IT訴訟解説：元従業員による顧客情報持ち出しの違法性が争われた裁判「顧客情報は秘密情報なんですか？」

　IT訴訟事例を例にとり、システム開発にまつわるトラブルの予防策と対処法を解説する本連載。今回は、企業の情報システム内に蓄積されるデータの営業秘密性について考えてみたい。

【その他の画像】

　最初にお断りしておかなければならないが、今回はITベンダーのエンジニアというより、ユーザー企業が営業機密を守るために何をすべきかを考えさせられる判決を取り上げており、ユーザー企業の情シスの方に読んでいただきたい内容ではある。しかし、一方でこうした事件を未然に防ぐための提案はベンダーサイドからあってもいいし、むしろそうすべきであるとも考える。

　経営資源としてのデータ活用が叫ばれる昨今、情報システム内のデータの価値は高まる一方だ。顧客情報、取引情報、技術情報など、企業活動の過程で生成、蓄積されるさまざまなデータは、ビジネス上の競争力の源泉となる。特に顧客情報はビジネスの根幹を成す重要な経営資源であり、その保護と活用は企業経営において重要な課題となっている。

　業務システムには膨大な情報が日々蓄積されているが、それらが法的保護に値する「営業秘密」として認められるためには、どのような要件が必要なのか。ある工務店を巡る裁判例を通して検討してみよう。

●営業機密の漏えいを巡る裁判

　まずは概要をご覧いただこう。

---

大阪地方裁判所 令和7年2月13日判決より

ハウスメーカーである工務店は、同社の元支店長および当該元支店長が退職後に自ら設立した建築会社に対して、損害賠償を求めて提訴した。工務店は、元支店長が在職中に自社の基幹業務システムに保管されていた顧客情報を不正に取得し、退職後に自社を設立してこれらの情報を利用し、顧客と新築工事請負契約を締結したと主張した。

工務店の主張によれば、システムに登録されていた顧客情報は「営業秘密」であり、元支店長らによる不正競争行為（不正競争防止法2条1項4号・5号）によって損害をかぶったというものだ。これに対し、元支店長らは当該顧客情報が「営業秘密」の要件を満たさないと反論した。

出典：裁判所ウェブ 事件番号 大阪地方裁判所 令和5年（ワ）第5749号

---

　本裁判の焦点の一つは、基幹業務システム内の顧客情報が不正競争防止法上の「営業秘密」として保護されるに足る秘密管理性を有していたか否かという点だ。

　本件を理解するためには、「営業秘密」の要件を整理しておく必要がある。不正競争防止法2条6項では、「営業秘密」の要件として「秘密として管理されていること」（秘密管理性）、「有用な情報であること」（有用性）、「公然と知られていないこと」（非公知性）の3つを挙げている。このうち、特に問題となったのが「秘密管理性」だった。

　では、情報システム内に保管されている顧客情報は、どのような条件を満たすと「秘密として管理されている」と言えるのだろうか。裁判所はどのように判断したのであろうか。

　工務店の情報管理の実態はどうだったのか。裁判記録によれば、同社の基幹業務システムは、従業員がIDとパスワードを入力すればログインできる仕組みになっていた。また、当該システムにアクセスできる範囲や、情報の取り扱いに関するルールも問題となった。

　果たして、このような管理体制は「秘密として管理されている」という要件を満たすものだったのだろうか。それとも不十分だったのだろうか。裁判所の判断を見てみよう。

---

大阪地方裁判所 令和7年2月13日判決より、つづき（抜粋）

本件各顧客情報は、これが削除されるまでの間は、基幹業務システムにログインさえすれば、1700人前後の多数の原告従業員がほぼ自由にアクセス可能な状態にあり、特段の秘密管理措置がとられていたことも認められないのであって、これらのことからすると、原告において、本件各顧客情報につき、当該情報に接した者が秘密として管理されていることを認識し得る程度に秘密として管理していたと認めることはできない。従って、本件各顧客情報は、秘密管理性の要件を欠くから、営業秘密性を備えるものとは認められない。

---

　ポイントは明確だ。IDとパスワードによるアクセス制限は存在したものの、従業員であれば誰でもアクセスでき、プライベートデバイスからのアクセスも可能という状況では、「秘密として管理されている」と認めるには不十分だというのである。

　工務店側は、就業規則において「会社の業務上の機密事項、および会社の不利益となるような事項を他に漏らさないこと」などと規定されていることを指摘したが、裁判所はこのような一般的な規定があるだけでは秘密管理措置として足りないと判断した。結果として、元支店長による顧客情報の利用行為は、不正競争防止法上の「営業秘密」の不正取得、使用には該当しないとされたのである。

●営業秘密と認められるためにすべきこと

　本判決から得られる教訓は明確だ。システム内の情報を「営業秘密」として法的に保護してもらうためには、アクセス制限だけでは不十分であり、当該情報が秘密であることを接する者が認識できる具体的な管理措置が必要だということである。

　具体的には、以下のような対策が考えられる。

1. アクセス権限の厳格な制限：必要な業務に関わる者だけがアクセスできるよう、情報の種類や重要度に応じたアクセス権限を設定する

2. 秘密情報であることの明示：画面表示や印刷時に「機密情報」「社外秘」などの表示を自動的に付与するようシステムを設定する

3. アクセスログの記録と定期的な監査：「誰が」「いつ」「どのような」情報にアクセスしたのかを記録し、定期的に監査する体制を整える

4. 情報持ち出し制限：USBメモリなどの外部記憶媒体への保存制限や、メール添付の制限などの技術的措置を講じる

5. 秘密情報管理に関する社内規定の整備と教育：単なる一般的な守秘義務ではなく、具体的な情報カテゴリーごとの取り扱いルールを定め、従業員に周知徹底する

6. 誓約書の取得：営業秘密に接する可能性のある従業員から、具体的な秘密保持義務を明記した誓約書を取得する

　要するに、「この情報は秘密情報であり、むやみに共有してはならない」ということが、その情報に接する者にとって明白である状態を作り出す必要があるということだ。

　本判決の示唆するところは大きい。企業は、自社のシステム内の膨大な情報の中から、特に保護すべき営業秘密を特定し、それらに対して上記のような特別な管理措置を講じる必要がある。全ての情報に同じレベルの保護を施すことは現実的ではないため、情報の重要度に応じた「情報管理区分」を設け、それぞれに適した管理措置を実施することが求められる。

　特に、顧客情報のような営業上の秘密情報については、社内での閲覧者を必要最小限に絞り、アクセス記録を残し、外部への持ち出しを厳格に制限するなどの措置が重要である。また、社内規定や研修などを通じて、秘密情報の取り扱いについて従業員に意識付けることも欠かせない。

　本判決は、単にシステム上のアクセス制限を設けるだけでは不十分であることを示した点で、実務上大きな意義がある。情報の流出や不正利用が発生した後に「あれは営業秘密だった」と主張しても、日ごろの管理体制が不十分であれば法的保護は得られないのである。

●IT部門と法務部門の連携が鍵

　このような課題に対処するためには、IT部門と法務部門の連携が不可欠だ。IT部門は技術的な側面から情報保護の仕組みを構築し、法務部門は法的要件を満たす管理体制を整備する。両者が緊密に協力することで、実効性のある営業秘密管理体制を構築できる。

　具体的には、以下のような取り組みが考えられる。

1. 情報資産の棚卸しと重要度の分類：システム内の情報を洗い出し、営業秘密として保護すべき重要情報を特定する

2. アクセス制御ポリシーの策定：情報の重要度に応じたアクセス権限の設定基準を定める

3. システム的な制限と監視の実装：不正アクセスや不正な情報持ち出しを検知、防止する仕組みを導入する

4. 管理規定の整備：秘密情報の取り扱いに関する具体的なルールを定め、周知徹底する

5. 定期的な監査と見直し：情報管理の実態を定期的にチェックし、必要に応じて改善する

　これらの取り組みは、単に法的リスクを回避するためだけではなく、重要な経営資源である情報を適切に保護し活用するために必要な投資であると言える。

　本判決は、企業が自社のシステム内の情報を法的に保護される「営業秘密」として認めてもらうためには、その情報が秘密であることを明確に「見える化」する必要があることを示した。IDやパスワードによる一般的なアクセス制限だけでは不十分であり、情報を適切に分類し、重要情報には特別な保護措置を講じる必要がある。

　仮に情報漏えいや不正利用が発生した場合、それが「営業秘密」の要件を満たすものとして認められなければ、不正競争防止法に基づく保護は受けられない。日常的な情報管理の在り方が、有事の際の法的保護の可否を左右するのである。

　企業の情報システム担当者は、このような法的視点も踏まえたシステム設計や情報管理体制の構築を心掛けるべきだろう。そして経営層は、情報管理のためのコストを単なる支出ではなく、重要な経営資産を守るための投資として捉える視点が求められる。

　最後に強調しておきたいのは、情報管理は技術的対策だけでは不十分だということだ。組織文化や従業員の意識も含めた総合的なアプローチが必要である。適切な情報管理体制の構築は、情報漏えいリスクの低減だけでなく、企業の競争力維持にも直結する重要な経営課題なのである。

●細川義洋

ITプロセスコンサルタント。元・政府CIO補佐官、東京地方裁判所民事調停委員・IT専門委員、東京高等裁判所IT専門委員NECソフト（現NECソリューションイノベータ）にて金融機関の勘定系システム開発など多くのITプロジェクトに携わる。その後、日本アイ・ビー・エムにて、システム開発・運用の品質向上を中心に、多くのITベンダーと発注者企業に対するプロセス改善とプロジェクトマネジメントのコンサルティング業務を担当。独立後は、プロセス改善やIT紛争の防止に向けたコンサルティングを行う一方、ITトラブルが法的紛争となった事件の和解調停や裁判の補助を担当する。これまでかかわったプロジェクトは70以上。調停委員時代、トラブルを裁判に発展させず解決に導いた確率は9割を超える。システム開発に潜む地雷を知り尽くした「トラブル解決請負人」。2016年より政府CIO補佐官に抜てきされ、政府系機関システムのアドバイザー業務に携わった