見出し画像

企業の営業秘密の管理実態(8/9)

IPAセキュリティエコノミクス

前回に続き、テレワーク等に対応した営業秘密に関する規定や手続きの整備に必要な「被害発生防止」「法的救済」の2点について考慮すべき点を冒頭に紹介し、その後、「営業秘密該当性を満たすための秘密管理措置の考え方」について説明します。

3)業務上の過失や誤操作への対応
 企業において漏えいが生じると損害が大きい営業秘密を電子メールやFAX等で送信する場合、誤送付防止の観点から宛先が正しいかどうかを複数名で確認するなどの手続きが定められていることがあります。このような手続きはオフィス環境での業務を前提としており、テレワーク等の環境では通用しません。そこで、テレワーク勤務者が外部に営業秘密を送信する場合、上司、同僚等組織内の別のメンバーが宛先を確認するプロセスを追加することで、オフィス環境での業務と同等の安全性を担保することが可能と考えられます。このように、テレワーク等では従業員の過失や誤操作による情報漏えいを防ぐための対策について、実施可能な代替策の検討が望まれます。
 また、テレワーク等に限った話ではありませんが、クラウドサービスを使って秘密情報を共有する場合、アクセス権限の設定ミスにより、インターネットから閲覧可能となることで生じる、情報漏えいインシデントが多数発生しています。調査の結果では、クラウドサービス利用における対策として最も多く実施されているのがアクセス権限の定期的な確認で、クラウドサービスを利用する際は怠りなく実施する必要があります(図 2.2 86)。

画像1


(2) 「営業秘密該当性」を満たすための秘密管理措置の考え方

 不正競争防止法による法的救済を可能とするには、対象となる営業秘密について「営業秘密管理指針」が示す秘密管理性、有用性、非公知性の3条件で構成される営業秘密該当性を満たす必要があります。裁判所における「営業秘密該当性」は秘密として管理すべき情報の管理状況から機械的に判断されるものではありません(文献調査(報告書98ページ~)裁判例調査(報告書116ページ~)参照)。しかし「営業秘密管理指針」に示されている秘密管理措置の例示に相当する対策を講じることが一つの目安となります。

次にテレワーク等の環境における秘密管理措置について、アクセス制限と秘密情報であることの認識可能性の2つの観点に基づく考え方を紹介します。

① 現実的なアクセス制限の実施
 アクセス制限の基本的な考え方は、アクセスする必要のある者に許可し、不要な者に許可しないことです。これは"Need-to-know"の原則として知られています。一般的にアクセス制限を厳格に実施すると、業務体制やプロジェクトの変化の度に頻繁に変更の必要が生じ、その結果アクセス制限に係る運用負荷が膨大となります。そこで現実には同一部署の全メンバーに同一の権限を適用するなど、やや緩めの運用を行ったり、細かい設定変更に関しては現場部署に一定の管理者権限を与え、管理負担を減らしていることがインタビュー調査の結果確認できました。一方で、アクセス制限のルールはあるものの完全に形骸化し、実際には誰でも秘密情報にアクセスできるようなケースで、秘密管理性があったとは認めない裁判例も存在していました。よって、合理的な範囲でアクセス制限を設定し、持続的にその機能を維持するような運用が必要といえます。

 テレワーク等の環境の場合、秘密情報へのアクセスに先だって適切な利用者認証を行い、アクセス権限を有する者かどうかを識別する仕組みを用いて業務を行えば、オフィス環境での業務と同等のアクセス制限が有効になるケースが多いと考えられます。ただし、テレワーク環境への紙媒体による秘密情報の持ち出しを許可する場合、運用次第では紙媒体の施錠保管ルールが形骸化する恐れがあり、持ち出しの必要性を慎重に検討すべきです。

②秘密情報であることの認識可能性の確保
 従業員等による営業秘密情報の持ち出しを不正競争行為とする訴訟において、情報を持ち出した時点で当該従業員がその情報が秘密であると認識できていなかったことが推定される場合、裁判所によって秘密管理性が否定されることがあります。テレワーク等の環境では、従来のオフィス環境における、営業秘密の保管場所に「関係者以外立入禁止」の表示や営業秘密を綴じたバインダーへの「マル秘」表示などが機能しません。そのため従業員が容易に秘密であると認識可能な代替方法を用意する必要があります。具体例として、営業秘密を保存するフォルダーをそれ以外の情報から区分し、フォルダー名に秘密であることがわかる記号等を含めることをルール化することが挙げられます。反面、このような方法は、秘密情報を外部に不正に売却しようと考える内部不正行為者に対し、価値の高い情報を示すことになり弊害にもなります。そこで「①  現実的なアクセス制限の実施」で示したアクセス制限との適切な組み合わせによる実践が望まれます。

営業秘密情報の漏えいを生じさせにくい環境をつくるための対策についてのアンケート調査の結果は、2016年調査と比較してほとんどの項目の実施率が増える中で「社員証等の着用義務づけ」「立入禁止等の警告表示」「不正検知が容易な座席レイアウトの工夫」の3項目だけ実施率が低下する傾向が示されました。それは、上述したようなテレワーク等の環境でこうした対策が機能しないことを回答企業が意識し、代替案に重点を置くようになったことの現れと考えられます(図 2.2 62)。 

画像2

次回は、営業秘密の区分管理の現状と課題について、調査結果から考察します。

概要資料表紙


この記事が気に入ったらサポートをしてみませんか?