はじめに

企業の競争力を支えるノウハウ・顧客リスト・価格戦略――これらを不正競争防止法上の「営業秘密」（不正競争防止法2条6項）として確実に守るには、単に「社外秘」と書くだけでは不十分です。経済産業省の「営業秘密管理指針」は、営業秘密として保護を受けるための３要件を満たす実務運用を、人的・物理的・技術的の三層で具体化するための標準的な考え方を示しています。

営業秘密管理指針（経済産業省）令和7年3月31日最終改訂

これが守られていないと、例えば以下のようなことが起きます。

• 退職した従業員が顧客名簿を流用していたのに、損害賠償が十分にできない。
• 派遣社員やアルバイトのミスで情報漏洩が発生したのに、管理不十分で自社の責任が追及された。
• 取引相手からの情報漏洩なのに損害賠償請求が否定された。

本記事はこの「営業秘密管理指針」をベースに、

• 何を営業秘密として特定・区分するのか（情報棚卸しとラベリング）
• アクセス権管理・誓約・教育・ログ等、証拠化まで見据えた運用設計
• クラウド・生成AI時代に外部委託や退職者対応で落としがちな盲点
• 事故・持出し発見時の初動～法的手当（不競法・労契・委託契約）
  を、経営・現場・情シスが同じ地図で動けるように整理します。

「うちは中小だから…」という先延ばしは禁物。“営業秘密として主張できる状態”を平時につくることが、いざというときの交渉力と被害最小化を左右します。今日から着手できるチェックリストと、最小コストで始める実装ステップも紹介します。※本稿は概説であり、個別案件は事情により結論が異なります。

1. 指針の性格と位置付け

本指針は、経済産業省が、不正競争防止法（不競法）を所管する行政の立場から、企業実務で課題となってきた営業秘密の定義や保護要件についての考え方を示すものであり、法的拘束力を持つものではありません。最終的な個別事案の解決は裁判所が行います。
本指針は、企業が営業秘密管理を強化するための戦略的なプログラムを策定できるよう参考とすべきものとして策定され、特に、令和7年3月改訂は、テレワークの増加、派遣労働者や兼業・副業といった労働形態の多様化、およびクラウド技術の進展といった昨今の情勢変化を踏まえて行われました。

2. 不正競争防止法による保護の要件（三要件）

本指針は、企業が保有する情報が不正競争防止法に基づく差止め等の法的保護を受けるために必要となる最低限の水準の対策を示しています。
不競法による営業秘密の保護を受けるためには、以下の三要件をすべて満たす必要があります。
1. 秘密管理性：秘密として管理されていること。
2. 有用性：生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であること。
3. 非公知性：公然と知られていないもの。
この三要件は、民事上の要件と刑事上の要件で同じものと考えられています。

3. 各要件の考え方（概説）

3-1. 要件の基本的な考え方

• 秘密管理性：情報の取得、使用、開示を行おうとする従業員等に対し、当該情報が法により保護される営業秘密であることを容易に知り得るよう、秘密管理意思が明確に示されている必要があります。
• 有用性：情報が客観的に見て事業活動にとって有用であることが必要であり、公序良俗に反する情報（反社会的な情報）は含まれません。過去の失敗データや製品の欠陥情報などのネガティブ・インフォメーションにも有用性は認められます。
• 非公知性：一般的に知られておらず、又は容易に知ることができない状態であることが必要です。公知情報の断片の組み合わせであっても、再構成の容易性や取得に要するコストを考慮し、財産的価値が失われていなければ非公知性が認められ得ます。

3-2. 最新版の営業秘密管理指針が示すべき管理措置のリスト（秘密管理性）

不正競争防止法による法的保護を受けるために企業が講じるべき「秘密管理措置」は、その企業の規模、業態、従業員等の職務、情報の性質その他の事情によって異なりますが、従業員がそれを一般的に、かつ容易に認識できる程度であることが求められます。
以下は、指針に記載されている具体的な秘密管理措置（あるべき対策）のリストです。

I. 従業員・役員に対する規範的・技術的措置
営業秘密保有者の秘密管理意思を従業員に対して明確に示すための、主要な措置です。
1. 規範的な措置:
◦ 就業規則や秘密保持契約（あるいは誓約書）などの規定において守秘義務を明らかにすること。
◦ 従業員への研修・啓発を実施すること。
2. 技術的・物理的な措置:
◦ 媒体の選択や当該媒体への秘密表示（マル秘など）を行うこと。
◦ 営業秘密と他の情報とを分別管理すること。
◦ 営業秘密たる情報の種類・類型をリスト化すること。
◦ 当該媒体に接触する者や、秘密情報へのアクセスを限定すること（IDやパスワードによる制限など）。
II. 媒体別の具体的な管理措置
情報の媒体の形態に応じて、講じるべき措置が示されています。
1. 紙媒体の場合
• 秘密情報が記載された文書に「マル秘」など秘密であることを表示する。
• 施錠可能なキャビネットや金庫等に保管する。
2. 電子媒体の場合
• 記録媒体（CDケースなど）や電子ファイル名、フォルダ名に「マル秘」を付記する。
• 電子ファイルを開いた場合に端末画面上にマル秘であることが表示されるよう、電子データ上にマル秘を付記する（例：ドキュメントファイルのヘッダーに付記）。
• 電子ファイルそのもの、又は当該ファイルを含むフォルダにパスワードを設定する。
• 外部のクラウドを利用する場合、階層制限に基づくアクセス制御などの措置を講じる。
3. 物件に営業秘密が化体している場合（機械、金型、試作品など）
• 扉に「関係者以外立入禁止」の張り紙を貼る。
• 警備員や入館IDカードが必要なゲートを設置し、部外者の立ち入りを制限する。
• 写真撮影禁止の貼り紙をする。
• 営業秘密に該当する物件をリスト化し、接触しうる従業員内で閲覧・共有化する。
4. 媒体が利用されない場合（無形のノウハウ、記憶した情報）
• 従業員の予見可能性を確保するため、原則としてその内容を紙その他の媒体に可視化することが必要。
• 営業秘密のカテゴリーをリストにすること。
• 営業秘密を具体的に文書等に記載すること。
• （例外的に）情報の性質や知りうる従業員の多寡を勘案し、その営業秘密の範囲・カテゴリーを口頭ないし書面で伝達すること。
III. 外部との共有・連携における措置
取引相手先など、企業外の第三者に営業秘密を示す場合の措置です。
• 取引相手先と秘密保持契約（NDA）を締結した上で情報を提供する（典型的な方法）。
• NDAの締結は必須ではないが望ましい。
IV. 企業内における管理単位の考え方
• 秘密管理性の有無は、法人全体ではなく、管理単位ごとに判断される。
• 管理単位内において、秘密管理措置に対する認識可能性があれば、その他の管理単位での管理不徹底をもって、直ちにその管理単位の秘密管理性が否定されるわけではない。
• 管理単位Cで秘密管理されている情報αが生成AIに利用され、管理単位DでAI生成物として出力されたとしても、情報αが管理単位Cで秘密管理されている限り、その一事をもって管理単位Cの秘密管理性は否定されないと考えられる。

4. 即日着手ミニチェックサマリー

「営業秘密」の定義と三要件（秘密管理性・有用性・非公知性）を全社周知（1ページ資料で可）
秘密表示の統一ルールを決定：「機微度A=【極秘】/B=【マル秘】/C=【社外秘】」
顧客リスト／価格戦略／設計ノウハウなど主な情報資産を仮リスト化（棚卸しの叩き台）
クラウド（例：共有ドライブ／ストレージ）で営業秘密フォルダを階層分離し、閲覧権限を限定
退職・異動者のアカウント停止と媒体返却フローをその場で点検（チェック表1枚を作成）
外部提供中の資料にNDAの有無・版数・送付先をメモ化（Excel/スプレッドシートで可）
生成AIの業務利用**可否ライン（入力厳禁情報の例示）**をSlack/社内ポータルに掲示

【指針をもとに整備すべきポイント】
1. 情報の特定・区分（棚卸しとラベリング）
2. アクセス権管理（技術・物理）
3. 規範・契約・教育
4. クラウド・生成AIの実装ポイント
5. ログ・証拠化（「後で立証できる」状態づくり）
6. 外部提供・共同開発
7. 退職・異動・副業対応
8. インシデント初動（漏えい/持出し検知時）
9. ライフサイクル管理
10. 内部監査・KPI

企業へのサイバー攻撃に関するトピックは弊所ブログ「サイバーセキュリティ法務の現在地：企業が乗り越えるべき横断的な課題と法務対応の最前線」もご覧ください。

まとめ

企業は、データの塊であり、データは収益の源泉です。

昨今のサイバー攻撃の例を出すまでもなく、営業秘密の管理は企業の存続すら危うくするリスクがあります。

営業秘密の保護は、「貼り紙」ではなく運用の一体化ととらえ、クラウド・生成AIまで含めた技術×規範×証拠化を回すことで、三要件（秘密管理性・有用性・非公知性）が“後から立証できる”状態になります。
とりわけ退職・外部委託・生成AIは落とし穴になりやすい領域です。平時のスナップショット（ログ・誓約・表示の証跡）を積み上げておけば、いざ漏えいや流用があっても、差止・仮処分・損害賠償の交渉力が段違いに変わります。

まずは「即日着手ミニチェック」で土台を作り、30日でルール定着、90日で監査とKPI運用まで持っていく。この“軽量だけど切れる”導入プロセスが、中小企業でも現実的に機能する営業秘密管理の近道です。