秘密情報の法的保護に必要な情報管理方法を弁護士が解説
IT・情報セキュリティ内部者からの情報漏えいに備えた情報管理の方法やポイントについて教えてください。
情報を持ち出した内部者が、就業規則等により秘密保持義務を負っている場合、会社に無許可で秘密情報を持ち出す行為は秘密保持義務違反に該当します。また、持ち出された秘密情報が不正競争防止法上の「営業秘密」に該当する場合、営業秘密侵害に該当します。
いずれにしろ、秘密情報が法的に保護されるためには、アクセスした者が秘密情報であると認識可能であるような管理がされていることが必要となります。そこで、重要な秘密情報については、最低限、秘密情報の認識可能性を確保するような管理体制を構築・運用し、そのうえで情報の重要度に応じて個々の管理レベルを調整するのがよいでしょう。なお、秘密管理体制の構築以上に運用が重要であることは特に留意が必要です。
解説
目次
自社に合った情報管理体制の重要性
どのレベルの情報管理体制をとるべきかは、多くの会社のセキュリティ担当者や法務担当者が頭を悩ませるところです。厳格な体制をとれば情報漏えいリスクは減るかもしれませんが、情報へのアクセスの利便性が下がり、コストもかかります。一方で、会社の内部者の誰もが容易に秘密情報にアクセスできることになると、情報漏えいリスクが上がります。
情報管理に正解はなく、会社の事業規模・内容や、取り扱う情報の性質・内容によってもケースバイケースです。また、実務上、情報漏えいリスクをゼロにすることはほとんど不可能です。もっとも、どのレベルの情報管理体制がとられていれば、秘密情報が法的に保護されるかは、裁判例などからある程度わかっています。
そこで、本稿では、自社に合った秘密管理体制を検討・見直すうえで前提となる、秘密情報の法的保護に必要な情報管理方法の考え方を説明します。
秘密情報を法的に保護するための2つの方法
秘密情報にはさまざまな情報が含まれています。たとえば、製品の製造ノウハウ、レシピ・配合、成分、ソースコード等の技術的な情報もあれば、取引先、原価、卸値、事業計画等の営業上の情報もあります。まず、このように事業活動に有用な秘密情報が、法的にどのように保護され得るのかを確認しておきます。
秘密情報を法的に保護するためには、基本的には次の2つの方法があります。
契約上の秘密保持義務による保護
1つは、秘密保持義務による保護です。秘密情報の受領者に秘密保持契約や就業規則などによる契約上の秘密保持義務を負わせ、これにより秘密情報を法的に保護しようとするものです。
秘密保持義務は契約に基づく義務です。秘密情報にアクセスする者が、「秘」「Confidential」などの秘密表示等によって、その情報が 秘密情報であると認識できていたからといって、当然に秘密保持義務を負うものではありません。情報にアクセスする者に、合意等により秘密保持義務を課す必要があるのです。
また、秘密保持義務の内容は合意された内容に留まりますので、どのような内容で秘密保持義務を負わせるかも重要です。契約上の定め方については、5で詳しく説明します。
不正競争防止法の営業秘密としての保護
もう1つが、営業秘密としての保護です。不正競争防止法では営業秘密を「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」と定め(同法2条6項)、これに該当する秘密情報の不正な取得・使用・開示等を規制しています(同法2条1項4号〜10号)。
営業秘密としての保護を受けるためには、秘密情報が「秘密として管理されている」必要があります(秘密管理性)。具体的な管理方法等については、3-2で詳しく説明します。
秘密情報が法的に保護されるための最低限の管理水準
秘密保持義務違反・営業秘密侵害に関する裁判の傾向
上述のとおり、秘密保持義務による保護は契約に基づくもの、営業秘密としての保護は不正競争防止法に基づくものであり、厳密には異なる法的根拠に基づくものです。しかし、両者は相互に深く関連しており、実際の裁判において秘密保持義務違反と営業秘密侵害の両方が主張されることは珍しくなく、その侵害の当否についても同じ結論が導かれる例がほとんどです。
たとえば、秘密情報にアクセス権を持っている者に対して秘密保持義務が課されていない場合には、営業秘密の要件である秘密管理性や公知性が否定される可能性があります 1。一方で、秘密保持義務が課されている場合であっても、会社の秘密管理体制が、秘密管理性の要件を満たすレベルにない場合には、秘密保持義務の対象となる情報が不特定であるなどの理由から、秘密保持義務違反も否定される可能性があります 2。
ただし、秘密管理性が否定される場合には常に秘密保持義務違反も否定されるのかという点は、裁判例上は明らかではありません。もっとも、秘密保持義務違反の判断に際して、秘密管理性を考慮した裁判例実務もあることを踏まえると、秘密情報の管理体制の構築においては、営業秘密の要件である秘密管理性が認められる程度の管理をする必要があると考えておくほうが安全です。
秘密管理性が認められる程度の管理水準
では、営業秘密の秘密管理性とはどのようなレベルの管理について認められるのでしょうか。かつては、秘密管理性の要件は、極めてハードルが高い印象がありました。ただ、最近では、秘密情報の内容・性質や事業の内容や規模等に応じてフレキシブルな判断がされるようになっています。
経済産業省が提供する「営業秘密管理指針」では、秘密管理性要件について次のように示しています。
具体的に必要な秘密管理措置の内容・程度は、企業の規模、業態、従業員の職務、情報の性質その他の事情の如何によって異なるものであり、企業における営業秘密の管理単位(中略)における従業員がそれを一般的に、かつ容易に認識できる程度のものである必要がある。
経済産業省「営業秘密管理指針」(平成15年1月30日、平成31年1月23日最終改訂)6頁
多くの裁判例においても、同様に、秘密情報にアクセスする者が、その情報が秘密情報であることを認識できるような管理体制であったか否か、という観点から秘密管理性の要件が判断されています。つまり、秘密情報が営業秘密として保護されるためには、秘密情報にアクセスする者が、その情報が秘密情報であると認識可能な程度の管理がされている必要があります。
秘密管理体制の一例
| 秘密情報であることの認識可能性 | 具体例 |
|---|---|
| ◯ 高い |
|
| △ 低い |
|
なお、ここでいう管理体制とは、規則やシステムなどの制度面を整えるだけでは不十分です。情報にアクセスする者が、実際に秘密情報であることを認識できるような運用が重要となります。
たとえば、厳格な就業規則やセキュリティ規則、アクセス制限が設けられていたとしても、運用においては、IDやパスワードを共有して誰でもアクセスができる状況にあり、フォルダ内にさまざまな情報が重要性を区別せず雑多に保管されているような場合には、秘密管理性が否定される可能性があります。
このため、秘密情報を法的に保護するためには、秘密情報であることが認識可能な程度の管理体制を構築し、かつ、適切に運用する必要があります。
望ましい秘密情報の管理体制・運用のあり方
情報漏えいリスクを踏まえた3つの管理ポイント
上述のとおり、秘密情報の法的保護を受けるためには、秘密情報であることが認識可能な程度の管理体制を構築し、かつ、適切に運用する必要がありますが、これはあくまで最低限の管理レベルに過ぎず、それ以上に厳格な管理が不要だということではありません。
秘密情報はひとたび漏えいしてしまうと、法的な措置をとったとしてもその被害を完全に回復することは困難です。重要な秘密情報については、さらに高いレベルでの管理が必要になる場合もあり、それぞれの会社に合った秘密管理体制を模索していくことが重要です。
そこで、ここからは一歩進んで、情報漏えいのリスクに備えてどのような視点で秘密管理を行うべきかについて、私見を述べます。秘密情報の管理には、以下の3つの観点が重要であると考えています。
- 情報漏えいリスク管理:自社が保有する秘密情報が意図せずに第三者に開示・使用されないための管理
- 侵害リスク管理:第三者が保有する秘密情報が意図せずに流入しないための管理
- インシデント管理:自社の秘密情報の漏えいや第三者の秘密情報の流入によるインシデントへの対応
秘密情報の具体的な管理方法
(1)秘密情報の有用性と漏えいリスクのバランスをとる
秘密情報は、秘密であることと、事業に有用であることに価値があります。つまり、秘密であること自体に価値があるのではなく、秘密のままその情報を使用することに価値があるのです。
秘密情報に誰もアクセスできないようにすれば、漏えいリスクを最小化することができますが、それでは秘密情報が事業に利用できず秘密情報の価値が失われます。一方で、秘密情報を事業利用の利便性を高めれば高めるほど、秘密情報へのアクセスが容易になるので、情報漏えいのリスクが高まることになります。このようなある種のジレンマの中で、秘密情報の内容に応じて情報漏えいのリスクをコントロールする必要があります。
(2)情報の重要度や企業規模等に応じた管理の一例
情報漏えいリスクの管理は、秘密情報の内容・性質により異なってきますし、事業規模によっても異なります。
実際に、多くの企業では、秘密情報が法的に保護される管理レベルを最低限のものとしたうえで、さらに、秘密情報を区分し(たとえば「厳秘」、「秘密」、「社内限り」など)、情報の重要度に応じて管理レベルを調整することが行われています。
たとえば、重要性が高い情報については、厳格なセキュリティ体制を構築して、アクセスできる者を極めて制限する必要がある一方、そこまで重要性が高くない情報であれば、よりアクセス容易なセキュリティ体制の下で管理しても実務上は支障のないこともあるでしょう。また、さまざまな事業を行う大企業であれば情報へアクセスする者も多種多様となるため、大規模で厳格な統一的なセキュリティ体制が必要になるかもしれませんが、事業範囲の狭い中小企業であれば、限られたアクセス権者を対象にしたシンプルなセキュリティ体制であっても十分な場合もあります。
秘密情報の具体的な管理手法はさまざまであり、本稿ですべてを扱うことはできません。次のような公表資料を参考にするのもよいでしょう。
- 経済産業省「秘密情報の保護ハンドブック ~企業価値向上にむけて~」(平成28年2月、令和6年2月最終改訂)
- 経済産業省「営業秘密管理指針」(平成15年1月30日、平成31年1月23日最終改訂)
- 独立行政法人情報処理推進機構「企業における営業秘密管理に関する実態調査2020報告書」(2021年3月18日公開、2023年10月24日最終更新) ※他社事例の参考として
秘密保持義務の定め方
以下では、秘密情報の管理体制・運用とも関わりの深い秘密保持義務について補足的に説明します(秘密保持義務の概要は2-1をご参照ください)。
秘密情報を法的に保護するためには、情報にアクセスする者がその情報が秘密情報であると認識可能となる管理が必要です。したがって、秘密保持義務が定める場合にも、どの情報が秘密保持義務の対象であるかを認識できるようにしなければなりません。
就業規則や情報セキュリティ規程等における規定例
たとえば、就業規則等で「会社の保有する一切の秘密情報」に対して包括的に秘密保持義務を負わせるような規程が設けられていることがあります。しかし、これだけでは、何が秘密情報であるかは明らかではありません。そこで、秘密保持義務の対象となる秘密情報の認識可能性を確保する必要があります。たとえば、規程内で具体的な秘密情報を列挙する方法もありますし、秘密情報管理規程や情報セキュリティ規程などによって秘密情報の取扱いの運用を定めることで、従業員等が秘密情報を認識できるようにする方法もあります。ただし、規程等を整備して秘密情報を特定可能にする仕組みを用意することも大事ですが、実際に秘密情報を認識できるような運用が伴わなければ、せっかく規程類を整備したとしても、絵に描いた餅になってしまいます。
内部者による情報持ち出しへの対策
就業規則の秘密保持義務が在職中に限られていたり、退職後の秘密保持義務が明示されていなかったりする就業規則を目にすることがあります。退職後の秘密保持義務を明示的に負わせていないと、退職に伴って秘密情報を持ち出した従業員等に対して、十分な対応がとれない可能性があります。
なお、実際に内部者による情報持ち出しが起きた場合の法的措置等については、下記の関連記事をご参照ください。
-
近時の裁判例でも、秘密保持義務が課されていないことで客観的認識可能性がないとして秘密管理性を否定する 大阪地裁令和5年2月21日判決や、秘密保持義務が課されていないことを理由に非公知性を否定する大阪高裁令和6年2月9日判決などがあります。 ↩︎
-
秘密保持義務の範囲を営業秘密と同様に狭く解する裁判例として大阪地裁平成29年8月24日判決、東京地裁令和4年5月31日判決などがあります。 ↩︎
