企業における営業秘密管理に関する実態調査2020-IPA

4月に入り新入社員が入ってくる企業も多いことでしょう。学生から社会人になるとその行動に責任を求められることが、その第一歩でしょうか。

企業には多くの技術情報や営業情報等、各企業の競争力の源泉となるような情報が存在します。個人情報保護法もあり、これらの情報を適切に管理・活用していくことは重要な課題といえます。
中でも営業秘密の漏えいは、報道等で明らかになる大きな事案のみならず、様々な業種・規模の企業で発生し続けていることが予測され、各企業において適切な営業秘密情報管理を行う必要性がますます高まっていると言えるでしょう。

IPAでは2016年にも「企業における営業秘密管理に関する実態調査」を実施しており、企業の漏えい実態や対策の取り組み状況などを調査しています。
その後、改正された不正競争防止法の施行が2018年11月と2019年7月に、また営業秘密管理指針の改定が2019年11月に行われ、昨今はコロナ禍に伴うテレワーク推進等の社会情勢の動きもありました。
そうした状況も踏まえ、前回調査以降の漏えい発生状況や管理実態や対策の変化、法改正の影響の確認のほか文献、裁判例調査などの最新動向の調査を行い、企業における営業秘密の漏えいの実態を明らかにし、営業秘密漏えいを防ぐために有用な対策等を分析する参考となることを目的にしています。

 

調査結果

1.営業秘密漏洩の発生状況

以下は過去5年以内における営業秘密漏洩事例の有無について質問した結果です。2016年に比べて改善傾向にあることが伺えます。
他社における漏洩状況が明かになることでサイバーセキュリティに対する意識の変化やシステム的な対策が行われた結果かも知れません。
しかしながら、「情報漏洩の事例はない」の回答には、その企業において営業秘密漏洩が発生していないだけではなく、アンケートの回答者(リスク管理部署、情報管理担当部署、サイバーセキュリティ担当部署等)が漏洩の発生を把握していないことも含まれていると考えられます。

図1.営業秘密漏洩の発生状況(2016 v.s. 2020) (出典:IPA)

では、このような営業秘密の漏洩はどのようにして発生しているのでしょうか?

2.営業秘密の漏洩ルート

以下はどのようなルートで、営業秘密の漏えい事例が発生したかについて質問した結果になります。
2016年度調査から選択肢を変更したこともあり、一部の項目で比較できないものもありますが、傾向としては概ね分かります。

図2:営業秘密の漏洩ルート (出典:IPA)

「現職従業員等の誤操作・誤認等による漏えい」が2016年に比べ大きく減少していることは、この期間に実施された企業の取り組みや知識の積み重ねによるものと推測されます。しかしながら、「中途退職者(役員・正規社員)による漏えい」は逆に増えており、従業員にもモラルが問われることではありますが、退職時の従業員との関係性が大きく影響しているのかもしれません。

たまにニュースでも取り上げられる「転職の条件として企業データを持ち出す」などは言語道断ですが、例えば、名刺情報のように個人のものか、会社のものか、その所在がグレーな存在もあります。
また、自身のアイデアを纏めた資料などは、在職期間中、且つ勤務時間内に作成していれば”会社資産”と判断されますが、その発想や着眼点は本人のものであることから、仮にその資料が現職で使われることがなかったなどであれば持ち出したい気持ちは分からないでもありません。
このような場合を除いた”悪意のある”中途退職者による漏えいを防ぐ為には、アクセスログを取得していることの周知徹底や退職時のNDA締結をしておくべきでしょう。しかしながら、”心の鍵”をかけること程度しかできず、また技術的に防ぐことが難しいことから、状況の改善は簡単ではありません。

総じて”情報漏洩の必要性”は、各人レベルまで理解されつつありますが、運用ルールの徹底やサイバー攻撃対策など、新たなステージを迎えたのかも知れません。

3.営業秘密漏洩への対策

また「情報漏えいの事例はない」と回答している企業のみを対象に、営業秘密情報の漏えいが起こっていない要因についても質問をしています。

上位は「データの持ち出し制限」「データの暗号化・アクセス制限」「NDA締結」となっているが、まさに企業が行うべき最初の三項目と言っても良い内容でしょう。

図3:営業秘密の漏洩が起こっていない要因 (出典:IPA)

「データの持ち出し制限」については、USBメモリーへの保存制限や外部クラウドの利用制限などが可能なソリューションやサービスは数多く存在するので、自社の状況にあったものを活用することで実現が可能です。
「データの暗号化・アクセス制限」ですが、暗号化はPCの盗難や不正アクセス対策には有効ですが、従業員の持ち出しには効力がありません。従業員に必要な情報以外はアクセスできないようにする”アクセス制御”を行うことは、総じてセキュリティレベルが向上するので対策をしておくべきです。
そして「NDA締結」ですが、就業期間中は社員規定に関連する記載を行うことで法的拘束力となりますが、退職後は社員規則では縛ることはできません。退職者からの漏洩を予防する意味でも退職時にはNDA(秘密保持契約)を締結することは、情報が価値を餅粉の時代には必須事項と言えるでしょう。
(ちなみに営業秘密には”鮮度”があるので、そのような場合は2~3年の秘密保持期間で問題ないと思います)

これらのように、漏洩ルートやその対策が行われているのですが、果たして営業秘密の漏洩はその実態が正しく把握されているのでしょうか?

4.営業秘密の漏洩対策状況

以下はサーバーのアクセスログ確認やメールのモニタリング等、営業秘密の漏えいに気付くことができるような対策実施の有無について質問した結果です。
大変興味深いのですが、検討中までも含めると70%を超える企業でその対策が行われています。統合セキュリティシステムが登場し、それらを導入した結果ではないかと推測されます。しかしながら、その実施を従業員に周知していない割合が増えていることには驚きを隠せませんが。

図4:営業秘密の漏えいに気付くことができるような対策の実施状況 (出典:IPA)

この従業員への周知を行っている比率の低下理由としては、企業におけるIT機器の利用において一般にセキュリティ対策としてモニタリングが行われることがコンセンサスとして受け入れられていると考えて、積極的に周知を行わない企業が増えたことが考えられます。
”抑止力”として利用するのであれば、情報セキュリティ研修などと併せて実施すると良いかも知れません。

 

【執筆:編集Gp ハラダケンジ】

 


【調査概要】
(1) 調査期間:2020年10月12日~11月27日
(2) 企業への郵送アンケート実施:調査票数 16,000件 回収数 2,175件

・文献調査:不正競争防止法及び企業における営業秘密保護や管理に関する、概ね5年以内の国内外の21文献を調査
・判例調査:2016年調査以降の不正競争防止法における営業秘密管理性が争点となった裁判例について調査

詳細:https://www.ipa.go.jp/security/fy2020/reports/ts_kanri/index.html


 

関連記事

カテゴリー:

セキュリティニュース

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る