NDAは締結後の運用で効力が決まります。相手方から受け取った秘密情報を、誰が、どこで、どの目的で、いつまで扱うかを企業法務・情報セキュリティ・内部統制の観点から整理します。
NDAは締結後の運用で効力が決まります。
契約条項を、現場が実行できる保存・共有・廃棄の仕組みに変えることが出発点です。
NDA(Non-Disclosure Agreement)は、取引、共同研究、M&A、業務提携、外注、システム開発、PoC、デューデリジェンス、営業提案などの初期段階で頻繁に使われます。ただし、契約書を締結しただけでは受領情報は守れません。実務上の失敗は、契約文言よりも、NDA締結後に受領情報を社内で管理するルールが曖昧なことから起きやすいといえます。
ここでいう社内管理ルールは、秘密情報、技術情報、営業情報、個人情報、顧客情報、図面、仕様書、ソースコード、価格表、事業計画、財務資料、試作品、議事録、電子メール、クラウド共有資料を、誰が、どの目的で、どの範囲まで、どの媒体で、どの期間、どのようなアクセス制御・証跡・廃棄手続で扱うかを定める一連の社内規程と業務手順です。
次の重要ポイントは、NDA締結後の受領情報管理がなぜ契約管理だけで終わらないのかを示しています。読者にとって重要なのは、情報の受領から終了処理までを一続きで見て、どの段階で管理が抜けやすいかを読み取ることです。
受領前の準備、受領時の記録、利用中の制限、再開示の承認、終了時の返還・廃棄、事故時の初動までをつなげることで、NDA違反、営業秘密侵害、個人情報漏えい、知財紛争、内部統制不備の予防につながります。
NDAを締結しても、受領情報が社内で無制限に転送され、共有フォルダに漫然と保存され、退職者や無関係部署がアクセスでき、プロジェクト終了後も削除されず、生成AIや外部クラウドに入力され、委託先に再提供され、営業資料や製品開発に流用される状態であれば、NDAは実効性を失います。
言葉の範囲をそろえないと、契約上の義務を社内手順に落とし込めません。
NDAは、開示された情報を一定の目的以外に使用しないこと、第三者に開示しないこと、社内でも必要最小限の者に限定して共有すること、契約終了時に返還・廃棄することなどを定める契約です。日本語では秘密保持契約または機密保持契約と呼ばれます。
次の一覧は、NDA締結後に受領情報を社内で管理するルールを作る際に最初にそろえるべき用語を示しています。定義が曖昧なままだと、保存先、アクセス権限、目的外使用の判断が部署ごとに分かれるため、各項目の違いを読み取ることが重要です。
秘密情報の利用目的、第三者開示禁止、社内共有範囲、返還・廃棄、存続期間などを定める契約です。
相手方から受け取った技術情報、営業情報、経営情報、法務情報、個人情報、有体物、会議記録などの総称です。
NDA上で秘密として扱うことが合意された情報です。書面、電子ファイル、口頭、視覚的開示、試作品、クラウド上のデータを含み得ます。
NDAで定めた利用目的を超えて受領情報を利用することです。別案件、営業提案、生成AI入力、特許出願資料への混入などが問題になります。
受領情報を知る必要がある者にだけアクセスを認める原則です。役職や所属だけでは閲覧根拠になりません。
受領情報の典型例には、設計図、仕様書、研究データ、製造方法、ソースコード、アルゴリズム、価格表、顧客リスト、販売戦略、財務資料、資本政策、契約書案、訴訟資料、規制対応資料、担当者情報、顧客情報、試作品、評価機、議事録、録音、チャット、オンライン会議録画などがあります。
漏えいだけでなく、社内の通常業務としての共有や流用もリスクになります。
社内管理が必要な理由は、契約違反の防止だけではありません。営業秘密、個人情報、知的財産、輸出管理、インサイダー情報、内部統制まで影響が広がるため、法務部門だけでなく、事業部門、情報システム、知財、個人情報保護、内部監査が同じ前提を持つ必要があります。
次の一覧は、NDA締結後に受領情報を社内で管理するルールが弱い場合に発生しやすいリスクを分類したものです。どのリスクが自社案件に当てはまるかを読み取り、必要な専門部署を早めに関与させることが重要です。
従業員の不用意な転送、会議での共有、委託先への再提供、生成AI入力などが契約違反となる可能性があります。
どの情報をいつ、誰が、どの目的で受け取り、どの資料や製品に反映されたかが争点になりやすく、証跡が重要です。
個人情報や個人データを含む場合、安全管理措置、従業者監督、委託先監督、漏えい時の報告・本人通知が問題になります。
相手方情報と自社独自情報が混在すると、製品化、共同成果、特許出願、ノウハウ帰属の紛争につながります。
技術情報を海外子会社、外国法人、非居住者、海外サーバへ提供する場合、法令上の審査が必要になることがあります。
M&Aや資本提携の未公表重要事実は、J-SOX、適時開示、インサイダー情報管理、ガバナンス問題と接続します。
特に注意すべきなのは、悪意ある漏えいだけが問題になるわけではない点です。通常業務の感覚で「関係ありそうな人に共有する」「別案件の検討資料に使う」「便利な外部ツールに要約させる」といった行為でも、契約上の義務違反、信用毀損、取引停止、監査要求、再発防止報告の対象となる可能性があります。
条文を読んで終わりにせず、現場の行動基準へ変換します。
7原則は、NDAの抽象的な義務を、現場で判断できる操作に変えるためのものです。読者にとって重要なのは、各原則が単独で動くのではなく、受領前から終了時まで一連の管理としてつながっている点を読み取ることです。
利用目的、共有可能者、再開示先、保存場所、複製・印刷・持出し、特殊情報、返還・廃棄、漏えい時の報告先を社内向けに明確にします。
条項変換情報を受け取る前に、NDAの対象、プロジェクト名、担当部署、責任者、保存先、情報区分を決めます。
受領前経営者、部門長、外部専門家であっても、利用目的に必要でなければ閲覧範囲に含めません。
権限競合製品開発、営業提案、価格交渉、別案件、特許出願、社内教育、生成AI利用、データ分析基盤への投入を慎重に扱います。
用途制限受領日時、受領元、受領者、媒体、保存先、アクセス権限、閲覧者、複製、再開示、返還・廃棄を記録します。
記録契約期間、秘密保持期間、返還・廃棄時期、検討中止、相手方請求などのトリガーを台帳で管理します。
期限委託先、海外拠点、生成AI、クラウド移行、印刷、持出し、法令・裁判対応のための開示を現場判断に任せない設計にします。
例外次の判断の流れは、現場が受領情報に触れる前に確認すべき順番を示しています。この順番を守ると、契約目的に合わない利用や承認のない再開示を早い段階で止めやすくなります。
契約が有効で、情報の利用目的が明確かを確認します。
個人情報、技術情報、営業秘密、インサイダー情報の可能性を確認します。
利用目的に必要な者だけにアクセスを限定します。
再開示、海外提供、生成AI入力、印刷、持出しは承認を取ります。
アクセス権限、利用履歴、終了時処理を台帳で追跡します。
一律管理ではなく、リスクの高さに応じて保存・共有・廃棄の強度を変えます。
分類は、アクセス制御、ログ、印刷制限、外部共有、輸出管理審査、終了時処理を決める土台です。次の表は、受領情報の種類ごとに管理水準を変えるための比較です。どの区分に該当するかを早めに判断し、より高い管理が必要な情報を見逃さないことが重要です。
| 区分 | 例 | 管理水準 |
|---|---|---|
| 一般秘密情報 | 提案資料、通常の営業情報、会議資料 | 関係者限定、指定フォルダ保存、転送制限 |
| 高度秘密情報 | 価格戦略、顧客リスト、未公表事業計画、M&A資料 | 承認制アクセス、ログ取得、印刷禁止、外部共有禁止 |
| 技術秘密情報 | 図面、仕様書、製造方法、ソースコード、実験データ | 技術責任者管理、知財確認、リポジトリ隔離、利用目的厳格化 |
| 個人情報含有情報 | 顧客データ、従業員情報、医療関連情報 | 個人情報保護法対応、安全管理措置、委託先監督、漏えい対応手順 |
| 輸出管理対象疑い情報 | 暗号、材料、半導体、軍民両用技術、製造技術 | 輸出管理審査、海外提供制限、非居住者提供確認 |
| インサイダー情報 | M&A、資本提携、業績見通し、未公表重要事実 | アクセスリスト、社内外共有禁止、証券取引制限 |
| 訴訟・紛争関連情報 | 和解案、証拠、調査報告、専門家意見 | 法務・外部専門家限定、証拠保全に配慮 |
分類は複雑にしすぎると運用されません。中小企業では「通常秘密」「高度秘密」「個人情報含有」「技術・輸出管理注意」の4区分程度から始め、大企業や規制業種では、情報セキュリティ規程、個人情報取扱規程、輸出管理規程、インサイダー情報管理規程と接続させるのが現実的です。
法務だけではなく、現場・IT・知財・個人情報・監査が役割を分担します。
受領情報管理は、契約台帳を作るだけでは機能しません。次の表は、各部門が担う役割を並べたものです。自社でどの役割が空白になっているかを読み取り、案件のリスクに応じて関与者を増やすことが重要です。
| 担当 | 主な役割 |
|---|---|
| 法務・契約法務 | 秘密情報の定義、利用目的、開示可能者、再開示条件、複製制限、返還・廃棄、存続期間、損害賠償、差止、漏えい通知義務を確認し、契約台帳に登録します。 |
| 事業部門・プロジェクト責任者 | アクセスメンバーの選定、保存先の指定、目的外使用の防止、会議資料の管理、委託先への再開示申請、終了時の廃棄確認を行います。 |
| 情報システム・セキュリティ | アクセス制御、共有フォルダ、クラウドストレージ、DLP、ログ管理、端末制御、暗号化、バックアップ、外部共有制限、退職者アカウント停止を担います。 |
| 知財法務・弁理士 | 相手方情報と自社独自情報の混同防止、発明者認定、共同発明、特許出願前の秘密管理、オープンソースソフトウェアとの関係を確認します。 |
| 個人情報保護・プライバシー | 利用目的、第三者提供、委託、共同利用、越境移転、安全管理措置、漏えい時対応、本人通知、記録義務を確認します。 |
| コンプライアンス・内部監査 | 社内規程、研修、通報制度、違反時対応を整備し、アクセス権限、廃棄証跡、委託先再開示の承認状況を監査します。 |
| 外部専門家 | 大型案件、国際契約、海外データ移転、訴訟・仲裁、営業秘密侵害、漏えい事故、不正調査、輸出管理で専門的な確認を行います。 |
現場責任者が一次責任を持ち、法務と情報システムが運用条件を支える設計にすると、契約条項と日々の保存・共有行為がつながりやすくなります。
登録、受領前確認、記録、保存、利用、再開示、終了処理を一連の手順にします。
次の時系列は、NDA締結後の受領情報管理を7つの段階で示しています。順番には意味があり、入口で分類し、利用中に制限し、終了時に閉じることで、後から証跡を追える状態を作ります。
契約管理システムまたは台帳に、管理番号、相手方、担当部署、利用目的、秘密情報の範囲、共有可能者、再開示条件、保存先、禁止事項、返還・廃棄条件を登録します。
NDAが有効か、開示者が契約上認められた者か、利用目的に合うか、個人情報・営業秘密・輸出管理技術・インサイダー情報を含む可能性があるかを確認します。
受領日時、受領者、開示者、受領方法、資料名、情報区分、保存先、初期アクセス権限、秘密表示の有無を記録します。
個人メール、ローカルPC、私物端末、個人クラウドに放置せず、承認済みシステム、文書管理システム、VDR、案件専用フォルダに保存します。
利用目的、引用可否、会議参加者、画面共有、録画、議事録、自社情報との混同、生成AI・翻訳ツール入力、別システムへの取込みを確認します。
外部専門家、委託先、グループ会社、海外拠点に提供する場合、事前承諾、同等以上の秘密保持義務、海外提供、返還・廃棄方法を確認します。
メール、チャット、ローカル、バックアップ、印刷物、委託先保管分を確認し、返還、削除、廃棄、アクセス停止、例外保管の隔離を行います。
NDA台帳の項目は、受領情報の場所と責任者を後から追えるかどうかを左右します。次の表では、登録時に最低限持たせたい項目を整理しています。空欄が多い項目ほど、事故時に説明が難しくなると読み取れます。
| 管理項目 | 内容 |
|---|---|
| NDA管理番号 | 契約ごとの一意の番号 |
| 相手方・自社担当部署 | 法人名、部署、担当者、事業部、責任者 |
| 利用目的 | 共同研究可能性の検討、M&A検討、業務委託見積など |
| 秘密情報の範囲 | 書面、電子、口頭、サンプル、クラウド情報を含むか |
| 社内共有可能者 | 部署、職位、個人名、外部専門家 |
| 再開示条件 | 委託先、専門家、グループ会社への開示可否 |
| 保存先・禁止事項 | 承認済みフォルダ、DMS、VDR、生成AI入力禁止、USB保存禁止など |
| 返還・廃棄条件と存続期間 | 契約終了時、検討終了時、相手方請求時、開示日から5年、契約終了後3年、無期限など |
| 特殊情報の有無 | 個人情報、技術・輸出管理、インサイダー情報の有無または未確認 |
| 漏えい時連絡先 | 法務、情報システム、CISO、個人情報保護責任者 |
再開示では、開示先名、目的、開示資料、開示日、NDAまたは秘密保持条項の有無、削除・返還方法を記録します。終了時には、プロジェクト責任者の終了通知、返還・廃棄条件の確認、保存先の棚卸し、削除・廃棄証明書、アクセス停止、例外保管の隔離までを一体で扱います。
電子メール、クラウド、チャット、紙、ソースコード、生成AIはリスクの出方が異なります。
媒体ごとのルールは、情報がどこで拡散しやすいかを把握するために重要です。次の表では、主要な媒体と外部サービスごとに管理上の着眼点を整理しています。自社で利用頻度が高い媒体ほど、具体的な禁止事項と承認手順を先に決める必要があります。
| 媒体・環境 | 主なリスク | 実務ルール |
|---|---|---|
| 電子メール | 誤送信、転送、添付保存、退職者メールボックス、メーリングリスト | 案件番号や秘密表示を付し、添付は承認済みフォルダへ移管し、自動転送や個人アドレス転送を禁止します。 |
| クラウドストレージ | リンク共有、外部共有、権限継続、ダウンロード、海外サーバ | 承認済みクラウドに限定し、外部共有リンクは原則禁止または期限付き・パスワード付きにします。 |
| チャット | 参加者増加、過去ログ閲覧、断片的な秘密情報流通 | 案件専用チャンネルを作り、参加者を限定し、ファイル共有は文書管理システムへのリンクに寄せます。 |
| 紙資料・印刷物 | ログが残りにくい、紛失、置忘れ、廃棄漏れ | 高度秘密情報は原則印刷禁止とし、印刷する場合は部数、配布先、回収日、廃棄方法を記録します。 |
| ソースコード・リポジトリ | 相手方情報と自社成果物の混在、OSSライセンス、第三者権利 | 相手方コード専用リポジトリを作り、本番リポジトリへの混入を避け、コードレビュー時に出所を記録します。 |
| 生成AI・翻訳AI・外部SaaS | 第三者提供、委託、目的外使用、学習利用、ログ保存、海外移転 | NDA対象情報の入力を原則禁止し、例外利用は法務・情報セキュリティ・個人情報保護担当の承認制にします。 |
契約条項ごとの確認は、社内ルールがNDAの文言から離れないようにするために重要です。次の比較では、条項ごとに現場で起こりやすい管理上の注意点を整理しています。特に利用目的、開示可能者、複製制限、返還・廃棄は、日常業務で逸脱が起きやすい項目です。
| 契約条項 | 社内管理上の注意点 |
|---|---|
| 秘密情報の定義 | 秘密表示がない資料でも機微性が高い場合があるため、NDA上の定義と実際のリスクを併せて判断します。 |
| 利用目的 | 本取引の検討に限られる場合、別案件、別製品、営業提案、研究開発、教育、AI学習、他部署検討への使用は慎重に扱います。 |
| 開示可能者 | 役員、従業員、外部専門家への開示が許される場合でも、利用目的のために必要な者に限る運用にします。 |
| 複製制限 | 社内共有、バックアップ、スクリーンショット、PDF化、OCR、データベース登録、リポジトリ登録も複製に当たり得るため確認します。 |
| 返還・廃棄 | 請求時、契約終了時、検討終了時、目的達成時などのトリガーを台帳で管理します。 |
| 存続期間 | 3年、5年、10年、無期限などの期間満了後も、営業秘密や個人情報について別法令・別契約上の問題が残ることがあります。 |
| 損害賠償・差止 | 情報利用停止、成果物販売停止、資料返還、廃棄、監査、再発防止策の提出まで想定して予防的に設計します。 |
個人情報、営業秘密、技術情報、M&A、委託、退職者、業種特性は個別に強めます。
特別ルールは、通常の秘密情報管理では不足しやすい論点を補うためのものです。次の一覧は、個人情報を含む受領情報で確認すべき8項目を示しています。どの項目が未確認かを見れば、追加審査や責任者の関与が必要な箇所を把握できます。
氏名、メールアドレス、電話番号、住所、購買履歴、位置情報、健康情報、従業員情報などを特定します。
相手方からの提供、共同利用、委託、第三者提供、本人同意の有無を確認します。
NDA上の目的と個人情報保護法上の利用目的が整合するかを確認します。
個人情報を扱える承認済みシステムかを確認します。
必要最小限の担当者だけが閲覧できる状態にします。
再委託や海外移転を含め、契約と監督ができているかを確認します。
報告、本人通知、原因調査、再発防止の体制を確認します。
プロジェクト終了後の処理が明確かを確認します。
営業秘密・技術情報の管理では、相手方情報であることを明示し、自社情報と混同せず、利用目的を限定し、アクセス者を限定し、複製・転送・印刷を制限し、返還・廃棄の証跡を残し、研究開発・特許出願への混入を防ぐことが中核になります。
次の比較は、M&A、委託、退職者対応、企業規模・業種で強化すべき管理点をまとめたものです。案件の種類によって重点が変わるため、自社の取引類型に近い行を確認し、標準手順に追加すべき審査を読み取ることが重要です。
| 場面 | 強化すべき管理点 |
|---|---|
| M&A・資本提携 | VDR、個人単位の権限、ダウンロード・印刷制限、閲覧ログ、競合会社間のクリーンチーム、インサイダー情報管理、成約しなかった場合の廃棄を徹底します。 |
| 委託・外注・共同開発 | 再開示可否、事前承諾、同等以上の秘密保持義務、再委託制限、個人情報の委託先監督、海外委託、終了時の返還・廃棄を確認します。 |
| 退職者・異動者 | プロジェクト離脱時の権限停止、端末・クラウド・メール・外部媒体の確認、私物端末・個人クラウド禁止、競合転職時のアクセス履歴確認を行います。 |
| スタートアップ | NDA台帳、案件フォルダ、アクセス制限、委託先共有承認、終了時廃棄から着手します。 |
| 大企業 | 契約管理システム、DMS、ID管理、データ分類、アクセス棚卸し、監査、研修、リーガルオペレーションが重要です。 |
| 製造業・研究開発型企業 | 図面、製造条件、材料情報、試験データ、品質情報について、技術情報の混入防止、輸出管理、知財出願、共同研究成果、試作品管理を重視します。 |
| IT・AI企業 | ソースコード、モデル、データセット、API仕様、ログ、顧客データ、学習データについて、外部SaaS、クラウド、生成AI、OSS、越境移転を管理します。 |
| 金融・医薬・ヘルスケア | 業法規制、個人情報、要配慮個人情報、研究データ、臨床情報、広告規制、当局対応を統合管理します。 |
競争会社間の提携や共同開発では、クリーンチームやクリーンルームを設定することがあります。機微情報を閲覧できる者を通常の営業・価格決定・競争戦略に関与しない者や外部専門家に限定し、集計・匿名化・非機微化した結果だけを共有する設計が検討されます。
事故時の初動、相手方報告、規程体系、内部監査項目を事前に決めます。
事故対応は、事実確認と拡散防止を同時に行う必要があります。次の判断の流れは、漏えい、誤送信、無断共有、目的外使用、委託先事故が疑われる場面の初動を示しています。順番を読むことで、削除や断定的な説明を急ぐ前に証拠保全と影響範囲確認を行う必要性が分かります。
法務、情報セキュリティ、プロジェクト責任者へ直ちに連絡します。
共有リンク停止、アクセス権限停止、メール回収、端末隔離を行います。
ログ、メール、チャット、アクセス履歴、端末、ファイルを削除しません。
情報の内容、人数、外部提供先、個人情報有無、NDA上の通知義務を確認します。
相手方への説明、個人情報保護法上の報告・本人通知、再発防止策を整理します。
相手方への報告では、事実確認前に断定しない一方、NDA上の通知義務がある場合は遅滞なく連絡します。次の表は、報告時に整理する項目と、社内で必要になる根拠資料を対応させたものです。空欄を減らすほど、説明の一貫性を保ちやすくなります。
| 報告項目 | 確認資料 |
|---|---|
| 発生日または発覚日 | ログ、メール、チャット、通報記録 |
| 対象情報 | 資料名、ファイル名、情報区分、NDA管理番号 |
| 影響範囲 | 閲覧者、外部提供先、ダウンロード履歴、個人情報有無 |
| 原因 | 権限設定、誤送信、外部共有、委託先事故、目的外使用の調査結果 |
| 応急措置 | リンク停止、権限停止、端末隔離、メール回収、削除状況 |
| 再発防止策 | 規程改定、研修、承認手順、システム設定、監査計画 |
社内規程は単一文書では完結しません。次の一覧は、NDA締結後の受領情報管理に接続すべき文書体系を示しています。どの文書がどの役割を持つかを読み取ると、秘密保持契約だけでは足りない領域が見えます。
| 文書 | 役割 |
|---|---|
| 秘密情報管理規程 | 受領情報・自社秘密情報の基本管理 |
| NDA運用規程 | 締結、台帳登録、受領、共有、返還・廃棄の手順 |
| 情報セキュリティ規程 | アクセス制御、ログ、端末、クラウド、暗号化 |
| 個人情報取扱規程 | 個人情報を含む受領情報の安全管理 |
| 委託先管理規程 | 再開示、委託先監督、再委託管理 |
| 輸出管理規程 | 技術情報の海外提供・非居住者提供の審査 |
| インサイダー情報管理規程 | M&A・資本提携などの未公表重要情報管理 |
| 文書管理規程 | 保存期間、廃棄、証跡管理 |
| 生成AI利用規程 | 秘密情報・個人情報のAI入力制限 |
| 事故対応規程 | 漏えい、誤送信、不正アクセス時の初動対応 |
内部監査では、書面だけでなく実際のフォルダ権限、ログ、台帳、メール、チャット、委託先契約、廃棄証明書をサンプル確認します。次の一覧は、監査時に見るべき12項目です。自社の管理が実在する証跡で説明できるかを確認することが重要です。
NDA締結前に情報受領が行われていないか。
利用目的、保存先、返還・廃棄期限が登録されているか。
受領情報の保存先が承認済みか。
知る必要性に限定されているか。
異動者・退職者のアクセス権限が削除されているか。
委託先への再開示が承認・記録されているか。
個人情報を含む情報について安全管理措置があるか。
技術情報について輸出管理審査が行われているか。
終了案件の返還・廃棄証跡があるか。
生成AI・外部SaaSへの入力制限が守られているか。
漏えい・誤送信の報告ルートが周知されているか。
研修受講記録があるか。
専任法務や高度なシステムがない場合でも、最低限の5点セットから始められます。
中小企業では、大企業と同じ水準の文書管理システムを最初から入れることが難しい場合があります。次の一覧は、最低限の導入手順を5点に絞ったものです。少ない項目でも、入口、保存先、共有先、終了処理を押さえれば、管理の空白を減らせます。
管理番号、相手方、契約日、担当者、利用目的を記録します。
入口受領情報を個人メールやローカルPCに散らさない設計にします。
保存先共有メンバーを明示し、異動・退職・案件離脱時に見直します。
権限委託先や外部専門家に渡す前に、NDA上の再開示条件を確認します。
再開示メール、フォルダ、チャット、ローカル、紙資料、委託先保管分を確認します。
終了Excel台帳を使う場合でも、項目を絞りすぎると終了時の確認や事故時の説明が難しくなります。次の表は、簡易台帳に入れたい項目です。契約日や相手方だけでなく、保存先、共有メンバー、返還・廃棄期限、廃棄証跡まで見ることが重要です。
| Excel台帳の項目 | 確認したい内容 |
|---|---|
| 管理番号・相手方・契約日 | どの契約に基づく情報かを特定します。 |
| 担当者・利用目的・保存先 | 責任者、使える範囲、保管場所を明確にします。 |
| 共有メンバー | 知る必要性を満たす範囲かを確認します。 |
| 個人情報・技術情報の有無 | 追加審査や高い管理水準が必要かを判断します。 |
| 委託先共有の有無 | 再開示条件、契約、監督、返還・廃棄を確認します。 |
| 返還・廃棄期限、終了確認日、廃棄証跡 | 案件終了後に情報が残り続けないようにします。 |
社内規程の条項例は、従業員が何をしてよいかを判断する基準になります。次の一覧は、NDA締結後の受領情報管理規程に置きやすい12条の骨子です。各条項が、目的、定義、責任者、登録、利用制限、アクセス制限、保存、再開示、特別管理、返還・廃棄、事故、監査のどこを支えるかを読み取ります。
| 条項 | 骨子 |
|---|---|
| 第1条 目的 | 契約違反、情報漏えい、目的外使用、営業秘密侵害、個人情報漏えい、知的財産紛争などを防止する目的を定めます。 |
| 第2条 定義 | 書面、電子ファイル、口頭、映像、音声、試作品、サンプル、クラウド上のデータなどを受領情報に含めます。 |
| 第3条 管理責任者 | 案件管理責任者、契約管理責任部門、技術的管理責任部門を定めます。 |
| 第4条 登録 | 相手方、契約日、利用目的、受領予定情報、保存先、アクセス予定者、返還・廃棄条件を登録します。 |
| 第5条 利用目的の制限 | 契約で定められた目的の範囲内でのみ使用し、研究開発、営業活動、価格交渉、別案件、教育、生成AI入力などへの目的外利用を制限します。 |
| 第6条 アクセス制限 | 必要な役職員に限定し、異動、退職、案件離脱で必要性が消滅した者の権限を削除します。 |
| 第7条 保存方法 | 承認保存先に限定し、私物端末、個人クラウド、個人メール、未承認外部サービス、USBメモリを制限します。 |
| 第8条 再開示 | 委託先、外部専門家、グループ会社、海外拠点などへ開示する場合の事前承認を定めます。 |
| 第9条 個人情報等の特別管理 | 個人情報、要配慮個人情報、営業秘密、輸出管理対象技術、インサイダー情報を含む場合の確認先を定めます。 |
| 第10条 返還・廃棄 | 契約終了、案件終了、検討中止、相手方請求などで返還、削除、廃棄し、結果を記録します。 |
| 第11条 事故時対応 | 漏えい、紛失、誤送信、無断共有、目的外使用、不正アクセスを認識した場合の報告先を定めます。 |
| 第12条 監査 | 台帳、アクセス権限、保存先、再開示記録、返還・廃棄証跡、事故対応記録を監査対象にします。 |
よくある失敗例は、ルールを作るだけではなく、どこで現場がつまずくかを把握するために重要です。次の比較では、失敗例と改善策を対応させています。自社で似た運用がないかを確認し、営業、開発、管理部門の業務手順に組み込むことが読み取りどころです。
| 失敗例 | 改善策 |
|---|---|
| NDA締結前に資料を受け取る | 情報受領前のNDA確認を営業プロセスに組み込み、未締結の場合は法務承認なしに受領しません。 |
| メーリングリストに送られる | 受領先を案件担当者に限定し、メーリングリスト利用を禁止します。 |
| 社内共有フォルダに放置される | 案件専用フォルダ、個人単位アクセス、定期棚卸しを行います。 |
| 生成AIに要約させる | NDA対象情報の外部AI入力を原則禁止し、例外利用は法務・セキュリティ承認制にします。 |
| 委託先に無断共有する | 委託先再開示チェックを発注手順に組み込みます。 |
| 案件終了後も資料が残る | 案件終了トリガーを契約台帳で管理し、終了時チェックリストを運用します。 |
取締役、監査役、経営者は、NDA台帳の有無、アクセス権限管理、重要案件情報の経営会議・取締役会資料への拡散、クリーンチームの要否、個人情報・営業秘密・輸出管理・インサイダー情報の横断管理、漏えい時の報告ルート、内部監査での点検を確認する必要があります。
個別事情で結論が変わるため、一般的な制度・実務上の考え方として整理します。
一般的には、NDAで認められた利用目的のために必要な者へ限定して共有する運用が求められるとされています。ただし、契約文言、情報の性質、共有先の職務、再開示条件によって結論が変わる可能性があります。具体的な対応は、契約書と社内の利用状況を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、NDAの秘密情報の定義や実際の機微性を併せて判断するとされています。ただし、秘密表示を要件にする契約か、口頭開示や電子データを含む契約か、相手方とのやり取りによって結論が変わる可能性があります。具体的な対応は、受領経緯と契約文言を確認したうえで弁護士等の専門家へ相談する必要があります。
一般的には、NDA対象情報を外部生成AIや外部翻訳ツールに入力することは、第三者提供、委託、目的外使用、学習利用、ログ保存、海外移転の問題が生じ得るため慎重な審査が必要とされています。ただし、サービス契約、学習利用の有無、個人情報や輸出管理技術の有無によって結論が変わる可能性があります。具体的な対応は、法務、情報セキュリティ、個人情報保護担当、弁護士等の専門家へ相談する必要があります。
一般的には、返還・廃棄条項、法令上の保存義務、訴訟対応の必要性、技術的な削除可能性を整理して扱うとされています。ただし、バックアップの構造、復元可能性、相手方請求の内容、例外保管の可否によって結論が変わる可能性があります。具体的な対応は、契約文言とシステム仕様を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、企業規模や情報の性質に応じて、NDA台帳、案件専用フォルダ、アクセス限定、外部共有承認、終了時確認から始める方法が考えられます。ただし、個人情報、営業秘密、技術情報、M&A情報、海外提供を含む場合は必要な管理水準が上がる可能性があります。具体的な対応は、自社の業種、情報量、取引先要求、契約内容を整理したうえで弁護士等の専門家へ相談する必要があります。
このページは一般的な情報提供を目的としており、契約文言、業種規制、情報の性質、国際要素、相手方との交渉経緯によって必要な対応は変わります。個別の規程作成、契約交渉、漏えい対応、相手方への通知、当局対応、紛争対応では、弁護士、個人情報保護担当、情報セキュリティ専門家、輸出管理担当、税理士、公認会計士、弁理士その他の専門家への確認が必要です。