1.はじめに
当連載の第2回では(独)情報処理推進機構(以下、IPA)が公開した「組織における内部不正防止ガイドライン」第5版について詳しく解説した。これを受けて本稿では、IPAガイドラインの後を追うように、ほぼ1か月後に経済産業省が改訂版を公開した「秘密情報の保護ハンドブック」(以下、ハンドブック)を読み解いていく。この2つの公的指針は、目的が「内部不正防止」・「秘密情報の保護」と異なっているものの、秘密情報漏えいの主原因の1つが内部不正であることから、相互に相関性が高い内容となっている。
ハンドブックの初版は経済産業省知的財産政策室から平成28年2月に公開され、その後、令和4年5月に最新の改訂版が公開されている*1。また知的財産政策室は、ハンドブックのポイントを紹介したPowerPoint資料*2や簡易版*3も公開しているので、こちらも参考にしていただきたい。
*1: https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/handbook/full.pdf
*2: https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/1706blueppt.pdf
*3: https://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/170607_hbtebiki.pdf
・・・本書では、秘密情報を決定する際の考え方や、その漏えい防止のために講ずるべき対策例、万が一情報が漏えいした場合の対応方法等を、近年の情報漏えいの具体的事例を交えて示しており、それによって、経営者をはじめとする企業の方々に、自社における秘密情報の管理を適切に実施していく際の参考としていただくことを目的としています。 | |||
図1 ハンドブック公開の目的(ハンドブックより引用)
2.ハンドブックとIPA「組織における内部不正防止ガイドライン」の棲み分け
(1) 両者の関係
企業・組織の秘密情報の漏えいは、元来は人伝(≒内部不正)が主因であり、サイバー攻撃による漏えいはほとんど意識されていなかった。
近年は、サイバー攻撃による漏えいに対する企業のリスク認識が大幅に高まってはいるものの、それでも「人伝」が主因であることには変わりはない。例えば2020年度のIPA実態調査結果では、「サイバー攻撃等による社内ネットワークへの侵入に起因する漏えい」は10%に届いておらず、中途退職者による漏えいの4分の1に満たない。(図2参照)。
従って、現在でも秘密情報の漏えいを防止する上で、内部不正防止への取り組みが欠かせない。このため、ハンドブックとIPA「組織における内部不正防止ガイドライン」は、企業の取り組みのあるべき姿や対策の内容において、数多くの共通点を有している。実際、これら2つの公的指針は全く別々に検討されている訳ではなく、ハンドブックを所管する経済産業省知的財産政策室と「組織における内部不正防止ガイドライン」を所管するIPAセキュリティセンターセキュリティ分析グループは相互に連携を取りあっている。
従って、2つの公的指針の内容は矛盾なく整合するように維持されており、どちらが上でどちらが下ということは無いため、お互いに「兄弟姉妹」のような関係と言えるかもしれない。
(2) 焦点を当てた視点の違い
IPA「組織における内部不正防止ガイドライン」が内部不正防止のための対策周知に焦点を当てているのに対し、ハンドブックは秘密情報の管理徹底に焦点を当てているため、情報管理の色彩が強いことが特徴になっている。具体的には、
- 秘密情報の特定
- 重要度等に基づく秘密情報の分類
- 各分類に則した、秘密の管理手法の選択
- 秘密の管理手法の具体的な例示
- 他社から受領する秘密の適切な管理手法
- 秘密漏えい時の不正競争防止法(営業秘密、限定提供データの保護等)の適用実務
などに焦点を当てた内容構成である。経済産業省知的財産政策室が不正競争防止法を所管していることを考慮すると、ハンドブックが秘密情報(営業秘密、限定提供データなど)の管理に重点を置くことは自然な流れと言える。
もう1つ注意したいのは、重点を置く秘密情報の種別である。ハンドブックは不正競争防止法との関わりから営業秘密や限定提供データに当初から重点を置いてきているが、IPA「組織における内部不正防止ガイドライン」は、制定当初は個人情報に重点を置いており、対象とする情報種別に違いがあった。
しかし、新日鉄や東芝ハイニックスの大規模な営業秘密漏えい事件が注目されて以降、社会における営業秘密/重要なデータの漏えいに対する関心が高まったため、第5版改訂時に営業秘密/重要なデータに対する内部不正もスコープに追加した。このため、ハンドブックとIPA「組織における内部不正防止ガイドライン」の内容がさらに近付いたと言える。
(3) 期待される主たる読み手の違い
ハンドブックは不正競争防止法の適用を念頭においた企業実務の解説に主眼が置かれているため、読み解くにあたって不正競争防止法についての知識や土地勘を持っている方が、理解が進みやすいという側面がある。このため、ハンドブックの読み手は法務・知財部門に所属している方々が中心となる。
一方でIPA「組織における内部不正防止ガイドライン」は、目次構造に「JIS Q 27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムー要求事項」との類似性がはっきりと見て取れるため、情報セキュリティ管理に携わる方々にとっては読みやすいという実態がある。このため、当該ガイドラインの読み手はITシステム/情報セキュリティ部門の方々が中心となる。
今後、国内企業がイノベーションを生み出し続け、将来に亘って競争力を長く持続させ、我が国の先進性・優位性を維持し続けるためには、知的財産・無形資産ガバナンスの構築*5が重要と言われているが、知的財産権の戦略的活用に留まらず、営業秘密となる「種々のノウハウ」を適切に保護して最大限差別化に活かしていくことが不可欠と言える。
この観点では、企業の強みを左右する重要な営業秘密/データの管理において、法務・知財部門の役割が今後さらに重要になっていくことが予見される。従って、今後ITシステム/情報セキュリティ部門と法務・知財部門の密な連携を積極的に進めることが望ましい。この連携にあたり、ハンドブック(法務・知財部門が主たる読み手)とIPA「組織における内部不正防止ガイドライン」(ITシステム/情報セキュリティ部門主たる読み手)が両組織の橋渡しをするツールとして、共通のリスク認識を熟成するために広く活用されることを期待している。
*5 https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/tousi_kentokai/governance_guideline_v2.html
3.ハンドブックの特徴
(1) 企業の実態調査結果(令和4年度)との対比
IPAでは令和4年度に「企業の内部不正防止体制に関する実態調査」と題した事業を実施し、弊社がこれを受託して実施した*6。この調査で得られた重要な成果は色々あるが、ここではそのうち以下の3点を取り上げて、ハンドブック活用の有効性を指摘しておきたい。
*6: https://www.ipa.go.jp/security/reports/economics/ts-kanri/ps6vr7000000jpfj-att/ps6vr7000000juft.pdf
(ア) 内部不正(≒秘密漏えい)リスクを重要な経営課題として捉えることが急務であり、これを実現することで経営層のリーダーシップを始めとして、従業員全体の教育/リテラシー向上、社内規程の整備、対策の整備の全てに良い効果を期待できる
(イ) 経営層の指示の下、重大な事業リスクと重要な秘密の紐付けを強化することで、重要な秘密に焦点を絞った効率的・効果的な重要情報管理を実現できる
(ウ) 個人情報保護への取り組みは進んでいても、営業秘密や重要データの保護はまだまだ十分ではない企業が非常に多く、底上げが必要である
まず(ア)に関連する調査結果を抜粋してみる*7。
図3が示すように、内部不正(≒秘密漏えい)リスクを重要な経営課題として捉えることの重要性は明白だが、ハンドブックは「経営者は、企業の価値・競争力の源泉となる秘密情報を含めた『情報資産』を企業活動の中でどのように有効に活用しつつ、企業価値・競争力の毀損につながるその漏えいリスクにどのように対処していくかを、リーダーシップを持って判断していかなければなりません。」というメッセージを目的に連なる基本理念として冒頭で強調している。ハンドブックの活用を考えている読者におかれては、図3の調査結果を根拠として活用していただき、是非このメッセージを経営層に強く進言することをお願いしたい。
次に(イ)との関連では、「事業に大きな影響を及ぼすような重要な秘密の管理に全社を挙げて取り組んでいる企業・組織の割合はまだ十分ではない」という調査結果が得られている*7(図4参照)。
これに対して、ハンドブックは「秘密情報の洗い出し」→「秘密情報の決定」→「秘密情報の分類」の一連の流れ(図5参照)を丁寧に解説しており、企業における重要な秘密管理の課題を解決する上で最も有用な指針となっている。
また、ハンドブックは基本理念として、「秘密情報の管理を実施することには、個別の企業や働く方々にとっても、社会全体にとっても、その実施に係るコストを上回る効用があると言えます。したがって、経営者・情報管理責任者の方々は、この点を踏まえ、一時的な秘密情報の管理に係る手間・コストなどを嫌うことなく、秘密情報の漏えい事故は、企業価値の毀損につながる深刻なリスクである点を認識し、情報の適切な管理・取扱いを求める法令への受け身的な対応に終始するのではなく、企業価値の維持・向上にとっての深刻なリスクを回避し、むしろ企業価値・競争力の維持・向上に積極的・能動的に務めることも含めて、法令遵守の観点から、その実施に適切に取り組んでいただきたく思います。」とも述べている。
読者におかれては、情報資産管理の重要な一角を成す「重要秘密の管理」の充実を喫緊の課題と捉えた際には、このハンドブックを活用して、是非ともガバナンス構築と具体的な対策の実装に取り組んでいただきたい。
最後に(ウ)との関連では、内部不正(≒秘密漏えい)防止に係る種々の取り組みが個人情報に偏っており、営業秘密や重要なデータが重視されていない企業が多いという調査結果が出ている(図6参照)*7。
i. 個人情報保護法制と比べると、不正競争防止法(営業秘密、限定提供データ)に関するリテラシー教育はかなり遅れている。 ii. その影響なのか、個人情報管理のための規則と比べると、営業秘密管理や限定提供データ管理のための規則の制定はかなり遅れている実態がある。 iii. 従って、個人情報管理のための規則と比べると、営業秘密管理や限定提供データ管理のための規則が組織全体で認知されている割合もかなり低い。 iv. さらには、個人情報の特定に比べると、営業秘密や重要データを特定する仕組みの整備がかなり後手に回っている。 v. 内部不正対策を所管する部署であっても、個人情報保護法と比べて、不正競争防止法(営業秘密、限定提供データ)に関する知識の蓄積がかなり遅れている。 vi. これらを考慮すると、「個人情報だけでなく、重要技術情報・ノウハウ、重要データに対する内部不正にも対応できている」とした回答者の割合は27%に過ぎないことも納得できる。 |
ハンドブックは不正競争防止法を所管する経済産業省知的財産政策室が公開した指針であり、営業秘密や限定適用データの保護に主眼があるため、上記課題を有する企業におかれては参考とできる内容が充実しているので、是非ともハンドブックを活用して課題を改善していただきたい。
(2) IPA「組織における内部不正防止ガイドライン」との構成の違い
既に述べたとおり、ハンドブックはJIS Q 27001のフレームワークに近い構造を持つIPA「組織における内部不正防止ガイドライン」とは異なり、「秘密情報の洗い出し」→「秘密情報の決定」→「秘密情報の分類」の一連の流れをまず解説した上で、各分類に対して適切な対策を割り当てるという建て付けになっている(図表5参照)。さらには、対策の割り当てにあたって4つの典型的な秘密漏えいルートを提示し、各ルートについて5つの目的を実現するための対策指針を個別に例示している。この構造を図7に示す。なお、4つの典型的な秘密漏えいルートとは、
(ア) 従業員等からの漏えい
(イ) 退職者等からの漏えい
(ウ) 取引先からの漏えい
(エ) 外部者(サイバー攻撃者、産業スパイなど)
であり、5つの対策の目的とは、
a. 接近の制御
b. 持出し困難化
c. 視認性の確保
d. 秘密情報に対する認識向上
e. 信頼関係の維持・向上等
であるとしている。ここで、a.~e.は犯罪心理学の理論を参考にして設定されたものである。
(3) 他社の秘密を侵害しないための対策例や、秘密漏えい後の証拠保全や法的対応の方法も詳しく解説
図7は秘密情報の漏えいを防止するための事前対策をカバーしているが、実はハンドブックのカバレージはもう少し広い。具体的には、秘密漏えい発生後の対応プロセスにも言及しているし、他社の秘密を自社が侵害したという紛争への備えについても詳しく解説している(図8参照)*7。
4.ハンドブックの主なポイント
(1) ハンドブックの目次構成
ハンドブックの構造(フレームワーク)については既に述べたが、ここでは参考までに目次を示しておく*7。ハンドブックは、契約書などの参考例、各種窓口、刑事的措置のあり方などの参考資料も充実しており、実務での活用を十分に意識した構成となっている。
(2) ハンドブックと営業秘密保護指針/限定提供データに関する指針の関係
ハンドブックは、有効と考えられ推奨される対策などを、事例(グッドプラクティス)に基づき網羅的に紹介するものであるのに対し、営業秘密管理指針は法的保護を受けるために必要となる最低限の水準の対策を示すものとして位置付けられる。このため、営業秘密管理指針はハンドブックのベースとなる法的解釈を与える基盤資料であると理解すると、両者の関係が分かりやすい(図10参照)。
例えばこの関係を踏まえた上で、営業秘密として法的に保護されるための管理要件については法務・知財部門の協力を得て営業秘密管理指針を読み解いておき、その知見・ノウハウを、ハンドブックを参考にしてITシステム/情報セキュリティ部門が自社の管理ルールに組み入れるといったような対応が想定される。
一方、限定提供データに関する指針は、不正競争防止法における「限定提供データ」として法的保護を受けるために必要となる最低限の水準の対策を示したものである。これを基盤資料として限定提供データ保護のグッドプラクティスを構想するのが良いが、ハンドブックが扱う秘密情報保護のグッドプラクティスが必ずしもすべて当てはまるわけではないので、限定提供データにも活用可能な内容を抜粋して参考にすることが求められる。
(3) 秘密漏えいの「典型的な4ルート」と「対策の5つの目的」
ハンドブックが秘密漏えいの「典型的な4ルート」のそれぞれについて、「5つの目的を果たすための対策」の具体例を整理していることについては、既に3.(2)および図7で紹介しているが、ここではその内容について少し掘り下げてみたい。なお、ハンドブックが示す「対策の具体例」の項目一覧を表1に示したので、併せて参考にしていただきたい。
まず対策には、より包括的な「上流」の対策と、より個別具体的な「下流」の対策がある。そして、上流の対策ほど幅広い効果が期待でき、下流の対策は残った「穴」をピンポイントで埋める役割を果たすと捉えると分かりやすい(図11参照)。「最上流」に当たるのが「信頼関係の維持・向上等」であり、これを実現することが最も効果が大きいのだが、一般にはあまり重視されない/後回しになる傾向が強いと考えている。
その次にくるのが、ハンドブックでも重点を置いて詳しく取り上げている「秘密情報に関する認識向上」である。秘密情報をしっかりと認識せず、その漏えいリスクを軽視すると、組織的・人的対策の部分にほころびが生じやすくなる。また、内部不正につながる不審な行動を相互に監視し合う「人の目」も働きにくくなってしまう。そして一番「下流」にあるのが、「接近の制御」「持出し困難化」「視認性の確保」という個別具体的な対策である。一般には、これらの下流の対策(特に、技術的なもの)に最初に着目する傾向が強いが、実は下流の対策だけで何とかしようとする試みは費用対効果が悪く、企業により大きな費用負担を強いることになりがちである。
対策の実施にあたっては、上流から下流に向けてバランス良く措置していくことが重要であり、上流に位置する対策を軽視しないように注意したい。
表1を用いて対策例を俯瞰してみると、「従業員等」と「退職者等」は共通部分が多く、一部「退職者等」に特化した対策例が組み入れられている。また、「外部者」についても、表現は少し異なるものの「従業員等」や「退職者等」と共通する対策例が多いことが分かる。他方で、「取引先」に対する対策例は他のルートとはかなり違っており、取引先との約束事やその遵守状況の監視・監査などが中心となっている。
次に対策の目的について、概観を個別に紹介していきたい。まず、「接近の制御」は、秘密情報に物理的および電子的に接近・アクセスできないようにする対策である。物理的な境界を設けること、紙にしないこと、不必要になった秘密情報は早急に断捨離すること、ID管理とアクセス制御、サイバー攻撃に対する境界防御やゼロトラストなどが主眼になっている。
「持出し困難化」は、秘密情報を物理的および電子的に社外に持ち出すことを難しくする対策である。単に物理的に持ち出したり、電子的に社外に送信することに留まらず、秘密情報の暗号化、複写を困難にすること、不必要になった秘密情報の断捨離、社外に出た秘密情報の遠隔操作による消去、社外に持ち出す端末のシンクライアント化などをカバーしている。
「視認性の確保」は換言すれば「見える化」を進めることであり、物理的対策としては、これを進めやすい職場環境の管理、見通しが効く職場空間の整備、防犯カメラの設置、名札や来訪者バッジの着用、秘密情報を記録した媒体の管理、コピー/印刷の記録・透かし印刷、秘密情報の保管区域などへの入退室管理、来訪者の入退室管理などがある。一方、電子的な対策としては、外部に送信するメールのチェック、不自然なデータアクセスの検知、情報システム/ネットワークにおけるログ記録・監視およびその周知、取引先への自社サーバー利用の提供などがある。これ以外にも、人的・組織的対策として、内部通報制度、定期・不定期での内部監査、取引先の監視と定期・不定期での監査などが挙げられている。
「秘密情報に関する認識向上」は秘密情報を正しく認識して取扱うための対策である。立入禁止や写真撮影禁止の表示、規則整備・研修、秘密保持義務契約の締結、秘密情報であることの表示、秘密情報の返却・消去の徹底、取引先との合意と監視などがある。
「信頼関係の維持・向上等」は、充実感・満足度を高め、罰則を認識させることで不正を行う意欲を持たせないための対策であり、従業員等の意識向上、社内処分・契約での損害賠償責任等の明示、働きやすさと働くモチベーションの向上、適切な退職金や委託対価の支払いなどがある。
表1 典型的な秘密漏えいルートに対する5つの目的の対策例一覧
対策の5つの目的 | 秘密情報漏えいの典型的な4ルート | ||||
従業員等 | 退職者等 | 取引先(委託先、委託元、外注先、外注元、共同研究相手等) | 外部者 | ||
前提となる留意点 | ー | ー | 秘密情報を取り扱う業務を不用意に委託しない ・取引先での秘密情報の取扱者の限定 | ー | |
接近の防御 | a.ルールに基づく適切なアクセス権の付与・管理 b.情報システムにおけるアクセス権者のID登録 c.分離保管による秘密情報へのアクセスの制限 d.ペーパーレス化 e.秘密情報の復元が困難な廃棄・消去方法の選択 | a.適切なタイミングでのアクセス権の制限 | a.取引先に開示する情報の厳選 b.取引先での秘密情報の取扱者の限定 | a.秘密情報を保管する建物や部屋の入場制限、書棚や媒体等のアクセス制限 b.外部者の構内ルートの制限 c.ペーパーレス化 d.秘密情報の復元が困難な廃棄・消去方法の選択 e.外部ネットワークにつながない機器に秘密情報を保存する f.ファイアーウォール、アンチウィルスの導入、ソフトウェアのアップデート g.ネットワークの分離(複数のLANを構築) | |
持ち出し困難化 | 【書類、記録媒体、物自体等の持ち出しを困難にする措置】 a.秘密情報が記された会議資料等の適切な回収 b.秘密情報の社外持ち出しを物理的に阻止する装置 c.電子データの暗号化による閲覧制限等 d.遠隔操作によるデータ消去機能を有するPC・電子データの利用 【電子データの外部送信による持出しを困難にする措置】 e.社外へのメール送信・Webアクセスの制限 f.電子データの暗号化による閲覧制限等 g.遠隔操作によるデータ消去機能を有するPC・電子データの利用 【秘密情報の複製を困難にする措置】 h.コピー防止用紙やコピーガード付の記録媒体・電子データ等により秘密情報を保管 i.コピー機の使用制限 j.私物のUSBメモリや情報機器、カメラ等の記録媒体・撮影機器の業務利用・持込みの制限 【アクセス権変更に伴いアクセス権を有しなくなった者に対する措置】 k.秘密情報の消去・返還 | 【従業員に向けた対策】 左記a.~j.に同じ 【退職予定者等に対する特有の措置】 k.社内貸与の記録媒体、情報機器等の返却 | a.秘密情報の消去・返還と複製できない媒体での開示 b.遠隔操作によるデータ消去機能を有するPC・電子データの利用 | a.外部者の保有する情報端末、記録媒体の持込み・使用等の制限 b.PCのシンクライアント化 c.秘密情報が記載された電子データの暗号化 d.遠隔操作によるデータ消去機能を有するPC・電子データの利用 | |
視認性の確保 | 【管理の行き届いた職場環境を整える対策】 a.職場の整理整頓(不要な書類等の廃棄、書棚の整理等) b.秘密情報の管理に関する責任の分担 c.「写真撮影禁止」、「関係者以外立ち入り禁止」の表示 【目につきやすい状況を作り出す対策】 d.職場の座席配置・レイアウトの設定・業務体制の構築 e.従業員等の名札着用の徹底 f.防犯カメラの設置等 g.秘密情報が記録された破棄予定の書類等の保管 h.外部へ送信するメールのチェック i.内部通報窓口の設置 【事後的に検知されやすい状況を作り出す対策】 j.秘密情報が記録された媒体の管理 k.コピー機やプリンター等における利用者記録・枚数管理機能の導入 l.印刷者の氏名等の「透かし」が印字される設定の導入 m.秘密情報の保管区域等への入退室の記録・保存とその周知 n.不自然なデータアクセス状況の通知 o.PCやネットワーク等の情報システムにおけるログの記録・保存とその周知 p.秘密情報の管理の実施状況や情報漏えい行為の有無等に関する定期・不定期での監査 | 【従業員に向けた対策】 左記a.~p.に同じ 【退職予定者等に対する特有の措置】 q.退職をきっかけとした対策の厳格化とその旨の周知 r.OB会の開催等 | a.秘密情報の管理に係る報告の確認、定期・不定期での監査の実施 b.取引先に自社サーバーを使用させてログの保全・確認を実施 | a.「関係者以外立入り禁止」や「写真撮影禁止」の張り紙等 b.秘密情報を保管する建物・区域の監視 c.来訪者カードの記入、来訪者バッジ等の着用 | |
秘密情報に関する認識向上 | a.秘密情報の取り扱い方法等に関するルールの周知 b.秘密保持契約等(誓約書を含む)の締結 c.秘密情報であることの表示 ・秘密情報が記載された媒体への表示 ・直接表示することが困難な物件等への対応 | a.秘密保持契約等の締結 b.協業避止義務契約の締結 c.秘密情報を変換・消去すべき義務が生じる場合の明確化等 | a.取引先に対する秘密保持義務条項 b.秘密情報であることの表示 c.具体的な秘密情報の管理方法に関する研修 d.取引先に対する秘密情報の管理方法に関する研修 e.取引先とのやりとりの議事録等の保存 | a.「関係者以外立ち入り禁止」や「写真撮影禁止」の張り紙等 b.秘密情報であることの表示 c.契約書による秘密保持義務条項 | |
信頼関係の維持・向上等 | 【秘密情報の管理に関する従業員等の意識向上】 a.秘密情報の管理の実践例の周知 b.情報漏えいの事例の周知 c.情報漏えい事案に対する社内処分の周知 【企業への帰属意識の醸成・従業員等の仕事へのモチベーション向上】 d.働きやすい職場環境の整備 e.透明性が高く公平な人事評価制度の構築・周知 | a.適切な退職金支払い b.退職金の減額などの社内処分の実施 | a.適正な対価の支払い等 b.契約書等における損害賠償や法的措置の記載 c.委託先に下積金支払い遅延等防止法が適用される場合の助言・支援 | ・不法侵入や不正アクセスを企図する外部者に対しては、「外部関係の維持・向上等」に資する有効な対策は考えにくい ・一体の契約期間のある外部者に対しては、左記(取引先に向けた対策)の対策が有効な場合が考えられる |
(4) 組織体制整備のポイント
ハンドブックの第4章では、組織体制整備のあるべき姿について解説している。秘密情報漏えい防止に対する組織体制整備については、次の2点がまず確保すべき起点になるものと考えている。
- 経営層のリーダーシップの下、組織全体で秘密情報漏えいに取り組む体制を構築すること
- 責任部門の下で、関連部署が横断的に連携できる体制とすること
ハンドブックでは、「秘密情報管理委員会」などの部門横断的な組織の下で、責任部門が事務局を担当し、関連部門が委員会を通じて横断的に連携する体制を推奨している。この「秘密情報管理委員会」は経営層と直結していることが望ましい。
IPA「企業の内部不正防止体制に関する実態調査」の成果によると、上述した部門横断的な組織の事務局を担うべき、組織全体に対する責任を負う部門は「情報システム/セキュリティ管理部門」と「リスク管理/コンプライアンス部門」にほぼ二分されている*7(図12参照)。
筆者は、内部不正(≒秘密漏えい)防止に対する責任・権限の典型的なモデルは、重要情報にアクセスできるITシステム部門が技術・運用などを担当し、リスク管理部門がこれを監督して責任部門となる形態であると考えている。こうすることで万一ITシステム部門が不正を行った場合にも対応できる。しかし、実際にはITシステム部門が責任部門となっている企業も多い。この場合は、法務・知財担当者を通じて、情報システム担当者に法制度/ガイドラインなど関わる必要な知識を浸透させることが有効である。今後イノベーションを生み出し続け、将来に亘って競争力を長く持続させて企業として存続するためには、知財・無形資産ガバナンスの構築が重要と言われているが、この観点からも重要な秘密・ノウハウの保護において、知財の価値を知り尽くした法務・知財部門の役割が益々重要になっていくものと考えられる。
一方、ハンドブックでは横断的に連携する他の組織が果たすべき役割についてもかなり詳しく例示している。これについては表2で一覧表に整理したので、こちらを参照されたい。
表2 横断的に連携する各部門が果たすべき役割の例
部門等 | 秘密漏えい防止に関して分担すべき役割の例 | ||
部門横断的な組織の事務局担当(秘密情報管理委員会等) | ・「保有する情報の把握・評価、秘密情報の決定」の作業方針の決定などの全体取りまとめ ・情報管理規定などの社内規定等の原案・見直し案の作成 ・秘密情報の管理に関する研修内容や実施方法の検討 ・部門横断的な組織の事務運営 ・秘密情報の管理の実施状況の確認 ・情報漏えい事案対応の際の全体調整(対策チーム等の招集・運営等) ・「情報漏えい事案対応に係るルール・マニュアルの原案・見直し案の作成 | ||
法務・知財担当 | ・訴訟対応の観点からの就業規則・情報管理規定等の確認 ・秘密保持義務契約・誓約書、委託契約等の各種契約の確認・雛形の作成 ・秘密保持義務契約書の管理 ・転入者の受け入れ、共同研究開発の場合等における法的リスク低減に関する相談 ・共同研究開発契約等の各種契約の確認・雛形の作成 ・他社からの警告書を受けた場合の対応の検討 ・民事訴訟を提起する場合の訴訟対応の全体取りまとめ ・刑事告訴をする場合の警察当局との窓口対応 ・オープン&クローズ戦略等の知的財産戦略の観点からの情報の評価、秘密情報の決定時における助言 | ||
人事・労務担当 | ・法務担当との連携の下、就職時・退職時・異動時における適切な誓約書等の取得 ・部門横断的組織の事務局や法務担当との連携の下、情報漏えい防止の観点からの就業規則の見直し ・教育・研修等の運営 ・秘密情報漏えいに対する社内処分の実施・その内容の周知 ・働きやすい職場環境の整備に係る検討・実施や透明性が高く公平な人事評価制度の構築等 ・テレワークや顧問の流動化など社会環境や事業環境が変化する中での従業員のメンタルヘルスケアの支援等 秘密情報の管理に係る意識共有、企業への帰属意識や働きがいを高める取組みの実施、防犯カメラの設置やログ取得、諸々の社内規定の整備に当たっての、労働組合との協議や取り決めの対応 ・退職者等の動向の把握 ・法務担当との連携の下、適切な転職者の受入れの実施 ・秘密情報漏えい者に対する懲戒等の実施 | ||
情報システム担当(セキュリティ担当、IT担当) | ・社内規定等に沿ったPC等へのアクセス権限の設定・変更等の実施 ・社内規定等に沿った情報システムの構築 ※電子データの暗号化に係る競って、電子データ等の印刷・複製禁止に係る設定、私物USB等の使用禁止の設定、不許諾ソフトウェアのインストール禁止に係る設定、外部メールのチェックに係る設定、文書作成時の「マル秘」表示の自動的付加に係る設定、印刷者の氏名等の「透かし」の自動的付加に係る設定など ・必要なログの取得・保管 ・不正アクセスに対する防護システムの導入・運用、AIを活用した最新の対策技術・不正検知技術等の導入の検討・運用 ・他社情報を自社情報のサーバー等と別に保管する場合のサーバーの分離・仮想化(一台のサーバーを複数に分割して利用すること)に係る設定 ・情報漏えいの兆候の把握や、その疑いの検知のためのログ確認等の実施 ・被害の拡大防止の観点からのネットワーク遮断の実施 ・証拠保全の観点から、ログ等の保全 | ||
経営企画・分析担当 ※経営層のガバナンスに繋がるタスク | ・経営戦略の観点からの情報の評価、秘密情報の決定時における助言 ・従業員等への周知を見据えた秘密情報の管理の企業の業務効率化等に対する貢献度の分析 ・他社から重量する秘密情報を厳選する際の、経営戦略的観点からの助言 | ||
総務担当 | ・部門横断的組織の事務局や法務担当との連携の下、情報漏えい防止の観点からの情報管理規定の見直し ・来訪者受付・来訪者証の発行などの対応 ・工場見学等のマニュアルの作成・そのマニュアルに基づく対応 ・防犯カメラの設置 ・コピー機やプリンター等における利用者記録・枚数管理機能の導入 ・施錠された部屋・保管庫等の鍵の管理 ・清掃業者、メンテナンス業者等との契約・各業者への対応 | ||
広報担当 | ・情報漏えいの事実の公表などに係るマスコミ対応の窓口 | ||
監査担当(内部統制担当) | ・秘密情報の管理の観点からの定期・不定期での内部監査の実施。その結果の部門横断的組織の事務局へのフィードバック(監査結果に基づく改善指導、社内規定の改定に係る提言等) ・情報漏えいに関する内部通報窓口の設置・運用 |
(5) 他社の秘密情報に係る紛争への備えについて
ハンドブックは、他社の秘密情報に係る紛争への備えについて、次の3つの観点から解説している。ここでは上の2点について概観する。
- 自社情報の独自性を立証できるようにしておくことの重要性
- 転職者の受入れ、共同・受託研究開発/取引の中での秘密情報取扱い等の各シーンでの対策例
- 営業秘密侵害品に係る紛争の未然防止
自社情報の独自性の立証にあたっては、情報の作成・取得過程、更新履歴、可能であれば消去された日時・内容のログなどについて、関係する資料(電子メール、検討文書、メモ、議事録など)を保管することが基本となる。ITシステムをうまく活用することも有用である。R&Dなどの技術情報であれば、当該技術が生まれるまでの実験過程など、ラボノートに記録すべき内容の保存が必要である。営業情報については、顧客になるに至った経緯(どの広告を見てどのようなアクセスがあったのかの記録、会員加入申込書等の原本等)、取引経緯を記録した書面(取引伝票等の原本等)、接客マニュアルの制定に至った会議の議事録等を保存しておく。また、これらの記録の信用力を高めるために、必要に応じて紙文書の公正証書化、電子文書への認証タイムスタンプ・電子公証の適用などを検討することも有効である。
一方、転職者の受入れ、共同・受託研究開発/取引の中での秘密情報取り扱いなどの各シーンでの対策例については、ハンドブックの記載事項を対策の目的別に一覧表に整理してみた(表3参照)。
表3 各シーンでの対策例
対策の5つの目的 | 他社の秘密情報の意図しない侵害の典型的なルート | |||
転職者の受入れ | 共同・受託研究開発/取引の中での秘密情報の授受 | |||
接近の制御 | ー | ー | ||
持込み困難化 | a.採用後の管理 ・私物のUSB・メモリ等の記録媒体の業務利用や持込みを禁止 | a.他社から得る情報の言 ・他社の情報を得る前に、将来自社において関連する独自の研究開発を行う可能性を検討して受領 | ||
視認性の確保 | a.採用後の管理 ・転職者が従事する業務内容を定期的に確認 | a.他社の秘密情報の分離管理 ・他社から訴えられたときに「他社の秘密情報を使っていないこと」を立証するための備え b.自社の独自研究・開発からの他社の秘密情報の排除 ・自社開発を行う者の中に、共同研究開発に携わる者を含めない ・自社開発で使用する情報を明確化 ・自社の研究開発現場と共同研究開発現場を物理的に別部屋とする ・それぞれの開発経緯を詳細に記録 | ||
秘密情報に関する認識向上 | ー | a.秘密情報に該当する情報の明確化 ・共同・受託研究開発の進捗状況等に応じ、秘密情報に該当する情報をできる限り明確化 | ||
信頼関係の維持・向上等 | a.転職者の契約関係の確認 ・秘密保持義務 ・競業避止義務 b.転職者採用時におうける誓約書の取得等 ・不正競争防止法上の「重大な過失」が無いとの主張の一つの根拠とするために、転職者の採用時に書面での確約を取っておく | ー |
転職者の受入れについては、「信頼関係の維持・向上等」の対策として、転職者の契約関係の確認や転職者採用時における誓約書の取得などが重要になってくる。また、その他にも私物の「持込み困難化」、採用後の「視認性の確保」(監視)などの対策が有効である。これに対して、共同・受託研究開発/取引の中での秘密情報取扱いにおいては、秘密情報に該当する情報を明確化し(「秘密情報に関する認識向上」)、他社から得る情報を厳選した上で(「持込み困難化」)、他社の秘密情報の分離管理や自社の独自研究・開発からの排除を徹底する(「視認性の確保」)ことが求められる。
(6) 秘密情報が万一漏えいした場合の対応とは
ハンドブックは、秘密情報が万一漏えいした場合の対応例を、次の4つの領域に分けて提示している(図13参照)。
- 兆候の把握、疑いの確認(典型的な漏えいルート別:従業員、退職者、取引先)
- 初動対応(状況把握、被害検証)
- 責任追及(刑事的措置、民事的措置、社内処分)
- 証拠保全・証拠収集
表4 秘密情報漏えいの兆候把握及び疑い確認のための対策例一覧
目的 | 秘密情報漏えいの典型的な3ルート | |||||
従業員等 | 退職者等 | 取引先 | ||||
秘密漏えいの兆候の把握 | ・(業務上の必要性の有無に関わらず)秘密情報を保管しているサーバーや記録媒体へのアクセス回数の大幅な増加 ・業務上必要性のないアクセス行為 ・業務量に比べて異様に長い残業時間や不必要な休日出勤 ・業務量としては余裕がある中での休暇取得の拒否 ・経済的、社会的に極めて不審な言動 | ・退職前の社内トラブルの存在 ・在職時の他社との関係 ・同僚内の会話やOB会等で話題になっている、元従業員の不審な言動 ・退職者の転職先企業が製造・販売を開始した商品の品質や機能が、特に転職後、自社商品と同水準となった | ・取引先からの突然の取引の打切り ・インターネット上での取引先に関する噂 ・取引先からの、取引内容との関係では必ずしも必要でないはずの業務資料のリクエストや通常の取引に比べて異様に詳細な情報照会 ・自社の秘密企業と関連する取引先企業の商品の品質の急激な向上、自社の秘密情報と関連する分野での取引先の顧客・シェアの急拡大 | |||
秘密漏えいの疑いの確認 | ・文書管理台帳に等による情報保有状況の確認 ・漏えいの兆候のある者の社内PCのログ等の保存・確認や、メール送信、インターネット利用履歴のモニタリング ・秘密情報を含む幹部宛のメールが、漏えいの兆候のある者の個人メールアドレスへ自動転送されるような不正な設定がなされていないか確認 ・社内規定等に基づく監査の実際 | ・漏えいの兆候んある退職者等の転職企業及びその業務内容について、元同らへの事情聴取、OB会等、内部通報窓口、新聞紙面上の会社人事情報といった様々なルートでの情報収集。 ・漏えいの兆候のある退職者について、退職前後での資料の大幅な減少の有無の確認 ・社内資料のリスト管理等による、漏えいの兆候のある退職者等の未返却物の確認 ・漏えいの兆候のある退職者等の退職前一定期間のダウンロードデータの内容チェック ・漏えいの兆候のある退職者等の退職前一定期間のメール等の通信記録のモニタリング | ・トラップ情報の使用の確認 |
「従業員等」からの漏えいの場合は、「兆候の把握」において、業務上必要が無いはずの挙動と経済的/社会的に極めて不審な言動の把握がポイントとなる。次に漏えいの「疑いの確認」において、文書管理台帳等やITシステム上のログ記録の確認・監視、定期・不定期での監査などを実施する。次に「退職者等」からの漏えいの場合は、退職前の社内トラブル、退職後の本人の風評、転職先の商品品質等急変などの兆候を分析する。そして漏えいの「疑いの確認」において、退職者についての様々なルートでの情報収集、退職前に社内に残した記録・ログおよび未返却物などの確認を実施する。最後に「取引先」からの漏えいの場合は、取引の突然の打ち切り、取引先からの異常な情報照会、取引先の商品品質等の急変などの兆候を分析する。そして、トラップ情報を漏えいルートを通じて摑ませ、これを使っているかを確認するなどといった対応を行う。
次に「初動対応」については、ハンドブックはその対応をスムーズに進めるために、日頃から連絡体制や対処要領を準備しておくことを推奨している。さらには、秘密情報のさらなる拡散の防止(端末のネットワークからの遮断、警告書発出、インターネット上からの削除要請など)、企業イメージなどの損失の最小化(対外公表、被害者対応、マスコミ対応、刑事事件に発展する可能性がある場合の警察への相談等)、法律に基づく義務手続きの遂行などの対応を求めている。
さらにハンドブックは「責任追及」について、刑事的措置のための警察への相談要領、民事的措置のための対応要領を解説するとともに、社内処分の実施も求めている。
最後に、「証拠の保全・収集」については、次のようなポイントを指摘している。
(証拠の保全)
- 迅速な証拠の保全が必要であるため、早期に社内ネットワーク/セキュリティ担当者と連携するとともに、警察に即座に通報する、デジタルフォレンジック専門業者を活用するなどといった対応を検討
- デジタルフォレンジックの活用にあたっては、システム管理者、インシデント対応担当者、デジタルフォレンジック担当者、弁護士、内部監査担当者などと連携。必要となる情報を迅速に提供できるよう、事前に伝達内容や方法を取り決めておく。
- 自社従業員からの漏えいが疑われる場合は、警察や弁護士などと相談の上、慎重に対応して証拠の隠滅・散逸などを防止することが重要
- 必要に応じて、民事訴訟法に基づく証拠保全手続(漏えいの疑われる者の自宅に所在する書類に対する証拠保全手続等)を活用
(証拠の収集)
- 営業秘密に該当すると思われる情報に関して、不正競争防止法に違反する事実を証明することを意識することが重要
- 証拠の収集に当たっては、警察や弁護士等の専門家に相談した上で適切かつ迅速に責任追及の準備を進めるべき
- 営業秘密の要件該当性(特に秘密管理性)の証明に有効な資料、不正競争防止法違反のその他の要件該当性の判断に有効な資料等の収集
5.今回のハンドブック改訂の全体像
令和4年5月のハンドブック改訂の背景は、基本的にIPA「組織における内部不正防止ガイドライン」第5版改訂の背景と同じである。ここでは説明を省くが、詳細については第1稿および第2稿を参照していただきたい。
ここでは、ハンドブック改訂の全体像を、関連する「法制度の見直し・ガイドラインの改訂」に伴う修正、営業秘密・秘密情報をとりまく「環境の変化」に伴う修正、「重要な秘密情報の多様性」への考慮に係る啓発に関する修正・明確化の3つに分けて概観する。
まず、「法制度見直し」に伴う修正として、①平成30年の不正競争防止法改正で追加された「限定提供データ」の保護、②令和2、3年の個人情報保護法の改正で追加された「個人データ漏えい時の報告義務」に対応した修正を実施している。また、最近改訂された下記のガイドラインの修正事項を踏まえた修正も行われている。これらの修正をハンドブックの全体目次の上にマッピングしたものを図14に示す*7。
- テレワークセキュリティガイドライン(総務省)
- 知的財産取引に関するガイドライン(中小企業庁)
- 組織における内部不正防止ガイドライン(IPA)等
営業秘密・秘密情報をとりまく「環境の変化」に伴う修正としては、テレワークの普及、雇用の流動化等の環境変化を踏まえて秘密情報漏えいリスクについての記載を見直すとともに、技術の進展等による新たな対策やサプライチェーン間での情報の開示・共有に係る記載などを追加している。これらの修正をハンドブックの全体目次の上にマッピングしたものを図15に示す*7。
「重要な秘密情報の多様性」への考慮に係る啓発に関する修正・明確化については、営業秘密のほか、限定提供データ、個人情報(個人情報保護法)、機微情報(外為法)などの具体例を取り込むことによって、保護すべき対象情報の明確化・具体化を図っている。さらには、日本企業が保有する秘密情報が外国から狙われるリスクについて、過去の漏えい事件を踏まえ、典型的な漏えいパターンの形に整理した上でハンドブックに追記している点は興味深い。これらの修正をハンドブックの全体目次の上にマッピングしたものを図16に示す*7。
6.全3回シリーズの終わりに
本稿は、「経済産業省とIPAの新しい取り組みに見る情報漏えい/内部不正対策の新潮流」と題して執筆した全3回シリーズの研究レポートの最終稿である。第3稿ではハンドブックを取り上げ、企業動向調査の最新結果なども示しながら、単なる内容紹介に留まらず、筆者の私見も加味して、ハンドブックを活用する際に知っておくと役立つ有益な知見・ノウハウをできる限り読者にお伝えできるように工夫してみた。最後まで読んでいただいた皆様のお役に立てたとすれば幸いである。
このシリーズでは、第1稿で内部不正(≒情報漏えい)を巡る直近5年間の環境変化などを解説し、第2稿ではIPA「組織における内部不正防止ガイドライン」第5版のポイントや改定箇所について紹介した。さらに本稿ではハンドブックを取り上げ、そのポイントについて解説を行っている。ここまで全てを読んでくださった皆様に、改めて心から謝意を表したい。
国内で内部不正・秘密漏えいに焦点を絞った公的指針はこの2つしかない。しかし、ハンドブック/IPA「組織における内部不正防止ガイドライン」ともに厚さと内容の多さは格別であり、これらを直接読み解くのはなかなか大変である。本シリーズの研究レポートが、これらの公的指針を活用する上で少しでも読者の手間を省き、理解を助けるのに役立つことを期待している。レポートを最後まで読んでいただいた読者の皆様には、自社の対策を進める、あるいは改善する際に、是非とも改めて本シリーズの原稿の関係箇所を復習・参照していただきたい。