報を含めずに目的を達成できないか、マスキングや集計化で足りないかを検討する必要があります。
競争上機微情報を特定し、買主の事業部門に直接見せないことが重要です。クリーンチーム、外部専門家限定閲覧、集計化、マスキング、段階的開示、Q&A制限、ログ監査を組み合わせます。
案件の性質によるが、通常は売主側または開示者側の法務・M&A担当が責任を持ち、IT・セキュリティ・外部弁護士と連携して保全します。個人情報を含むため、アクセスできる管理者を限定し、保存期間と削除方針を決める必要があります。
低機微資料であれば代替できる場合もあります。ただし、M&A、訴訟、不祥事調査、上場会社情報、個人情報、営業秘密、競争上機微情報を扱う場合には、VDR特有の詳細な権限設定、透かし、監査ログ、Q&A、終了時管理が有用です。一般ストレージを使う場合でも、VDRと同等の設計思想で統制する必要があります。
主要な論点を、実務で確認しやすい順に整理します。
データルーム利用時の閲覧制限と電子透かしは、法務と情報セキュリティの共同作業です。法務がNDAを書き、ITがツールを設定し、M&A担当が資料をアップロードし、外部専門家がレビューするだけでは不十分です。重要なのは、秘密として管理する意思を、契約条項だけでなく、アクセス権、画面表示、電子透かし、ログ、承認履歴、削除手続、インシデント対応として実装することです。
閲覧制限は、開示範囲を限定します。電子透かしは、利用者に責任を自覚させ、漏えい時の追跡可能性を高めます。ログは、後日の説明責任と証拠保全を支えます。NDAと社内規程は、違反時の法的根拠を与える。これらを一体として設計して初めて、データルームは「便利な共有フォルダ」ではなく、企業価値を守る統制基盤になります。
データルームの機密管理とは、「誰に何を見せるか」だけでなく、「なぜ見せたのか」「どこまで許したのか」「誰が見たのか」「漏えいしたときに説明できるのか」を、案件開始前から終了後まで設計することです。