記事

2019年11月25日

[情報セキュリティ]顧客の個人情報や製品の技術情報等企業の秘密情報が外部に持ち出された不正競争につ

■企業秘密が狙われている

 顧客に関する個人情報や製品に関する技術情報は、事業を営んでいくために秘密に管理することが求められます。

 ところが、近時はAIによる機械学習のため企業情報をクラウドで集中的に管理し、ネットワークで共有するといった使い方が増えてきており、企業情報が危険にさらされている状況です。

 実際に企業や自治体の個人情報が外部に流出してしまい、海外からランサム攻撃を受けてしまう、セキュリティを高めるためにシステムを一新し再インストールなど対応に高額な費用がかかる例も見受けられます。

 これまでは大企業でセキュリティの脆弱性が目立っており個人情報の流出が報道されてきましたが今後は大企業での対策が進み、中小企業におけるセキュリティ体制が問われてくることが予想されます。

 

■自社にできることは何か?

 自社が大手と取引があるというのであればすでに高いレベルのセキュリティ体制が求められているでしょうが、仮にそうでないとしても、裁判所の実務でどの程度までの管理が求められており、どのような行為に気を付けたらよいかを考えるためにも営業秘密に関する裁判例を知っておくことはとても有効なことです。

 不正競争防止法の営業秘密にあたるかどうかは企業で扱うさまざまな情報のうちで法律で保護されるものとそうでないものを区別する基準となるからです。

 簡単にいえば、いくら重要な情報が盗まれた、又は悪用されたといっても、不正競争防止法の「営業秘密」にあたらないようなものは法律で保護されないと考えてもよいということです。

 そのためどのような規模の企業でも「営業秘密」の要件は必ず意識している必要があります。特に中小企業ではこれを気にかけているか、いないかによって企業情報の法律的なセキュリティが大きく違ってくることになるので必ず確認してもらいたい内容です。

 

■どのルートでどの情報が外部に持ち出されるか?

 企業秘密として問題になるのは顧客情報と製品情報です。また持ち出されるルートとしては退職する従業員が持ち出す場合と取引先から外部に流出してしまう場合が多いようです。もっとも、近時はインターネットから不正なアクセスを経由して外部に流出してしまう例も増えているようです。

 顧客情報の具体例には、自動車などのリース契約の顧客情報が退職した従業員から競合相手に持ち出された事例*2、受信料契約に関する顧客情報が外部の委託先従業員を通じて持ち出された例*4があります。

 リース期間の終了時期がわかりその際に提案される料金プランなどがわかれば競合会社は適切な時期に適切な料金プランを提案できるためかなり有利かつ効率的に営業活動を行うことができます。退職した従業員が競合会社にそうした顧客情報を提供するメリットが高いケースといえます*2。

 一方個人との契約内容には個人を特定できる氏名、住所、電話番号などが含まれるとともに契約内容や履行状況が含まれておりこれら個人情報を開示するなどと脅して金銭その他行為を要求するランサム型の事例もあります*4。

 一方、製品に関する情報としては、新製品に関するデザインの三次元データが取引先に流出したという例*1もありますがこれは本来意匠権で保護されるべきものが営業秘密という形で認められたものです。

 また化粧品やヘルスケア商品を扱う代理店企業に勤務していた従業員が商品の原価を含む情報を他社にプレゼン資料として持ち出した例*3もあります。

 このように見ていくとAIとネットワークの導入にともなうリスクとしては、まずは個人情報を含む顧客情報が退職する従業員から持ち出され、競合会社の営業情報に使われたり、不正アクセス経由も含めて個人情報が流出して不当な要求を受けることに注意する必要があります。

 

■「営業秘密」には秘密管理性が最大のポイントとなる

 不正競争防止法の「営業秘密」にあたるためには、秘密管理性、有用性、非公知性の3つの要件をみたす必要がありますが、裁判で問題になるのは何と言っても秘密管理性です。

 中小企業であればまずこの秘密管理性を強く意識してセキュリティ体制を作る必要があります。

 退職した従業員との関係だけであれば会社内の管理体制が問題になりますが、外部の取引会社から流出したという例*1*4では外部との関係でも管理体制が問われることになります。

 ●社内の管理では規則、周知、アクセス制限などが問題になる

 裁判例では、就業規則、守秘義務契約、誓約書といった規則で秘密保持義務が規定されていること、社内の朝礼、会議、共育などで秘密情報の重要性や秘密保持義務が周知されていることがまず求められます。

 また秘密の対象となっている情報が秘密であることが表示されていて認識できるようになっていること、コンピュータ内の情報であればパスワードや認証によりアクセスできる者が制限されていることといった事情が求められます。

 ●外部との関係では秘密保持契約と秘密情報であることの表示が問題になる

 外部的には機密保持契約があること、その情報が秘密であると表示されていて秘密情報であることが認識できるようになっていることが求められます。

 ただし、新製品の3次元データ自体に秘密であるとの表示がなかったとしてもメールのやり取り全体からそのデータが秘密であることを前提にしているという事情があれば第三者との関係でも秘密管理性が認められています*1。

 これらからわかることは、就業規則や秘密保持義務、秘密保持義務の教育や周知を行うことはもちろん、秘密と考える情報については「秘密厳守」「Confidential」、「マル秘」などの表示を心がけるようにするとよいでしょう。

 また新規の取引先では必ず秘密保持義務を締結するとともに、やはりこの場合もメールや文書に秘密である旨の表示を徹底する方がよいと考えられます。

 ここまでのセキュリティ対策をもって秘密情報を管理していれば、仮に個人情報等の営業秘密が外部に持ち出されても裁判では「営業秘密」にあたることを前提に心理を進めていくことができます。

 

■秘密情報を持ち出す目的は何か?

 では何の目的でこのような営業秘密を持ち出すのでしょうか。

 顧客のリース契約に関する条件であれば競合会社が適格な時期に的確な条件を提示できることになるため、極めて重要な価値のある情報となります。*2。

 同様に商品の原価などの情報についてもこれを取引先などに知られてしまうことは交渉を困難にする他、このような情報を持っている人物であることで交渉を有利にするための材料とするような使い方も考えられます*3。

 また新製品に関する3次元データを正確に知ることができれば、そのデザインにかけた費用や時間などをそのまま自社の製品に取り入れることができるので、その情報の価値も高いことがわかります*1。

 これらは顧客情報や製品情報自体がもっている価値であるということができますが、企業が管理する情報には個人情報も含まれ、これが流出してしまう場合は違った問題に発展することがあります。

 例えば、顧客に関する受信契約を手にした人物が企業の会長に会わせなければその情報を公開するなどと申し向けて自分の主張を通そうとしたり*4、取得した個人情報を公開すると脅して高額な身代金の支払いを要求するランサム攻撃に至る場合もあります。

 このような脅しは多くの場合犯罪にもあたるため、国内であれば刑事事件として対応できるでしょうが、ランサム攻撃はロシアや中国など海外の犯罪組織が主体となっているため対応は簡単ではありません。

 通常のルートとしてはやはり退職する従業員がデータを持ち出すリスクには十分配慮する必要があり、関係が悪化する前に守秘義務契約や営業秘密に対するアクセス制限を検討しておくべきでしょう。

 また新規で取引先を探すような場合は手順として秘密保持契約を締結するとともに、特に重要な製品データや技術データを送る場合は、パスワードをつけるとともに秘密情報であることを明示しておくのがよいでしょう。

 

■損害賠償はどこまで認められるか?

 ではこのように営業秘密として秘密管理性等の要件を満たした場合、損害はどこまで認めてもらえるのでしょうか。

 リース契約情報のような場合であれば具体的にどの顧客が競合会社に奪われたのか、それが持ち出された顧客情報とどれくらい関係があるのかを検討していくことによって損害の範囲が決められることになります。*2。

 しかし製品に関する原価などの情報がプレゼン資料に引用されただけという段階では損害が必ずしも明確な形で確定しているわけではないため、裁判所が裁量によって適切な額に認定するという判断になります*2。

 一方で個人情報を公開すると告げられて対応を迫られたという場合にどこまで損害が認められるかについては個別具体的に検討していくことになりますが、裁判所は自社の職員が対応したというだけではその分の労力について損害を認めていません。これはそのような仕事がなかったとしても通常の賃金は発生したということが理由で、何か追加で費用を要するような支出がなかったという場合は損害として認められない場合が多いといえます。

 一方で製品の3次元データを使用して競合会社が新製品を販売したという事案では、特許権侵害や意匠権侵害などと同様に競合会社が販売した数量に限界利益を掛け合わせるという知財権侵害の損害額算定と同じ算出方法によって計算しています*1。

 

■刑事手続との関係について

 リース契約情報が流出した事案*2では刑事手続が先行しており略式起訴により罰金50万円の罰金とする処分が出ています。

 また刑事事件ですが従業員が顧客情報を自らのスマートフォンにダウンロードして名簿業者に販売した事案*5につき、会社によるアカウントの管理が不十分でありアクセスできる従業員の数が特定できないような場合であっても、アクセスした者が企業にとっての重要な秘密であることがわかり、情報管理について教育もなされていた事実の下で、秘密情報であることの認識可能性を肯定し、当該情報に対してアクセスできる者を制限することは必ずしも要件とならないとして秘密管理性を認め、有罪としました。

 不正競争防止法のような取引秩序を規定する民商法の分野に刑事手続が介入することには批判が多いところですが、顧客名簿の流出のようなケースでは刑事的にも問題になる場合があり、その場合処罰の必要性から要件が緩和される可能性もあるようです。

 企業の営業秘密が海外に流出してしまうような場合は民事では対応しきれない可能性もあることから刑事的な操作に頼らざるをえないこともあるでしょう。

 

■AI技術を導入する場合にセキュリティは必ず問題になる

 現在のAI技術は大量のデータを多層のネットワークで学習させて最適な回答を得るパラメータのセットを構築する深層学習モデルが基本となっています。

 そして企業がもつ顧客情報や製品情報はネットワークで集中的に管理され深層学習の入力又は出力となるものですから、所定の場所に情報が集まらざるを得ない状況になってきます。

 そのような場合にやはり情報せセキュリティの問題は避けて通れない問題であり、個人情報の流出は特に留意しなければなりません。

 今後は中小企業にも被害が拡大することが予想されるところから、まずは自社がどのような秘密情報を扱っており、そのように管理されているのかを確認することが重要です。

 自社が社員と交わしている就業規則、守秘義務契約書、取引先と交わしている秘密保持契約書を見直すところから始めてみるのがよいでしょう。

 

引用した裁判例

*1 東京地裁令和4年1月28日判決 2022WLJPCA01289004

 (新製品の3次元データが交渉中に競合相手に流出した事例)

*2 東京地裁令和4年12月19日判決s2022WLJPCA12198020

 (退職した元従業員がリース契約に関する顧客情報を競合会社の営業活動に利用した事例)

*3 東京地裁令和6年4月25日判決2024WLJPCA04259006

 (退職した元従業員が商品に関する原価等の情報を第三者に提供した事例)

*4 東京地裁令和6年5月14日判決裁判所ウェブサイト

 (受信料契約に関する顧客情報が委託先従業員から流出した事例)

*5 東京高裁平成29年3月21日判決(判タ1443号80頁)

 (刑事事件、従業員が顧客情報を自らのスマートフォンにダウンロードして名簿業者に販売した事例)

 

■お気軽にお問い合わせください。

水野健司特許法律事務所

弁護士 水野 健司

電話:052-218-6790

閉じる