秘密保持契約の勘所は限られている。
第1のコツは「秘密情報」は特定できているか。だ。
昔も今もよくあるのは
甲が委託元,乙が委託先で
「甲乙は,本件委託業務にあたり相手方から開示された全ての情報を秘密として取り扱う」
というパターン。
当事者は,「今回のことで知ったことは全て秘密にしてね」という程度なのだろう。
こんな程度なら,考えるまでもなく,この守秘契約は無効であることは明かだ。
なぜか。
できもしないことを,そうと知りつつ合意していることが明かだからだ。やる気がないことを双方が熟知して文言だけ体裁をととのえても無効というのが,「心裡留保」や「通謀虚偽表示」だ。
こんな難しい概念をつかわなくたって,要するに,守秘する意思がないわけだから,守秘すると契約書に書いても効力を生じない。「法律効果の根拠は行為者の意思だ」というのが近代法の根幹だ。
情報漏洩が起きたときに,この契約条項をもとに賠償請求しても,上のような反論を受けるだろう。
ではどうするか・・・
私がよく使う定義条項のイメージはこのようなもの。
要するに,守秘の対象を特定して管理できるようにしたものだ。
第1のコツは「秘密情報」は特定できているか。だ。
昔も今もよくあるのは
甲が委託元,乙が委託先で
「甲乙は,本件委託業務にあたり相手方から開示された全ての情報を秘密として取り扱う」
というパターン。
当事者は,「今回のことで知ったことは全て秘密にしてね」という程度なのだろう。
こんな程度なら,考えるまでもなく,この守秘契約は無効であることは明かだ。
なぜか。
できもしないことを,そうと知りつつ合意していることが明かだからだ。やる気がないことを双方が熟知して文言だけ体裁をととのえても無効というのが,「心裡留保」や「通謀虚偽表示」だ。
こんな難しい概念をつかわなくたって,要するに,守秘する意思がないわけだから,守秘すると契約書に書いても効力を生じない。「法律効果の根拠は行為者の意思だ」というのが近代法の根幹だ。
情報漏洩が起きたときに,この契約条項をもとに賠償請求しても,上のような反論を受けるだろう。
ではどうするか・・・
私がよく使う定義条項のイメージはこのようなもの。
「秘密情報とは,媒体又は文書に,秘密として取り扱うことを明示して開示,委
託され若しくは提供された情報をいう。開示等の後に,同方法により秘密として
取り扱うことを明示されたときは,その時から秘密情報とする。」
要するに,守秘の対象を特定して管理できるようにしたものだ。
この定義は,情報セキュリティ対策の基本である ISO:27002の項番の8.1 特に,8.1.2 b)c) 8.2.1のa)~c)のレベル付(情報格付),8.2.2などを背景にしている。
やりとりする情報に必ず情報格付けが書かれているという環境を前提にすれば,この条文をもとに,守秘条項を作ることができる。
実際に,秘密格付けをしている甲乙の間の契約では,上の「秘密として取り扱うことを明示して」を例えば「秘密レベル3以上であることを明示して」とすれば良い。
第2のコツは,秘密情報を管理する方法の特定だ。
これもできもしないことを契約書に書いても,法は不能を強いない。当事者に効果意思なし,を理由に無効となる。
特定の契約のために,新たにセキュリティ枠組みを構築したり,対策を講じるという事例なら,それを契約してそのコストを報酬に乗せれば良いのだけれど,そうでなければ,今やっているセキュリティ対策に乗せて管理するだけだろう。
ではどうするか・・・・・
私がお勧めするのは
という真っ正直なもの。
よく考えると,契約の前に,セキュリティリスクのコミュニケーションを図るだろう。今は,特に,サプライチェーンのセキュリティ対策がうるさく言われていて,セキュリティリスクはそこまで広げてアセスメントするだろう。
だから,こういう内容が最もよいだろう。
やりとりする情報に必ず情報格付けが書かれているという環境を前提にすれば,この条文をもとに,守秘条項を作ることができる。
実際に,秘密格付けをしている甲乙の間の契約では,上の「秘密として取り扱うことを明示して」を例えば「秘密レベル3以上であることを明示して」とすれば良い。
第2のコツは,秘密情報を管理する方法の特定だ。
これもできもしないことを契約書に書いても,法は不能を強いない。当事者に効果意思なし,を理由に無効となる。
特定の契約のために,新たにセキュリティ枠組みを構築したり,対策を講じるという事例なら,それを契約してそのコストを報酬に乗せれば良いのだけれど,そうでなければ,今やっているセキュリティ対策に乗せて管理するだけだろう。
ではどうするか・・・・・
私がお勧めするのは
「乙は,甲から,開示された秘密情報を,本契約時に,乙が現に行い,又は,その後改善されたセキュリティポリシーにより管理する。」
という真っ正直なもの。
よく考えると,契約の前に,セキュリティリスクのコミュニケーションを図るだろう。今は,特に,サプライチェーンのセキュリティ対策がうるさく言われていて,セキュリティリスクはそこまで広げてアセスメントするだろう。
だから,こういう内容が最もよいだろう。
「セキュリティポリシー」「情報管理の方法」など事案にあわせて規定する。
第3のコツは・・「秘密」か「機密」か。
どちらにすべきかの基準はない。
けれど,e- Govで,検索をしてみると,機密というのは,どうやら組織の秘密や権限を捉える用語例が多いように思う。
例えば,不正競争防止法も営業「秘密」という規定ぶりで,営業「機密」ではない。
自社に不正競争防止法との関係で,営業「秘密」を定義したり,「秘密」情報目録があるようなときは,その目録と守秘契約を連動させることも容易になる。
というわけで,私は,「秘密」保持契約,「秘密」情報とするのが良いと思う。
第3のコツは・・「秘密」か「機密」か。
どちらにすべきかの基準はない。
けれど,e- Govで,検索をしてみると,機密というのは,どうやら組織の秘密や権限を捉える用語例が多いように思う。
例えば,不正競争防止法も営業「秘密」という規定ぶりで,営業「機密」ではない。
自社に不正競争防止法との関係で,営業「秘密」を定義したり,「秘密」情報目録があるようなときは,その目録と守秘契約を連動させることも容易になる。
というわけで,私は,「秘密」保持契約,「秘密」情報とするのが良いと思う。
第4のコツは,「秘密情報の返却の合意」だ。
情報は利用目的を達したら,用を終えたら廃棄する。無用な情報は持たないというセキュリティ対策というか情報管理の大原則だ。
だから,委託契約を終えたら,当事者は関係を失い,情報もやりとりの目的を達成し,あるいは,失い,用済みとなるので,返還・廃棄せよ,とか,複製を含めて保持するなという条項を定めることが多いし,実は,セキュリティ対策としても当然のように言われることだ。改正個人情報保護法19条も消去の努力義務が定められ,個人情報保護委員会も特にその旨をガイドしている。
https://www.ppc.go.jp/news/careful_information/data_syokyo/
しかし,法務は安易に同意して良いのか?
「利用目的」に紛議に備えるという利用目的はないのか?わかりやすい例でいうと,委任契約がおわっても,例えば債務不履行の紛議があるとき,予測されるときは,債務者は履行の状況を立証する必要がある。とすれば,履行状況を示す秘密情報を安易に廃棄したり返還すれば,立証方法を失うことになる。こうした場合は,紛議処理の限度で法律関係はまだ続いているわけで,契約は期限がきたとしても,終了したとはいえない。
以前,システム開発紛争で追加料金を請求する訴訟で,ベンダ側の代理人をしたことがある。契約は解除されていた。契約書の守秘条項には,「契約が終了したときには全ての情報・データ,複製を返却し保持しない」という条項が定められていた。
でもベンダは,全ての仕事のプロセスと成果物のファイルをもっていた。だからこそ,訴状も書けたし,証拠も提出できた。
第一回期日で,ユーザーの訴訟代理人が元気いっぱいに主張した。「本件訴訟はただちに却下されるべきだ。守秘契約にもとづき,ベンダは主張や証拠として提出している情報の保持を禁じられている。守秘契約に反して提起された本訴は却下(門前払い)すべきだ」と。
中年の裁判官は,ニコニコしながら,無視して手続を進めた。
訴権を放棄するような効果を守秘条項に込めるならそれなりの合意をすべきだろう。
こうした煩わしさから開放されたいと考えるなら,こんな但書も良いだろう。
当然のことの確認的な但書だが,余計な争点を作らずにすむだろう。
「・・・返還し保持しない。但し,甲乙間に紛議が存在し,又は紛議のおそれがあるときはこの限りでない。」
情報は利用目的を達したら,用を終えたら廃棄する。無用な情報は持たないというセキュリティ対策というか情報管理の大原則だ。
だから,委託契約を終えたら,当事者は関係を失い,情報もやりとりの目的を達成し,あるいは,失い,用済みとなるので,返還・廃棄せよ,とか,複製を含めて保持するなという条項を定めることが多いし,実は,セキュリティ対策としても当然のように言われることだ。改正個人情報保護法19条も消去の努力義務が定められ,個人情報保護委員会も特にその旨をガイドしている。
https://www.ppc.go.jp/news/careful_information/data_syokyo/
しかし,法務は安易に同意して良いのか?
「利用目的」に紛議に備えるという利用目的はないのか?わかりやすい例でいうと,委任契約がおわっても,例えば債務不履行の紛議があるとき,予測されるときは,債務者は履行の状況を立証する必要がある。とすれば,履行状況を示す秘密情報を安易に廃棄したり返還すれば,立証方法を失うことになる。こうした場合は,紛議処理の限度で法律関係はまだ続いているわけで,契約は期限がきたとしても,終了したとはいえない。
以前,システム開発紛争で追加料金を請求する訴訟で,ベンダ側の代理人をしたことがある。契約は解除されていた。契約書の守秘条項には,「契約が終了したときには全ての情報・データ,複製を返却し保持しない」という条項が定められていた。
でもベンダは,全ての仕事のプロセスと成果物のファイルをもっていた。だからこそ,訴状も書けたし,証拠も提出できた。
第一回期日で,ユーザーの訴訟代理人が元気いっぱいに主張した。「本件訴訟はただちに却下されるべきだ。守秘契約にもとづき,ベンダは主張や証拠として提出している情報の保持を禁じられている。守秘契約に反して提起された本訴は却下(門前払い)すべきだ」と。
中年の裁判官は,ニコニコしながら,無視して手続を進めた。
訴権を放棄するような効果を守秘条項に込めるならそれなりの合意をすべきだろう。
こうした煩わしさから開放されたいと考えるなら,こんな但書も良いだろう。
当然のことの確認的な但書だが,余計な争点を作らずにすむだろう。
「・・・返還し保持しない。但し,甲乙間に紛議が存在し,又は紛議のおそれがあるときはこの限りでない。」