営業秘密官民フォーラムメールマガジン掲載コラム 第32回|パスワード どこに設定? いつ変更?


営業秘密官民フォーラムメールマガジン掲載コラム 第32回

パスワード どこに設定? いつ変更?

弁護士知財ネット 中国地域会
弁護士 中尾 文治

PDF版ダウンロード:[営業秘密官民フォーラムメールマガジン掲載コラム] 第32回 パスワード どこに設定? いつ変更?

1 不正競争防止法で保護される営業秘密に当たるためには、守るべき情報を秘密に管理する必要があります(秘密管理性)。
この管理手段の一つとして、パスワードの設定があります。本日は、このパスワードについて、当職が日々の相談で感じてきた点をコラムにします。

2 中小企業の営業秘密に関する相談において、当職が相談者へ「パスワードを設定していますか」と質問すると、ほとんどの方がパスワードを設定していると答えるのですが、どこに設定しているか詳しく聞いてみると、会社のパソコンへログインする際のパスワードのみを指していることが少なくありません。

経済産業省が示している「営業秘密管理指針」では、秘密管理性の要件が満たされるためには、「営業秘密保有企業の秘密管理意思が秘密管理措置によって従業員等に明確に示され、当該秘密管理意思に対する従業員等の認識可能性が確保される必要がある」とされております。

簡単にいうと、従業員にとって会社が秘密情報として管理していると認識できる形が必要ということです。
従業員にとって、会社のパソコンへログインすることは、会社の業務を進めるために日常的に行う行為です。また、ログインしたパソコンからアクセスできる情報には、会社が公知にしている情報もあります。
そのため、会社のパソコンへのログインにパスワードを設定したとしても、従業員の立場から見ると、そのパソコンからアクセスできる情報が全て秘密に管理されているとは認識できない、だから秘密管理性の要件を欠くので不正競争防止法で保護される営業秘密に当たらない、という帰結に至る可能性は十分あります。

したがって、会社のパソコンへのログインにパスワードを設定しただけでは不十分で、守るべき情報を記録しているファイルや、そのファイルが保管されているフォルダー又はサーバへのアクセスについてパスワードを設定することが必要と、当職は考えます。そのようなパスワードが設定されている場合、従業員からすると、そこから先にある情報は、会社にとって秘密だから特にパスワードが設定されているのだとの認識ができるためです。

その上で、パスワードを開示する従業員の範囲を限定していれば、さらに秘密に管理されていると評価されると考えます。

3 また、良くあるパスワードに関する質問の一つとして、パスワードを定期的に変更すべきかというものがあります。

この点、理屈上は定期的に変更する方が望ましいと考えますが、当職は推奨しません。

人間、記憶には限界があります。定期的にパスワードを変更するとなると、アクセス権のある従業員からすると、時間の経過に伴って設定されたパスワードが増えていきます。そうなると、アクセス権者が新設定されたパスワードを付箋に書きとめてデスクに貼る等する事象が生じるおそれがあり、そうなると、アクセス権が無い者もパスワードを認識できてしまいかねません。

現在、総務省のホームページでも、企業の情報セキュリティ対策として「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。」と記載されています。
外部リンク: http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

 どの箇所へパスワードを設定するのか、その設定したパスワードをどの範囲の従業員へ知らせるのか、どのタイミングでパスワードを変更するかは、各会社の組織体制や、情報の取り扱いに関する業務フローの状況などを具体的に踏まえて検討する必要があります。

秘密管理性について相談される際は、会社の組織体制や情報の取扱いに関する業務フローの状況などについても説明して頂けると、有意義な助言ができると考えます。

以上

コメントは受け付けていません。