1. 概要
守秘契約(NDA:Non-Disclosure Agreement)とは、企業間で秘密情報を開示する際に、その情報の機密性を保持することを約束する法的契約です。現代のビジネスにおいて、自社以外の事業者に業務を委託する機会が増加する中、技術情報、顧客情報、経営戦略などの重要な秘密情報を適切に保護することは極めて重要な課題となっています。
守秘契約は、情報開示者と情報受領者の間で締結され、開示される秘密情報の範囲、使用目的、保護期間、違反時の措置などを明確に定めます。これにより、業務委託や共同開発、M&Aの検討など、様々なビジネスシーンにおいて安心して情報を共有できる環境を構築することができます。特に情報システム分野では、システム開発の外部委託、クラウドサービスの利用、セキュリティ監査の実施など、秘密情報の開示が避けられない場面が多く、守秘契約の重要性はますます高まっています。
2. 詳細説明
2.1 守秘契約の基本要素
守秘契約を締結する際には、以下の基本要素を明確に定義する必要があります。
第一に、秘密情報の定義です。何を秘密情報とするかを具体的に特定することが重要であり、一般的には「開示者が秘密として指定した情報」「通常人が秘密と認識すべき情報」などの基準を設けます。ただし、公知の情報、受領者が独自に開発した情報、第三者から正当に取得した情報などは除外条項として明記されます。
第二に、秘密保持義務の内容です。情報受領者は、開示された秘密情報を契約で定められた目的以外に使用してはならず、第三者への開示も原則として禁止されます。また、秘密情報の管理方法についても、合理的な注意義務を持って管理することが求められます。
2.2 契約形態と適用場面
守秘契約には、片務型と双務型の2つの形態があります。片務型は一方の当事者のみが秘密情報を開示する場合に用いられ、双務型は両当事者が相互に秘密情報を開示する場合に適用されます。
情報システム分野における主な適用場面として、システム開発の委託契約、クラウドサービスの利用契約、セキュリティ監査の実施、技術提携の検討などがあります。特にシステム開発においては、発注者の業務フローや既存システムの詳細情報、顧客データベースの構造など、極めて重要な情報を開示する必要があるため、守秘契約の締結は必須となります。
2.3 違反時の措置と法的効力
守秘契約違反が発生した場合、損害賠償請求や差止請求などの法的措置を取ることができます。損害賠償額については、実際の損害額の立証が困難な場合に備えて、あらかじめ違約金を定めておくケースも多く見られます。また、違反行為の差止めについては、情報の性質上、一度漏洩してしまうと回復が困難であることから、予防的な措置として重要な意味を持ちます。
守秘契約は、秘密情報を守るための契約上の約束です。ただし、実際に情報を守るには、契約だけでなく、アクセス制御、ログ管理、教育、委託先監督などの運用管理が不可欠です。また、対象情報が個人情報や営業秘密に該当する場合は、それぞれ個人情報保護法や不正競争防止法上の要件も考慮する必要があります。
3. 実務上の進め方と応用例
3.1 守秘契約締結のプロセス
実際に守秘契約を締結する際のプロセスは、以下のステップで進められます。
まず、情報開示の必要性と範囲を明確にします。どのような情報を、どの程度まで開示する必要があるかを事前に検討し、必要最小限の開示に留めることが重要です。次に、契約書の作成と内容の調整を行います。標準的なひな形を基に、個別の案件に応じてカスタマイズを行い、両当事者で内容を確認・調整します。
契約締結後は、秘密情報の適切な管理体制を構築します。アクセス権限の設定、情報の暗号化、定期的な監査の実施など、技術的・物理的・人的な対策を組み合わせて実施します。
守秘情報管理の技術的対策一覧
アクセス制御、暗号化、監査ログ、DLP等の技術的対策を体系的に整理した表
| 対策カテゴリ | 対策名 | 概要 | 実装方法 | 効果 |
|---|---|---|---|---|
| アクセス制御 | 認証・認可システム | ユーザーの本人確認と権限管理 | 多要素認証、RBAC、最小権限の原則 | 不正アクセスの防止 |
| ネットワーク分離 | 機密情報を扱うネットワークの隔離 | VLAN、ファイアウォール、DMZ構成 | 情報漏洩経路の制限 | |
| アクセス時間制限 | 業務時間外のアクセス制御 | 時間帯別アクセス権限設定 | 不正な時間外アクセスの検知 | |
| 暗号化 | 保存データ暗号化 | 静的データの暗号化保護 | AES-256、データベース暗号化、ファイル暗号化 | 物理的アクセスからの保護 |
| 通信暗号化 | 転送中データの暗号化 | TLS/SSL、VPN、SSH | 通信傍受からの保護 | |
| エンドツーエンド暗号化 | 送信者から受信者まで完全暗号化 | E2EE対応メッセージングシステム | 中間者攻撃の防止 | |
| 監査・ログ管理 | アクセスログ記録 | 全アクセスの詳細記録 | SIEM、ログ管理システム、リアルタイム監視 | 不正行為の追跡・証跡確保 |
| 操作ログ監視 | 重要操作の記録と監視 | ユーザー行動分析(UBA)、異常検知 | 内部不正の早期発見 | |
| 定期監査 | アクセス権限とログの定期確認 | 自動レポート生成、権限棚卸し | 不要権限の削除・リスク低減 | |
| DLP | ||||
| (Data Loss Prevention) | コンテンツ検査 | 機密情報パターンの検出 | 正規表現、機械学習、キーワード検索 | 機密情報の自動識別 |
| 送信制御 | 外部への情報送信をブロック | メール添付ファイル検査、Webアップロード制限 | 意図しない情報流出防止 | |
| デバイス制御 | 外部記憶媒体の使用制限 | USB制御、印刷制限、画面キャプチャ防止 | 物理的な持ち出し防止 | |
| クラウドDLP | クラウド環境での情報保護 | CASB、クラウドアクセス監視 | シャドーIT対策 | |
| その他の対策 | データ分類・ラベリング | 情報の機密レベル分類 | 自動分類ツール、メタデータ管理 | 適切な保護レベルの適用 |
| バックアップ・リカバリ | データの定期的な保護 | 暗号化バックアップ、オフサイト保管 | インシデント時の復旧確保 |
実装時の留意点
- 複数の対策を組み合わせた多層防御の実現
- 業務への影響を最小限に抑えた段階的導入
- 従業員への教育・訓練の実施
- 定期的な見直しと改善
3.2 最新の動向と課題
近年では、クラウドコンピューティングの普及により、データの保管場所や処理場所が多様化し、守秘契約の内容もより複雑になっています。特に、国境を越えたデータの移転に関しては、各国のデータ保護法制との整合性を考慮する必要があります。
国際的なデータ保護規制と守秘契約の対応表
| 考慮事項 | GDPR
(EU) | CCPA
(米国カリフォルニア州) | 個人情報保護法
(日本) | 守秘契約での対応 |
| --- | --- | --- | --- | --- |
| データの越境移転 |
厳格な制限
十分性認定・SCC締結必須
|
通知義務
販売時の通知要
|
同意取得
外国第三者提供時
|
データ保管場所・移転先の明記
適用法令の遵守条項追加
| | データ主体の権利 |
包括的権利
アクセス・削除・修正等
|
消費者権利
知る・削除・オプトアウト
|
本人関与
開示・訂正・利用停止
|
権利行使への協力義務
対応プロセスの明文化
| | セキュリティ要件 |
技術的・組織的措置
リスクベースアプローチ
|
合理的措置
業界標準の実装
|
安全管理措置
4つの措置の実施
|
具体的セキュリティ基準の規定
監査権・報告義務の設定
| | 違反時の対応 |
原則72時間以内通知
最大2,000万€または売上4%
|
遅滞なく通知
違反あたり最大$7,988
|
速やかに報告
最大1億円
|
インシデント対応手順
賠償責任・免責条項の明確化
| | データ保持期間 |
最小限の原則
目的達成後削除
|
合理的期間
ビジネス目的に必要な期間
|
利用目的に必要な期間
不要後の消去義務
|
保持期間・返却/削除義務
削除証明書の提出要求
| | 第三者提供 |
処理者契約必須
再委託の制限
|
サービスプロバイダ契約
目的外利用禁止
|
委託先監督
同意または法令根拠
|
再委託・第三者開示の制限
事前承認プロセスの設定
|
(金額は改定されるため最新法令を確認)
守秘契約作成時の重要ポイント
- 各国・地域の法規制要件を包括的にカバーする条項を設定
- データ処理の目的・範囲・場所を明確に定義
- インシデント発生時の連絡体制と対応手順を事前に合意
- 定期的な監査権と報告義務を契約に組み込む
- 契約終了後のデータ処理について明確な規定を設ける
また、AI技術の発展に伴い、機械学習のための学習データとして顧客データを利用する場合など、従来の守秘契約では想定されていなかった利用形態への対応も求められています。このような新しい技術やビジネスモデルに対応するため、守秘契約の内容も継続的にアップデートしていく必要があります。
4.実例:NTTビジネスソリューションズにおける顧客情報の不正流出事案
守秘契約や秘密保持義務の重要性を理解するうえで参考になる事例として、NTTマーケティングアクトProCXおよびNTTビジネスソリューションズにおける顧客情報の不正流出事案があります。
本件は、NTTマーケティングアクトProCXが実施していたコールセンター事業に関し、コールセンター業務で用いるシステムの保守運用をNTTビジネスソリューションズが受託していたところ、システム保守運用業務に従事していた者が、委託元の顧客または住民等に関する個人データ等を不正に持ち出した事案です。個人情報保護委員会の公表資料では、漏えいした個人データ等は合計約928万人分とされています。
この事案では、契約上、秘密保持に関する取り決めが存在していました。個人情報保護委員会の詳細資料によれば、コールセンターサービス利用契約において、NTTビジネスソリューションズは、契約に関して知り得た秘密情報を、NTTマーケティングアクトProCXの書面による承諾なしに、サービス提供以外の目的で使用してはならず、第三者に漏えいしてはならない旨が規定されていました。
しかし、秘密保持条項が存在していても、それだけで情報漏えいを防げるわけではありません。本件では、保守運用担当者に広範な閲覧・ダウンロード権限が付与されていたこと、システム管理者アカウントが個人単位ではなく複数人で共用されていたこと、USBメモリの利用を物理的・技術的に十分制限できていなかったことなどが問題となりました。
さらに、アクセスログの分析・監視が実施されておらず、定期的な点検や監査でも不正な持ち出しを発見できなかったことが指摘されています。個人情報保護委員会は、NTTマーケティングアクトProCXおよびNTTビジネスソリューションズに対し、個人情報保護法に基づく勧告および指導を行いました。
この事例から分かる重要な教訓は、守秘契約は情報保護の出発点であって、十分条件ではないということです。秘密情報を実際に保護するためには、契約上の義務に加えて、次のような実務上の管理が必要になります。
| 観点 | 教訓 |
|---|---|
| 秘密保持条項 | 契約書に秘密保持義務を定めるだけでは不十分であり、実際の運用管理と結び付ける必要がある。 |
| アクセス権限 | 保守運用担当者であっても、業務上必要な範囲に限定した最小権限とすべきである。 |
| アカウント管理 | 共用アカウントでは、誰が操作したかを特定しにくくなるため、個人単位のアカウント管理が重要である。 |
| 外部記録媒体 | USBメモリなどへの書き出しは、規程だけでなく技術的・物理的に制御する必要がある。 |
| ログ監査 | アクセスログやダウンロードログを取得するだけでなく、定期的に分析・監視し、異常を検知する仕組みが必要である。 |
| 委託先管理 | 発注者は、委託先に任せきりにせず、委託先の情報管理体制を継続的に確認する必要がある。 |
守秘契約を締結する際には、「秘密を漏らしてはならない」と定めるだけでなく、誰が、どの情報に、どの目的で、どの範囲までアクセスできるのかを明確にし、その運用状況を継続的に確認することが重要です。特にシステム開発・運用保守・コールセンター業務・クラウドサービス利用のように、委託先が大量の顧客情報や業務情報にアクセスできる場合には、契約、権限管理、ログ監査、外部記録媒体制御、教育、委託先監督を一体として設計する必要があります。
考えてみよう
NTTビジネスソリューションズの事案では、秘密保持に関する契約上の取り決めが存在していたにもかかわらず、大規模な情報流出が発生しました。このことから、守秘契約を実効性のあるものにするためには、どのような運用上の対策が必要だと考えられるでしょうか。
解説
守秘契約は、情報を目的外に使用しないことや第三者に漏えいしないことを定める重要な契約です。しかし、実際に情報を保護するには、契約だけでは不十分です。アクセス権限を必要最小限にすること、共用アカウントを避けること、USBメモリなどへの書き出しを制御すること、ログを取得・分析すること、委託先や再委託先の管理状況を定期的に確認することが必要です。
この事例は、NDAを「契約書の問題」としてだけでなく、「情報管理の仕組み」として捉える必要があることを示しています。
5. 例題と解説
問題
A社は、基幹システムの刷新プロジェクトを計画しており、システム開発をB社に委託することを検討している。プロジェクトの実施にあたり、A社は自社の業務プロセスや顧客データベースの構造などの情報をB社に開示する必要がある。この場合の守秘契約に関する記述として、最も適切なものはどれか。
ア 守秘契約は口頭での約束でも法的効力を持つため、書面での締結は不要である。
イ B社が既に公知となっている情報と同一の情報を独自に開発した場合でも、守秘義務違反となる。ウ 守秘契約において、秘密情報の定義、使用目的、保護期間などを明確に定める必要がある。
エ システム開発が完了すれば、守秘義務は自動的に終了する。
解答:ウ
解説
守秘契約を締結する際は、秘密情報の範囲を明確に定義し、その使用目的や保護期間を具体的に定める必要があります。これにより、両当事者の権利と義務が明確になり、トラブルを防ぐことができます。
選択肢アは誤りです。口頭の合意でも契約が成立する可能性はありますが、秘密情報の範囲や使用目的、保護期間、違反時の責任を明確に立証することが難しいため、実務上は書面で締結することが原則です。選択肢イも誤りで、独自開発した情報や公知の情報は通常、守秘義務の対象外となります。選択肢エについては、守秘義務の終了時期は契約で定められ、プロジェクト終了後も一定期間継続することが一般的です。
守秘契約違反のリスクマトリクス 故意・内部 極めて高リスク 刑事責任・解雇 故意・外部 極めて高リスク 契約解除・賠償 過失・内部 高リスク 懲戒処分 過失・外部 高リスク 改善要求 故意・内部 高リスク 信用失墜大 故意・外部 高リスク 取引停止 過失・内部 中リスク 教育・指導 過失・外部 中リスク 監査強化 故意・内部 中リスク 賠償請求 故意・外部 中リスク 違約金請求 過失・内部 低リスク 注意喚起 過失・外部 低リスク 改善依頼 影響度 高 中 低 違反の種類 極めて高リスク 高リスク 中リスク 低リスク 影響度:金銭的損害(高)、信用失墜(中)、競争力への影響(低) 違反種類:故意/過失 × 内部(従業員)/外部(委託先)
6. まとめ
守秘契約(NDA)は、企業間で秘密情報を安全に共有するための重要な法的ツールです。特に情報システム分野では、システム開発の委託、クラウドサービスの利用、技術提携など、様々な場面で秘密情報の開示が必要となるため、適切な守秘契約の締結が不可欠です。
守秘契約を締結する際は、秘密情報の定義、使用目的、保護期間、違反時の措置などを明確に定め、契約締結後も適切な情報管理体制を維持することが重要です。技術の進化やビジネスモデルの変化に応じて、守秘契約の内容も継続的に見直し、更新していく必要があります。情報セキュリティの観点からも、守秘契約は企業の重要な情報資産を保護する基本的かつ効果的な手段として、その重要性を理解し、適切に活用することが求められています。