実学・企業法務(第117回)
第3章 会社全体で一元的に構築する経営管理の仕組み
同志社大学法学部
企業法務教育スーパーバイザー
齋 藤 憲 道
Ⅴ 全社的な取り組みが必要な「特定目的のテーマ」
Ⅴ-2. 情報セキュリティ管理
3. 秘密情報管理の水準の向上
(1) 水準向上のための留意事項
営業秘密保護については、特許庁が2015年2月から中小企業等向けに全国で営業秘密・知財戦略相談窓口「営業秘密110番」を開設し、警察庁も各都道府県警に営業秘密保護対策官を配置するよう指導して支援体制を整えている。
日本では刑事の摘発件数が極めて少ない[1]が、韓国では年間約150件[2]が警察に摘発されている。日本と韓国等の外国の摘発件数の差が大きい要因としては、被害者が侵害者を告訴する姿勢、当局の捜査方法(通信傍受、おとり捜査等)、法解釈の厳格さの違い、未遂・陰謀が犯罪であるか否かの違い等が考えられる。
次に、管理水準の向上に必要な要素を記す。
① 情報の価値を知って経営する
守る対象の価値を知らなければ、守るのにどれだけ金をかけるべきか見当がつかない。筆者は、日本の企業では、作業現場の技術が過小に評価されていると考える。日本が経済大国になったのは、現場の社員の貢献が大きい。学歴はなくても優秀な人たち[3]が現場に多く配置され、大卒・大学院卒の者も、開発実験や製造の現場で知恵を絞ってきた。開発や製造の作業現場に優秀な人材が入り込むのが日本の特徴である。そこで生まれて蓄積された技術が過小評価されている。この点を意識して、情報セキュリティの管理のあり方を考えたい。
まず、自社の競争力の中心になる技術情報は何か、それが競争相手の手に渡るとどのような事態が生じるのかを金額評価を加えて検討する。
その上で、どの程度の金額、人手、時間(手間)をかけて情報を守るべきかを明らかにし、相応の対策を講じる。
- (注1) 技術情報の価値が分からない者には、本当の企業経営ができない
-
技術情報の価値は、それを使って作る製品の特性(耐用年数、用途等)によって異なり、一般に、金属・化学等の素材や、電子・機械等の部品の商品寿命は長く、季節商品は短いので、情報の経済寿命もそれに比例する。また、素材・部品や製造方法・検査方法に関する技術は適用されるカテゴリーが広いので、価値が大きくなる傾向がある。
また、量産開始後も歩留まりが上がらない装置産業型の工場では、月に数億円単位の赤字が出ることがある。歩留まり向上のノウハウを持つ社外人材の智恵を投入して一刻も早く赤字を解消する発想に立てば、解消される赤字額がノウハウの対価になり、これを参照してヘッドハントの価額が決まる。
- (注2) 技術は機械等を通じても移転する
-
機械設備の中には技術ノウハウが組み込まれることが多いが、これをどう守るのかは悩ましい問題である。機械設備や製造ノウハウに関する技術を守るためには、自分が他者にマネされない技術を持たなければならない。製造方法や機械設備に関する技術を特許出願して権利にすると、その内容は特許庁の特許公報で1年半後に公開される。それが一旦、競争相手の工場内で無断使用されると、工場の外から侵害の事実を察知して証明するのは難しい。そこで、あえて特許出願せずに営業秘密として秘匿することがある。
しかし、機械設備を外部に発注すると、どうしても技術の一部が仕様を通じて機械メーカーに流出する。そこで、本当に重要なノウハウを組み込む機械を自社で100%内製する企業もある。
② 企業の内部統制システムを整備する
秘密情報の流出事件の多くは内部者の不正によるものだが、企業内で不正が行われるのは「動機・プレッシャー」「機会」「姿勢・正当化」の3つの不正リスク要因が揃ったときとされる[4]。秘密情報の管理の場合、それぞれの要因について、対策及び責任者を決め、少なくとも一つの要因が欠ける仕組みにすると、情報漏洩防止水準の向上を見込むことができる。
管理策を具体的に検討する場合は、経済産業省の「ハンドブック」を参照されたい。
なお、ISMSの認証[5]を取得するのも、自社の情報の機密性・完全性・可用性の水準を維持・向上するのに有効である。
ところで、近年発生した企業情報の大量流出事件は、電子データの流出であり、事件を経験した企業が講じた次のような再発防止策が参考になる。
- 〔電子データ流出防止策(例)〕 ※複数の企業の対策を筆者がまとめて分類した。
- a. システムのセキュリティー水準を高度化する。
- (例) 異常操作や攻撃を検知・排除する機能を強化、外部インターネットから遮断、システム構築・保守業務をグループ内で完結(外部に委託しない)、セキュリティー対策ソフト・暗号を高度化、アクセス権限付与を厳格化、ID・パスワードの管理を強化
- b. 情報の取扱いレベルを引上げる。
- (例) 情報資産の持ち出しを禁止(金属探知ゲート・ボディスキャナーを設置)、自社の管理下にないPCへの接続を禁止、業務エリアを一般執務・データベース閲覧・操作等に分けてそれぞれ対策、離席時にパスワード・ロック機能を作動、書類・電子媒体の廃棄時にセキュリティ確認を徹底
- c. 組織体制を強化する。
- (例) 最高情報責任者を任命、セキュリティー管理職を補強、セキュリティー重視の人材配置、現場の管理統括部署を設置、業務を簡素化して各部署の作業マニュアルを一元化
- d. 顧客(個人)情報の取扱い方針・対応を改善する。
- (例) 段階(取得・利用・消去)に応じた運用・管理を徹底、運用・管理方法を顧客に簡明に周知
③ 社員・従業者との関係を整備する
- ⅰ 契約で遵守事項を明らかにする。
-
就業のステージに応じて従業員との間で秘密保持に係る契約を締結し、遵守事項を明らかにする。a.雇用時の雇用契約、b.雇用期間中の就業規則・契約(開発等の部門配属時、共同開発等の特定プロジェクト参加時、年間等の定期的な業務進捗確認時等)、c.退職時の契約、等を締結する企業が多い。
- ⅱ 退職後の競業避止義務を定める。
- 退職後に競争相手に就職(又は自ら起業)して競業することを規制するには、合理的な根拠が必要であり、基本的に、a. 会社の正当な権利を保護する目的の有無、b. 退職者が営業秘密に触れる機会の有無(地位・職務内容を考慮)、c. 競業を規制する際の条件(期間、地理的範囲、業種・業務内容)、d. 賃金・退職金等における代償措置、の4要素が考慮される。
④ 管理を有効にするための4つの留意事項
次に、秘密情報の管理を有効にするのに必要な4つの留意事項を挙げる。
ⅰ 重点指向する。
ⅱ 単純明快なルールにする。
ⅲ 社員のモラルを高く保つ。
-
(例) ・ 技術者がやりがいを持つ仕事・処遇にする[6]
・ 不正行為の内部通報を活かす
・ 退職者を活かす(定年後の再活用、円満なOB会組織等)
ⅳ 現場に適した方法を導入・定着する。
[1] 不競法に刑事罰が導入された2003年から2013年まで累計15件、2014年15件。
[2] 2013年前後
[3] 1970年頃まで、農村部の中卒・高卒の青年が集団就職等して、東京・大阪等の都市部の工場等に就職した。その中に多数の有能な人材が含まれていた。
[4] 企業会計審議会監査部会「監査基準の改訂および監査における不正リスク対応基準の設定について」2013年(平成25年)3月13日
[5] ISMS(情報セキュリティマネジメント)を実施する際の要求事項等を定めたものとして、JISQ27001、JISQ27002(ISO/IEC27001、ISO/IEC27002と整合)がある。ISMS適合性評価制度(認証)はJIPDEC(日本情報経済社会推進協会)等により運営されている。
[6] 報酬、テーマ選定や開発遂行に関する裁量権、肩書き(リーダー、課長、部長等)、社外活動の自由度他