近時よく耳にするSaaSですが、よく基幹情報を管理する環境として知られるSaaSとは何か、そして、不正競争防止法による営業秘密の保護の観点から、クラウド上のデータの権利について詳しく解説いたします。
<メディア関係者の方>取材等に関するお問い合わせはこちら
SaaSとは
クラウドサービスは、利用者側が最低限のインターネット接続環境を用意すれば、インターネットを通じてアプリケーションやストレージなどの様々なサービスの提供が受けられるサービスです。
クラウドサービスは、サービス提供者がどの範囲までサービスを提供するのかによって、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)に分類できます。
SaaSは、ユーザーがソフトウェアをインストールするのではなく、サービス提供者側でソフトウェアを稼働させ、ユーザーはネットワーク経由でソフトウェアの機能を活用するものです。
例えば、GmailやSalesforceなどのサービスがこれに当たります。
SaaSでは、ユーザー側は、インターネット環境さえ用意すればサービスを利用できるので、導入費用が安く、データをインターネット上に保存できる、PC・スマートフォン等の端末を選ばずにデータをアクセスできる利便性などのメリットがあることから、企業や組織においても、社内の情報資産をSaaSに預けるという利用が進んでいます。
その一方で、社内の情報資産をクラウドサービス事業者に預けることになるため、情報資産のセキュリティを当該クラウドサービス事業者に依存することにもなります。
データの権利・保護される利益について
データや情報について、法がどのような権利を付与し、どのような保護を与えているのかについては、本記事にて想定されるデータ(SaaSを通じてクラウドサービス事業者に預けるデータや情報)を前提とすると、不正競争防止法による営業秘密の保護が考えられます。したがって、本記事では営業秘密の保護に重点を絞って解説します。
不正競争防止法上の営業秘密に該当すると、当該営業秘密を不正に取得したり、不正に取得されたことを知って当該営業秘密を使用、開示したりする行為が禁止され、民事的には、差止請求や損害賠償請求が認められるほか、営業秘密の不正取得行為等につき、刑事罰が科されるという効果があります。
営業秘密とは
営業秘密とは、「①秘密として管理されている②生産方法、販売方法その他の事業活動に有用な技術上または営業上の情報であって、③公然と知られていないもの」をいいます(不正競争防止法2条6項)。
営業秘密として保護されるためには、要件が三つ課されています。①の要件を秘密管理性、②の要件を有用性、③の要件を非公知性といいます。
このうち、有用性や非公知性は、直感的にもどのようなものかはお分かりになると思います。
有用性とは、営業秘密として保護されるためには当該情報が事業活動に有用な情報でなければならないという要件です。
例えば、事業活動に有用な生産方法としては、製品の設計図・製法やノウハウ等に関する情報が挙げられ、事業活動に有用な販売方法としては、顧客名簿や販売マニュアル等に関する情報が挙げられます。
非公知性とは、公然と知られていないことをいい、情報の保有者の管理下以外では一般的に入手することができない状態を意味します。
有用性や非公知性の要件は、有用性や非公知性がない情報は、法的保護をする必要性がないことから課されているものです。
さて、三つの要件のうち、クラウドサービス事業者との関係で注意しなければならないものが秘密管理性です。
この要件は、営業秘密として保護されるためには、当該情報が秘密として管理されていなければならないというものです。
このように秘密管理性は、保有者が当該情報をどのように管理しているのかにかかわる要件であるところ、秘密情報をどのように管理するかは、クラウドサービス事業者に依存する側面があります。
したがって、クラウドサービス事業者の選定の際には、保有している営業秘密が、クラウドサービスを利用することで保護の対象から外れたり、漏洩したりしないように、当該事業者がデータをどのように管理するのかに注意する必要があります。
どのような観点で注意すべきかを、以下で詳しく述べます。
そもそもどのような場合に秘密管理性が認められるのか
秘密管理性が典型的に認められるケースとしては、情報に機密や対外秘、公開禁止といった記載があって、かつ、会社の金庫に厳重に保管されている書類や、アクセスできる者が制限され、社内規則に守秘義務が明示されている情報を挙げることができます。
これをいくつかの秘密管理措置の要素に分解すると、下記のことなどが挙げられます。
- ①情報に秘密であることの表示があること(文書やデータに「マル秘」「社外秘」といった記載があること)
- ②物理的にアクセスできる者を制限していること(金庫に保管し、鍵をかけていること)
- ③技術的にもアクセスできる者を制限していること(データにアクセス制限やパスワードを付していること)
- ④社内規則や契約により守秘義務等が明示されていること
- ⑤その他、当該文書やデータの普段の取扱いの状況(秘密情報が記載された文書が机の上に置きっぱなしにされていないかどうか、そのような行動に社内で注意や処分がされることになっているかどうか等)
など
なお、秘密管理性が認められるために、上記要素を全て満たさなければならないというわけではありません。
経済産業省が策定している「営業秘密管理指針※」においては、「秘密管理性要件については、企業が、ある情報について、相当高度な秘密管理を網羅的に行った場合にはじめて法的保護が与えられるべきものであると考えることは、(中略)適切ではない。」とされています。
具体的にどの程度の秘密管理措置が必要になるかは、企業の規模、業態、従業員の職務、情報の性質などの事情の下での総合判断となり、このような事情の下で合理的といえる措置を採っていれば十分といえます。
クラウドサービス事業者選定にあたって注意すべき観点
上述した秘密管理措置の①から⑤のうち、②や③⑤の一部はクラウドサービス事業者がどのようにデータを管理しているかに依存する要素です。
したがって、クラウドサービス事業者が、データをどこに保管して、どのようにセキュリティを管理しているのかといった物理セキュリティ対策の状況、不正アクセスの防止、アクセスログの管理、通信の暗号化の有無といった技術的セキュリティ対策の状況については、約款・規約を確認したり、事業者へのヒアリングを行ったりすることによって必ず確認するようにしましょう。
情報に秘密である旨を表示したり、データ自体にパスワードを付したりすることは、SaaSを利用していても可能なことですので、営業秘密が記載されているデータには、秘密である旨の表記を行い、パスワードを付けることが望ましいと言えます。
また、クラウドサービス事業者との間の契約は、ほとんどの場合、クラウドサービス事業者が用意する約款・規約に従うことになると思います。
約款・規約に、次のような条項があるかどうかについては、最低限、確認しておくべきです。
- ・サービス提供者が、善良な管理者の注意をもって秘密情報を保管すること。
- ・秘密情報について、お客様の承諾がない限り、第三者に提供・漏洩しないこと。
なお、クラウドサービス事業者がどの程度のセキュリティ対策を行っているかを簡便に知る指標として、ISMSやプライバシーマークといった情報セキュリティに関する認証を取得しているかどうかも参考になるでしょう。
もし利用を検討しているクラウドサービス事業者の約款・規約に、秘密情報の取扱いについての条項がなかった場合には、約款とは別途、秘密情報の取扱いについての契約や覚書(NDA)を締結することができないかを交渉するべきでしょう。
まとめ
営業秘密が法的な保護の対象から外れたり、漏洩したりしないように、SaaSを利用する際には、以上の観点を踏まえてクラウドサービス事業者を選定する必要があります。
【参考文献】