はじめに
近年、退職者による営業秘密の漏洩に関する裁判が世間の耳目を集めている。雇用流動化の必要性が高まる中、企業においては、退職者による自社情報持出し等への対応に頭を悩ませることも少なくないと思われる。
そこで、小規模企業における事業上重要な情報の管理状況が問題となった最近の裁判例(大阪地判令和6年7月30日裁判所ウェブサイト※)を紹介することを通じて、自社の情報管理体制を考え直す際の参考情報を提供したい。
そこで、小規模企業における事業上重要な情報の管理状況が問題となった最近の裁判例(大阪地判令和6年7月30日裁判所ウェブサイト※)を紹介することを通じて、自社の情報管理体制を考え直す際の参考情報を提供したい。
| ※ | https://www.courts.go.jp/app/files/hanrei_jp/357/093357_hanrei.pdf |
|---|
本件で問題となったのは平成20年代前半の情報管理体制であるが、営業秘密関連の情報管理に関する裁判所の考え方を知る上では現在でも十分参考になると考える(また、実際には当時と大差ない管理体制に留まっている企業もあるかもしれない。)。
なお、以下では判決内容に言及するが、紙幅の関係上、要約等しているため、詳細は判決文そのものを参照されたい。
なお、以下では判決内容に言及するが、紙幅の関係上、要約等しているため、詳細は判決文そのものを参照されたい。
判示内容
事案の概要
本件は、マンモグラフィ画像診断システム(以下「X製品」という。)を製造・販売している原告Xが、Xの元従業員がXの営業秘密であるソースコードを不正の手段により取得し、被告Yがこれを使用して、X製品類似の製品(以下「Y製品」という。)を製造販売等した行為などが営業秘密侵害行為(不正競争防止法2条1項5号、8号及び10号)に該当し、又は、ソースコードに係る著作権を侵害するとして、Y及びその代表者に対し、Y製品に係るソフトウェアやY製品の製造・販売の差止め等及び損害賠償請求を求めた事件である。
結論としては、Xの請求はいずれも棄却された。
結論としては、Xの請求はいずれも棄却された。
営業秘密に関する争点
Xは、不正競争防止法上の営業秘密侵害行為に係る請求を行っているところ、そもそも社内の情報が「営業秘密」としての保護を受けるためには、不正競争防止法上の営業秘密として認められる必要があり、
その要件は、
その要件は、
①非公知性(保有者の管理下以外では一般に入手できず、公然と知られていないこと)
②有用性(有用な技術上又は営業上の情報であること)
③秘密管理性
である。
②有用性(有用な技術上又は営業上の情報であること)
③秘密管理性
である。
そして、営業秘密侵害行為を主張する側にとって、高いハードルとなるのが③秘密管理性である。本件でも、Xは、X製品に関連するソースコードが営業秘密に当たることを前提とする請求を行っているため、当該ソースコードについて、③秘密管理性の要件を満たしていることを証明しなければならない。
そのため、③秘密管理性について、X及びY双方から詳細な主張が行われた。
そのため、③秘密管理性について、X及びY双方から詳細な主張が行われた。
Xが主張した事実の概要
A 営業秘密であると主張しているソースコードはXの基幹商品のソースコードであり、それが極めて重要な営業秘密に該当することはソフトウェア開発に携わる者にとって当然に認識されているのであるから、そのことのみをもってしても、秘密管理性は十分に認められる。
B 平成24年2月当時、Xは、従業員数わずか11名と小規模であり、以下のとおり、その規模に応じた管理を行っていた。
- ソースコードは従業員がユーザー名とパスワードを入力しなければアクセスできない社内サーバーに保管されていた。
- パソコン内の情報の社外への持ち出しを禁止するなどの就業規則を制定し、その内容は平成23年4月に開かれた従業員説明会等で従業員に周知されていた。
- 在職中に作成したソースコードを秘密情報として明示した秘密保持誓約書を退職従業員には個別に提示し、退職従業員はこれに署名・押印、あるいは、その内容を了承した上、秘密保持を約していた。
- 薬機法上、ソースコードは構成管理の最重要アイテムとして、ソースコードを含む過去の「バージョン一式を文書化」しておく必要があり、Xにおいても、バージョンごとに、リリースした製品のソースコードは社内の共有サーバーに、開発中のソースコードは開発者のみがアクセス可能なパソコンに保管することとされていた。
C 開発者が客先を訪問して、その場で状況を確認しつつ、ソースコードを書き換えるという作業が必要になる場合はあるが、そのためにソースコードを持ち出すのは年に数回程度にすぎなかった。
Yが主張した事実の概要
- ソースコードであるということのみで秘密管理性が認められるものではない。また、Xの管理体制は極めてずさんだった。
- ソースコードは、Xの従業員であれば誰でも、パスワードなどを入力することもなく容易にアクセスが可能なサーバーに保存されており、当該サーバーは、Xの全従業員が、一旦自分のユーザー名とパスワードを用いて業務用デスクトップパソコンにログインさえすれば、改めてユーザー名やパスワードを入力するなどの操作を行うことなくアクセスすることが可能であり、サーバーにアクセスするための特別なパスワード等は要求されていなかった。
- 多くの従業員に対してXから支給されていたパソコンはデスクトップパソコンのみでノートパソコンは支給されていなかったところ、本件で問題となった退職者が在籍していた当時、ソースコードが保存されているサーバーは、社用パソコンと同じユーザー名及びパスワード又はアドミニストレーターのユーザー名及びパスワードを使用すれば、従業員私有のパソコンからでもアクセスできた。
- アドミニストレーターのユーザー名及びパスワードは、出荷されるX製品にデフォルトで設定されているものと同じであり、このことは全従業員に入社直後から周知されていた。
- 開発課の従業員に対してノートパソコンは貸与されていなかったが、各従業員は、各自の判断で私有のノートパソコンにソースコードをコピー・保存して作業を行う必要があり、それらのノートパソコンにもソースコードが保存される状態が常態化していた。
- 私有のノートパソコンにソースコードをコピー・保存することは、Xにおいて一切禁止されておらず、上長等の許可を得なければならないなどの社内ルールも存在していなかった。また、Xにおいて、どの従業員がどの私有パソコンにソースコードを保管しているのかを把握していなかった。パソコン内の情報の社外持ち出しを禁止する就業規則が施行されたのは、本件で問題となった退職者の退職後だった。
- Xにおいては、退職時に秘密保持契約書に署名・押印しなければならないという社内ルールはなかった。さらに、X自ら、退職者に対し、退職後もソースコードを保持してXをサポートすることを依頼していた。
裁判所の判断
以上のX及びYの主張を前提に、裁判所は、Xのソースコードの秘密管理性について、以下のとおり判断し、秘密管理性を否定した。
秘密管理性要件について
不競法2条6項にいう「秘密として管理されている」といえるためには、当該情報にアクセスした者に当該情報が営業秘密であることが認識できるような措置が講じられ、当該情報にアクセスできる者が限定されているなど、当該情報に接した者が、これが秘密として管理されていることを認識し得る程度に秘密として管理していることを要するというべきである。
Xのソースコードについて秘密管理性が認められるか
情報の重要性
X製品は、医療用画像診断システムの開発というXの主たる事業に関するもので、マンモグラフィ画像診断ワークステーションとして一定の評価を受けていたから、かかるX製品に含まれているソースコードはXの事業にとって重要なものであり、Xの少なくとも開発担当の従業員においてもその点は理解していたことは認められる。
ルール設定の有無等
問題となる退職者の退職前までは、就業規則も含め保存に関する明確なルールは存在せず、X従業員全員が、Xから割り当てられたユーザー名とパスワードをパソコンに入力してログインしさえすれば上記ソースコードにアクセス可能であった。
ソースコード自体へのアクセスを制限するルールはなく、従業員が顧客先に出向いた際にソースコードを利用する機会が相当程度あり、また、従業員の退職時にはパスワードの引き継がれていたことからすると、ソースコードのファイルにパスワードが設定されていたとしても、従業員間で適宜共有されていたものと認められる。
ソースコード自体へのアクセスを制限するルールはなく、従業員が顧客先に出向いた際にソースコードを利用する機会が相当程度あり、また、従業員の退職時にはパスワードの引き継がれていたことからすると、ソースコードのファイルにパスワードが設定されていたとしても、従業員間で適宜共有されていたものと認められる。
情報へのアクセスの容易性
全従業員が把握していたと思われるアドミニストレーターのユーザー名及びパスワードがXの社内で厳格に管理されていたとは認められず、開発担当者以外の者が開発担当者の社用パソコンにログインして保存データを確認することもできた可能性は十分に認められる。
情報取扱いの実態
従業員は、私有のノートパソコンにソースコードをコピーして保存し、社外に持ち出すことがあり、その際は、私有のノートパソコンに社用パソコンと同じユーザー名とパスワードを入力し、社内ネットワークにアクセスしていた。ソースコードの社外持ち出しの禁止や許可に関する明確なルールは存在せず、従業員が顧客先から帰社した際に、私有のノートパソコンからソースコードを削除するなどの措置についても、Xとして特段の管理を行っていなかった(なお、ソースコードの社外持ち出しは相当程度の回数に及んでいたという事実も認定)。
退職後の情報取扱いの容認
X代表者は、退職から半年以上も経つ者に対し、電子メールで、ソースコードを保持していなければ対応が困難と考えられる質問をしていることから、Xのソースコードの退職後の保持をX代表者が少なくとも一定程度黙認していたと解される。
結論
以上の事情を総合すると、ソースコード自体の重要性を考慮しても、その秘密管理が極めてずさんであったことなどに鑑みれば、Xにおいて、Xのソースコードにつき、当該情報に接した者がこれが秘密として管理されていることを認識し得る程度に秘密として管理していたと認めることはできない。
コメント
従前より、対象となる情報が重要であれば、従業員も、当然、当該情報が営業秘密であると認識するという考え方から、(判決文上は)秘密管理性がスムーズに認められるケースがあったり、また、会社の規模が小さければ、情報管理体制の改善すべき点があったとしても秘密管理性が認められるケースもあった。
本件でも、Xは、ソースコードという情報の重要性、会社が小規模であるという点を主張し、裁判所もこれらの点を認めている。しかし、裁判所は、ソースコードの具体的な管理状況を仔細に検討し、情報管理に関するルール設定がないこと、設定されているパスワードの実際の運用状況、私用ノートパソコンによるアクセスも黙認していたといわれてもよいような状況にあったこと、退職者によるソースコードの保持を前提としたやりとりがあったこと等を指摘して、「秘密管理が極めてずさんであった」とし、秘密管理性を否定した。
情報が事業上重要であることや、会社の規模が小さいといったことは、秘密管理性が認められやすい方向に働く事情ではある(本判決も「ソースコードの重要性やその点に関する開発担当の従業員の理解、Xの会社の規模を考慮しても」と言及している箇所がある。)。しかし、本件のように、そもそもの管理体制がずさんであれば、秘密管理性は認められない。
(設立間もない企業も含め)小規模な企業といえども、情報管理に関するルールの策定、IDやパスワードの管理方法、私用PCの使用に関するルール、社外持出し時のルールの設定、従業員の入社時・退職時の対応など、基本的な部分のルール策定・実行・見直しが求められることが分かる。退職者がいつ現れるかは分からないし、また、策定したルールの浸透には一定の時間を要すると考えられる以上、守って当然と思われるルールについても、その策定等を後回しにしない姿勢が大切といえよう。