企業のデジタル変革にともなう営業秘密保護
2023. 7. 27
企業のデジタル変革にともなう営業秘密保護
Q:企業のデジタル変革(DX)にともない営業秘密はどのようなリスクに直面しているのか。
デジタル経済がグローバル経済のトレンドになっている現在、企業のデジタル変革にともない営業秘密などの経営情報はデジタル化して保存、処理されている。デジタル変革により企業管理の利便性と効率性が著しく向上した半面、営業秘密がデジタル化に伴って漏洩するリスクが高まり、立証と権利主張が容易でない等の特徴が表出している。したがって、営業秘密を保護することは、デジタル経済時代の企業にとって肝心な課題となっている。企業のデータ活用はますます広がっていき、営業秘密は電子化、デジタル化の新たな特徴を示し、侵害行為も従来と異なり、新たなリスクに直面している。
一、「機密性」の認定が困難というリスク
情報のデジタル化により、公衆が知る情報の範囲が拡大することに伴い、企業の営業秘密に対する「機密性」の認定基準の要求も高まっている。例えば、広告宣伝などの方法で収集、取得したユーザー情報を整理してユーザーデータベースを構築し、自社の経営情報の一部としている企業があるが、当該情報を営業秘密として保護すべきと主張するには、当該情報の「機密性」を判断しなければならない。司法実務においては、営業秘密の「機密性」を判断するには、情報の取得ルートだけでなく、情報の特殊性も考慮する必要がある。統合・分析を経て形成され、公知情報と区別できる深みのある情報でなければ「機密性」を備えているとはならない。
二、電子的侵入による営業秘密漏洩のリスク
デジタル化のオフィスモデルの普及に伴い、ビデオ会議、電子メール、インスタントメッセンジャーなどのコミュニケーションツールが頻繁に利用されるようになった。知的成果や営業秘密などの文書や情報を含む企業の日常経営における多くの情報は、クラウドサービスシステムを通じて保存、表示、伝送される。この場合、不正アクセスが企業の営業秘密を侵害する主な手段となり、営業秘密の漏洩リスクを高めている。企業は、電子情報技術、ルールの不備やクラウドサービスシステムのセキュリティ管理問題によって、情報の状態やトラフィックを正確に追跡することができず、営業秘密が第三者から不正アクセスされるリスクが高まっている。
三、「クラウドストレージ」における営業秘密の機密性認定が困難というリスク
企業は、デジタル変革においてクラウドサービスを購入して、業務とデジタル技術の結合を実現している。独自のクラウドストレージ機能を持っていない企業は、一般にクラウドサービスプロバイダーと契約を交わし、プロバイダーが提供するソフトウェアにアクセスして使用し、企業の営業秘密を含む無形資産を第三者のシステムに保管している。通常、企業とプロバイダーが締結した契約では、ユーザーによる情報のアップロードと伝送はユーザーによる自発的な行為であると約定しており、上記の情報の暗黙の開示とになり、企業がプロバイダーに営業秘密を暗黙に開示したと認定される可能性が生じ、「クラウドストレージ」における営業秘密の機密性認定に支障をきたすことになる。営業秘密の漏洩事件が発生した場合、電子媒体に記載された情報が機密性を有するか否かの判断基準が曖昧であるため、かかる営業秘密の機密性認定は難航する恐れがある。
四、デジタル化により権利侵害された企業の立証に関するリスク
従来の営業秘密侵害事件では、権利侵害された企業は、営業秘密に対して秘密保持措置を講じたことと、営業秘密が侵害されたことを立証する責任を負うが、デジタル変革においては、企業の権利侵害行為の存在を証明する難易度がさらに高くなっている。一般的な情報流用行為を権利侵害行為として直接的に認定することはできない。デジタル変革における権利侵害の認定基準が曖昧であることから、権利侵害された企業は、権利侵害者によるデジタル化した営業秘密への取扱いが権利侵害行為に該当することを証明するためには、より厳しい立証責任を負わなければならない。
それでは、営業秘密を保護することがデジタル変革の新たなリスクに直面して困難であるなかで、打つ手はないのだろうか?実務的な観点からいくつかの対策が考えられる。
1、営業秘密の電子媒体での保管ルールと制度を整備する
企業は、営業秘密を分類し、秘密等級に応じて営業秘密ごとに異なる媒体に保管し、混同を避けることができる。また、等級に応じて秘密へのアクセス権限を定め、電子設備に保存している営業秘密に対しては、文書の暗号化、媒体の暗号化、侵入警告、漏洩対応などの技術手段を講じておく。同時に、営業秘密を取得可能な電子ポートの使用権限を営業秘密へのアクセス権限に応じて制限する。最終的には、企業内に完全な営業秘密保護のメカニズムを形成し、権利侵害が発生した場合に立証できるように、データのアクセスと伝送を適時に記録しておく。
2、クラウドサービスの選択と運用を慎重に検討する
企業がクラウドサービスを購入する際には、プロバイダーの選別とデューデリジェンスを強化し、その技術力とセキュリティ保護能力を重点的に調査し、サーバーの所在地域、過去のセキュリティインシデントの発生確率を把握する必要がある。企業は、営業秘密及び機密性の高い情報についてクラウドサービスシステムを使用する際に慎重に考慮しなければならず、またプロバイダーと契約を締結する際には、サーバーでの保存、データセキュリティ、営業秘密の保護、及び法的責任に関する条項について周到に考慮し、契約する必要がある。
中小企業にとっては、強腰のクラウドサービスプロバイダーが契約条項を修正してくれないという現実的なジレンマがあり、さらには、現行の法律法規ではデジタル化された営業秘密の機密性認定基準についての規定がまだ完全ではないため、クラウドサービスの運用について慎重に考慮すべきである。コアで高度に敏感な情報はパブリッククラウドに保存せず、プライベートクラウドに保存するなど、できるだけ、第三者システムのセキュリティ管理における問題から生じる営業秘密の漏洩リスクを回避すべきである。
3、データの取扱いに関する外部協議条項を最適化にする
従来の営業秘密侵害の主体は、主に企業の直接的な競争相手であったが、デジタル変革おける営業秘密侵害の主体の範囲は、クラウドサービスプロバイダー、ハッカー、ソフトウェアエンジニア及び同じクラウドサービスを利用するその他のユーザーなどデジタル分野の関連主体に拡大される。よって、企業は、営業秘密保護の技術措置と対応メカニズムを完備するほかに、データの取得、流出、ユーザーサービスなどに関わる外部との協議を取り決める際に、事前にリスク識別を強化し、外部主体との関連協議では、データ取扱いと責任分担に関する条項を最適化して締結する必要がある。
