データ漏洩対応ガイド

データ漏洩による営業秘密漏洩：不正競争防止法に基づく法的論点と法務部の対応

データ漏洩が営業秘密漏洩に発展するリスクと法務部の役割

データ漏洩インシデントは、個人情報や顧客情報の流出に留まらず、企業の生命線ともいえる営業秘密の漏洩に繋がる重大なリスクを含んでいます。特に技術情報、顧客リスト、製造ノウハウ、価格情報などが漏洩した場合、不正競争防止法上の営業秘密侵害に該当し、企業の競争力に壊滅的な影響を与える可能性があります。

法務部門は、単なる個人情報保護法違反対応に留まらず、データ漏洩事案が営業秘密侵害に該当するかどうかを迅速に判断し、不正競争防止法に基づく対応を主導する重要な役割を担います。本稿では、データ漏洩と営業秘密侵害の関連性、不正競争防止法上の論点、そして法務部が取るべき具体的な対応について解説します。

不正競争防止法における営業秘密の定義と要件

不正競争防止法（以下、不競法）において保護される「営業秘密」とは、以下の3つの要件を満たす情報と定義されています（不競法第2条第6項）。

1. 秘密管理性: 秘密として管理されていること。アクセス権限の限定、情報にアクセスした際のログ取得、秘密である旨の表示（マル秘表示など）といった物理的・技術的・組織的な管理措置が講じられている必要があります。
2. 有用性: 生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であること。客観的に事業活動にとって有益な情報であればよく、既に事業に使用されていなくても、将来使用される可能性のある情報や、否定的な情報（失敗事例など）も含まれます。
3. 非公知性: 公然と知られていないこと。情報保有者の管理下以外では一般に入手できない情報である必要があります。

データ漏洩によって流出した情報がこれらの要件を満たす場合、それは不競法上の「営業秘密」として保護され得ます。法務部は、漏洩した情報の内容と、それに対する自社の管理状況を確認し、営業秘密に該当するか否かを迅速に判断する必要があります。

データ漏洩が営業秘密侵害に該当するケースと法的論点

データ漏洩が営業秘密侵害に該当し得る典型的なケースとして、以下のようなものがあります。

• 従業員や退職者による営業秘密の不正な持ち出し: 営業秘密が記録されたPCや記憶媒体の持ち出し、クラウドストレージへのアップロード、メールでの送信など。
• 外部からの不正アクセスによる営業秘密の取得: サイバー攻撃（ランサムウェア、標的型攻撃など）により、企業のネットワークに侵入され、営業秘密を含むデータが不正に取得されるケース。
• 委託先や取引先におけるデータ漏洩: 委託先に提供した、あるいは取引を通じて共有された営業秘密が、その委託先や取引先から漏洩するケース。

これらのケースにおいて、不競法上の「不正競争」行為が成立する可能性があります。営業秘密に関する不競法上の不正競争行為には、主に以下の類型があります（不競法第2条第1項）。

• 取得行為（第4号・第5号）： 窃盗、詐欺、強迫、その他不正な手段による取得、または不正取得されたことを知って、もしくは重大な過失により知らずに取得する行為。外部からの不正アクセスはこの類型に該当し得ます。
• 使用行為（第7号・第8号）： 不正に取得した、または不正に開示された営業秘密を事業のために使用する行為。
• 開示行為（第9号・第10号）： 不正に取得した、または不正に開示された営業秘密を、秘密を保持する義務に違反して開示する行為。従業員による持ち出し・開示はこの類型に該当し得ます。

データ漏洩事案においては、単にデータが流出した事実だけでなく、「誰が」「どのように」そのデータを「取得」し、その後に「使用」や「開示」が行われたかといった行為に着目し、どの不正競争行為類型に該当するかを法的に検討することが重要です。

不正競争防止法に基づく法務部の具体的な対応

データ漏洩が営業秘密侵害のリスクを伴う、あるいは現に営業秘密侵害が発生したと判断される場合、法務部は以下の対応を迅速かつ的確に実施する必要があります。

1. インシデントの初期調査と営業秘密該当性の判断:

   • 漏洩した情報の内容、範囲、漏洩経路、漏洩元の特定を急ぎます。
   • 漏洩情報が、不競法上の営業秘密の要件（秘密管理性、有用性、非公知性）を満たすか否かを法的に評価します。秘密管理性の立証は特に重要であり、事前の管理状況（アクセスログ、規程、秘密表示等）が鍵となります。
   • この過程で、IT部門や外部のフォレンジック専門家と緊密に連携します。法務部は、調査の目的（法的責任追及、証拠保全等）を明確に伝え、必要な情報を得るための指示を行います。

2. 証拠保全:

   • 営業秘密侵害行為の証拠（不正取得の痕跡、使用・開示の証拠、漏洩した情報そのものなど）を確保します。対象となるのは、サーバーログ、PCの操作履歴、メールの送受信記録、持ち出された可能性のある物理媒体など多岐にわたります。
   • 証拠保全は、後の差止請求や損害賠償請求、あるいは刑事告訴等に不可欠です。法務部は、証拠能力を失わないよう、適切な方法で保全が実施されるよう指示・監督します。

3. 侵害行為者への法的措置の検討・実施:

   • 民事上の措置:
     • 差止請求（不競法第3条）: 営業秘密侵害行為が現に行われているか、または行われるおそれがある場合に、その行為の差止めを請求します。迅速な対応が重要となるため、仮処分申請も視野に入れます。
     • 損害賠償請求（不競法第4条）: 営業秘密侵害によって生じた損害の賠償を請求します。損害額の立証が難しい場合、不競法には推定規定（第5条）があり、利用を検討します。
     • 信用回復措置（不競法第7条）: 営業秘密侵害行為によって営業上の信用を害された場合に、謝罪広告掲載などの措置を請求します。
   • 刑事上の措置:
     • 営業秘密侵害行為の一部は、不競法に基づき刑事罰の対象となります（不競法第21条）。企業は捜査機関に対し、告訴を検討することができます。特に悪質な事案や、国内外への情報流出が疑われる事案では、刑事告訴が有効な抑止力となり得ます。海外での侵害行為にも日本の不競法が適用される場合があります。

4. 被害拡大防止策の実施:

   • 流出した営業秘密が悪用されることを防ぐため、取引先や関係者に対し、漏洩した情報の秘密保持の徹底を要請するなど、必要な措置を講じます。
   • 不正競争行為者が既に第三者に営業秘密を開示している場合、その開示を受けた第三者への法的措置も検討の対象となります（善意無重過失でない限り、使用・開示行為が規制されます）。

データ漏洩対応計画（IRP）への組み込みと予防策

データ漏洩事案が営業秘密侵害に発展するリスクを低減するためには、事前の準備が不可欠です。法務部は以下の点を主導的に進めるべきです。

• IRPへの営業秘密侵害対応の明確化: 既存のデータ漏洩対応計画（IRP）に、営業秘密が漏洩した場合の特別な対応フロー（営業秘密該当性の判断、不競法に基づく法的措置の検討等）を明確に組み込みます。
• 秘密管理性の強化: 不競法上の保護を受けるための要件である秘密管理性を強化します。
  • 物理的・技術的措置: 重要情報へのアクセス権限設定、アクセスログ管理、情報持ち出し制限、暗号化等の技術的対策が適切に講じられているかを確認し、改善を促します。
  • 組織的措置: 秘密情報を明確に指定し、「マル秘」などの表示を徹底します。秘密保持規程を整備し、従業員に対する秘密保持義務に関する教育を定期的に実施します。退職者に対する秘密保持義務の確認も重要です。
• 秘密保持契約（NDA）の整備と運用: 取引先、委託先、共同研究先等との間で、適切な秘密保持契約が締結され、その内容が遵守されているかを確認・管理します。契約内容に、データ漏洩時の対応や責任分担に関する条項を含めることも検討します。

まとめ

データ漏洩は、個人情報保護法のみならず、営業秘密侵害として不正競争防止法上の重大な問題に発展する可能性があります。法務部にとって、漏洩した情報が営業秘密に該当するか否かの判断、不競法に基づく差止請求や損害賠償請求、刑事告訴といった法的措置の迅速かつ的確な実施は、企業の競争力を維持し、信用失墜を防ぐ上で極めて重要です。

平時から営業秘密の明確化、秘密管理性の強化、従業員教育、そして有事の際の不正競争防止法対応を組み込んだIRPの整備を進めることが、データ漏洩による営業秘密漏洩リスクに対する最も効果的な対策となります。法務部は、これらの活動を主導し、関係各部署と連携しながら、強固な秘密情報管理体制を構築・維持していく責任を負います。