ラベル 営業秘密の流出 の投稿を表示しています。 すべての投稿を表示
ラベル 営業秘密の流出 の投稿を表示しています。 すべての投稿を表示

2017年11月24日金曜日

米企業ウーバーの個人情報流出事件から考えること

先日、米企業のウーバーが保有する5700万人もの個人情報がハッカーによって 不正取得され、あろうことかそれを隠ぺいするためにハッカーに10万ドルを支払っていた、という驚きの報道がありました。まさに、盗人に追い銭!!

ウーバーが保有していた個人情報は、当然、秘密管理されていたものでしょうから、ハッカーによる個人情報の不正取得は、日本の不競法でいうところの営業秘密の不正取得に他ならないでしょう。

すなわち、ウーバーは営業秘密を不正取得された被害企業であるにもかかわらず、考えられる得る限り、最悪の対応をしたと思われます。

なお、日本において個人情報を保有する企業は、個人情報の保護に関する法律(個人情報保護法)に基づいて、適切に管理する義務を有しているようです。

<個人情報保護法>
(安全管理措置)
第二十条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
(従業者の監督)
第二十一条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっては、当該個人データの安全管理が図られるよう、当該従業者に対する必要かつ適切な監督を行わなければならない。
(委託先の監督)
第二十二条 個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

このため、個人情報が漏洩した企業は、個人情報保護法に基づいて管理義務違反にも問われるようです。

また、たとえ、ハッカーによる不正行為といえども、個人情報を漏洩させたことは当該企業にとっては、道義的にもその管理責任を問われることになる問題かと思います。
このため、国内外の企業にかかわらず個人情報の漏えいがあった場合には、その理由の如何を問わず、即座に公表して対応することは、素人でも分かることです。
その典型的な事例がベネッセの個人情報流出事件でしょう。



ところで、ウーバーはなぜ個人情報漏洩に関して、このような最悪と思われる手段を取ったのでしょうか?そのような悪手を止めることが誰もできなかったのでしょうか?

ウーバーは何かとお騒がせな企業というイメージもありますし、下記の報道には「ウーバーは法令を軽視し、事業展開の速さを優先する企業文化で急成長してきたが、そのツケを払わされている格好だ。14年の個人情報流出時も開示が遅れ罰金を科されていた。」ともあります。企業の体質なのでしょうか?
・ウーバー、5700万人分個人情報流出の隠蔽発覚 16年 (日本経済新聞)

また、「14年の個人情報流出時も開示が遅れ罰金を科されていた。」とのことですから、そもそも、情報流出時の対応が予め策定されていないのかとも思います。
その結果、一部の者の判断でハッカーに追い銭を渡すなどという普通では考えられない対応を取るに至ったのでしょうか?
「サイバーセキュリティー担当トップら幹部2人を解任」ともありますので、一部の者の勝手な判断なのでしょか?
それとも、こらはトカゲのしっぽ切りであり、会社としての判断だったのでしょうか?

ここで、どんな対策をしようが、営業秘密等の情報流出を100%防ぐことは不可能です。ミスによる流出もありますし、従業員による悪意のある流出やハッカーによる流出もあります。
しかしながら、情報流出が起きた場合に、どのような対応を取るかを予め決めておけば、個人の勝手な判断等、誤った判断を防ぐことも可能かと思います。
そもそも、情報流出は普通であれば頻繁に生じることではありません、そのため、対応策を予め策定しておかなければ、情報流出が起きた場合の対応を迅速に取ることはできないとも思えます。特に、個人情報の流出の場合には、例えばカード情報等が流出した場合には、一刻を争う事態です。
言うなれば、情報流出の対応策は、防災対策のようなものとも考えられます。

情報は、企業にとって資産でもありますが、情報の流出可能性を考えると逆にリスクにもなり得るかと思います。例えば、企業が管理する個人情報が流出した場合は顧客に対する対応に費用や労力を要するというリスクになり、技術情報が流出した場合は他社に自社技術を模倣されて自社の価値が毀損するというリスクになるかと思います。
また、不正に取得された他者の情報が流入する場合も、自社の信用を失墜というリスクがあるとも考えられます。

このようなことを考えると、営業秘密管理とは情報管理とリスク管理の組み合わせとも思えます。 

2017年11月17日金曜日

面白かった記事 競業避止義務と営業秘密の流出防止

営業秘密に関する面白かった記事がありました。
うかつに転職したら訴訟沙汰に! 「競業避止義務」と「職業選択の自由」の境界線」という記事であり、筆者の橋本愛喜さんは、自身も町工場の経営をされていたようですね。

記事の内容は町工場の従業員の退職に関し、有能な従業員に対する競業避止義務についてですが、当然、営業秘密も絡む話です。
一見ありがちな話題ですが、実際に町工場の経営をされていた方の記事なので、経営者の悩みを感じ取ることができるかと思います。

私もそうですが、営業秘密だの何だの言っている人の多くは会社経営をしたことはないかと思います。だからこそ、客観的な意見を言えるのかもしれませんが、教科書的な理想論ばかりで実際の現場では出来ないことを言ってしまいがちかなとも思います。

例えば、競業避止義務契約についてはどうでしょうか。
営業秘密等の漏洩防止策の一つとして、就業規則等で競業避止義務を従業員に課しても、その従業員が競合他社へ転職した場合に何ができるのでしょうか?
転職先企業に対してその元従業員を解雇させることもできないし、退職金を返還させるにしても、そのために訴訟を起こす手間や費用が大きすぎペイしないでしょう。しかも、訴訟を起こしたとしても認められない場合も多々あります。
そうすると、営業秘密の漏洩防止のために、競業避止義務を従業員に課すことは現実的ではないとも考えられます。
上記記事からは、そのような経営者の悩みを感じ取れます。


さらに、従業員個人が有する技能、町工場なら例えば溶接や板金、塗装等の技術は、文言等で表すことは難しいことが多く、このため営業秘密として特定難いと考えられます。そして、この有能な技能を自社で培った従業員が競合他社へ転職することは、経営者なら何とかして阻止したいでしょう。

しかしながら、いきなり前言撤回ですが、個人の技能は本当に営業秘密とできないのでしょうか?
その技能が、例えば、特定の装置の特定の使い方(入力する設定値等)に基づくものであったり、複数の装置の組み合わせ方に基づくものである場合には、その装置の使い方や組み合わせ方を営業秘密とできるかもしれません。
装置そのものは当然公知のものと考えられますが、特定の使い方は公知でないかもしれません。その装置のメーカーも想定していない使い方によって、想定していた以上の能力を装置が発揮する場合もあります。
このような場合には、装置の特定の使い方や組み合わせ方を営業秘密として管理することによって、退職者である個人の技能にある意味制限をかけることもできるのではないかと考えます。

すなわち、自社が有する技術に関して、今一度見直すことは重要かと思います。
自社の技術が離職者と共に他社に流出することをどのように防ぐか?
営業秘密として管理できる技術は秘密管理し、それを離職者に認識してもらい、技術流出を可能な限り防ぐことを検討してはいかがでしょうか?

2017年10月25日水曜日

共同研究における学生による営業秘密の流出と新卒社員による営業秘密の流入

前回のブログ「大学等の公的研究機関における秘密情報の管理」では、学生による営業秘密の流出の可能性についても述べました。

大学と企業との共同研究等において、その大学の学生(学部、修士、博士)及びポスドクが他企業に就職した場合に、共同研究企業の営業秘密を流出させてしまう可能性があると考えられます。
さらに、営業秘密の流出の裏返しとして、学生等が就職した企業において、大学在籍時に取得した他企業の営業秘密を開示、使用する可能性も否めません。

では、どのような対策が必要か?
やはり学生に対する教育が必要かと思います。
多くの学生は、営業秘密の漏洩に対する法的リスク等の知識を十分に有しているとは思えません。
企業に勤めている従業員や役員ですら、そうなのですから・・・。

学生と企業との間で秘密保持契約を結ぶことや、学生から秘密情報を漏洩しない旨の誓約書を得ること等も考えられますが、「大学における秘密情報の保護ハンドブック」にも記載されているように、学生と企業との間で過度な秘密保持契約等を行っても無効となる可能性もあるようです。

また、学生との間で秘密保持契約を結ぶことは、学生に対して秘密保持を実行させるという効果がありますが、秘密保持契約を結ぶことで当該秘密情報を漏洩させた場合に民事的責任、具体的には損害賠償を負わせることもその目的だと思います。

しかしながら、秘密保持契約を結んだ学生が当該秘密情報を漏洩したとしても、企業側は
その学生に対して訴訟等により民事的責任を本当に負わせるのでしょうか?

もし、秘密保持契約に基づいて秘密情報の漏洩を理由に学生に対して訴訟を提起し、そのことが報道等されたら、その企業は評判を落とすことになるでしょう。また、秘密情報の漏洩の賠償額は高額になるでしょうから、たとえ勝訴又は和解となっても、資力に乏しい学生に賠償金の支払い能力があるとは思えません。

そうすると、企業が学生との間で秘密保持契約等を行うことの意義があまりないかもしれません。秘密保持契約を行うことは、営業秘密の漏えいに対する抑止力となるかもしれませんが、そもそもその前提としても、学生に対する営業秘密の教育は必要かと思います。


ここで、学生に対する営業秘密に関する教育は、第一に大学側が主体となって行うべきでしょう。
しかしながら、大学による営業秘密の教育が不十分な場合には、企業が共同研究を行う研究室等を対象に営業秘密の教育を直接行うことも検討しては如何でしょうか。そのときに、その研究室における自社の秘密情報(営業秘密)の管理体制の確認等を行ってもよいかと思います。

さらに、新卒社員を入社させる場合にも注意が必要かと思います。
新卒社員が技術系の学生等であれば、在学中に競合他社との間での共同研究に携わっていた学生もいるかもしれません。
そのような新卒社員を介して競合他社の営業秘密が自社に流入する可能性も否めません。
このため、技術系の新卒社員に対して、在学中に他社との共同研究に携わっていたか否かを確認し、場合によっては他社の営業秘密を持ち込まない旨の誓約書を取ることが考えられます。


今後、産学連携による共同研究がより活発化するでしょうから、このように、企業は大学等からの営業秘密の流出、及び新卒採用時における他企業の営業秘密の流入防止を十分に検討する必要があるかと思います。