コロナの来襲は、企業の活動形態を劇的に変化させ、オフィスに社員を常駐させる形態から、在宅でのテレワークを取り入れた新しい形態が主流となった。
そこで、テレワーク時代における営業秘密の保護方法について、私の意見を述べる。
第1 社員がオフィスに常駐していた時代における情報セキュリティの違い
テレワーク時代における情報セキュリティのポイントとしては、従業員が自宅などの社外にいて従業員をネットワーク経由でしか監視できないことなどから、従業員がオフィスに常駐していた時代と比べて、以下のとおり、いくつかの異なる点がある。
1 リモートアクセスのセキュリティ
テレワーク時代では、従業員が自宅や外出先から企業のネットワークにリモートでアクセスするため、VPNの使用や2要素認証(ユーザーが自分の身元を証明するために二つの異なる認証要素を使用すること)などのセキュリティ対策が重要になる。
2 データ暗号化
オフィスでは物理的なセキュリティが主要であったが、テレワーク時代ではデータの暗号化が重要である。
これは、情報がインターネットを介して送信される際に不正アクセスから保護するためである。
3 個人のデバイス管理
従業員が個人のデバイスを仕事に使用する場合は、特にそのデバイスのセキュリティ管理が重要である。
これには、アンチウイルスソフトの使用や最新のセキュリティパッチの適用が含まれる。
4 オンラインコミュニケーションのセキュリティ
オンラインミーティングやチャットツールなど、コミュニケーションの方法がデジタル中心になることで、これらのツールのセキュリティも重要になる。
5 従業員への遠隔教育とトレーニング
オフィスでは直接的な教育やトレーニングが可能であったが、テレワークではオンラインでの教育やトレーニングが必要になる。
6 家庭環境におけるセキュリティ
家庭での作業では、他の家族メンバーによる情報へのアクセスやLAN環境が社内とは異なることから、盗聴のリスクが生じるため、これを防止する対策が必要である。
7 機密情報の物理的な保管
家庭での書類の保管には特別な注意が必要であり、これはオフィス環境と異なり、通常の住宅ではセキュリティレベルが低いためである。
第2 経済産業省知的財産政策室のQ&A(令和2年5月7日)
テレワークは、「秘密情報を持ち帰らせることなどによる情報漏えいリスクや法的保護の毀損への懸念から、テレワークへの切り替えを躊躇するケースも想定されますが、適切な管理を行いながらテレワークを推進することは可能と考えられる」として、経済産業省知的財産政策室は、主に、不正競争防止法上の「営業秘密の保護」の観点から、企業の秘密情報を適切に守りながら、テレワークを実施していく上で以下のポイントを、Q&Aの形で公表した(以下「Q&A」という)。
1 テレワーク導入時の営業秘密の取り扱いについての懸念。特に、従業員が内部で保管されていた営業秘密を自宅で取り扱う場合の対応方法
2 紙媒体で管理されている秘密情報の従業員の自宅への持ち帰りについて。これが営業秘密として保護されるかどうかの問題
3 電子データで管理されている営業秘密を、企業から貸与された端末のローカルフォルダに保存する際の営業秘密としての保護
4 従業員が社外から企業サーバーにアクセスして電子データを管理する場合の営業秘密の保護。
5 外部クラウドを使用して営業秘密を管理する場合の保護について。
6 自宅以外でテレワークを行う従業員の営業秘密の保護。
7 情報漏洩や不正な持ち出しの事例に備えるための事前対策。
8 従業員が私物の端末を使ってテレワークを行う場合の営業秘密の保護。
9 オンライン会議の利用増加に伴う営業秘密管理の注意点。
10 テレワーク中の従業員間や外部とのチャットツールを使ったコミュニケーションにおける営業秘密の管理。
第3 営業秘密性の確保
1 法的保護の維持
Q&Aでは、テレワーク環境で社外から会社サーバーや外部クラウドにアクセスしても、営業秘密としての法的保護は失われない、と指摘しているが、極めて重要な指摘である。
ただし、「ポイントを押さえた管理を意識することで、万が一の場合でも、営業秘密として不正競争防止法による法的保護を受けられる可能性」があるとして、テレワークにおいては、営業秘密の管理がより重要になったことを注意喚起している。
2 秘密管理性の確保(紙媒体の持ち出し)
秘密管理性要件の趣旨は、「企業が秘密として管理しようとする対象(情報の範囲)が、従業員等に対して明確化されることによって、従業員等の予見可能性、ひいては経済活動の安定性を確保する」ことにある、として、「持出しをする秘密情報が紙媒体の場合、当該書面に「㊙」(マル秘)・「社内限り」等の秘密であることの表示を付すことによって、従業員の予見可能性を確保するといった方法」を提案している。
加えて、「秘密情報の保護に役立つ手法として、秘密情報(重要書類)を社外に持ち出すに当たってのルールを整備することも提案している。
・持ち出しを認める書類を厳選する
・持ち出しにあたって上長等の事前許可を必要とする
・持ち出しをした者・書類・期間を一覧で管理する
・持ち出しをした際の管理方法を徹底させる(書類を机上に放置しない等)
・業務上の必要がなくなった場合には返却を義務付ける、あるいはシュレッダーで裁断するなどの秘密保持に資する安全な方法による廃棄を義務付ける 等
3 秘密管理性の確保(アクセス制限とセキュリティ対策)
持出しをするデータや保存先のローカルフォルダについても、「ID・パスワードによるアクセス制限を実施する、当該データのファイル名や当該データ上に「㊙」(マル秘)・「社内限り」等の秘密であることの表示を付すことによって、従業員の予見可能性を確保するといった方法」を提案している。
加えて、「改めて、営業秘密管理規程や情報管理規程、セキュリティ規程等の関連規定の内容を再確認(場合により見直し)するとともに、その実施状況の確認をすることが有用」であると、注意喚起している。
加えて、「秘密情報の保護に役立つ手法として、以下のようなローカルフォルダへの保存にあたってのルールを整備すること」も提案している。
・ローカルフォルダへの保存を認めるデータを厳選する
・保存にあたって上長等の事前許可を必要とする
・できる限り私物端末機器ではなく勤務先貸与端末機器を使用させる
・勤務先貸与端末機器には勤務先が承認していないソフトをインストールしない(勤務先貸与端末機器に技術的な設定変更制限が可能であれば設定する)
・私用・家族との共用を許可しない
・保存をする勤務先貸与端末機器には勤務先所定のウイルス対策ソフトのインストールを徹底する等十分なセキュリティ対策を行う
・保存をした者・ファイル・期間を一覧で管理する
・業務上の必要がなくなった場合の廃棄を義務付ける 等
4 私物端末機器の利用
Q&Aでは、「私物端末機器の利用を許可したとしても、直ちに、営業秘密としての法的保護の可能性がなくなるわけではありません」として、「、「私物端末機器使用マニュアル」等の私物端末機器を使用するにあたっての手続や基準、注意点等をまとめたマニュアル・基準を作成し、従業員に徹底させることも必要になる」と述べるにとどまっている。
しかし、これまで営業秘密漏洩罪で立件された事案を見ても、従業員に対して倫理規定の順守を求めるだけでは、情報漏洩を防止することはできないことは明らかである。
一度、従業員の端末から、営業秘密が社外に漏洩すれば、営業秘密を知財戦略の要とするビジネスモデルは一夜にして崩壊する。
したがって、営業秘密性が失われない要件と、実際に営業秘密が漏洩しないための要件とは区別して議論されなければならない。
営業秘密が漏洩しないための要件としては、そもそも私物端末機器の利用は禁止すべきであって、勤務先貸与端末機器の利用を義務付けた上、以下に述べるMDMを導入すべきである。
5 MDMについて
MDMとは「Mobile Device Management」の略で、携帯端末管理を意味する。
このシステムは、企業や組織が従業員のスマートフォン、タブレット、ラップトップなどのモバイルデバイスを遠隔で管理し、セキュリティを確保するためのソリューションである。
MDMの主な機能は以下の通りである。
・デバイスの設定と管理
MDMを使用すると、管理者はリモートからデバイスの設定を行い、アプリケーションのインストールや設定の変更を一元的に管理できる。
・セキュリティ管理
MDMはデバイスのセキュリティを強化し、パスワードポリシーの設定、データ暗号化、リモートワイプ(遠隔でのデータ消去)などの機能を提供する。
・アプリケーション管理
特定のアプリの使用を許可または禁止したり、企業が推奨するアプリをデバイスにプッシュすることができる。
・コンプライアンスの監視
MDMは企業のポリシーに準拠しているかどうかを監視し、違反があった場合に警告を発する。
・在庫管理
企業が所有するデバイスの在庫を追跡し、使用状況や配置状況を把握することができる。
・レポートと分析
デバイスの使用状況やセキュリティインシデントなどに関する詳細なレポートを提供し、管理者が意思決定を行うための洞察を提供する。
・ユーザーサポートとトラブルシューティング
MDMはユーザーサポートを容易にし、リモートトラブルシューティングやデバイスの設定変更を支援する。
ところが、Q&Aでは、MDMについては、触れていない。
これは、私物端末機器の利用を許可した場合を想定しているためと思われる。
私物端末機器にMDMを導入する方法もあり得るが、個人の所有物の利用を大幅に制限し、プライバシーを侵害する恐れもあることから、従業員の同意のみで導入を強行することには問題がある。
以上
(このコラムはIP Boost Japanのサイトでも掲載しております。)
問い合わせるにはこちら