企業秘密を保護する：「妥当な措置」を取るという課題に組織はどのように対処するべきか

著者 John Hull、クイーンメアリー知的財産研究所、イギリス、ロンドン

企業秘密は、ノウハウやその他の商業的価値を保護するため、ビジネス全体で広く使用されており、それによって、競争力やイノベーションが促進されます。企業秘密の使用とその商業的価値が高まる中、企業秘密を保護するために、企業はどのような実用的措置を取ればよいでしょうか。

2010年にForrester Consultingより出版されたレポート“企業秘密の価値：コンプライアンスとコラボレーションが企業のリスク認識に与える影響”では、「製造業、情報サービス、専門職、科学および技術サービス、運輸など、極めて知識集中型の産業は、情報ポートフォリオの70%から80%を企業秘密から得ている。」と報告されています。企業秘密の重要性は、“内部市場における企業秘密および企業秘密情報に関する欧州委員会の研究（4.1部および4.2部参照）”など、他の研究でも証明されています。これらの研究では、企業はその規模に関わらず、企業秘密を特許やその他の知的財産よりも重要であると考えていることが明らかになっています。

特に中小企業は、様々な理由により、彼らのイノベーションを保護するために企業秘密に頼る傾向にあります。一言で言えば、企業秘密には主題制限はありません。時間のかかる手続きや高価な手続きも必要ありません。実用的保護と法的保護の間の円滑な関係を確保し、契約やセキュリティ対策を即座に補完します。

さらに、商業的に最も価値のある企業秘密のほとんどは、特許性のある主題とは関係していません。最も価値の高い企業秘密は、商業的入札および契約、顧客または供給業者の一覧、財務情報および計画に関する情報に存在する傾向にあります。

政策決定者は企業秘密保護の強化を求めている

企業秘密の商業的価値、そして特にインサイダーによる脅威に対する脆弱性を考慮すると、 多くの国で、その不正流用の懸念が高まっています。例えば、アメリカの裁判所での企業秘密訴訟の数は近年、大幅に増加しており、機密情報に対する認識された脅威に対応するため、1996年に連邦経済スパイ法が採用され、直近では、関連する州法に対し連邦レベルの対応を適用する連邦営業秘密保護法（2016年）が発効されました。

状況は他の国でも類似しています。欧州委員会は、営業秘密の保護に関するEU指令案 （EU 2016/943）に先駆けて 「域内市場における企業秘密および機密情報に関する研究」を発表し、社内外の情報源による不正流用に直面する企業の懸念について注目しました。研究では、過去10年で、アンケートに参加した企業の20%は企業情報の不正流用未遂を少なくとも1回以上経験しており、そのうち約40%が不正流用の脅威が増大していると認識しています。

経済全体の企業に対するその重要性を考慮した際、政策決定者はどうしたら企業秘密保護を強化できるでしょうか？EUは侵害者に対抗する救済策を簡単に入手できるようにすることで、この課題に対応しており、これには、商業的に価値のある情報を維持および保護するためのプロセスが存在するという知識があれば、企業はEU内で国境を超えた取引に従事する傾向が強くなるという前提があります。

EU指令案にある企業秘密の定義から生じる重要な実務的な課題は、企業が情報を保護するためにとるべき「妥当な措置」に関連します。

EU指令案（第2条項（1））のもと、知的所有権の貿易関連の側面に関する協定

（TRIPS）の定義に従えば、企業秘密は、：

「(i) 問題になっている種類の情報を通常扱う人々の間で一般的に知られていたり、容易にアクセスできたりするものであってはならない

(ii) その機密性により、商業的価値がなければならない

(iii)ある条件の下で秘密にするために妥当な手順に従わなければならない。」

アクセスできないことにより、情報は秘密になるかもしれません。しかし、保有者がそれを保護するために「妥当な措置」取らなければ、それは定義の要件を満たすことにはなりません。実際的な意味において、「妥当な措置」の要件を満たすために、企業がとるべき対策とは何でしょう？

EU指令案で設定されたテストは「...ある条件の下で...」という手順で言及している通り、比例的なものです。これは、例えば、大きな製薬会社には中企業よりも強力な保護措置を講じることが期待されていることを示唆しています。さらに、ある国で妥当とされていることが、特に、問題が法廷で検討されている場合は、他の国で同じように評価されるとは限りません。

「大小その規模に関わらず、全てのセクターで事業を展開する企業の企業秘密の価値は明白です。しかし、その他の知的所有権とは違い、企業秘密は競合他社または一般に公開されるとその価値を失います。」

EU指令案で言及されている「妥当な措置」とは、社内または社外の情報源を問わず、企業秘密に対する脅威に対抗することを明確な目的としています。以下の実用的な措置は、指令案の要件をほぼ満たしますが、欧州地域外で事業を展開している企業は、そのような保護手段を採用することで、最も価値のある資産をよりうまく保護することもできます。

社内および社外の脅威に対抗する実用的な措置

特定

企業秘密は知的所有権と異なります。例えば出版された作品のカタログなど、登録済みまたは未登録の権利と対照的に、 Mark Halligan、Richard Weyand著作 ”企業秘密資産管理（2006年）”で記述されている通り、企業秘密のポートフォリオは、「書面、コンピュータードライブ、従業員の記憶に保存されている無形で不完全な情報の雲」です。

秘密を構成するものを定義することは難しいかもしれません。しかし、侵害者による保護する情報の悪用を阻止するために、裁判所に差し止め命令の許可を請求する場合、その定義が重要になります。被告人は具体的に何が使用できないのか正確に知る権利があり、裁判所は、被告人が所有し、保護していると主張するものを定義するよう要求します。

ブラックチェーンテクノロジーが秘密のカテゴリー化および定義に関する問題の解決策の一つとなる可能性があります。安全な保存サイトに証拠をアップロードすることは、シール時間および保存の証拠を提供します。

保護されている情報技術システム

コンピューターシステムに対するサイバー脅威（マルウェア、ランサムウェアなど）は文書で十分に立証されています。組織は、暗号化、パスワード管理、ウィルス監視機能などの安全対策を設置しなければなりません。また、これらの措置は、予測されるリスクのレベルおよび対象となる情報の価値によって調整する必要があります。

物理的管理

ほとんどの企業ではアクセス制御が設置されています。繰り返しますが、訪問者および従業員に適用されるセキュリティのレベルは、組織に対するリスクによって異なります。英国のSunday Telegraphに掲載された最近のニュース記事では、一部の英国企業が、「従業員にマイクロチップを埋め込む（皮下に生体チップを挿入する）」ことで自動アクセス制御を実現し、これによって企業の機密部分を保護する計画を立てていることが掲載されていました。このような極端な手段が企業リスクに対して相応かどうかについては、議論の余地があります。

文書セキュリティ

重要な秘密情報は書面で保存され、社内外を移動しています。ハードコピーまたはソフトコピーの資料を「社外秘」にすることは基本ですが、企業が無視すべきではない重要な手順でもあります。それにより企業が関連情報を隠す必要性に注意を向けていることを明示します。

実施方針

企業秘密を不正流用または開示した人物に対する権利の行使に頼ることは、合理的な取り組みが失敗したことを示唆します。これは、完全に正当化されるわけではありません。権利所有者の最大の努力に関わらず、特定または悪意のある侵害者による悪用または開示のリスクは常にあります。

訴訟には費用とリスクが伴うため、実施方針を設置することとそれをうまく活用することは、別物です。しかし、侵害者を追跡することで、組織は価値ある権利を保持し、保護するための措置を取るというメッセージを提示します。

企業秘密に対する社内の脅威を緩和するための措置

数々の経験的証拠が、企業秘密の主な脅威が社内にあることを裏付けています。例えば、Iron Mountain社による2010年ヨーロッパ従業員アンケートでは、回答者の66％が制作に協力した情報を持ち出した、または持ち出すと回答しました。顧客データは持ち出しに最も人気のある種類の情報です。回答者の72%は情報が次の仕事に役立つと考えています。しかし、雇用主はこの状況に関して、ある程度の責任を負う必要があります。従業員の57%のみが、情報が社外秘として明らかに特定されていたと回答し、そのうち34%は企業のデータ保護方針について認識していないと認めました。

企業が社内の脅威を緩和するために取るべき措置

雇用契約

企業秘密の保護に備えた書面の雇用契約書は、必要不可欠な保護手段です。大抵の雇用者にとっては、標準的な契約書で十分でしょう。しかし、極秘事項の作成を担当している雇用者または極秘情報にアクセスがある雇用者には、企業に与える潜在的な脅威を反映したより具体的な契約条項が必要になります。

（英国を含む）一部の法制度は、一定期間、同じ分野の事業、地理的地域、または特定の競合他社で元従業員が仕事をすることを制限する条項または制限条項の導入を許可しています。これらの制限により、元雇用主は、自身のビジネスの立ち上げまたは競合他社で働くことを理由に退職した従業員による秘密の悪用という不可避なリスクから逃れることができます。制限条項の使用には、使用に関する現地の制約、企業に対するリスクレベル、施行に対するリスクや費用を反映します。

守秘義務方針

企業は大抵、知的財産の作成と所有権（他者に属する知的所有権の遵守と使用を含む）および守秘義務に関して個別の方針を持っています。守秘義務に関する一般的な方針は、企業が従業員にコンプライアンスの重要性を認識させることを明示する健全なビジネスの実践です。

雇用主の措置

組織の業務に関連するあらゆる人材に対する効果的なコミュニケーションは、契約条項や方針と同様に重要です。例えば、雇用主は入社面接を活用して、新入社員を業務手順に慣れされることができます。守秘義務の重要性に関するトレーニングは非常に重要です。このようなプログラムに対する従業員の参加記録があれば、企業の守秘義務に対するアプローチに関して知らなかったと、後で訴えることができなくなります。同様に、退社面接は、雇用主が退職する従業員に雇用期間中に携わったあらゆる情報の守秘義務を順守する義務があることを再確認する機会になります。このような措置の全体的な意図は、職場に守秘義務という企業文化を構築し、企業がその資産に付加する価値を従業員に再認識させることにあります。

従業員の活動の監視

従業員は、（愚かにも）携帯機器にソフトコピーをダウンロードする、または個人のメールアドレスにそのコピーをメールで送信することで、雇用主の機密情報を持ち去る傾向にあることを示す証拠があります。雇用主は国家データ保護法の範囲内で、従業員による職場の電子システムの使用を監視する権利があります。データ損失防止ソフトウェアは、人気上昇中の監視ツールです。それは、異常なデータの流れや情報へのアクセスを検出し、早い段階でデータ漏えいの可能性を特定します。これにより、違反した従業員が退職する前に、違反行為の証拠を突きつけることができるようになります。

企業秘密に対する社外の脅威を緩和するための措置

契約書

第三者との契約書のほとんどには守秘義務条項が含まれており、大抵は「標準的な常用文」が使われています。これらの条項は綿密に検討されるべきで、企業秘密に対する第三者のアクセスによって生じるリスクに合わせて調整する必要があります。

最もありふれた商業的契約である機密保持契約もまた、対象となる情報の予測されるリスクに合わせて、慎重に草稿する必要があります。

デュー・デリジェンス

企業秘密は独特で脆弱な資産です。一度開示されると（または「アクセス可能」になると）、その価値はなくなるか、大きく下落します。そのため、将来の事業パートナーの信用性および信頼性、そして企業にもたらすリスクのレベルについて徹底的な身元調査を行うことは非常に重要です。さらに、このような措置は、営業秘密の保護に関するEU指令案の枠組み内で「妥当」とされるでしょう。

大小その規模に関わらず、全てのセクターで事業を展開する企業の企業秘密の価値は明白です。しかし、その他の知的所有権とは違い、企業秘密は競合他社または一般に公開されるとその価値を失います。TRIPS条約および営業秘密の保護に関するEU指令案で必要とされている「妥当な措置」は、飛び越えられる単なる法的ハードルとして見なされるべきではありません。以上に概説した措置を導入することで、企業はテストに合格し、そしてさらに重要なことに、最も価値のある資産の一部をよりよく保護することができるでしょう。