3.3.2. 守秘契約

<< 3.3.1. 外部委託契約

1. 概要

 守秘契約(NDA:Non-Disclosure Agreement)とは、企業間で秘密情報を開示する際に、その情報の機密性を保持することを約束する法的契約です。現代のビジネスにおいて、自社以外の事業者に業務を委託する機会が増加する中、技術情報、顧客情報、経営戦略などの重要な秘密情報を適切に保護することは極めて重要な課題となっています。

 守秘契約は、情報開示者と情報受領者の間で締結され、開示される秘密情報の範囲、使用目的、保護期間、違反時の措置などを明確に定めます。これにより、業務委託や共同開発、M&Aの検討など、様々なビジネスシーンにおいて安心して情報を共有できる環境を構築することができます。特に情報システム分野では、システム開発の外部委託、クラウドサービスの利用、セキュリティ監査の実施など、秘密情報の開示が避けられない場面が多く、守秘契約の重要性はますます高まっています。

2. 詳細説明

2.1 守秘契約の基本要素

 守秘契約を締結する際には、以下の基本要素を明確に定義する必要があります。

 第一に、秘密情報の定義です。何を秘密情報とするかを具体的に特定することが重要であり、一般的には「開示者が秘密として指定した情報」「通常人が秘密と認識すべき情報」などの基準を設けます。ただし、公知の情報、受領者が独自に開発した情報、第三者から正当に取得した情報などは除外条項として明記されます。

 第二に、秘密保持義務の内容です。情報受領者は、開示された秘密情報を契約で定められた目的以外に使用してはならず、第三者への開示も原則として禁止されます。また、秘密情報の管理方法についても、合理的な注意義務を持って管理することが求められます。

graph LR
    A[守秘契約_NDA] --> B[業務委託契約]
    A --> C[ライセンス契約]
    A --> D[共同開発契約]
    A --> E[M_A関連契約]
    A --> F[技術提携契約]
    
    B --> B1[システム開発委託]
    B --> B2[業務プロセス外注]
    B --> B3[コンサルティング契約]
    
    C --> C1[ソフトウェアライセンス]
    C --> C2[技術ライセンス]
    C --> C3[クラウドサービス利用]
    
    D --> D1[製品共同開発]
    D --> D2[技術共同研究]
    D --> D3[オープンイノベーション]
    
    E --> E1[デューデリジェンス]
    E --> E2[事業譲渡契約]
    E --> E3[株式譲渡契約]
    
    F --> F1[技術情報交換]
    F --> F2[PoC実施契約]
    F --> F3[アライアンス契約]
    
    A --> G[セキュリティ関連]
    G --> G1[セキュリティ監査]
    G --> G2[脆弱性診断]
    G --> G3[インシデント対応支援]
    
    A --> H[契約形態]
    H --> H1[片務型NDA]
    H --> H2[双務型NDA]
    H --> H3[多者間NDA]

2.2 契約形態と適用場面

 守秘契約には、片務型と双務型の2つの形態があります。片務型は一方の当事者のみが秘密情報を開示する場合に用いられ、双務型は両当事者が相互に秘密情報を開示する場合に適用されます。

 情報システム分野における主な適用場面として、システム開発の委託契約、クラウドサービスの利用契約、セキュリティ監査の実施、技術提携の検討などがあります。特にシステム開発においては、発注者の業務フローや既存システムの詳細情報、顧客データベースの構造など、極めて重要な情報を開示する必要があるため、守秘契約の締結は必須となります。

2.3 違反時の措置と法的効力

 守秘契約違反が発生した場合、損害賠償請求や差止請求などの法的措置を取ることができます。損害賠償額については、実際の損害額の立証が困難な場合に備えて、あらかじめ違約金を定めておくケースも多く見られます。また、違反行為の差止めについては、情報の性質上、一度漏洩してしまうと回復が困難であることから、予防的な措置として重要な意味を持ちます。

3. 実装方法と応用例

3.1 守秘契約締結のプロセス

 実際に守秘契約を締結する際のプロセスは、以下のステップで進められます。

 まず、情報開示の必要性と範囲を明確にします。どのような情報を、どの程度まで開示する必要があるかを事前に検討し、必要最小限の開示に留めることが重要です。次に、契約書の作成と内容の調整を行います。標準的なひな形を基に、個別の案件に応じてカスタマイズを行い、両当事者で内容を確認・調整します。

 契約締結後は、秘密情報の適切な管理体制を構築します。アクセス権限の設定、情報の暗号化、定期的な監査の実施など、技術的・物理的・人的な対策を組み合わせて実施します。

守秘情報管理の技術的対策一覧

アクセス制御、暗号化、監査ログ、DLP等の技術的対策を体系的に整理した表

対策カテゴリ 対策名 概要 実装方法 効果
アクセス制御 認証・認可システム ユーザーの本人確認と権限管理 多要素認証、RBAC、最小権限の原則 不正アクセスの防止
ネットワーク分離 機密情報を扱うネットワークの隔離 VLAN、ファイアウォール、DMZ構成 情報漏洩経路の制限
アクセス時間制限 業務時間外のアクセス制御 時間帯別アクセス権限設定 不正な時間外アクセスの検知
暗号化 保存データ暗号化 静的データの暗号化保護 AES-256、データベース暗号化、ファイル暗号化 物理的アクセスからの保護
通信暗号化 転送中データの暗号化 TLS/SSL、VPN、SSH 通信傍受からの保護
エンドツーエンド暗号化 送信者から受信者まで完全暗号化 E2EE対応メッセージングシステム 中間者攻撃の防止
監査・ログ管理 アクセスログ記録 全アクセスの詳細記録 SIEM、ログ管理システム、リアルタイム監視 不正行為の追跡・証跡確保
操作ログ監視 重要操作の記録と監視 ユーザー行動分析(UBA)、異常検知 内部不正の早期発見
定期監査 アクセス権限とログの定期確認 自動レポート生成、権限棚卸し 不要権限の削除・リスク低減
DLP
(Data Loss Prevention)		 コンテンツ検査 機密情報パターンの検出 正規表現、機械学習、キーワード検索 機密情報の自動識別
送信制御 外部への情報送信をブロック メール添付ファイル検査、Webアップロード制限 意図しない情報流出防止
デバイス制御 外部記憶媒体の使用制限 USB制御、印刷制限、画面キャプチャ防止 物理的な持ち出し防止
クラウドDLP クラウド環境での情報保護 CASB、クラウドアクセス監視 シャドーIT対策
その他の対策 データ分類・ラベリング 情報の機密レベル分類 自動分類ツール、メタデータ管理 適切な保護レベルの適用
バックアップ・リカバリ データの定期的な保護 暗号化バックアップ、オフサイト保管 インシデント時の復旧確保

実装時の留意点

  • 複数の対策を組み合わせた多層防御の実現
  • 業務への影響を最小限に抑えた段階的導入
  • 従業員への教育・訓練の実施
  • 定期的な見直しと改善

3.2 最新の動向と課題

 近年では、クラウドコンピューティングの普及により、データの保管場所や処理場所が多様化し、守秘契約の内容もより複雑になっています。特に、国境を越えたデータの移転に関しては、各国のデータ保護法制との整合性を考慮する必要があります。

国際的なデータ保護規制と守秘契約の対応表
考慮事項 GDPR
(EU)		 CCPA
(米国カリフォルニア州)		 個人情報保護法
(日本)		 守秘契約での対応
データの越境移転
厳格な制限
十分性認定・SCC締結必須
通知義務
販売時の通知要
同意取得
外国第三者提供時
データ保管場所・移転先の明記
適用法令の遵守条項追加
データ主体の権利
包括的権利
アクセス・削除・修正等
消費者権利
知る・削除・オプトアウト
本人関与
開示・訂正・利用停止
権利行使への協力義務
対応プロセスの明文化
セキュリティ要件
技術的・組織的措置
リスクベースアプローチ
合理的措置
業界標準の実装
安全管理措置
4つの措置の実施
具体的セキュリティ基準の規定
監査権・報告義務の設定
違反時の対応
72時間以内通知
最大2,000万€または売上4%
遅滞なく通知
違反あたり最大$7,500
速やかに報告
最大1億円
インシデント対応手順
賠償責任・免責条項の明確化
データ保持期間
最小限の原則
目的達成後削除
合理的期間
ビジネス目的に必要な期間
利用目的に必要な期間
不要後の消去義務
保持期間・返却/削除義務
削除証明書の提出要求
第三者提供
処理者契約必須
再委託の制限
サービスプロバイダ契約
目的外利用禁止
委託先監督
同意または法令根拠
再委託・第三者開示の制限
事前承認プロセスの設定

守秘契約作成時の重要ポイント

  • 各国・地域の法規制要件を包括的にカバーする条項を設定
  • データ処理の目的・範囲・場所を明確に定義
  • インシデント発生時の連絡体制と対応手順を事前に合意
  • 定期的な監査権と報告義務を契約に組み込む
  • 契約終了後のデータ処理について明確な規定を設ける

 また、AI技術の発展に伴い、機械学習のための学習データとして顧客データを利用する場合など、従来の守秘契約では想定されていなかった利用形態への対応も求められています。このような新しい技術やビジネスモデルに対応するため、守秘契約の内容も継続的にアップデートしていく必要があります。

4. 例題と解説

問題
 A社は、基幹システムの刷新プロジェクトを計画しており、システム開発をB社に委託することを検討している。プロジェクトの実施にあたり、A社は自社の業務プロセスや顧客データベースの構造などの情報をB社に開示する必要がある。この場合の守秘契約に関する記述として、最も適切なものはどれか。

ア 守秘契約は口頭での約束でも法的効力を持つため、書面での締結は不要である。

イ B社が既に公知となっている情報と同一の情報を独自に開発した場合でも、守秘義務違反となる。

ウ 守秘契約において、秘密情報の定義、使用目的、保護期間などを明確に定める必要がある。

エ システム開発が完了すれば、守秘義務は自動的に終了する。

解答:ウ

解説
 守秘契約を締結する際は、秘密情報の範囲を明確に定義し、その使用目的や保護期間を具体的に定める必要があります。これにより、両当事者の権利と義務が明確になり、トラブルを防ぐことができます。

 選択肢アは誤りです。守秘契約は重要な法的文書であり、後のトラブルを避けるためにも書面で締結することが原則です。選択肢イも誤りで、独自開発した情報や公知の情報は通常、守秘義務の対象外となります。選択肢エについては、守秘義務の終了時期は契約で定められ、プロジェクト終了後も一定期間継続することが一般的です。

守秘契約違反のリスクマトリクス

故意・内部 極めて高リスク 刑事責任・解雇

故意・外部 極めて高リスク 契約解除・賠償

過失・内部 高リスク 懲戒処分

過失・外部 高リスク 改善要求

故意・内部 高リスク 信用失墜大

故意・外部 高リスク 取引停止

過失・内部 中リスク 教育・指導

過失・外部 中リスク 監査強化

故意・内部 中リスク 賠償請求

故意・外部 中リスク 違約金請求

過失・内部 低リスク 注意喚起

過失・外部 低リスク 改善依頼

影響度

違反の種類

極めて高リスク

高リスク

中リスク

低リスク

影響度:金銭的損害(高)、信用失墜(中)、競争力への影響(低) 違反種類:故意/過失 × 内部(従業員)/外部(委託先)

5. まとめ

 守秘契約(NDA)は、企業間で秘密情報を安全に共有するための重要な法的ツールです。特に情報システム分野では、システム開発の委託、クラウドサービスの利用、技術提携など、様々な場面で秘密情報の開示が必要となるため、適切な守秘契約の締結が不可欠です。

 守秘契約を締結する際は、秘密情報の定義、使用目的、保護期間、違反時の措置などを明確に定め、契約締結後も適切な情報管理体制を維持することが重要です。技術の進化やビジネスモデルの変化に応じて、守秘契約の内容も継続的に見直し、更新していく必要があります。情報セキュリティの観点からも、守秘契約は企業の重要な情報資産を保護する基本的かつ効果的な手段として、その重要性を理解し、適切に活用することが求められています。

3.3.3. ソフトウェア使用許諾契約(ライセンス契約) >>

ご利用上のご注意

 このコンテンツの一部は、生成AIによるコンテンツ自動生成・投稿システムをもちいて作成し、人間がチェックをおこなった上で公開しています。チェックは十分に実施していますが、誤謬・誤解などが含まれる場合が想定されます。お気づきの点がございましたらご連絡いただけましたら幸甚です。