商社から別の商社に転職した人物が、旧職場から営業秘密を窃取した容疑で逮捕された。容疑は不正競争防止法違反で、退職後も別の従業員のID/パスワードを使って旧職場のシステムにアクセスし、部品や取引先の情報をダウンロードした疑いがもたれている。
双日元社員を逮捕 転職元の兼松から営業秘密持ち出しか - 日本経済新聞 (nikkei.com)
他人のID/パスワードを使って侵入した時点で不正アクセス禁止法違反だが、市場競争を有利にする目的で情報を窃取した不正競争防止法違反の容疑がかかる。ただその情報が「営業秘密」であったかどうかが、公判で争われるだろう。営業秘密たる条件とは、
・秘密管理の意思が示され、措置が採られていること
・客観的に見て、事業活動に有用なものであること
・そこでしか得られない(公知でない)ものであること
である。
記事にある自動車部品の情報にしても、カタログスペックのようなものなら公知だし、取引先情報も登記簿やWebサイトに載るようなものなら「秘密」ではない。当該企業が何らかの分析を加えて、事業に資するように加工した情報ということになろう。企業内にデータは一杯あるが、このように手を掛けて経営資源とした情報ならばそんなに多くはあるまい。その管理が適切であったかどうかが、最初の条件「秘密管理の意思と措置」で問われるわけだ。
日本企業の情報管理は、境界防御型が多かった。守衛さんがIDカード等で入退勤を管理する。企業内に入ってしまえば、ほぼ全てのシステムにアクセスできるというもの。この境界防御が、クラウドなど外部サービスの利用やテレワークの普及などで難しくなり、アクセス毎にその条件(*1)を吟味して許可/不許可を判定するゼロトラスト型に移行しつつある。
この際、マネジメントとして一番難しいのが情報の機密レベルや利用条件の設定。米国政府では、4段階の機密情報管理(*2)をしている。一般企業のマネジメントでそこまでは必要ないとしても、営業秘密をちゃんと守る措置をしているかは、ステークホルダーから厳しく問われることになるだろう。
*1:利用者、端末、ネットワーク、アプリケーション、インフラ及びアクセス対象情報