情報の"守秘期間"から考える、NDA(秘密保持契約)締結の注意点|サイバーセキュリティ.com

情報の”守秘期間”から考える、NDA(秘密保持契約)締結の注意点



情報セキュリティに関しては、まだまだ認識の薄い日本です。様々なところで整合性が取れていないことが多くあります。

今回は、国内であまり意識されない「情報の守秘期間」について触れてみます。

永久に守秘義務を課せられるのか

業務契約に関し「守秘義務契約書(NDA)」を結ぶ場合、「情報の守秘期間」を意識しているでしょうか。国内では、何となく”ずっと守って欲しい”ということで、「無期限」という文言が入っていたりするのですが、守秘期間の定めが無いというのは、とてもおかしいことです。

まず、情報を守秘する為にはコストがかかります。機器、ツールの導入、社員教育、管理体制の構築などいろいろありますね。それを一方的に続けさせるというのは、ちょっと強欲ですね。

一般に、永久に守秘が必要ということは、そうそうありません。アメリカでは国家機密でさえ、期間が定められています。ケネディ大統領暗殺事件の機密情報等、期限到来時に本当に開示すべきなのかと大騒ぎしていますね。

企業の営業情報クラスで永久に守秘義務が課せられるとなると、優越的立場の濫用とも捉えられかねません。これだけでも、リスクがあるのですが、もっと問題なことがあります。もし、守秘義務が無期限なのだとしたら、メールやネットで情報をやり取りすることができなくなってしまうのです。

情報の”暗号化”の意味とは

これには、“情報を暗号化する”ことの意味を正しく理解する必要があります。

国内では、暗号化は「情報を読めなくすること」だと認識している人が多いのでしょう。だから、マイナンバー対策の時も”暗号化で安心”等という誤った広告が跋扈したんですね。

ですが、そもそも論で考えてみましょう。そもそも、永遠に解読できない暗号って存在しますか?

暗号化の目的は、情報漏洩を”遅らせること”

有名な第二次大戦ドイツの暗号機エニグマ。賞金付き暗号RSA129。WEPだって本来のSSL(現在主流のSSLは正式にはTLSです)だって最早解読は容易です。永遠に解読できない暗号などありません。

つまり、情報管理における暗号化の意味とは、”情報漏洩を遅らせること”なのです。

安全な暗号化の方法は守秘期限に左右される

ここで、暗号化方法選択のポイントとして「守秘期限」が必要になってきます。守秘義務期限が2年であれば、”2年間は破られない”と想定される暗号化方法を選択すれば、対策の意味があります。守秘義務期限が5年であれば、相当強度のある暗号化方法でないと難しいでしょう。

では、無期限と言われたら?

無期限の守秘義務では暗号化は使えない

もう皆さんおわかりですね。「無期限」と言われてしまったら、暗号化情報では外部の人間が触れられる状態には置けません。インターネットのSSL使用では、対策にならなくなってしまうのです。VPNで専用線の形式を整えない限り、インターネットで情報をやりとりすることはできません。

しかも、守秘期間を無期限とするようなNDAに限って、守秘情報を「甲乙業務に関するもの全て」について無制限にしていたりするんですね。この様なNDAでは、メールで「先日の本件打ち合わせではありがとうございました。」と送っただけでアウトになることになってしまいます。

経済産業省のひな形を見てみよう

経済産業省では、日本の情報管理向上のために、「営業秘密管理」のwebサイトを作っています。
参照営業秘密〜営業秘密を守り活用する〜/経済産業省

この中で、NDAのひな形も紹介されています。
参照参考資料2各種契約書等の参考例 第4業務提携の検討における秘密保持契約書の例(PDF)/経済産業省

ここでは有効期限を定め、自動継続条項で再検討の余地を設けるようにしています。これなら、継続時に暗号化の安全性を確認して、今のままで良いか、変更すべきか検討すれば良いわけですからね。

これが、本来のNDAの在り方です。最初から守れないNDAを結んでもしょうがありません。NDAの有効性自体に疑問符がついてしまいます。

法務部門だけで契約書面を作成していませんか?

この様なNDAが作られてしまう要因には、法務部門だけで契約書を作成している場合が考えられます。今回はNDAの話だけですが、他にも技術的な内容で矛盾を含む契約が発生することはあるでしょう。

技術系の人間であっても契約内容に無関心にならず、契約上の自分の仕事の制約はどんなものがあるか、意識しておくことも重要です。初めから無理な契約文言があったら、きちんと「無理」と提言するようにしましょう。


SNSでもご購読できます。