営業秘密管理マニュアル
営業秘密管理マニュアル
営業秘密管理マニュアルのテキスト
営業秘密管理マニュアル
1 目 的
この営業秘密管理マニュアル(以下、「本マニュアルという」)は、株式会社○○○が○○事業等の事業を行うに際して取り扱う営業秘密の保護、漏洩防止とその適切な利用等を図ることを目的とする。
2 営業秘密の定義
営業秘密とは、①秘密として管理されていること(秘密管理性)、②有用な情報であること(有用性)、公然として知られていないこと(非公然性)の3要件を満たす技術上、営業上の情報である。
2-1 秘密管理性
秘密管理性が認められるためには、その情報にアクセス制限を行い、アクセスした者が当該情報が営業秘密であると認識できるように管理し、実際に管理するものでなければならない。
2-2 有用性
有用性が認められるためには、その情報が財やサービスの生産、販売、研究開発に役立つ等事業活動にとって有用性を持つものでなければならない。
2-3 非公然性
非公然性が認められるためには、その情報が管理者以外の者から一般に入手できない状態にでき、実際にそういう状態にできるものでなければならない。
3 営業秘密の選択
種々ある情報の中から営業秘密を選択する。
3-1 営業戦略の分析による営業秘密の把握
自社の強みがどこにあり、その強みのどの部分がどのような営業秘密に立脚しているのかを分析し、把握する。
3-2 経営上の重要性・有用性からの営業秘密の絞込み
営業秘密として管理すべき情報を、経営上の重要性や有用性を踏まえて絞り込む。
3-3 管理方法、保護の観点からの営業秘密の絞込み
営業秘密として管理すべき情報を、情報の利用方法、管理の実効性等の観点から絞り込む。
4 営業秘密の区分管理
4-1 情報の区分と表示
4-1-1 秘密性のレベルに対応した管理
営業秘密は、その他の情報と区分管理し、かつ秘密性のレベルごとに管理する。
4-1-2 営業秘密及び秘密の区分についての認識
営業秘密に該当すること及び秘密性の区分について、権限をもってアクセスした者が客観的に認識可能な状態にする。
4-1-3 他社の営業秘密との混入防止
自社の営業秘密と他者の営業秘密が混入しないように区分管理する。
4-2 アクセス権者の特定
営業秘密ごとにあらかじめアクセス権者を特定し、アクセス権者だけが営業秘密にアクセスできるように管理するとともに、営業秘密へのアクセス記録を残す。
5 安全管理
5-1 安全管理のための組織体制の整備
営業秘密の安全管理措置を講じるため、以下の組織を設置し、その体制を維持する。
5-1-1 営業秘密安全管理委員会(情報セキュリティ委員会)の設置
営業秘密管理責任者、営業秘密管理者等から構成される営業秘密安全管理委員会(情報セキュリティ委員会)を設置する。
5-1-2 営業秘密取扱責任者及び情報システム運用責任者の設置、担当者の限定
営業秘密の取扱責任者及び情報システム運用責任者を設置し、担当者を限定する。
5-1-3 監査責任者の設置及び監査実施体制の整備
監査責任者を設置し、監査実施体制を整備する。
5-2 安全管理のための規程の整備
5-2-1 営業秘密管理方針、営業秘密取扱規程の整備
営業秘密管理方針、営業秘密取扱規程、営業秘密の取扱いに係る建物、部屋、保管庫等の安全管理に関する規程の整備等を行う。
5-2-2 営業秘密取扱手順書、営業秘密取扱台帳の策定
営業秘密取扱手順書・営業秘密管理台帳等を策定する。
5-2-3 社内規程の整備
安全管理のためのその他の社内規程、契約書等の整備を行う。
5-3 物的安全管理措置
営業秘密の安全管理の実効性を確保するために、種々の物的安全管理措置を講じるものとする。
5-3-1 物理的安全管理措置
入退館(室)の管理、営業秘密の盗難防止等の措置を講じるものとする。
(1)入退館(室)管理の実施
① 営業秘密は、原則として、入退館(室)管理を実施している物理的に保護された室内において、取り扱う。持出しが必要な場合は、営業秘密取扱手順書に従って、手続を踏むことが必要。
② 営業秘密を取り扱う情報システムは、入退館(室)管理を実施している物理的に保護された室内に、設置する。
(2)盗難等に対する対策
① 離席時には、営業秘密を記録した書類、媒体、携帯可能なコンピュータ等の管理(パスワード付スクリーンセイバー等の起動)に注意する。
② 営業秘密を含む媒体は、施錠管理する。
③ 営業秘密を取り扱う情報システムの操作マニュアルを、厳重に保管する。
(3)機器・装置等の物理的な保護
営業秘密を取り扱う機器、装置を安全管理上の脅威(盗難、破壊、破損)、環境上の脅威(漏水、火災、停電)から物理的に保護する。
(4)媒体管理
① 媒体の保管
営業秘密を媒体に記録した場合、施錠可能な保管庫に、施錠した状態で保管する。
② 持出制限
アクセス権者に営業秘密の持出しを認めるか否かをあらかじめ決めておき、持ち出しを認める場合には、必ず持出簿を作成し、持出管理を行わなければならない。
③ 廃棄
営業秘密が記録された媒体を廃棄する場合は、復元不可能な措置を講じなければならない。
5-3-2 技術的安全管理措置
営業秘密及びそれを取り扱う情報システムのアクセス制御、不正ソフトウェア対策、情報システムの監視等、営業秘密に対する技術的な安全管理措置を講じるものとする。
(1)営業秘密へのアクセスにおける識別と認証
① 営業秘密に対する正当なアクセスであることを確認するために、アクセス権限を有する従業者本人であることの識別と認証を実施する(IDとパスワードによる認証、生体認証等)。
② IDとパスワードを利用する場合、パスワードの有効期限の設定、同一又は類似パスワードの再利用の制限、最低パスワード文字数の設定、一定回数以上ログインに失敗したIDを停止する措置等を講る。
③ 営業秘密へのアクセス権限を有する、各従業者が使用できる端末又はアドレス等の、識別と認証(MACアドレス認証、IPアドレス認証、電子証明書や秘密分散技術を用いた認証等)を実施する。
(2)営業秘密へのアクセス制御
① 営業秘密へのアクセス権限を付与すべき従業者数を、最小限にする。
② 識別に基づいたアクセス制御を実施する。
識別に基づいたアクセス制御とは、パスワードが設定されているというだけでなく、パスワードを知っている者が特定され、かつアクセスを許可する者に変更があるたびに適切にパスワードを変更するなどして、常にアクセスが識別される状態をいう。
③ 営業秘密を格納した情報システムを、複数の者が同時に利用できないようにする。
④ 営業秘密を格納した情報システムの利用時間を、就業時間内に限定する。
⑤ 無権限アクセス者からの営業秘密を格納した情報システムへの保護措置を講じる(ファイアーウォール、ルータの設定等)。
⑥ 営業秘密にアクセス可能なアプリケーションの無権限利用を防止する(アプリケーションシステムに認証システムを実装したり、業務上必要となる従業者が利用するコンピュータのみに必要なアプリケーションシステムをインストールする等)。
⑦ 情報システムの特権ユーザに対しても、営業秘密の管理上営業秘密の内容を知る必要がなければ、営業秘密へ直接アクセスできないようアクセス制御を行う(トラステッドOSやセキュアOS等アクセス制御機能を実現する製品の利用)。
⑧ 営業秘密を取り扱う情報システムに導入したアクセス制御機能の有効性の検証を実施する(ウェブアプリケーションの脆弱性の有無等)。
(3)営業秘密へのアクセス権限の管理
① 営業秘密にアクセスできる者を許可する権限の管理を、適切かつ定期的に実施する。
② 営業秘密を取り扱う情報システムについて、必要最小限のアクセス制御を実施する。
(4)営業秘密のアクセスの記録
① 営業秘密へのアクセス操作の成功と失敗の記録を、網羅的に記録する。
② 採取した記録の漏洩、滅失、毀損に対して適切な保護措置を講じる。
(5)営業秘密を取り扱う情報システムについての不正ソフトウェア対策
① すべてのコンピュータに、ウィルス対策ソフトを導入する。
② オペレーティングシステム(OS)、アプリケーションシステム等に対するセキュリティ対策用修正ソフトウェア(セキュリティパッチ)を適用する。
③ 不正ソフトウェア対策の有効性・安定性の確認を実施する(パターンファイル、修正ソフトの更新の確認等)。
(6)営業秘密の移送・送信時の対策
① 移送時における紛失・盗難対策を講じる(営業秘密の暗号化等)。
② 盗聴される可能性のあるネットワーク(インターネット、無線LAN等)で営業秘密を送信する際、営業秘密の暗号化を実施しておく。
(7)営業秘密を取り扱う情報システムの動作
① 情報システムの変更時に、それらの変更によって情報システム又は運用環境のセキュリティが損なわれないよう検証する。
(8)営業秘密を取り扱う情報システムの監視
① 営業秘密を取り扱う情報システムの使用状況を、定期的に監視する。
② 営業秘密へのアクセス状況(操作内容も含む)を監視する。
5-4 人的安全管理措置
営業秘密の安全管理の実効性を確保するために、以下の人的安全管理措置を講ずるものとする。
5-4-1 営業秘密管理手続の策定
以下の内容を含む営業秘密の管理手続を定めるものとする。
① 営業秘密の記録媒体等の複写や出力等は、原則禁止とし、業務上複写や出力などが必要な場合は、営業秘密管理者に個別の承認を得て行うものとし、その際は記録を残す。
② マニュアル情報の営業秘密は、営業秘密管理者が管理し、管理・保管場所から原則として持出禁止とし、業務上持出しが必要な場合は、営業秘密管理者に個別の承認を得て行うものとし、その際は記録を残す。
③ 営業秘密を部署外に提供、配送、電送する際は、原則として、営業秘密管理者の承認を得る。
5-4-2 営業秘密管理指針、営業秘密取扱規程、営業秘密取扱手順書等社内規程の策定
営業秘密管理指針、営業秘密取扱手順書その他営業秘密に関わる社内規程等を策定し、それらについて周知徹底を図る。
5-4-3 教育研修
詳細は「6 従業者研修等」参照のこと。
5-4-4 秘密保持契約の締結
詳細は6-2-2ないし6-2-6、7-1-1ないし7-1-6参照のこと。
5-4-5 モニタリングの実施
安全管理措置を遵守するよう、従業者に対して必要かつ適切な監督を行う。
6 従業者研修等
6-1 教育研修制度の整備と実施
6-1-1 教育研修制度の整備
営業秘密の利用及び管理に関する教育研修制度を設ける。
6-1-2 教育研修内容
不正競争行為、刑事罰の対象となる行為、その他不法行為となる行為、営業秘密の取扱いに関する規程の説明を内容とする研修を行う。
6-1-3 教育研修の実施
定期的又は随時従業者に対して営業秘密の安全管理に関する教育研修を実施するものとする。
6-2 雇用契約における安全管理措置
6-2-1 就業規則等の規定
就業規則において秘密保持の規定を設ける。ただし、懲罰規程を設ける場合は労働関連法規を遵守しなければならない。
6-2-2 秘密保持契約の締結
現職の役員・従業者及び退職者との間で秘密保持契約を締結する。
6-2-3 秘密保持契約の締結時期及び手続
6-2-4 退職者との競業避止義務契約
必要に応じ、退職者との間で競業避止義務契約を締結する場合は、その内容の有効性に十分配慮しなければならない。
6-2-5 派遣従業者との秘密保持契約
同程度の業務に従事している自社の従業員に対して課しているのと同等の秘密保持義務を課すようにする。ただし、労働基準法や労働者派遣法に抵触しないように注意する。
6-2-6 転職者との秘密保持契約
他の会社から転職した者を採用する時には、他社の情報に関するトラブルを防止する観点から、転職者が前職で負っていた秘密保持義務や競業避止義務の内容を必ず確認する。
6-3 事故・違反への対処
6-3-1 懲戒手続、損害賠償の規定の整備
就業規則等社内規程に営業秘密の管理、保持義務を明記し、営業秘密の不正取得、漏洩、流出、不正利用を行った場合の懲戒手続、損害賠償等の規定を設ける。
6-3-2 関係者への連絡
営業秘密に関する事故、違反等の存在が明らかになった場合には、危機管理規程に従い、関係者に事情聴取を行い、原因を追及し、関係者に対し適切な連絡を行うよう努める。
7 取引先との秘密保持契約
7-1 秘密保持契約の内容
秘密保持契約に盛り込む内容として以下の点を検討する。
7-1-1 対象となる情報の範囲
対象となる情報の範囲を特定する。
7-1-2 対象となる情報の範囲の変更
対象となる情報の範囲の変更・追加手続を定めておく。
7-1-3 秘密保持義務及び付随義務の内容
営業秘密の目的外利用の禁止、営業秘密の開示の禁止義務などを定める。
7-1-4 例外規定の内容
営業秘密保持義務の例外を定めておく。
7-1-5 秘密保持期間
秘密保持期間を定めておく。
7-1-6 義務違反に対する措置
義務違反に対する措置を定めておく。
7-2 契約書等関係書類の保存
契約書、営業秘密の保有、管理等に関する書類は、営業秘密の漏洩等が発生した場合の対処や、責任の所在を明確にするために、契約終了後○年間保存しなければならない。
ただし、営業秘密の返還、抹消が実施されない場合は、契約が終了するか否かを問わず、保存しなければならない。
7-3 取引先に対する安全管理措置
取引先に開示した営業秘密の安全管理措置は、営業秘密保有者と同一の営業秘密を取り扱うという観点から、営業秘密の保有者が講じている物的、人的安全管理措置と同等の内容を満たさなければならない。この点は、取引先が第三者に業務を委託するなどして営業秘密を開示することとなる場合も同様とする。
8 営業秘密の取得・利用・提供
8-1 取 得
8-1-1 不正な手段による営業秘密の取得の禁止
窃取、脅迫、偽りその他不正な手段により営業秘密を取得してはならない。
8-1-2 他社の営業秘密を取得する可能性が高い場合の留意点
8-2 利 用
営業秘密保有者の承諾した利用目的の範囲内においてのみ営業秘密を利用する。
8-3 提 供
営業秘密保有者の承諾なしにアクセス権限のない第三者に営業秘密を開示してはならない。
9 相談窓口及び社内通報制度の設置
9-1 相談窓口
営業秘密の取扱いに関する相談窓口は以下のとおり。
・法務
・コンプライアンス室の連絡先
・担当者
9-2 社内通報窓口
営業秘密の取扱いに関する社内通報の窓口は以下のとおりです。
・社外弁護士の連絡先
・担当者
9-2-1 社内通報制度運用規程の策定
社内通報制度の運用を定める社内通報規程をあらかじめ策定する。
9-2-2 調査の実施
社内通報窓口への通報その他により、役員、従業者が営業秘密の不正取得等の行為を行ったか又は行おうとしていることが判明した場合、情報セキュリティ委員会が調査を行うものとする。
10 危機管理
10-1 危機管理への対応
10-1-1 営業秘密の漏洩
十分な安全管理対策を講じているにもかかわらず、営業秘密の漏洩等の事故が発生した場合は、事実関係と原因を調査し、早急に安全管理対策を見直して再発防止を図るとともに、被害拡大防止のための措置を講じなければならない。
10-1-2 営業秘密の不正取得等
社内通報制度により自社の役員、従業者等により他社の営業秘密が不正取得されるか、又は不正取得されようとしていることが発見されたときは、直ちに情報セキュリティ委員会が調査し、その行為を未然に阻止し、又は被害の拡大防止措置をとるものとする。
10-1-3 危機管理対応手順の策定と実施
(1)漏洩等の事故が発生した場合の連絡体制の確立
営業秘密の漏洩等の事故の発生に際して、速やかに代表者に事態の発生を報告するために、あらかじめ営業秘密の漏洩等の事故が生じた場合の緊急連絡体制(緊急連絡網)を確立しておく。
(2)調査の実施
営業秘密の漏洩が生じた場合、直ちに事実関係の調査を実施する。
調査に際しては、少なくとも以下の事項を把握するよう努める。
① 漏洩等の事故が生じた営業秘密を取り扱う部署及び担当者
② 漏洩等のルート
③ 営業秘密の外部漏洩の有無
④ 漏洩先
⑤ 漏洩等があった営業秘密の保有者、営業秘密の内容
(3)調査を踏まえた初期対応の決定
調査結果に基づき、取引先への対応、行政・警察及び司法当局との連携、プレス対応・公表等に関する方針を速やかに決定するとともに、原因究明に向け、社内外の関係者への事情聴取、関係各部署の調査・点検、関係資料の調査を迅速に実施し、事案全容の解明に全力を注ぎ、速やかに是正措置を決定し、実行する。
(4)行政・警察への報告・相談、裁判手続等
① 所管の行政当局及び情報セキュリティ委員会への報告・相談
速やかに所管の行政当局及び自社内の情報セキュリティ委員会に報告・相談を行い、必要な助言・指導を受ける。
② 警察への届出
警察に対し、漏洩の場合は捜査の要請、紛失の場合は、遺失物の届出を行う。
③ 裁判手続等
不競法等に基づき、裁判所に対して営業秘密に係る情報の不正使用禁止等を求める仮処分等の手続の申立てを検討し、実施する。
④ プレスへの公表等
代表者は、その責任において、記者クラブ等に対して事案の公表を行ったり、必要に応じて記者会見を行う。
ウェブ、日刊紙等において状況説明、謝罪文を掲載したり、専用の顧客対応窓口を設置し、問合わせへの対応を行う。
(5)被害対応
漏洩等に関わる営業秘密保有者に対して、個別に漏洩等の事態の発生の経過と状況を説明するとともに、必要な謝罪を行う。
(6)被害拡大防止措置
漏洩等が生じた営業秘密が第三者に漏洩しているかどうかを速やかに確認し、それが確認された場合、漏洩先の特定を直ちに行い、当該漏洩先に対して、営業秘密の返還・破棄を求めるとともに、営業秘密の使用状況を確認し、漏洩の拡大防止に努める。
10-2 再発防止措置及び社内処分の決定と公表
10-2-1 再発防止措置の決定・公表
再発防止に向けた具体的な社内体制、物的安全管理措置、人的安全管理措置の検討を行い、速やかに実施する。検討にあたっては、可能な限り外部の専門家をアドバイザーとして活用する。
再発防止の検討結果については、プレス発表から1カ月を目途にとりまとめを行い、情報セキュリテイ委員会及び所管の行政当局に報告するとともに、適宜プレス発表を行う。
10-2-2 社内処分の決定・公表
情報セキュリティ委員会の調査の結果、営業秘密の取扱いに関し不正を働くなどした者に対して、刑事告発、民事手続、懲戒免職等の処分を行う。代表者、情報管理責任者及び漏洩等にかかる部署の営業秘密管理者等に対しても必要に応じて社内処分等の措置を決定し、実施する。
これらの社内処分については、その必要性に応じて、プレス発表やウェブに掲載するなどして、対外的に公表する。
10-2-3 損害賠償額の決定
取引先、従業者に対する損害賠償額を算定するにあたっては、少なくとも以下の事項を勘案する。
① 損害填補費用
② コールセンター設置、運営にかかる費用
③ 漏洩対応に要した人件費、通信費、印刷費等
④ 漏洩の対象となった営業秘密の回収にかかる費用
11 遵守の実効性確保
11-1 内部監査及び外部監査
11-1-1 内部監査の実施
監査役、監査室等の独立の機関により、営業秘密の安全管理対策実施状況等について、内部監査を行い、その結果を直接代表者に報告する。
11-1-2 外部監査の実施
必要に応じて外部監査機関による外部監査を行い、その結果を文書等により直接代表者に報告する。
11-2 情報セキュリティ委員会への安全管理実施状況の報告
情報セキュリティ委員会は、営業秘密の安全管理対策実施状況等について、常時調査、監督を行い、定期的に情報セキュリティ管理者及び代表者に報告する。
ページトップへもどる