ISMSの規格であるISO27001(以下、本稿において単に「規格」と表記します)の附属書Aには、「5.31 法令, 規制及び契約上の要求事項」が求められています。ここでは、多くの組織でISMSの適用法令として特定されている法令に関してざっくりと解説していきます。
今回は、「不正競争防止法」で規制される「営業秘密の侵害」行為についてみていきたいと思います。
営業秘密の侵害行為とは?
不正競争防止法(以下「法」)では「不正競争行為」に対しての規制がされており、その行為の定義は法2条1項各号に掲げられています。このうち、4号から10号に掲げられた行為が「営業秘密」の侵害行為となります。少しかいつまんで見ていきましょう。
まず、窃取・詐欺・強迫などによって営業秘密を取得する行為(営業秘密不正取得行為)があります。例えば、関係者を装って企業の営業秘密情報を受け取ったり、オフィスに忍び込んで営業秘密情報の記載された紙媒体を盗み出したりする行為が考えられます。
次に、不正な利益を得る目的や営業秘密を保有する事業者に損害を加える目的で、営業秘密を保有する事業者から示された営業秘密を、使用・開示する行為があります。
例えば、その情報を売り渡して利益を得るために業務で使っている自社の営業秘密情報を競合他社に売り渡す行為が考えられます。このほか、上記のような事実があったことを知りながら得た情報を使用する行為等も営業秘密の侵害行為とされています。
このように「営業秘密」を不正に取得・使用・開示する等の行為が営業秘密の侵害行為となるのですが、そもそも「営業秘密」とはどのような秘密をいうのでしょうか。
どんな情報が「営業秘密」に該当する?
「営業秘密」とは、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」をいいます(法2条6項)。
このことから、①秘密管理性(「秘密として管理」)、②有用性(「有用な技術上または営業上の情報」)、③非公知性(「公然と知られていない」)という3つの要件を満たした情報が、「営業秘密」情報に該当し、不正競争防止法により保護されることになります。
これら3要件のうち、ISMSにおける管理策として最も関連する要件が①秘密管理性ではないでしょうか。どういった場合に情報を営業秘密として管理していると認められるのでしょうか。組織が秘密として管理していたつもりでも、同法の「秘密管理性」が認められず、同法による保護が受けられない可能性もあるため注意が必要です。
そもそも、なぜ、「営業秘密」として保護する対象を上記3つの要件を充たしたものに限定しているのでしょうか。
これは、「どんな情報であっても組織が営業秘密といえば営業秘密として保護される」としてしまうと、例えば組織の従業員や顧客等の取引先は、見聞きした組織の情報を利用していいのか、といったことが判断できず、安心して情報を扱うことができなくなってしまうからです。
そのため、「有用か」「公然と知られていないか」要件とともに、組織によって「秘密として管理」された状況であることが必要になっています。
営業秘密に関しては、経済産業省が「営業秘密管理指針」を出しています(以下「指針」。なお、同指針に法的拘束力はありません)。同指針では、秘密管理性要件の趣旨として、「企業が秘密として管理しようとする対象(情報の範囲)が従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては経済活動の安定性を確保することにある」と記しています(参考:ベネッセ事件の高裁判決)。
つまり、企業の情報に接する従業員等にとって、その接した情報が「営業秘密情報に該当し、そのため取り扱いを注意しないといけない」と分かる程度に明確になっている必要があることになります。
どの程度の措置を講じればいいか?
指針では、「秘密管理性要件が満たされるためには、営業秘密保有企業の秘密管理意思が秘密管理措置によって従業員等に対して明確に示され、当該秘密管理意思に対する従業員等の認識可能性が確保される必要がある。」と定めています。
つまり、「秘密管理措置」によって、従業員等が、「この情報は組織が営業秘密として管理しているんだな」と明確にわかる程度の措置をとる必要があります。
具体的な「秘密管理措置」について指針では、「企業の規模、業態、従業員の職務、情報の性質・・・」によって異なり、また、例えば部署でその情報を管理している場合はその部署という「管理単位における従業員」が一般的かつ容易にわかる程度に明確であることが必要としています。
すなわち、従業員数が多く部署も多い企業であれば他の部署の人でも簡単に見ることのできる情報は秘密情報にあたりにくいかと思います。逆に、従業員数が数人の企業の場合ですと、全員が見れる情報であっても、そのことだけでは秘密管理ができていないことにはならないかと思います。
また、例えばメーカーの独自の技術情報であればそこで技術職として働いている従業員にとってはその技術情報が秘密であると容易に認識できるといいやすいかと思います。
このように、具体的に採るべき措置についての一律な基準はありません。ただ、何も措置を講じていない場合は、「秘密管理措置」性はないという判断をされてしまいます。そのため、必要な対策は講じていくことが望まれます。
指針に挙げられている管理措置の例をいくつか見ていきましょう。
紙媒体の場合
- ファイルなどに“マル秘”などのラベル付けをする
- 紙媒体やそれを保管したファイルを、鍵付きキャビネットや金庫に保管する
電子データの場合
- 対象データの入ったファイル名やフォルダ名に”マル秘”である旨を記述する
- 対象データを格納した電子記録媒体に”マル秘“である旨を書いたラベルを貼りつける
- パスワードの設定やアクセス権の設定により、限られた者以外は情報にアクセスできない旨を示す
以上のように、「秘密管理措置」として採りうる措置は、場合によってはそれほど負担なく行うことができるようなものもいくつかあります。
ちなみに、情報を重要度などに応じて分類して適切にラベル付けすることや、情報へのアクセス権の設定などといった対策は、ISO27001の附属書Aにある情報セキュリティリスクへの対応策としても挙げられています(「A.5.13 情報のラベル付け」、「A.8.3 情報のアクセス制限」など)。
終わりに
自社が秘密として管理したい情報が営業秘密として保護されるのか、そのための適切な「秘密管理措置」はしっかりとれているのか、いま一度確認してみてはいかがでしょうか。
