秘密保持だけで終わらせず、定義、目的外利用、開示先、安全管理、AI・クラウド、事故対応、返還・削除、救済まで一体で設計する企業法務実務を整理します。
秘密保持だけでなく、利用目的・開示先・安全管理・事故対応・終了時処理までを一体で設計します。
秘密保持だけでなく、利用目的・開示先・安全管理・事故対応・終了時処理までを一体で設計します。
このページは、企業法務、コンプライアンス、個人情報保護、情報セキュリティ、会計・税務、M&A、不正調査、紛争対応の観点から、財務情報・顧客リストなど機微情報を守る条項を整理するものです。一般的な情報提供を目的としており、個別案件の結論は、情報の性質、当事者関係、適用法、証拠状況、業種規制によって変わります。
財務情報や顧客リストは、経営判断、価格交渉、信用評価、M&A、資金調達、営業戦略、人材管理、不正調査に直結します。漏えい時の影響は金銭損害に限られず、信用低下、顧客離反、競争優位の喪失、取引停止、市場公正性への影響、個人情報保護法上の対応、行政上・刑事上のリスクに及び得ます。
機微情報を守る条項が担う機能を一覧化すると、単なる秘密保持文言では不足する理由が見えます。左列は条項が果たす役割、中央列は主な対象、右列は契約レビュー時に読み取るべき確認点です。
| 機能 | 主な対象 | 確認点 |
|---|---|---|
| 何を守るか | 財務情報、顧客リスト、取引条件、個人データ、AI入力データ | 包括定義と具体例を組み合わせているか |
| 何に使えるか | 契約目的、検討目的、委託目的 | 競合利用、勧誘、AI学習、社内横展開を制限しているか |
| 誰が触れるか | 役職員、専門家、再委託先、グループ会社、クラウド事業者 | 必要最小限、同等以上の義務、開示先管理があるか |
| どう管理するか | アクセス権限、暗号化、ログ、複製制限、教育 | 契約文言と実際の管理体制が一致しているか |
| 事故時にどう動くか | 漏えい、誤送信、退職者持出し、AI誤投入 | 通知、調査、証拠保全、当局対応、再発防止を定めているか |
| 終了時にどう処理するか | 返還、削除、バックアップ、消去証明 | 法令保存例外と削除証跡を整理しているか |
| 違反時にどう救済するか | 差止め、損害賠償、調査費用、解除、補償 | 損害立証の難しさを補う協力義務があるか |
| 法制度とどう接続するか | 営業秘密、限定提供データ、個人情報、インサイダー規制、労務 | 契約上の義務と法令上の義務を重ねて設計しているか |
結論を一つにまとめると、財務情報・顧客リストなど機微情報を守る条項は、契約、社内規程、権限管理、ログ、教育、誓約書、委託先管理、インシデント手順が同じ方向を向いて初めて実効性を持ちます。
この重要ポイントは、条項と運用が離れていると紛争時の説明力が弱くなることを表しています。読者は、契約書の文言だけでなく、秘密表示、閲覧権限、退職時管理、外部送信ルールまで一体で確認する必要があると読み取ってください。
「厳重に管理する」と書くだけでは足りません。顧客リストを誰でも見られる共有フォルダに置き、退職者の権限も残っていれば、保護対象だったことを説明しにくくなります。
財務情報、顧客リスト、機微情報を分けて把握し、保護対象を広く、しかし曖昧にしすぎない形で定義します。
最初に行うべきことは、何を「秘密情報」または「機微情報」として扱うのかを明確にすることです。以下の一覧は、財務情報、顧客リスト、機微情報の違いを示しています。3つは重なり合うことが多いため、どの情報がどの法制度や社内管理に接続するかを読み取ることが重要です。
月次試算表、決算見込み、予算、事業計画、資金繰り、原価、粗利率、値引率、主要取引先別売上、借入条件、未公表の業績予想、税務調査資料、内部監査報告などを含みます。
氏名・会社名だけでなく、部署、役職、連絡先、購買履歴、契約履歴、商談メモ、価格条件、更新時期、苦情履歴、与信、担当者ノウハウを含むことがあります。
漏えい、不正利用、目的外利用により重大な損害、信用低下、法令違反、行政対応、紛争、競争上の不利益につながる情報全般を指す実務上の概念です。
財務情報は、競争上の価値だけでなく、上場会社ではインサイダー取引規制や適時開示実務に関係する場合があります。未公表決算、業績予想修正、M&A、増資、重要契約などを知った役職員や外部専門家が、公表前に不適切な取引や情報伝達をしないよう、条項と運用の双方で制御する必要があります。
顧客リストは、法人情報だけで構成されるとは限りません。担当者名、メールアドレス、電話番号、商談メモなどにより特定の個人を識別できる場合は、個人情報または個人データとしての管理が問題になります。また、公開情報から得られる項目が含まれていても、独自に選別・整理された営業上有用なリストであれば、契約上の秘密情報や営業秘密として問題になることがあります。
情報の例を契約上の表現に落とす際は、列ごとの違いを見ると整理しやすくなります。左列は情報の種類、中央列は典型例、右列は条項で明示したい管理内容です。
| 情報の種類 | 典型例 | 条項で明示したい管理内容 |
|---|---|---|
| 未公表財務情報 | 決算見込み、減損、引当金、業績予想、資金調達 | 閲覧者限定、公表までの取引制限、外部共有禁止 |
| 価格・原価情報 | 仕入価格、販売価格、粗利率、値引条件 | 競合利用、価格交渉利用、業界内共有の制限 |
| 顧客リスト | 顧客別売上、商談履歴、更新時期、キーパーソン | 勧誘禁止、複製制限、CRM移行、退職後利用の制限 |
| 個人データ | 担当者情報、会員情報、購買履歴、問い合わせ履歴 | 利用目的、委託先監督、再委託、漏えい報告 |
| セキュリティ情報 | 認証情報、APIキー、暗号鍵、脆弱性情報、ログ | 分離保管、暗号化、アクセス制限、無効化までの保護 |
機微情報保護条項は、当事者間の合意であると同時に、複数の法制度と接続します。次の比較表は、どの制度が何を保護し、契約でどこを補うべきかを示しています。読者は、単一の法律名ではなく、情報の性質ごとに複数の制度が重なる点を読み取ってください。
| 法制度 | 主な役割 | 条項設計での焦点 |
|---|---|---|
| 契約法・民法 | 当事者間の守秘義務、目的外利用禁止、返還・削除、損害賠償、解除を具体化する | 損害額の立証が難しいため、報告、ログ保全、調査協力、費用負担を定める |
| 不正競争防止法 | 営業秘密や限定提供データの保護に接続する | 秘密管理性、有用性、非公知性を支える秘密表示、権限管理、教育、ログを整える |
| 個人情報保護法 | 顧客リストが個人情報または個人データを含む場合の取扱義務を定める | 利用目的、委託先監督、再委託、漏えい報告、本人対応、越境移転を確認する |
| 限定提供データ | データ提供、AI分析、共同研究、プラットフォーム利用に関わるデータを保護する | 利用権限、加工、第三者提供、派生データ、成果物、削除、監査を契約で定める |
| 金融商品取引法 | 未公表財務情報や重要事実の情報伝達・取引推奨リスクに関わる | 情報共有者リスト、情報障壁、資料番号管理、SNS投稿禁止、証券取引制限を入れる |
| 労務法務 | 従業員・退職者の秘密保持、持出し、競業避止、顧客勧誘禁止に関わる | 職業選択の自由との均衡、対象情報、期間、対象顧客、代償措置、地位を確認する |
営業秘密としての保護を考える場合、3つの要件の関係を押さえる必要があります。以下の一覧は、各要件が実務上どの管理措置と結び付くかを示します。どの要件も契約書だけでは完結せず、社内運用の証拠と合わせて読むことが重要です。
秘密表示、アクセス権限、パスワード、施錠、保管場所、社内規程、誓約書、教育、委託先管理、ログにより、秘密として管理されていたことを示します。
財務分析、価格戦略、顧客別採算、営業見込み、技術ノウハウなど、事業活動に役立つ営業上または技術上の価値を説明できる必要があります。
公然と知られていないことが重要です。個々の情報が公開されていても、選別、配列、分析、組合せに独自の価値があれば保護対象となり得ます。
従業員や退職者に対する拘束では、秘密保持義務は合理的な範囲で必要性が高い一方、競業避止義務や顧客勧誘禁止義務を広く定めると有効性や合理性が争われる可能性があります。対象情報、期間、地域、業務、顧客、代償措置、従業員の地位、アクセスの程度を具体化することが重要です。
一つの秘密保持文言ではなく、定義、利用制限、開示先、安全管理、事故対応、救済を組み合わせます。
機微情報保護は、一つの条文ではなく、複数の条項の組み合わせとして設計します。以下の表は、条項名、主な機能、実務上のポイントを並べたものです。左から右へ読むと、保護対象の特定から違反時救済まで、契約で落とし込む順番が分かります。
| 条項 | 主な機能 | 実務上のポイント |
|---|---|---|
| 定義条項 | 何が秘密情報・機微情報かを定める | 財務情報、顧客リスト、個人データ、派生情報、口頭開示を含める |
| 例外条項 | 守秘対象から除外する情報を定める | 既公知、受領前保有、第三者から適法取得、独自開発を客観資料で証明させる |
| 目的外利用禁止 | 契約目的以外の利用を禁止する | 競合営業、勧誘、AI学習、内部転用を明示的に制限する |
| 第三者開示禁止 | 外部共有を制限する | 役職員、専門家、再委託先、グループ会社の扱いを定義する |
| アクセス制御 | 誰が見られるかを限定する | need-to-know、権限管理、退職時削除、ログを定める |
| 安全管理措置 | 技術的・組織的管理を定める | 暗号化、MFA、施錠、USB制御、教育、規程を具体化する |
| 個人情報条項 | 個人データを含む場合の義務を定める | 委託先監督、再委託、漏えい報告、本人対応を入れる |
| AI・クラウド条項 | 外部サービス利用を制限する | 生成AI入力、学習利用、ログ保存、国外移転、サブプロセッサを確認する |
| インシデント条項 | 漏えい時対応を定める | 通知期限、調査、証拠保全、再発防止、費用負担を定める |
| 返還・削除条項 | 契約終了後の処理を定める | バックアップ、削除証明、法令保存、監査証跡を整理する |
| 存続条項 | 終了後も義務を残す | 期間、有効期限、営業秘密・個人データの長期保護を分類する |
| 違反時救済条項 | 実効性を確保する | 差止め、損害賠償、調査費用、解除、補償を定める |
| 監査条項 | 相手方管理を確認する | 報告、監査、第三者認証、脆弱性対応を確認する |
「当社に関する一切の情報」とだけ書くと、相手方にとって何を守ればよいか不明確になります。包括定義に加え、財務情報、顧客リスト、価格、原価、取引条件、未公表決算、個人データ、システム情報、AI入力情報、派生資料を具体例として示す設計が現実的です。
受領したExcelファイルそのものだけでなく、それを分析した資料、メモ、議事録、スコアリング結果、AI出力、統計表、加工データも問題になります。秘密情報から実質的に導かれる成果物を保護対象に含める必要があります。
「漏らしていないが勝手に使われた」という場面を防ぐには、第三者開示禁止とは別に目的外利用禁止を置きます。顧客勧誘、競合商品開発、広告配信、ベンチマーク、AI学習、別顧客向け提案などの可否を明確にします。
役員、従業員、弁護士、公認会計士、税理士、金融機関、再委託先、グループ会社、クラウド事業者へ共有する必要がある場合でも、必要最小限、同等以上の義務、開示先リスト、受領者責任を組み合わせます。
通常の秘密情報は契約終了後3年または5年、営業秘密は営業秘密性を失うまで、個人データは法令・契約上必要な期間、未公表重要情報は公表または適法公開まで、セキュリティ情報は変更・無効化まで、といった分類が考えられます。
専門家レビューの出発点として、定義から救済まで10種類の条項骨子を確認します。
モデル条項はそのまま貼り付けるための固定文ではなく、取引類型、業種、情報の種類、個人データの有無、国外移転、再委託、クラウド利用、労務関係、上場会社該当性、交渉力、適用法に応じて調整する出発点です。以下の一覧は、各条項に入れるべき中核要素を示します。順番に読むことで、定義から違反時救済まで抜け漏れを確認できます。
書面、電磁的記録、口頭、映像、閲覧、データルーム、クラウド、会議、電子メール、チャットなど方法を問わず、技術上、営業上、財務上、組織上、顧客上、法務上、税務上、会計上、個人情報上の情報を含めます。
定義派生情報受領前から適法に保有していた情報、受領前から公知の情報、責めに帰すべき事由なく公知となった情報、正当な権限を有する第三者から取得した情報、独自開発情報を客観資料で証明させます。
公知情報契約目的または書面承諾された目的の範囲内に利用を限定し、競合商品の開発、顧客勧誘、価格交渉、与信判断、広告配信、AI学習、サービス改善、第三者向け提案を制限します。
利用制限AI学習知る必要のある役員、従業員、専門家、再委託先に必要最小限の範囲で開示し、同等以上の秘密保持義務、目的外利用禁止義務、安全管理義務、返還・削除義務を課します。
開示先秘密表示、アクセス権限管理、多要素認証、暗号化、ログ取得、印刷・複製・ダウンロード制限、外部記憶媒体の制限、私用メール・私用クラウド送信禁止を含めます。
管理措置個人情報保護法令、ガイドライン、開示者の合理的指示に従い、目的外利用、無断第三者提供、再委託、国外移転、共同利用、匿名加工、仮名加工、統計化、広告配信を制限します。
個人データ生成AI、機械学習モデル、データ分析サービス、クラウドストレージ、チャット、翻訳、OCR、CRM、SFA、BIへの入力、保存、送信、学習、解析、連携を事前承諾制にします。
外部サービス国外移転漏えい、滅失、毀損、改ざん、目的外利用、不正アクセス、不正持出し、誤送信、外部サービスへの不適切入力を認識した場合の通知、調査、証拠保全、当局対応を定めます。
事故対応契約終了、利用目的終了、開示者請求時に、秘密情報、複製物、派生資料、記録、媒体を返還または削除し、必要に応じて証明書を提出させます。法令保存例外も整理します。
終了時処理違反行為の停止、利用停止、第三者提供先からの回収、削除、アクセス停止、再発防止策、報告書、監査協力、契約解除、損害賠償を定めます。
救済モデル条項の中でも、定義条項は後続の利用制限、開示先制限、安全管理、事故対応の土台になります。財務情報や顧客リストだけでなく、複製、加工、分析、統合、抽出、要約、推論、学習によって作成された資料や成果物も含めると、受領者が「元データではない」と主張する余地を狭められます。
NDA、業務委託、雇用、販売代理店、M&A、SaaS、国際取引では、同じ情報でも重視点が変わります。
機微情報保護条項は、契約類型ごとに重点が変わります。以下の比較表は、主な契約類型、扱われやすい情報、特に強めるべき条項を示しています。読者は、自社の取引に近い行を起点に、必要条項の濃淡を確認してください。
| 契約類型 | 扱われやすい情報 | 設計上の重点 |
|---|---|---|
| NDA・秘密保持契約 | M&A、業務提携、共同研究、投資検討、商談資料 | 検討目的限定、競合分析・顧客勧誘禁止、専門家開示、返還・削除、存続期間 |
| 業務委託契約 | 顧客データ、販売データ、経理情報、従業員情報、システムログ | 個人情報取扱い、再委託、セキュリティ、監査、事故対応 |
| 雇用契約・就業規則・退職時誓約書 | 価格表、提案資料、CRM情報、ソースコード、会計資料 | 入社・配属・退職時の誓約、端末回収、権限停止、持出し確認、教育記録 |
| 販売代理店・フランチャイズ | 顧客情報、商圏情報、価格表、マニュアル、販売戦略 | 顧客情報の帰属、終了後の接触、データ返還、ブランド利用停止、競業制限の合理性 |
| M&A・デューデリジェンス | 財務、顧客、契約、人事、税務、不祥事、訴訟情報 | クリーンチーム、段階的開示、匿名化、情報遮断、個人データ最小化、インサイダー管理 |
| SaaS・クラウド・AI利用契約 | 入力データ、顧客データ、利用ログ、生成AIへの入力・出力 | 学習利用、サブプロセッサ、保存地域、暗号化、監査ログ、終了時削除、バックアップ消去 |
| 国際取引・英文契約 | Customer Data、Personal Data、Usage Data、Aggregated Data、Trade Secrets | DPA、SCC、準拠法、裁判管轄、Residual Knowledge条項、Injunctive Relief |
M&Aでは、買主候補が競合企業である場合に情報流用リスクが特に高まります。競争上敏感な情報は段階的に開示し、顧客名の匿名化、従業員情報の最小化、破談時の削除、情報共有者リストの管理を契約と運用で合わせることが重要です。
SaaSや生成AIでは、入力データの所有・利用権限、学習利用の有無、サブプロセッサ、保存地域、国外移転、ログ保存、削除方法を確認します。従業員が未公表決算、顧客リスト、契約書、不祥事資料を無断で外部サービスへ入力しないよう、社内ルールと教育も必要です。
英文契約でResidual Knowledge条項が置かれる場合、担当者の記憶に残った一般的知識の利用を許す趣旨であっても、広すぎると顧客固有情報、価格・原価情報、未公表財務情報の流用につながります。営業秘密、個人データ、顧客固有情報、未公表財務情報を例外として明記する設計が望まれます。
未公表決算、価格情報、顧客リスト、会計資料、セキュリティ情報では、漏えい時の損害と管理方法が異なります。
同じ「機微情報」でも、未公表決算と顧客リストでは保護期間、開示先、事故時対応、損害の説明方法が変わります。以下の比較表は、情報類型ごとの主なリスクと条項上の着眼点を示しています。読者は、対象情報ごとに管理方法を分ける必要性を読み取ってください。
| 情報類型 | 主なリスク | 条項上の着眼点 |
|---|---|---|
| 未公表決算・業績予想 | インサイダー取引、情報伝達、取引推奨、市場公正性への影響 | 証券取引禁止、情報共有者リスト、資料番号管理、印刷制限、公表までの外部共有禁止 |
| 原価・価格・粗利・値引条件 | 価格交渉力低下、競争戦略の流出、競争法上の情報交換リスク | 目的外利用禁止、第三者提供禁止、会議運営、議事録、クリーンチーム |
| 顧客リスト・商談履歴 | 顧客勧誘、競合商品提案、CRM移行、退職後利用、個人データ漏えい | 直接接触制限、複製制限、退職時確認、個人情報条項、再委託、返還・削除 |
| 会計・税務・監査資料 | 財務状況、不正、税務リスク、内部統制上の弱点の露出 | 守秘義務、目的限定、法令保存、調査協力、訴訟・当局対応の証拠保全 |
| セキュリティ情報・認証情報 | 不正アクセス、二次漏えい、システム侵害 | 暗号化、分離保管、アクセス制限、持出禁止、再委託制限、無効化までの存続期間 |
情報類型ごとの管理を検討するときは、漏えい時の影響が大きいものほど、利用範囲、開示先、保存場所、削除方法、ログ、監査可能性を具体化します。下の一覧は、特に個別設計が必要な要素をまとめたものです。各項目は、どの情報を強く守るべきかを判断する目安になります。
未公表決算、業績予想、M&A、増資、重要契約は、公表または適法公開までの情報遮断と取引制限が重要です。
顧客データ、ソースコード、製造ノウハウ、価格算定ロジック、認証情報は、通常の3年・5年より長い保護が必要になる場合があります。
顧客リストや商談履歴は、営業秘密と個人情報の双方の観点から、利用目的、委託先監督、本人対応を重ねて確認します。
AI、クラウド、CRM、BIに入力されるデータは、学習利用、保存地域、サブプロセッサ、削除方法を事前に確認します。
条項を紙の約束で終わらせず、分類、表示、権限、教育、委託先管理に落とし込みます。
契約条項を機能させるには、社内で情報分類を整備する必要があります。以下の比較表は、分類名、対象例、管理の強さを並べています。分類は複雑にしすぎると運用されないため、まずは4段階程度で、どの情報をどの強さで扱うかを読み取ることが重要です。
| 分類 | 対象例 | 管理の目安 |
|---|---|---|
| 公開 | ウェブ掲載資料、公開IR、公開パンフレット | 通常利用可能。ただし個人情報や第三者権利には配慮する |
| 社内限り | 社内通知、一般的な会議資料、通常の業務連絡 | 外部送信には確認を求め、保存場所を標準化する |
| 社外秘 | 顧客リスト、価格表、契約書、事業計画、委託先資料 | 秘密表示、権限管理、持出制限、外部共有時のNDAを設定する |
| 極秘 | 未公表重大事実、不祥事調査、認証情報、買収案件、大口顧客別採算 | 閲覧者限定、ログ取得、資料番号管理、ダウンロード制限、証跡保存を徹底する |
紙資料には「社外秘」「confidential」「複製禁止」「閲覧者限定」などを表示し、電子ファイルではファイル名、ヘッダー、フッター、フォルダ名、アクセス権限、透かし、ダウンロード制限を活用します。ただし表示だけでは足りず、権限、ログ、教育と組み合わせる必要があります。
顧客リストや財務情報は、担当者の異動・退職後もアクセス権が残りがちです。付与時、異動時、退職時、プロジェクト終了時に権限を見直し、アカウント停止、端末回収、貸与物返却、ローカル保存確認、私用メール転送調査、クラウド同期解除を行います。
従業員や委託先には、どの情報が機微情報か、何が禁止されるか、生成AIや私用クラウドに入れてよいか、誤送信時にどう報告するかを具体例で伝える必要があります。入社時、重要プロジェクト参加時、個人データ取扱開始時、M&A関与時、退職時に誓約書を取得すると効果的です。
委託先管理は、契約前、契約中、契約終了時で見るべき項目が変わります。以下の時系列は、各段階で確認する内容を示しています。順番に追うことで、強い条項を入れるだけでなく、自社の提供データを最小化する必要性も読み取れます。
情報セキュリティ体制、個人情報保護体制、再委託、国外処理、認証、過去事故、保険、財務状況を確認します。
アクセス権限、教育、ログ、再委託先、事故報告、監査、改善計画を確認します。
データ返還、削除、アカウント停止、消去証明、バックアップ処理まで確認します。
初動では拡大防止と証拠保全を並行し、差止め・損害賠償まで見据えて記録を残します。
漏えいが疑われる場面では、事実確認と拡大防止を急ぎつつ、証拠を消さないことが重要です。以下の判断の流れは、初動から是正までの順番を示しています。各段階の順序には意味があり、特に権限停止やログ保全を早期に行う必要がある点を読み取ってください。
何が、いつ、誰に、どの経路で、どの範囲に漏れたかを確認します。
アカウント停止、リンク無効化、送信取消し、パスワード変更、アクセス遮断を行います。
ログ、メール、チャット、端末、クラウド履歴、入退室記録、ダウンロード履歴を保全します。
当局、本人、取引先、証券取引所、契約相手への対応を検討します。
情報の特定、管理状況、持出し経路、利用行為、緊急性を整理します。
退職者持出しや委託先漏えいでは、端末やログを不用意に操作すると証拠が失われます。デジタルフォレンジックが必要な場合は、専門家と連携し、ログ、メール、チャット、クラウド履歴、入退室記録、ダウンロード履歴を保全します。
顧客リストの利用が継続している、競合会社へ流出した、元従業員が顧客勧誘をしている、委託先が目的外利用している場合、差止めや仮処分が検討されることがあります。契約条項に加え、秘密表示、アクセス制限、相手方の認識、ログ、顧客接触の証拠が重要です。
情報漏えいでは、顧客離反、売上減少、価格交渉力低下、信用低下、調査費用、通知費用、システム改修費用、弁護士費用などを整理します。契約で調査協力、ログ提供、費用負担を定めていれば、損害の説明と交渉を進めやすくなります。
法務だけでなく、情報システム、個人情報保護、経理財務、人事、監査、経営者が同じ設計思想で動く必要があります。
機微情報保護は法務担当者だけでは完結しません。以下の比較表は、専門職や社内部門ごとの役割を示します。読者は、契約条項、社内規程、IT管理、教育、監査、事故対応を分断せず、同じ設計思想でつなぐ必要性を読み取ってください。
| 担当 | 主な役割 | 連携ポイント |
|---|---|---|
| 法務・企業内弁護士 | 条項設計、契約レビュー、交渉、規程整備、紛争対応 | 情報分類と条項の整合性を確認する |
| 外部弁護士 | 高リスク案件、M&A、訴訟、仮処分、不祥事、国際取引 | 証拠保全、差止め、法令開示の判断を支援する |
| 個人情報保護担当 | 個人データ該当性、安全管理、委託先監督、漏えい対応 | 秘密保持条項と個人情報条項を分けて確認する |
| 情報システム・セキュリティ | アクセス制御、ログ、暗号化、端末管理、クラウド審査 | 契約上の義務が技術的に実行できるかを確認する |
| 経理・財務・会計税務 | 財務情報の分類、決算情報管理、金融機関対応、監査・税務資料管理 | 未公表情報と法令保存例外を整理する |
| 人事・労務 | 就業規則、誓約書、退職者管理、懲戒、教育 | 秘密保持と職業選択の自由の均衡を確認する |
| 経営者・取締役 | 情報管理方針、リスク許容度、重大事故時の意思決定 | 重大情報の優先順位と投資判断を決める |
よくある失敗例をまとめると、条項の不足だけでなく、運用との不一致が多いことが分かります。以下の一覧では、左上から順に、定義、利用制限、外部利用、顧客リスト管理、退職時、削除、個人情報の混同という観点で確認できます。
書面で秘密表示された情報だけに限定すると、口頭共有、画面共有、データルーム資料、会議メモ、チャット上の情報が漏れます。
第三者に漏らさなければよいという条項だけでは、顧客勧誘、競合営業、AI学習、広告配信、ベンチマーク利用を抑止しにくくなります。
外部ベンダーやクラウドを使う場合、情報は実質的に第三者へ移転します。保存国、ログ、削除、事故対応を確認します。
顧客リストを全社員閲覧可能にし、秘密表示もなく、退職者アクセスも残る場合、秘密として管理していた説明が弱くなります。
退職時誓約書、端末回収、アカウント停止、ダウンロード履歴確認、顧客情報の利用禁止確認が必要です。
クラウド、バックアップ、メールアーカイブ、チャット、AIログ、再委託先に残る場合があるため、削除範囲と証明を現実的に定めます。
個人情報保護法上の義務は秘密保持義務とは別です。利用目的、安全管理、委託先監督、漏えい報告、本人通知を検討します。
契約レビューでは、情報の特定から救済まで、抜け漏れを順番に確認します。
契約レビューでは、思いついた条項を個別に足すより、確認項目を順番に見る方が抜け漏れを減らせます。以下の表は、7つの確認領域と具体的な確認事項を示しています。左列の領域ごとに、右列の要素が契約と運用の双方に反映されているかを読み取ってください。
| 確認領域 | 主な確認事項 |
|---|---|
| 情報の特定 | 財務情報、顧客リスト、個人データ、未公表情報、口頭開示、画面共有、データルーム、派生資料、AI出力、加工データが含まれているか |
| 利用制限 | 契約目的、目的外利用禁止、顧客勧誘、競合利用、価格交渉利用、AI学習、広告利用、インサイダー規制への配慮があるか |
| 開示先管理 | 役職員、外部専門家、グループ会社、再委託先への開示範囲、同等以上の義務、開示先リスト、権限管理、退職・異動時の停止があるか |
| 安全管理 | 秘密表示、アクセス制御、暗号化、ログ、印刷制限、持出禁止、従業者監督、委託先監督、クラウド・生成AI制限、国外移転管理があるか |
| 事故対応 | 通知期限、調査、証拠保全、ログ提供、端末保全、原因究明、当局・本人・取引先・証券取引所対応、費用負担、再発防止があるか |
| 終了時処理 | 返還・削除・消去証明、バックアップ、アーカイブ、法令保存、会計監査・税務保存、再委託先・外部専門家・クラウド内データ削除があるか |
| 救済 | 差止め、利用停止、回収、削除、契約解除、調査費用、通知費用、弁護士費用、信用回復費用、違約金の合理性、準拠法、裁判管轄が明確か |
中小企業では、最初から高度な制度をすべて導入するより、実行できる管理を積み上げることが重要です。以下の5項目は、最低限始めるべき実装を示しています。番号順に進めると、漏えい予防と紛争時の説明力を同時に高められます。
Excel、PDF、紙資料、共有フォルダ名に社外秘やconfidentialの表示を付けます。
表示顧客リストは担当者と管理者、財務情報は経営陣と経理責任者など、必要な範囲に絞ります。
権限NDA、業務委託契約、従業員誓約書、退職時誓約書に、目的外利用禁止、返還・削除、事故通知を入れます。
契約未公表決算、顧客リスト、個人データ、契約書、不祥事資料を無断で外部AIや無料クラウドに入れないルールを作ります。
AIアカウント停止、端末回収、データ削除、私用メール転送の確認を行います。
終了時条項だけで拘束できない範囲を把握し、情報棚卸しから証拠化まで5段階で確認します。
契約は原則として当事者間の合意です。再委託先、従業員、外部専門家、グループ会社、クラウド事業者へ情報が渡る場合、それぞれに守秘義務を課す仕組みが必要です。営業秘密侵害や限定提供データ侵害が問題になる場面でも、情報の特定、管理、取得経路、不正性、利用行為を証明できる体制が必要です。
個人情報は公開されていても個人を識別できれば該当し得ます。一方、営業秘密は非公知性が問題となります。顧客リストは、個人情報であり、営業秘密でもあり、契約上の秘密情報でもあるという複合的な性質を持ち得ます。
公開情報そのものは秘密情報の除外対象となることが多い一方、公開情報を独自に収集・選別・分析したデータベース、顧客見込み度、価格交渉履歴、担当者関係性、更新時期は別に保護対象となり得ます。個人情報保護法上の利用目的やプライバシー配慮も確認が必要です。
AIやデータ分析では、入力データだけでなく、出力、学習済みモデル、特徴量、スコア、匿名化データ、統計データ、派生データが問題になります。入力データは開示者の秘密情報として扱うこと、学習利用やモデル改善への利用可否、契約終了後の削除・利用停止を明確にします。
監督官庁、裁判所、証券取引所、税務当局、警察、弁護士会照会、監査法人などから情報提出を求められる場合があります。条項では、法令上必要な開示は例外としつつ、可能な限り事前通知、開示範囲の最小化、秘密保持手続、非公開手続、マスキング、開示記録を求めます。
レビューでは、条項を読む前に情報の流れを把握し、最後に紛争時の証拠まで確認する必要があります。次の時系列は、企業法務担当者が確認する順番を示しています。各段階を飛ばさずに進めることで、過剰な条項と不足している条項の両方を見つけやすくなります。
相手方に渡す情報、相手方から受け取る情報を洗い出し、財務情報、顧客情報、個人データ、ソースコード、セキュリティ情報、未公表重要情報を分類します。
NDA、業務委託、SaaS、M&A、共同研究、雇用、販売代理店など、類型に応じて必要条項を選びます。
通知期限、監査方法、削除証明、ログ保存期間、暗号化水準などが現実に運用できる形かを確認します。
秘密表示、アクセス権限、ログ、教育記録、誓約書、開示先リスト、データルーム履歴、削除証明、監査報告を残します。
法令開示例外を置く場合は、必要最小限の範囲に限定し、法令上禁止される場合を除いて開示者へ事前通知し、開示範囲の限定や秘密保持手続への協力を求める構成が考えられます。
一般的な制度説明として、機微情報保護条項で誤解されやすい点を整理します。
一般的には、秘密保持条項だけでは、目的外利用、AI学習、再委託、クラウド保存、事故時通知、返還・削除、調査協力まで十分にカバーできないことがあります。ただし、取引内容、情報の性質、開示範囲、相手方の管理体制によって必要な条項は変わります。具体的な設計は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、公開情報そのものは秘密情報の除外対象になりやすいとされています。ただし、公開情報を独自に選別、配列、分析し、営業上有用な顧客リストとして非公開に管理している場合、契約上の秘密情報や営業秘密として問題になる可能性があります。具体的な評価は、収集方法、管理状況、利用行為、証拠関係によって変わります。
一般的には、未公表決算、顧客リスト、個人データ、契約書、不祥事資料などを外部AIに入力する場合、契約上の目的外利用、個人情報保護、営業秘密管理、外部サービス規約の確認が必要とされています。ただし、社内承認の有無、入力データの内容、学習利用の有無、保存地域、削除方法によって結論が変わる可能性があります。
一般的には、会社の営業秘密や顧客リストの不正持出し・不正利用を防ぐ条項には必要性があると考えられます。ただし、退職後の競業避止や顧客勧誘禁止は、期間、地域、対象業務、対象顧客、代償措置、従業員の地位、情報へのアクセス状況によって有効性や合理性が争われる可能性があります。具体的には弁護士等の専門家に相談する必要があります。
一般的には、何が、いつ、誰に、どの経路で、どの範囲に漏れたかを確認し、アカウント停止、リンク無効化、パスワード変更、アクセス遮断などで拡大防止を行うことが重要とされています。同時に、ログ、メール、チャット、端末、クラウド履歴などの証拠保全も必要です。個別の対応順序は、漏えい内容、個人データの有無、上場情報の有無、契約上の通知義務によって変わります。
一般的には、通常の秘密情報は契約終了後3年または5年とされることがあります。一方、営業秘密に該当する情報、個人データ、未公表重要情報、セキュリティ情報では、情報の性質に応じて別の期間設定が必要になる可能性があります。合理的な期間は、情報価値、法令上の保存義務、取引関係、労務上の制約によって変わります。