見出し画像

企業の営業秘密の管理実態(7/9)

IPAセキュリティエコノミクス

これまでの連載をふまえ、今後企業が取り組むべき適切な営業秘密管理の考え方について、複数の切り口で解説します。

(1)ニューノーマル下で営業秘密を適切に管理・活用するために考慮すべきこと

①「見切り発車」状態からの脱却
テレワーク等を用いた新たな働き方は、老々介護の増大など社会の変化や大規模災害におけるサプライチェーンの障害への対処などのため、今後常態化していくことが有識者インタビューで指摘されました(2021年1月実施)。また「デスクワーク」と呼ばれる業務形態は、今後業種や業態に関わらずテレワークでの実施が見込まれます。

一方、2020年にテレワーク等を実施した企業のうち、テレワーク等に対応した規程等を整備済みの企業は全体の3割程度。更に3割弱の企業が暫定または例外措置として運用を行い、残りの4割弱の企業は検討中もしくは対応の予定が無いという結果でした(図 2.2 106)。

画像1

このように、緊急事態宣言発令を受け、多くの国内企業が、事業継続の観点から機密性よりも可用性を重視する形で「見切り発車」的にテレワーク等の働き方を導入したことが想定されます。緊急避難的な措置としてはやむを得ない面もありますが、企業の施設内のみで秘密情報を扱うことを前提としたこれまでの手続きや対策の中には、テレワーク等の環境において有効ではなくなるものも生じます。よって緊急避難的な状況を永続させるのは大きな危険が伴います。例えば、限られた者しか入室できない建物や部屋への秘密情報の保存や、秘密情報の管理責任者が施錠されたキャビネットに保管するような対策、秘密文書を綴じたバインダーへの「マル秘」表示等については、電子データ化された営業秘密の取り扱いが前提のテレワーク環境においては機能しません。従って、これらに代わる対策を検討しなければなりません。

➁テレワーク等の環境における秘密管理措置の考え方
 テレワーク等に対応した営業秘密管理に関する規程や手続の整備には、次の2つの観点が必要です。

○ 被害発生防止の観点
サイバー攻撃等で不正に秘密情報を窃取しようとする外部からの攻撃や、内部不正による秘密情報の持ち出し、さらには役員・従業員の過失やシステムの誤動作などによる秘密情報漏えいへの実効的な防御

○ 法的救済の観点
何者かの不正競争行為によって上述のような秘密情報の漏えいが生じた場合、行為者に対し秘密情報の利用に関する差し止め請求や損害賠償請求を可能にするため、裁判所が営業秘密該当性を認定するに足る管理実態の担保
 
この2つの観点について、調査結果から考慮すべき点を以下に紹介します。

1)外部からのサイバー攻撃等への対応
 アンケート調査結果でも「自社の営業秘密を狙う外部からの標的型攻撃」は2番目に多い脅威と捉えられていました(図 2.2 32)。

画像2

業務中に不審な電子メールを受信した場合、オフィスにいれば周囲の同僚や上司に相談でき、電子メールにあるリンクをクリックしたり、添付ファイルを開封したりせず、被害を未然に防ぐ機会があります。一方、テレワーク等の環境では気軽に相談できる相手がいません。よってテレワークではオフィス環境よりも標的型攻撃やフィッシング詐欺等の被害が生じやすいとされます。更にテレワーク等による働き方は事務職に多いため、営業秘密の中でも技術情報より営業情報が扱われることが多くなります。よってテレワーク等におけるサイバーセキュリティ対策の検討には、こうした傾向の考慮が必要となります。

また、サイバー攻撃は適切な対策を講じても完全に防ぐことが困難です。よって、施錠されたキャビネット等に紙媒体で格納し管理していた秘密情報をテレワーク等で利用するために電子データ化すると、適切な保護対策を講じたとしてもサイバー攻撃による情報漏えいリスクが生じるのは確かです。
一方、現状では紙媒体の営業秘密を作成する際に手書きで作成されることは稀で、通常はネットワークに接続されたIT機器上で作成するのが一般的で、営業秘密を電子データで管理すること自体が情報漏えいリスクを著しく増大させるとは限りません。
このように、テレワーク環境での業務遂行に伴うサイバー攻撃の影響を適切に評価することは必ずしも容易ではありませんが、保護すべき営業秘密の利用実態、情報漏えいが生じた場合の被害の大きさ等を勘案した上で、テレワーク等での取扱いを認める情報の種類と、対策方法について検討する必要があるといえます。

2)従業員や関係者による内部不正への対応
情報漏えいに関するインシデントが発生している企業における主たる要因は、中途退職者による秘密情報の持ち出しでした(図 2.2 26)。

画像3


テレワーク等の場合、上司や同僚の目に触れずに秘密情報にアクセスできることはリスク要因です。一方で、秘密情報が電子データ化されていることで秘密情報へのアクセスログを自動的に取得する仕組みが構築できます。アクセスに用いるIDの詐称や不正利用がない限りという条件付きですが、内部不正行為のエビデンスを電子的に取得できる点は、テレワーク等環境のほうが内部不正を検知しやすいといえます。さらに、このようにアクセスログを通じて不正が露見することを従業員等に周知することで、「不正は見合わない」と理解させることで、内部不正の抑止効果が期待できます。インタビュー調査を行った企業においても、営業秘密の保護対策として実際にこのような取組みを行っていることを確認した。しかし秘密情報へのアクセス権限を正当に持つ担当者が、仮に業務目的でのアクセスと区別できない形で参照し、不正に持ち出しても、退職直前に不自然な大量のアクセス等でも無い限り、アクセスログ上で不正かどうかの判断は困難です。アクセスログを利用した不正検知の限界は存在するということになります。

次回はこの続きとして「被害発生防止」「法的救済」について考慮すべき点などについて紹介します。

概要資料表紙


この記事が気に入ったらサポートをしてみませんか?