こんにちは。弁護士の浅見隆行です。
経産省は2025年3月31日、「営業秘密管理指針」を改訂しました。
今回は、その中の新しいポイントに絞って解説します。
営業秘密管理指針を改訂した趣旨
改訂の趣旨は、
- テレワークなど企業施設外での労働機会の増加
- 派遣労働者の増加
- 兼業・副業の原則解禁(兼業先・副業先での営業秘密の保護)
- クラウドでの情報管理
に対応させるためです。
従来の営業秘密管理指針は、企業施設内で正社員や取引先が自社の営業秘密を不正取得、不正使用、不正開示することを前提としていたため、最近の労働環境やビジネスの実態に合わせてアップデートしたと言えましょう。
営業秘密管理指針の位置づけ
「営業秘密」「管理」指針との名前からも明らかなとおり、営業秘密管理指針は不正競争防止法の「営業秘密」に該当するための3要件である「秘密管理性」に関するガイドラインです(有用性、非公知性の要件についても言及していますが、ガイドラインの中でのボリュームはおまけ程度です)。
どのような事情があれば「秘密管理性」が認められ、会社が守りたい情報が「営業秘密」に該当することになるのかを、過去の裁判例などを踏まえて解説したガイドラインです。
「秘密管理性」が認められるためには・・
必要な秘密管理措置の程度(総論)
改訂された営業秘密管理指針では、必要な秘密管理措置の程度について以下の基準を示しています(指針PDF8ページ)。
秘密管理性要件が満たされるためには、営業秘密保有者の秘密管理意思が秘密管理措置によって従業員等に対して明確に示され、当該秘密管理意思に対する従業員等の認識可能性が確保される必要がある。
具体的に必要な秘密管理措置の内容・程度は、企業の規模、業態、従業員等の職務、情報の性質その他の事情の如何によって異なるものであり、企業における営業秘密の管理単位(本指針17頁参照)における従業員等がそれを一般的に、かつ容易に認識できる程度のものである必要がある。
秘密管理意思とは、特定の情報を秘密として管理しようとする意思のことです。
- この意思が、具体的状況に応じた経済合理的な秘密管理措置によって従業員に明確に示され、
- 結果として、従業員、取引先、派遣労働者等が当該秘密管理意思を容易に認識できて(容易に認識できる状況になって)、
初めて秘密管理性が認められるという意味です。
企業が「この情報は、わが社にとっての営業秘密である」と主観的に思っていてもそれだけでは不十分で、従業員等が企業の意思を認識できる状況になっていることが必要です。
また、認識可能性なので、従業員等が現に認識していることまでは必要ありません。
秘密管理措置の程度(各論)
改訂された営業秘密管理指針では、従業員・役員に対する秘密管理措置の程度と、取引相手先に対する秘密管理措置の程度を分けています。
従業員・役員に対する秘密管理措置の程度については、以下のとおりです。
秘密管理措置の対象者たる従業員において当該情報が秘密であって、一般情報とは取扱いが異なるべきという規範意識が生じる程度の取組(管理措置)であることがポイント(指針PDF10ページ)
「規範意識が生じる程度」とは、営業秘密に接する従業員の多寡、業態、従業員の職務、情報の性質(重要性)、執務室の状況その他の事情によって相対的です。
必ずしも、高度な情報管理措置のシステムを導入・設定する必要はありません。
指針には、
- 当該営業秘密保有者にとって重要な情報であり、当然に秘密として管理しなければならないことが従業員にとって明らかな場合には、そうした従業員の認識を活用した管理が許されて然るべきであり(知財高裁2011年9月27日、東京地判2022年12月9日)、会社のパソコン等へログインするための IDやパスワードなどにより秘密情報へのアクセスが制限されているといった程度の技術的な管理措置や、就業規則や誓約書において当該情報の漏えいを禁止しているといった規範的な管理措置で足りる場合もある(大阪地判2018年3月5日)
- 営業秘密に合法的かつ現実的に接しうる従業員が少数である場合において、状況によっては当該従業員間で口頭により「秘密情報であること」の確認をしている等の措置で足りる場合もあり得る(大阪地判2003年2月27日、ご参照)
との記述もあります(指針PDF10ページ)。
過去の裁判例にも、営業秘密である「顧客情報」に関して、以下の程度の秘密管理措置で秘密管理性を認めたものがあります。
- 顧客情報の写しが上司等に配布されたり、自宅に持ち帰られたり、手帳等で管理されて成約後も破棄されなかったりしていたとしても、これらは営業上の必要性に基づくものであり、従業員が本件顧客情報を秘密であると容易に認識し得るようにしていたとして、秘密管理性を肯定(知財高判2012年 7 月 4 日)
- アクセス制限の程度が明らかでなく、また物理的な管理が徹底されていたとはいいがたい事情があるとしても、顧客情報を一元化してデータ管理しており、就業規則において顧客情報の開示等を禁止することや、退職従業員に対しても、顧客情報を漏えいしないことを誓約させるなど、規範的な管理がなされていたことに加え、配置販売事業者にとっての顧客情報の重要性に鑑みて、従業員らにとっても、それが秘密管理の対象とされるべきものであることは容易に理解し得るとして秘密管理性を肯定(大阪地判2018年 3 月 5 日)
企業によっては、入社時の誓約書に「職務上知り得た一切の情報については、会社の許可なく、第三者に開示してはならない」などと定めていることもあるかもしれません。
しかし、そのような場合について、指針では、
- 「職務上知り得た情報全て」「事務所内の資料全て」といった形で秘密表示等を行っているにもかかわらず、情報の内容から当然に一般情報であると従業員が認識する情報が著しく多く含まれることによって、「秘密管理措置の形骸化」と評価され、従業員が企業の秘密管理意思を認識できない場合は、適切な秘密管理措置とはいえない
とも記載されています(指針PDF10、11ページの記述を統合)。
漏れなく保護するために、誓約書に「一切の情報」や「情報すべて」「資料すべて」などと記載しても、実情が営業秘密とは言えない一般情報ばかりの情報しかないときには、形ばかりの誓約書になってしまい、従業員に「秘密情報として保護しなければならない」「外に出してはいけない」「慎重に扱わなければならない」などの意識や緊張感を抱かせることができないからです。
秘密管理措置の具体例
状況別
指針では、紙媒体の場合、電子媒体の場合、物件に営業秘密が化体している場合、媒体が利用されない場合、複数の媒体で同一の営業秘密を管理する場合の5つの状況に分けて、秘密管理措置の具体例を示しています(指針PDF13ページ以下)。
物件に営業秘密が化体している場合とは、「製造機械や金型、高機能微生物、新製品の試作品など、物件に営業秘密情報が化体しており、物理的にマル秘表示の貼付や金庫等への保管に適さないもの」を意味します。
社外のクラウドを利用している場合
営業秘密管理指針の改訂によって、社外のクラウドを利用して営業秘密を保管・管理している場合の記述が追加されました。
外部のクラウドを利用して営業秘密を保管・管理する場合も、秘密として管理されていれば、秘密管理性が失われるわけではない。例えば、階層制限に基づくアクセス制御などの措置が考えられる。なお、情報の内容・性質等からいって、当該営業秘密保有者にとって重要な情報であることが明らかな場合には、外部のクラウドにアクセスするために ID・パスワ
ードなどが設定されているといった程度の技術的な管理措置や、就業規則や誓約書において当該情報の漏えいを禁止しているといった規範的な管理措置で足りる場合もある。
この表現からは、
- 階層制限に基づくアクセス制御などの措置(原則)
- 情報の内容・性質等から重要な情報であることが「明らかな場合」には、ID・パスワード、就業規則・誓約書で「足りる場合も」ある(あくまでも例外)
としているように読めます。
ノウハウ・経験の場合
指針では、ノウハウや経験など「従業員が体得した情報が営業秘密に該当する場合」についても解説しています(指針PDF16ページ)。
従業員が体得した情報が営業秘密に該当する場合には、転職後の使用・開示によって、直ちに、民事上の措置及び刑事罰の対象となるわけではない。当該企業の利益、従業員の利益、営業秘密の内容等を踏まえ信義則上の義務に著しく反するような場合、すなわち「不正の利益を得る目的」又は「保有者に損害を加える目的」であると評価される場合にのみ、民事上の措置又は刑事罰の対象となる。
従業員の転職に際して、退職従業員による新雇用主への営業秘密開示行為等が、旧雇用
主との関係で信義則上の義務に著しく反するような形でなされた場合、新雇用主は、そのよ
うな信義則上の義務に著しく反する開示であることについて悪意又は重過失で当該営業秘
密を使用等すると営業秘密侵害となる。
前段はノウハウや経験の持ち出した転職者の責任、後段は転職者を採用した企業の責任について、です。
この記述は、「従業員が体得した情報が営業秘密に該当する場合」を前提として、その後の行動にフォーカスしたものです。
しかし、実際に訴訟では、転職者が持ち出したノウハウや経験が「営業秘密」に該当するのかから争われます。
これは以前に日証協のルール改定の記事を書いたときに参考になる判例を紹介したので、そちらを参考にして下さい。
営業秘密を企業内外で共有する場合
管理単位ごとに秘密管理性を判断
指針では、企業内(支店、営業所等)、企業外(子会社、関連会社、取引先、業務委託先、フランチャイジー等)と営業秘密を共有する場合の、秘密管理措置の具体例についても解説しています(指針PDF17ページ以下)。
ここでは、秘密管理性は支店や事業本部などの「管理単位」ごとに判断されることが指摘されています。
生成AIを使用している場合
最近は、ChatGPTなどの生成AIを業務に使用する企業も増えています。
そこで、指針では、生成AIを使用している場合と管理単位の考え方について以下の解説をしています。
管理単位 C で秘密管理されている情報αを生成 AI に利用していた場合であって、その後、管理単位 C で当該生成 AI から当該情報αが AI 生成物として生成・出力されることがあったとしても、当該情報αが管理単位 C で秘密管理されているのであれば、管理単位 Cで当該情報αが生成・出力されたことの一事をもって、管理単位 Cにおける秘密管理性が否定されることはないと考えられる。ただし、当該企業にとどまらず、当該情報αが当該企業以外の第三者(例えば、生成 AI提供事業者等)に提供される場合は、秘密管理性が否定される場合もあり得る。
また、管理単位 D で当該生成 AI から当該情報αが AI 生成物として生成・出力されることがあったとしても、当該情報αが管理単位 C で秘密管理されているのであれば、管理単位 D で当該情報αが生成・出力されたことの一事をもって、管理単位 C における秘密管理性が否定
されることはないと考えられる。
前提となっているのは、AI の開発・学習段階において、学習用データを学習に利用して AI(学習済みモデル)を開発する場合などです。
「開発する場合」とあるので、一般向けのChatGPTで秘密情報を利用するのではなく、自社向けにカスタマイズした生成AIでの利用(それに向けた学習段階)を想定しているのかもしれません。
そもそも生成AIに秘密情報を覚えさせて良いのかどうかは、また別途、検討が必要だと思います。
経産省から生成AIガイドラインが出ているので、そちらを参考にして下さい、と言いたいところですが、やや古く、またリスク管理についての言及が少ないので、情報処理推進機構(IPA)から出ているガイドラインを参考にしたほうがよいかもしれません。
