COVID-19の懸念に応えて、リモートワークが増えてきています。しかし、リモートワークによって、営業秘密の保護に関する新たな懸念が生まれています。では、現状でのリモートワークは仕方がないとして、このような環境の元でどのように企業秘密の保護を行っていったらよいのでしょうか?
リモートワークのセキュリティーリスク
例えばリモートワーク環境では、従業員は会社のシステムやデータベースから機密情報にアクセスしたり、ダウンロードしたり、保存したりする機会が多くなります。このようにオフィスという管理された場所からリモートワークになることで、営業秘密の漏洩リスクが高まり、場合によっては、部外者がデータに侵入したりアクセスしたりする可能性があります。また、リモートワークの場合、従業員それぞれの自宅での環境が異なるので、従業員のホームネットワークがオフィス内のネットワークセキュリティとほぼ同等のセキュリティを備えているかどうかなど、一連の未知のリスクが付きまといます。
営業秘密訴訟の増加
2016年に営業秘密保護法(18 U.S.C.§ 1836, et seq.)が可決され法整備が進み、企業の顧客リスト、ノウハウ、プロセス、数式、事業戦略、給与構造、およびその他の知的財産に大きな価値がある時代において、営業秘密訴訟は、米国で飛躍的に成長しています。情報が価値があり、秘密にされていて、その秘密から価値を得ている場合、企業が秘密を維持するための合理的な措置を講じている限り、それは保護可能な営業秘密となります。
リモートワークにより秘密保持の仕組みに不具合が?
営業秘密訴訟の大半は(元)従業員に対するものです。つまり、従業員は、企業の貴重な知的財産を保護する上で最大のボトルネックであり、リモートワークに関する働き方には、長期的な視点で、どう方針を変え、仕組みを作っていくかが重要な事柄になります。しかし、営業秘密は一度漏洩してしまったら、それで終わりなので、今からでもできる具体的な対策6つを紹介します。
1. リモートワーク環境における現在の義務と要件を伝える
すでに在宅勤務ポリシーがある場合は、会社の最も貴重な秘密を維持することに重点を置いて、そのポリシーを今すぐ見直しましょう。そのようなポリシーがない場合は、たとえ一時的なものであっても、すぐに実施してください。具体的には、そのポリシーで、企業が機密または企業秘密とみなす情報と、その情報を使用またはアクセスする際に従業員が従うべき特定の手順について、明確な期待値を設定します。会社の方針や手順を従業員に知らせておくことはビジネス上意味があるだけでなく、DTSA(営業秘密保護法)の下での連邦判例法でも重要になってきます。
2. 第三者の営業秘密にアクセスできる場合、特に警戒するべき
あなたが、機密の仕様において製造するサプライヤーであっても、企業秘密のノウハウのライセンスを持つフランチャイジーであっても、リモートワーカーを配置する際に、あなたの義務と注意義務に特に注意を払ってください。第三者との契約書やライセンスを見直し、第三者の機密データに関して異なる事業運営を行う権利があるかどうかを確認することが大切です。契約上、従業員がオフサイトで仕事をしたり、リモートでデータにアクセスすることに関して曖昧な点がある場合には、前もって書面による確認を求めることをおすすめします。米国では、サプライヤー、ベンダー、および第三者からの情報漏洩に関連した紛争が増加しており、損害賠償額が多額になる可能性があります。従業員に業務の遂行を許可する前に、自分がどのような情報を所有・管理し、何を管理していないのかを慎重に検討してください。このような手順を踏むことが、後々の不正使用のクレームを回避する上で非常に重要な点です。
3. 自社の営業秘密にアクセスできる契約当事者に、守秘義務と業務上の義務を伝える
多くの業界では、営業秘密の不正な開示とそれがビジネスに与える損害は、損害賠償金では十分に補償されない場合があります。第三者にライセンスされている、またはアクセス可能な貴重な営業秘密を持っている場合は、リモートワークが一般的に行われているこの時期に、この情報の取り扱いに関する義務をそれらの当事者に改めて伝え、そのセキュリティ手順について問い合わせをするのにいいタイミングかもしれません。
4. 可能な限り、より厳格なアクセスポリシーを制定する
情報へのアクセスを承認するためのプロトコルを確立します。特に情報の価値が高い場合には、そのようなアクセスが必要であるかどうかを考慮に入れたプロトコルであることを確認してください。一般的なアクセス規則の例外は、期間限定であることを明確にし、これらの制限を積極的に実施します。文書のダウンロードや印刷ができなくても閲覧できる技術の利用を検討するのもいいかもしれません。同様に、アクセスを監視し、技術的インフラを評価するためのオプションを検討するのも策です。
しかし、まだこのようなアクセスに関するプロトコルを実施していない場合は、まず営業秘密を特定し、「知る必要がある」データを確認できるようにするために、営業秘密の評価を行いましょう。
5. 機密データ管理を主導する部門横断チームを設置する
営業秘密の専門知識を含むデータ管理を担当するチームを設置します。従業員を対象としたトレーニングを実施し、役割や情報へのアクセスの違いを考慮した上で、従業員の責任を明確にし、実践的で指導的な具体的なコミュニケーションを行うことが重要です。また、テレワークの状況が続く場合には、このチームを利用して従業員の情報の取り扱いを監査し、問題点を指摘するという取り組みも可能です。
6. 手順を文書化する
営業秘密の主張は、企業が非常に価値の高い情報を保護するために合理的な措置を講じたかどうかで決まることがよくあります。詳細かつ効果的な措置をリアルタイムで文書化することは、企業が法的に保護可能な営業秘密を持っていることを示すもう一つの証拠となります。
現在の新型コロナウイルスの脅威にさらされている環境は、前例のない問題です。しかし、連邦巡回裁判所の営業秘密判例法は、あなたの業界における十分な「合理的措置」についてのロードマップを提供しています。今すぐ時間をかけて、従業員の契約、ポリシー、および手順を見直し、最近の判例法に沿ったものであることを確認してください。さらに、貴社が営業秘密に関してリモートワーク環境のリスクを十分に考慮しているかどうかを検討してください。
解説
今回、新型コロナウイルスの影響で早急にリモートワークに変えた企業も多いと思います。現在の状況を見ると、リモートワークが長期化してきそうな様子なので、リモートワークありきで企業秘密の保護についても対策を取っていく時期になってきているのかもしれません。
この企業秘密の保護は、知財だけではおこなえず、ポリシーなどを担当している人事や法務、リモートワークを可能にしているIT部門、それから、社内の情報に日々アクセスしている従業員すべての協力と理解があってこそ、対策ができる問題です。
すでにリモートワークが始まった段階で、企業秘密の保護を一からスタートするのは大変です。しかし、企業秘密は一度漏洩してしまったらそれで企業秘密としての効力がなくなってしまうので、まずは重要な企業秘密を優先して、リモートワークにおける企業秘密の保護に関する環境作りを始めたいところです。
まとめ作成者:野口剛史
元記事著者: William (Bill) F. Dugan. Baker McKenzie (元記事を見る)