営業秘密として保護を受けるために、台帳、秘密表示、アクセス権限、NDA、退職者対応、クラウドと生成AIの運用まで、最低限そろえるべき実務を整理します。
秘密として守る対象を見える化し、関係者が認識でき、証拠で説明できる状態を目指します。
秘密として守る対象を見える化し、関係者が認識でき、証拠で説明できる状態を目指します。
中小企業の営業秘密管理の最低限ラインは、単に社外秘と書くことや、NDAを一度結ぶことではありません。会社が守る情報を特定し、触れる人が秘密だと分かり、後日説明できる証跡を残す状態まで整えることです。
次の五つの項目は、このページ全体で扱う最低限ラインの中核です。各項目は、裁判所、専門家、取引先、監査人などに管理状況を説明するためにも重要で、まずはどの証跡が残っているかを読み取ってください。
会社が秘密として扱う対象情報を、営業秘密台帳や分類表で明らかにします。
一般情報と区別し、従業員、役員、委託先、取引先が秘密だと認識できる状態にします。
業務上必要な人だけが閲覧、編集、持出しをできるよう、権限と配布先を整理します。
就業規則、誓約書、NDA、委託契約、研修で秘密として扱う義務を示します。
教育記録、ログ、権限表、持出記録、廃棄記録を残し、後日説明できる状態にします。
個別案件の見通しは、情報の性質、管理実態、漏えい経路、契約関係、証拠状況、従業員の職務内容、取引慣行などで変わります。具体的な紛争、退職者対応、刑事告訴、仮処分、海外流出、M&A、共同研究、個人情報漏えいを伴う場面では、弁護士、弁理士、情報セキュリティ専門家、デジタルフォレンジック専門家、社会保険労務士、公認会計士、税理士などへ相談する必要があります。
技術情報だけでなく、営業情報、顧客情報、経営情報、AI関連情報まで保護対象になり得ます。
営業秘密は高度技術だけではなく、顧客情報、価格条件、失敗データ、原価構造、AI関連データにも及びます。次の比較表は、中小企業で守るべき情報の種類と漏えい時の影響を示すもので、自社の重要情報を洗い出す入口として読むことが重要です。
| 情報の種類 | 中小企業での典型例 | 漏えい時の影響 |
|---|---|---|
| 技術情報 | 図面、CADデータ、金型データ、配合比、製造条件、検査条件、ソースコード | 競合による模倣、価格競争力の低下、発注先変更につながります。 |
| 営業情報 | 顧客リスト、見積条件、粗利率、仕入価格、営業トーク、案件確度 | 顧客奪取、価格下落、取引先との信頼低下につながります。 |
| 研究開発情報 | 試験結果、失敗データ、未出願発明、試作品情報 | 研究開発費の回収不能、先行出願リスクにつながります。 |
| 経営情報 | 事業計画、M&A検討資料、資金繰り、原価構造 | 信用不安、交渉力低下、金融機関や取引先への悪影響につながります。 |
| データ・AI関連情報 | 学習データ、アノテーション基準、プロンプト設計、モデル評価データ | 再現可能性の喪失や外部AIサービス経由の流出につながります。 |
| 個人情報を含む営業秘密 | 顧客名簿、施術履歴、購買履歴、問い合わせ履歴 | 不正競争防止法上の問題に加え、個人情報保護法上の対応も必要になります。 |
中小企業は、法務、知財、情報システム、内部監査の機能が分かれていないことが多いため、代表者や古参社員の記憶に頼りがちです。しかし、問題が表面化するのは退職、転職、取引終了、共同開発の破綻、委託先の再委託、不正アクセス、M&A後の対立など、信頼関係が揺らぐ局面です。
そのため、平時から重要情報を分類し、誰が見ても秘密として扱われていると分かる状態にしておくことが、紛争予防と事後対応の両方で有効です。
秘密管理性、有用性、非公知性を、自社の管理措置に結び付けて理解します。
営業秘密として保護を受けるには、一般的に三つの要件を満たす必要があります。次の比較表は、法律上の言葉を中小企業の実務に置き換えたもので、どの管理措置がどの要件を支えるかを読み取ることが重要です。
| 要件 | 意味 | 中小企業での実務的な言い換え |
|---|---|---|
| 秘密管理性 | 秘密として管理されていること | 会社が秘密として扱う意思を示し、従業員などがそれを分かる状態にしていることです。 |
| 有用性 | 事業活動に有用な技術上または営業上の情報であること | 売上、利益、品質、開発、営業、経営判断に役立つ情報です。 |
| 非公知性 | 公然と知られていないこと | 一般には入手できず、会社の管理下にあるから価値がある情報です。 |
秘密管理性では、アクセス制限だけでなく、情報に触れる人が秘密であると認識できるかが重視されます。フォルダ権限、ID、パスワード、施錠保管は強力ですが、秘密表示、NDA、研修、情報種類のリスト化も秘密管理措置として意味を持ちます。
次の注意点の一覧は、三要件のうち実務で誤解されやすい点を整理したものです。どの誤解が自社の運用に近いかを読むことで、優先して直す箇所が見えます。
社外秘表示は有効な手段ですが、保管場所、権限、配布先、廃棄方法が伴わないと説明力が弱くなります。
うまくいかなかった配合比率、不良率が上がる加工条件、失注理由なども、競合にとってコスト削減の価値を持つ場合があります。
個別の情報がありふれていても、顧客名、価格条件、納期、履歴が結合したデータベースには非公知性が認められる可能性があります。
一方で、違法行為の隠蔽や公序良俗に反する情報は、秘密として法律上保護する正当な利益を欠く場合があります。営業秘密管理は、違法行為を隠す制度ではなく、正当な事業上の情報価値を守るための仕組みです。
法的最低限と漏えい防止策を分け、台帳、表示、権限、義務、証拠を順にそろえます。
営業秘密管理では、法的保護の最低限ラインと、漏えい防止の理想的な対策を分けて考えることが大切です。次の比較表は、両者の目的と証拠の違いを示すもので、まず最低限ラインを整え、そのうえで重要情報から防止策を上乗せする読み方をしてください。
| 観点 | 法的最低限ライン | 漏えい防止・経営防衛ライン |
|---|---|---|
| 主目的 | 不正取得、使用、開示が起きた後に、差止め、損害賠償、刑事対応などを検討できる状態にします。 | そもそも漏えいを起こしにくくし、被害を小さくします。 |
| 中心概念 | 秘密管理性、有用性、非公知性です。 | リスクアセスメント、アクセス制御、監視、バックアップ、教育、インシデント対応です。 |
| 最低限の措置例 | マル秘表示、フォルダ名、パスワード、NDA、守秘誓約、台帳、研修です。 | 多要素認証、ログ監視、DLP、EDR、ゼロトラスト、第三者監査、SOC連携です。 |
| 中小企業での考え方 | まず説明可能な管理を整えます。 | 重要情報から段階的に強化します。 |
| 証拠 | 契約書、規程、台帳、表示、アクセス権限表、教育記録です。 | ログ、アラート、監査記録、脆弱性診断、バックアップ復元記録です。 |
次の五点セットは、紙、電子ファイル、クラウド、物件、ノウハウ、社外共有のどの場面にも共通する骨格です。実務では、各行の意味と証跡をセットで確認し、足りない証跡から補うことが重要です。
| 五点セット | 実務上の意味 | 最低限の証跡 |
|---|---|---|
| 1. 情報の特定 | 何を営業秘密として扱うかを決めます。 | 営業秘密台帳、分類表、取締役や代表者の決裁メモです。 |
| 2. 秘密表示・分別 | 一般情報と区別します。 | マル秘表示、フォルダ名、ヘッダー、キャビネット表示です。 |
| 3. 接触者の限定 | 誰が見られるかを整理します。 | アクセス権限表、配布先リスト、鍵管理簿、クラウド権限画面です。 |
| 4. 守秘義務の明確化 | 従業員、役員、委託先、取引先に義務を示します。 | 就業規則、誓約書、NDA、委託契約、研修資料です。 |
| 5. 運用証拠の保存 | 後日説明できるようにします。 | 教育記録、ログ、廃棄記録、退職時チェックリスト、監査記録です。 |
最低限ラインを満たしても漏えいが防げるとは限りません。逆に、高価なセキュリティ製品を導入していても、どの情報が営業秘密なのかが明確でなければ、法的保護の説明は難しくなります。
管理対象、責任者、保管場所、閲覧可能者、秘密表示を一つの表で追えるようにします。
営業秘密台帳は、会社として何を秘密にし、誰にどのように示していたかを説明するための土台です。次の比較表は台帳の最低限項目を示しており、完璧な全社棚卸しよりも、売上、利益、品質、技術、顧客維持に直結する上位20件から始める読み方が有効です。
| 項目 | 記載例 |
|---|---|
| 管理番号 | TS-2026-001 |
| 情報名 | 主要顧客別見積条件一覧、A製品加工条件表、B社向け提案資料 |
| 情報分類 | 技術情報、営業情報、顧客情報、経営情報、研究開発情報 |
| 秘密区分 | 極秘、社外秘、部外秘、限定共有 |
| 保管場所 | SharePoint営業部フォルダ、工場長PC、施錠キャビネット、クラウドストレージ |
| 管理責任者 | 営業部長、製造部長、開発責任者、管理部長 |
| 閲覧可能者 | 役員、営業課長以上、開発チーム、委託先A社の担当者2名 |
| 秘密表示 | ファイル名に【社外秘】、PDFヘッダーにConfidential、紙表紙にマル秘 |
| 関連契約 | 従業員誓約書、B社NDA、業務委託契約の守秘条項 |
| 更新日 | 2026-06-03 |
| 廃棄・保管期限 | 取引終了後5年、最新版のみ保存、旧版は削除記録を残す運用 |
| 備考 | 個人データを含むため個人情報管理台帳にも記録する事項 |
台帳はExcel、Googleスプレッドシート、Notion、SharePoint、紙の管理簿でも構いません。重要なのは、管理対象、アクセス権限、更新履歴、秘密管理意思が分かることです。
紙、電子ファイル、クラウド、物件、無形ノウハウごとに最低限の管理を具体化します。
紙資料は、放置や持出しが起きやすいため、表示、保管、配布、回収、持出し、廃棄を分けて確認することが重要です。次の比較表では、紙を見た人が通常資料と違う扱いだと分かるかを読み取ってください。
| 対策 | 最低限の実装 |
|---|---|
| 表示 | 表紙または各ページに「社外秘」「営業秘密」「Confidential」などを表示します。 |
| 保管 | 重要書類は施錠キャビネット、金庫、管理者席周辺などに集約します。 |
| 配布 | 会議資料は配布先を限定し、必要に応じて通し番号を付けます。 |
| 回収 | 重要会議後は紙資料を回収し、不要分はシュレッダー処理します。 |
| 持出 | 自宅持ち帰り、外部会議持参、車内放置を禁止または事前承認制にします。 |
| 廃棄 | 廃棄日時、廃棄者、廃棄方法を簡単に記録します。 |
電子ファイルでは、ファイル名、フォルダ名、権限、共有リンク、ログ、退職・異動処理が連動しているかが重要です。次の比較表では、全社員共有のままになっていないか、後から閲覧や持出しを説明できるかを確認してください。
| 対策 | 最低限の実装 |
|---|---|
| ファイル名 | 【社外秘】主要顧客別粗利表_2026.xlsx のように秘密表示を入れます。 |
| フォルダ名 | 営業秘密_限定共有開発部_Confidential などにします。 |
| アクセス権限 | 全社員共有ではなく、部署、役職、案件メンバー単位で制限します。 |
| パスワード | 重要ファイルはパスワードまたは権限管理されたクラウドで管理します。 |
| 共有リンク | リンクを知っている全員ではなく、特定ユーザー共有にします。 |
| ログ | 重要フォルダについて、閲覧、ダウンロード、共有のログを保存します。 |
| 退職・異動 | 退職日や異動日に権限を削除し、端末とアカウントを回収します。 |
クラウド自体は営業秘密管理と矛盾しませんが、共有設定のミスが漏えいに直結します。次の比較表では、外部共有、公開リンク、権限、多要素認証、退職処理、外部連携、ログ保存を一体で点検してください。
| 確認項目 | 最低限ライン |
|---|---|
| 共有範囲 | 外部共有が必要なフォルダを限定します。 |
| リンク共有 | 原則として特定ユーザー共有にし、公開リンクは禁止または承認制にします。 |
| 権限 | 閲覧、コメント、編集、ダウンロードの権限を分けます。 |
| 多要素認証 | 管理者、役員、経理、開発、営業責任者には優先的に導入します。 |
| 退職処理 | 退職者のアカウント停止、端末ログアウト、共有解除をチェックリスト化します。 |
| 外部アプリ連携 | 不要な外部アプリ連携、個人アカウント連携を棚卸しします。 |
| ログ保存 | 管理コンソールで取得できるログの保存期間を把握します。 |
営業秘密は紙や電子データだけでなく、金型、試作品、製造条件、従業員が体得したノウハウにも関係します。次の比較表では、物や技能に化体した情報を、どのように番号、記録、文書で見える状態にするかを読み取ってください。
| 対象 | 最低限の措置または可視化 |
|---|---|
| 工場・研究室 | 関係者以外立入禁止、来訪者受付、入退室記録を置きます。 |
| 金型・治具 | 管理番号、保管場所、貸出記録、返却記録を残します。 |
| 試作品 | 撮影禁止、サンプル配布記録、廃棄記録を残します。 |
| 外注先貸与物 | 貸与リスト、返却義務、複製禁止、再委託制限を契約化します。 |
| 特定顧客の購買条件 | 顧客別条件表に記録し、社外秘表示を付けます。 |
| 製造条件・研究ノウハウ | 工程表、標準作業書、実験ノート、失敗データとして保管します。 |
| 営業手法・AI処理 | 営業マニュアル、提案テンプレート、学習データ仕様、評価基準として文書化します。 |
退職者に対して、自社で学んだことを一切使わないよう求めるだけでは、範囲が広すぎて不明確になりがちです。守るべき会社情報を具体化し、秘密として表示、管理し、従業員が認識できる状態にすることが要点です。
入社、在職、異動、退職、兼業・副業、派遣、業務委託の各局面で証跡を残します。
営業秘密は、人の入社、在職、異動、退職、兼業・副業、派遣、業務委託の各場面で動きます。次の時系列は、どの局面で何を確認するかを表すもので、順番に証跡を残すことが重要です。
就業規則または雇用契約で守秘義務を明記し、秘密保持誓約書を取得し、前職や他社の秘密情報を持ち込まないことを確認します。
年1回の研修、アクセス権限、USBや私用クラウドの制限、生成AI入力ルール、早期報告窓口を整えます。
旧部署フォルダ、CRM、ソースコード管理、クラウド、チャットチャンネルの権限を見直し、変更記録を残します。
端末回収、アカウント停止、転送設定確認、大量ダウンロードの確認、疑いがある場合のフォレンジック検討を行います。
派遣、業務委託、兼業・副業でも、秘密であることを認識できる措置、守秘義務、目的、返還、削除、再委託制限、事故時報告義務を定めます。
在職中の運用は、研修、閲覧、持出し、生成AI、机上管理、相談窓口に分けると点検しやすくなります。次の比較表では、日常業務のどこに記録や承認を置くかを読み取ってください。
| 場面 | 最低限の運用 |
|---|---|
| 研修 | 年1回、営業秘密と情報セキュリティの研修を行い、受講記録を残します。 |
| 情報閲覧 | 業務に必要な範囲でアクセス権限を付与します。 |
| 持出 | USB、私用メール、私用クラウド、スマホ撮影を禁止または承認制にします。 |
| 生成AI | 営業秘密、個人情報、未公開情報の入力を原則禁止または事前承認制にします。 |
| 机上管理 | 離席時の書類放置、会議室放置、複合機出力放置を禁止します。 |
| 相談窓口 | 持出し、紛失、不審メール、誤送信を早期報告できる窓口を置きます。 |
退職時は漏えいリスクが高く、感情的な対応よりもチェックリスト化が有効です。次の比較表では、端末回収だけでなく、クラウド、チャット、CRM、Git、外部共有、ログ、証拠保全まで確認することが重要です。
| 項目 | 実施内容 |
|---|---|
| 守秘義務再確認 | 退職時誓約書、退職面談、貸与資料返却確認を行います。 |
| アカウント停止 | メール、クラウド、業務システム、チャット、VPN、Git、CRMを停止します。 |
| 端末回収 | PC、スマホ、USB、入館カード、紙資料、ノート、名刺を回収します。 |
| 転送設定確認 | 私用メール転送、外部クラウド同期、個人端末同期の有無を確認します。 |
| ログ確認 | 大量ダウンロード、外部共有、退職前の不自然なアクセスを確認します。 |
| 競業・転職先 | 過度な詮索を避けつつ、守秘義務違反の予防に必要な範囲で確認します。 |
| 証拠保全 | 疑いがある場合、端末を初期化せず、フォレンジックを検討します。 |
NDAの条項だけでなく、開示時の表示、共有、記録、返還、削除まで設計します。
取引先、共同開発先、委託先へ営業秘密を出す場合、NDAは典型的な秘密管理措置です。ただし、対象情報、目的、再委託、返還、削除、事故報告、開示記録が曖昧だと実務上の防御力が弱くなります。
NDAで確認すべき項目は、契約書の文章だけでなく、実際の情報開示の方法にも影響します。次の比較表では、条項ごとにどのリスクを抑えるのかを読み取ってください。
| 条項 | 最低限の確認ポイント |
|---|---|
| 秘密情報の定義 | 口頭開示、電子データ、図面、サンプル、派生資料を含めるかを確認します。 |
| 目的 | 何の検討、取引、共同開発のために使えるかを具体化します。 |
| 使用制限 | 目的外使用を禁止します。 |
| 開示範囲 | 役員、従業員、専門家、再委託先にどこまで開示できるかを確認します。 |
| 管理義務 | 自社秘密と同等以上または合理的注意義務で管理するかを確認します。 |
| 複製制限 | コピー、ダウンロード、撮影、印刷の制限を定めます。 |
| 返還・削除 | 取引終了時、検討終了時、請求時の返還・削除義務を定めます。 |
| 事故報告 | 漏えい、紛失、不正アクセス、誤送信時の報告義務を定めます。 |
| 差止め | 違反時の差止め、損害賠償、弁護士費用などの扱いを確認します。 |
| 存続期間 | 契約終了後も守秘義務が存続する期間を定めます。 |
| 反社・輸出管理・個人情報 | 必要に応じて別条項を設けます。 |
契約後の開示時にも証跡が必要です。次の実務項目の一覧は、資料を渡す場面で秘密管理意思を残す方法を示すもので、契約書と日々の送付記録を結び付けて読むことが重要です。
開示資料に「社外秘」「Confidential」「本NDA対象情報」などを表示します。
表示何年何月何日付NDAに基づく秘密情報として送付する旨を記録します。
記録期限付きリンク、特定ユーザー共有、ダウンロード制限を使います。
権限図面、サンプル、金型、試作品には管理番号を付けます。
台帳重要事項は議事録または確認メールで秘密情報として特定します。
証跡取引終了時に返還、削除、廃棄証明を求めます。
終了共同開発では、NDAに加えて、成果物の帰属、改良発明、出願権、データ利用権、第三者提供、学習データ利用、成果発表、論文発表、展示会発表、サンプル返還などを別契約で整理する必要があります。
共有設定、認証、バックアップ、ログを整え、法務文書だけでは防げない漏えい経路に備えます。
営業秘密管理は法務文書だけでは完結しません。実際の漏えいは、パスワード使い回し、不正アクセス、マルウェア、ランサムウェア、誤送信、共有リンク設定ミス、私用クラウド同期、退職者アカウント放置、委託先事故などで起きます。
次の比較表は、情報セキュリティ上の基本対策と営業秘密管理との関係を示しています。法務上の証拠と技術上の防止策を別々にせず、どの対策がどの漏えい経路を減らすのかを読み取ってください。
| セキュリティ対策 | 営業秘密管理との関係 |
|---|---|
| OS・ソフトウェア更新 | 既知脆弱性を悪用した不正アクセスを減らします。 |
| ウイルス対策・EDR | 情報窃取型マルウェアやランサムウェアの被害を抑えます。 |
| パスワード強化・多要素認証 | クラウド、メール、CRMへの不正ログインを防ぎます。 |
| 共有設定見直し | 秘密フォルダの外部公開、全社公開、リンク公開を防ぎます。 |
| バックアップ | ランサムウェア、誤削除、証拠消失に備えます。 |
| 脅威情報の理解 | 標的型メール、なりすまし、偽サイト、取引先経由攻撃を防ぎます。 |
コストをかけずに始める場合は、管理者アカウントの多要素認証、共有リンク棚卸し、退職者アカウント停止、重要ファイルの保管場所集約、USBや私用クラウドのルール、バックアップと復元テスト、ログ確認、外部共有時の承認、生成AI利用ルール、紙での緊急連絡先保存を優先します。
漏えいの疑いが出た後にログを探しても、保存期間が短いと証拠が残っていない場合があります。次の比較表では、どのログが何の確認に役立つかを読み取り、退職、取引終了、プロジェクト終了から一定期間残る設計にしてください。
| ログ | 目的 |
|---|---|
| クラウドストレージのアクセスログ | 大量ダウンロード、外部共有、削除を確認します。 |
| メール送信ログ | 私用メール、競合先、外部アドレスへの送信を確認します。 |
| VPN・リモートアクセスログ | 深夜、海外、退職前後のアクセスを確認します。 |
| CRM・顧客管理ログ | 顧客リストの閲覧とエクスポートを確認します。 |
| Git・ソースコード管理ログ | clone、fork、pull、権限変更を確認します。 |
| 入退室ログ | 工場、研究室、サーバ室、書庫への接触を確認します。 |
顧客情報の二重管理、生成AI入力制限、チャットツールの権限管理を一体で考えます。
顧客リスト、購買履歴、施術履歴、問い合わせ履歴、会員情報、採用候補者情報は、営業秘密であると同時に個人情報や個人データに該当する場合があります。次の比較表では、競争上の価値の保護と本人の権利利益の保護を分けて読み取ってください。
| 観点 | 営業秘密管理 | 個人情報保護管理 |
|---|---|---|
| 対象 | 顧客リスト、見込み客リスト、購買履歴、施術履歴です。 | 生存する個人に関する情報、個人データなどです。 |
| 主な目的 | 競争上の価値を保護します。 | 本人の権利利益を保護します。 |
| 管理方法 | 秘密表示、アクセス制限、NDA、持出制限を使います。 | 安全管理措置、委託先監督、漏えい等対応を使います。 |
| 漏えい時 | 差止め、損害賠償、刑事対応、退職者対応を検討します。 | 個人情報保護委員会報告、本人通知などの要否を検討します。 |
| 台帳 | 営業秘密台帳で管理します。 | 個人データ管理台帳、委託先管理台帳で管理します。 |
生成AIは議事録、提案書、コードレビュー、翻訳、要約、顧客対応案作成を効率化しますが、外部サービスへの入力は契約条件、学習利用、保存期間、管理地域、第三者提供、ログ管理によって問題になります。次の比較表では、入力禁止、例外承認、匿名化、出力確認、ログ管理の分担を読み取ってください。
| ルール | 内容 |
|---|---|
| 入力禁止情報 | 顧客名簿、未公開図面、ソースコード、原価、M&A資料、個人データ、未出願発明を対象にします。 |
| 例外承認 | 会社契約のAIサービス、学習不使用設定、秘密保持条項、管理者承認がある場合に限定します。 |
| 匿名化 | 顧客名、個人名、会社名、金額、図面番号、製品名を伏せます。 |
| 出力確認 | AI出力をそのまま契約書、広告、顧客説明に使わない運用にします。 |
| ログ管理 | 会社アカウントで利用し、個人アカウント利用は禁止または制限します。 |
チャットツールは、検索可能な巨大な営業秘密保管庫になり得ます。重要案件チャンネルは参加者を限定し、外部ゲスト参加チャンネルを棚卸しし、顧客名、価格、個人情報を含む投稿ルールを定め、添付ファイルの保存先を公式ストレージに寄せ、退職者と外部委託者のアカウント削除を退職チェックリストに入れることが有効です。
兆候を見たら、事実確認、証拠保全、権限停止、専門家相談の順に進めます。
営業秘密漏えいは、初動を誤ると証拠が失われます。次の兆候の一覧は、営業秘密漏えいの可能性を検討すべき典型例を示しており、感情的な詰問よりも証拠保全を優先する読み方が重要です。
退職前、深夜、休日に重要フォルダへの大量アクセスやダウンロードがあります。
私用メール、個人クラウド、USB、個人端末への転送が見つかります。
退職直後に顧客へ競合から営業が入り、見積価格が不自然に読まれているように見えます。
取引先から同じ図面を別会社が持っていると言われたり、SNSや転職先サイトに未公開情報に近い内容が出たりします。
ランサムウェア攻撃後、外部サイトへの掲載や公開を示唆されます。
初動対応では、何を止めるかと何を残すかを分ける必要があります。次の比較表は対応の順序を示すもので、削除や初期化を急がず、証拠と被害拡大防止を両立させることを読み取ってください。
| 順序 | 対応 | 注意点 |
|---|---|---|
| 1 | 事実確認 | いつ、誰が、何に、どこからアクセスしたかを確認します。 |
| 2 | 証拠保全 | PC、スマホ、ログ、メール、クラウド履歴を削除または初期化しないようにします。 |
| 3 | 権限停止 | 被害拡大を防ぐため、必要なアカウントと共有リンクを停止します。 |
| 4 | 関係者限定 | 調査情報を知る人を限定し、二次漏えいを防ぎます。 |
| 5 | 専門家相談 | 弁護士、フォレンジック、保険会社、必要に応じて警察へ相談します。 |
| 6 | 法的措置検討 | 警告書、差止請求、仮処分、損害賠償、刑事告訴などを検討します。 |
| 7 | 顧客・当局対応 | 個人情報を含む場合、報告や通知の要否を検討します。 |
| 8 | 再発防止 | 管理措置、権限、契約、研修を見直します。 |
退職者や内部者による持出しが疑われる場合、通常の社内確認だけでは不十分なことがあります。USB接続履歴、外部クラウド同期、削除ファイル、メール転送、圧縮ファイル作成、ブラウザ履歴、外部ストレージ利用などは、デジタルフォレンジックで確認できる場合があります。
形だけの表示やNDAで止まらず、権限、退職、委託先、ノウハウ文書化まで見直します。
中小企業でよくある失敗は、どれも特別な悪意がなくても起きます。次の修正要素の一覧は、失敗例と是正策を対にしたもので、自社で起きているものを優先順位づけして直すことが重要です。
重要度が分からなくなります。「極秘」「社外秘」「部外秘」「一般」のように段階を分け、最重要情報を営業秘密台帳に入れます。
開示前NDA、資料の秘密表示、送付メールでの特定、議事録での確認をセットにします。
重要フォルダから順に、部署、役職、案件単位で権限を分け、退職者と異動者の権限削除を確認します。
会社管理のクラウド、VPN、MDM、リモートデスクトップなどを整備し、私用環境への保存は禁止または承認制にします。
PCと社員証だけでなく、クラウド、チャット、CRM、Git、外部共有、顧客名刺、紙資料を確認します。
工程表、条件表、営業マニュアル、顧客別引継書、研究ノートとして可視化し、秘密表示します。
委託先台帳を作り、秘密保持、再委託、返還、削除、事故報告、目的外使用禁止を契約で確認します。
製造、IT、営業、医療介護、飲食、建設など、自社の重要情報に合わせて最低限ラインを具体化します。
業種によって、守るべき営業秘密と最低限の管理は変わります。次の比較表は、主要業種ごとの重要情報と初期対応を示すもので、自社に近い業種から管理対象を具体化することが重要です。
| 業種 | 重要情報 | 最低限ライン |
|---|---|---|
| 製造業 | 図面、金型、加工条件、検査基準、原価、仕入先、品質不良データ | 図面やCADデータに秘密表示を入れ、取引先別・案件別に権限を分け、金型や試作品に管理番号を付け、貸与リストと返却記録を残します。 |
| IT・SaaS・システム開発 | ソースコード、設計資料、APIキー、顧客データ、脆弱性情報、インフラ構成、学習データ | Git権限をプロジェクト単位にし、退職者と委託先アカウントを即時停止し、秘密鍵をチャットやExcelに貼らない運用にします。 |
| 営業会社・卸売・商社 | 顧客リスト、案件確度、粗利率、仕入価格、見積条件、取引先担当者情報 | 顧客リストを台帳に登録し、CRMのエクスポート権限を限定し、退職前後の大量エクスポートを監視します。 |
| 美容、医療、介護、教育、士業事務所 | 顧客、利用者、患者、生徒の情報、相談記録、要配慮情報 | アクセスを限定し、紙記録を施錠保管し、退職者が顧客情報を持ち出さないよう守秘義務と退職チェックを整えます。 |
| 飲食・食品製造 | レシピ、配合比、仕入先、原価、製造工程、衛生管理ノウハウ、店舗別売上 | レシピと配合比を文書化し、秘密表示し、仕入価格表や原価表を限定共有にし、未発売商品情報のSNS投稿を禁止します。 |
| 建設・不動産・設備業 | 入札情報、見積原価、協力会社単価、設計図、施工ノウハウ、顧客情報 | 見積内訳や入札戦略資料を限定共有にし、図面データの外部共有リンクを期限付きにし、協力会社とのNDAや再委託制限を確認します。 |
最初は20件の台帳化から始め、契約、規程、研修、監査へ段階的に進めます。
営業秘密管理は一度に完成させるより、30日、90日、1年の段階で整えると現場に定着しやすくなります。次の時系列は、期限ごとの到達点を示すもので、まず何もしていない状態から抜け出し、次に契約とルール、最後に監査へ進む順番を読み取ってください。
1週目は経営者、管理部門、営業、開発、製造、ITで重要情報を20件洗い出します。2週目は台帳の雛形を作り、情報名、管理責任者、保管場所を記録します。3週目は秘密表示を付け、4週目は重要フォルダの共有範囲と不要アカウントを見直します。
就業規則または情報管理規程、秘密保持誓約書、NDA雛形、委託先契約、退職時チェックリスト、研修資料、クラウド共有設定、多要素認証、USB・私用クラウド・生成AI利用ルールを整えます。
営業秘密台帳を四半期ごとに更新し、アクセス権限を半期ごとにレビューし、退職者と委託先の権限削除記録、NDA更新状況、研修受講率、事故報告、改善完了率を経営者へ報告します。
技術情報管理認証制度(TICS)は、技術情報管理について認証機関の助言、審査、認証を通じて対策状況を示す制度として紹介されています。経営資源に制約のある中小企業が、取引先への説明力を高める選択肢になり得ます。
条文の丸写しではなく、自社の情報と業務に合わせて管理義務を具体化します。
社内規程や誓約書、NDAは、そのまま条文を写すより、自社の情報、業務、従業員、委託先に合わせて調整することが重要です。次の比較表は規程に置く観点を示すもので、目的、区分、台帳、取扱義務、退職・異動時の処理をどう書くかを読み取ってください。
| 項目 | 入れる観点 |
|---|---|
| 目的 | 会社が保有する営業秘密その他の秘密情報を適切に管理し、漏えい、滅失、毀損、不正使用を防止する目的を置きます。 |
| 秘密情報の区分 | 極秘、社外秘、部外秘、一般などの区分を置きます。 |
| 営業秘密台帳 | 重要な営業秘密について、情報名、管理責任者、保管場所、閲覧可能者、秘密表示、関連契約を記録する仕組みを置きます。 |
| 取扱義務 | 業務目的の範囲でのみ使用し、承認のない複製、持出し、外部送信、第三者開示、私用クラウド保存、生成AI入力を禁止する旨を置きます。 |
| 退職・異動時 | 秘密情報を返還または削除し、退職後も秘密保持義務を負う旨を置きます。 |
従業員向け誓約書は、会社情報と従業員の一般的経験を区別できるようにすることが重要です。次の項目の一覧は、誓約書に入れる観点を示すもので、退職後の扱いまで具体的にする読み方をしてください。
顧客情報、価格、図面、ソースコード、研究データ、営業資料など、守る対象を具体的に示します。
在職中と退職後の目的外使用、第三者開示、持出しを制限します。
会社資料、データ、端末、記録媒体の返還と削除を定めます。
前職や他社の秘密情報を持ち込まないことを確認します。
競業避止義務を入れる場合は、対象、期間、地域、職種、代償措置などを慎重に設計します。
差止め、損害賠償、調査協力などの扱いを定めます。
NDAでは、秘密情報の定義だけでなく、開示目的、受領者、再委託、専門家への開示、目的外使用、リバースエンジニアリング、複製、撮影、外部共有、返還、削除、廃棄証明、漏えい時の報告、協力、調査、再発防止、契約終了後の存続期間を整理します。
台帳、表示、権限、契約、研修、退職、ログ、事故対応を定期的に見直します。
営業秘密管理は一度作って終わりではありません。規程があっても、実際には守られていなかったと反論されることがあるため、運用証拠が必要です。次の比較表では、監査項目ごとに何を確認すれば説明力が高まるかを読み取ってください。
| 監査項目 | 確認方法 |
|---|---|
| 台帳 | 重要情報が登録され、管理責任者がいるかを確認します。 |
| 表示 | ファイル名、紙資料、フォルダに秘密表示があるかを確認します。 |
| 権限 | 退職者、異動者、不要な外部ゲストが残っていないかを確認します。 |
| 契約 | 主要委託先や共同開発先とNDAまたは守秘条項があるかを確認します。 |
| 研修 | 受講記録、理解度確認、未受講者フォローがあるかを確認します。 |
| 退職 | 退職チェックリストが実施されているかを確認します。 |
| ログ | 重要フォルダのログが一定期間保存されているかを確認します。 |
| インシデント | 紛失、誤送信、不正アクセスの報告と是正が記録されているかを確認します。 |
経営者が見るKPIは、法務だけでなく現場の定着を測るために重要です。次の比較表では、件数、率、回数を使って、管理が実際に回っているかを読み取ってください。
| KPI | 見方 |
|---|---|
| 営業秘密台帳登録件数 | 守る対象の見える化が進んでいるかを確認します。 |
| 重要情報の権限レビュー実施率 | 接触者の限定が定期的に見直されているかを確認します。 |
| 退職者アカウント停止完了率 | 退職時の漏えいリスクを下げられているかを確認します。 |
| 研修受講率 | 従業員の認識可能性を支える教育が届いているかを確認します。 |
| NDA締結率 | 取引先や共同開発先への秘密管理意思を示せているかを確認します。 |
| 外部共有リンク棚卸し件数 | クラウド経由の漏えい経路を点検できているかを確認します。 |
| 事故報告件数と訓練回数 | 早期報告文化と初動対応力が育っているかを確認します。 |
| 是正措置の完了率 | 監査で見つけた課題が放置されていないかを確認します。 |
営業秘密管理は、法務担当者だけの仕事ではありません。経営者が重要情報を会社の資産として位置付け、管理部門、現場、情報システム、外部専門家が回せる水準に落とし込む必要があります。
よくある疑問を一般情報として整理します。個別事情により結論は変わります。
一般的には、社外秘表示は重要な秘密管理措置の一つとされています。ただし、表示だけで常に十分とは限りません。保管場所、アクセス権限、守秘義務、配布先、廃棄方法などによって結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、NDAは取引先に秘密管理意思を示す有力な手段とされています。ただし、社内で誰でも閲覧でき、秘密表示や従業員教育もない状態では、社内の秘密管理性が問題になる可能性があります。個別の運用は、契約内容と管理実態を合わせて専門家へ相談する必要があります。
一般的には、具体的措置は企業規模、業態、情報の性質、従業員数、執務環境などにより変わります。小規模企業では、高価なシステムよりも、秘密情報の特定、表示、分別、守秘誓約、アクセス範囲の整理、退職時チェックが優先されることがあります。
一般的には、必ず否定されるとは限りませんが、危険な運用とされています。パスワード共有が常態化し、誰でもアクセスできる状態になっていれば、秘密管理意思の認識可能性が弱まる可能性があります。重要フォルダは個人IDまたは部署単位の権限管理へ移すことが検討されます。
一般的には、顧客名、担当者、購買履歴、価格条件、商談履歴、クレーム履歴、提案内容などが結合した顧客情報は、営業上有用で、非公知で、秘密管理されていれば営業秘密となる可能性があります。ただし、個人情報を含む場合は、個人情報保護法上の安全管理措置なども検討する必要があります。
一般的には、営業秘密となる可能性はありますが、範囲の特定が難しいとされています。従業員の一般的知識、経験、技能と会社の営業秘密を区別するため、顧客条件、製造条件、研究データ、営業ノウハウなどは、可能な限り文書化、台帳化、秘密表示することが有効です。
一般的には、クラウド保存だけで直ちに営業秘密性が失われるとは限りません。重要なのは、秘密として管理されているかです。特定ユーザー共有、アクセス制御、多要素認証、共有リンク管理、ログ保存、退職者権限削除などの運用が関係します。
一般的には、会社のルール、AIサービスの契約条件、入力情報の内容によって判断が変わります。営業秘密、個人情報、未公開技術、顧客情報、原価、契約書、M&A資料などは、外部生成AIへの入力を禁止または承認制にする運用が検討されます。
一般的には、顧客情報が営業秘密に該当するか、退職者が不正に取得、使用、開示したか、契約違反があるか、証拠があるかで見通しが変わります。まずはログ、持出記録、顧客への接触状況、誓約書、就業規則、顧客リストの管理状況を保全し、弁護士等へ相談する必要があります。
一般的には、会社の重要情報を20件程度洗い出し、営業秘密台帳を作ることが第一歩とされています。次に、その情報に秘密表示を付け、アクセスできる人を限定し、守秘誓約、NDA、退職時チェックを整えます。その後、クラウド権限、退職者アカウント、共有リンク、ログ、バックアップを確認します。
重要情報を特定し、秘密だと分かるようにし、証拠で説明できる状態を作ります。
最後に、このページで扱った最低限ラインを一つにまとめると、守りたい情報を特定し、秘密だと分かるようにし、運用を証拠で説明できる状態にすることです。次の強調部分は結論を表すもので、台帳、表示、権限、義務、証拠のどこから始めるかを読み取ってください。
高額なセキュリティ製品や大企業並みの法務部を前提にするのではなく、会社が秘密として守りたい情報を特定し、その情報に触れる人が秘密だと分かり、その運用を後日証拠で説明できる状態にすることが核心です。
これを実現する実務は、営業秘密台帳、秘密表示、アクセス範囲の整理、守秘誓約、NDA、退職時チェック、クラウド権限管理、ログ保存、研修、監査という作業の積み重ねです。
中小企業にとって避けたいのは、規模が小さいから営業秘密管理は無理だと諦めることや、信頼関係があるから大丈夫だとして何も記録しないことです。営業秘密は漏えい後に価値が強く認識されることが多く、その時点で最低限の管理措置と証拠がなければ、法的対応、取引先への説明、再発防止が難しくなります。
まずは、最重要情報20件の台帳化から始めることが現実的です。それが、中小企業の営業秘密管理の最低限ラインを超える第一歩になります。