見出し画像

企業の営業秘密の管理実態(9/9)

連載の最終回は秘密情報の区分管理のさらなる普及に向けた現状と課題について説明します。

(1)国内企業における営業秘密の区分管理に関する現状と課題

今回の調査では、他の情報と共通で運用している企業が全体の約4割、大規模企業でも約3割が依然、営業秘密の区分管理をしていない、ことが明らかになりました(図2.2 35)。

画像1

今回調査の回答率は13.6%ですが、情報管理への関心が高い企業の回答が多かったと想定されることから、秘密情報を区分管理している実際の国内企業の比率は実際にはもっと低いと考えらます。また、企業及び有識者へのインタビューの結果、区分管理を推進する際の阻害要因として次のような事項が挙げられました。

○ 現場業務が多様なため、各業務に対応したルールの策定に手が回らない
○ 現場がこれまでの情報管理の方法を変えようとしない
○ 情報管理に先だち社内情報のアセスメントや洗い出し、棚卸し等をしようとしても、現実的なリソースの範囲では終わらず、その先に進めない

たとえ営業秘密の区分管理をしていなくても、組織のITインフラに対して一定のサイバーセキュリティ対策を行うことで情報漏えいを防ぐことは可能で、外部からのアクセス制限は社内の情報に対して一定の対策に相当する可能性があります。しかし営業秘密の不正利用に対し、不正競争防止法による救済措置の適用を可能にする場合、秘密情報の認識可能性は不十分で、区分管理をしないままでは営業秘密該当性が認定されない恐れがあります

(2)無理なく区分管理を始めるためのプラクティス

① 異論と無理が出ないところから始める
これまで区分管理ができなかった理由は「現場の反対」「リソース不足」の影響が大きいなどでした。よって、まずはこれらが障害にならない範囲から始めるのが適切といえます。具体的には「秘密として管理することに誰も異論のない」情報だけ、1部署あたり3種類程度を管理対象とすることが考えられます。例えば次のような営業秘密が挙げられます。

   ○ 人事評価情報
   ○ 非公表の事業戦略、交渉経過
   ○ 特定の担当者以外は参照の必要がなく、企業競争力上重要な技術情報

もっとも、こうした情報はこれまで「存在すること自体が非公表」として扱われていたものが多く、管理対象として存在を可視化することへの抵抗も生じることが予想されます。しかし、今後テレワーク等の環境でこれら情報を扱うことを想定する場合、区分管理等の規定を設けぬまま場当たり的な保護のもとで情報を取り扱うことは、漏えい事故を生じさせる原因となりやすく、適切なルールを定めた上で管理すべきです。

➁ 管理負荷の小さいプラットフォームで管理する
営業秘密等、保護の必要のある情報の取り扱いにつき、多くの企業では表計算ソフトのワークシート等を使った情報管理台帳を用いて情報の持ち出し等の管理を行っています。しかしこのような方法は台帳の管理負荷が大きいとの指摘もあり、形骸化の懸念があります。そこで、これから区分管理を始める場合、商用で提供されている文書管理ソリューションや、クラウド型のオフィスアプリケーションのように、あらかじめ文書管理機能やアクセス制限機能を備えた文書管理用のプラットフォームを用いることも一考に値します。このようなプラットフォームの場合、営業秘密等の保護対象データにアクセスするためには、プラットフォームが提供する認証や申請・承認等の手続を経る必要があり、台帳の内容が実態と乖離するような問題が生じにくいという利点もあります。欠点はプラットフォーム導入の費用が必要なことで、これを避けるために冒頭に示したワークシートによる管理が選択されているとも考えられます。合理的な管理方法はコストと効率を天秤にかけ、組織として検討するのが望ましいです。

(2) 情報管理の成熟度と新たなIT環境の活用状況との関係

情報管理に関する成熟度と、テレワークやクラウドサービス等の新しいIT技術の活用状況との間には、明確な正相関の関係が示されています。これは、適切な情報管理の仕組みを構築し、運用できている企業ほど、適切なサイバーセキュリティ対策を実施しているという当然予測される傾向にとどまらず、企業の事業展開の上で有用となり得る新しいIT環境の活用が可能となり、企業としての競争力を高めることを示唆しています。この場合、活用可能な新しいIT環境には次のようなものが想定されます。

① DX(デジタルトランスフォーメーション)の実現に関するもの
DXが進展する中で、企業におけるIT活用は従来型の情報システム部門主導から現業部門主導へと変化することが見込まれます。もし情報管理に関して成熟度が低い現業部門が、区分管理なし、改善の取組なしのまま、秘密情報を扱おうとしても合理的な保護ができず混乱が生ずる恐れがあります。よってDX推進に先だって、各部署で扱う情報の特徴に応じた管理の体制や手続を整備することが求められます。
さらに、AI(人工知能)の効果的な活用にあたって必要となる機械学習用のデータについても、データの提供事業者と利用事業者との間で今後限定提供データの要件に基づいた保護や取扱の規定が求められることが増えることが見込まれます。アンケート調査結果でもこうした傾向が一部業種等で示されており、限定提供データの三要件を満たすようなデータの保管や共有方法について、自社の事業内容や事業戦略に応じた検討が望まれます(図 2.2 49)。

画像2

➁ ニューノーマルでの事業展開に関するもの
ニューノーマル社会においてはテレワーク等以外にも、行政分野のデジタル化、ヘルスケア分野でのデータ活用、運輸分野における自動化から農作物や食料品等まで、ITのさらなる利活用を前提とした変化が生じていくことが見込まれます。このような環境変化の中で企業の競争力を高めるために、企業内で適切な情報管理のための体制と制度の整備は欠かせません
さらに、早いスピードで社会が変化することが見込まれることから、こうした変化に対応するための手続等の見直しをタイムリーに行えるような体制とすることも考慮する必要があります。連載で紹介してきた調査結果は以下からダウンロードできます。

概要資料表紙

IPAでは2020年度に実施した同調査をふまえ、2017年に公開した「組織における内部不正防止ガイドライン(第4版)」を改訂予定です。

この記事が気に入ったらサポートをしてみませんか?