2σ Guide

副業での情報漏えい・
兼業秘密のリスク

副業・兼業を一律禁止ではなく、情報資産分類、届出審査、秘密保持、競業管理、AI利用、ログ監査、事故対応で統合的に管理するための実務ガイドです。

4類型制限し得る典型場面
5経路主な漏えい経路
3層兼業秘密の整理
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

副業での情報漏えい・ 兼業秘密のリスク

禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。

動画を読み込み中…
2σ GUIDE ・ VIDEO
副業での情報漏えい・ 兼業秘密のリスク
禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 副業での情報漏えい・ 兼業秘密のリスク
  • 禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。

POINT 1

  • 副業での情報漏えい・兼業秘密のリスクの全体像
  • 禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。
  • 原則は勤務時間外の自由
  • 営業秘密より広い実務概念
  • 規程・技術・教育を接続

POINT 2

  • 副業での情報漏えい・兼業秘密のリスクを考える基本構造
  • 副業の自由を出発点に、制限できる場面を具体的なリスクへ落とし込みます。
  • 1.1 副業・兼業は原則として「個人の自由」から出発する
  • 1.2 企業が制限し得る典型場面
  • 1.3 「副業での情報漏えい・兼業秘密のリスク」が深刻化した背景

POINT 3

  • 副業での情報漏えい・兼業秘密のリスクで使う用語
  • 営業秘密、秘密情報、兼業秘密、漏えいの違いを整理します。
  • 2.1 副業と兼業
  • 2.2 秘密情報
  • 2.3 営業秘密

POINT 4

  • 副業での情報漏えい・兼業秘密のリスクに関わる法的枠組み
  • 労働法、不正競争防止法、個人情報保護法、フリーランス取引の観点を確認します。
  • 3.1 労働法: 副業・兼業の自由と制限の合理性
  • 3.2 不正競争防止法: 営業秘密の不正取得・使用・開示
  • 3.3 営業秘密に該当しない情報の保護

POINT 5

  • 副業での情報漏えい・兼業秘密のリスクが起きる経路
  • 人、端末、クラウド、契約、業務設計のどこから情報が動くかを見ます。
  • 4.1 「意図的持ち出し」だけを想定すると失敗する
  • 4.3 「頭の中の情報」の難しさ
  • 4.4 逆流入リスク

POINT 6

  • 副業での情報漏えい・兼業秘密のリスクを抑える制度設計
  • 1. 届出内容を確認:副業先、業務内容、稼働時間、使用ツール、個人情報の有無を把握します。
  • 2. 競業・秘密情報・労務支障を評価:抽象的な不安ではなく、情報・相手方・経路・損害を具体化します。
  • 3. 条件付承認または制限:作業環境分離、業務範囲限定、法務・情報セキュリティ確認を行います。
  • 4. 届出管理と年次確認:過度な審査を避け、申告しやすい制度として維持します。

POINT 7

  • 副業での情報漏えい・兼業秘密のリスクを職種別に見る
  • 開発・AI人材
  • コード、学習データ、APIキー、設計思想の混入が問題になりやすい領域です。
  • 営業・マーケティング
  • 顧客リスト、価格、失注理由、広告運用情報の副業転用に注意します。

POINT 8

  • 副業での情報漏えい・兼業秘密のリスクに備える契約・規程
  • 就業規則、秘密保持、競業、誓約書、発注者側契約を具体化します。
  • 7.1 就業規則の基本条項
  • 7.2 秘密保持条項
  • 7.3 競業・利益相反条項

まとめ

  • 副業での情報漏えい・ 兼業秘密のリスク
  • 副業での情報漏えい・兼業秘密のリスクの全体像:禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。
  • 副業での情報漏えい・兼業秘密のリスクを考える基本構造:副業の自由を出発点に、制限できる場面を具体的なリスクへ落とし込みます。
  • 副業での情報漏えい・兼業秘密のリスクで使う用語:営業秘密、秘密情報、兼業秘密、漏えいの違いを整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

副業での情報漏えい・兼業秘密のリスクの全体像

禁止か放任かではなく、情報分類・届出・秘密保持・監査を接続して考えます。

次の重要ポイント一覧は、副業での情報漏えい・兼業秘密のリスクを、法務・労務・情報セキュリティの三方向から整理したものです。禁止か放任かの二択にしないために重要ですので、各項目がどの管理領域に対応するかを読み取ってください。

自由と制限

原則は勤務時間外の自由

ただし、秘密漏えい、競業、労務提供上の支障、信用毀損など具体的リスクがある場合は制限の対象になります。

兼業秘密

営業秘密より広い実務概念

営業秘密、契約上の秘密、個人情報、限定提供データ、第三者秘密などを、副業・兼業の場面で一体的に扱います。

統合管理

規程・技術・教育を接続

届出、情報分類、アクセス権限、AI利用、ログ、監査、事故対応を分けずに運用へ落とし込むことが重要です。

副業・兼業は、働く人の収入機会、キャリア形成、専門性の発揮、企業外との知的交流を広げる。一方で、企業法務の観点から見ると、副業・兼業は「人」を経由して秘密情報が別組織へ移動する典型的な場面でもある。とくに、テレワーク、クラウド、個人端末、生成AI、オンラインストレージ、外部SaaS、個人のGitHubやSNS、フリーランス案件の普及により、秘密情報の境界は物理的なオフィスの壁では管理できなくなった。

このページの中心命題は明確である。企業は副業・兼業を一律に恐れて禁止するのではなく、情報資産の分類、届出・審査、秘密保持、競業・利益相反管理、個人情報保護、ログ・アクセス管理、教育、監査、事故対応を一体化した制度として設計すべきである。厚生労働省の副業・兼業に関する公的資料でも、労働者が労働時間以外をどのように使うかは基本的に自由であると整理されつつ、業務上の秘密漏えい、競業による自社利益の害、労務提供上の支障、名誉・信用毀損等がある場合には制限し得るとされている。 したがって、「副業での情報漏えい・兼業秘密のリスク」への実務対応は、禁止か放任かの二択ではなく、合理的なリスクベース管理の問題である。

なお、このページでいう「兼業秘密」とは、法律上の固有の用語ではない。このページでは、従業員が兼業・副業を行う過程で接触し、混入し、利用し、開示し、または外部へ持ち出すおそれのある秘密情報全般を指す実務上の整理概念として用いる。これには、不正競争防止法上の営業秘密、契約上の秘密情報、個人情報・個人データ、限定提供データ、技術情報、顧客情報、価格情報、ソースコード、研究データ、未公表事業計画、第三者から受領した秘密情報が含まれ得る。

Section 01

副業での情報漏えい・兼業秘密のリスクを考える基本構造

副業の自由を出発点に、制限できる場面を具体的なリスクへ落とし込みます。

1.1 副業・兼業は原則として「個人の自由」から出発する

副業・兼業に関する法務判断の出発点は、労働者が勤務時間外の時間をどのように使うかは、基本的には労働者の自由であるという考え方である。厚生労働省の資料は、裁判例を踏まえ、原則として副業・兼業を認める方向で検討することが適当であり、禁止または一律許可制にしている企業は就業規則等の見直しを行うことが望ましいと説明している。

ただし、この自由は無制限ではない。労働契約は継続的な信頼関係を基礎とするため、労働者は就業時間外であっても、会社の秘密を漏らさない、会社に重大な損害を与えない、競業によって会社の正当な利益を害さない、会社の名誉・信用を傷つけないといった義務を負い得る。労働契約法は、労働者と使用者が労働契約を遵守し、信義に従い誠実に権利を行使し義務を履行すべきことを定めている。

したがって、企業が副業・兼業を制限する場合には、「副業だから危険」という抽象論では足りない。どの情報が、どの経路で、どの相手方へ、どの程度の蓋然性で移転し、どの法的・経済的損害を発生させるのかを具体的に評価する必要がある。

1.2 企業が制限し得る典型場面

公的資料が示す副業・兼業の制限事由は、実務上、次の4類型に集約できる。

以下の比較表は、1.2 企業が制限し得る典型場面に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

類型意味典型例
労務提供上の支障本業の勤務、健康、安全、労働時間管理に支障が出ること深夜副業により本業で居眠り、過労、納期遅延
業務上の秘密の漏えい本業の秘密情報が副業先や顧客に流れること顧客リスト、設計図、ソースコード、価格表の流用
競業による利益侵害副業先が競合し、自社の正当な利益が害されること同業他社の営業支援、競合製品の開発、同一顧客への提案
名誉・信用毀損、信頼関係破壊会社の信用や労使信頼を害すること会社名を用いた不適切発信、反社会的取引、利益相反隠し

この4類型は、就業規則、誓約書、秘密情報管理規程、副業届出制度、懲戒規程、情報セキュリティ規程の設計における基本軸になる。重要なのは、制限の対象を「副業一般」ではなく、「具体的なリスク行為」に置くことである。

1.3 「副業での情報漏えい・兼業秘密のリスク」が深刻化した背景

従来の情報漏えい対策は、退職時の持ち出し、競合転職、委託先管理、USB紛失、メール誤送信などを中心に設計されてきた。しかし現在は、在職中の従業員が本業と副業を同時に行い、同一人物の頭脳、端末、クラウド、チャット、AIツール、SNSアカウントを通じて複数組織の情報が交錯する。

たとえば、次のような事態は、いずれも現実的なリスクである。

  1. エンジニアが本業のソースコードや設計思想を副業案件に応用する。
  2. 営業担当者が本業の見込み客リストを使って副業サービスを販売する。
  3. コンサルタントが本業で得た未公表の市場分析を副業先に提供する。
  4. 研究開発担当者が本業の実験データを使って外部論文、講演、副業プロジェクトを進める。
  5. 人事担当者が候補者情報や従業員データを個人の副業DBへ転記する。
  6. デザイナーが本業の未公開デザイン、ブランドガイドライン、顧客資料を副業制作に流用する。
  7. 副業先の秘密情報を本業の業務に持ち込み、逆方向の情報汚染を起こす。
  8. 生成AIに本業の機密資料を入力し、副業成果物の作成に使う。

このように、副業・兼業リスクは「秘密が外へ出る」だけではない。「外部の秘密が中へ入る」「複数社の秘密が混ざる」「本人にも区別できないノウハウ移転が起きる」「証拠がクラウド上に分散する」という複合リスクである。

Section 02

副業での情報漏えい・兼業秘密のリスクで使う用語

営業秘密、秘密情報、兼業秘密、漏えいの違いを整理します。

2.1 副業と兼業

副業とは、一般に、本業とは別に収入を得る活動をいう。雇用契約によるアルバイト、業務委託、個人事業、役員就任、講演、執筆、アプリ開発、EC販売、投資助言、SNS運営、スクール講師など多様な形態がある。

兼業とは、複数の業務または職業を並行して行うことをいう。副業よりも対等な複数業務というニュアンスで用いられることがあるが、実務上は明確に区別されない場合も多い。

このページでは、雇用型、副業型フリーランス、役員・顧問型、創作・研究型、投資・情報発信型を含め、会社勤務者が勤務先以外で業務活動を行う場面を広く副業・兼業として扱う。

2.2 秘密情報

秘密情報とは、会社が外部に公開しておらず、社内外で管理対象としている情報をいう。法律上の営業秘密に該当するものもあれば、契約上または社内規程上だけで秘密として扱われるものもある。

秘密情報には、次のようなものが含まれる。

以下の比較表は、2.2 秘密情報に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

分類
技術情報ソースコード、設計図、配合、製造条件、アルゴリズム、モデル、学習データ、脆弱性情報
営業情報顧客名簿、商談履歴、価格表、原価、見積条件、販売戦略、代理店条件
経営情報M&A情報、資金調達、未公表決算、事業計画、組織再編、撤退計画
知財情報未出願発明、研究ノート、試作品、ブランド戦略、ライセンス条件
人事情報評価、給与、健康情報、採用候補者、懲戒、異動案
個人情報顧客データ、従業員データ、ユーザーID、問い合わせ履歴、位置情報
セキュリティ情報管理者権限、APIキー、認証情報、ログ、ネットワーク構成、インシデント情報
第三者情報顧客、委託元、共同研究先、提携先、官公庁から受領した秘密情報

2.3 営業秘密

不正競争防止法上の営業秘密とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報で、公然と知られていないものをいう。 経済産業省の営業秘密管理指針も、営業秘密として保護されるためには、秘密管理性、有用性、非公知性の三要件を満たす必要があると整理している。

重要なのは、会社が「これは重要だ」と思っているだけでは、営業秘密として保護されるとは限らないことである。営業秘密として扱うには、秘密として管理する意思が、従業員や役員、取引先等に認識できる形で示されていなければならない。経済産業省の指針は、秘密管理性の趣旨を、秘密として管理しようとする対象が従業員等に明確化され、従業員等の予見可能性を確保する点に置いている。

したがって、副業・兼業対策では、「秘密保持義務があります」と抽象的に書くだけでは不十分である。どの情報が秘密で、どの媒体にあり、誰がアクセスでき、持ち出しが禁止され、どのように廃棄し、違反時にどうなるかを具体化する必要がある。

2.4 兼業秘密

このページでいう兼業秘密とは、兼業・副業という状況で問題化する秘密情報を指す実務上の概念である。法律上の営業秘密より広い。

兼業秘密には、少なくとも次の3層がある。

以下の比較表は、2.4 兼業秘密に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

内容法的保護の典型
第1層不正競争防止法上の営業秘密差止め、損害賠償、刑事罰の可能性
第2層契約・規程上の秘密情報NDA、雇用契約、就業規則、誓約書に基づく責任
第3層倫理上・統制上守るべき非公開情報懲戒、アクセス制限、内部統制、信用管理

この整理が重要なのは、営業秘密に該当しない情報でも、契約違反、守秘義務違反、個人情報保護法違反、著作権侵害、職務専念義務違反、利益相反、内部統制違反として問題になり得るからである。

2.5 情報漏えい

情報漏えいとは、秘密情報や個人データが、権限のない者に閲覧、取得、使用、開示される状態をいう。意図的な持ち出しだけでなく、誤送信、クラウド共有設定ミス、個人端末保存、AI入力、SNS投稿、スクリーンショット、写真撮影、紙資料の放置、共有リンクの公開、アクセス権限の残存なども含む。

「漏えい」は外部への公表に限られない。副業先の担当者1名に見せただけでも、権限のない者に開示した以上、漏えいと評価され得る。個人情報保護法上も、一定の個人データの漏えい等が発生した場合には、個人情報保護委員会への報告や本人通知が問題となる。

Section 03

副業での情報漏えい・兼業秘密のリスクに関わる法的枠組み

労働法、不正競争防止法、個人情報保護法、フリーランス取引の観点を確認します。

3.1 労働法: 副業・兼業の自由と制限の合理性

副業・兼業制度の設計では、次の点を押さえる必要がある。

第一に、勤務時間外の副業・兼業を全面的に禁止する規程は、個別事情によっては過度な制約と評価され得る。厚生労働省の公的資料は、原則として副業・兼業を認める方向で検討することが適当としつつ、例外的に、労務提供上の支障、業務上の秘密漏えい、競業による利益侵害、名誉・信用毀損等の場合には制限が許されると整理している。

第二に、雇用型の副業・兼業では労働時間通算が問題となる。労働基準法上、労働時間は事業場を異にする場合にも通算されるとされ、厚生労働省のQ&Aも、事業主が異なる場合であっても原則として通算が必要であり、副業・兼業先の労働時間は労働者からの申告等により把握すると説明している。 これは情報漏えい対策そのものではないが、過労や集中力低下は誤送信、設定ミス、持ち帰り作業、端末紛失を誘発するため、労務リスクと情報リスクは接続している。

第三に、会社が副業内容の届出を求める場合も、必要性と相当性を意識しなければならない。副業先の名称、業務内容、就業時間、競業可能性、秘密情報接触の有無、個人情報取扱いの有無などは確認対象になり得るが、過度に私生活へ踏み込む情報収集は避けるべきである。

3.2 不正競争防止法: 営業秘密の不正取得・使用・開示

副業・兼業における最大の法的リスクは、不正競争防止法上の営業秘密侵害である。不正競争防止法は、営業秘密の不正取得、使用、開示等を不正競争として規律し、営業秘密に該当すれば差止めを含む民事上の救済や刑事罰の対象になり得る。

副業の文脈では、次のような行為が問題になりやすい。

  1. 本業の営業秘密を副業先へメール送信する。
  2. 本業のクラウドから資料をダウンロードし、副業PCで使用する。
  3. 本業で知った顧客の購買条件を使って副業で営業する。
  4. 本業の製造条件、アルゴリズム、研究データを副業成果物に反映する。
  5. 副業先からの依頼に応じて本業の未公開情報を説明する。
  6. 本業の退職前ではなく在職中から、競業の副業に情報を移す。

営業秘密侵害は、単なる社内規程違反にとどまらない。差止め、損害賠償、信用回復措置、刑事告訴、関係先への説明、取引停止、上場会社の適時開示、監督官庁対応に発展し得る。

3.3 営業秘密に該当しない情報の保護

実務では、「営業秘密の三要件を満たすか」が争点になりやすい。しかし、営業秘密に該当しないからといって、自由に使えるわけではない。

たとえば、秘密管理性がやや不十分で営業秘密該当性が不透明な資料であっても、雇用契約、就業規則、NDA、委託契約、情報セキュリティ規程により秘密保持義務の対象になっている場合がある。また、個人データであれば個人情報保護法の規律を受ける。データ取引の文脈では、不正競争防止法上の限定提供データとして保護される可能性もある。

副業対策では、営業秘密だけを守ろうとすると抜け穴が生じる。社内規程では「営業秘密」「秘密情報」「個人情報」「機密情報」「第三者秘密情報」「セキュリティ情報」を階層的に定義し、それぞれの取扱いルールを設けるべきである。

3.4 個人情報保護法: 個人データ漏えいと本人通知

副業・兼業で顧客情報、ユーザー情報、従業員情報、採用候補者情報、健康情報、問い合わせ履歴、会員情報などを扱う場合、個人情報保護法上の問題が生じる。

個人情報保護委員会は、漏えい等事案への対応として、報告受付フォーム、報告書式、ガイダンス、Q&Aを公表している。 また、個人情報保護法ガイドライン通則編は、漏えい等事案の発生時に、事実関係の調査・原因究明、影響を受ける可能性がある本人への通知、個人情報保護委員会等への報告、再発防止策の検討・決定、公表等を行う体制整備を示している。

副業場面で特に多いのは、次の類型である。

  1. 本業の顧客リストを副業営業に利用する。
  2. 本業のCRMから見込み客情報を個人スマホへ送る。
  3. 採用候補者情報を副業の人材紹介活動に転用する。
  4. 医療、金融、教育、福祉などセンシティブな情報を副業先で参照する。
  5. 生成AIや外部SaaSに個人データを入力して副業成果物を作る。
  6. 個人クラウドに本業データと副業データを混在保存する。

個人情報に関しては、「会社の秘密」だけでなく「本人の権利利益」を守る視点が不可欠である。会社にとって競争価値が低い情報でも、本人にとっては重大なプライバシー侵害になり得る。

3.5 フリーランス副業と発注者側の法令

従業員が副業としてフリーランス活動を行う場合、本人だけでなく、副業を発注する企業にも法令対応が必要になる。フリーランス・事業者間取引適正化等法は、令和6年11月1日に施行され、個人が事業者として受託した業務に安定的に従事できる環境を整備するため、取引条件の明示など一定の義務を課している。

この点は情報漏えいと無関係ではない。発注者が業務範囲、成果物、秘密情報、再委託、使用ツール、データ保管、納品後削除、個人情報取扱いを曖昧にしたまま個人へ発注すると、副業者が本業の情報と副業先の情報を混在させやすくなる。発注者側も、フリーランス契約書に秘密保持、情報管理、第三者秘密の持込み禁止、生成AI利用、再委託、端末管理、事故報告を明記すべきである。

Section 04

副業での情報漏えい・兼業秘密のリスクが起きる経路

人、端末、クラウド、契約、業務設計のどこから情報が動くかを見ます。

4.1 「意図的持ち出し」だけを想定すると失敗する

副業での情報漏えい・兼業秘密のリスクを考える際、多くの企業は悪意ある従業員による持ち出しを想像する。もちろん、それは重大なリスクである。しかし実務上は、悪意が明確でない境界事案が多い。

たとえば、従業員が「これは自分の経験で得たノウハウであり、会社の秘密ではない」と考えて副業で使う場合がある。営業担当者が「顧客の担当者名くらいは覚えている」と考えて連絡することもある。エンジニアが「一般的な設計パターンだ」と考えてコード構造を再現することもある。研究者が「自分が考えたアイデアだ」と考えて副業先の研究に応用することもある。

つまり、危険なのは「悪意」だけではない。秘密情報と個人スキルの境界、社内情報と一般知識の境界、本業成果と副業成果の境界が曖昧なまま業務が進むことである。

4.2 5つの漏えい経路

副業・兼業に伴う情報漏えいは、主に次の5経路で発生する。

以下の比較表は、4.2 5つの漏えい経路に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

経路内容予防策の中心
人的経路記憶、会話、説明、助言、講演、SNS投稿教育、利益相反申告、秘密範囲の明確化
端末経路個人PC、スマホ、USB、私物カメラ、BYODMDM、持出制限、暗号化、利用禁止・許可基準
クラウド経路個人Google Drive、Dropbox、GitHub、Notion、Slack、ChatGPT等DLP、CASB、外部共有制限、AI利用ルール
契約経路副業契約により本業秘密の提供を求められる契約審査、受注禁止基準、NDA確認
業務設計経路本業と副業の業務内容が類似し成果が混ざる競業審査、作業環境分離、成果物レビュー

4.3 「頭の中の情報」の難しさ

企業が最も苦労するのは、従業員の頭の中にある経験、スキル、ノウハウ、記憶情報の扱いである。労働者は、本業で得た一般的な能力や経験を将来の職業生活で活用できる。一方で、具体的な顧客条件、未公開技術、ソースコード、原価構造、営業戦略、研究データ、脆弱性情報などは、会社の秘密情報であり得る。

実務上は、次の区別が重要になる。

以下の比較表は、4.3 「頭の中の情報」の難しさに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

利用してよい可能性が高いもの利用が危険なもの
一般的な業界知識社内だけで共有された未公表情報
公開資料で得られる情報顧客別の価格、原価、契約条件
個人の一般的スキル特定製品の未公開設計、ソースコード
職務で培った抽象的な経験未出願発明、研究データ、ロードマップ
市場で広く知られる手法アクセスキー、脆弱性、セキュリティ構成

この区別を従業員個人の判断に任せるのは危険である。研修では、抽象論ではなく具体例を示し、「迷ったら使わない、持ち出さない、相談する」という行動基準に落とし込む必要がある。

4.4 逆流入リスク

副業での情報漏えい・兼業秘密のリスクは、本業情報が外へ出る方向だけではない。副業先の秘密情報が本業へ入る「逆流入」も重大である。

たとえば、従業員が副業先で得た競合他社の価格表や製品仕様を、本業の営業戦略に反映した場合、本業会社が第三者の秘密情報を不正に利用したと疑われるおそれがある。副業先のソースコードを本業の開発に混入させれば、著作権侵害、契約違反、営業秘密侵害、OSSライセンス違反に発展することもある。

そのため、会社の副業規程には、「自社情報を外へ出さない」だけでなく、「副業先、前職、顧客、取引先、第三者の秘密情報を自社へ持ち込まない」ことを明記すべきである。

Section 05

副業での情報漏えい・兼業秘密のリスクを抑える制度設計

届出制度、リスクランク、情報分類、アクセス権限、環境分離を設計します。

次の判断の流れは、副業届出を受けた会社が、自由の尊重と情報資産保護を両立させる順番を表しています。順番を決めておくことが重要ですので、届出内容から制限条件・監査まで段階的に確認する読み方をしてください。

副業リスク審査の判断の流れ

届出内容を確認

副業先、業務内容、稼働時間、使用ツール、個人情報の有無を把握します。

競業・秘密情報・労務支障を評価

抽象的な不安ではなく、情報・相手方・経路・損害を具体化します。

高リスク
条件付承認または制限

作業環境分離、業務範囲限定、法務・情報セキュリティ確認を行います。

低リスク
届出管理と年次確認

過度な審査を避け、申告しやすい制度として維持します。

5.1 基本方針: 原則許容、リスクに応じた制限

副業・兼業制度は、次の原則で設計するのが望ましい。

  1. 副業・兼業は原則として許容する。
  2. ただし、労務提供、健康、安全、秘密保持、競業、利益相反、名誉・信用、法令遵守に支障がある場合は制限できる。
  3. 制限基準は就業規則または社内規程に明確化する。
  4. 届出・審査は、リスク把握に必要な範囲に限定する。
  5. 情報漏えい防止措置は、職種、情報、アクセス権限、副業内容に応じて段階化する。
  6. 従業員が相談しやすい窓口を置き、申告を理由とする不利益取扱いを避ける。
  7. 違反時の調査、証拠保全、懲戒、損害賠償、当局対応の手順を整備する。

この方針は、自由と保護の両立を図るものである。副業を過度に抑圧すると、従業員は申告を避け、会社は実態を把握できなくなる。逆に放任すれば、会社の情報資産、顧客、取引先、株主、従業員本人を守れない。

5.2 副業届出制度

副業届出制度は、監視のためではなく、リスクの早期把握と調整のために設計する。

届出項目は、たとえば次の程度が相当である。

以下の比較表は、5.2 副業届出制度に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

項目目的
副業先または活動名競業、反社、信用リスクの確認
業務内容秘密情報利用、職務類似性、利益相反の確認
契約形態雇用型か業務委託型か、労働時間通算の確認
予定稼働時間健康、労務提供、長時間労働の確認
使用する端末・ツール情報混在、外部SaaS、生成AI利用の確認
本業情報の利用有無秘密保持リスクの確認
個人情報取扱いの有無個人情報保護法、委託、越境移転等の確認
競合・取引先との関係競業、利益相反、第三者秘密の確認
成果物の権利帰属著作権、発明、職務成果の混在防止

届出制度で避けるべきなのは、抽象的な「会社が不適当と認める場合は不許可」といった広すぎる基準である。基準が曖昧だと、従業員の予測可能性が失われ、制度への信頼も低下する。

5.3 リスクランク分類

副業審査では、全件を同じ重さで扱うべきではない。次のようなランク分類が有効である。

以下の比較表は、5.3 リスクランク分類に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

ランク対応
低リスク趣味講師、公開情報に基づく執筆、非競合の短時間業務届出のみ、年次確認
中リスク同種スキルを使うが非競合、個人情報なし、秘密情報なし条件付き承認、作業環境分離、研修
高リスク競合、取引先、顧客接点、類似開発、個人情報あり詳細審査、法務・情報セキュリティ確認、制限条件
原則禁止または不承認本業秘密利用が前提、競合の中核業務、利益相反が重大、法令違反のおそれ不承認、配置転換検討、個別協議

5.4 秘密情報分類制度

副業リスクを管理するには、そもそも会社の情報資産が分類されていなければならない。情報分類は最低限、次の4段階を推奨する。

以下の比較表は、5.4 秘密情報分類制度に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

区分内容取扱い
公開公式サイト、プレスリリース、公開カタログ自由利用可。ただし改変、誤表示に注意
社内限り社内連絡、一般社内資料外部共有不可。副業利用不可
秘密顧客情報、価格、仕様、未公表資料、契約条件権限者限定、持出制限、外部共有は承認制
極秘M&A、未出願発明、認証情報、重大脆弱性、経営機密最小権限、厳格ログ、暗号化、印刷・外部送信原則禁止

不正競争防止法上の営業秘密として保護を受けるには、秘密として管理する意思が従業員等に認識できることが重要である。したがって、秘密表示、アクセス権限、保管場所、ファイル名、透かし、閲覧制限、持出ルール、教育記録を整備することは、予防だけでなく紛争時の立証にも関わる。

5.5 情報アクセス権限の見直し

副業・兼業を認める会社ほど、アクセス権限管理を徹底すべきである。人が複数組織で働く時代には、「善意の従業員だから広くアクセスできる」という設計は危険である。

実務上は、次の措置が有効である。

  1. 最小権限の原則を徹底する。
  2. 部署異動、職務変更、副業申告時にアクセス権限を棚卸しする。
  3. 顧客リスト、価格表、ソースコード、研究データ、認証情報は高リスク資産として管理する。
  4. 大量ダウンロード、時間外アクセス、外部送信、個人メール送信、USB書込、印刷を検知する。
  5. 退職予定者、競合副業申告者、高リスク職種についてはログ監視を強化する。ただし監視は就業規則と社内周知を前提に、必要かつ相当な範囲で行う。
  6. 権限付与と削除の承認者を明確にし、監査証跡を残す。

IPAは、内部不正防止に関するガイドラインやチェックシートを公表しており、内部不正対策を組織的に進めるための参考資料として活用できる。 経済産業省のサイバーセキュリティ経営ガイドラインも、経営者のリーダーシップの下でサイバーセキュリティ対策を推進する考え方を示している。

5.6 作業環境の分離

副業を許可する場合、最も実践的な条件は「作業環境の分離」である。

分離すべき対象は次のとおりである。

以下の比較表は、5.6 作業環境の分離に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

対象分離方法
端末会社PCで副業しない。副業PCで会社情報を扱わない
アカウント会社アカウントと個人・副業アカウントを分ける
クラウド会社クラウドと個人クラウドを同期しない
ブラウザ会社用プロファイルと副業用プロファイルを分ける
ソースコード会社リポジトリと副業リポジトリを完全分離する
AIツール会社承認AI以外へ会社情報を入力しない
メール・チャット会社メールで副業連絡をしない。副業チャットで会社資料を共有しない
紙資料会社資料を副業作業場所へ持ち込まない

分離は、本人を守る効果もある。副業成果物が本業情報に依拠していないことを説明しやすくなり、紛争時の証拠も整理しやすい。

Section 06

副業での情報漏えい・兼業秘密のリスクを職種別に見る

開発、営業、研究、管理部門、経営層で異なる漏えい経路を整理します。

次のリスク要素一覧は、職種ごとに漏えいしやすい情報と管理の重点を整理したものです。職種により触れる情報が違うため重要であり、どの部門で事前審査・研修・アクセス制御を強めるべきかを読み取ってください。

開発・AI人材

コード、学習データ、APIキー、設計思想の混入が問題になりやすい領域です。

営業・マーケティング

顧客リスト、価格、失注理由、広告運用情報の副業転用に注意します。

研究開発・製造

未出願発明、実験データ、製造条件、講演資料の外部利用を管理します。

管理部門・経営層

人事、M&A、内部通報、未公表業績など、少量でも影響が大きい情報を扱います。

6.1 エンジニア、データサイエンティスト、AI人材

最も高リスクな職種の一つである。ソースコード、モデル、学習データ、APIキー、システム構成、脆弱性情報、顧客データ、ロードマップに触れる可能性が高い。

主なリスクは次のとおりである。

  1. 本業のコード断片を副業先のGitHubへコピーする。
  2. 本業で得たアーキテクチャを競合副業に転用する。
  3. 本業の学習データや特徴量設計を副業AIモデルに使う。
  4. 個人アカウントに会社リポジトリをクローンする。
  5. 副業先コードを本業プロダクトへ混入させる。
  6. OSSライセンスや第三者権利を確認せずに成果物を再利用する。
  7. 生成AIに未公開仕様、コード、ログ、顧客情報を入力する。

対策は、コード持出し禁止、私的リポジトリ利用制限、会社端末管理、DLP、ソースコード類似性チェック、AI入力ルール、退職・副業時のリポジトリ棚卸しが中心となる。

6.2 営業、マーケティング、カスタマーサクセス

営業部門は、顧客接点と価格情報を握るため、副業での流用リスクが高い。

危険なのは、顧客リストのコピーだけではない。担当者名、予算時期、購買履歴、過去の失注理由、値引き許容範囲、競合利用状況、組織図、意思決定者、紹介ルートといった情報は、競争上の価値が高い。

副業で営業代行、SNSマーケティング、広告運用、コンサルティング、人材紹介、代理店活動を行う場合、顧客情報や営業ノウハウの流用が問題化しやすい。

対策として、顧客リストのダウンロード制限、CRMログ、外部メール送信制限、副業先の競合確認、顧客への副業勧誘禁止、名刺・SNSの肩書利用ルールを整備する。

6.3 研究開発、製造、品質保証

研究開発部門は、未出願発明、実験データ、配合、製造条件、品質不具合、試験方法、材料選定、サプライヤー情報を扱う。副業として大学共同研究、技術顧問、講演、論文、スタートアップ支援を行う場合、未公開技術の開示が問題となる。

この分野では、特許出願前の発表、共同研究先との秘密保持、職務発明、研究ノート、技術標準化、輸出管理も関係する。とくに、未公開の実験結果を副業先の事業計画や資金調達資料に使うことは重大なリスクである。

対策として、発表審査、講演資料レビュー、共同研究契約確認、研究データのアクセス管理、発明届出、技術顧問副業の事前審査を行う。

6.4 人事、経理、法務、内部監査

管理部門は、従業員情報、給与、評価、懲戒、健康情報、内部通報、調査資料、契約、訴訟、M&A、会計情報、監査結果を扱う。副業として人事コンサル、労務相談、会計支援、法務支援、研修講師、執筆を行う場合、匿名化が不十分な事例紹介や資料流用が問題になる。

内部通報や不祥事調査に関わる情報は、とくに厳格に管理すべきである。個人名を伏せても、部署、時期、役職、事案概要から本人が特定されることがある。

対策として、事例利用ルール、匿名化基準、研修資料レビュー、持出し禁止資料の明確化、副業での専門サービス提供範囲の制限が必要である。

6.5 経営層、役員、顧問

役員や経営幹部の副業・兼業は、従業員よりもさらに慎重な管理が必要である。役員は会社の経営情報に深くアクセスし、善管注意義務、忠実義務、競業・利益相反規制、インサイダー取引規制、適時開示、社外役員兼職管理などが問題になる。

経営層が他社の顧問、社外取締役、投資家、アドバイザーを兼ねる場合、会議資料、M&A情報、資本政策、未公表業績、製品戦略、顧客情報が交錯しやすい。役員兼職は、取締役会、指名・報酬委員会、利益相反管理規程、インサイダー情報管理規程と連動させるべきである。

Section 07

副業での情報漏えい・兼業秘密のリスクに備える契約・規程

就業規則、秘密保持、競業、誓約書、発注者側契約を具体化します。

7.1 就業規則の基本条項

副業・兼業条項は、次のような構造が望ましい。

  1. 勤務時間外の副業・兼業は原則可能であること。
  2. 事前届出または承認が必要な場合を明示すること。
  3. 禁止または制限事由を具体化すること。
  4. 会社情報、第三者情報、個人情報の使用禁止を明記すること。
  5. 競業、利益相反、会社資産利用、会社名利用を制限すること。
  6. 労働時間、健康、安全に関する報告義務を定めること。
  7. 虚偽届出、無届高リスク副業、秘密情報流用時の措置を定めること。
  8. 相談窓口と不利益取扱い禁止の趣旨を明記すること。

7.2 秘密保持条項

秘密保持条項では、単に「機密情報を漏らしてはならない」と書くだけでは不十分である。少なくとも次の事項を含める。

以下の比較表は、7.2 秘密保持条項に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

項目内容
秘密情報の定義営業秘密、個人情報、顧客情報、技術情報、経営情報、第三者秘密を含む
禁止行為取得、複製、持出し、送信、保存、開示、使用、AI入力、SNS投稿
副業利用禁止副業・兼業・私的活動で会社情報を使わない
逆流入禁止副業先や第三者の秘密情報を会社へ持ち込まない
端末・クラウド個人端末・個人クラウド保存を禁止または承認制にする
返還・削除異動、退職、副業終了、会社請求時の返還・削除
調査協力漏えい疑い時の合理的な調査協力
存続期間退職後も秘密性がある限り義務が続くこと

7.3 競業・利益相反条項

競業避止条項は、広すぎると有効性が問題になり得るため、対象業務、地域、期間、顧客、職種、情報アクセスの有無、代償措置などを考慮して合理的範囲に限定すべきである。

副業中の競業制限では、次のような基準が使いやすい。

  1. 競合他社の中核業務に関与する副業は禁止または個別承認制。
  2. 自社顧客、見込み客、取引先への副業営業は禁止。
  3. 自社の非公開情報を利用するおそれがある業務は禁止。
  4. 自社の担当業務と実質的に同一の副業は審査対象。
  5. 研究開発、価格決定、入札、M&A、セキュリティなど高機密領域は厳格審査。
  6. 会社名、肩書、名刺、メールアドレス、資料を副業に使うことは禁止。

7.4 誓約書

副業届出時の誓約書では、次の確認を求めると実務的である。

  1. 会社の秘密情報を副業で使用しない。
  2. 会社の個人情報、顧客情報、取引先情報を副業で使用しない。
  3. 会社の端末、アカウント、クラウド、メール、チャットを副業で使用しない。
  4. 副業先の秘密情報を会社へ持ち込まない。
  5. 副業成果物が会社情報に依拠していないことを説明できるよう、作業環境を分離する。
  6. 競業、利益相反、労務提供上の支障が生じた場合は速やかに申告する。
  7. 会社から合理的な範囲で確認を求められた場合には協力する。

7.5 発注者側契約

企業が副業者やフリーランスを受け入れる側に立つ場合、次の条項を契約書に入れるべきである。

  1. 受託者が第三者の秘密情報を持ち込まないこと。
  2. 成果物が第三者の権利を侵害しないこと。
  3. 受託者の本業先の秘密情報を利用しないこと。
  4. 使用可能なツール、AI、クラウド、再委託の範囲。
  5. 個人情報を扱う場合の委託契約、安全管理措置、再委託、事故報告。
  6. 納品後のデータ削除、返還、証明。
  7. 監査、ログ、セキュリティ事故時の協力。
  8. 反社会的勢力排除、輸出管理、インサイダー情報管理。

受け入れ側企業が「副業者だから安く早く」とだけ考えると、第三者秘密の不正流入リスクを抱える。副業者を使う側も、コンプライアンス責任を負う。

Section 08

副業での情報漏えい・兼業秘密のリスクを下げる情報セキュリティ統制

ID、端末、データ、クラウド、ログ、AI利用の実装ポイントを確認します。

8.1 技術的対策の基本

副業・兼業リスクに対応する技術的対策は、従来の境界防御よりも、ID、端末、データ、ログを中心に設計する必要がある。

以下の比較表は、8.1 技術的対策の基本に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

領域対策
ID管理多要素認証、SSO、権限棚卸し、特権ID管理
端末管理MDM、EDR、暗号化、USB制御、画面ロック、紛失時ワイプ
データ保護DLP、ラベル付け、外部送信制限、透かし、ダウンロード制限
クラウド管理CASB、外部共有制限、共有リンク監査、個人アカウント遮断
ログ管理アクセスログ、ダウンロードログ、メールログ、Gitログ、監査ログ
開発管理リポジトリ権限、コードレビュー、シークレットスキャン、類似性チェック
AI利用入力禁止情報の明確化、承認済みAI、ログ、学習利用オプトアウト確認
退職・異動権限即時削除、貸与物回収、クラウド共有解除、証跡保全

8.2 ログ監視の法務上の注意

ログ監視は内部不正対策として有効だが、従業員のプライバシーや労使信頼に配慮する必要がある。実務上は、次の条件を満たすことが望ましい。

  1. 就業規則、情報セキュリティ規程、端末利用規程で監視対象を明示する。
  2. 会社端末、会社アカウント、会社ネットワークを対象にする。
  3. 目的を情報資産保護、法令遵守、セキュリティ確保に限定する。
  4. 監視範囲を必要かつ相当な範囲にする。
  5. 私的領域への過度な立入りを避ける。
  6. 高リスクアラート時の調査手順、承認者、記録方法を定める。
  7. 調査で得た情報を目的外利用しない。

副業申告者だけを一律に過度監視する運用は避けるべきである。監視は副業の有無ではなく、アクセス権限、職務、情報資産の重要度、異常行動に基づくべきである。

8.3 生成AI利用ルール

生成AIは、副業での情報漏えい・兼業秘密のリスクを大きく変えた。従業員は、文章作成、コード生成、要約、翻訳、企画、顧客対応案、契約書レビュー、データ分析などでAIを使う。しかし、AIに入力した情報が外部サービス上で処理され、保存され、学習に利用される可能性を理解しないまま、会社情報を入れてしまうおそれがある。

AI利用ルールには、次を明記すべきである。

  1. 秘密情報、個人情報、顧客情報、契約情報、ソースコード、認証情報を未承認AIに入力しない。
  2. 副業成果物作成のために会社情報をAIに入力しない。
  3. 会社が承認したAI環境と個人・副業AI環境を分離する。
  4. AI出力物が第三者権利や秘密情報を含まないか確認する。
  5. AI利用ログ、入力データ、出力データの取扱いを定める。
  6. AIで生成したコードや文章を本業・副業で相互流用しない。

8.4 内部監査

内部監査は、副業制度が紙の規程で終わっていないかを検証する役割を担う。

監査項目は次のとおりである。

  1. 副業届出の運用率と未申告リスク。
  2. 高リスク副業の審査記録。
  3. 秘密情報分類とアクセス権限の整合性。
  4. DLP、ログ監視、外部共有制限の有効性。
  5. 研修受講率と理解度テスト。
  6. 退職者、異動者、出向者、兼業者の権限削除。
  7. インシデント対応訓練の実施状況。
  8. 委託先、フリーランス、副業受入れ契約の管理。
  9. 生成AI利用実態と規程の整合性。
  10. 監査結果に対する是正状況。
Section 09

従業員が副業での情報漏えい・兼業秘密のリスクを避ける確認事項

副業を始める前、行ってはいけない行為、迷ったときの判断基準を示します。

9.1 副業を始める前の確認

従業員は、副業開始前に次の点を確認すべきである。

  1. 就業規則、副業規程、秘密保持誓約書、情報セキュリティ規程を読む。
  2. 届出または承認が必要か確認する。
  3. 副業先が本業の競合、顧客、取引先、委託先でないか確認する。
  4. 本業の情報や会社資産を使わずに副業が完結するか確認する。
  5. 作業端末、アカウント、クラウドを分ける。
  6. 副業契約書に、本業情報の提供義務や競業問題がないか確認する。
  7. 個人情報を扱う場合、取得元、利用目的、保管、削除を確認する。
  8. 疑問がある場合は、始める前に法務、人事、上長、相談窓口へ相談する。

9.2 やってはいけない行為

副業中に避けるべき行為は、次のとおりである。

  1. 会社PCで副業をする。
  2. 会社メールで副業連絡をする。
  3. 会社資料を副業先へ送る。
  4. 会社の顧客へ副業の営業をする。
  5. 会社の顧客リストを副業で使う。
  6. 会社コードや設計資料を副業成果物に流用する。
  7. 会社のSlack、Teams、Notion、Driveの内容を個人クラウドへコピーする。
  8. 会社情報を生成AIに入力して副業資料を作る。
  9. 副業先の秘密情報を会社へ持ち込む。
  10. 会社名や肩書を使って副業の信用を得る。
  11. 会社の勤務時間中に副業を行う。
  12. 副業で知った未公開重要情報を投資や助言に使う。

9.3 迷ったときの判断基準

従業員が迷ったときは、次の質問に一つでも「はい」があれば、使用や開示を止めて相談すべきである。

  1. その情報は社外に公開されていないか。
  2. その情報は会社のシステム、会議、資料、顧客対応で得たものか。
  3. その情報を副業先が知れば有利になるか。
  4. その情報を競合が知れば会社が不利になるか。
  5. その情報に個人情報が含まれるか。
  6. その情報は顧客、取引先、共同研究先から秘密として受け取ったものか。
  7. その成果物は本業の成果物と似すぎていないか。
  8. その作業は会社端末、会社アカウント、会社時間、会社施設を使っていないか。
  9. 後で説明を求められたとき、会社情報を使っていないと客観的に説明できるか。
  10. その副業を会社に申告しても問題ないと言えるか。
Section 10

副業での情報漏えい・兼業秘密のリスクが発覚したときの初動

証拠保全、個人情報対応、営業秘密対応、懲戒の順序を整理します。

次の時系列は、副業に関連する漏えい疑いが生じたときの初動順序を表しています。証拠消失と過剰調査を同時に避けるために重要ですので、左の時点から順に、保全・評価・外部対応・再発防止へ進む流れを読み取ってください。

発覚直後

決めつけず証拠を保全

ログ、端末、クラウド、メール、チャット、リポジトリの改変を防ぎます。

初期評価

個人情報と営業秘密を切り分け

本人通知・委員会報告の要否と、差止め・警告の必要性を並行して確認します。

対応決定

労務・法務・セキュリティを統合

懲戒は具体的事実と手続を踏まえ、被害拡大防止と再発防止を優先します。

10.1 初動の原則

副業・兼業に関連する情報漏えいが疑われる場合、初動を誤ると証拠が消え、被害が拡大し、本人の権利も侵害する。初動の原則は次のとおりである。

  1. 事実確認を急ぐが、決めつけない。
  2. 関係ログ、端末、クラウド、メール、チャット、リポジトリを保全する。
  3. 関係者への不用意な連絡を避け、証拠改変を防ぐ。
  4. 法務、人事、情報セキュリティ、個人情報保護担当、内部監査、事業部門で対応チームを作る。
  5. 個人データ漏えいの可能性がある場合は、個人情報保護法上の報告・通知要否を早期に検討する。
  6. 営業秘密侵害の可能性がある場合は、差止め、仮処分、警告、刑事相談、取引先対応を検討する。
  7. 従業員調査は、就業規則、社内規程、プライバシー、弁明機会に配慮して行う。

10.2 証拠保全

副業関連の情報漏えいは、証拠が個人端末、個人クラウド、副業先システム、SNS、チャット、生成AI履歴などに分散しがちである。会社が無制限に私物を調査できるわけではないため、法的根拠と本人協力を確認しながら進める。

保全対象は次のとおりである。

以下の比較表は、10.2 証拠保全に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

対象確認内容
会社端末ファイルコピー、USB接続、外部送信、印刷、スクリーンショット
会社メール個人メール送信、副業先送信、添付ファイル
クラウドダウンロード履歴、共有リンク、外部共有、同期先
Gitclone、fork、push、secret commit、外部リポジトリ類似性
チャット資料共有、外部招待、スクリーンショット
入退室深夜作業、資料持出し、印刷物回収
副業届出業務内容、申告内容、虚偽の有無
契約書副業契約で求められた成果物、秘密保持、納品物

デジタルフォレンジックでは、証拠能力を意識して、取得日時、取得者、取得方法、ハッシュ値、保管場所、アクセス履歴を記録する。過剰な私的情報取得を避けるため、調査範囲は疑義と関連性がある範囲に限定する。

10.3 個人情報漏えい時の対応

個人データが関係する場合、個人情報保護委員会への報告や本人通知が問題になる。個人情報保護委員会の通則編は、漏えい等事案対応として、事実関係の調査・原因究明、本人通知、委員会等への報告、再発防止策の検討・決定、公表等を行う体制整備を示している。

実務対応は次の順序で進める。

  1. 対象データの種類を特定する。
  2. 個人データか、個人情報か、仮名加工情報か、匿名加工情報かを確認する。
  3. 件数、項目、本人への影響、要配慮個人情報の有無、不正利用可能性を確認する。
  4. 報告義務の有無、期限、速報・確報の要否を判断する。
  5. 本人通知の方法、内容、時期を決める。
  6. 委託元・委託先、共同利用先、クラウド事業者、保険会社、弁護士と連携する。
  7. 再発防止策と公表方針を決める。

10.4 営業秘密侵害時の対応

営業秘密侵害が疑われる場合、時間との勝負になる。副業先で使用され、さらに第三者へ展開される前に止める必要がある。

対応手段は次のとおりである。

  1. 営業秘密該当性の確認。秘密管理性、有用性、非公知性。
  2. 侵害行為の確認。不正取得、使用、開示、持出し、複製。
  3. 証拠保全。ログ、ファイル、メール、端末、関係者証言。
  4. 被害拡大防止。アカウント停止、共有解除、取引先連絡。
  5. 警告書。本人、副業先、受領者へ使用停止・削除・返還を求める。
  6. 民事措置。差止請求、仮処分、損害賠償、信用回復措置。
  7. 刑事対応。悪質性が高い場合は捜査機関への相談。
  8. 労務対応。懲戒、配置転換、退職合意、損害賠償請求の検討。
  9. レピュテーション対応。顧客、取引先、株主、監督官庁への説明。
  10. 再発防止。制度、教育、アクセス権限、ログ監視の見直し。

10.5 懲戒処分の注意

情報漏えいが疑われる場合でも、懲戒は慎重に行う。懲戒処分には、就業規則上の根拠、客観的事実、処分相当性、手続の適正が必要である。

次の点を確認する。

  1. 就業規則に副業違反、秘密保持違反、情報セキュリティ違反、会社資産私用、虚偽申告が規定されているか。
  2. 実際にどの情報が持ち出されたか。
  3. その情報の秘密性、重要性、被害の有無。
  4. 故意か過失か。
  5. 副業先で使用されたか、単なる保存か。
  6. 本人に弁明機会を与えたか。
  7. 過去の処分例と均衡しているか。
  8. 退職勧奨、懲戒解雇、損害賠償請求が過大でないか。

副業をしたこと自体ではなく、具体的な義務違反とリスク結果に基づいて評価することが重要である。

Section 11

中小企業が副業での情報漏えい・兼業秘密のリスクへ備える方法

限られた体制でも始められる最小限の規程と運用を確認します。

11.1 すべてを一度に整備しない

中小企業では、大企業並みのDLP、CASB、SOC、専任法務部を直ちに整えることは難しい。しかし、副業リスク対策は、基本的な管理から始めれば効果がある。

優先順位は次のとおりである。

  1. 守るべき情報を10個に絞って特定する。
  2. 顧客リスト、価格表、設計資料、ソースコード、契約書、個人情報の保管場所を決める。
  3. 副業届出ルールを1枚で作る。
  4. 秘密保持誓約書を更新する。
  5. 会社PCで副業禁止、個人クラウド保存禁止、会社情報のAI入力禁止を明確にする。
  6. 退職・異動時に権限削除と資料返還を確認する。
  7. 顧客リストとソースコードのダウンロード履歴を確認できるようにする。
  8. 年1回、30分の副業・秘密情報研修を行う。

11.2 最小限の規程セット

中小企業でも、次の文書は整備したい。

以下の比較表は、11.2 最小限の規程セットに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

文書目的
副業・兼業規程届出、制限事由、労働時間、秘密保持、競業管理
秘密情報管理規程情報分類、アクセス、持出し、返還・削除
情報セキュリティ規程端末、クラウド、メール、USB、AI、ログ
秘密保持誓約書入社時、異動時、副業届出時、退職時の確認
インシデント対応手順漏えい発覚時の連絡先、初動、報告、本人通知
フリーランス契約ひな形副業者を受け入れる側の秘密保持・権利保証
Section 12

副業での情報漏えい・兼業秘密のリスクの実務チェックリスト

会社向けと従業員向けに、実装漏れを点検します。

12.1 会社向けチェックリスト

以下の比較表は、12.1 会社向けチェックリストに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

チェック項目はい・いいえ
副業・兼業を原則許容しつつ、制限事由を明確にしているか
副業届出フォームに、競業、秘密情報、個人情報、使用ツールの確認項目があるか
秘密情報の定義が、営業秘密だけでなく契約上の秘密、個人情報、第三者情報を含んでいるか
秘密情報にラベル、アクセス権限、保管場所、持出しルールが設定されているか
会社端末・会社アカウントを副業利用しないルールがあるか
個人クラウド、個人メール、未承認AIへの会社情報入力を禁止または制限しているか
競合、顧客、取引先に関する副業の審査基準があるか
副業先の秘密情報を会社へ持ち込まないルールがあるか
ログ監視の対象、目的、手続を規程化し周知しているか
個人情報漏えい時の報告・本人通知手順があるか
営業秘密侵害時の証拠保全、警告、差止め、刑事相談の手順があるか
退職・異動・副業終了時の資料返還、削除、権限解除を確認しているか
副業・秘密情報研修を定期的に実施しているか
内部監査で副業制度と情報管理の実効性を検証しているか

12.2 従業員向けチェックリスト

以下の比較表は、12.2 従業員向けチェックリストに関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

チェック項目はい・いいえ
副業開始前に会社の届出・承認ルールを確認したか
副業先が本業の競合、顧客、取引先でないか確認したか
副業は会社の勤務時間外に行うか
会社PC、会社メール、会社クラウドを副業で使わないか
会社の資料、顧客情報、価格情報、ソースコードを副業で使わないか
会社情報を生成AI、翻訳ツール、要約ツールに入力しないか
副業先の秘密情報を会社へ持ち込まないか
副業成果物が本業成果物と混ざらないよう作業環境を分けているか
個人情報を扱う場合、取得元、利用目的、保管、削除を確認したか
迷ったときに相談できる窓口を知っているか
Section 13

副業での情報漏えい・兼業秘密のリスクを具体例で確認する

競合開発、営業コンサル、人事相談、研究顧問の典型場面を見ます。

13.1 競合SaaS企業での開発副業

本業でBtoB SaaSの認証基盤を担当するエンジニアが、競合に近いスタートアップで副業開発を行う場合、非常に高リスクである。コードそのものをコピーしなくても、認証設計、権限設計、脆弱性対応、顧客要望、ロードマップ、障害履歴が副業成果物に影響する可能性がある。

会社は、競合性、職務類似性、アクセス権限、使用ツール、作業環境分離を審査し、必要に応じて不承認または業務範囲の限定を検討する。従業員側も、自分の一般的スキルと会社固有情報を切り分けて説明できなければならない。

13.2 営業担当者の副業コンサル

営業担当者が、業界向け営業コンサルを副業で行う場合、顧客リスト、商談ノウハウ、価格情報、競合比較、失注理由を使いやすい。匿名化したつもりでも、特定顧客が推測される可能性がある。

対策として、顧客名・担当者名・商談履歴・価格・契約条件の利用禁止、公開情報に基づく一般的助言に限定、資料の事前レビュー、SNS発信ルールを設ける。

13.3 人事担当者の副業キャリア相談

人事担当者がキャリア相談を副業で行う場合、採用候補者情報、評価基準、給与レンジ、面接評価、退職予定者情報が問題になり得る。候補者を副業サービスへ誘導すれば、個人情報の目的外利用や利益相反が疑われる。

対策として、採用候補者・従業員への副業営業禁止、会社の評価・給与情報利用禁止、相談者情報と会社情報の分離を明記する。

13.4 研究者の外部技術顧問

研究者がスタートアップの技術顧問を副業で行う場合、未出願発明、実験データ、研究ノート、共同研究先情報が混入しやすい。外部技術顧問契約では、業務範囲、除外技術、秘密情報、発明帰属、論文・講演の事前確認を明記すべきである。

Section 14

経営者が見るべき副業での情報漏えい・兼業秘密のリスク

取締役会・経営層が継続的に確認すべき問いを整理します。

副業での情報漏えい・兼業秘密のリスクは、単なる人事制度ではない。経営上の情報資産保護、人的資本経営、イノベーション、コンプライアンス、サイバーセキュリティ、レピュテーションの問題である。

経営者は次の問いを定期的に確認すべきである。

  1. 当社にとって最も重要な秘密情報は何か。
  2. その情報に誰がアクセスできるか。
  3. 副業・兼業者、退職予定者、委託先、派遣社員、役員兼職者のアクセス権限は適切か。
  4. 副業制度は、申告しやすい制度になっているか。
  5. 情報漏えい対策が、過度に従業員のキャリア形成を阻害していないか。
  6. 顧客情報と個人情報を守る体制は十分か。
  7. 生成AI、個人クラウド、SNS、外部SaaSの利用実態を把握しているか。
  8. インシデント発生時に、24時間以内に対応チームを立ち上げられるか。
  9. 取締役会や監査役会に、内部不正・副業リスクの報告が上がっているか。
  10. 制度を形だけでなく監査・教育・技術対策で実効化しているか。
Section 15

副業での情報漏えい・兼業秘密のリスクで起きやすい誤解

全面禁止、記憶情報、AI入力などで誤解されやすい点を修正します。

15.1 「副業を禁止すれば情報漏えいは防げる」

全面禁止は、かえって未申告副業を増やすことがある。会社が実態を把握できなければ、競業性や秘密情報リスクを調整できない。合理的な届出制度と相談しやすい文化の方が、リスク管理として有効である。

15.2 「営業秘密と表示していないが重要情報だから保護される」

重要情報であることと、営業秘密として法的保護を受けることは同じではない。営業秘密には秘密管理性、有用性、非公知性が必要である。秘密として管理する意思を従業員等が認識できる形にする必要がある。

15.3 「個人で覚えている情報なら自由に使える」

一般的スキルや経験は活用できるが、具体的な顧客情報、価格、未公開技術、研究データ、戦略、契約条件などは秘密情報であり得る。記憶に基づく使用でも問題になり得る。

15.4 「副業者を受け入れる側は関係ない」

副業者を発注者として受け入れる企業は、第三者秘密を持ち込ませない責任がある。成果物に第三者の営業秘密、著作物、個人情報が混入すれば、受け入れ側企業も紛争に巻き込まれる。

15.5 「AIに入れるだけなら開示ではない」

未承認の外部AIサービスに会社の秘密情報や個人データを入力すれば、外部提供、目的外利用、秘密保持義務違反、契約違反、セキュリティ規程違反として問題になり得る。AI利用は情報提供の一形態として管理すべきである。

Section 16

副業での情報漏えい・兼業秘密のリスクに備える規程例

副業・秘密情報・逆流入・AI利用に関する条項例を示します。

以下は、実務上のたたき台であり、各社の業種、規模、労使関係、情報資産、既存規程に合わせて修正する必要がある。

16.1 副業・兼業条項例

条項例従業員は、勤務時間外において、他の会社等の業務に従事し、または自ら事業を営むことができる。ただし、従業員は、会社所定の方法により、事前に副業・兼業の内容を届け出なければならない。 会社は、当該副業・兼業が次の各号のいずれかに該当し、または該当するおそれがある場合には、当該副業・兼業を禁止し、制限し、または必要な条件を付すことができる。 1. 労務提供上の支障がある場合 2. 会社または第三者の秘密情報、個人情報、営業秘密が漏えいし、または不正に使用されるおそれがある場合 3. 競業または利益相反により、会社の正当な利益を害するおそれがある場合 4. 会社の名誉または信用を損なうおそれがある場合 5. 法令、契約、社内規程に違反するおそれがある場合

16.2 秘密情報利用禁止条項例

条項例従業員は、副業・兼業その他会社業務外の活動において、会社の秘密情報、営業秘密、個人情報、顧客情報、取引先情報、技術情報、経営情報、セキュリティ情報、または会社が第三者から秘密として受領した情報を、取得、複製、保存、持出し、使用、開示、送信、入力、投稿してはならない。 従業員は、会社の承認なく、会社情報を個人端末、個人メール、個人クラウド、外部ストレージ、未承認の生成AIサービス、SNS、外部チャット、外部リポジトリに保存または入力してはならない。

16.3 逆流入防止条項例

条項例従業員は、副業・兼業先、前職、顧客、取引先その他第三者の秘密情報、営業秘密、個人情報、著作物、ソースコード、データその他第三者の権利または秘密に属する情報を、会社の業務に持ち込み、使用し、または会社のシステムに保存してはならない。

16.4 AI利用条項例

条項例従業員は、会社が承認した場合を除き、会社の秘密情報、個人情報、顧客情報、ソースコード、契約書、未公開資料、認証情報、ログ、脆弱性情報その他非公開情報を生成AI、翻訳AI、要約AI、コード生成AIその他外部AIサービスに入力してはならない。副業・兼業に関する成果物作成のために会社情報をAIサービスへ入力することも禁止する。
Section 17

副業での情報漏えい・兼業秘密のリスクに関わる専門家の役割

法務、労務、知財、個人情報、情報システム、監査の分担を確認します。

副業・兼業に伴う秘密情報リスクは、単独部門では管理できない。専門家の役割分担は次のように整理できる。

以下の比較表は、17. 専門家の役割分担に関する分類、確認事項、実務対応の違いを整理したものです。契約や社内運用の抜け漏れを防ぐために重要ですので、各列の関係を横に確認し、どの項目を自社の条項・規程・運用に反映すべきかを読み取ってください。

専門家・部門主な役割
弁護士・企業内弁護士規程、契約、営業秘密、個人情報、競業、懲戒、訴訟、当局対応
社会保険労務士・労務担当就業規則、労働時間、健康管理、懲戒手続、労使説明
弁理士・知財法務発明、ノウハウ、特許出願前情報、ライセンス、共同研究
個人情報保護担当個人データ管理、漏えい報告、本人通知、委託先管理
情報システム・セキュリティ担当ID管理、端末管理、DLP、ログ、クラウド、AI利用統制
内部監査担当規程運用、アクセス権限、教育、インシデント対応の監査
公認会計士・内部統制担当J-SOX、内部統制、証跡、財務・不正調査との接続
デジタルフォレンジック専門家証拠保全、端末解析、ログ解析、漏えい経路特定
経営者・取締役会方針、リスク許容度、資源配分、重大事案の意思決定
Section 18

副業での情報漏えい・兼業秘密のリスク管理の結論

従業員の自由と企業の正当な利益を両立させる統合管理へまとめます。

次の強調表示は、ページ全体の結論を一文で確認するためのものです。制度設計の軸を見失わないために重要ですので、全面禁止ではなく、分類・届出・分離・監査を組み合わせる点を読み取ってください。

最適解は全面禁止でも放任でもありません

副業・兼業を原則許容しながら、秘密情報分類、届出審査、作業環境分離、AI利用管理、ログ監査、事故対応を一体で動かすことが実務上の中心です。

副業・兼業は、現代の働き方において重要な選択肢である。企業が優秀な人材を惹きつけ、社外知見を取り込み、従業員の成長を促すためにも、副業・兼業を過度に恐れるべきではない。

しかし、秘密情報、営業秘密、個人情報、顧客情報、研究データ、ソースコード、経営情報は、企業の競争力そのものであり、顧客や取引先から預かった信頼でもある。副業での情報漏えい・兼業秘密のリスクを軽視すれば、損害賠償や行政対応だけでなく、顧客離れ、採用力低下、企業価値毀損、刑事事件化に至ることもある。

実務上の最適解は、全面禁止でも放任でもない。次の7点を同時に実行することである。

  1. 副業・兼業を原則許容し、制限事由を合理的に定める。
  2. 会社の秘密情報を分類し、営業秘密として保護される管理体制を整える。
  3. 副業届出制度で、競業、利益相反、秘密情報、個人情報、使用ツールを確認する。
  4. 端末、アカウント、クラウド、AI、リポジトリを本業と副業で分離する。
  5. 従業員に、会社情報の外部利用禁止と第三者秘密の持込み禁止を具体例で教育する。
  6. ログ、アクセス権限、DLP、退職・異動手続、内部監査で実効性を確保する。
  7. 漏えい疑い時には、証拠保全、個人情報対応、営業秘密対応、労務対応を統合して初動する。

副業での情報漏えい・兼業秘密のリスクは、単なる禁止規程では解決できない。企業法務、人事労務、知財、個人情報保護、情報セキュリティ、内部監査、経営が連携し、従業員の自由と企業の正当な利益を両立させる統合的なガバナンスを構築することが、これからの企業に求められる。

Reference

この記事の参考資料

公的資料・一次情報

  • 厚生労働省「副業・兼業の促進に関するガイドライン わかりやすい解説(2025.3)」
  • 厚生労働省「副業・兼業」
  • 厚生労働省「副業や兼業をしている労働者の労働時間については、副業や兼業として働いている勤務先の労働時間についても、通算しなければならないと聞きました。副業・兼業先の労働時間についてはどのように把握すればよいでしょうか。」
  • e-Gov法令検索「労働契約法」
  • e-Gov法令検索「不正競争防止法」
  • 経済産業省「営業秘密 営業秘密を守り活用する」
  • 経済産業省「営業秘密管理指針(2025年3月改訂)」
  • 経済産業省「限定提供データと利活用」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • e-Gov法令検索「個人情報の保護に関する法律」
  • IPA「組織における内部不正防止ガイドライン」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 公正取引委員会「フリーランスの取引適正化に向けた公正取引委員会の取組」