営業秘密を守るために、情報の定義・分類・表示・アクセス権限・NDA・退職者対応・生成AI利用・監査を一体で設計する実務要点を整理します。
営業秘密を守るために、情報の定義・分類・表示・アクセス権限・NDA・退職者対応・生成AI利用・監査を一体で設計する実務要点を整理します。
秘密管理性は、会社の秘密管理意思を第三者に説明できる運用状態へ落とし込むための設計課題です。
秘密管理性を強化する社内規程は、単に「秘密を漏らさない」と書くための文書ではありません。営業秘密として守りたい情報を特定し、分類し、表示し、アクセスや外部開示を管理し、教育・監査・証跡までつなげる制度です。
このページは、経営者、法務・知財・情報システム・労務・内部監査・研究開発・営業部門が、営業秘密を安全に使いながら法的にも説明できる状態を作るための実務ポイントを整理しています。個別の会社や紛争では、情報の種類、業種、雇用形態、委託関係、証拠状況などによって判断が変わる可能性があります。
次の比較表は、社内規程が担う三つの目的を整理したものです。法的保護、漏えい予防、紛争対応はそれぞれ見ているリスクが違うため、どの層にどのルールを置くかを読み取ることが重要です。
| 層 | 目的 | 社内規程で定める事項 |
|---|---|---|
| 法的保護 | 不正競争防止法上の営業秘密として保護される状態を作ります。 | 秘密情報の定義、分類、表示、アクセス権限、守秘義務、外部提供手続、教育、証跡を定めます。 |
| 漏えい予防 | 持出し、誤送信、内部不正、退職者持出し、クラウド・生成AI経由の漏えいを減らします。 | 持出し禁止、承認制、ログ、DLP、媒体管理、テレワーク、BYOD、生成AI入力禁止・条件付き利用を定めます。 |
| 紛争対応 | 漏えい後に差止め、損害賠償、刑事対応、社内処分、取引先対応を検討できる状態を作ります。 | 証拠保全、調査権限、アカウント停止、退職時確認、フォレンジック、通報、危機対応チームを定めます。 |
三層を切り分けると、規程が「法律上は弱いのに現場だけ重い」状態を避けやすくなります。法務、IT、知財、労務、内部監査が役割を分け、現場で続く運用へ変換することが出発点です。
次の強調欄は、このページ全体の結論を短く示しています。会社の主観ではなく、従業員や取引先が秘密として扱う必要がある情報だと認識できる状態を作る点を読み取ってください。
対象情報、指定権限、表示、アクセス、外部開示、教育、監査、退職者対応、生成AI利用まで一貫して運用されていることが、秘密管理性の説明力を高めます。
秘密管理性は、営業秘密三要件のうち社内規程で最も設計しやすく、運用不備で最も崩れやすい要件です。
不正競争防止法上の営業秘密は、秘密管理性、有用性、非公知性の三要件を満たす情報として整理されます。社内規程は、このうち秘密管理性について、対象者が秘密として扱う必要がある情報だと認識できる状態を作る役割を担います。
次の一覧は、営業秘密の三要件を並べたものです。三つの項目は互いに補完し合いますが、社内規程では特に秘密管理性をどう示すかが重要になります。
秘密として管理されていることを示します。秘密表示、分別管理、アクセス制限、NDA、研修、台帳、証跡などが関係します。
生産方法、販売方法、研究データ、顧客情報、営業戦略など、事業活動に役立つ技術上又は営業上の情報として扱われる点を示します。
公然と知られていないことを示します。公開資料、展示、外部共有、退職者の利用状況などとの関係を確認します。
秘密管理性の本質は「会社が秘密だと思っているか」だけではなく、従業員、役員、派遣社員、委託先、取引先が、対象情報を一般情報とは違う扱いにする必要があると認識できるかにあります。
次の判断の流れは、規程がどの問いに答える必要があるかを示しています。上から順に確認することで、秘密管理意思が抽象的な理念で止まっていないかを読み取れます。
どの情報を秘密として扱うかを定義、分類、台帳で示します。
紙、電子ファイル、フォルダ、物件、無形ノウハウごとに示し方を決めます。
情報オーナー、承認、アクセス権限、外部開示、NDAを接続します。
研修、誓約書、ログ、監査、退職時確認を残し、後から説明できる状態にします。
高度な情報セキュリティを網羅的に入れなければ保護されない、という理解は実務を過度に硬直させます。一方で、何も管理しない状態でもよいという意味ではありません。会社規模、業態、情報価値、リスク、費用に合った「説明できる管理」を整えることが重要です。
営業秘密管理規程だけでなく、情報管理、セキュリティ、労務、契約、監査の文書群をつなげる必要があります。
秘密管理性を強化する社内規程は、単一の営業秘密管理規程だけでは完結しません。情報分類、セキュリティ、文書管理、就業規則、NDA、生成AI、インシデント対応の文書群が一体で機能して初めて、現場で使える制度になります。
次の比較表は、秘密管理性に関係する文書群と主な役割を整理したものです。どの文書がどのリスクを受け持つかを読み取ると、規程間の抜けや重複を点検しやすくなります。
| 文書 | 主な役割 |
|---|---|
| 情報管理基本規程 | 情報分類、管理責任者、基本原則を定める上位規程です。 |
| 営業秘密管理規程 | 営業秘密の定義、秘密指定、表示、アクセス、外部開示、違反対応を定める中核規程です。 |
| 情報セキュリティ規程 | アカウント、端末、ネットワーク、クラウド、ログ、暗号化などの技術的管理を定めます。 |
| 文書管理規程 | 保管、保存期間、廃棄、版管理、原本管理を定めます。 |
| 就業規則・服務規律 | 従業員の守秘義務、持出し禁止、懲戒事由を定めます。 |
| 誓約書 | 入社時、異動時、退職時に個別の秘密保持義務を確認します。 |
| NDA・共同研究契約・業務委託契約 | 社外提供時の秘密管理意思、目的外利用禁止、再委託制限などを定めます。 |
| 生成AI利用規程・クラウド利用規程 | 外部AIサービス、SaaS、外部ストレージ、個人アカウント利用の可否を定めます。 |
| インシデント対応規程 | 漏えい時の初動、証拠保全、社内外報告、法的措置を定めます。 |
社内規程では、「秘密情報」と「営業秘密」を分けて定義します。秘密情報は会社が秘密として扱う非公開情報全般であり、営業秘密はそのうち不正競争防止法上の保護を意識して管理する情報です。
次の分類表は、情報の重要度に応じた階層化の例です。全部を同じ秘密表示にすると意味が薄れるため、分類ごとに例と管理措置を対応させる点を読み取ることが重要です。
| 分類 | 内容 | 例 | 主な管理措置 |
|---|---|---|---|
| 公開情報 | 公表済み又は公表予定の情報です。 | Web掲載資料、公開IR資料 | 通常管理を行います。 |
| 社内限り | 社外開示しないものの、営業秘密とは限らない情報です。 | 社内通知、一般的な業務資料 | 社外転送制限と社内共有ルールを置きます。 |
| 秘密情報 | 漏えいにより事業・取引・個人の利益を害する情報です。 | 契約条件、顧客情報、未発表資料 | 表示、アクセス制限、承認制を置きます。 |
| 重要秘密情報 | 漏えいにより重大な損害、競争力喪失、法令違反を生じ得る情報です。 | 価格戦略、主要顧客リスト、M&A資料、未出願発明 | 厳格なアクセス、ログ、暗号化、外部開示審査を行います。 |
| 営業秘密指定情報 | 不正競争防止法上の営業秘密として重点管理する情報です。 | 製造ノウハウ、ソースコード、研究データ、営業戦略 | 秘密表示、リスト化、NDA、教育、証跡、棚卸しを行います。 |
営業秘密リストは、情報の中身をすべて詳細に書くためではなく、何が秘密として重点管理されるかを関係部門が認識できるようにするための台帳です。リスト自体も重要秘密になり得るため、項目を絞って管理します。
次の表は、営業秘密リストに入れる項目例を示しています。管理番号から棚卸し頻度までを見ることで、表示、アクセス、外部開示、保存期間を一体で設計する読み方ができます。
| 項目 | 記載例 |
|---|---|
| 管理番号 | TS-RD-2026-001 |
| 情報名称 | 新製品Aの触媒配合条件 |
| 分類 | 営業秘密指定情報 |
| 情報オーナー | 研究開発本部長 |
| 管理単位 | 研究開発本部 第2研究室 |
| 媒体 | 電子ファイル、実験ノート、試作品 |
| 保管場所 | R&D共有フォルダ、施錠キャビネット |
| アクセス対象 | 第2研究室、知財法務、指定役員 |
| 外部開示 | 原則として制限し、共同研究先B社にはNDA締結後の別紙範囲で開示します。 |
| 表示方法 | ファイル名冒頭に【営業秘密】、文書ヘッダーに「営業秘密・社外開示禁止」と記載します。 |
| 保存期間 | プロジェクト終了後10年を目安にし、知財法務の承認により延長します。 |
| 棚卸し頻度 | 半年ごとに確認します。 |
情報オーナー、管理単位、部門横断の責任分担を決めると、秘密指定とアクセス管理が動きます。
秘密情報管理が機能しない会社では、「誰かが管理しているはず」という状態が起きやすくなります。社内規程では、情報ごとに情報オーナーを置き、分類、表示、アクセス権限、外部開示、保存、廃棄、見直しの第一次的責任を明確にします。
管理単位の考え方も重要です。支店、事業本部、研究所、プロジェクトなど、実際に秘密情報を管理する単位ごとに認識可能性が問われ得るため、全社共通の最低基準と部門別の追加ルールを組み合わせます。
次の表は、秘密管理に関係する主要業務の責任分担を示しています。実行責任、最終責任、協議先、報告先を分けることで、法務だけ、ITだけ、現場だけに偏らない体制を読み取ることができます。
| 業務 | 実行責任 | 最終責任 | 協議先 | 報告先 |
|---|---|---|---|---|
| 営業秘密の指定 | 情報オーナー | 事業部門長 | 法務・知財 | 情報管理委員会 |
| アクセス権限付与 | システム管理者 | 情報オーナー | 情報セキュリティ | 内部監査 |
| NDA審査 | 法務 | 法務責任者 | 情報オーナー・知財 | 事業責任者 |
| 退職者対応 | 人事 | 人事責任者 | 法務・IT | コンプライアンス |
| ログ監査 | 情報セキュリティ | CISO又は管理部門長 | 法務・内部監査 | 経営会議 |
| 漏えい調査 | 危機対応チーム | 経営責任者 | 法務・外部弁護士・フォレンジック | 取締役会等 |
| 規程改定 | 法務・情報管理委員会 | 経営層 | 各部門 | 全従業員 |
アクセスは、業務上必要な範囲に限る Need to Know 原則を基本にします。ただし、情報の性質、従業員の職務、執務環境に応じて必要な措置は変わるため、分類に応じた段階設計が現実的です。
次の表は、情報分類ごとのアクセス設計を示しています。分類が重くなるほど、承認、期限、ログ監査が強まる点を読み取ると、過度な全社一律管理を避けやすくなります。
| 情報分類 | アクセス設計 | 例 |
|---|---|---|
| 社内限り | 部門又は全社単位でアクセスを認めます。 | 社内手順書、一般通知 |
| 秘密情報 | 部門、プロジェクト、職務単位で制限します。 | 契約条件、顧客情報 |
| 営業秘密指定情報 | 個別承認、ロールベース、期限付き、ログ監査を組み合わせます。 | 研究データ、ソースコード、M&A資料 |
アクセス権限は、付与時よりも異動時、退職時、プロジェクト終了時に崩れやすい領域です。次の時系列は、権限をどのタイミングで見直すかを示しており、削除漏れや外部共有リンクの放置を防ぐ読み方ができます。
職務に応じた初期権限を付与し、重要秘密へのアクセスは追加承認にします。
プロジェクト参加、兼務、共同研究などの場面では、対象情報と期間を明確にします。
旧部署の権限、外部共有、管理者権限を棚卸しし、必要に応じて一時停止します。
アカウント停止、端末回収、クラウド共有解除、大量ダウンロードや外部送信の確認を行います。
不要権限、共有ID、管理者権限、委託先アカウントの期限を確認します。
共有ID、退職者アカウントの残存、パスワード貼付、使い回しは、現代の情報管理として避ける必要があります。個人IDの共有禁止、多要素認証、管理者権限の定期見直し、緊急時例外アクセスの記録を規程化します。
紙、電子ファイル、物件、無形ノウハウのそれぞれに、認識できる表示と証跡を残します。
秘密管理性を強化する社内規程では、媒体ごとに表示と分別管理の方法を具体化します。紙だけ、電子ファイルだけではなく、試作品や研究材料、従業員が体得した無形ノウハウまで視野に入れます。
次の一覧は、媒体ごとの管理方法を整理したものです。どの媒体でも、秘密として扱う対象だと認識できる表示、アクセス範囲、持出し制限、紛失時の報告を対応させて読むことが重要です。
表紙、各ページのヘッダー又はフッターに分類表示を付けます。配布番号、回収要否、施錠保管、複製・撮影・スキャン・持ち帰りの承認を定めます。
表示回収ファイル名冒頭、フォルダ名、文書テンプレート、パスワード、クラウド共有リンクの期限と認証を定めます。個人用クラウドや私用メールへの転送を制限します。
権限共有制限製造機械、金型、試作品、研究材料、展示前製品などでは、立入区分、入退室管理、撮影制限、貸与・廃棄ルール、物件リストを定めます。
立入撮影制限顧客の未公表購買計画、価格交渉履歴、製造条件など、カテゴリーを具体化します。研究ノート、実験ログ、設計レビュー、退職時別紙で可視化します。
可視化範囲特定ログは取得するだけでは使えません。保存期間、検索方法、閲覧権限、改ざん防止、調査手順を定めることで、退職者対応や内部不正調査、法的手続で説明できる証跡になります。
次の比較表は、ログ設計で決める主要項目を示しています。取得対象と利用目的だけでなく、誰が見られるか、どの期間保存するか、従業員にどう周知するかを読み取ることが重要です。
| 項目 | 規程で定める内容 |
|---|---|
| 取得対象ログ | ファイルアクセス、ダウンロード、印刷、外部共有、メール送信、USB接続、クラウド共有、管理者操作を対象にします。 |
| 保存期間 | 情報分類ごとに設定し、重要秘密情報は長期保存を検討します。 |
| 閲覧権限 | 情報セキュリティ、法務、内部監査、危機対応チームなどに限定します。 |
| 利用目的 | 不正調査、監査、セキュリティ対策、法的手続に限定して明確にします。 |
| 従業員への周知 | ログ取得・監視の範囲を就業規則又は規程で知らせます。 |
| 改ざん防止 | 管理者ログ、外部保管、WORMストレージなどを検討します。 |
| インシデント時 | 法務、外部弁護士、フォレンジック専門家への提供手続を定めます。 |
ログ監視は労務・プライバシーにも関係します。目的、範囲、権限を明確にし、過度な監視と見られないよう、社内規程と従業員周知をそろえる必要があります。
営業秘密を社外に開示する場合、NDA又は書面による秘密管理意思の明示が有力な証拠になります。ただし、NDAだけで十分とは限りません。社内で対象情報が特定され、開示範囲、承認者、送付方法、返還・削除が管理されている必要があります。
次の判断の流れは、重要資料を外部に出す前に確認する順序を示しています。順番どおりに見ることで、NDA前開示、範囲不明確な開示、ログ不足を避ける読み方ができます。
商談、委託、共同研究、M&A、監査など、目的外利用を防ぐ基準を置きます。
資料、データルーム、別紙、回答履歴で対象情報を具体化します。
秘密情報の定義、開示先、再委託、返還・削除、漏えい時通知を確認します。
誰に、何を、いつ、どの条件で開示したかを保存します。
NDAでは、対象情報の定義が広すぎると、何が営業秘密なのかが曖昧になることがあります。包括的な定義を置きながら、別紙、開示資料一覧、データルーム、質問回答履歴で対象を特定します。
次の表は、NDAや外部開示手順で確認する条項を整理したものです。秘密情報の定義だけでなく、目的、開示先、複製、クラウド保存、漏えい時対応まで一体で読むことが重要です。
| 項目 | 確認する内容 |
|---|---|
| 秘密情報の定義 | 包括定義と具体的な別紙・資料一覧を組み合わせます。 |
| 口頭開示情報 | 後日書面化する期限や確認方法を定めます。 |
| 開示目的 | 目的外利用を禁止し、必要な範囲でのみ利用できるようにします。 |
| 開示先の範囲 | 役職員、専門家、再委託先、グループ会社への共有条件を定めます。 |
| 複製・保管・クラウド保存 | 複製の可否、保存場所、アクセス権限、期限付きリンクを定めます。 |
| 返還・削除・廃棄 | 契約終了時や交渉終了時の処理と証明方法を定めます。 |
| 漏えい時対応 | 通知、調査協力、再発防止、損害対応、差止めを定めます。 |
| 関連法令 | 個人情報、輸出管理、経済安全保障、独禁法、下請法との関係を確認します。 |
親会社、子会社、兄弟会社、海外拠点の間でも、法的には別法人として扱われる場面があります。グループ内共有でも、共有目的、対象法人、担当者、海外移転、再共有、返還・削除を規程化します。
M&A、資本提携、共同研究、ライセンス交渉、IPO準備、監査対応では、多数の機密資料を外部に開示します。資料ごとの閲覧権限、ダウンロード可否、ウォーターマーク、競合先への開示制限、クリーンチーム運用、質問回答の審査、交渉終了時のアクセス停止を手順化します。
入社、配属、教育、異動、委託、退職まで、秘密保持義務と権限削除を一体で設計します。
従業員に対する秘密保持義務は、就業規則だけでなく、入社時誓約書、配属時誓約書、プロジェクト参加時誓約書で具体化します。対象情報のカテゴリーを示すと、従業員が何を守る必要があるかを認識しやすくなります。
教育は年1回の形式研修で終わらせず、実務場面に即して行います。顧客リストの自宅送信、退職前の資料持出し、未公表価格表の提示、生成AIへの入力、共同研究先資料の二次利用、前職資料の参照、工場内写真撮影など、具体的な場面で判断できるようにします。
次の一覧は、従業員・役員・派遣社員・委託先などに対する義務付けの場面を整理したものです。雇用形態や契約形態が違っても、秘密情報に触れる人を対象に含める点を読み取ることが重要です。
在職中と退職後の秘密保持義務、持出し禁止、前職情報の持込み禁止、規程遵守、返還・削除義務を確認します。
入社時、重要部署配属時、専門研修、退職前確認、生成AI・クラウド・テレワークのアップデート研修を記録します。
派遣元契約、出向先法人、兼務先、業務委託契約、再委託、成果物、返還・削除、外部専門家の守秘義務を確認します。
退職者対応は、営業秘密漏えいリスクの中でも特に重要です。退職時誓約書だけではなく、退職前後のアクセス権限削除、端末・媒体回収、私用環境への保存確認、ログ確認、競合転職リスクに応じた面談を一体で行います。
次の時系列は、退職者対応で抜けやすい作業を順番に示しています。退職申出、最終出社、退職日、退職後の各段階で、権限・物・データ・証跡を読み取ることが重要です。
競合転職、研究開発職、営業職、M&A担当、管理者権限者など高リスクの有無を確認します。
重要秘密へのアクセス制限、大量ダウンロード、外部送信、印刷、USB接続ログを確認します。
端末、スマートフォン、記録媒体、社員証、紙資料を回収し、アカウントとクラウド共有を停止します。
退職時誓約書、私用環境への保存がないことの確認、退職後連絡先、疑義発生時の調査手順を保存します。
退職時誓約書では、秘密保持義務だけでなく、対象情報のカテゴリー、返還・削除、競合先での使用制限、前職・現職間の情報混同防止を具体的に記載します。従業員の一般的技能・経験・知識まで不当に制限しない点も明確にします。
法的秘密管理措置と情報セキュリティ対策を分けて理解し、クラウド・SaaS・生成AIの利用条件を明確にします。
情報セキュリティ対策と秘密管理性のための秘密管理措置は、必ずしも同じではありません。法律上の秘密管理性を説明する最低限の措置と、実際に漏えいを防ぐための技術的対策を分けて設計し、必要なところで接続します。
次の比較表は、法的秘密管理措置と対応する情報セキュリティ対策を整理したものです。左列は秘密管理性の説明に効く措置、右列は実際の漏えい予防を支える技術的対策として読み取ってください。
| 法的秘密管理措置 | 対応する情報セキュリティ対策 |
|---|---|
| 秘密表示 | ラベル、メタデータ、DLP分類、ウォーターマーク |
| アクセス制限 | IAM、RBAC、多要素認証、ゼロトラスト、権限棚卸し |
| 分別管理 | 共有フォルダ分離、データルーム、プロジェクトスペース |
| 持出し制限 | USB制御、外部送信制限、CASB、MDM |
| 外部開示管理 | セキュアファイル共有、期限付きリンク、NDA管理 |
| 証跡 | ログ、監査証跡、EDR、SIEM、操作記録 |
| 廃棄 | データ消去、物理破壊、廃棄証明 |
テレワーク、モバイル、BYODでは、会社の物理的管理が及ばない環境で秘密情報にアクセスします。会社支給端末、MDM、覗き見防止、自宅印刷制限、公共Wi-Fi制限、VPN、ゼロトラスト、端末暗号化、ローカル保存制限、紛失時報告を規程化します。
クラウド・SaaS・外部ストレージでは、承認済みサービス、共有リンク、外部共有承認、利用規約、データ利用、学習利用、サブプロセッサ、保管国、監査ログ、シャドーIT禁止、例外申請を定めます。
生成AI利用では、秘密情報の入力によりAIサービス提供者への情報提供、学習利用、ログ保存、国外移転、第三者出力、社内外の再共有などのリスクが生じます。令和7年改訂の営業秘密管理指針は、生成AIから情報が出力された一事だけで直ちに秘密管理性が否定されるわけではないと整理しつつ、第三者への提供により否定される可能性にも注意しています。
次の表は、生成AI利用規程の主要条項を示しています。禁止情報だけでなく、承認済み環境、例外承認、ログ、教育、契約審査、インシデント対応を同時に読むことが重要です。
| 条項 | 定める内容 |
|---|---|
| 利用可能サービス | 会社承認済みAI、禁止AI、試験利用AIの区分を定めます。 |
| 入力禁止情報 | 営業秘密、個人情報、未公表財務情報、M&A情報、ソースコードなどを定めます。 |
| 例外承認 | 学習利用されない契約環境、閉域環境、社内LLM、RAGなどの条件を定めます。 |
| 出力物の扱い | 正確性確認、著作権・第三者権利、秘密情報再生成の確認を定めます。 |
| ログ・記録 | 誰が、どのAIに、どの分類の情報を入力したかを記録します。 |
| 教育 | プロンプト入力リスク、シャドーAI、個人アカウント禁止を周知します。 |
| 契約審査 | AI提供者の利用規約、学習利用、データ保持、削除、国外移転を確認します。 |
| インシデント | 誤入力時の報告、削除要請、影響調査を定めます。 |
規程があるだけでは足りません。運用、教育、権限、NDA、退職者対応、ログ、是正措置の証跡を残します。
営業秘密紛争では、規程があることだけでなく、規程が周知され、教育され、アクセス権限が設定され、表示が付され、NDAが締結され、退職時確認が行われ、ログが残っていることが重要です。
証跡としては、規程の承認日、改定履歴、周知記録、受講記録、テスト結果、誓約書、営業秘密リスト、情報分類台帳、アクセス権限申請、NDA締結記録、外部開示ログ、配布・回収記録、退職者確認書、ログ監査結果、インシデント対応記録、内部監査報告、是正措置を残します。
次の表は、内部監査で確認する主要項目を整理したものです。監査項目ごとに、現場で実際に機能しているか、例外が恒常化していないかを読み取ることが重要です。
| 監査項目 | 確認ポイント |
|---|---|
| 情報分類 | 秘密情報が分類され、古い分類が見直されているかを確認します。 |
| 表示 | 紙、電子ファイル、フォルダに適切な表示があるかを確認します。 |
| アクセス | 不要権限、退職者権限、共有IDがないかを確認します。 |
| 外部共有 | NDA、開示ログ、共有リンクの期限があるかを確認します。 |
| 教育 | 対象者が研修を受け、理解度が確認されているかを確認します。 |
| 退職者 | 返却、削除、ログ確認、誓約書が実施されているかを確認します。 |
| 生成AI | 禁止情報の入力、承認済みサービス利用、ログが管理されているかを確認します。 |
| 委託先 | 再委託、アクセス権限、返還・削除が管理されているかを確認します。 |
| 例外運用 | 例外承認が記録され、恒常化していないかを確認します。 |
| インシデント | 報告、初動、証拠保全が機能したかを確認します。 |
KPIは、現場を萎縮させるためではなく、リスクの所在を把握し改善するために使います。営業秘密リスト登録件数、分類見直し率、研修受講率、テスト合格率、権限棚卸し完了率、退職者アカウント停止期限遵守率、NDA締結前開示の例外件数、外部共有リンクの期限切れ放置件数、重要秘密ファイルの未表示率、生成AI禁止情報入力インシデント件数、監査指摘の是正完了率を追跡します。
個人情報、限定提供データ、契約上の秘密情報との関係も監査で確認します。次の一覧は、隣接制度ごとの整理ポイントを示しており、営業秘密管理だけで完結しない領域を読み取ることが重要です。
顧客リストや購買履歴は、営業秘密に該当し得ると同時に個人情報にもなり得ます。安全管理措置、委託先監督、漏えい等報告、本人通知との関係を整理します。
営業秘密に該当しないデータでも、限定提供データとして保護される可能性があります。データビジネスやAI学習データでは分類を分けます。
取引先から受け取った秘密情報は、相手方の秘密情報としてNDAや委託契約に基づき管理します。自社秘密情報との混在を防ぎます。
章立てとサンプル文言を、会社の業種、情報、雇用、システム、契約に合わせて調整します。
営業秘密管理規程は、定義だけで終わらせず、分類、表示、利用、外部開示、従業員義務、教育、監査、インシデント対応まで含めると運用しやすくなります。
次の表は、営業秘密管理規程の章立て例です。各章が、情報の特定から漏えい時対応までのどの段階を受け持つかを読み取ると、自社規程の不足箇所を確認できます。
| 章 | 主な内容 |
|---|---|
| 第1章 総則 | 目的、適用範囲、定義、基本原則、他規程との関係を定めます。 |
| 第2章 秘密情報の分類及び指定 | 秘密情報の分類、営業秘密指定情報、情報オーナー、台帳、分類変更、例外承認を定めます。 |
| 第3章 秘密管理措置 | 秘密表示、紙媒体、電子媒体、物件、無形ノウハウ、分別管理、アクセス権限、ログ、保存・廃棄を定めます。 |
| 第4章 利用・複製・持出し・送信 | 業務目的利用、複製、印刷、撮影、社外持出し、テレワーク、クラウド、生成AI、私用アカウントを定めます。 |
| 第5章 外部開示 | NDA、共同研究、委託、業務提携、グループ共有、M&A、専門家開示、当局対応、返還・削除を定めます。 |
| 第6章 従業員等の義務 | 在職中、入社時、配属時、異動、出向、兼務、退職時、退職後、前職情報、違反時措置を定めます。 |
| 第7章 教育・監査・記録 | 教育研修、周知、内部監査、権限棚卸し、証跡保存、是正措置、定期見直しを定めます。 |
| 第8章 インシデント対応 | 報告義務、初動対応、証拠保全、調査体制、外部専門家、法的措置、当局対応、再発防止を定めます。 |
| 第9章 雑則 | 改廃手続、主管部署、例外管理、施行日を定めます。 |
条項案は、そのまま使うのではなく、自社の業種、対象情報、雇用形態、システム、契約関係に合わせて調整します。次の例は、規程に必要な論点を漏らさないためのたたき台として読むことが重要です。
本規程は、当社が保有し又は第三者から受領する秘密情報を適切に特定、分類、管理及び利用し、不正競争防止法上の営業秘密を含む重要情報の漏えい、滅失、不正取得、不正使用及び不正開示を防止し、事業価値、顧客・取引先の信頼及び法令遵守体制を維持することを目的とします。
情報オーナーは、秘密情報を記載又は記録した文書、電子ファイル、フォルダ、記録媒体その他の媒体に、情報分類に応じた表示を付します。表示が困難な場合は、秘密情報リスト、立入制限表示、アクセス権限設定などの合理的な方法で認識できる措置を講じます。
秘密情報へのアクセスは、業務遂行上必要な範囲に限り、情報オーナーの承認に基づき付与します。情報オーナーは、異動、休職、退職、委託終了、プロジェクト終了などで必要性が失われた場合、速やかに権限を変更又は削除します。
秘密情報を社外に開示する場合、開示目的、開示先、開示範囲、開示方法、保存期間、返還又は削除方法を明確にし、情報オーナー及び法務部門の承認を得ます。営業秘密指定情報では、開示前に秘密保持契約その他の書面を締結又は取得します。
従業員等は、退職、契約終了、出向終了又はプロジェクト終了時に、会社が保有又は管理する秘密情報、記録媒体、端末、紙資料、複製物、派生資料を返還又は会社の指示に従って削除します。
秘密情報の漏えい、紛失、誤送信、不正アクセス、不正取得、不正使用、不正開示又はそのおそれを認識した者は、情報管理責任者、情報セキュリティ部門又は法務部門へ直ちに報告します。会社は、ログ保全、端末保全、関係者ヒアリング、外部専門家への依頼などを行います。
形骸化しやすい失敗を避け、中小企業でも実行できる最小構成と、裁判を見据えた説明材料を整えます。
秘密管理性を弱める典型的な失敗は、表示だけ、規程だけ、NDAだけ、教育だけで満足してしまうことです。失敗例を改善策とセットで確認すると、社内規程を現場で実行しやすい形に変えられます。
次の一覧は、よくある失敗と改善策を並べたものです。各項目では、何が形骸化につながるのか、どの運用で補うのかを読み取ることが重要です。
全資料に「社外秘」と付けると表示の意味が薄れます。分類基準を作り、重要秘密情報と一般社内情報を分けます。
情報が特定されていないと、教育、権限、NDA、訴訟で説明しにくくなります。主要カテゴリーから台帳化します。
営業スピードを優先して重要資料を送ると、秘密管理意思を示しにくくなります。NDA前後で開示資料を分類します。
クラウド、チャット、リポジトリ、SaaSの権限残存は高リスクです。人事システムとID管理を連携します。
契約書、議事録、顧客情報、ソースコードの外部AI入力が起こり得ます。禁止情報、承認済みAI、例外承認、ログ、教育を規程化します。
規程が存在しても現場が守っていなければ弱くなります。内部監査、権限棚卸し、研修記録、共有リンク確認を定期的に行います。
中小企業やスタートアップでは、大企業並みの規程体系や投資が難しいことがあります。次の表は、最小構成として優先する10項目を示しており、簡潔でも実行されるルールを先に作る読み方ができます。
| No. | 最小構成 |
|---|---|
| 1 | 秘密情報一覧を作ります。 |
| 2 | 重要ファイル・フォルダ名に【営業秘密】などを付けます。 |
| 3 | 重要フォルダのアクセスを必要者に限定します。 |
| 4 | 入社時・退職時の秘密保持誓約書を取得します。 |
| 5 | NDA締結前に重要情報を出さないルールを置きます。 |
| 6 | 私用メール、個人クラウド、外部AIへの入力を制限します。 |
| 7 | 退職時に端末・アカウント・クラウド共有を停止します。 |
| 8 | 年1回、秘密情報の棚卸しと研修を行います。 |
| 9 | 漏えい時の連絡先と初動手順を決めます。 |
| 10 | 重要な営業秘密についてログを残します。 |
裁判や紛争では、どの情報が営業秘密か、有用で非公知か、秘密として管理していたか、相手方がアクセスしたか、不正取得・使用・開示があったか、損害又は差止めの必要性があるかを説明する場面があります。
次の強調欄は、将来の紛争で目指したい説明の形を示しています。対象情報、管理者、表示、アクセス、教育、NDA、退職時確認、ログを一文でつなげられる状態が重要です。
対象情報を営業秘密リストで特定し、情報オーナーを定め、表示を付し、アクセス権限を限定し、研修と誓約書で周知し、外部開示にはNDAを置き、退職時に返還・削除を確認し、アクセスログを保存していたと説明できる状態を目指します。
次のチェックリストは、規程策定・改定時の自己点検に使う20項目です。定義、分類、表示、権限、外部開示、退職者、AI、監査、現場運用まで横断して確認することが重要です。
| No. | チェック項目 | 確認 |
|---|---|---|
| 1 | 営業秘密、秘密情報、個人情報、他社秘密情報を定義しています。 | □ |
| 2 | 情報分類と分類基準があります。 | □ |
| 3 | 営業秘密リスト又は秘密情報台帳があります。 | □ |
| 4 | 情報オーナーと管理単位を定めています。 | □ |
| 5 | 紙媒体、電子媒体、物件、無形ノウハウごとの管理方法があります。 | □ |
| 6 | 秘密表示の方法が統一されています。 | □ |
| 7 | アクセス権限の付与・変更・削除手続があります。 | □ |
| 8 | 退職者・異動者の権限削除が制度化されています。 | □ |
| 9 | 外部開示時のNDA、承認、開示ログがあります。 | □ |
| 10 | グループ会社・海外拠点・委託先への共有ルールがあります。 | □ |
| 11 | テレワーク、モバイル、BYOD、クラウドのルールがあります。 | □ |
| 12 | 生成AIへの入力ルールがあります。 | □ |
| 13 | 入社時、配属時、退職時の誓約書があります。 | □ |
| 14 | 研修、理解度確認、受講記録があります。 | □ |
| 15 | ログ取得、保存期間、閲覧権限、調査利用手続があります。 | □ |
| 16 | 内部監査と是正措置があります。 | □ |
| 17 | 漏えい時の初動、証拠保全、報告ルートがあります。 | □ |
| 18 | 規程の例外承認手続があります。 | □ |
| 19 | 規程改定履歴と周知記録を残しています。 | □ |
| 20 | 現場が実行できる運用手順に落ちています。 | □ |
FAQは一般的な制度説明として整理しています。個別事情によって結論は変わる可能性があります。
一般的には、NDAは外部開示先に対する秘密管理意思を示す重要な手段とされています。ただし、社内で対象情報が特定され、表示され、アクセス管理され、従業員へ周知されているかによって評価は変わる可能性があります。具体的な規程設計や紛争対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、表示は秘密管理性を支える重要な措置とされています。ただし、有用性、非公知性、表示の形骸化の有無、従業員が秘密として認識できる運用の有無によって結論が変わる可能性があります。具体的な管理方法は、対象情報と運用実態を確認して専門家へ相談する必要があります。
一般的には、アクセス制限は認識可能性を担保する手段の一つとされています。秘密表示、秘密保持契約、研修、分別管理なども秘密管理措置になり得ます。ただし、何らの秘密管理措置もない場合は秘密管理性を説明しにくくなる可能性があります。具体的な見通しは、情報の性質と運用状況により変わります。
一般的には、退職時誓約書だけでなく、退職前後のアクセス権限削除、端末・媒体回収、私用環境への保存確認、大量ダウンロード等のログ確認を一体で行うことが重要とされています。ただし、職種、権限、競合転職の有無、証拠関係によって必要な対応は変わります。具体的には弁護士等の専門家へ相談する必要があります。
一般的には、生成AIへの入力や出力の一事だけで直ちに秘密管理性が否定されるとは限らないと整理されています。ただし、外部AIサービス提供者に情報が提供される場合、契約条件、学習利用、保存、第三者提供、社内ルールの有無によって評価が変わる可能性があります。具体的な対応は、利用環境と契約条件を確認して専門家へ相談する必要があります。
一般的には、会社規模にかかわらず、守りたい情報を特定し、従業員が秘密として認識できる最低限のルールを置くことが重要とされています。ただし、大企業と同じ分量や投資が常に求められるわけではありません。秘密情報一覧、表示、アクセス制限、NDA、誓約書、退職時確認、生成AI入力制限、漏えい時連絡先から始める方法が考えられます。
一般的には、個人情報保護法上の安全管理措置と、不正競争防止法上の営業秘密管理は目的と要件が異なる制度とされています。顧客情報のように両方に該当し得る情報は、個人情報管理と営業秘密管理を同時に満たす設計が必要になる可能性があります。具体的な規程体系は、扱う情報と委託関係に応じて専門家へ相談する必要があります。