はじめに
「うちは就業規則で秘密保持を定めているから大丈夫」「退職時に誓約書も取っている」──そうお考えの経営者の方は多いのではないでしょうか。
しかし、実際の裁判では、こうした書面上の措置だけでは「営業秘密」としての保護が認められず、元従業員による情報持ち出しに対して何の救済も得られなかったケースが少なくありません。本記事では、近時の裁判例を素材に、企業の重要情報を法的に守るために本当に必要な管理体制とは何かを整理します。
営業秘密とは
不正競争防止法は、自由経済社会における品質や価格による競争を促進し、不正な方法による競争を不正競争として2条各号に定義し、これらを禁じている法令です。
この営業秘密という用語は、不正競争防止法2条6項に定義が置かれています。
この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
一般的に、この条文は、次の3つの要件を定めていると解釈されています。
- 秘密管理性
- 有用性
- 非公知性
この条文の特徴は、企業や営業主体が保有する「情報」の財産的性格に着目し、これを保護する点にあります。
例えば、民法では「物権」や「債権」が特に財産的性格を有する権利として定められていますが、前者は有体物に対する権利であり、無体物である情報には及びません。
また、債権は、人に対する請求権であり、これもまた、無体物である情報に対する権利とは言えないため、民法だけでは情報それ自体への権利というものが観念しづらい状況になります。
このような「情報」という無体物に対する権利利益を保護する役割をこの条文が担っているわけです。
同様に、一般的に知的財産権と言われる特許権や著作権なども、有体物や人に対する請求権とは別の、無体物に対する権利を設定し、その内容を規定しているといえます。
秘密管理性
このように、情報という無体物に対して法的な権利を認めようとする場合、「秘密」という用語の意味だけを考えれば、単に、一般に知られていない情報であればいいだけとも思えます。
しかし、本条が「秘密として管理」している情報であることを求めているのは、不正競争防止法が、不正な競争行為を禁じる法令であることに照らして、不正な行為の対象となる秘密情報というのは、秘密として管理されている他人の情報であって、言い換えれば、客観的に秘密として管理されていない情報は、その情報にアクセスできる人間に自由に使用・開示できる認識を抱かせる蓋然性が高いため、情報取引の安定性から保護の対象から外しているからです。
これは、法的な保護に値するのは、単に「秘密情報」であるというだけではなくて、その情報を利用しようとすれば、不正行為を行わざるをえないような「管理」がなされている情報が必要という理解につながります。
この秘密管理性の要件については、当該情報にアクセスした者に当該情報が営業秘密であることが認識できるようにしていること、や当該情報にアクセスできる者が制限されていることなどが実務的に基準として用いられます。
以下に見る事例では、営業秘密に関する認識等において欠けている例は少ないものの、アクセス制限の点において従業員一般がアクセスできるなどの事実が多く、本要件を満たさない判断につながっていることが散見されます。
アクセス制限の側面においては、物理的な制限と技術的な制限の両面からさらに検証することができ、物理的な面においては、書面などの資料の保管場所に施錠があるかどうか、技術的な面においては、サーバーへのアクセスが特定の者のみに制限されているか、社内PC以外に私有PCからのアクセス遮断ができているか、アクセスログが残っているかなどがポイントとなります。
有用性
条文では「生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報」としてその情報の有用性が必要とされています。事業活動に有用な情報であることを求める理由としては、有用でない情報であれば、不正競争行為として規制する必要性に乏しいからです。
生産方法の例としては、設計図、製法、作成マニュアル、作業場のノウハウなどがこれに含まれ、販売方法においては、顧客名簿や販売マニュアル(営業トーク集)、仕入れ先リストなどが挙げられます。
また、情報は有用であれば足り、失敗情報などでも事業活動上の価値があるような情報であれば本要件を満たすと考えられています。
非公知性
「公然と知られていない」情報を指し、情報保有者の管理下以外では、一般的に取得できない情報を指しています。
実務的には、この情報保有者の管理に置くために、情報を開示する際には秘密保持契約などを締結することが一般的です。
近時の裁判例に見る秘密管理性
このような営業秘密の概念を整理したところで、近時の実際の裁判例等を確認していきたいと思います。
大阪地裁令和6年7月30日 令2(ワ)1539号
この事例では、プログラムのソースコードについて、リリース後は社内共有サーバーに保存される一方、開発中のものは、担当者及び共有サーバーに保存され、保存に関する取扱いが定められておらず、各従業員は自己のアカウントでログインすれば全員アクセスできる状態にあった事案です。裁判所は、私有のノートパソコンにソースコードをコピーして保存することが可能であったことや、社外持ち出し禁止や許可に関する社内ルールが存在しなかったこと、私有ノートパソコンからのソースコード削除などの措置を講じていなかったことなどを指摘して、秘密管理性を否定しました。
大阪地裁令和6年12月19日 令5(ワ)12731号
この事例では、営業関連資料について、開放棚の上に注意書きの書面が掲示されていたとしても施錠管理等がなされておらず、営業担当者のみならず従業員一般がアクセス可能であったことや、顧客に提出する書面について、顧客側に秘密にすることなどを求めていないことなどから秘密管理性を否定しています。
なお、本事例では、被告が署名等した秘密保持誓約書があった事案ですが、上記の秘密管理性が否定されていることから、秘密情報には該当しない旨判断しています。
大阪地裁令和7年2月13日 令5(ワ)5749号
この事例では、顧客情報について、IDとパスワードを入力して同システムにログインすれば、全従業員が閲覧可能な状態に置かれていたこと、原告の社用パソコンのみならず、従業員の私用パソコンやスマートフォンからも閲覧が可能であったことから秘密管理性を否定しています。
大阪地裁令和7年4月24日 令3(ワ)10753号
この事例では、顧客名簿等の情報が特に整理されたものではないこと、就業規則における守秘義務条項ではその対象が具体的に特定されていないことから秘密管理性を否定しています。
また、電子基板設計データについて、マル秘などの秘密情報を外形的に示す表示がなく、各従業員が当該データをパソコンに保存することもあり、アクセス制限がなかったこと、私物のパソコンにデータを移すことがあったこと、社外持ち出しも容認され、持ち出し状況の管理がなかったことなどから秘密管理性を否定しています。
大阪地裁令和8年1月22日 令6(ワ)5424号・令6(ワ)8059号
この事例では、マスタ情報について、機能の利用者が一部の従業員に限定されていたことや、就業規則によって守秘義務の徹底が周知されていたこと、対象の情報がセンシティブな情報であり、客観的に秘密情報であることが認識可能であり、さらに秘密情報であることを被告側が認識していたことなどから秘密管理性を肯定しています。
このように、近時の裁判例は総じて、従業員の情報アクセスについて、従業員一般がアクセス可能であった情報については秘密管理性を否定する傾向があることが窺われます。
関連して、私有パソコン等によるアクセスや、社外持ち出しの可否なども判断時の基準に挙がりやすく、アクセス制限として企業は会社の営業秘密情報については特定の従業員のみがアクセス可能な方法により、一般従業員とのアクセスについて差を設けるべきであり、社外持ち出しなどを管理する体制も重要という点が指摘できます。
また、多くの事例において秘密保持契約や就業規則における守秘義務規定、誓約書などが企業側の主張としてなされていますが、秘密管理性の無い事案においては、これらにおける守秘義務等の対象にあたらないとの判断に結び付いていることも指摘できます。
生成AI時代の情報管理体制
このように、近時の裁判例においては秘密管理性の要件として、情報の重要度に応じた従業員に対するアクセス制限を構築することは喫緊の課題といえます。そして、企業の情報コントロールの重要性は、生成AI時代においてはさらに増してくることが予想されます。
従来の情報管理は、「従業員がサーバーやファイルにアクセスする」という比較的シンプルな構図を前提としてきました。しかし、生成AIを業務に導入すると、従業員と情報の間にAIという新たなレイヤーが加わります。このレイヤーを経由する情報の流れを適切に管理しなければ、意図せず秘密管理性を損なうリスクが生じます。
具体的には、以下のような場面が想定されます。
まず、MCP(Model Context Protocol)を用いたエージェント機能です。この技術では、生成AIが社内のデータベースやファイルに直接アクセスして情報を取得・処理することが可能になります。ここでは、「従業員のアカウント → 生成AIモデル → 社内情報」という流れが生まれるため、生成AIがアクセスできる社内情報の範囲を、当該従業員の権限に応じて適切に制限する設計が不可欠です。従業員本人がアクセスできない情報に、その従業員が利用するAIエージェントがアクセスできてしまう状態は、アクセス制限の実質的な形骸化を意味し、秘密管理性の評価に悪影響を及ぼし得ます。たとえば、生成AIに『先月の売上上位10社を教えて』と指示すると、AIが社内の顧客データベースに直接アクセスして回答を生成するような仕組みです
同様に、RAG(検索拡張生成)の場面でも注意が必要です。RAGでは、生成AIが社内文書等を検索・参照した上で回答を生成しますが、生成AIの情報リソースへのアクセス権限は、当該モデルを使用する従業員ごとに設定することが重要です。全従業員が同一の情報リソースにアクセスできるRAG環境は、裁判例が繰り返し問題視してきた「従業員一般がアクセス可能な状態」をAI経由で再現してしまうことになりかねません。
さらに、生成AIアカウントの共有も、秘密管理性に影響を与えやすい要素です。複数の従業員が同一アカウントで生成AIを利用する場合、誰がどの情報にアクセスし、どのような出力を得たかの追跡が困難になります。これは、先に見た裁判例で指摘されたアクセスログの管理という観点からも問題があります。
加えて、重要情報を生成AIに読み込ませた際の出力についても管理ルールが必要です。生成AIは入力された情報をもとに要約や分析結果を出力しますが、その出力自体に営業秘密に該当する情報が含まれる場合があります。出力結果の保存・共有・社外送信に関するルールを定めておかなければ、AIを介した情報漏洩のリスクが生じます。
その他、使用する生成AIモデルに私有パソコンやスマートフォンからアクセスが可能かどうか、という点も見過ごせません。裁判例においても、私用端末からのアクセス可能性は秘密管理性を否定する一要素として繰り返し指摘されており、生成AIの利用端末についても同様の考慮が求められます。
これらを踏まえ、生成AIを業務に導入する企業においては、従来型の情報管理規程に加えて、AI利用に関するポリシーを秘密管理体制の一部として位置づけ、整備していくことが重要です。
自社の営業秘密管理セルフチェック
ここまで見てきた裁判例や生成AI活用時の留意点を踏まえ、自社の営業秘密管理体制を振り返るためのチェックリストを用意しました。一つでも「いいえ」がある場合は、管理体制の見直しを検討されることをお勧めします。
情報の識別と表示
□ 営業秘密に該当する情報に「マル秘」「極秘」「Confidential」等の表示がなされている
□ 社内研修などにより、営業秘密に関する周知徹底を図っている
□ 営業秘密の対象範囲が社内規程等で具体的に特定されている
アクセス制限
□ 営業秘密へのアクセスには、一般従業員とは異なるアカウント・権限が必要とされている
□ 営業秘密情報を含む物理的な資料は、施錠可能な場所で保管されている
□ 私用端末(PC・スマートフォン)からの営業秘密へのアクセスが遮断されている
□ 営業秘密を外部に開示する際に秘密保持契約(NDA)を締結している
社外持ち出しの管理
□ 営業秘密情報の社外持ち出しの禁止又は許可制が社内規程に明記されている
□ 持ち出しが許可された場合の記録・管理体制が運用されている
□ 営業秘密情報へのアクセスログが取得・保存されている
□ 退職時に、営業秘密に係るデータの返還・削除が確認されている
生成AI利用時の管理
□ 生成AIの利用にあたり、従業員ごとに個別のアカウントが割り振られている
□ 従業員のアカウントごとに、生成AIがアクセスできる情報リソースの範囲が区別されている
□ 営業秘密を生成AIに入力した場合の出力の取扱い(保存・共有・送信等)が社内規程に定められている
営業秘密の管理体制は、一度整備すれば終わりではありません。事業の成長や組織の変化、生成AIをはじめとする新たな技術の導入に伴い、情報の流れやアクセスの構造は常に変動します。本記事で取り上げた裁判例が示すように、「書面を整えたから安心」ではなく、実態としての管理が伴っているかどうかが、いざというときの法的保護を左右します。
本記事が、自社の情報管理体制を見直すきっかけとなれば幸いです。社内規程の整備や生成AI利用ポリシーの策定についてお悩みの方は、お気軽にご相談ください。
