1月13日の日経朝刊12面では「サイバー攻撃 広がる裏口(上)-『社内は安全』死角を突く」との見出しで、近時の情報セキュリティリスクに対する企業の内部統制(リスク管理手法)の変遷について報じられていました。これまでは外部への防御は厳しく、そして社員(内部)への監視は緩めるという手法をとる企業が多かったのですが、機密情報を盗まれてしまう事例が相次いでいるため、「ゼロトラスト(あらゆる人物や端末を信用せず、データへのアクセスがあるたびに認証するセキュリティ対策)」を前提とした対応をとる企業が増えているそうです。
とはいえ、他社との厳しい競争に打ち勝つため、業務の効率性を(発生確率が低い情報セキュリティリスクのために)犠牲にすることはできず、また技術社員の例外的取り扱いはどうしても必要な場面があります。したがって、記事に登場する大和ハウス工業の執行役員の方がおっしゃるように「火の手はあがるがすぐに消す、というのが現実解」ではないでしょうか。私の日ごろの有事対応の経験からみても、もはや攻撃から機密情報を完全に守ることは不可能であり、むしろ侵入されることを前提に、これを早期に発見して破壊する作業にこそ内部統制の資源を重点的に投入すべきと考えます。
(ソフトバンクロゴ、楽天モバイルロゴ:各社HPから)
さて、情報セキュリティといえば「営業秘密」の管理も重要ですが、すでにご承知のとおり、ソフトバンクの元社員が、同社の通信技術情報を退職日にメール添付の方法で社外に持ち出したことで逮捕されました(※)。また、同社員がすぐに楽天モバイルに中途採用で入社したことから、ソフトバンクは法人としての楽天モバイルを「自社の営業秘密を不正に取得した」として不正競争防止法違反に基づいて民事提訴する方針であることを表明しました(損害賠償請求と営業秘密の不正使用の差止請求)。そういえば昨年10月、エディオンと上新電機との間における営業秘密侵害に基づく損害賠償等請求事件の一審判決が出ましたね(エディオン側が一部勝訴、刑事事件では上新電機は不起訴処分)。
※・・・本日のニュースによれば、当該実行者は、実際には退職日まで約30回にわたり、合計170のファイルを抜き出していたそうです。今後動機の解明が待たれますが、退職から就職までのタイムラグが存在しない中で、かなり大胆な犯行のようです。
営業秘密侵害事件の法律的な解説はご専門の方々にお任せするとして、(コンプライアンス経営の視点から)私は先のサイバー攻撃の課題と同様、どんなに頑張っても重要な営業秘密の漏えいは防げないだろうと考えております。もちろん侵害事件の裁判で重要とされる「秘密管理性」の要件を満たすためにも、事前の予防は必要です。ただ、働き方改革が進むなかで、どんなに秘密保持誓約の合意をしていたとしても、またどんなに不正行為の視認性を高めていたとしても盗む人は盗みます(笑)。したがって、営業秘密を侵害された場合、もしくは不幸にして秘密を取得してしまった場合の事後対応にこそ関心を向ける(資源を重点的に投下する)必要があろうかと。(※)
※・・・もちろん、予防のための内部統制を徹底することで営業秘密の漏えいを防止する対策もあります。たとえば技術系のキーマンが存在するのであれば、そのキーマンだけを徹底してマークする(普段から社内メール等をチェックしておく)、当該キーマンが転職するということであればガーデン・リーブによって強制的に重要情報から隔離する、といったところでしょうか。しかし、これらの対策は副作用を伴いますので、会社としても相当の覚悟が必要です。
ところで、営業秘密の管理ミスや不当な取得行為が企業不祥事として登場する例はあまり見受けられません。裁判例も少なく、先のエディオンの例、ソフトバンクの例などは本当に「氷山の一角」であり、ほとんどの事例は泣き寝入りか水面下での解決となり公開されない、というのが実態だからです。営業秘密を取得した(と思われる)法人にも刑事罰が科されますが、これまで一度も適用されたこともありません(上記の上新電機も不起訴処分)。「タダ乗り」という競争上の不正を許さず、誠実な企業の営業秘密を保護するために、国の規制を強化したり、企業行動指針を策定することも考えられますが、あまり行為規範としては実効性がないような気もします。むしろ民民訴訟を活性化させることで、事後対応次第では企業のレピュテーションリスクが高まるという事態を生じさせるほうが営業秘密管理に向けてのインセンティブになりうるように思います(あくまでも私の個人的な意見ですが)。
ここ数年、新日鉄住金(当時)とボスコの例、日本ペイントと菊水化学の例などをみても、日本企業の「オープン&クローズ戦略」が推奨される中で、営業秘密の保護の社会的要請は高まっているように感じています。そして今後は(営業秘密の適正管理、不正取得防止のために)「民民裁判」を活用する風潮が広がることは十分考えられます。営業秘密を適切に守るためにも、また、不当に他社の秘密を取得しないようにするためにも、裁判手続きを活性化させることで関係企業の内部統制の強化を図る、という考え方です(※)。
※・・・たとえば平成27年の不正競争防止法改正によって、生産技術等の不正使用についての立証責任の軽減措置が導入され、同年1月の営業秘密管理指針の全面改訂により、「秘密管理性」の解釈が緩やかになされるように(要件該当性が認められやすくなるように)指針内容が変更されました。いずれも当事者が裁判を提起しやすくすることが狙いです。
また、不正行為の実行者が逮捕される等によって事件が表面化した場合、秘密が漏えいした企業については秘密管理上の問題が指摘され、一方で秘密の取得が疑われる企業については他社秘密の不正入手防止に関する問題が指摘され、どちらの法人も役員の内部統制構築義務(善管注意義務)違反による損害賠償責任が問われるおそれがあります。したがって将来のリーガルリスクを考えた場合、双方とも最初からミスを認めるはずはなく、(株主利益の最大化のために双方の取締役は全力を尽くしているわけですから)法人としてのコメントも正反対になるのは当然ではないかと思います。
カプコンのように、重要な営業秘密を盗まれて身代金を要求され、これを断固拒否するや実行犯から情報公開をちらつかせて脅される、といった悪質な事例も出ていますので、営業秘密保護のためには海外当局とのネットワークも必要かもしれません。また、刑事事件の威嚇をもって社員に営業秘密侵害の重大性を認識してもらうことも不可欠です。
ただ、特許もとらない、技術公開もしない、しっかり情報は社内で守るという戦略を第一に考えるのであれば、今後は営業秘密を日本としてどう守っていくべきか、官民で真剣に検討すべきであり、ソフトバンク・楽天モバイル事例のように、司法手続きの活用を推奨して積極的に当事者に争わせて、その裁判例の集積のなかで(判決内容だけでなく、当事者のレピュテーションリスクなども考慮しながら)ベストプラクティスを見つけることもコンプライアンス経営の実現という視点からの現実解ではないかと考えるところです。
編集部より:この記事は、弁護士、山口利昭氏のブログ 2021年1月14日の記事を転載させていただきました。オリジナル原稿をお読みになりたい方は、山口氏のブログ「ビジネス法務の部屋」をご覧ください。
