副業・兼業を一律禁止ではなく、情報資産分類、届出審査、秘密保持、競業管理、AI利用、ログ監査、事故対応で統合的に管理するための実務ガイドです。
禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。
禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。
次の重要ポイント一覧は、副業での情報漏えい・兼業秘密のリスクを、法務・労務・情報セキュリティの三方向から整理したものです。禁止か放任かの二択にしないために重要ですので、各項目がどの管理領域に対応するかを読み取ってください。
ただし、秘密漏えい、競業、労務提供上の支障、信用毀損など具体的リスクがある場合は制限の対象になります。
営業秘密、契約上の秘密、個人情報、限定提供データ、第三者秘密などを、副業・兼業の場面で一体的に扱います。
届出、情報分類、アクセス権限、AI利用、ログ、監査、事故対応を分けずに運用へ落とし込むことが重要です。
副業・兼業は、働く人の収入機会、キャリア形成、専門性の発揮、企業外との知的交流を広げる。一方で、企業法務の観点から見ると、副業・兼業は「人」を経由して秘密情報が別組織へ移動する典型的な場面でもある。とくに、テレワーク、クラウド、個人端末、生成AI、オンラインストレージ、外部SaaS、個人のGitHubやSNS、フリーランス案件の普及により、秘密情報の境界は物理的なオフィスの壁では管理できなくなった。
このページの中心命題は明確である。企業は副業・兼業を一律に恐れて禁止するのではなく、情報資産の分類、届出・審査、秘密保持、競業・利益相反管理、個人情報保護、ログ・アクセス管理、教育、監査、事故対応を一体化した制度として設計すべきである。厚生労働省の副業・兼業に関する公的資料でも、労働者が労働時間以外をどのように使うかは基本的に自由であると整理されつつ、業務上の秘密漏えい、競業による自社利益の害、労務提供上の支障、名誉・信用毀損等がある場合には制限し得るとされている。 したがって、「副業での情報漏えい・兼業秘密のリスク」への実務対応は、禁止か放任かの二択ではなく、合理的なリスクベース管理の問題である。
なお、このページでいう「兼業秘密」とは、法律上の固有の用語ではない。このページでは、従業員が兼業・副業を行う過程で接触し、混入し、利用し、開示し、または外部へ持ち出すおそれのある秘密情報全般を指す実務上の整理概念として用いる。これには、不正競争防止法上の営業秘密、契約上の秘密情報、個人情報・個人データ、限定提供データ、技術情報、顧客情報、価格情報、ソースコード、研究データ、未公表事業計画、第三者から受領した秘密情報が含まれ得る。
副業の自由を出発点に、制限できる場面を具体的なリスクへ落とし込みます。
副業・兼業に関する法務判断の出発点は、労働者が勤務時間外の時間をどのように使うかは、基本的には労働者の自由であるという考え方である。厚生労働省の資料は、裁判例を踏まえ、原則として副業・兼業を認める方向で検討することが適当であり、禁止または一律許可制にしている企業は就業規則等の見直しを行うことが望ましいと説明している。
ただし、この自由は無制限ではない。労働契約は継続的な信頼関係を基礎とするため、労働者は就業時間外であっても、会社の秘密を漏らさない、会社に重大な損害を与えない、競業によって会社の正当な利益を害さない、会社の名誉・信用を傷つけないといった義務を負い得る。労働契約法は、労働者と使用者が労働契約を遵守し、信義に従い誠実に権利を行使し義務を履行すべきことを定めている。
したがって、企業が副業・兼業を制限する場合には、「副業だから危険」という抽象論では足りない。どの情報が、どの経路で、どの相手方へ、どの程度の蓋然性で移転し、どの法的・経済的損害を発生させるのかを具体的に評価する必要がある。
公的資料が示す副業・兼業の制限事由は、実務上、次の4類型に集約できる。
以下の比較表は、1.2 企業が制限し得る典型場面に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 類型 | 意味 | 典型例 |
|---|---|---|
| 労務提供上の支障 | 本業の勤務、健康、安全、労働時間管理に支障が出ること | 深夜副業により本業で居眠り、過労、納期遅延 |
| 業務上の秘密の漏えい | 本業の秘密情報が副業先や顧客に流れること | 顧客リスト、設計図、ソースコード、価格表の流用 |
| 競業による利益侵害 | 副業先が競合し、自社の正当な利益が害されること | 同業他社の営業支援、競合製品の開発、同一顧客への提案 |
| 名誉・信用毀損、信頼関係破壊 | 会社の信用や労使信頼を害すること | 会社名を用いた不適切発信、反社会的取引、利益相反隠し |
この4類型は、就業規則、誓約書、秘密情報管理規程、副業届出制度、懲戒規程、情報セキュリティ規程の設計における基本軸になる。重要なのは、制限の対象を「副業一般」ではなく、「具体的なリスク行為」に置くことである。
従来の情報漏えい対策は、退職時の持ち出し、競合転職、委託先管理、USB紛失、メール誤送信などを中心に設計されてきた。しかし現在は、在職中の従業員が本業と副業を同時に行い、同一人物の頭脳、端末、クラウド、チャット、AIツール、SNSアカウントを通じて複数組織の情報が交錯する。
たとえば、次のような事態は、いずれも現実的なリスクである。
このように、副業・兼業リスクは「秘密が外へ出る」だけではない。「外部の秘密が中へ入る」「複数社の秘密が混ざる」「本人にも区別できないノウハウ移転が起きる」「証拠がクラウド上に分散する」という複合リスクである。
営業秘密、秘密情報、兼業秘密、漏えいの違いを整理します。
副業とは、一般に、本業とは別に収入を得る活動をいう。雇用契約によるアルバイト、業務委託、個人事業、役員就任、講演、執筆、アプリ開発、EC販売、投資助言、SNS運営、スクール講師など多様な形態がある。
兼業とは、複数の業務または職業を並行して行うことをいう。副業よりも対等な複数業務というニュアンスで用いられることがあるが、実務上は明確に区別されない場合も多い。
このページでは、雇用型、副業型フリーランス、役員・顧問型、創作・研究型、投資・情報発信型を含め、会社勤務者が勤務先以外で業務活動を行う場面を広く副業・兼業として扱う。
秘密情報とは、会社が外部に公開しておらず、社内外で管理対象としている情報をいう。法律上の営業秘密に該当するものもあれば、契約上または社内規程上だけで秘密として扱われるものもある。
秘密情報には、次のようなものが含まれる。
以下の比較表は、2.2 秘密情報に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 分類 | 例 |
|---|---|
| 技術情報 | ソースコード、設計図、配合、製造条件、アルゴリズム、モデル、学習データ、脆弱性情報 |
| 営業情報 | 顧客名簿、商談履歴、価格表、原価、見積条件、販売戦略、代理店条件 |
| 経営情報 | M&A情報、資金調達、未公表決算、事業計画、組織再編、撤退計画 |
| 知財情報 | 未出願発明、研究ノート、試作品、ブランド戦略、ライセンス条件 |
| 人事情報 | 評価、給与、健康情報、採用候補者、懲戒、異動案 |
| 個人情報 | 顧客データ、従業員データ、ユーザーID、問い合わせ履歴、位置情報 |
| セキュリティ情報 | 管理者権限、APIキー、認証情報、ログ、ネットワーク構成、インシデント情報 |
| 第三者情報 | 顧客、委託元、共同研究先、提携先、官公庁から受領した秘密情報 |
不正競争防止法上の営業秘密とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報で、公然と知られていないものをいう。 経済産業省の営業秘密管理指針も、営業秘密として保護されるためには、秘密管理性、有用性、非公知性の三要件を満たす必要があると整理している。
重要なのは、会社が「これは重要だ」と思っているだけでは、営業秘密として保護されるとは限らないことである。営業秘密として扱うには、秘密として管理する意思が、従業員や役員、取引先等に認識できる形で示されていなければならない。経済産業省の指針は、秘密管理性の趣旨を、秘密として管理しようとする対象が従業員等に明確化され、従業員等の予見可能性を確保する点に置いている。
したがって、副業・兼業対策では、「秘密保持義務があります」と抽象的に書くだけでは不十分である。どの情報が秘密で、どの媒体にあり、誰がアクセスでき、持ち出しが禁止され、どのように廃棄し、違反時にどうなるかを具体化する必要がある。
このページでいう兼業秘密とは、兼業・副業という状況で問題化する秘密情報を指す実務上の概念である。法律上の営業秘密より広い。
兼業秘密には、少なくとも次の3層がある。
以下の比較表は、2.4 兼業秘密に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 層 | 内容 | 法的保護の典型 |
|---|---|---|
| 第1層 | 不正競争防止法上の営業秘密 | 差止め、損害賠償、刑事罰の可能性 |
| 第2層 | 契約・規程上の秘密情報 | NDA、雇用契約、就業規則、誓約書に基づく責任 |
| 第3層 | 倫理上・統制上守るべき非公開情報 | 懲戒、アクセス制限、内部統制、信用管理 |
この整理が重要なのは、営業秘密に該当しない情報でも、契約違反、守秘義務違反、個人情報保護法違反、著作権侵害、職務専念義務違反、利益相反、内部統制違反として問題になり得るからである。
情報漏えいとは、秘密情報や個人データが、権限のない者に閲覧、取得、使用、開示される状態をいう。意図的な持ち出しだけでなく、誤送信、クラウド共有設定ミス、個人端末保存、AI入力、SNS投稿、スクリーンショット、写真撮影、紙資料の放置、共有リンクの公開、アクセス権限の残存なども含む。
「漏えい」は外部への公表に限られない。副業先の担当者1名に見せただけでも、権限のない者に開示した以上、漏えいと評価され得る。個人情報保護法上も、一定の個人データの漏えい等が発生した場合には、個人情報保護委員会への報告や本人通知が問題となる。
労働法、不正競争防止法、個人情報保護法、フリーランス取引の観点を確認します。
副業・兼業制度の設計では、次の点を押さえる必要がある。
第一に、勤務時間外の副業・兼業を全面的に禁止する規程は、個別事情によっては過度な制約と評価され得る。厚生労働省の公的資料は、原則として副業・兼業を認める方向で検討することが適当としつつ、例外的に、労務提供上の支障、業務上の秘密漏えい、競業による利益侵害、名誉・信用毀損等の場合には制限が許されると整理している。
第二に、雇用型の副業・兼業では労働時間通算が問題となる。労働基準法上、労働時間は事業場を異にする場合にも通算されるとされ、厚生労働省のQ&Aも、事業主が異なる場合であっても原則として通算が必要であり、副業・兼業先の労働時間は労働者からの申告等により把握すると説明している。 これは情報漏えい対策そのものではないが、過労や集中力低下は誤送信、設定ミス、持ち帰り作業、端末紛失を誘発するため、労務リスクと情報リスクは接続している。
第三に、会社が副業内容の届出を求める場合も、必要性と相当性を意識しなければならない。副業先の名称、業務内容、就業時間、競業可能性、秘密情報接触の有無、個人情報取扱いの有無などは確認対象になり得るが、過度に私生活へ踏み込む情報収集は避けるべきである。
副業・兼業における最大の法的リスクは、不正競争防止法上の営業秘密侵害である。不正競争防止法は、営業秘密の不正取得、使用、開示等を不正競争として規律し、営業秘密に該当すれば差止めを含む民事上の救済や刑事罰の対象になり得る。
副業の文脈では、次のような行為が問題になりやすい。
営業秘密侵害は、単なる社内規程違反にとどまらない。差止め、損害賠償、信用回復措置、刑事告訴、関係先への説明、取引停止、上場会社の適時開示、監督官庁対応に発展し得る。
実務では、「営業秘密の三要件を満たすか」が争点になりやすい。しかし、営業秘密に該当しないからといって、自由に使えるわけではない。
たとえば、秘密管理性がやや不十分で営業秘密該当性が不透明な資料であっても、雇用契約、就業規則、NDA、委託契約、情報セキュリティ規程により秘密保持義務の対象になっている場合がある。また、個人データであれば個人情報保護法の規律を受ける。データ取引の文脈では、不正競争防止法上の限定提供データとして保護される可能性もある。
副業対策では、営業秘密だけを守ろうとすると抜け穴が生じる。社内規程では「営業秘密」「秘密情報」「個人情報」「機密情報」「第三者秘密情報」「セキュリティ情報」を階層的に定義し、それぞれの取扱いルールを設けるべきである。
副業・兼業で顧客情報、ユーザー情報、従業員情報、採用候補者情報、健康情報、問い合わせ履歴、会員情報などを扱う場合、個人情報保護法上の問題が生じる。
個人情報保護委員会は、漏えい等事案への対応として、報告受付フォーム、報告書式、ガイダンス、Q&Aを公表している。 また、個人情報保護法ガイドライン通則編は、漏えい等事案の発生時に、事実関係の調査・原因究明、影響を受ける可能性がある本人への通知、個人情報保護委員会等への報告、再発防止策の検討・決定、公表等を行う体制整備を示している。
副業場面で特に多いのは、次の類型である。
個人情報に関しては、「会社の秘密」だけでなく「本人の権利利益」を守る視点が不可欠である。会社にとって競争価値が低い情報でも、本人にとっては重大なプライバシー侵害になり得る。
従業員が副業としてフリーランス活動を行う場合、本人だけでなく、副業を発注する企業にも法令対応が必要になる。フリーランス・事業者間取引適正化等法は、令和6年11月1日に施行され、個人が事業者として受託した業務に安定的に従事できる環境を整備するため、取引条件の明示など一定の義務を課している。
この点は情報漏えいと無関係ではない。発注者が業務範囲、成果物、秘密情報、再委託、使用ツール、データ保管、納品後削除、個人情報取扱いを曖昧にしたまま個人へ発注すると、副業者が本業の情報と副業先の情報を混在させやすくなる。発注者側も、フリーランス契約書に秘密保持、情報管理、第三者秘密の持込み禁止、生成AI利用、再委託、端末管理、事故報告を明記すべきである。
人、端末、クラウド、契約、業務設計のどこから情報が動くかを見ます。
副業での情報漏えい・兼業秘密のリスクを考える際、多くの企業は悪意ある従業員による持ち出しを想像する。もちろん、それは重大なリスクである。しかし実務上は、悪意が明確でない境界事案が多い。
たとえば、従業員が「これは自分の経験で得たノウハウであり、会社の秘密ではない」と考えて副業で使う場合がある。営業担当者が「顧客の担当者名くらいは覚えている」と考えて連絡することもある。エンジニアが「一般的な設計パターンだ」と考えてコード構造を再現することもある。研究者が「自分が考えたアイデアだ」と考えて副業先の研究に応用することもある。
つまり、危険なのは「悪意」だけではない。秘密情報と個人スキルの境界、社内情報と一般知識の境界、本業成果と副業成果の境界が曖昧なまま業務が進むことである。
副業・兼業に伴う情報漏えいは、主に次の5経路で発生する。
以下の比較表は、4.2 5つの漏えい経路に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 経路 | 内容 | 予防策の中心 |
|---|---|---|
| 人的経路 | 記憶、会話、説明、助言、講演、SNS投稿 | 教育、利益相反申告、秘密範囲の明確化 |
| 端末経路 | 個人PC、スマホ、USB、私物カメラ、BYOD | MDM、持出制限、暗号化、利用禁止・許可基準 |
| クラウド経路 | 個人Google Drive、Dropbox、GitHub、Notion、Slack、ChatGPT等 | DLP、CASB、外部共有制限、AI利用ルール |
| 契約経路 | 副業契約により本業秘密の提供を求められる | 契約審査、受注禁止基準、NDA確認 |
| 業務設計経路 | 本業と副業の業務内容が類似し成果が混ざる | 競業審査、作業環境分離、成果物レビュー |
企業が最も苦労するのは、従業員の頭の中にある経験、スキル、ノウハウ、記憶情報の扱いである。労働者は、本業で得た一般的な能力や経験を将来の職業生活で活用できる。一方で、具体的な顧客条件、未公開技術、ソースコード、原価構造、営業戦略、研究データ、脆弱性情報などは、会社の秘密情報であり得る。
実務上は、次の区別が重要になる。
以下の比較表は、4.3 「頭の中の情報」の難しさに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 利用してよい可能性が高いもの | 利用が危険なもの |
|---|---|
| 一般的な業界知識 | 社内だけで共有された未公表情報 |
| 公開資料で得られる情報 | 顧客別の価格、原価、契約条件 |
| 個人の一般的スキル | 特定製品の未公開設計、ソースコード |
| 職務で培った抽象的な経験 | 未出願発明、研究データ、ロードマップ |
| 市場で広く知られる手法 | アクセスキー、脆弱性、セキュリティ構成 |
この区別を従業員個人の判断に任せるのは危険である。研修では、抽象論ではなく具体例を示し、「迷ったら使わない、持ち出さない、相談する」という行動基準に落とし込む必要がある。
副業での情報漏えい・兼業秘密のリスクは、本業情報が外へ出る方向だけではない。副業先の秘密情報が本業へ入る「逆流入」も重大である。
たとえば、従業員が副業先で得た競合他社の価格表や製品仕様を、本業の営業戦略に反映した場合、本業会社が第三者の秘密情報を不正に利用したと疑われるおそれがある。副業先のソースコードを本業の開発に混入させれば、著作権侵害、契約違反、営業秘密侵害、OSSライセンス違反に発展することもある。
そのため、会社の副業規程には、「自社情報を外へ出さない」だけでなく、「副業先、前職、顧客、取引先、第三者の秘密情報を自社へ持ち込まない」ことを明記すべきである。
届出制度、リスクランク、情報分類、アクセス権限、環境分離を設計します。
次の判断の流れは、副業届出を受けた会社が、自由の尊重と情報資産保護を両立させる順番を表しています。順番を決めておくことが重要ですので、届出内容から制限条件・監査まで段階的に確認する読み方をしてください。
副業先、業務内容、稼働時間、使用ツール、個人情報の有無を把握します。
抽象的な不安ではなく、情報・相手方・経路・損害を具体化します。
作業環境分離、業務範囲限定、法務・情報セキュリティ確認を行います。
過度な審査を避け、申告しやすい制度として維持します。
副業・兼業制度は、次の原則で設計するのが望ましい。
この方針は、自由と保護の両立を図るものである。副業を過度に抑圧すると、従業員は申告を避け、会社は実態を把握できなくなる。逆に放任すれば、会社の情報資産、顧客、取引先、株主、従業員本人を守れない。
副業届出制度は、監視のためではなく、リスクの早期把握と調整のために設計する。
届出項目は、たとえば次の程度が相当である。
以下の比較表は、5.2 副業届出制度に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 項目 | 目的 |
|---|---|
| 副業先または活動名 | 競業、反社、信用リスクの確認 |
| 業務内容 | 秘密情報利用、職務類似性、利益相反の確認 |
| 契約形態 | 雇用型か業務委託型か、労働時間通算の確認 |
| 予定稼働時間 | 健康、労務提供、長時間労働の確認 |
| 使用する端末・ツール | 情報混在、外部SaaS、生成AI利用の確認 |
| 本業情報の利用有無 | 秘密保持リスクの確認 |
| 個人情報取扱いの有無 | 個人情報保護法、委託、越境移転等の確認 |
| 競合・取引先との関係 | 競業、利益相反、第三者秘密の確認 |
| 成果物の権利帰属 | 著作権、発明、職務成果の混在防止 |
届出制度で避けるべきなのは、抽象的な「会社が不適当と認める場合は不許可」といった広すぎる基準である。基準が曖昧だと、従業員の予測可能性が失われ、制度への信頼も低下する。
副業審査では、全件を同じ重さで扱うべきではない。次のようなランク分類が有効である。
以下の比較表は、5.3 リスクランク分類に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| ランク | 例 | 対応 |
|---|---|---|
| 低リスク | 趣味講師、公開情報に基づく執筆、非競合の短時間業務 | 届出のみ、年次確認 |
| 中リスク | 同種スキルを使うが非競合、個人情報なし、秘密情報なし | 条件付き承認、作業環境分離、研修 |
| 高リスク | 競合、取引先、顧客接点、類似開発、個人情報あり | 詳細審査、法務・情報セキュリティ確認、制限条件 |
| 原則禁止または不承認 | 本業秘密利用が前提、競合の中核業務、利益相反が重大、法令違反のおそれ | 不承認、配置転換検討、個別協議 |
副業リスクを管理するには、そもそも会社の情報資産が分類されていなければならない。情報分類は最低限、次の4段階を推奨する。
以下の比較表は、5.4 秘密情報分類制度に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 区分 | 内容 | 取扱い |
|---|---|---|
| 公開 | 公式サイト、プレスリリース、公開カタログ | 自由利用可。ただし改変、誤表示に注意 |
| 社内限り | 社内連絡、一般社内資料 | 外部共有不可。副業利用不可 |
| 秘密 | 顧客情報、価格、仕様、未公表資料、契約条件 | 権限者限定、持出制限、外部共有は承認制 |
| 極秘 | M&A、未出願発明、認証情報、重大脆弱性、経営機密 | 最小権限、厳格ログ、暗号化、印刷・外部送信原則禁止 |
不正競争防止法上の営業秘密として保護を受けるには、秘密として管理する意思が従業員等に認識できることが重要である。したがって、秘密表示、アクセス権限、保管場所、ファイル名、透かし、閲覧制限、持出ルール、教育記録を整備することは、予防だけでなく紛争時の立証にも関わる。
副業・兼業を認める会社ほど、アクセス権限管理を徹底すべきである。人が複数組織で働く時代には、「善意の従業員だから広くアクセスできる」という設計は危険である。
実務上は、次の措置が有効である。
IPAは、内部不正防止に関するガイドラインやチェックシートを公表しており、内部不正対策を組織的に進めるための参考資料として活用できる。 経済産業省のサイバーセキュリティ経営ガイドラインも、経営者のリーダーシップの下でサイバーセキュリティ対策を推進する考え方を示している。
副業を許可する場合、最も実践的な条件は「作業環境の分離」である。
分離すべき対象は次のとおりである。
以下の比較表は、5.6 作業環境の分離に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 対象 | 分離方法 |
|---|---|
| 端末 | 会社PCで副業しない。副業PCで会社情報を扱わない |
| アカウント | 会社アカウントと個人・副業アカウントを分ける |
| クラウド | 会社クラウドと個人クラウドを同期しない |
| ブラウザ | 会社用プロファイルと副業用プロファイルを分ける |
| ソースコード | 会社リポジトリと副業リポジトリを完全分離する |
| AIツール | 会社承認AI以外へ会社情報を入力しない |
| メール・チャット | 会社メールで副業連絡をしない。副業チャットで会社資料を共有しない |
| 紙資料 | 会社資料を副業作業場所へ持ち込まない |
分離は、本人を守る効果もある。副業成果物が本業情報に依拠していないことを説明しやすくなり、紛争時の証拠も整理しやすい。
開発、営業、研究、管理部門、経営層で異なる漏えい経路を整理します。
次のリスク要素一覧は、職種ごとに漏えいしやすい情報と管理の重点を整理したものです。職種により触れる情報が違うため重要であり、どの部門で事前審査・研修・アクセス制御を強めるべきかを読み取ってください。
コード、学習データ、APIキー、設計思想の混入が問題になりやすい領域です。
顧客リスト、価格、失注理由、広告運用情報の副業転用に注意します。
未出願発明、実験データ、製造条件、講演資料の外部利用を管理します。
人事、M&A、内部通報、未公表業績など、少量でも影響が大きい情報を扱います。
最も高リスクな職種の一つである。ソースコード、モデル、学習データ、APIキー、システム構成、脆弱性情報、顧客データ、ロードマップに触れる可能性が高い。
主なリスクは次のとおりである。
対策は、コード持出し禁止、私的リポジトリ利用制限、会社端末管理、DLP、ソースコード類似性チェック、AI入力ルール、退職・副業時のリポジトリ棚卸しが中心となる。
営業部門は、顧客接点と価格情報を握るため、副業での流用リスクが高い。
危険なのは、顧客リストのコピーだけではない。担当者名、予算時期、購買履歴、過去の失注理由、値引き許容範囲、競合利用状況、組織図、意思決定者、紹介ルートといった情報は、競争上の価値が高い。
副業で営業代行、SNSマーケティング、広告運用、コンサルティング、人材紹介、代理店活動を行う場合、顧客情報や営業ノウハウの流用が問題化しやすい。
対策として、顧客リストのダウンロード制限、CRMログ、外部メール送信制限、副業先の競合確認、顧客への副業勧誘禁止、名刺・SNSの肩書利用ルールを整備する。
研究開発部門は、未出願発明、実験データ、配合、製造条件、品質不具合、試験方法、材料選定、サプライヤー情報を扱う。副業として大学共同研究、技術顧問、講演、論文、スタートアップ支援を行う場合、未公開技術の開示が問題となる。
この分野では、特許出願前の発表、共同研究先との秘密保持、職務発明、研究ノート、技術標準化、輸出管理も関係する。とくに、未公開の実験結果を副業先の事業計画や資金調達資料に使うことは重大なリスクである。
対策として、発表審査、講演資料レビュー、共同研究契約確認、研究データのアクセス管理、発明届出、技術顧問副業の事前審査を行う。
管理部門は、従業員情報、給与、評価、懲戒、健康情報、内部通報、調査資料、契約、訴訟、M&A、会計情報、監査結果を扱う。副業として人事コンサル、労務相談、会計支援、法務支援、研修講師、執筆を行う場合、匿名化が不十分な事例紹介や資料流用が問題になる。
内部通報や不祥事調査に関わる情報は、とくに厳格に管理すべきである。個人名を伏せても、部署、時期、役職、事案概要から本人が特定されることがある。
対策として、事例利用ルール、匿名化基準、研修資料レビュー、持出し禁止資料の明確化、副業での専門サービス提供範囲の制限が必要である。
役員や経営幹部の副業・兼業は、従業員よりもさらに慎重な管理が必要である。役員は会社の経営情報に深くアクセスし、善管注意義務、忠実義務、競業・利益相反規制、インサイダー取引規制、適時開示、社外役員兼職管理などが問題になる。
経営層が他社の顧問、社外取締役、投資家、アドバイザーを兼ねる場合、会議資料、M&A情報、資本政策、未公表業績、製品戦略、顧客情報が交錯しやすい。役員兼職は、取締役会、指名・報酬委員会、利益相反管理規程、インサイダー情報管理規程と連動させるべきである。
就業規則、秘密保持、競業、誓約書、発注者側契約を具体化します。
副業・兼業条項は、次のような構造が望ましい。
秘密保持条項では、単に「機密情報を漏らしてはならない」と書くだけでは不十分である。少なくとも次の事項を含める。
以下の比較表は、7.2 秘密保持条項に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 項目 | 内容 |
|---|---|
| 秘密情報の定義 | 営業秘密、個人情報、顧客情報、技術情報、経営情報、第三者秘密を含む |
| 禁止行為 | 取得、複製、持出し、送信、保存、開示、使用、AI入力、SNS投稿 |
| 副業利用禁止 | 副業・兼業・私的活動で会社情報を使わない |
| 逆流入禁止 | 副業先や第三者の秘密情報を会社へ持ち込まない |
| 端末・クラウド | 個人端末・個人クラウド保存を禁止または承認制にする |
| 返還・削除 | 異動、退職、副業終了、会社請求時の返還・削除 |
| 調査協力 | 漏えい疑い時の合理的な調査協力 |
| 存続期間 | 退職後も秘密性がある限り義務が続くこと |
競業避止条項は、広すぎると有効性が問題になり得るため、対象業務、地域、期間、顧客、職種、情報アクセスの有無、代償措置などを考慮して合理的範囲に限定すべきである。
副業中の競業制限では、次のような基準が使いやすい。
副業届出時の誓約書では、次の確認を求めると実務的である。
企業が副業者やフリーランスを受け入れる側に立つ場合、次の条項を契約書に入れるべきである。
受け入れ側企業が「副業者だから安く早く」とだけ考えると、第三者秘密の不正流入リスクを抱える。副業者を使う側も、コンプライアンス責任を負う。
ID、端末、データ、クラウド、ログ、AI利用の実装ポイントを確認します。
副業・兼業リスクに対応する技術的対策は、従来の境界防御よりも、ID、端末、データ、ログを中心に設計する必要がある。
以下の比較表は、8.1 技術的対策の基本に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 領域 | 対策 |
|---|---|
| ID管理 | 多要素認証、SSO、権限棚卸し、特権ID管理 |
| 端末管理 | MDM、EDR、暗号化、USB制御、画面ロック、紛失時ワイプ |
| データ保護 | DLP、ラベル付け、外部送信制限、透かし、ダウンロード制限 |
| クラウド管理 | CASB、外部共有制限、共有リンク監査、個人アカウント遮断 |
| ログ管理 | アクセスログ、ダウンロードログ、メールログ、Gitログ、監査ログ |
| 開発管理 | リポジトリ権限、コードレビュー、シークレットスキャン、類似性チェック |
| AI利用 | 入力禁止情報の明確化、承認済みAI、ログ、学習利用オプトアウト確認 |
| 退職・異動 | 権限即時削除、貸与物回収、クラウド共有解除、証跡保全 |
ログ監視は内部不正対策として有効だが、従業員のプライバシーや労使信頼に配慮する必要がある。実務上は、次の条件を満たすことが望ましい。
副業申告者だけを一律に過度監視する運用は避けるべきである。監視は副業の有無ではなく、アクセス権限、職務、情報資産の重要度、異常行動に基づくべきである。
生成AIは、副業での情報漏えい・兼業秘密のリスクを大きく変えた。従業員は、文章作成、コード生成、要約、翻訳、企画、顧客対応案、契約書レビュー、データ分析などでAIを使う。しかし、AIに入力した情報が外部サービス上で処理され、保存され、学習に利用される可能性を理解しないまま、会社情報を入れてしまうおそれがある。
AI利用ルールには、次を明記すべきである。
内部監査は、副業制度が紙の規程で終わっていないかを検証する役割を担う。
監査項目は次のとおりである。
副業を始める前、行ってはいけない行為、迷ったときの判断基準を示します。
従業員は、副業開始前に次の点を確認すべきである。
副業中に避けるべき行為は、次のとおりである。
従業員が迷ったときは、次の質問に一つでも「はい」があれば、使用や開示を止めて相談すべきである。
証拠保全、個人情報対応、営業秘密対応、懲戒の順序を整理します。
次の時系列は、副業に関連する漏えい疑いが生じたときの初動順序を表しています。証拠消失と過剰調査を同時に避けるために重要ですので、左の時点から順に、保全・評価・外部対応・再発防止へ進む流れを読み取ってください。
ログ、端末、クラウド、メール、チャット、リポジトリの改変を防ぎます。
本人通知・委員会報告の要否と、差止め・警告の必要性を並行して確認します。
懲戒は具体的事実と手続を踏まえ、被害拡大防止と再発防止を優先します。
副業・兼業に関連する情報漏えいが疑われる場合、初動を誤ると証拠が消え、被害が拡大し、本人の権利も侵害する。初動の原則は次のとおりである。
副業関連の情報漏えいは、証拠が個人端末、個人クラウド、副業先システム、SNS、チャット、生成AI履歴などに分散しがちである。会社が無制限に私物を調査できるわけではないため、法的根拠と本人協力を確認しながら進める。
保全対象は次のとおりである。
以下の比較表は、10.2 証拠保全に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 対象 | 確認内容 |
|---|---|
| 会社端末 | ファイルコピー、USB接続、外部送信、印刷、スクリーンショット |
| 会社メール | 個人メール送信、副業先送信、添付ファイル |
| クラウド | ダウンロード履歴、共有リンク、外部共有、同期先 |
| Git | clone、fork、push、secret commit、外部リポジトリ類似性 |
| チャット | 資料共有、外部招待、スクリーンショット |
| 入退室 | 深夜作業、資料持出し、印刷物回収 |
| 副業届出 | 業務内容、申告内容、虚偽の有無 |
| 契約書 | 副業契約で求められた成果物、秘密保持、納品物 |
デジタルフォレンジックでは、証拠能力を意識して、取得日時、取得者、取得方法、ハッシュ値、保管場所、アクセス履歴を記録する。過剰な私的情報取得を避けるため、調査範囲は疑義と関連性がある範囲に限定する。
個人データが関係する場合、個人情報保護委員会への報告や本人通知が問題になる。個人情報保護委員会の通則編は、漏えい等事案対応として、事実関係の調査・原因究明、本人通知、委員会等への報告、再発防止策の検討・決定、公表等を行う体制整備を示している。
実務対応は次の順序で進める。
営業秘密侵害が疑われる場合、時間との勝負になる。副業先で使用され、さらに第三者へ展開される前に止める必要がある。
対応手段は次のとおりである。
情報漏えいが疑われる場合でも、懲戒は慎重に行う。懲戒処分には、就業規則上の根拠、客観的事実、処分相当性、手続の適正が必要である。
次の点を確認する。
副業をしたこと自体ではなく、具体的な義務違反とリスク結果に基づいて評価することが重要である。
限られた体制でも始められる最小限の規程と運用を確認します。
中小企業では、大企業並みのDLP、CASB、SOC、専任法務部を直ちに整えることは難しい。しかし、副業リスク対策は、基本的な管理から始めれば効果がある。
優先順位は次のとおりである。
中小企業でも、次の文書は整備したい。
以下の比較表は、11.2 最小限の規程セットに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 文書 | 目的 |
|---|---|
| 副業・兼業規程 | 届出、制限事由、労働時間、秘密保持、競業管理 |
| 秘密情報管理規程 | 情報分類、アクセス、持出し、返還・削除 |
| 情報セキュリティ規程 | 端末、クラウド、メール、USB、AI、ログ |
| 秘密保持誓約書 | 入社時、異動時、副業届出時、退職時の確認 |
| インシデント対応手順 | 漏えい発覚時の連絡先、初動、報告、本人通知 |
| フリーランス契約ひな形 | 副業者を受け入れる側の秘密保持・権利保証 |
会社向けと従業員向けに、実装漏れを点検します。
以下の比較表は、12.1 会社向けチェックリストに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| チェック項目 | はい・いいえ |
|---|---|
| 副業・兼業を原則許容しつつ、制限事由を明確にしているか | |
| 副業届出フォームに、競業、秘密情報、個人情報、使用ツールの確認項目があるか | |
| 秘密情報の定義が、営業秘密だけでなく契約上の秘密、個人情報、第三者情報を含んでいるか | |
| 秘密情報にラベル、アクセス権限、保管場所、持出しルールが設定されているか | |
| 会社端末・会社アカウントを副業利用しないルールがあるか | |
| 個人クラウド、個人メール、未承認AIへの会社情報入力を禁止または制限しているか | |
| 競合、顧客、取引先に関する副業の審査基準があるか | |
| 副業先の秘密情報を会社へ持ち込まないルールがあるか | |
| ログ監視の対象、目的、手続を規程化し周知しているか | |
| 個人情報漏えい時の報告・本人通知手順があるか | |
| 営業秘密侵害時の証拠保全、警告、差止め、刑事相談の手順があるか | |
| 退職・異動・副業終了時の資料返還、削除、権限解除を確認しているか | |
| 副業・秘密情報研修を定期的に実施しているか | |
| 内部監査で副業制度と情報管理の実効性を検証しているか |
以下の比較表は、12.2 従業員向けチェックリストに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| チェック項目 | はい・いいえ |
|---|---|
| 副業開始前に会社の届出・承認ルールを確認したか | |
| 副業先が本業の競合、顧客、取引先でないか確認したか | |
| 副業は会社の勤務時間外に行うか | |
| 会社PC、会社メール、会社クラウドを副業で使わないか | |
| 会社の資料、顧客情報、価格情報、ソースコードを副業で使わないか | |
| 会社情報を生成AI、翻訳ツール、要約ツールに入力しないか | |
| 副業先の秘密情報を会社へ持ち込まないか | |
| 副業成果物が本業成果物と混ざらないよう作業環境を分けているか | |
| 個人情報を扱う場合、取得元、利用目的、保管、削除を確認したか | |
| 迷ったときに相談できる窓口を知っているか |
競合開発、営業コンサル、人事相談、研究顧問の典型場面を見ます。
本業でBtoB SaaSの認証基盤を担当するエンジニアが、競合に近いスタートアップで副業開発を行う場合、非常に高リスクである。コードそのものをコピーしなくても、認証設計、権限設計、脆弱性対応、顧客要望、ロードマップ、障害履歴が副業成果物に影響する可能性がある。
会社は、競合性、職務類似性、アクセス権限、使用ツール、作業環境分離を審査し、必要に応じて不承認または業務範囲の限定を検討する。従業員側も、自分の一般的スキルと会社固有情報を切り分けて説明できなければならない。
営業担当者が、業界向け営業コンサルを副業で行う場合、顧客リスト、商談ノウハウ、価格情報、競合比較、失注理由を使いやすい。匿名化したつもりでも、特定顧客が推測される可能性がある。
対策として、顧客名・担当者名・商談履歴・価格・契約条件の利用禁止、公開情報に基づく一般的助言に限定、資料の事前レビュー、SNS発信ルールを設ける。
人事担当者がキャリア相談を副業で行う場合、採用候補者情報、評価基準、給与レンジ、面接評価、退職予定者情報が問題になり得る。候補者を副業サービスへ誘導すれば、個人情報の目的外利用や利益相反が疑われる。
対策として、採用候補者・従業員への副業営業禁止、会社の評価・給与情報利用禁止、相談者情報と会社情報の分離を明記する。
研究者がスタートアップの技術顧問を副業で行う場合、未出願発明、実験データ、研究ノート、共同研究先情報が混入しやすい。外部技術顧問契約では、業務範囲、除外技術、秘密情報、発明帰属、論文・講演の事前確認を明記すべきである。
取締役会・経営層が継続的に確認すべき問いを整理します。
副業での情報漏えい・兼業秘密のリスクは、単なる人事制度ではない。経営上の情報資産保護、人的資本経営、イノベーション、コンプライアンス、サイバーセキュリティ、レピュテーションの問題である。
経営者は次の問いを定期的に確認すべきである。
全面禁止、記憶情報、AI入力などで誤解されやすい点を修正します。
全面禁止は、かえって未申告副業を増やすことがある。会社が実態を把握できなければ、競業性や秘密情報リスクを調整できない。合理的な届出制度と相談しやすい文化の方が、リスク管理として有効である。
重要情報であることと、営業秘密として法的保護を受けることは同じではない。営業秘密には秘密管理性、有用性、非公知性が必要である。秘密として管理する意思を従業員等が認識できる形にする必要がある。
一般的スキルや経験は活用できるが、具体的な顧客情報、価格、未公開技術、研究データ、戦略、契約条件などは秘密情報であり得る。記憶に基づく使用でも問題になり得る。
副業者を発注者として受け入れる企業は、第三者秘密を持ち込ませない責任がある。成果物に第三者の営業秘密、著作物、個人情報が混入すれば、受け入れ側企業も紛争に巻き込まれる。
未承認の外部AIサービスに会社の秘密情報や個人データを入力すれば、外部提供、目的外利用、秘密保持義務違反、契約違反、セキュリティ規程違反として問題になり得る。AI利用は情報提供の一形態として管理すべきである。
副業・秘密情報・逆流入・AI利用に関する条項例を示します。
以下は、実務上のたたき台であり、各社の業種、規模、労使関係、情報資産、既存規程に合わせて修正する必要がある。
法務、労務、知財、個人情報、情報システム、監査の分担を確認します。
副業・兼業に伴う秘密情報リスクは、単独部門では管理できない。専門家の役割分担は次のように整理できる。
以下の比較表は、17. 専門家の役割分担に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。
| 専門家・部門 | 主な役割 |
|---|---|
| 弁護士・企業内弁護士 | 規程、契約、営業秘密、個人情報、競業、懲戒、訴訟、当局対応 |
| 社会保険労務士・労務担当 | 就業規則、労働時間、健康管理、懲戒手続、労使説明 |
| 弁理士・知財法務 | 発明、ノウハウ、特許出願前情報、ライセンス、共同研究 |
| 個人情報保護担当 | 個人データ管理、漏えい報告、本人通知、委託先管理 |
| 情報システム・セキュリティ担当 | ID管理、端末管理、DLP、ログ、クラウド、AI利用統制 |
| 内部監査担当 | 規程運用、アクセス権限、教育、インシデント対応の監査 |
| 公認会計士・内部統制担当 | J-SOX、内部統制、証跡、財務・不正調査との接続 |
| デジタルフォレンジック専門家 | 証拠保全、端末解析、ログ解析、漏えい経路特定 |
| 経営者・取締役会 | 方針、リスク許容度、資源配分、重大事案の意思決定 |
従業員の自由と企業の正当な利益を両立させる統合管理へまとめます。
次の強調表示は、ページ全体の結論を一文で確認するためのものです。制度設計の軸を見失わないために重要ですので、全面禁止ではなく、分類・届出・分離・監査を組み合わせる点を読み取ってください。
副業・兼業を原則許容しながら、秘密情報分類、届出審査、作業環境分離、AI利用管理、ログ監査、事故対応を一体で動かすことが実務上の中心です。
副業・兼業は、現代の働き方において重要な選択肢である。企業が優秀な人材を惹きつけ、社外知見を取り込み、従業員の成長を促すためにも、副業・兼業を過度に恐れるべきではない。
しかし、秘密情報、営業秘密、個人情報、顧客情報、研究データ、ソースコード、経営情報は、企業の競争力そのものであり、顧客や取引先から預かった信頼でもある。副業での情報漏えい・兼業秘密のリスクを軽視すれば、損害賠償や行政対応だけでなく、顧客離れ、採用力低下、企業価値毀損、刑事事件化に至ることもある。
実務上の最適解は、全面禁止でも放任でもない。次の7点を同時に実行することである。
副業での情報漏えい・兼業秘密のリスクは、単なる禁止規程では解決できない。企業法務、人事労務、知財、個人情報保護、情報セキュリティ、内部監査、経営が連携し、従業員の自由と企業の正当な利益を両立させる統合的なガバナンスを構築することが、これからの企業に求められる。