従業員の退職後に当社の社外秘情報が流出しない仕組みを作りたいです。
どのような仕組みづくりが必要でしょうか?
目次
企業が保有する情報資産の種類
総論
情報資産には、企業の存立にも影響を与えるものがある一方、価値が低く費用をかけてまで保護する必要のない情報も存在します。また、情報の保存媒体も、紙媒体、データでの保存、無形なノウハウなど、様々なものがあります。
企業は、予め、情報資産の棚卸し作業を行い、情報の価値、情報流出の防止措置、情報が流失した場合の対応を検討しておくことが必要です。
経済産業省「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」より
営業秘密
営業秘密と認められた場合、不正競争防止法による保護を受けることができます。
不正競争防止法上の民事的救済は、一般的な民法による保護よりも手厚い保護を受けることとなります。
不正競争防止法は、「営業秘密」として保護を受けるため、客観的に「営業秘密」として保護に相応しいと考えられるための要件(①秘密管理性、②有用性、③非公知性)を充足することを求めています。
特に注意が必要な要素としては、「秘密管理性」であり、①営業秘密の対象となる情報と営業秘密ではない情報(一般情報)とを合理的に区分(合理的区分)し、②営業秘密の対象情報であることを明らかにする措置を講じることが重要です。
特許や実用新案など
情報が公開されることを前提に、情報資産を特許権や実用新案権など権利化したうえで、他社に対するライセンス付与によって活用することや自社で独占して利用することを考えることも可能です。
その他
不正競争防止法上の「営業秘密」に該当しないとされる場合であっても、一般的な民法などによって保護される場合があります。
事前対策
総論
情報セキュリティを考えるうえでは、以下に掲げる安全管理措置などを講じることが必要です。
- 入退室管理の実施、盗難等に対する対策、機器・装置等の物理的な保護などの「物理的安全管理措置」
- 情報システムへのアクセス制御、セキュリティ対策ソフトやOSのアップデート、情報システムの監視などの「技術的安全管理措置」
- 従業員などに対する周知徹底・教育・訓練、秘密保持契約の締結などの「人的安全管理措置」
- 運用体制の整備、規程等の整備と規程等に従った運用、緊急時対応計画の策定などの「組織的安全管理措置」
人的安全管理措置(在職中)
従業員は、会社との間で雇用契約を締結しており、在職中はこの雇用関係に基づいて、誠実に業務を行うべき義務(善管注意義務)を負担しています。そのため、従業員は、雇用契約上の信義則に基づく誠実義務として、当然に秘密保持義務並びに競業避止義務を負うと考えられています。ただし、就業規則・情報管理規程・雇用契約書・秘密保持契約書などによって、営業秘密の秘密保持義務を明確に規定しておくことによって、従業員に対して、秘密保持義務を再認識させることが有用です。
この点、就業規則・情報管理規程・雇用契約書・秘密保持契約書には、秘密情報の定義、アクセス権の範囲、情報資産の持ち出しを禁止する条項、情報資産の持ち出し等を懲戒事由や解雇事由とする定めのほか、利用端末の監視や調査に関する事項、調査に協力することに関する事項、情報の返還義務、削除義務、拡散防止義務、退職後の秘密保持義務、原状回復義務、損害賠償義務などの規定を盛り込むといいでしょう。
なお、これらの秘密保持義務違反に基づいて、処分するためには、情報の漏洩等を懲戒事由や解雇事由とする就業規則の制定が必要となります。
人的安全管理措置(退職後)
雇用契約が終了した退職後に、秘密保持義務を負担させる場合、契約上の明確な根拠(秘密管理規程、秘密保持誓約書、秘密保持契約または就業規則)を要するとするのが有力説です。在職中に、退職後の秘密保持義務を含めた契約を締結することは、退職後において重要な意味をもつようになります。
情報流出が疑われる場合の対応
はじめに
情報資産の持ち出しに対する対策を検討するに当たっては、①情報漏えいの疑いを確実・迅速に確認できるようにすること、②情報漏えいが起こってしまったと思われる場合に、その損失を最小限に抑え、また原因究明・責任追及に係る証拠を保全するための応急措置を迅速に実施すること、③損失回復(損害賠償・差止)と将来的な再発抑止のための徹底的な責任追及を実施することが重要です。
経済産業省「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」より
情報資産の持ち出し事実の調査
情報資産の不正持ち出し事実の調査では、情報資産がメールに添付されて送信されている場合を想定し、メールサーバーの送信記録を調査することやパソコンに対して、不必要なUSBメモリなどの記憶媒体が接続された履歴が存在しないかなどを調査することが考えられます。
調査するにあたっては、情報資産の持ち出しをした端末内で、削除されたファイルの復元などを行う調査(フォレンジック調査)が必要になる可能性もあるため、早急に、専門的知見を有する情報セキュリティの専門家に相談することをおすすめします。
なお、退職者は、退職直前に情報資産を不正取得する事例が多いことから、退職直前に不自然に営業秘密にアクセスしていないかを監視し、営業秘密に不必要にアクセスできないよう、退職前に必要がなければアクセス権を剥奪する措置を講じることも有用です。
また、企業としては、退職者が再就職した企業の動向(商品販売状況、研究開発動向など)を把握することも有用であると考えます。
- 以下のように、経済産業省から有用な情報が提供されています。各種契約書などの雛形も利用できる状態になっていますので、一度、検討されてみてはいかがでしょうか。
- 経済産業省「営業秘密管理指針」
- 経済産業省「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」
- 経済産業省「【参考資料1】情報漏えい対策一覧」
- 経済産業省「【参考資料2】各種契約書等の参考例」
- 経済産業省「秘密情報の保護・活用事例集」
- 経済産業省「テレワーク時における 秘密情報管理のポイント (Q&A解説)」