今日、営業秘密を利用した企業活動が、ますます重要視されつつあります。ですので、企業・組織において、この種の情報の漏洩対策をきちんととっておくことは、今や当然といえます。
ここでは、企業活動と営業秘密との関係について解説するとともに、企業・組織にとって大切な情報が営業秘密と認定されるためのポイントを解説します。
松下 正 氏
弁理士
関西大学大学院商学研究科 非常勤講師(現代戦略マネジメント研究)
日本弁理士会ソフトウェア委員会委員長を歴任し、中小のソフトウェア会社を中心として、25年間、特許取得および権利行使のサポート業務に関与。企業における発明発掘活動能力の向上を目指し“発明ものさしセミナー”を各地で開催。2002年から知財判例速報“知財みちしるべ”を運営。
主著『知って得するソフトウェア特許・著作権(第6版)』 アスキー出版
顧客情報の変化
個人情報は質・量ともに劇的に変化している
氏名、ユーザー属性などの顧客情報の漏洩は、データ漏洩における代表として、その管理が問題となりますが、近年、個人情報の質と量が大きく変化してきました。これは、より詳細な情報をより広範囲から収集できるようになったことに起因します。
質の変化
質の変化としては、スマートフォンやパソコンの操作に基づく、ユーザーの行動履歴についてのデータ収集があげられます。例えば、IT分野における巨人であるGoogle、Apple、Amazon、Facebookは、ユーザー行動属性を抽出し、これにマッチしたビジネスを始めています。
Appleが提供しているProactive Assistant™は、ユーザーがよくアクセスするWebサイトやアプリ、検索キーワード、カレンダーなどから、ユーザーの行動を先読みして、情報を提示するという機能です。
Googleの検索エンジンで商品名を検索すると、その商品の通販サイトの広告が表示されますが、これは検索ワードから、個別に広告を表示する処理が行われているからです。また、Google Now™では、AppleのProactive Assistant™と同様のサービスを提供しています。
Amazonは、過去の購入履歴やチェックした商品から、それらの関連商品を推奨として表示し、新たな購買を促します。
Facebookも、タイムライン以外の表示領域の一部、さらにはタイムラインにも広告を挿入しています。例えば、Amazonで商品を検索すると、FacebookのタイムラインにAmazonのFacebookページが表示され、検索した商品が広告表示されます。また、いずれもGPSを用いた位置情報を抽出して、それぞれのデータを組み合わせたアシストを提供しています。
このように、ユーザーの操作履歴からより高度にアシストすることが現実に行われています。そのためには、個人の行動属性のより詳細な情報の蓄積が必要です。また、それらの集合体としてのビッグデータを抽出して、分析することになるため、今後は、ユーザー属性についての価値がますます高くなるものと予想されます。
量の拡大
スマートフォンの普及は、ユーザー属性のデータについて量的な変化をもたらしました。すなわち、今までよりも多くのユーザーの行動履歴が抽出できるようになったわけです。このような量的な変化に加えてIoT(Internet of Things)※1の発達により、さらに巨大なデータの集合物が構築されるようになりました。
今までは、個人によるパソコンやスマートフォンの操作に基づいたものでした。これに対してIoTの普及により、各種センサーやウェアラブルコンピューター、スマートメーター、車などからさまざまなデータが抽出されるようになり、今までは収集できなかったデータまでもが自動的に収集できるようになります。
抽出したビッグデータはそのままでは使えず、何らかの分析が必要です。分析は、コンピューターによるデータ処理によって得られるかもしれませんし、データサイエンティストと呼ばれる分析官によって何らかの仮説の下に見いだされるのかもしれません。いずれにしても、分析結果は、ビジネスを行う上で重要なデータとなります。
このように、IoTの普及により、収集される対象が拡大します。
※1 IoT(Internet of Things)
直訳すると「モノのインターネット」。あらゆるモノに通信機能を持たせ、インターネットに接続したり相互に通信することで、自動認識や自動制御などを行う。自動車の位置情報をリアルタイムに集約して、渋滞情報を配信するシステムなどが考案されている。
技術情報について
従来の考え方では技術情報は守れなくなりつつある
技術情報も営業秘密
すでに説明したように、技術情報も営業秘密として取り扱われています。技術情報は、近年では特に重要視されています。
日本の強みの一つが高精度の製造技術です。これらの技術の多くは、職人技として伝承されてきましたが、計測技術の進化はこのような製造技術を数値化できるようにしました。
かかる数値化は技術を客観化できるので、伝承という点では好ましいのですが、その一方、技術の持ち出しも簡単になるという状況を作り出しており、情報を漏洩させないためのルールや仕組み作りが必要となりました。
オープン・クローズ化
日本のメーカーの多くは、以前は自社内ですべての作業をまかなうという垂直統合型の形態でした。もちろん、系列会社に部品を外注させることはありましたが、その場合でも、製造ノウハウが流出することはほとんどありませんでした。つまり、完全なクローズ戦略がとれていたわけです。
ところが、国際分業化により、系列外の企業にも一定の情報を出さざるを得なくなり、コア領域として守るべき技術と、オープン化する技術をきっちりと切り分ける必要が出てきています。そして、前者は門外不出の秘密情報として管理する必要があります。
インダストリー4.0の影響
ドイツが旗振り役として進めているインダストリー4.0は、第4次産業革命とも呼ばれています。各工場をネットワークでつなぎ、人間を介さず、無駄のないリアルタイムの生産を行うというものです。そのため、工場をスマート化し、工場間の部品発注は、システムが判断して行います。さらに工場内にセンサーを設置し、異常やパフォーマンスの低下が発生するとシステムの人工知能が自動修理します。
このような人工知能には当然、上記の数値化された製造技術がデータとして格納されるでしょう。
従って、クローズ領域としてのコア領域の設定をどの範囲で行うのか、さらにその保護については、ますます重要なものとなることが予想されます。
データ漏洩事例
技術情報のデータ漏洩が、問題となった事件として、最近では次のような事例があります。表1
表1技術情報のデータ漏洩事例
- ポスコ事件
- 2012年、新日鐵住金の高性能鋼板に関する製造技術が元社員を通じて韓国の鉄鋼メーカーに漏洩していたというものです。発覚した経緯が興味深い事件です。ポスコの元社員が鋼板の製造技術を中国の鉄鋼メーカーに流したとして韓国で逮捕されたのですが、その裁判で「流出させた技術は、もともと新日鐵住金から流出したもの」と元社員が供述したことから、新日鐵住金から製造ノウハウが流出したことが判明しました。製造ノウハウが流出していても、それを把握することが困難であると気づかされた事件でした。
- 東芝フラッシュメモリ事件
- この事件は、サンディスクの技術者が業務提携先の東芝の工場で、NAND型フラッシュメモリの研究データのコピーを入手し、転職先の韓国半導体メーカーのSKハイニックスに開示したというものです。
保護されるために
情報漏洩発生時、法的に保護されるための3要件
次のようなユーザー情報や技術情報は、営業秘密として保護されます。ただし、何もせず保護されるわけではありません。営業秘密として保護を受けるには、3つの要件、非公知性・有用性・秘密管理性が必要です。表2
表2営業秘密として、法的に保護されるための「3つの要件」
- 非公知性
- 一般に入手できないこと。例えば刊行物に記載された情報は、これを満たしません。
- 有用性
- その情報自体が客観的に事業活動に利用されること、または、利用されることによって、経費の節約や経営効率の改善等に役立つこと。例えば設計図、顧客名簿が該当します。
- 秘密管理性
- 外観上、秘密として管理されていること。アクセスできる者が制限されていることと、情報にアクセスした者にそれが秘密であると認識できることの2つで判断されます。この秘密管理性が一番高いハードルです。
データベースで秘密管理性が認められた判例
「顧客情報が秘密情報に該当するか?」という視点で、判断の分かれた判例を紹介します。表3表4
この判例からも、「秘密管理性」が一番高いハードルであることがわかります。システム側で「秘密管理性」のあるデータとなるように取り扱い手順などを定めておけば、クリアすることは簡単といえます。
表3営業秘密であると認定された事例
平成25年04月11日
大阪地判平成22(ワ)7025号 |
顧客情報等を管理するために、専用のアプリケーションが導入されていました。このソフトウェアを利用するには、ユーザー名とパスワードの入力が必要で、私物のパソコンにこのソフトウェアをインストールするには、使用許諾依頼書への署名が義務づけられており、退職時には必ずこのソフトウェアをアンインストールすること、さらには無断複製や、機密漏洩などの禁止条項も明文化されていました。 |
平成24年07月04日
知的高判平成23(ネ)100(4)等 |
営業秘密であると認定されたポイントは、顧客情報に接することができる者を制限し、顧客情報に接した者にこれが秘密であると認識できるようにしていました。 |
表4営業秘密でないと認定された事例
平成23年09月29日
東京地判平成20(ワ)358(6) |
全社員に秘密保持誓約書を提出させていましたが、顧客情報にはパスワードが設定されていませんでした。そのため、一部の社員に限られるはずたった顧客情報の閲覧が、実際には従業員であれば誰でも上記顧客情報を閲覧できました。これにより、営業秘密ではないと認定されました。 |
システム運営者・提供者の留意点
「秘密管理性」の担保に留意する
システム運営者について
システム運営側としては、情報漏洩が発生した際、法的に保護されるよう、「3 保護されるために」で記載した点に留意して、秘密管理性を満たすようにシステムを発注すべきといえます。
システム提供者について
システム提供者としては、もともとは、委託された仕様のシステムを提供すれば責任を十分果たしているともいえます。しかし、データ漏洩について、システム提供者に一定の責任を認めた裁判例があります。表5で簡単に説明します。
表5システム提供者に一定の責任を認めた裁判例
A |
東京地判
平成23年(ワ)第32060号 |
SQLインジェクション攻撃※2に対する対策を講じていれば回避できたのに、それをしなかったということで重過失が認定されました。 |
B |
東京高判
平26.1.15 |
ユーザーからの仕様変更要請がシステム障害を発生させる場合には、ベンダーはそのベンダー知見・経験に照らして、ユーザーに説明義務があると認定されました。 |
C |
東京高判
平25.7.24 |
契約書に記載されていない脆弱性対策を施さなかったベンダーに重過失が認められました。 |
表5のAの事例では、当時SQLインジェクション攻撃※2とその対策について業界としてかなり話題になっているなかで、専門家としては当然対策をすべきであったという理由です。システムの価格は約900万円でしたが、2,000万円を超える損害賠償が認定されました。
これらの事例は、システム提供者側に、必ずしも情報提供や説明義務までを課すものであるとはいえません。しかし、今後は、提供するシステムの性格、発注側の知識などから、専門家である提供者側に情報漏洩の対策についての説明責任、対応義務があると判断される可能性も否定できません。
※2 SQLインジェクション攻撃
悪意のあるSQL文やその一部を入力することで、データベースに不正にアクセスする攻撃です。多くの場合、Web閲覧者にマルウェアの侵入を試みるプログラム(スクリプト)が書き込まれます。
さいごに
このように、システム運営者またはシステム提供者にとっては、法律が要求するレベルの対策をとっておくことは、当然といえます。しかし、営業秘密は法律だけで守れるものではありません。
物理的にデータが流出しにくい仕組みの構築なども必要です。情報が漏洩する状況としては、外部からの不正侵入はもちろん、委託先社員や退職予定者による内部犯行もありえます。対策の一つとして、データへのアクセス履歴をきっちりと追えるようになっていることも抑止とはいえ効果的でしょう。
また、今後さらに増え続けるIoT機器は不正アクセスの入り口となることも十分考えられますので、侵入しにくいことは当然ですが、侵入があればこれを検出する仕組みも考えておくべきです。
企業・組織の事業活動に有用な営業秘密に関する情報漏洩は、起こってから対処するでは遅いのです。営業秘密は漏れていても発覚しづらく、一旦漏れると戻せないという特性を持っているからです。企業・組織が持つ“大事な情報”を、不正競争防止法上の「営業秘密」として管理できているか、この機会に確認してみてはいかがでしょうか。