業務委託先・提携先での情報持出リスクを低減する方法
IT・情報セキュリティ業務委託先や提携先の企業に営業秘密にあたる情報を提供する際に、その企業から情報が漏えいすることが懸念されます。どのような対策を講じればよいでしょうか。
NDAを締結したうえで開示する、「マル秘」表示をするなどの一般的な方策のほか、自社サーバーを利用するといった工夫が考えられます。
解説
目次
業務委託先や提携先の企業からの情報漏えいには、過失によって漏えいが発生してしまうケースと、提供先の企業による盗用の2つの可能性が考えられます。
前者は提供先の企業の情報管理体制を確認することにより防ぐことになりますが、後者に対してどのような対応をしておくべきでしょうか。本Q&Aではこの点を解説します。
「営業秘密」として保護されるためには
「営業秘密」の要件
自社の情報が漏えい等した場合1、不正競争防止法に基づいて差止請求(不正競争防止法3条)や損害賠償請求(不正競争防止法4条)をするためには、その情報が不正競争防止法上の「営業秘密」に該当する必要があります。
「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、公然と知られていないものをいいます(不正競争防止法2条6項)。これらの要件は、「秘密管理性」、「有用性」、「非公知性」の3要件といわれています(荒川雄二郎「営業秘密とは何か」参照)。
本稿では、業務委託先に情報を提供する際に、「秘密管理性」をどのように確保するのかを解説します。
「秘密管理性」とは、どのような状態に置かれていることをいうのか
秘密管理性が要件となっている趣旨について、大手通信教育事業者から約3,000万件の個人情報を漏えいした事案の刑事事件において、東京高裁平成29年3月21日は、以下のとおり判示しています。
この解釈は、経済産業省の「営業秘密管理指針」(平成27年1月28日改訂)で示されていたものと同様のものです。
すなわち、秘密管理性が要件となっている趣旨は、「企業が秘密として管理しようとする対象(情報の範囲)が従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては経済活動の安定性を確保すること」にあり、したがって、秘密管理性が認められるためには、「営業秘密保有企業の秘密管理意思(特定の情報を秘密として管理しようとする意思)が、具体的状況に応じた経済合理的な秘密管理措置によって、従業員2に明確に示され、結果として、従業員が当該秘密管理意思を容易に認識できる(換言すれば、認識可能性が確保される)必要がある」と考えられているのです。
つまり、「秘密管理措置」(高裁判決がいう「合理的な方法で管理」すること)によって、「秘密管理意思」(高裁判決がいう「秘密にしておく意思」)が十分・容易に認識できるようになっていることが、「秘密管理性」が認められるための要件であるとされていることになります。
業務委託先に情報を提供する際の「秘密管理措置」の実務
(1)営業秘密管理指針が示す「秘密管理措置」
営業秘密管理指針によれば、「秘密管理措置」とは、対象情報(営業秘密)の一般情報(営業秘密ではない情報)からの合理的区分と、当該対象情報について営業秘密であることを明らかにする措置とで構成されます。
「合理的区分」とは、典型的には、営業秘密にあたる情報が記載された紙を、他の情報とは区別してファイルにまとめて保管しておくことや、営業秘密にあたるデータを、他の情報とは区別して別のフォルダに保存しておくことなどをいいます。
また、営業秘密であることを「明らかにする措置」とは、典型的には、「マル秘」の記載をすることをいいます。
(2)委託先に情報提供する際に「秘密管理性」を満たすには
では、委託先に情報提供する際に、これらをどのように満たせば良いでしょうか。
営業秘密管理指針によれば、「営業秘密を特定した秘密保持契約(NDA)の締結により自社の秘密管理意思を明らかにする場合が典型的である」とされています。
典型的なNDAでは、開示する際に秘密であることを明示した情報を秘密保持義務の対象とする契約条項になっています。したがって、そのようなNDAの下で、営業秘密であることを特定して開示した情報は、「合理的区分」と営業秘密であることを「明らかにする措置」がなされており、秘密管理意思が相手方の会社において認識可能であるから、営業秘密としての「秘密管理性」を満たすと考えられるのです。
なお、営業秘密管理指針では、「取引先との力関係上それが困難な場合には、自社では営業秘密として管理されているという事実の口頭による伝達や開示する文書へのマル秘表示によっても、自社の秘密管理意思を示すことは、理論上は可能である。ただし、立証を考慮すれば、口頭での秘密管理意思の伝達ではなく、何らかの書面(送り状への記載等)が望ましい」とされていることが実務上の参考になります。
すなわち、秘密管理意思が認識可能になっていればよいのですから、相手に提供する際に、その情報が自社において営業秘密として管理されていることが説明されていればよいことになります。力関係が相手方に有利であるなどの事情があり、NDAの交渉に「負けて」しまい十分な保護を確保できなかったようなケースでも、送り状や電子メールの本文などに「なお、本情報は当社では営業秘密として管理されておりますので、お取り扱いにご留意ください」などと記載しておけば、後にトラブルになった際に営業秘密であると主張する足がかりを確保できるのです。
情報漏えいを防ぐための実務上の工夫
以上は、不正競争防止法の「営業秘密」と認められるための法的な対応ですが、情報が漏えいしないための具体的な方策として、何をすれば良いでしょうか。経済産業省の「秘密情報の保護ハンドブック」(平成28年2月)に基づいて解説します。
接近の制御
(1)取引先に開示する情報の厳選
- 契約前の商談等の場においては、秘密情報が記載された資料は渡さず、その場で回収したり、コアな情報は伝えないよう徹底する。
- コア技術に係る特に重要な秘密情報は取引先に開示せず、周辺技術のみ開示し、その範囲のみでの業務委託にする。
- 複数の委託先に業務を分担させた上で情報を渡す事で、特定の取引先に情報が集中しないように配慮する。
- 取引先が自社に来訪する場合でも、書庫や工場等への不必要な立入りをさせないようにする。
- 契約の範囲外の情報を渡さないよう徹底する。
まず、情報を不用意に相手方の会社に渡さないことが重要です。
特に、契約前の商談の段階で情報だけ提供させておいて、競合他社や実績のある大手企業に発注されてしまうことをできる限り防止すべく、契約前の商談等の場においては、秘密情報が記載された資料は渡さず、その場で回収したり、コアな情報は伝えないように、現場に徹底する必要があります。
(2)取引先での秘密情報の取扱者の限定
- 契約書等において、取引先における秘密情報の取扱者を指定する。その際、取扱者を変更する場合には、自社の許可が必要である旨契約書に規定する。
- 契約後の秘密情報のアクセスについては自社サーバーを利用することとし、そのアクセス権限を自社で管理する。(その際、サーバーへのアクセスログを記録・確認することは、③「視認性の確保」にも資するものと考えられる)
ここで実務的に参考になるのは、「自社サーバー」の利用です。情報を開示する際に、データを電子メールに添付して送信したり、媒体に保存して渡してしまうと、相手方の誰がどのように利用したのかがわからなくなってしまいます。これに対し、自社サーバーを利用しておけば、アクセス権を自社で管理できますし、アクセスログも記録・確認することができます。
もちろん、データをダウンロードされてしまえば同じことではありますが、後述するとおりデータをダウンロードできないようにすることも考えられますし、少なくとも、相手方とトラブルになった瞬間にアクセスを遮断できる点で、データを渡してしまうよりは有利ですから、情報開示には是非とも自社サーバーを利用したいところです。
なお、情報管理の一般論として、電子データにしておくと漏えいが怖いという意見をしばしば耳にしますが、紙の情報はアクセスログが記録・確認できないという致命的な欠点があることには留意が必要です。紙の情報をコピーされたり写真に撮られたりした場合、漏えいしたことにすら気づかないことになってしまうのです。
持出の困難化
(1)秘密情報の消去・返還と複製できない媒体での開示
委託契約や秘密保持契約等に、秘密情報の返還義務や消去義務を設けることが重要です。また、消去した旨の報告義務や消去の証明義務を設けることも有効です。
技術的には、複製ができない媒体を利用するなどして複製を防止するほか、自社サーバーで開示している場合には、データのダウンロードや印刷等を禁止する設定とすることが考えられます。
(2)遠隔操作によるデータ消去機能を有するPC・電子データの利用
- 遠隔操作によりPC内のデータを消去できるツール。
- 情報機器について、パスワードロックで、一定回数、認証に失敗すると重要情報を消去するツール。
- 一定期間、管理サーバーとのやり取りがなされない状態が続いた場合に指定したデータが自動的に消去されるサービス。
- 電子データそのものに遠隔操作による消去機能を備えさせるツール。
技術的に可能であれば、情報を開示する際に、一定の場合にデータを消去することができるPCや電子データを利用することが考えられます。
視認性の確保
(1)秘密情報の管理に係る報告の確認、定期・不定期での監査の実施
- 契約等に、秘密情報を管理していることを定期的に報告する義務を定め、その報告が契約内容に沿うものか否かを確認する。
- 契約等に、定期的に秘密情報へのアクセスログを提出させる義務を定め、アクセス者やその閲覧頻度等が契約内容に沿ったものか否か確認する。
- 契約等に秘密情報の管理状況について監査を実施する旨を規定し、定期・不定期に情報管理体制やその履行状況の監査を実施する。
情報を不正に取得したことがわかる状況を作り出す(視認性の確保)ためには、監査を実施するのが強力な措置でしょう。
(2)取引先に自社サーバーを使用させてログの保全・確認を実施
もっとも、実務的には、相手方との力関係や信頼関係もあり、監査が難しいケースも多いのが実情です。
そこで、前述のとおり自社サーバーを利用するのが、視認性を確保するためにもよいと考えられるのです。
秘密情報の認識向上(不正行為者の言い逃れの排除)
(1)取引先に対する秘密保持義務条項
- 契約等において、秘密保持の対象を「基本契約又は個別契約により知り得た相手方の営業上又は技術上の情報のうち、相手方が秘密である旨明示したもの」とし、実際の秘密情報の受渡しに際して秘密であることを明示する。
- 契約書等において、「甲が乙に秘密である旨指定して開示する情報は、別紙のとおりである。なお、別紙は甲乙協力し、常に最新の状態を保つべく適切に更新するものとする」旨記載し、双方協議の上、秘密保持の対象情報を別紙としてリスト化し、リストは常に最新の状態を保つよう更新する。
- 委託契約等の事業開始後に事前の契約等において指定した情報の範囲を超えるものを口頭で開示した場合には、開示した側が、情報の開示後一定期間内に当該情報の内容を文書化し、当該文書を秘密保持義務の対象とすることとするなど、予め、口頭で開示した情報の取扱いに関する規定を設ける。
ここであげられているのは、NDAの基本的な条項例といえるでしょう。
(2)秘密情報であることの表示
媒体や電子データに「秘密情報」であることの表示をすることが重要です。
(3)具体的な秘密情報取扱い等についての確認
秘密情報の具体的管理方法や契約終了後の取扱いを事前に確認したうえで、それを契約書に定めることが有効です。
(4)取引先に対する秘密情報の管理方法に関する研修等
- 重要な秘密情報を開示する場合には、取引先との秘密保持契約において、取引先における秘密保持に関する従業員への教育の実施を規定する。
(5)取引先とのやりとりの議事録等の保存
- 秘密情報の特定に当たって行う協議等のやりとりは、双方合意の上議事録を作成する。
- 秘密情報の授受に当たり、それを台帳で共有管理する(秘密情報の内容、授受の日時、保管場所、提供先等)。
- メールで秘密情報の授受を実施した場合にはそのメールでのやり取りを保存しておく。
信頼関係の維持・向上等
(1)適正な対価の支払い等
- 親事業者と下請事業者の関係の場合には、「下請適正取引等の推進のためのガイドライン」を参考にして、価格協議を頻繁に実施して原材料価格等の高騰分を適切に取引価格に反映するなどの対応をする。
- コンプライアンス宣言等を作成・公表し、それに基づいて相手との関係を構築する。
- 公平な取引を推進するため、自社従業員に向けた倫理研修を実施する。
(2)契約書等における損害賠償や法的措置の記載
契約書等において、秘密保持義務の違反時における損害賠償の責任を規定したり、契約時に、秘密情報の漏えい等に対して法的措置等の厳正な処置をとることを明記した自社のポリシーを通知すること等は、取引先による情報漏えいを牽制する効果があります。
まとめ
以上のとおり、営業秘密として保護されるためには、できればNDAにより、NDAがない場合またはNDAに実効性がない場合には送り状などにより、当該情報が自社にとって秘密として管理されているものであることを示す(秘密管理意思を示す)ことが重要です。
また、実際の管理方法として実務的に参考になるのは、可能な限り自社サーバーを利用するという方策です。これにより、アクセスログを記録・確認できるとともに、ダウンロードや印刷を禁止する技術的な措置を講じることも可能になるからです。
牛島総合法律事務所
- コーポレート・M&A
- IT・情報セキュリティ
- 知的財産権・エンタメ
- 危機管理・内部統制
- 訴訟・争訟
- ベンチャー