叡智の三猿

三猿×情報セキュリティ×はてな で発信します。

秘密は秘密として管理する

お客様の重要情報

ソフトウエア開発は複数の工程から成り立ちます。その中で、要件定義に代表される上流工程はお客様からの依頼内容が細かく決まってなく、作業の中で変動が多く発生します。このような工程は、委託先とSES契約(準委任契約)を締結することが多いようです。

f:id:slowtrain2013:20200326005507p:plain
開発工程と委託契約形態

また、システムの要件定義はお客様の経営戦略、事業戦略、営業戦略との関わりが大きい工程でもあります。その為、お客様にとって重要な情報をSES契約のエンジニアは入手します。もちろん、業務を遂行するにあたって必要な情報は積極的に入手し活用するべきです。しかしそれはいま接しているお客様のために発揮する情報です。決して無関係の外部に漏らしてはいけません。

これは当たり前のことです。しかし、自分の知識や経験をアピールするためなのか、ぽろっとお客様の重要情報を外部に言ってしまう人は多いと感じます。

情報セキュリティのリテラシーはエンジニアのみならず、全ての社会人にとって基本的かつ重要な能力です。その肝はー

f:id:slowtrain2013:20200326011935p:plain:w100見ざる
f:id:slowtrain2013:20200326011923p:plain:w100言わざる
f:id:slowtrain2013:20200326011915p:plain:w100聞かざる
の叡智だと思います。

営業秘密の3要素

「お客様にとって重要な情報は何か?」と聞かれると、さまざまなことを連想するでしょう。わたしは第一に営業戦略を連想します。何故なら、営業戦略はお客様の持つリソース(人・物・金)を有効活用することで、売上をアップし、競合からシェアを奪う方策だからです。競合にとって喉から手が出るほど欲しい情報でしょう。そして、情報に価値があれば、その情報を不正な手段で取得しようとする攻撃者が現れるかもしれません。

しかし会社の営業秘密を不正に取得すると、不正競争防止法に引っかかります。この法律は、不正行為による競争を排除し、市場の適正な競争原理を維持するための法律です。

ただ、営業秘密は次の3要件が充たされている必要があります。

要 件 説 明
秘密管理性 秘密として管理がされていること
有用性 事業活動に有用な技術上または営業上の情報であること
非公知性 公然と知られていないもの

この中でも秘密管理性は、情報セキュリティのキーポイントです。いくらその情報を外部に漏らしたくないと会社は考えていても、それを秘密情報として管理していなければ、不正競争防止法における営業秘密の3要件」に該当しません。

  1. その情報を営業秘密として管理していることを会社は明らかにしている。
  2. その情報にアクセスした人がそれを秘密情報と認識出来るようになっている。

が秘密管理性を充すために必要な管理策です。

例えば、社外に公開してはいけない書類には社外秘のラベルを付ける。社外秘の文書は鍵付きのロッカーに保管することが具体例となります。

f:id:slowtrain2013:20200327014351p:plain:w150
社外秘のラベリング