特集

営業秘密情報の管理も企業力

▼秘密情報の保護ハンドブックのてびき
12月5日、経済産業省が「秘密情報の保護ハンドブックのてびき」を公開しました。

「秘密情報の保護ハンドブックのてびき;情報管理も企業力」を策定しました!
http://www.meti.go.jp/press/2016/12/20161205001/20161205001.html

経済産業省は今年2月に「秘密情報の保護ハンドブック」を公開したのですが、140頁ほどある資料だったため、気軽な利用を目的に新たに「てびき」を策定したとのことです。「てびき」では秘密情報にまつわる身近なトラブルと対策のポイントが分かりやすくまとめられており、秘密情報の漏洩を未然に防ぐため、具体的な事例などを踏まえた対策例が示されています。

▼不正競争防止法
営業秘密は、不正競争防止法によって法律上明確に位置づけられています。企業が営業秘密としての保護が必要と考えている場合は、以下の3つの要件を満たす必要があります。

  1. 秘密管理性:情報が秘密として管理されている
  2. 有用性  :生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報
  3. 非公知性 :公然と知られていない情報

そして秘密管理性の要件は、「客観的に秘密として管理していると認識できる状態」です。そのためには以下の2点が必要です。

  1. 情報にアクセスできる者を特定すること
  2. 情報にアクセスした者が、それを秘密であると認識できること

「不正競争」は、営業秘密の不正な取得・使用・開示行為を類型ごとに列挙して定義されています。不正な取得に対しては、差止め、損害賠償等の請求ができます。営業秘密の不正取得等に対しては、刑事罰が課せられます。例えば不正アクセスによる情報流出の被害を受けた場合に、不正アクセス禁止法、個人情報保護法といった法律への違反が疑われるわけですが、上記の3要件を満たしていれば、営業秘密の不正取得として加害者の責任を追及することができます。

 

▼営業秘密の保護とISMS
「てびき」は漏洩対策のステップを次のように説明しています。

  1. 保有する情報を洗い出します
  2. 秘密とする情報を決めましょう
  3. 情報に合わせた対策の選択と決定をしましょう

このステップは、情報資産の洗い出し→リスク分析→対策という、ISMSにおける情報セキュリティリスクアセスメントおよび情報セキュリティリスク対応のステップと同じです。さらに5つの対策が示されています。

  1. 秘密情報に近寄りにくくするための対策
  2. 秘密情報の持ち出しを困難にするための対策
  3. 漏えいが見つかりやすい環境づくりのための対策
  4. 秘密情報だと思わなかった!という事態を招かないための対策
  5. 社員のやる気を高め、秘密情報を持ち出そうという考えを起こさせないための対策

これらの対策は、要するに情報セキュリティ対策です。秘密情報は企業が保有する情報の一部ですから、情報セキュリティマネジメントシステムの考え方が通用するのは当たり前ですね。

ISMSを構築している企業は、基本的にISMSの枠組みの中で秘密情報の保護に取り組んでいるということになります。秘密管理性の要件に関しては、ISO27001のA.8.2(情報分類)およびA.9.2(利用者アクセスの管理)が該当します。

 

▼脅威は内に外に
ISMSの枠組が有効であるとはいえ、一般的な「情報」についてのISMSだけでは、営業秘密の保護には十分ではありません。

「てびき」には、企業の「内」側の脅威、すなわち人材を通じた技術流出に関する措置が示されています。人材の流動化が進んでいることを踏まえたものでしょう。「転職者を受け入れて新製品を開発したら秘密情報の侵害だと訴えられた」といった事例は、ISMSというより、営業秘密という観点から具体的な対策を講じるべきです。
一方、「外」からはサイバー攻撃により営業秘密や技術情報を盗もうとする動きがあり、サイバー攻撃対策の重要性が高まってきています。社内の情報は大切な秘密情報だ、と認識していると、逆に営業秘密という観点を忘れがちになるように思われます。なぜ秘密として扱われているのか、文書に「関係者外秘」や「社外秘」と記載されていないとどうなるのかという疑問を持つことが大切です。

「てびき」では営業秘密情報の漏洩が発生した際に見られる兆候や実際に発生した場合の対応方法や相談窓口なども紹介されています。この「てびき」を、営業秘密という観点から情報セキュリティを見直すきっかけとしてみてはいかがでしょうか。

経済産業省「秘密情報の保護ハンドブックの手引」
http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/hbtebiki.pdf