1 門外不出の技術・ノウハウを守るために何が必要なのか
(1)企業で秘密管理を行おうとする場合において陥りがちな問題点
企業が保有している情報、営業秘密・機密情報(営業秘密の意味、機密・秘密情報との違いについては、こちらの記事参照)の保護を否定する人はいないと思います。しかし、情報セキュリティ対策、情報管理にはコストがかかるため、対策にかけられる人的・物的リソースが不足していることが通常です。
そのようなリソースが限られる中ではどうしても短期的には利益を生まないセキュリティ対策は後手に回りがちであり、そのような中で大企業で行われているような一般的なマネジメントシステムとしてのセキュリティ対策のような総花的な対策をとることは、実際上難しいです。
リソースがない(特に人的リソース)にもかかわらず、営業秘密管理を行おうとすると、世間一般の解説書を参考にしたり、他社の管理規程を参考に自社の規程を作りがちです。当然ながら、このようなものは、多くの場合その企業の実態にそぐわないものになりがちです。実態にそぐわないだけであればいいですが、実態にあわない規程等は、規程と実態の乖離を生み、ルールはあるけれでも、誰も守らない、その結果、情報漏洩につながりかねません。
(2)抽象的な規程整備よりも、現実的なリスクのヘッジ
このように、リソースが限られているからこそ、実態にあったコンパクトで誰でもが理解できる対策をとる必要性が高いのです。誰もが理解できるという点では、先にセキュリティポリシーや規程の整備を行うよりも、具体的に何をすべきなのか、何をやってはいけないのかを明確にすることが大事なのです。
2 具体的な管理手法
(1)本当に重要な情報は何なのか
リソースの限られる中、一番に考えるべきなのは、本当に厳しく管理すべきなのは、どのような情報なのかということを見極め、絞り込むことです。
これはそれぞれの企業で異なるものであり、一般化できるものではありません。門外不出の技術・ノウハウの場合、技術開発にかかわるデータ、図面と言ったものが対象になるでしょう。
ありがちなのは、保護したいと考えた技術にかかわるものすべてを保護しようとしてしまうことです。ある製品に技術に関する情報と言っても、実験データや設計図面といった要保護性の高い情報から、特許出願され公開済みの技術情報まで様々の情報が存在します。
したがって、技術にする情報であっても、技術得情報というカテゴリーで考えるのではなく、具体的な情報が漏洩した場合のリスクを具体的に考えてみることが大事なのです。
なお、自社開発の技術情報と他社から開示を受けた技術情報とでは若干リスクの考え方は異なります。自社開発の技術情報に関しては、極端に言えば、会社として全く保護しないという方針もありえます。技術保護にリソースをかけずに開発スピードを優先する等、自由に考えればよいのです。これに対して、他社から開示を受けた技術については、その漏洩等により他社の利益を害することになるため、一定程度の管理策が要求されることになります。さらに、大手企業からの受託した業務に関する情報の場合、受託情報の漏洩のリスクは、取引を失うリスクにつながるため、その点のリスクについても十分検討すべきことになります。
(2)情報入手時の識別管理
近時の判決例においては、不正競争防止法における「営業秘密」該当性の「秘密管理性」の要件判断においても、秘密であることが識別できるか(社員等からみて、その情報が秘密にしておかなければいけないものであることが分かるか)ということが重視される傾向にあります(営業秘密についてはこちらを参照)。
もちろん、アクセス管理等の要素(紙媒体の情報であれば施錠管理、電子データであればID・PWによる管理等)についても秘密管理性判断の上で考慮されることはもちろんですが、アクセス管理等が不十分な場合であっても、識別できるかということを重視して営業秘密としての保護が与えられる場合もあることから、リソースの限られている企業においては、まず、識別管理を優先させた方がよいです。
したがって、情報の発生、受領の段階(なるべく早い段階が好ましいです)で、「極秘」「秘」「社外秘」といった、特別の管理が必要であるというマークを文書、媒体の場合には付けることが重要です。
ここでの注意点は、幅広く極秘に指定するなどということを避けるということです。管理の対象を絞り込むことで、本当に守るべき情報をきちんと守るということ(リソースを重点的に配分する)、営業秘密の認定において重要でない情報にまで極秘等をつけるとかえって、秘密管理がおろそかになり、秘密管理性が否定(不正競争防止法による保護を受けられなくなる)されかねないからです。
(3)現実的なアクセスコントロール
紙媒体、記録媒体等については、施錠管理をまず徹底することが第一であり、その上で、予算等を勘案して、ICカード等による入退室管理を検討することがいいでしょう。
電子データについては、保存すべきデータを一定のサーバに集中させ、保存領域にアクセス権限を設定した上で、特定の者のみアクセスできるよう管理することが基本になります。社員のPC等にデータを保存させるのではなく、サーバ等で集中させることにより、データの管理をしやすくすることが基本です。このあたりの具体的な対策については、こちらのリンク集を参考にしてください。
また、ID・パスワードの共有ということも部門によっては行われていることがあります。これでは、ID・パスワードを設定した意味がなくなってしまいますので、運用面に注意が必要となります。
この関係で重要なのは、人事異動に伴い、アクセス権限を変える必要があること、特に退職者についてのアカウントを削除するといった運用をきちんとやることも当たり前であるが重要です。退職者が昔のアカウントのままでアクセスしたといった不正アクセス禁止法の事案を時折見かけます。人事管理規程と情報管理規程との連携、総務・人事部門と情報システム部門との連携を考えることも必要でしょう。
3 管理規程、手順書作成上の注意点
まず、管理規程、その他の規則については、就業規則との関連づけを行い、重大な違反については、懲戒事由となるようにしておく必要があります。
また、管理規程とは異なる問題ですが、従業員と誓約書を取り交わすことにより、秘密保持義務(管理規程の遵守を含む)を課すことも必要です。誓約書がなくとも、労働契約に附随する義務として秘密保持義務は認められますが、その内容が必ずしも明確ではありませんので、より具体化した秘密保持義務を内容とする誓約書をとることでリスクを下げることができます。また、従業員の自覚を促すという意味で、教育的な観点からも誓約書を取るべきであろう(できれば秘密管理の研修とセットで、営業秘密等の重要性を理解した上でサインすることが教育的な観点から有用だと思われます)。
管理規程を策定する上で参考になる資料として、経済産業省が作成した営業秘密管理指針等があり、こちらのリンク集にまとめています。
「秘密情報の保護ハンドブック」等には、規程等のサンプルが掲載されていますし、参考になります。ただ、規程等は、現場の人間がこれを見たところで、実際に何をやっていいのか判断できないと思われます。やはり、具体的な手順書(マニュアル)レベルのルール決め、規程等への落し込みを行うべきでしょう。