2σ Guide

社内で営業秘密を管理するための
具体的な対策

営業秘密の3要件を満たすだけでなく、棚卸し、分類、権限、教育、ログ、委託先、退職者対応、生成AI利用まで、日常業務に耐える管理体制として整理します。

3要件秘密管理性・有用性・非公知性
5目的接近制御から信頼関係まで
90日最低限の体制整備ロードマップ
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

社内で営業秘密を管理するための 具体的な対策

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
社内で営業秘密を管理するための 具体的な対策
制度・実務・証拠化の観点を結び、現場で使える形に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 社内で営業秘密を管理するための 具体的な対策
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。

POINT 1

  • 社内で営業秘密を管理するための具体的な対策の全体像
  • 1. 守る対象を決める:顧客リスト、製造条件、ソースコード、研究データなどを棚卸しします。
  • 2. 保護水準を決める:価値、損害、利用頻度、外部共有の有無で分類します。
  • 3. 秘密と分かる状態にする:表示、規程、教育、NDA、権限設定で秘密管理意思を示します。
  • 4. 証拠を残して更新する:ログ、教育記録、権限履歴、NDAを残し、人の動きに合わせて見直します。
  • 5. 秘密管理性が弱くなる:全情報を漫然と社外秘にするだけでは、従業員が重要度を認識しにくくなります。

POINT 2

  • 営業秘密とは何か ― 秘密情報との違い
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 2.1 営業秘密の法律上の位置づけ
  • 2.2 秘密情報は広く、営業秘密は法律上の保護要件を満たす情報である
  • ここで重要なのは、会社が「これは重要だ」と思っているだけでは不十分だという点です。

POINT 3

  • 営業秘密の3要件と社内管理の実務
  • 秘密管理性
  • 秘密として扱う意思が、表示、アクセス制限、規程、教育、ログなどで認識できる状態です。
  • 有用性
  • 売上に直結する情報だけでなく、失敗実験データや欠陥情報のような潜在的価値も含み得ます。

POINT 4

  • 営業秘密候補台帳で守る情報を特定する
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 5.1 営業秘密候補台帳の項目
  • 5.2 棚卸しの進め方
  • 営業秘密管理の第一歩は、会社が何を持っているかを把握することです。

POINT 5

  • 営業秘密の分類とラベリングを設計する
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 6.1 分類は少なすぎても多すぎても失敗する
  • 6.2 ラベリングの具体策
  • 6.3「全部マル秘」は危険である

POINT 6

  • 営業秘密へのアクセス権限をNeed to Knowで管理する
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 7.1 アクセス権限の基本原則
  • 7.2 技術的な実装例
  • 7.3 クラウド利用時の注意

POINT 7

  • 紙・試作品・工場で営業秘密を守る具体策
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 8.1 区域管理
  • 8.2 紙媒体管理
  • 8.3 来訪者・取引先・委託業者管理

POINT 8

  • 営業秘密管理を規程・誓約書・教育に落とし込む
  • 制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 9.1 秘密情報管理規程に盛り込む事項
  • 9.2 誓約書は「退職時だけ」では足りない
  • 9.3 教育は「年1回のeラーニング」だけで終わらせない

まとめ

  • 社内で営業秘密を管理するための 具体的な対策
  • 社内で営業秘密を管理するための具体的な対策の全体像:制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 営業秘密とは何か ― 秘密情報との違い:制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 営業秘密の3要件と社内管理の実務:制度・実務・証拠化の観点を結び、現場で使える形に整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

社内で営業秘密を管理するための具体的な対策の全体像

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

以下の判断の流れは、社内で営業秘密を管理するための具体的な対策をどの順番で設計するかを表します。守る対象、保護水準、認識可能性、持出し防止、証拠化、人事イベント、形骸化防止の順に見ることで、個別ツール導入の前に全体像を読み取れます。

営業秘密管理を日常業務に組み込む順番

守る対象を決める

顧客リスト、製造条件、ソースコード、研究データなどを棚卸しします。

保護水準を決める

価値、損害、利用頻度、外部共有の有無で分類します。

秘密と分かる状態にする

表示、規程、教育、NDA、権限設定で秘密管理意思を示します。

運用あり
証拠を残して更新する

ログ、教育記録、権限履歴、NDAを残し、人の動きに合わせて見直します。

形だけ
秘密管理性が弱くなる

全情報を漫然と社外秘にするだけでは、従業員が重要度を認識しにくくなります。

社内で営業秘密を管理するための具体的な対策は、単に「マル秘」と印字することでも、すべての資料を金庫に入れることでもありません。営業秘密管理の核心は、会社が特定の情報を秘密として管理する意思を、従業員・役員・委託先・取引先など実際に情報へ接する者が容易に認識できる状態にし、その状態を日常業務の中で維持することです。

日本の不正競争防止法上、「営業秘密」として保護されるには、一般に「秘密管理性」「有用性」「非公知性」の3要件を満たす必要があります。経済産業省も、営業秘密は不正競争防止法で定義され、「有用性」「秘密管理性」「非公知性」の3要件を満たす情報であると説明しています。 また、同省の「営業秘密管理指針」は、不正競争防止法による保護を受けるために必要となる最低限の水準の対策を示す資料として位置づけられています。

したがって、実務で採るべき対策は、次の順序で設計します。

  1. 何を守るかを決める ― 顧客リスト、価格表、原価情報、製造条件、設計図、ソースコード、研究データ、失敗実験データ、提案資料、営業戦略などを棚卸しする。
  2. どの程度守るかを決める ― 情報の価値、漏えい時の損害、利用頻度、アクセス人数、保存媒体、外部共有の有無に応じて分類する。
  3. 秘密と分かるようにする ― 表示、規程、教育、NDA、権限設定、区域管理、ログ取得などにより、秘密管理意思を明示する。
  4. 近寄りにくく、持ち出しにくく、見つかりやすくする ― アクセス制御、媒体制限、暗号化、印刷・USB・外部共有制限、操作ログ、入退室記録、EDR、DLP等を組み合わせる。
  5. 証拠を残す ― 誰が、いつ、どの秘密に、どの権限で、どの操作をしたかを追跡できるようにする。
  6. 人の動きに合わせる ― 入社・異動・プロジェクト参加・退職・委託開始終了・共同研究開始終了の各時点で権限・誓約・教育を更新する。
  7. 形骸化を避ける ― 全情報を漫然と「社外秘」とするのではなく、実際のリスクに応じた分類・運用・監査を行う。

このページでは、社内で営業秘密を管理するための具体的な対策を、法律要件、内部統制、情報セキュリティ、人事労務、取引先管理、クラウド・生成AI、事故対応まで含めて体系的に解説します。

Section 01

営業秘密とは何か ― 秘密情報との違い

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

2.1 営業秘密の法律上の位置づけ

不正競争防止法2条6項は、「営業秘密」を、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報で、公然と知られていないものとして定義しています。

この定義から、営業秘密の要件は次の3つに分解できます。

要件意味実務上の確認ポイント
秘密管理性秘密として管理されていること秘密表示、アクセス権限、施錠、規程、誓約書、研修、ログ等により、秘密であることを認識できるか
有用性事業活動に有用な技術上または営業上の情報であること競争優位、コスト削減、研究開発、営業効率、リスク回避などに役立つか
非公知性公然と知られていないこと公開資料、販売製品、ウェブ、論文、展示会、特許公報等から容易に入手・推測できないか

ここで重要なのは、会社が「これは重要だ」と思っているだけでは不十分だという点です。秘密として管理する意思が、具体的な管理措置によって外部化され、従業員等に認識可能でなければなりません。

2.2 秘密情報は広く、営業秘密は法律上の保護要件を満たす情報である

実務では、「秘密情報」「機密情報」「社外秘」「Confidential」「営業秘密」という言葉が混在します。しかし、これらは同じではありません。

秘密情報は、会社が秘密として扱いたい情報全般です。個人情報、取引先から預かった情報、未公開の広報資料、M&A検討資料、役員会資料、人事評価資料なども含まれます。これに対し、営業秘密は、不正競争防止法上の3要件を満たす情報です。

経済産業省の「秘密情報の保護ハンドブック」は、営業秘密としての法的保護を受けられる水準を超えて、秘密情報の漏えいを未然に防止するための対策例を包括的に紹介する資料であり、個人情報、外為法上の重要技術、特許出願前の技術情報など、企業が秘密として管理する必要のある多様な情報を対象にしています。

つまり、社内規程では「秘密情報」を広く定義し、その中でも不正競争防止法上の保護を強く意識すべき情報を「営業秘密」または「重要営業秘密」として管理する設計が現実的です。

Section 02

営業秘密の3要件と社内管理の実務

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

次の重要ポイントは、営業秘密の3要件を実務上どの観点で確認するかを整理したものです。3つの要件はどれか一つだけでは足りないため、表示や権限だけでなく、有用性と非公知性の根拠まで同時に読むことが重要です。

秘密管理性

秘密として扱う意思が、表示、アクセス制限、規程、教育、ログなどで認識できる状態です。

有用性

売上に直結する情報だけでなく、失敗実験データや欠陥情報のような潜在的価値も含み得ます。

非公知性

公開資料、製品解析、外部共有の状況から容易に知り得ないことを確認します。

3.1 秘密管理性 ― 最重要要件は「認識可能性」である

秘密管理性とは、情報が秘密として管理されている状態をいいます。経済産業省の営業秘密管理指針は、秘密管理性について、秘密管理意思が具体的状況に応じた経済合理的な秘密管理措置によって従業員に明確に示され、従業員が当該意思を容易に認識できる必要があると整理しています。

秘密管理性の実務上のポイントは、次の3点です。

第一に、秘密であることが分かる表示・区分が必要です。紙文書に「社外秘」「営業秘密」「Confidential」と表示する、電子ファイル名やフォルダ名に分類を付す、画面表示やヘッダーに秘密表示を入れる、保管棚や研究室に「関係者以外立入禁止」と掲示するなどの措置が該当します。

第二に、誰が見てよいかを限定する仕組みが必要です。アクセス権限、施錠、入退室管理、閲覧者リスト、配布先管理、クラウドの共有範囲設定などです。ただし、秘密管理性は「鉄壁の管理」を要求するものではありません。情報の性質、会社規模、業態、アクセス人数、利用態様によって必要な管理の程度は異なります。

第三に、規程・誓約・教育によって規範意識を作ることが必要です。就業規則、秘密情報管理規程、秘密保持誓約書、研修、eラーニング、プロジェクト開始時の説明、退職時面談などを通じて、「この情報は一般情報とは扱いが違う」と理解できる状態を作ります。

営業秘密管理指針は、秘密管理措置として、媒体の選択・表示、媒体に接触する者の限定、営業秘密と他の情報との分別管理、営業秘密の種類・類型のリスト化、就業規則・秘密保持契約・誓約書、従業員への研修・啓発などを例示しています。

3.2 有用性 ― 直接売上につながらない情報も保護対象になり得る

有用性とは、その情報が客観的に事業活動に有用であることです。営業秘密管理指針は、有用性について、事業活動に使用・利用されていれば基本的に保護の必要性を肯定でき、現に使用されている情報に限らず、間接的・潜在的価値がある情報も含まれると説明しています。たとえば、過去に失敗した研究データや製品の欠陥情報のような「ネガティブ・インフォメーション」も有用性を有し得ます。

実務では、次のような情報が候補になります。

分野営業秘密候補の例有用性の説明例
営業顧客リスト、商談履歴、価格表、値引き基準、代理店条件競合が取得すれば顧客奪取や価格攻勢に利用できる
製造配合比率、温度、圧力、工程順序、歩留まり改善ノウハウ製造コスト・品質・納期に直結する
研究開発実験データ、失敗データ、試作品仕様、未出願発明開発期間短縮、特許戦略、技術優位に関係する
ITソースコード、アルゴリズム、モデル、脆弱性情報、認証設計サービス競争力やセキュリティに直結する
経営M&A検討資料、事業計画、原価構造、資金調達条件株主・競合・取引先との交渉力に関係する
人事重要人材配置、報酬テーブル、評価方針組織運営・採用競争力に関係する

ただし、公序良俗に反する情報、違法行為を隠すための情報などは、法律上保護される正当な利益を欠く可能性があります。営業秘密管理は、コンプライアンス違反を隠す制度ではなく、正当な競争優位を守る制度です。

3.3 非公知性 ― 秘密は「知られていない」だけでなく「容易に知り得ない」必要がある

非公知性とは、情報が一般に知られておらず、または容易に知ることができない状態をいいます。営業秘密管理指針は、合理的な努力の範囲内で入手可能な刊行物に記載されていない、公開情報や一般に入手可能な商品等から容易に推測・分析されないなど、保有者の管理下以外では一般的に入手できない状態を非公知性の判断要素として説明しています。

実務で注意すべき典型場面は次のとおりです。

  • 展示会、学会、ウェビナー、営業資料、採用資料で、技術条件や価格戦略を不用意に開示していないか。
  • 特許出願、公報、論文、製品マニュアル、GitHub、技術ブログ、FAQで同じ情報が公開されていないか。
  • 市販製品を簡単に解析すれば、製法・配合・構造が分かってしまわないか。
  • 取引先にNDAなしで提供し、その後相手方内で自由に共有されていないか。
  • 生成AIやクラウドツールに入力した情報が、サービス提供者や第三者に利用・閲覧・学習され得る設定になっていないか。

非公知性は、情報漏えい後に大きな争点になりやすい要件です。そのため、営業秘密管理台帳には「非公知性を支える根拠」、たとえば公開資料に含まれていないこと、社内限定で共有していること、製品解析では容易に判明しないこと、取引先とはNDAを締結していることを記録しておくべきです。

Section 03

社内で営業秘密を管理するための具体的な対策を5つの目的で設計する

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

社内で営業秘密を管理するための具体的な対策は、個別ツールの導入ではなく、管理体系として設計します。経済産業省の「秘密情報の保護ハンドブック」は、漏えい対策の目的を「接近の制御」「持出し困難化」「視認性の確保」「秘密情報に対する認識向上」「信頼関係の維持・向上等」の5つに整理しています。

この5分類は、社内制度設計に非常に有用です。

対策目的狙い代表的対策
接近の制御秘密情報に近づける者を限定するアクセス権限、施錠、入退室管理、ネットワーク分離、閲覧者限定
持出し困難化無断複製・持出しを難しくするUSB制限、印刷制限、DLP、暗号化、端末管理、外部共有制限
視認性の確保漏えいが見つかりやすい状態にするログ、監査、通し番号、防犯カメラ、EDR、アラート、内部通報
認識向上「秘密だと思わなかった」を防ぐマル秘表示、規程、研修、誓約書、プロジェクト説明
信頼関係の維持・向上内部不正の動機を減らす公正な評価、相談窓口、職場環境、退職時の丁寧な説明

5つの目的のうち、秘密管理性に特に直結するのは、接近の制御、認識向上、表示・規程・誓約です。他方で、実際の漏えいを防ぐには、持出し困難化と視認性の確保が不可欠です。さらに、内部不正は人の感情・処遇・職場不満とも関係するため、信頼関係の維持も軽視できません。

Section 04

営業秘密候補台帳で守る情報を特定する

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

営業秘密管理の第一歩は、会社が何を持っているかを把握することです。守る対象が不明確なまま規程やNDAを作っても、現場は何をしてよいか分かりません。

5.1 営業秘密候補台帳の項目

営業秘密候補台帳には、少なくとも次の項目を設けます。

項目記載例
管理IDTS-RD-2026-001
情報名新製品Aの配合条件、主要顧客別価格表、SaaS認証ロジック
情報オーナー研究開発部長、営業企画部長、CISO等
情報分類極秘、営業秘密、社外秘、部外秘等
媒体紙、Excel、設計CAD、Git、クラウドストレージ、試作品、装置
保管場所共有ドライブ、研究室、金庫、クラウド、ソースコード管理システム
アクセス権者部署、役職、プロジェクトメンバー、委託先担当者
外部共有先子会社、委託先、共同研究先、販売代理店
秘密管理措置表示、アクセス権、NDA、施錠、ログ、研修
有用性の根拠原価低減、競争優位、研究開発短縮、顧客維持
非公知性の根拠公開資料なし、製品解析困難、NDA下でのみ開示
保存期間契約終了後5年、製品終売後3年、秘密性消滅まで等
レビュー日半期ごと、プロジェクト終了時、退職者発生時
証拠資料規程、アクセスログ、教育記録、NDA、配布記録

台帳は、営業秘密の内容そのものを詳細に記載しすぎると、台帳自体が高リスク情報になります。そのため、台帳には秘密の「特定に必要な範囲」を記載し、詳細本体は権限管理された別領域に保管します。

5.2 棚卸しの進め方

棚卸しは、法務だけで完結しません。研究開発、営業、製造、情報システム、人事、経営企画、経理、購買、品質保証、カスタマーサポートなど、情報を実際に保有・利用する部門を巻き込む必要があります。

実務的には、次の手順が有効です。

  1. 法務・知財・情報システムが共同で棚卸しフォーマットを作成する。
  2. 各部門長を「情報オーナー」として指定する。
  3. 各部門が、自部門の重要情報を一覧化する。
  4. 法務・知財が営業秘密該当性を一次評価する。
  5. 情報システムが技術的管理可能性を確認する。
  6. 経営会議または情報管理委員会で重要営業秘密を承認する。
  7. 半期または年1回、台帳を更新する。

棚卸しでは、情報の価値だけでなく、使われ方を確認することが重要です。同じ顧客リストでも、営業全員が日常的に使う情報と、役員・営業企画だけが閲覧する価格戦略資料では、必要な管理措置が異なります。

Section 05

営業秘密の分類とラベリングを設計する

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

6.1 分類は少なすぎても多すぎても失敗する

情報分類は、実務で運用できる粒度にする必要があります。分類が粗すぎると重要情報を守れず、細かすぎると現場が判断できず形骸化します。

標準的には、次の4段階程度が使いやすいです。

分類意味主な管理措置
公開外部公開してよい情報公開済みニュースリリース、公開カタログ広報承認、改ざん防止
社内限り社外公開しない一般社内情報社内連絡、一般会議資料社外転送禁止、社内共有
秘密漏えいにより事業上の不利益がある情報顧客リスト、価格表、未公開施策秘密表示、アクセス制限、NDA
重要営業秘密漏えいにより重大な競争損害がある情報製法、アルゴリズム、M&A資料、未出願発明厳格な権限、ログ、持出制限、個別教育

分類名称は会社ごとに自由ですが、従業員が直感的に理解できることが必要です。「Level 1」「Level 2」だけでは分かりにくい場合は、「社外秘」「部外秘」「営業秘密」「役員限り」など、意味の明確な用語を使います。

6.2 ラベリングの具体策

紙媒体では、表紙・各ページ・ヘッダー・フッターに分類を表示し、配布番号を付けます。重要資料は、会議終了後に回収し、余部をシュレッダー処理します。

電子媒体では、次の措置を組み合わせます。

  • ファイル名に分類を付す ― 【営業秘密】主要顧客別価格表_2026Q1.xlsx
  • フォルダ名に分類を付す ― /営業秘密/製造条件/アクセス限定/
  • 文書ヘッダー・フッターに分類、取扱部署、持出禁止を表示する。
  • PDF化時に透かし、閲覧期限、パスワード、印刷制限を設定する。
  • クラウドストレージのラベル機能や情報保護ラベルを利用する。
  • ソースコード・設計図・CADデータにもリポジトリ単位で分類を設定する。

営業秘密管理指針も、電子媒体の場合、記録媒体へのマル秘表示、ファイル名・フォルダ名へのマル秘の付記、電子ファイル上の表示、パスワード設定等が秘密管理措置となり得ると説明しています。

6.3「全部マル秘」は危険である

多くの企業で起きる失敗は、すべての社内資料に「社外秘」と表示することです。一見安全に見えますが、実際には秘密表示の意味が薄れ、従業員が重要度を区別できなくなります。

営業秘密管理指針は、秘密管理措置が実効性を失い形骸化した状況で、従業員が企業の秘密管理意思を認識できない場合には、適切な秘密管理措置とはいえないと説明しています。

したがって、分類は「メリハリ」が必要です。全情報を秘密扱いするのではなく、営業秘密として保護すべき情報を特定し、重要度に応じた対策を講じるべきです。

Section 06

営業秘密へのアクセス権限をNeed to Knowで管理する

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

7.1 アクセス権限の基本原則

営業秘密へのアクセスは、「知る必要がある者」に限定します。これは単なるセキュリティ標語ではなく、秘密管理性と漏えい防止の双方に関わる実務原則です。

具体的には、次のルールを設けます。

  • 部門単位ではなく、業務上の必要性に応じてアクセスを付与する。
  • 共有アカウントを禁止し、個人IDで操作履歴を残す。
  • 管理者権限と利用者権限を分離する。
  • 重要営業秘密へのアクセスは情報オーナー承認制にする。
  • 異動、兼務解除、プロジェクト終了、退職時に速やかに権限を削除する。
  • 少なくとも四半期または半期ごとにアクセス権限を棚卸しする。
  • 外部共有リンクは期限付き・閲覧者限定・ダウンロード制限付きにする。

アクセス権限は、付与よりも削除が難しい領域です。人事情報とID管理を連携し、異動・退職情報が情報システム部門に自動通知される仕組みを構築します。

7.2 技術的な実装例

次の比較表は、営業秘密への接近を限定し、操作履歴を残すための技術領域を整理したものです。認証、権限、クラウド、端末、ネットワーク、開発環境、データベースのどこで管理が必要かを読み取ることで、自社の弱い領域を優先して補えます。

領域対策例
認証SSO、多要素認証、強固なパスワード、条件付きアクセス
権限RBAC、ABAC、グループ管理、特権ID管理
クラウド外部共有制限、ゲストユーザー管理、共有リンク期限、データ所在地確認
端末MDM、暗号化、リモートワイプ、USB制限、スクリーンロック
ネットワークVPN、ZTNA、セグメント分離、重要サーバの閉域化
開発環境リポジトリ権限、ブランチ保護、秘密鍵管理、CI/CDログ
データベース行・列レベル権限、監査ログ、管理者操作記録

7.3 クラウド利用時の注意

営業秘密管理指針は、外部クラウドを利用して営業秘密を保管・管理する場合でも、秘密として管理されていれば秘密管理性が失われるわけではなく、階層制限に基づくアクセス制御などの措置が考えられると説明しています。

クラウド利用時には、次の確認が必要です。

  • 契約上、クラウド事業者がデータをどの目的で利用できるか。
  • サポート担当者や委託先がデータにアクセスできる条件は何か。
  • データの保存国・移転先はどこか。
  • ログはどの期間保存されるか。
  • 退職者・委託終了者のアカウントを即時停止できるか。
  • 共有リンクが検索エンジンや外部ユーザーに露出しないか。
  • 生成AI機能が組み込まれている場合、入力データが学習・再利用されないか。

クラウドは危険だから使わない、という結論は現実的ではありません。むしろ、個人端末やローカル保存に散逸するより、統制されたクラウドに集約した方が管理しやすい場合もあります。重要なのは、契約・設定・ログ・教育を一体で設計することです。

Section 07

紙・試作品・工場で営業秘密を守る具体策

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

営業秘密管理はデジタル対策に偏りがちですが、紙資料、試作品、製造装置、金型、配合サンプル、実験ノート、ホワイトボード、工場レイアウトも重要な漏えい経路です。

8.1 区域管理

社内区域を次のように分けます。

区域管理措置
公開区域受付、商談室、セミナールーム来訪者導線、執務室との分離
社内区域一般執務室社員証、入退室記録、クリアデスク
制限区域開発室、サーバ室、品質管理室権限者限定、入室ログ、撮影禁止
高度制限区域試作ライン、重要研究室、金型保管室二要素入室、同伴制限、監視、個別台帳

製造機械、金型、高機能微生物、新製品試作品など、物件に営業秘密が化体している場合、営業秘密管理指針は、関係者以外立入禁止の表示、警備員や入館ID項目による立入制限、写真撮影禁止の表示、営業秘密物件リストの共有などを管理措置の例として挙げています。

8.2 紙媒体管理

紙媒体は、電子データよりもログが残りにくい点で高リスクです。

具体策は次のとおりです。

  • 文書に分類表示、配布番号、配布先を記載する。
  • 会議資料は必要部数のみ印刷する。
  • 重要会議では会議終了時に資料を回収する。
  • 余部はシュレッダーまたは溶解処理する。
  • キャビネット・金庫を施錠し、鍵の管理者を記録する。
  • 自宅持ち帰りを原則禁止し、例外は承認制にする。
  • 外部会議で使う資料は、開示範囲を法務・知財が確認する。
  • ホワイトボード、付箋、机上メモ、印刷機トレイの放置を禁止する。

8.3 来訪者・取引先・委託業者管理

来訪者対応では、次の点を標準化します。

  • 受付で来訪者記録を残す。
  • 来訪者証を着用させる。
  • 執務室・研究室・工場への単独入室を禁止する。
  • 撮影・録音・録画の可否を明示する。
  • 工場見学ルートを限定する。
  • 見学用資料は営業秘密を含まない版を用意する。
  • 清掃、警備、設備保守、複合機保守業者にも必要に応じて秘密保持義務を課す。
Section 08

営業秘密管理を規程・誓約書・教育に落とし込む

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

9.1 秘密情報管理規程に盛り込む事項

経済産業省のハンドブックは、秘密情報の取扱い等に関する社内規程に、適用範囲、秘密情報の定義、秘密情報の分類、分類ごとの対策、管理責任者、アクセス権の指定責任者などを盛り込むことを示しています。

社内規程には、少なくとも次を記載します。

  1. 目的
  2. 適用対象者 ― 役員、従業員、契約社員、派遣社員、業務委託者等
  3. 秘密情報・営業秘密の定義
  4. 情報分類
  5. 分類ごとの表示・保管・共有・廃棄ルール
  6. アクセス権限の付与・変更・削除手続
  7. 外部提供時の承認・NDA手続
  8. テレワーク時の取扱い
  9. 生成AI・クラウド利用時の取扱い
  10. 私物端末・USB・個人メール・個人クラウドの禁止または制限
  11. 印刷・撮影・録音・画面共有のルール
  12. 事故・紛失・誤送信時の報告義務
  13. ログ取得・モニタリングの目的と範囲
  14. 違反時の社内処分
  15. 退職後の秘密保持義務
  16. 規程の見直し手続

9.2 誓約書は「退職時だけ」では足りない

秘密保持誓約書は、退職時に提出を求めるだけでは不十分です。退職時に拒否される可能性もあり、在職中から秘密保持義務を明確化しておく必要があります。

実務では、次のタイミングで誓約・説明を行います。

タイミング実施事項
入社時秘密保持誓約、情報管理研修、規程説明
配属時部門固有の営業秘密説明、アクセス権付与
重要プロジェクト参加時個別NDA、対象情報の特定、持出禁止説明
異動・プロジェクト離脱時権限削除、資料返却、継続義務確認
退職予定判明時アクセス監視強化、資料返却、競合転職時の注意説明
退職時端末・媒体回収、アカウント停止、秘密保持義務再確認

9.3 教育は「年1回のeラーニング」だけで終わらせない

教育は、一般研修、部門別研修、役職者研修、退職予定者説明、取引先向け説明を組み合わせます。

教育内容には、次を含めます。

  • 営業秘密の3要件
  • 自社の営業秘密の具体例
  • 秘密表示の読み方
  • してはいけない行為 ― 個人メール転送、私物USB、無断クラウド保存、SNS投稿、生成AI入力、競合への開示
  • 誤送信・紛失・盗難時の報告方法
  • 退職後も守るべき義務
  • 他社の営業秘密を持ち込まないルール
  • 違反時の民事・刑事・社内処分リスク

教育記録は、受講日時、受講者、教材、テスト結果、誓約の有無を保存します。漏えい時には、会社が秘密管理意思を明確に示していた証拠にもなります。

Section 09

ログ・DLP・EDRで営業秘密の持出しを見つける

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

10.1 ログは「後で見られる状態」にして初めて意味がある

視認性の確保は、漏えいを抑止し、事故後の調査を可能にします。経済産業省のハンドブックは、職場レイアウト、通し番号管理、防犯カメラ、入退室記録、PCログ確認等により、秘密情報に接触する者の行動が記録・目撃・検知されやすい環境を整えることを、視認性の確保として説明しています。

取得すべきログは、次のとおりです。

ログ種類具体例
認証ログログイン、失敗ログイン、多要素認証、管理者ログイン
ファイル操作ログ閲覧、ダウンロード、コピー、削除、外部共有
メールログ外部送信、添付ファイル、私用メール宛送信
印刷ログ印刷者、文書名、枚数、時刻、プリンタ
USB・外部媒体ログ接続、書込み、コピー、デバイスID
クラウド監査ログ共有リンク作成、ゲスト追加、大量ダウンロード
開発環境ログGit clone、pull、fork、権限変更、秘密鍵利用
入退室ログ入室者、時刻、区域、同伴者
EDRログ不審プロセス、外部通信、ファイル圧縮、異常挙動

ログは、取得しても保存期間が短すぎる、権限者が誰も見ない、退職後に削除される、個人端末には残らない、という状態では機能しません。重要営業秘密については、少なくとも退職前後、プロジェクト終了前後、外部共有前後のログを重点的に確認できる体制を整えます。

10.2 DLP・CASB・EDR等の活用

技術的対策は、会社規模や情報価値に応じて選択します。

技術用途営業秘密管理上の効果
DLPメール・Web・端末からの機密データ送信制御持出し困難化、誤送信防止
CASB/SaaS監査クラウド利用状況・外部共有の把握シャドーIT対策、共有リンク管理
EDR端末上の不審挙動検知内部不正・マルウェア早期発見
MDM端末設定・暗号化・リモートワイプ紛失・退職時の漏えい防止
SIEMログ集約・相関分析大量ダウンロード等の検知
IAM/PAMID・特権ID管理権限濫用防止
IRM文書単位の閲覧・印刷・転送制御外部共有後の制御
暗号化保存・通信・媒体の保護紛失時の被害軽減

ただし、ツールを導入しても、分類ラベル、運用ルール、例外承認、監査体制がなければ機能しません。DLPで営業秘密を検知するには、そもそも営業秘密の定義・台帳・ラベルが必要です。

10.3 モニタリングとプライバシー・労務配慮

従業員のメール、端末、ログを監視する場合は、目的、範囲、取得項目、保存期間、閲覧権限を就業規則や情報管理規程に明記し、従業員へ周知する必要があります。ハンドブックも、従業員モニタリングについて、目的が従業員の保護であることを就業規則等に明記して周知し、理解を得た上で適切に運用する必要があると説明しています。

監視は「疑うため」ではなく、会社と従業員の双方を守るための仕組みです。過度な監視は職場不信を生み、逆に内部不正リスクを高めることがあります。法務・人事・情報システム・労務専門家が連携して設計します。

Section 10

退職者・転職者による営業秘密漏えいを防ぐ

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

IPAは、内部不正による顧客情報や製品情報などの漏えいは事業の根幹を揺るがすインシデントであり、内部不正対策が組織にとって喫緊の課題であると説明しています。また、IPAの内部不正防止ガイドラインは、基本方針、資産管理、技術的管理、職場環境、事後対策等の観点で具体的対策を示しています。

営業秘密漏えいは、退職・転職・独立・競合入社・委託終了の局面で発生しやすいため、退職者対応は制度化が必要です。

11.1 退職予定者対応チェックリスト

次の比較表は、退職意向の把握から退職後確認までの各時点で行うべき対応を示します。退職前後は持出しリスクが高まりやすいため、時点ごとの確認事項を読むことで、証拠保全と権限削除の抜けを防げます。

時点実施事項
退職意向把握時アクセス権限確認、重要プロジェクトからの段階的切替、持出しリスク評価
退職前大量ダウンロード、外部メール、USB、クラウド共有のログ確認
退職面談秘密保持義務、資料返却、他社秘密持込禁止、競業避止義務がある場合の説明
退職日アカウント停止、端末・社員証・媒体・紙資料回収、個人端末内データ削除確認
退職後共有リンク・ゲスト権限・SaaSアカウントの残存確認、必要に応じて警告書送付

退職者に対しては、威圧的な対応ではなく、具体的に「どの情報を持ち出してはいけないか」「どの資料を返却すべきか」「転職先で何に注意すべきか」を説明します。

11.2 競業避止義務は慎重に設計する

退職後の競業避止義務は、従業員の職業選択の自由と衝突し得るため、過度に広い制限は無効・不適切と評価される可能性があります。営業秘密保護の目的であっても、対象者、期間、地域、業務範囲、代償措置、対象情報の具体性を検討する必要があります。

実務上は、競業そのものを広く禁止するより、営業秘密の使用・開示禁止、顧客勧誘禁止、資料持出禁止、返却義務、転職先への持込禁止を明確化する方が現実的な場合が多いです。競業避止条項を設ける場合は、弁護士・社労士等の専門家に確認すべきです。

11.3 他社からの転職者を受け入れる側の対策

自社の営業秘密を守るだけでなく、他社の営業秘密を意図せず侵害しないことも重要です。転職者受入時には、次の対応を行います。

  • 前職の資料・データ・USB・個人クラウドを持ち込ませない。
  • 前職の営業秘密を聞き出す面談をしない。
  • 入社時に「前職秘密情報を使用しない」誓約を取得する。
  • 前職と競合する研究開発・営業活動に配置する場合は、担当範囲を慎重に設計する。
  • 自社で独自に開発・作成した証拠を残す。
  • 共同研究・M&A・採用時に他社秘密が混入しない手続を整備する。

この領域は紛争化しやすく、弁護士に相談すべき典型場面です。

Section 11

NDA・委託先・共同研究で営業秘密を管理する

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

12.1 NDAは締結するだけでは足りない

営業秘密管理指針は、取引相手先に秘密情報を提供する場合、従業員・役員向けの秘密管理措置に加え、取引相手先と秘密保持契約を締結した上で秘密情報を提供したかどうかがポイントになると説明しています。

NDAには、少なくとも次を定めます。

  1. 秘密情報の定義
  2. 開示目的
  3. 目的外使用禁止
  4. 開示先内部の取扱者限定
  5. 複製・改変・持出し制限
  6. 再委託・第三者提供の制限
  7. 管理水準
  8. 返還・削除・証明
  9. 漏えい時の通知・協力
  10. 監査・報告
  11. 損害賠償・差止め
  12. 存続期間
  13. 準拠法・裁判管轄

ただし、NDAを締結しただけで秘密管理性が保証されるわけではありません。どの情報をNDA対象として開示したか、開示時に秘密表示をしたか、相手方の受領者は誰か、返却・削除されたかを記録する必要があります。

12.2 委託先管理

システム開発、製造委託、コールセンター、物流、分析業務、AI開発、広告運用、人事労務代行など、委託先が営業秘密に接する場面は多くあります。

委託先管理では、次を実施します。

  • 委託前のセキュリティ質問票・監査
  • 秘密情報の開示範囲の最小化
  • 委託先担当者の限定
  • 再委託の承認制
  • 自社環境・自社サーバ・VDIの利用
  • ログ取得・監査権
  • 契約終了時のデータ削除証明
  • インシデント発生時の通知期限
  • 生成AI・外部クラウド利用の禁止または承認制

委託先の管理不備により漏えいした場合、顧客・取引先・行政・株主から見れば、自社の管理責任が問われます。契約と技術的統制を組み合わせる必要があります。

12.3 共同研究・共同開発

共同研究では、どの情報が自社の既存情報で、どの情報が共同成果で、どの情報を誰が特許出願できるかを明確にする必要があります。

共同研究契約では、次を定めます。

  • バックグラウンド情報の定義
  • 開示情報の記録方法
  • 秘密保持義務
  • 成果情報の帰属
  • 発明届・出願手続
  • 論文・学会発表・展示会発表の事前承認
  • 共同研究終了後の利用範囲
  • 学生・派遣研究員・外部協力者の取扱い

大学・研究機関との共同研究では、発表の自由、学生の研究活動、特許出願のタイミング、輸出管理、研究インテグリティも関係します。早期に法務・知財・研究責任者で協議します。

Section 12

テレワーク・BYOD・生成AIで営業秘密を守る

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

13.1 テレワークは「場所の統制」が弱くなる

ハンドブックは、テレワークの普及により、情報の利用・アクセス場所が企業内中心から自宅やサテライト施設など企業外部へ浸透・常態化し、情報管理・利用のあり方が変容していると指摘しています。

テレワーク時の対策は次のとおりです。

  • 会社貸与端末を原則とする。
  • 私物端末利用は例外承認制とし、MDM・暗号化・マルウェア対策を必須にする。
  • ローカル保存を制限し、クラウドまたはVDIで作業させる。
  • 多要素認証を必須にする。
  • 公共Wi-Fi利用を制限し、VPNまたはZTNAを利用する。
  • 自宅以外のカフェ・交通機関での重要営業秘密閲覧を禁止または制限する。
  • 画面覗き見防止、離席時ロック、家族共用端末禁止を定める。
  • 印刷を禁止または承認制にする。
  • オンライン会議での画面共有・録画・録音ルールを定める。

13.2 生成AI利用ルール

ハンドブックは、AI開発時のデータ学習や外部生成AIへの不用意な入力により、意図しない情報漏えいにつながる懸念があると指摘しています。 また、生成AI利用時には、入力した情報が社外に流出・公開等される可能性を踏まえ、流出したら困る情報は使用・入力しないといった対応が重要であると説明しています。

生成AIについては、次のルールを定めます。

項目ルール例
利用可能AI会社が承認したサービスのみ利用可
入力禁止情報営業秘密、個人情報、未公開決算、M&A、未出願発明、顧客固有情報
例外法務・情報システム承認済みの法人契約環境で、学習利用禁止・ログ管理・アクセス制御が確認できる場合
出力物確認AI出力をそのまま外部提出しない。第三者権利・機密混入・誤情報を確認する
記録重要業務での利用はプロンプト、出力、利用目的を記録する
教育具体例を用いて「入力してはいけない情報」を教育する

生成AIの禁止だけでは、個人利用やシャドーITを招くことがあります。安全に利用できる公式環境を整備し、利用してよい情報といけない情報を明確にすることが現実的です。

Section 13

営業秘密漏えい疑いの初動対応

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

営業秘密漏えいが疑われる場合、初動対応を誤ると、証拠が失われ、差止請求・損害賠償請求・刑事告訴・取引先対応が難しくなります。

14.1 漏えいの兆候

次の兆候がある場合は、早期に調査します。

  • 退職予定者が大量のファイルをダウンロードしている。
  • 深夜・休日に通常業務と異なるアクセスがある。
  • 個人メール、個人クラウド、外部ストレージへの送信がある。
  • USB接続や圧縮ファイル作成が増えている。
  • 共有リンクが外部公開設定になっている。
  • 競合他社が自社しか知らないはずの情報を利用している。
  • 取引先から不審な問い合わせがある。
  • 元従業員が類似商品・類似サービスを開始している。

14.2 初動対応の順序

  1. 対応チームを組成する ― 法務、情報システム、人事、該当部門、経営、必要に応じて外部弁護士・フォレンジック専門家。
  2. 証拠を保全する ― 端末、ログ、メール、クラウド監査ログ、入退室記録、NDA、教育記録、台帳を保全する。
  3. アクセスを遮断する ― 疑義アカウント、外部共有リンク、APIキー、VPN、SaaS権限を停止する。
  4. 事実を特定する ― 何が、いつ、誰に、どの経路で、どこまで漏えいしたかを確認する。
  5. 被害拡大を防止する ― 取引先への通知、パスワード変更、秘密情報の差替え、公開停止、追加監視。
  6. 法的措置を検討する ― 警告書、仮処分、訴訟、刑事告訴、証拠保全、秘密保持命令等。
  7. 再発防止策を実施する ― 権限見直し、規程改訂、教育、技術対策、監査。

14.3 やってはいけない初動

  • 疑義者のPCを通常起動してファイルを開き、証拠を改変する。
  • ログ保存期間を確認せず放置する。
  • 感情的に本人を問い詰め、証拠隠滅を誘発する。
  • 事実確認前に社内外へ断定的に公表する。
  • 取引先・競合に不用意な連絡をして証拠を消される。
  • 個人情報・労務・プライバシーを無視した過剰調査を行う。

営業秘密漏えいの疑いがある場合は、早期に弁護士・フォレンジック専門家へ相談することが望ましいです。不正競争防止法は、営業秘密侵害について差止請求、損害賠償請求、秘密保持命令などの民事措置や、一定行為に対する刑事罰を規定しています。経済産業省の不正競争防止法概要も、民事措置として差止請求権、損害賠償請求権、秘密保持命令等を、刑事措置として営業秘密侵害罪の罰則を掲げています。

Section 14

営業秘密管理で弁護士等へ相談すべき場面

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

社内で営業秘密を管理するための具体的な対策は、社内で設計できる部分が多い一方、紛争・労務・契約・刑事対応に関わる局面では、早期の専門家相談が重要です。

弁護士への相談が特に有効な場面は、次のとおりです。

場面相談内容
営業秘密管理規程を初めて作る規程、誓約書、就業規則、懲戒規定との整合性
退職者が競合へ転職する秘密保持義務、競業避止、警告書、証拠確認
大量ダウンロード・持出し疑いがある証拠保全、調査方法、本人面談、仮処分・刑事告訴
NDA・共同研究契約を作る秘密情報の特定、成果帰属、発表制限、監査条項
従業員モニタリングを導入する就業規則、プライバシー、労務リスク、周知方法
他社から警告書が届いた他社営業秘密の使用有無、反論、差止対応
生成AI・クラウドに営業秘密を扱わせる契約、データ利用条件、越境移転、責任分担
海外子会社・海外委託先と共有する準拠法、管轄、輸出管理、データ移転、現地法

弁護士に相談する際は、抽象的に「漏えいしたかもしれない」と伝えるだけでなく、営業秘密候補台帳、アクセスログ、対象情報、秘密表示、NDA、教育記録、退職者情報、時系列を整理して持参すると、初動が速くなります。

Section 15

90日で営業秘密管理の最低限を整える

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

次の時系列は、90日で最低限の営業秘密管理体制を作るための進め方を表します。前半で現状把握と緊急対策、中盤で規程と教育、後半でログと監査を整える順番を読むと、限られた期間で優先順位を付けやすくなります。

0〜30日

現状把握と緊急対策

重要営業秘密を暫定指定し、外部共有、残存アカウント、私物媒体、生成AI入力を急いで点検します。

31〜60日

規程・分類・教育

秘密情報管理規程、分類基準、表示ルール、誓約書、NDA、研修を整えます。

61〜90日

ログ・監査・継続運用

クラウド監査ログ、退職予定者対応、委託先契約、インシデント対応、半期監査を運用に載せます。

16.1 0〜30日 ― 現状把握と緊急対策

  • 経営者名で営業秘密管理方針を発出する。
  • 各部門から営業秘密候補を提出させる。
  • 重要営業秘密トップ20を暫定指定する。
  • 重要フォルダ・クラウド共有の外部公開設定を確認する。
  • 退職者・異動者の残存アカウントを削除する。
  • 重要情報へのアクセス権を暫定的に絞る。
  • 私物USB、個人メール転送、個人クラウド保存を禁止または承認制にする。
  • 生成AIへの秘密情報入力禁止を周知する。

16.2 31〜60日 ― 規程・分類・教育を整備する

  • 秘密情報管理規程を作成する。
  • 情報分類基準を決める。
  • ファイル名、ヘッダー、フォルダ、紙文書の表示ルールを定める。
  • 入社時・退職時・プロジェクト参加時の誓約書を整備する。
  • NDA雛形を見直す。
  • 全社研修と部門別研修を実施する。
  • アクセス権限棚卸しを開始する。

16.3 61〜90日 ― ログ・監査・継続運用を作る

  • 重要システムのログ取得・保存期間を確認する。
  • クラウド監査ログを有効化する。
  • DLP、EDR、MDM等の導入要否を評価する。
  • 退職予定者対応流れを定める。
  • 委託先・共同研究先の契約棚卸しを行う。
  • インシデント対応手順を作成する。
  • 経営会議に営業秘密管理状況を報告する。
  • 半期ごとの監査・見直し予定を設定する。
Section 16

中小企業・スタートアップの営業秘密管理優先順位

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

次の強調表示は、中小企業やスタートアップが最初に見るべき優先順位を示します。すべての高度なツールを一度に導入するのではなく、重要情報の特定、アクセス制限、退職者対応、外部提供管理から始めることを読み取れます。

まず守る対象を10〜30個に絞る

限られたリソースでは、重要ファイル、顧客リスト、価格表、製法、ソースコードなど企業価値に直結する情報から管理対象を明確にすることが現実的です。

営業秘密管理は、大企業だけの問題ではありません。むしろ、中小企業やスタートアップでは、少数のノウハウ・顧客・技術に企業価値が集中していることが多く、漏えい時の影響は深刻です。

一方で、すべての高度なセキュリティツールを導入することは現実的ではありません。まずは、次の10項目から始めるべきです。

  1. 重要情報を10〜30個に絞って台帳化する。
  2. 重要ファイル・フォルダ名に「営業秘密」等の表示を付ける。
  3. 顧客リスト、価格表、製法、ソースコードのアクセス権を限定する。
  4. 共有リンクの外部公開を禁止する。
  5. 退職者アカウントを退職日に必ず削除する。
  6. 入社時・退職時の秘密保持誓約書を整える。
  7. 個人メール・個人クラウド・私物USBへの保存を禁止する。
  8. 重要資料の印刷・持ち帰りを承認制にする。
  9. NDAなしで技術・価格・顧客情報を外部提供しない。
  10. 漏えい疑い時の相談先を決めておく。

IPAは、中小企業向けに情報セキュリティ対策の現状把握のための「5分でできる!情報セキュリティ自社診断」等のツールを提供しています。 こうした公的ツールを使い、まず現状の弱点を可視化することも有効です。

Section 17

営業秘密管理でよくある失敗と改善策

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

18.1 失敗1 ― 規程はあるが、現場が知らない

改善策は、規程を短い運用基準に落とし込み、部門別に具体例を示すことです。研究開発部には実験データ・試作品・未出願発明、営業部には顧客リスト・価格表・提案資料、情報システム部にはソースコード・認証情報・脆弱性情報を例示します。

18.2 失敗2 ― NDA締結前に資料を送っている

改善策は、外部提供手順を作り、NDA締結確認、開示資料確認、秘密表示、送付記録を必須にすることです。オンライン商談でも、投影資料・録画・チャット添付に注意します。

18.3 失敗3 ― 退職時に初めて秘密保持を説明する

改善策は、入社時・異動時・プロジェクト参加時から誓約・教育を行うことです。退職時は新たな義務を突然課す場ではなく、既存義務を確認する場にします。

18.4 失敗4 ― アクセス権限が部署単位で広すぎる

改善策は、情報オーナーを設け、重要営業秘密についてはプロジェクト単位・職務単位で権限を付与することです。半年ごとに権限棚卸しを行い、不要権限を削除します。

18.5 失敗5 ― ログが残っていない

改善策は、重要フォルダ、メール、クラウド、リポジトリ、入退室、USB接続のログを有効化し、保存期間を定めることです。ログ閲覧権限も限定し、改ざん防止を講じます。

18.6 失敗6 ― 生成AIに営業秘密を入力している

改善策は、承認済みAI環境を整備し、入力禁止情報を具体的に示すことです。「顧客名を匿名化すればよい」といった曖昧な運用ではなく、営業秘密・個人情報・未公開情報は原則入力禁止とし、例外条件を明確にします。

Section 18

社内で使える営業秘密管理チェックリスト

部門ごとの確認項目を、運用前後の点検に使える形で整理します。

19.1 法務・知財チェック

  • □ 営業秘密候補台帳がある。
  • □ 情報分類基準がある。
  • □ 秘密情報管理規程がある。
  • □ 入社時・異動時・プロジェクト参加時・退職時の誓約書がある。
  • □ NDA雛形に目的外使用禁止、返還・削除、監査、漏えい通知がある。
  • □ 共同研究契約で成果帰属・発表承認・出願手続を定めている。
  • □ 他社秘密情報の持込禁止ルールがある。

19.2 情報システムチェック

  • □ 重要情報へのアクセス権限が限定されている。
  • □ 退職者・異動者の権限削除手順がある。
  • □ 多要素認証が導入されている。
  • □ クラウド共有リンクの外部公開を制御している。
  • □ USB・個人クラウド・個人メールへの持出しを制限している。
  • □ ログを取得・保存・監査している。
  • □ 端末暗号化、MDM、EDR等を導入または検討している。

19.3 人事・総務チェック

  • □ 入社時研修で営業秘密を説明している。
  • □ 退職予定者対応流れがある。
  • □ 貸与端末・社員証・媒体の返却確認がある。
  • □ 従業員モニタリングの目的・範囲を就業規則等で周知している。
  • □ 相談窓口・内部通報窓口がある。
  • □ 働きやすい職場環境や公正な評価に関する施策がある。

19.4 現場部門チェック

  • □ 部門固有の営業秘密を把握している。
  • □ 紙資料・試作品・実験ノートの保管ルールがある。
  • □ 工場・研究室・サーバ室の入退室管理がある。
  • □ 外部発表・展示会・営業資料を事前確認している。
  • □ 取引先に開示した情報と開示日を記録している。
Section 19

営業秘密管理は事業継続と人材流動性を支える

制度・実務・証拠化の観点を結び、現場で使える形に整理します。

社内で営業秘密を管理するための具体的な対策は、単なる守りの施策ではありません。適切な管理は、技術・顧客・ノウハウという企業価値を守り、従業員が安心して転職・異動できる境界を明確にし、共同研究や委託取引を円滑にし、万一の漏えい時に迅速な法的対応を可能にします。

最も重要なのは、次の3点です。

第一に、守るべき情報を特定すること。営業秘密候補台帳がなければ、表示、権限、教育、監査のすべてが曖昧になります。

第二に、秘密であることを認識できる状態を作ること。表示、規程、誓約、教育、アクセス制限を組み合わせ、秘密管理意思を客観化します。

第三に、運用を継続すること。入社、異動、退職、委託、共同研究、クラウド、生成AI、事故対応まで、情報が動く場面に管理を組み込みます。

営業秘密管理は、完璧な金庫を作ることではありません。事業に必要な利用を妨げず、しかし競争力の源泉を失わないよう、法務・知財・情報システム・人事・現場が同じ設計図を共有することです。迷った場合、特に退職者対応、漏えい疑い、NDA、共同研究、従業員モニタリング、生成AI利用については、早期に弁護士等の専門家へ相談することが、結果的に最も安全で費用対効果の高い対応になります。

Reference

この記事の参考情報源

  • e-Gov法令検索「不正競争防止法」
  • 経済産業省「営業秘密〜営業秘密を守り活用する〜」
  • 経済産業省「営業秘密管理指針」
  • 経済産業省「秘密情報の保護ハンドブック〜企業価値向上に向けて〜」
  • 経済産業省「不正競争防止法の概要」
  • IPA「組織における内部不正防止ガイドライン」
  • IPA「5分でできる!情報セキュリティ自社診断」