「情報持ち出し」なぜ止められないのか――ゼロトラストと委託統治で守る顧客信頼の設計図9つ

現場・実装の視点：その他やにおけるDXのリアル

大手生保が4月から銀行等への出向取り止めに動く背景には、ガバナンスの実装難易度がある。だが、出向を止めるだけでは課題は解けない。代理店・BPO・SaaSを含む全体の「持ち出し不能設計」が必要だ。中小企業も他人事ではない。委託される側として統制能力を示せなければ、取引から排除されるリスクが増す。

中小企業の情報管理ルール：社員・委託先が“持ち出せない”状態を作るチェックリスト9つ

以下は「人・制度・技術」を束ねた最低限の設計項目である。損失回避の視点で言えば、これらの多くは「漏えい一件分の損害」を未然に避ける保険に等しい。

①アイデンティティ管理

• 二要素認証（社員・委託先アカウントは全てMFA必須）
• ID統合（IdPでSSO、委託先には外部IDを払い出し、個人メールを禁止）
• 条件付きアクセス（場所・デバイス状態・時間帯で絞り込み）

②端末とエンドポイント管理

• 会社支給端末を原則（BYODはMAM/MDMで業務領域を分離）
• USB/外部ストレージ制御（ホワイトリスト＋暗号化前提）
• 画面キャプチャ/印刷のポリシー制御（機密ラベル付与時は自動遮断）
• EDR導入（行動分析で異常コピー・大量転送を検知）

③データ分類と暗号

• 3〜4段階の情報分類（公開/社内/機微/特機密）と自動付与ルール
• 機微以上は保存時・転送時に自動暗号化（鍵管理はHSM/クラウドKMS）
• 透かし・電子封書（WORM監査ログと組み合わせ）

④アプリ・ネットワーク

• VDI/DaaSで出向・委託先へのデータ非移動（画面転送のみ）
• ZTNA/SASEでアプリ単位の接続、VPN全社開放は廃止
• クラウドDLP/CASBでSaaS間連携の制御、個人クラウド遮断

⑤委託統治（ベンダーガバナンス）

• 契約に技術統制条項（MFA/ログ保全/サブ処理者の制限）を明記
• 監査権と証跡APIの提供義務（月次で自動レポート）
• DPA（データ処理契約）と事故時の報告SLA（24/72時間）

⑥人とプロセス

• ジョブ別の最小権限、期限付きアクセス（JIT/JEA）
• 退職・異動・出向時のオフボーディングSOP（当日無効化）
• 年2回の教育（フィッシング・生成AI・物理管理を含む）

⑦監査と検知

• 集中ログとUEBA（行動分析）、大量ダウンロードは即アラート
• 印刷・スクショ・コピーの統計監査（例外は業務理由必須）
• 年1回のレッドチーム演習（委託先含む）

⑧AI・データの新経路対策

• AIゲートウェイ経由でのみ外部AI利用可、プロンプト/応答を保全
• RAG境界の分離（顧客データはプロジェクト毎のベクトルDB）
• 個人用AI/拡張機能の使用制限（ホワイトリスト方式）

⑨インシデント対応

• 演習で経営・法務・広報を巻き込む
  • MTTD/MTTRのKPI設定、初動は30分以内
  • 顧客通知の判断基準（データ種別・件数・復旧性）

要件	推奨技術	運用・人	測定指標（KPI）
機微データの非移動	VDI/DaaS、データルーム	例外承認フロー	機微データの端末保存件数=0
外部連携の最小化	ZTNA、CASB	委託先アカウント棚卸	未使用権限削減率/月
物理経路の遮断	エンドポイントDLP	現場例外の棚卸	USB遮断率、印刷抑制率
AI経路の監査	AIゲートウェイ	利用ポリシー教育	無許可AIアクセス=0
継続監査	DSPM/DDR	是正サイクル運用	高リスク権限是正TTR

2025年の現場で重要なのは「一気呵成ではなく、出血点から塞ぐ」段階導入である。最初の90日で「USB/印刷/AI」を押さえ、次の180日で「VDI/委託統治」を固める。これが最短で損失を避けるルートだ。