～営業秘密と認められるための秘密管理性―刑事事件では？～ 東京高裁平成２９年３月２１日判決(2017年10月23日)

～営業秘密と認められるための秘密管理性―刑事事件では？～
東京高裁平成２９年３月２１日判決

弁護士　立川　献

1．はじめに

不正競争防止法上の営業秘密に該当するには、
①秘密として管理されている〔秘密管理性〕
②生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報〔有用性〕
③公然と知られていない〔非公知性〕
との3 つの要件を満たす必要があります。
被害者が不正競争防止法上の救済を受けることができるかどうかを決する意味で、また違反者に刑事罰を受けさせられるかについても、被害者の実施する秘密管理体制が、法にいう〔秘密管理性〕を満たすものであるかどうかは、非常に重要な問題となります。
〔秘密管理性〕が要件とされている趣旨は、「事業者が秘密として管理しようとする対象（情報の範囲）が従業員や取引先に対して明確化されることによって、従業員等の予見可能性、ひいては、経済活動の安定性を確保すること」にあり^※1、保有者の特定の情報を秘密として管理しようとする意思が、保有者の実施する具体的状況に応じた経済合理的な秘密管理措置によって従業員等に対して明確に示され、当該秘密管理意思に対する従業員等の認識可能性が確保される必要があるされています。
かかる指針のもと、営業秘密の保有者としては、どのような具体的措置を採っていなければならないのでしょうか。
この度、東京高裁にて、営業秘密侵害罪（ただし平成27 年の改正前の法21条1 項3 号ロ、同条1 項4 号）に関する判決が下されました。

2．本件の事実関係

（1）起訴事実等
通信教育等を業として行う株式会社Oが、システム開発会社P に対して、情報システムの開発を委託した。被告人AはP 社の3 次下請人である。A は、開発作業のため、O 社のデータサーバにアクセスできるID 及びパスワードを貸与されていた。A は、① P 社貸与の業務用パソコンでO 社のサーバにアクセスし、1000 万件以上の顧客情報をダウンロードして保存、その後自ら所有するスマートフォンに当該データを保存して領得し、②大容量データ送信サービスで、同顧客情報をアップロードし、株式会社D社（名簿業者）代表取締役に、同顧客情報をダウンロードするためのURL 等を送信し、同顧客情報をダウンロードさせ、顧客情報を開示する等して起訴された。
第一審（東京地方裁判所立川支部平成28 年3 月29 日判決）は、秘密管理性について、「①当該情報にアクセスできる者を制限するなど、当該情報の秘密保持のために必要な合理的管理方法がとられており、②当該情報にアクセスした者につき、それが管理されている秘密情報であると客観的に認識することが可能であることを要する」との民事上の差止請求権が認められる場合の一般的基準と同様の基準を挙げ、「それを超えて、…外部者による不正アクセス等の不正行為を念頭においた、可能な限り高度な対策を講じて情報の漏出を防止するといった高度な情報セキュリティ水準まで要するものとはいえない」としました。
①につき、
・当該情報にアクセスできるかは、開発中の本件システムのアカウントを利用できたか否かによるが、O 社とP 社は、業務上の必要性を吟味し、不要な部署や従業者に対してはアカウントの使用を許していなかった／・アクセスできる従業員の数が限定されていた／・情報にアクセスできる端末が錠付きチェーンロックで固定され持出しが不可能とされていた、／・セキュリティソフトによりUSB メモリ等によるデータの持出しが禁止されていた（ただし、このソフトは一定の機種のスマートフォンへのデータ移転に対しては機能しない）／・秘密情報の管理についての社内規程、研修等が整備されていた
②に関しては、
・本件システムの内容と目的、顧客情報の性質／・A 自身も研修を受講のうえ、秘密保持に関する同意書を作成していたこと、等を認定し、秘密管理性を認めました。

（2）控訴審（本件）
判決　原判決破棄自判懲役2 年6 月及び罰金300 万円
控訴審は、「顧客情報へのアクセス制限等の点において不備があり、大企業として採るべき相当高度な管理方法が採用、実践されていたといえなくても、当該情報に接した者が秘密であることが認識できれば、全体として秘密管理性の要件は満たされていたというべきである」とし、セキュリティ研修の実施、秘密保持に関する同意書の提出を求め、本件システム及び本件顧客情報の性質等を併せ考慮すると、秘密管理性の要件は満たされていた、としました。
ただし、①データベースにアクセスするアカウント情報が共有フォルダに保存されていた、②私物スマートフォンの執務室への持込が禁止されていなかった、③アラートシステムが機能していなかった、④ A が3 次派遣の労働者に該当し、上長においてもA の所属先会社を知らなかった、との秘密管理上の不備を指摘し、被害者O 社側の落ち度も大きいとの点を量刑判断に反映させました。

3．検討

本件は、システム開発を委託した先の下請人が、開発の便宜のために貸与されたアクセス権限を悪用したというものです。
秘密管理性については、一定の厳格な基準を設け、事案に関係なく、この基準を当てはめるる客観説に立脚し、秘密管理性を厳格に考える裁判例^※2 が続きましたが、ポリカーボネート樹脂製造装置事件（知財高裁平成23 年9 月27 日判決）以来、秘密管理性を秘密情報の希少性や企業の規模や状況等と勘案して、必要な管理体制を認定する相対説に裁判例が登場してきています^※3。
本件においては、データベースにアクセスするためのアカウント情報が共有フォルダ内に保存されていたことが認定されており、客観説的な考え方に立脚すれば、秘密管理性が認められないと考えることもできそうです。しかし、秘密管理性が認められるための要件の②秘密情報であることの（客観的）^※4 認識可能性こそが重要であり、①（秘密管理措置）と②を独立した要件とみるのは相当でなく、「当該情報に接した者が秘密であることが認識できれば、全体として秘密管理性の要件は満たされていたというべきである」と明示した点に特徴があります。
今後は、秘密情報にアクセスできる者に対して、いかなる情報が秘密情報であるか、確実に認識することができる措置（同意書作成、研修等の受講報告等）の整備を行い、アクセス者の認識を文書化しておくことも、疎かにすることができない重要な要素となると考えられます。

^{※ 1}：経済産業省知的財産政策室著『逐条解説不正競争防止法』41 頁、http://www.meti.go.jp/policy/economy/chizai/chiteki/pdf/28y/full.pdf
^{※ 2}：例えば東京高裁平成13 年3 月19 日決定など、知財管理Vol.52,No.9,2002 にて苗村が評釈。
^※３：知財管理Vol.62 No.10,2012
^※４：本判決は、客観的認識可能性と述べていますが、本来は当該接触者の認識可能性が要件と考えてよいところです。