第20回 「秘密情報の保護について」
徐々に日の出が早まり、日の入りも遅くなると共に日中の日差しも強く感じられ、春らしくなって参りました。
今回は弊事務所前の外堀通りにある昌平橋をご紹介致します。昌平橋は万世橋(肉の万世で有名です)に対し上流側に位置し、架設は寛永年間(1624~1644)と伝えられています。この橋は、一口橋(いもあらいばし)(芋洗橋)、相生橋などと呼ばれたこともあります。元禄四年(1691)将軍徳川綱吉が湯島に聖堂を建設したとき、相生橋(芋洗橋)と呼ばれていたこの橋は、孔子誕生地の昌平にちなみ昌平橋と改名させられました。現在の橋は、昭和三年(1928)十二月八日に架設されたものです。
さて今回は、営業秘密の保護について考えたいと思います。
去る1月27日に第2回技術情報防衛シンポジウム(経済産業省と日本知的財産協会等の共催)が開催されました。ベネッセにおける個人情報漏洩事件や、新日鐵住金vsポスコ(韓)、東芝vs SKハイニックス(韓)等の営業秘密情報漏洩に関する事件が続く中、会場の虎ノ門ニッショーホールはほぼ満席の状況で、各企業の関心の高さが覗えます。
シンポジウムの内容は、①我が国における営業秘密の保護強化の取り組み、②内部不正に対する対策、③韓国における営業秘密保護対策、④中国における営業秘密保護対策です。
そこで、営業秘密の管理について悩まれている、又は、今後社内体制を整備したいという皆様のために、基本的な考え方を紹介致します。
まず図1に示すように、営業秘密が外部に漏れるのは、外的要因と内的要因があり、外的要因は自社では如何ともしがたい部分がありますので、自助努力によって改善できる内部要因の対策について紹介致します。
情報漏洩が発生する内部要因としては、図2にも示すように以下の3点が挙げられます。
①動機があること 例えば、借金の返済に迫られている。
②正当化の理由があること 例えば、サービス残業を考えるとこの位もらっても当然。
③機会があること 例えば、施錠されていない。
しかし、動機と正当化の理由は、組織的に対策することは困難です。そこで、対策が可能な③機会を無くす(最小限化する)ことを掘り下げることとします。
機会を無くす(最小限化する)とは、不正取得出来ないようにすること(機会を減らすことを含む)ということです。そのためには、以下の3つの方策があります。
①自己抑止力を醸成する。
従業者自身における不正取得及び漏洩を抑止する意識(マインド)を高めることは極めて効果があると考えます。
その意識を高める方策として、秘密保持契約締結と教育啓蒙活動があります。下のグラフ1から明らかなように、未だに秘密保持契約を締結していない中小企業が65.7%もあります。秘密保持契約を締結することにより従業者には秘密保持義務がある、換言すれば、漏洩させてはいけないという意識が根付きますので、不正を抑制することができます。新入社員に対しては、入社時に締結すれば良いです。しかし、既従業員に対しては今更言い出しにくいのではないでしょうか? そのような場合は、他社と秘密保持契約を締結する機会や新製品の開発着手等、機会を見計らうことで円滑に締結することができると思います。
また、秘密情報の不正取得や漏洩の形態・法律・罰則(刑事・民事・社内規定)・秘密保持契約の内容・自社における監視体制の周知等の教育啓蒙活動も自己抑止力を高めるためには極めて有効です。特に、秘密管理性を立証するために有効です。
教育啓蒙得活動とは、研修だけではなく、朝礼・昼礼・夕礼又はミーティング等の機会に、社長又は部署長が行うこともできます。また、一年に一回でも良いですが、継続的に行うことが重要です。
②秘密情報にアクセス可能な人を厳選する。
アクセス可能な人数が減れば、その分漏洩機会は当然に減少します。この対策が最も有効であると思います。
③システム的、物理的に不正取得出来ないようにする(予算との関係があるので、完全に抑制することはできないと思います)。
とはいえ、秘密情報に接する人は必ずいますので、アクセス可能者の動機及び正当化理由を抑止する必要があります。営業秘密を厳しい管理下におき、窃取が困難であること、及び、直ぐに発見されるイメージを与えることにより、不正取得の機会を可及的に減少させる必要があります。
即ち、不正取得は困難、出来たとしても直ぐ発見されてしまう、見つかったら今後の人生が台無しになってしまうと思わせることは、大きな抑止力になると考えます。要すれば、キーワードは、抑止(やる気にさせない)、防止(出来ないようにする)、及び、発見(不正取得を見つける)、再発防止対策です。換言すれば、抑止イメージ向上戦略が必要です。
抑止イメージ向上戦略の基本は、IDによる、アクセス管理(制限)、及び、ログ管理と検査です。
ログ管理とは、いつ、誰が、どのシステムを利用したかといったユーザーのパソコン操作やネットワーク機器の通信などの履歴を収集、記録することです。
検査とは、ログ管理にて収集したログ情報を分析し、不正取得の兆候をつかむことです。したがって、検査は定期的に行い、タイミング良く公表する必要があります。
再発防止対策とは、不正の兆候を掴んだら、直ぐにアクセス不能にするとか、社内公表するとか、再発を防ぐ対策をすることです。
これらのステップを地道に実行することにより、御社の内部要因による不正漏洩対策は確実に向上します。
経済産業省は全面改定し、簡素化した営業秘密管理指針を策定し公開していますので、下記の経済産業省のHPもご参考にしてください。
http://www.meti.go.jp/policy/economy/chizai/chiteki/trade-secret.html
以上