企業の営業秘密の管理実態(1/9)

先週、積水化学の元社員がSNSを通じて知り合った相手に勤務先の機密情報を漏えいした事件の初公判についての報道がありました。IPAでは企業の営業秘密管理に関する調査を4年ぶりに実施し、2021年3月に公開しました。この連載ではその報告書の内容を紹介します。<１>では事前に立てた仮説に照らし、前回（2016年）調査と比較し、変化を考察します。（※営業秘密：秘密管理性、有用性、非公知性の用件を全て満たし、不正競争防止法で保護される技術やノウハウなどの情報のこと）なお、本連載で紹介する図はIPAウェブサイトで公開している報告書に記載の番号のままとなっています。

■　内部不正対策は進展したか？

仮説①　営業秘密漏えいに関する報道等を受け、内部不正による情報持ち出し抑制のため、誓約書の徴求や就業規則の見直しを行った企業が増加した。

結果①　役員を対象に秘密保持契約を締結している企業は36.4%から44.6%（8.2%増）（図 2.2 65）、従業員とは46.1%から56.6%（10.5%増）（図 2.2 67）といずれも増加した。

図 2.2 98の情報管理に関する規程・手続等の見直しを行った動機として、経営層の指示が高いことを踏まえると、営業秘密漏えいに関する報道等を受けて、経営層が内部不正による情報持ち出し等の被害抑制のため、秘密保持契約の締結等の対策を講じる企業が増え、仮説通りであったと考えられます。

仮説②　内部不正を原因とする情報漏えいインシデントの発生は技術的対策と組織的対策の組み合わせが普及し、微減した。

結果➁　退職者による秘密情報持ち出しは2020年においても主たる要因となっており、減少傾向にはないという結果から、内部不正による情報漏えいが微減しているのではないかとの仮説は成立しなかった（図 2.2 26）。

一方で、情報の不正な持出を防ぐための対策や漏えいを生じさせにくい環境をつくるための対策として、内部不正の検知技術の導入は進んでいますが、これは内部不正インシデントが引き続き重視すべき脅威と認識されていることの表れと考えられます（図 2.2 59、図 2.2 62）。

図 2.2 59　営業秘密情報の社外への不正な持出を防ぐための対策の実施状況（経年比較）(報告書44ページ)

仮説③ 　クラウドサービスで秘密情報を共有している場合の不正利用対策は、対策の認知度が低いこともあって導入が進んでいる企業は少ない。

結果③　企業が契約するクラウドサービスにおける情報漏えい防止対策は内部不正を意図するよりも、アクセス権限の設定ミスやサイバー攻撃に備えたものが中心となっており、不正利用対策が進展していないのは仮説の通りであった(図 2.2 86)。

一方で、従業員が勝手に無料のクラウドサービスを利用し、データをアップロードすることで不正な持ち出しを実現するようなシャドークラウドについて、大規模企業に関して言えば半数近い企業において何らかの対策が進んでおり、クラウドサービスを用いた不正利用の脅威が企業において認識されていることが明らかになりました（図 2.2 88）。

次回は、中小企業における情報管理対策に関する調査結果の比較を紹介します。この調査の報告書は以下のリンクからご覧になれます。