流行再び ― 現代企業の営業秘密

特許の将来展望の不確実性が増す中、企業にとって営業秘密の保護がかつてないほど重要となっている。

知的財産の戦略的責任を負う人なら既に状況の変化を感じているかもしれない。特許は、我々の職業人生において、イノベーションの指標としてのみならず、企業が競争上の優位を守り利用する主たる方法としても威力をふるってきた。しかし最早そうではない。古いスタイルの洋服のように、営業秘密が再び流行り始め、注目を集めている。

秘密に対してこうした新たな注目が集まることは、営業秘密が知的財産と同類に値することすら否定する少数の者にとって理解に苦しむことかもしれない。しかし、営業秘密は実際のところ知的財産の最も古い形であり、高度な法的枠組みというよりも自助に根差し、単なる発明技術よりずっと多くの情報をカバーする。営業秘密とその他の形の知的財産権との最も著しい違いは、何の政府認証もないことはさておき、秘密は独占権ではなく、守秘関係において、盗用や悪用のみを防止する点にある。したがって、企業秘密を守るには多大な注意が必要である。

秘密そのものは、大胆不敵なハッキングに関するニュース記事から特許の影響力の縮小に関する失望、企業が自社の営業秘密権を主張するためにより調和的な環境を用意しようという政治的試み(EU指令案が特に顕著である)にいたるまで、最近確かに注目を集めている。

しかし、単に秘密が新たに人気を博しているからといって、その利用が簡単であるわけではない。実際、今日の超接続型グローバル化経済では、この形の知的財産を扱うことはより困難となっている。それでも、行き届いた営業秘密管理によって大きな収益を生み、大きな問題を回避することは可能である。検討すべき7つの重要課題について述べる。

共有すべきか否か?

無形資産が産業基盤として有形資産に取って代わったというのは情報化時代の決まり文句である。この変化は驚くべき速さで起こった。ブルッキングス研究所の調査によると、1978年には株式公開会社の価値の80%が有形資産に関連するものであった。これは10年以内に45%に下がり、1998年には有形30%無形70%という比率となっていた。

こうした無形資産がどのように守られているかを見ると、秘密とする方法は疑いなく増えている。もちろん、特許侵害の検知が難しい製造技術においては、これは常にポピュラーな方法であった。世界のほとんどの国で猶予期間(グレースピリオド)がなく、絶対新規性にこだわるため、全ての特許は営業秘密として出発する。ところが、動きの速い市場において製品ライフサイクルが短くなると、経済の多くの部門において特許の価値は下落した。米国のR&D企業に関するカーネギー・メロンの調査は2000年、イノベーションの成果を守るのに特許よりも秘密が多く利用されていると報告している。この傾向は2009年、米国国立科学財団と米国国勢調査局による調査によって確認され、研究開発集約型に分類される会社は、特許の2倍以上の頻度で秘密を選択していることが明らかになった。

ところが、ますます貴重となるこうした営業秘密は、かつてなく脆弱になっているようである。サイバーアタックは容赦なく侵入に成功する。世界の生産性の驚くべき向上を可能にしたこの同じ通信技術が、情報の流出をほとんど不可避なものとしたようだ。そして、データの安全保護を危うくするのはインターネットだけではなく、USBドライブやスマートフォンといったモバイルデバイスも同様である。今では、企業幹部の多くが、出張等の前と後に自分のラップトップを完全にクリーンな状態にすることを余儀なくされている。

そのため、ビジネスリーダー達は、情報資産を適切に活用するためには、知財保護が整っていない国の企業とも時にこれを共有することが必要であると言われると困惑するに違いない。これが共有のジレンマであり、最近生じた現象である。100年前、ヘンリー・フォードは、自社のプランテーションから自社鋳造工場、自社の輸送ネットワークまでの垂直的統合によって産業に新たなパラダイムを確立し、フォードは自社の自動車の設計、生産および流通のあらゆる側面を管理した。

しかし、世界が小さくなるにつれて、競争優位の現実により、企業は重要な機能の一部の外注を始めることを余儀なくされた。情報化経済によってこの傾向は加速し、企業が製品アイデアやエンジニアリング上の解決策を求めて外部と接触するオープン・イノベーションが生まれた。実は、このプロセスを現在最も熱心に提唱している企業の1つがフォード・モーターである。

オープン・イノベーションは、少数の関係者が具体的な契約に基づいて仕事することにより実践されるという意味においてオープンソースと同じではない。一方で、オープン・イノベーションは情報の共有の必要性を示唆している。自社独自の考え方や技術資産に付加価値を与えるための最良の事業協力は、双方が相手方の製品プラットフォームや方向性を知ることから生まれるためである。主に世界的なサプライチェーンによって推進される多数の同時発生取引にこれを拡大すると、それは現代企業となる。つまり、資産としての情報の創造および管理に完全に依存する一方で、そうした情報を一時的かつ多くは希薄な関係のネットワークに流布させることにもなるのである。

このジレンマと共に生きるには、特に国境を越えた取引において慎重な管理が必要となる。状況は様々であるが、リスクを制限するためのヒントをいくつか示す。

提携相手は慎重に選ぶこと。情報セキュリティに関する相手の関心度合いは自社と一致しているか?

  • 「知的所有権の貿易関連の側面に関する協定」によって調和が約束されているにも拘らず、秘密法および特にその執行メカニズムはかなり多様であることを認識すること。
  • 現地法だけでなく現地の習慣も理解すること。これらは信頼できる個人の言動に影響を与える可能性がある。
  • 「自社の情報と同程度の注意を払う」という言い古された原則には頼らず、提携相手(特にその従業員やコンサルタントに関して)に求める内容を明確に指定すること。
  • 情報セキュリティのための検査・監査権を要求すること。
  • 例えば自国法域で行う、または仲裁(事実にアクセスできるよう証拠開示手続を伴うもの)によって行うなど、効果的な法執行について合意すること。

サイバー脅威

1970年代に私が初めてクライアントと営業秘密の問題を扱う仕事をした頃、情報セキュリティは単純明快だった。すなわちコピー機を監視し、誰が建物に出入りしたかを監視すればよかった。社内のコンピューターネットワークの導入により状況は複雑化したが、ITスタッフやシステムが全てのアクセス・ポイントを管理し、記録していた。会社のシステムが社外と接続され、特にインターネットが出現すると、全てが変わった。全てのデータを四六時中世界中のどこでも入手可能とすることは単に望ましい機能であるだけでなく、ビジネスを行うための絶対条件となった。情報という城の城壁の守備はますます困難となった。

我々はこれを予測すべきだったのだろう。情報が一種の通貨になると、ハッカー達は銀行強盗のように振る舞い、データのある所へと出かけて行った。時にそれは、会社のサーバーを圧倒するよう設計されたDoS攻撃(サービス妨害攻撃)のように単に損害を与えるためだけのものもあった。しかし、手口は巧妙化し、サイバー泥棒たちは繰り返し境界を突き破り、アンチウィルスソフトが認識できないマルウェアを植え付け、時間をかけて会社の最重要情報を発見、回収し、静かにこれを送信した。

表玄関を見張ることでセキュリティに対処するというイメージは、今やどうしようもなく古風に思われる。商業ネットワークは何千台ものラップトップやタブレットやスマートフォン(その多くは従業員個人の持ち物である)に接続されているのだから、会社の情報金庫に至るドアは今や実質的に無数に存在するのだ。施錠システムやプリンターや電話会議の設備が完全に接続されるモノのインターネットの到来は、問題は悪化するばかりだろう。インターネットに接続された商用デバイスを対象とした最近の検査によると、うち4,000万から5,000万台は既知の脆弱性のある古いプロトコルを使っていたことが判明した。

この新たな動きを受けて、セキュリティの専門家たちの多くは、城壁のみの防御は無駄足であり、多数の蛮族が既に城内にいることを前提とするのが賢明な戦略であるとの見解を取っている。その結果、侵害は防ぎ得るものと考えるよりも、その侵入の結果に影響を与えるための検知と対応に重点が置かれている。

しかし、こうした環境におけるリスク管理は、自社ITシステムに関するものに留まらない。どの企業も、程度の違いはあるものの様々なベンダーや顧客、事業協力パートナーとつながっており、その多くが 信頼されたアクセス権を有するのだから、企業のリスク因子はこうした第三者の全てに及ぶ。こうした者のセキュリティ対策は、自社のセキュリティ対策となる。ターゲット社情報漏えい事件は、同社のシステムへの直接侵入によって引き起こされたのではなかったことを思い出してほしい。アクセスは、それほど高度な保護手段が取られていなかった同社の空調業者を通じて達成されたのである。

ここでの教訓は、サイバー攻撃に備えた適切な情報資産管理には、強固なIT防護よりずっと多くのことが必要だということである。リスクと優先順位の総合的かつ機能横断的評価の一部として考えなければならない。

図1.経済域および構成内容別の営業秘密保護指数(2010年)
出典:経済協力開発機構(OECD)

内部者の脅威

情報セキュリティリスクの中で数十年あまり変わっていないものが内部者の不注意な行動である。我々は誰でもミスをするが、調査によると、最大の情報損失を引き起こすのは周到なスパイ行為ではなく、従業員の忘れっぽさと判断の誤りであることが示されている。

これは一般従業員に限らない。通常の電子メールのメッセージに見えた添付ファイルをうっかり開いたのはノーテルの幹部だったが、このファイルは同社のITシステムを静かにこっそりと占領し始め、その活動は10年近くも続いて同社の破たんの一因となった。(セキュリティ会社のウェブセンスは、こうしたフィッシングメールの3分の2が、人々がいつもより忙しく注意が疎かになる月曜日と金曜日に送信されると見積もっている)。

近年、少なくとも内部者の脅威の2つの側面が情報セキュリティをより困難な問題にしている。1つ目は、スタッフと会社の間の電子接続が事実上常時行われていることである。従業員は、連絡を保つためや仕事を片付けるために、多くの場合自分のスマートフォンやその他のモバイルデバイスを使って自宅や出先で仕事をする。この「私的デバイスの活用(BYOD)」と呼ばれる個人用機器の拡散は、ほとんどの企業IT部門がデータシステムの絶対統制を目指して奮闘したが降伏したという事実を反映している。安全で中央管理されたブラックベリーがほとんどの従業員にとって標準仕様だったのはそう遠い昔のことではない。今や、IT部門は、様々なセキュリティレベルの機器の寄せ集めと戦わなければならず、増大するリスクを緩和するために極めて高度なデバイス管理ソフトが必要となっている。

2つ目の変化は、会社の非常に貴重かつ脆弱な資産を日常的に取り扱うことを任されている従業員の態度にある。特に、フェイスブック世代ともよばれる新世紀世代は、自然で望ましい行動として情報を共有することが習慣になっている。ソーシャルメディアで極度の自己開示と思われるような行為をして夜を過ごす労働者たちが、朝になって会社のシステムにログインする際に急にその習慣を変えるとは考えにくい。そして、こういう人達は、空港やホテルで公衆WiFiを使って会社のメールをチェックし、誰かが安価な中間者攻撃デバイスを植え付けてデータの流れを盗み見し、パスワードらしきものを探したり、後に事業に影響を及ぼすようなマルウェアを植え付けたりする機会を伺っていることに気付かないなど、間違ったセキュリティ対策を行っている可能性が高いのである。

しかし内部者の脅威に関する朗報もある。それは、こうした脅威に立ち向かうための明確でコスト効率の良い方法があるということだ。その方法とは効果的なトレーニングと一体となった思慮深く総合的なセキュリティ方針である。情報セキュリティは、オリエンテーションでしか取り上げられないことが多すぎる。現代の脅威および責任に対処するためには、会社の無形財産の保護における従業員の役割に関する専門的で(興味深く覚えやすいように)多様かつカスタマイズされた継続的な教育プログラムが必要である。こうした取り組みは、メッセージが伝わっているだけでなく、日々の行動へと確実に転換されるよう絶えず評価を行うべきである。実際、管理のこうした面が正しく行われれば、スタッフは、営業秘密を守ることによって自分達の職が守られるという存在に関わるリスクを自らが握っていることを理解し始めるだろう。

図2.判決の推移(年度別)
出典:“A Statistical Analysis of Trade Secret Litigation in Federal Courts”, Gonzaga Law Review, 2010

インバウンドの脅威

営業秘密管理における最大の変化のひとつは、認識された脅威の方向性に影響を及ぼしている。かつて、営業秘密の取り扱いとは、これを組織内に留めておくか、或いは外部に出す必要がある場合は厳しい管理下に置くことを意味した。そうしたアウトバウンドの脅威は今も最重要事項であるが、情報の保全には組織内へと入ってくる迷惑なデータによる感染に対する警戒も必要であることが広く認識されている。

「感染」という言葉が示す通り、迷惑な情報とは、露出を生む種々の媒介を持ったウィルスと考えると良いかもしれない。それは新しい宿主の内部で自己複製して変形できるため、根絶するためにはあらゆる困難を伴う。

感染の最も一般的な媒介者は、当然のことながら新入社員である。業界や仕事の性質にもよるが、新入社員は、前職から役に立つ情報を持ち込むことによって成功のチャンスを増やせると考えるかもしれない。それから、自分のかつての作業成果物を手放すことが感情的に難しいと感じる者がいる(ソフトウェア・エンジニアが思い浮かぶ)。もちろん、この現象は新しいものではない。しかし、大量のデータの転送が容易になったことでその発生率は上昇し、技術によってその検知が容易となり、刑事罰が科されることでその結果は一部においてより深刻となっている。我々は、このリスクの性質をより正しく理解するために、これらの各要素を詳しく見ていくべきである。

かつては、新しい勤め口に情報を持っていくには、機密メモや図面または戦略計画の入った運搬箱か、或いは少なくとも複数の書類挟みが必要であった。離職する従業員にどれほど時間をかけることができるかによるが、こうした機密文書は、荷物を整理する際、または後から、取り出された形跡を残さないで抜き出されたかもしれない。電子媒体の初期の時代であっても、保存には実際何らかのコストがかかったため、人々は何を持ち出すべきかについてよく考えて決定する可能性が高かった。今ではメモリー容量は実質的に無限であるので、従業員は全てを保存するのが標準となっているし、急いで出て行く場合、可能であれば全てを持ち出すのが当たり前となっているかも知れない。

確かに、特に前の雇い主がコピーやダウンロードの行為を検知する高度なツールを持たない場合、取得は非常に容易となっている。数分の間に数個のキーを叩けば、従業員は何千もの文書をUSBドライブにコピーしたり電子メールの添付ファイルとして自宅に送信したりできる。これを全て一度に行えば疑いを招くかもしれないが、こうしたキャッシュは長期間にわたって積み上げられることが多く、取得してもアラームは鳴らない。その結果、今日の新入社員は、たとえ善意であっても、自分の仮想ブリーフケースに大量の機密データを掃き集めている可能性がある。

かつてならどうであったかを再び考えてみると、物理的な書類は(おそらく)一度も使われずに何年もガレージに置かれていたかもしれない。しかし、電子記録は、新入社員がより手軽にアクセスできる次の雇い主のプラットフォームへと移動するものである。そしてそれは、(おそらく無関係な)訴訟が起こされ、最新の科学捜査ツールによって発見されるまでそこにある可能性がある。このように、技術は、このような行動が起こる可能性ばかりでなく、それが発見される可能性をも高めたのである。

このことによって、我々は新しい帰結へと至る。1999年、ボーイングとロッキードは重要な防衛調達を巡って競っていた。ロッキード社従業員のブランチは、アースキンというボーイングのマネージャーに引き抜かれた。ブランチは、ロッキードの機密書類をいくつか持ち出し、これを発見したボーイングはすぐさまその発見について報告した。ところが、ブランチは実際には2万5,000ページを超える秘密情報を持ち出していたことがわかったのである。その数年前、アメリカでは、営業秘密の窃盗を初めて連邦犯罪とする経済スパイ法を採択していた。ことが落ち着くまでに、ボーイングはロケット打ち上げ関連契約の約10億ドルを失い、民事訴訟の解決のために6億1500万ドルを支払い、ブランチと前マネージャーのアースキンは連邦犯罪に問われた。以下に説明する通り、この事件は、企業の経営陣や取締役が直面する法令順守義務を浮き彫りにしたものだった。

インバウンドの脅威は、新入社員からのみではなく、非常勤の請負業者やコンサルタントからも生じる(ことが次第に増えている)。関係が短期的であるため、こうした者には暗黙の忠誠心が少ない。また、請負業者はつい最近まで競合相手のために仕事をしていたという場合がよくあり、コンサルタントは同時進行で競合相手とも仕事をしている可能性があり、こうした関係では、各個人が既知のデータを適切に分類して壁で仕切るという難しい頭の体操に苦しむ一方、感染の可能性も大きい。したがって、コンサルタントは、特に同時進行の忠誠心とデータの区分化の狭間でジレンマに直面しこれに対処しなければならない契約プロセスにおいて、特別な経営上の注意が必要である。最低でも、他者に対する契約義務が尊重されることと、コンサルタントの業務が他の者の営業秘密によって影響されないことがきちんと確立されていなければならない。

インバウンド・リスク管理のための別の重要分野は、いわゆる「自製か購入か」の難問にあり、これは外注やオープン・イノベーションへと向かう傾向に関係する。最も一般的な形としては、企業が新たな市場に参入するかまたは新製品を販売することを決めたものの、これを社内開発によって行うべきか或いは必要な技術の買収によって行うべきか定まらない場合に問題が生じる。理想的には、買収機会について調査や分析を行うチームは社内プロジェクトに従事している者と切り離されているべきである。ところが、主要な技術スタッフが両チームに共通の人材であり、ライセンスの可能性に関する調査や評価に通常伴う守秘義務の対象となっている場合がよくある。よって、その後購入ではなく自製との決定が行われると、会社は、社外技術との接触が社内開発に不適切な影響を与えたとの申立てを受ける可能性に直面する。問題の内容が示すように、これを回避するには、おそらく分析の実施に独立の会社を利用することさえ行い、チームを完全に分離してしっかり管理することがほぼすべての場合において必要である。

表1.不正流用者とされた人の属性
  1950~2007年 2008年
従業員または前従業員 52% (142) 59% (71)
事業提携相手 40% (109) 31% (37)
事業提携相者 3% (8) 9% (10)
その他または不明 7% (19) 5 % (6)
出典:National Science Foundation/National Centre for Science and Engineering Statistics, Business
R&D and Innovation Survey 2008 

ガバナンス問題

営業秘密が弁護士やIT部門に任せられた知的財産の単なる不可解な側面だった頃は、重大な訴訟でもない限り、取締役会レベルで心配する理由はまったくなかった。今や秘密情報は企業の資産ベースのうち最大の割合を占め得るため、取締役会を含む全ての経営陣が関与する必要がある。

注意を払う最も明白な理由は法的責任を回避することであろう。基本的なこととして、取締役会や経営上層部は、組織に対し、適用法の順守を確実に行う信任義務を負っている。そして、ボーイングの事例で見た通り、結果は深刻なものとなり得るのだ。この問題に対処するために企業は何をすべきだろうか?

経済スパイ法に触れる危険性は、連邦量刑指針の要件を満たすコンプライアンス計画を実施することによって大幅に減少できる。法的責任を軽減するために量刑を参照するのはおかしな方法に見えるかもしれないが、実際、量刑手続において裁判官が有責性を判断するのに使われる同指針は、検察官が第一審で起訴を求めるかどうかを決めるのにも使われている。優れたコンプライアンス計画の実施は、一般に、当該企業は社員を取り締まるために必要なことを行っており、1人や2人の不誠実な従業員の行為について責任を問われるべきではないことを示すのだから、これは理にかなっている。その要件の抜粋は次の通りである(上級管理職の関与が重視されていることに留意):

  • インバウンド汚染リスクを低減させるための方針および内部統制
  • 取締役会および経営上層部が当該プログラムを知っており、プログラム管理者は取締役会に直接アクセスできること
  • 取締役会および経営上層部のための関連トレーニング
  • 監査および監視システム
  • 法令順守奨励策、違反に対する懲罰
  • 不正行為の証拠に対する迅速な対応

経済スパイ法に基づく適切なコンプライアンス計画が、他の国々の刑法に基づく企業リスクに直接影響を与えるわけではないが、会社が予防措置を実施した場合、原則的にどの国の当局でもその予防措置を起訴しない理由として考慮するはずだ。

取締役会には、会社の営業秘密を保護および利用する自らの責任について憂慮する理由が他にもある。アメリカでは、多くの政府機関が最近この問題に関心を示している。例えば、連邦取引委員会は2012年、コンピュータ・システムへの不正侵入によって顧客情報が漏えいし1,000万ドルの不正損失が生じた件でウィンダム・ホテルズを告訴した。告訴の根拠は、ウィンダムの経営陣が自社ネットワークについて「合理的なセキュリティを維持しなかった」ことであった。連邦取引委員会はこれが不公正で欺瞞的な行為を禁ずる法に違反すると主張した。連邦第3巡回区控訴裁判所の最近の判決は、そうした主張は同機関の責務の範囲内であることを確認した。関連する株主代表訴訟は棄却されたが、これはウィンダムがその脆弱性を精査し対処する迅速な行動を取ったからに過ぎなかった。この事件は個人のプライバシー情報に関するものであったにしても、同じ分析がより広く重大なセキュリティ問題に関する職務怠慢に適用されることを想像するのは難しくない。

2011年、米国証券取引委員会はサイバーセキュリティに関するガイドラインを発行した。このガイドラインは、任意ではあるものの、上場企業にとっては必須になるだろうと多くの者が予想している。2013年、欧州委員会は、「産業界はCEOや取締役に対しサイバーセキュリティ確保のための説明責任をもっと負わせる方法を検討すべきであると」と冷ややかに述べ、自社の情報セキュリティリスクを評価し、これに対処することを企業に義務づける法案を発表した。そして2014年2月、米商務省内の機関である米国国立標準技術研究所は、重要インフラの保護のための最優良事例を記載した同研究所のサイバーセキュリティ・フレームワークを発表した。しかし、このフレームワークは実質的に全ての企業に適用できるような形で書かれているため、セキュリティの専門家たちはこれが秘密情報の賢明なリスク管理のための事実上の標準になるかもしれないと考えている。

実際、米国国立標準技術研究所のサイバーセキュリティ・フレームワークは、情報ガバナンスに取り組もうとするあらゆる組織にとって確かな出発点であると筆者は考えている。その指針は、伝統的なリスク管理の言葉で表されており、情報セキュリティをその他の会社機能に統合しやすくなっている。タイトルに「サイバーセキュリティ」の語が含まれているものの、この文書は、複雑さやコスト(トランザクション・オーバーヘッドと費用の両方の意味で)に応じて異なるレベルの管理について説明し、手軽な方法でのデータ保全の様々な側面を広く網羅している。インテルのあるマネージャーは、最近、このフレームワークの利用は「我々のリスク管理技術 および言語を調和させ、インテルのリスク展望における我々の可視性を向上し、リスク許容度の議論を会社全体に知らしめ、セキュリティの優先順位を付ける我々の能力を高め、予算を組んでセキュリティ・ソリューションを展開する」のに役に立ったと報告している。

図3.知的財産権が非常にまたはいくらか重要であると報告した企業(R&D活動の有無および知財権の種類別): 2008年
出典:National Science Foundation/National Centre for Science and Engineering Statistics, Business
R&D and Innovation Survey 2008

立ち上げリスク

あらゆる企業が直面する情報セキュリティリスクは、いずれも新興企業において拡大および増幅する。これは1つには、自らを定義しその将来における多額の投資を正当化するために、アルゴリズムやビジネスモデル、新商品といった情報資産に大きく依存するからである。また1つには、駆け出しの企業というのは一般に、プロトタイプの仕上げや次の資金調達の完了ばかりを重視し、セキュリティにほとんど注意を払わないからである。こうしたリスクは、投資家はもちろん創業者がもっと危惧するに値するものであるが、他より明らかに突出した営業秘密の危険要因が1つある。それは雇用である。

既に論じた通り、全ての企業は、新しいスタッフを迎える際にインバウンド汚染のリスクに直面する。しかし既存組織の場合、これは通常1度に1人という形で生じ、書面での確約を得たり、明白な警告や具体的な指導を伴う慎重な新人研修を行うなど思慮深い緩和策を講じる余地がある。さらに、大きな会社では、新入社員のスキルを活用できる部署に配置するのは容易だか、それが必ずしも前雇用主が所有する機密情報を使いたくなるような領域にはならないように配慮できる。

これに対して、初期段階にある企業は頻繁かつ積極的に人を雇い、自社の業界において開発の最先端で働く実績ある才能を特定企業から探すことが多い。つまり、早急に軌道に乗ろうとする中、競合相手から人を雇うのである。多くの場合、その前にこうした問題に対処するための総合的な手続きについて考え、ましてやそれを実施するような時間はほとんどない。その結果、新興企業とその熱心な新入社員は、成長中の新チームにとって役に立つかもしれないが、その出所に留まるべきだった情報を軽い気持ちで流すという高い代償を伴う失敗を犯す可能性が高いのである。

更に悪いことに、このリスキーな行為は、会社が当然ながら営業秘密訴訟によるコストや注意の分散に最も脆弱な時期に発生し、それはいずれも破滅的となり得る。関係競合会社はこの脆弱性をよく認識し、中には貴重なスタッフの喪失に痛手を受けており、自らの不適切な人材管理以外のところに原因を探している会社もあるかもしれない。このような形で動機が揃うと、去られた側の前雇用主は、高い頻度で訴訟を起こす。その主な動機が自社の知的財産の防御なのか、或いは訴訟により起業して間もない競合相手の名前を汚しつぶすことなのかはわからない。

若い会社(とこれを支える者)を育てるには、他者の営業秘密権を扱うに当たって直面する特別なリスクを理解する必要がある。こうしたリスクを軽減しつつ超一流の人員を採用できるようにするプログラムを確立することは難しいことではない。

守秘義務の課題

特に事業協力に新たな経営上の焦点が当たるにつれ、秘密保持契約(NDA)は、パワーポイントのスライド並みに一般的になっている。大企業の多くは、自社がどれほどの数のNDAを結んでいるかを確実に言うことはできない。もちろん、誰が各契約の管理に責任を負い、正確な合意内容がどうなっており、またすべてが順守されているかどうかも言うことができない。競争上の優位性を守るために産業界がこれほど大きく秘密に依存するようになる中で、その契約の管理がこれほど無頓着に行われているのは皮肉である。

まずはじめに、NDAの締結において態度を変化させなければならない。NDAは結果的な契約であって、空欄を埋める書式ではない。そのNDAで何を達成しようとするのかについての率直な議論により、各サイドの利益と負担を理解した上で交渉すべきなのだ。とは言え、この段階においては最終的な取引について交渉しないよう注意すべきである。NDAは商談に至る道の第1歩であって商談ではないのであり、この2つは分離されなければならない。

交渉においては、以下の条件について特に注意を払うべきである:

  • 保護要件 – 相手方の情報を受取側に適用されるのと同水準の注意を払って保護するという標準的な保証には懐疑的になること。自社の情報に適用されるその水準は、不十分である可能性があるので、自社のデータを不適切な開示や使用から厳密にどのように保護してもらいたいかについて時間をかけて明確にすること。
  • 口頭開示の書面での確認 – 秘密情報を口頭開示した場合には必ず一定期間内に書面で確認することを求めることによって、後から驚くことのないよう自衛すること。但し、下記に言及するように、自社がこの規定を順守できる状態を整えること。
  • 残留情報条項の扱い – 相手の権利の一部放棄に相当する条件なしには秘密開示を受けたがらない企業がある。そうした企業の人々が取り消すかもしれない内容は、特定の文書に言及しない限り保護されないであろう。そうした提案が行われば、それが引き起こす懸念について議論を行い、代替案を探すべきである。これが可能でない場合は、その影響を限定する方法に重点を置くこと。
  • 期間制限 – 秘密保持の約束が永続することのバックエンドリスクを、期間を限定することによって抑えるよう検討すること。但しこれは諸刃の剣であり、自社の秘密データをそうした条件で共有することは、その合意の上での破壊に等しいかもしれないことに留意すること。
  • 輸出規制 – 秘密情報は、国外に転送しなくても、外国籍の人に明かせば規制対象になる可能性があることを忘れないこと。

次に変えるべき視点は、NDAの契約義務の管理についてである。こうした契約のほとんどは両方向に作用するものであるから、自社の情報が他の者によってどう保護されているかに加えて、他社の秘密情報の取り扱いに関する自社の約束を自社がどう果たしているかについても懸念を持つかもしれない。各NDAについてその順守の保証に責任および説明責任を持つ人が1名いることが重要である。理想的には、組織内の誰か別の者がその全ての状況を把握する任務を負うべきである。口頭開示の確認には双方の注意が必要となる。自社チームが確認の必要な情報の開示を行った場合は、文書を作成して適時に引き渡さなければならない。自社チームが確認を受ける場合は、誰かがその正確性をチェックし、食い違いがあれば通知する必要がある。

使用および開示制限の監視は厄介な場合がある。大抵の事業協力は、協力的な取り決めとなることを目的としており、人々はプロジェクトを仕上げようと努力するだろう。しかしながら、こうした現実は、交渉した制限事項が尊重されるようにする必要性を無にするものではない。NDA管理者がこの任務に責任を負うべきである。

プロジェクト終了後の秘密記録の返還または破棄を確実に行うことは困難かつ報われない可能性がある。後片付けの仕事は成果の価値を高めないし、両サイドからの証明書に固執する管理者は時にはまるで厄介者のように感じられるかもしれない。しかし、これを不完全のままにしておくのは厄災を招くことである。

現在の企業における知的財産の管理には、秘密がどのように作用し、そのリスクがどのように評価・管理されているかについての理解が必要である。営業秘密は他の形の知的財産に比べると不可解で曖昧に見えるかもしれないが、我々のクライアントがいかにして価値を創造し維持するかということの中心にあるものである。したがって、これを理解することで、我々は顧客のビジネスの中核により近づくことができ、それ自体が報いなのだ。

図4.調査対象組織における情報セキュリティ管理プロセスの成熟度
出典:EY Global Information Security Survey 2013
図5.セキュリティインシデントの原因(2013~2014年)
出典:PwC, The Global State of Information Security Survey 2015

 

行動計画

自組織のリスク管理プロセスに営業秘密を織り込む際には以下の手順を検討すること。

  • ITシステムにおいては、検知と対応が侵入防御と同じくらい重要であること、またサイバー関連のみが情報保全に対する脅威の源ではないこと認識する。人間関係および行動の管理における弱点を探す。
  • 自社の情報資産の全面的評価に基づいて戦略計画を見直す。当該計画が情報セキュリティとその利用にどのように役立つか否かを評価し、これに従って調整する。さらに自社の知財戦略が秘密を含む様々な形の知的財産の間で最適なバランスとなっているかどうかに目を向ける。
  • 秘密情報が共有されている社外関係について見直す。自社の提携先が情報セキュリティについて同様の認識を有し、十分な手続きを設けてこれに対処していることを確認する。
  • 他社の秘密情報による感染の脅威に備えた管理体制を確立するために、まずは自社の雇用慣行や秘密保持契約管理を見直して応急措置を講じ、次に経営上層部を関与させ、データセキュリティの文化を強化するためのコンプライアンス計画を入念に作成する。
  • 会社にとって最も重要となる資産の創造および維持において、世界的に通用する従業員の役割に関するトレーニング・プログラムを策定する。このプログラムを頻繁にかつ多様なテーマや内容で継続的に実施し、経営陣にも参加してもらう。
シリコンバレーの弁護士ジェームス・プーリーは、世界知的所有権機関の前事務局次長であり、「Secrets: Managing Information Assets in theAge of Cyberespionage (Verus Press 2015)」の著者。

Get unlimited access to all IAM content