大阪メトロ「堺筋本町駅」13番出口 徒歩1分

①　会社Aが会社Bと新規に取引をしようとして商談に入ったところ、会社Bから「ここから先
の商談をするには、社内的に機密保持契約を結んでおく必要があるので、機密保持契約をお
願いできますか」と言われましたので、機密保持契約書を作ってもらえますか。

②　会社Aが会社Bと新規に取引をしようとして商談に入ったところ、会社Bから「ここから先
の商談をするには、社内的に機密保持契約を結んでおく必要があるので、機密保持契約書を
渡します。これにサインしてもらえますか」と言われましたので、会社Bから渡された機密
保持契約書をチェックしてもらえますか。

私は、企業法務をメイン業務として行っているので、上のような会社Aからの依頼が頻繁
に来ます。

機密保持契約とは、上の例でいえば、「AとBがそれぞれ、相手の会社について知ったことを
外部に漏らさない、また本商談以外に使用しない」など、相手の会社の情報を漏洩したり、
悪用したりしない、という約束です。機密保持契約は略してNDAと言ったりします。

このような機密保持契約を結んでおかないと、自社の情報が悪用されることになり、ひいて
は、自社に損害を与えるおそれが発生することになります。

機密保持契約の基本的な内容

今のご時世、ネットで「機密保持契約　書式」や「機密保持契約　フォーマット」で
検索すれば、いくらでも機密保持契約の書式を入手できます。

とりあえず、それらの書式・フォーマットで書かれていることを挙げておきます。
これらは、通常、絶対に内容として含んでおかないとダメだと思います。

（１）　機密にする情報の内容
例えば、「本契約において機密情報とは、事業において知りえた相手方の情報の全てをい
う」とか、「本契約において機密情報とは、事業に関連して相手方から開示された全ての
情報をいう」といった定め方をしたり、更に「情報」を細かく具体的に定めたりします。

（２）　してはいけない事項
例えば、「機密情報を本商談を行う目的以外には一切使用しない（目的外使用の禁止と言
われます）」とか「機密情報をいかなる第三者に一切開示または漏洩しない（情報漏洩の
禁止といわれます）」といったことを定めます。目的外使用の禁止と情報漏洩の禁止の両
方を定めるのがスタンダードです。

（３）　機密保持のための管理方法
例えば、「当事者は、機密保持のため、善良な管理者の注意義務を負う」というような定
め方をします。「善良な管理者の注意義務」の意味ですが、例えば、レンタカー会社から
借りた車と、自分の持っている車とでは、どちらの方が大事に扱いますか？
普通はレンタカー会社から借りた車ですね。なぜなら、ざっくり言えば、他人の車だから
です。法的にもレンタカー会社から借りた車の方が大事に扱わないといけないとされてい
ます。自分の持っている車は「自己の所有物としての注意義務」でいいですが、レンタカ
ー会社から借りた車は、それよりもずっと重い管理をして注意しておかないとダメ。この
注意のことを「善良な管理者の注意義務」といいます。略して「善管注意義務（ぜんかん
ちゅういぎむ）」といいます。

ちなみに、例えば、会社Bが業務をするに際して第三者に下請や業務委託することが想定さ
れているならば、「善管注意義務をはじめとする本機密保持契約に基づく義務を、下請先
や業務委託先にも課さなければならない」という定めを入れておくことが多いです。

（４）事故が発生したときの措置
例えば、「情報漏洩があったときには、速やかに相手方に通知しなければならない」といっ
た定めをして、情報漏洩による損害を最小限にとどめるようにします。なかには、「情報漏
洩があって速やかな情報削除が必要な場合には、相手方の同意なくして、機密情報の削除を
はじめとする適切な措置を講じることができる」ということを定めて、情報漏洩そのものを
最小限に食い止めることができるようになっている場合もあります。

IT・AI時代の機密保持契約のあり方

上の例で、会社Aと会社Bは機密保持契約を締結したあと、交渉を重ねて、継続的な業務提
携契約を結びました。それ以降、会社Aと会社Bのシナジーにより、業績を伸ばしています。
その矢先、次の２つのケースが起き、会社Aに損害が発生しました。果たして会社Aは会社B
に損害賠償請求ができるでしょうか。

①　会社Bは、会社AのデータをC社が運営するクラウドサーバに保管し、C社の規定するスタ
ンダードなセキュリティレベルに設定していました。ところがC社のサーバがサイバー攻撃
され、会社BがC社のサーバに保管していた会社Aの業務機密データがインターネット上に流
出して、会社Aは多数の顧客を失う結果となりました。

②　ある日突然、会社Aの顧客情報がインターネットにアップされ、多数の被害者が出ました。
アップされたサイトから情報源をたどっていくと、あるカフェのオープンwi-fiにたどり着
きました。どうやらこのカフェから情報が漏れたようだったので、誰かこのカフェを使った
ことがないかを調べたところ、会社Bの従業員がこのカフェのオープンwi-fiを利用して会
社A関連の業務を行っていたことが発覚しました。
会社Bではオンライン勤務が導入され、会社Bの規程上、カフェでの勤務を禁止していません
でした。

①についても、②についても、おそらくこれにズバッと解決できる機密保持契約書を結んでお
られる会社は少ないと思います。
ただ、あえて言うなら、②のほうがズバッと解決できる機密保持契約書を結んでおられる会社
が多いんじゃないかなと思います。

ちなみに、私が顧問弁護士をしている会社様では、①と②のいずれも、会社様と協議して、入
れるかどうかを決めています。

②はコロナのときにそこそこ有名になった事案なのでご存じの方もいらっしゃると思います。

例えば、機密保持契約書に「不特定多数の者が出入りする場所では業務をしない」とか、
「オープンwi-fiに接続して業務をしない」といった定めをしておくことによって、会社Aは
会社Bの契約違反を主張して、損害賠償請求をすることができるようになります。

個人的には「不特定多数の者が出入りする場所では業務をしない」というのと「オープンwi
-fiに接続して業務をしない」というのは、両方とも定めておく必要があるんじゃないかなと
思っています。なぜなら、今のご時世、小型カメラの性能が滅茶苦茶良くなっているので、
遠くからでもノートパソコンの画面を見て、情報を盗むことができるからです。そう考えれ
ば、そもそも「不特定多数の者が出入りする場所では業務しない」とする実益が非常に高い
と思います。

オープンwi-fiにつないで仕事をしないのはスタンダードだと思います。オープンwi-fiは
情報が洩れると思って間違いないと思います。

①は、コロナ前から私個人的にいろいろ考えてきました。今も考えています。
最初は、機密保持契約書に例えば、「会社Bは、●●クラウドサーバサービスの●●というレベル
のセキュリティーレベルを維持しなければならない」という定めをすることを考えていまし
た。
これには２つの意味があります。
１つは会社Bは●●というレベルのセキュリティーレベルを維持する義務を負うという意味で
す。これは読んで字のごとくです。
もう１つの意味は、「会社Bは●●というレベルのセキュリティーレベルを維持していれば、
クラウドサーバがサイバー攻撃を受けても、会社Aとの関係で善管注意義務違反が免れる」と
いうものです。

ただ現在クラウドサーバの利用料が高騰してきて、高度なレベルのセキュリティを維持すると
なると、かなりのコストアップになっています。つまり、「会社Bは、●●クラウドサーバサー
ビスの●●というレベルのセキュリティーレベルを維持しなければならない」という定めを置い
て機密保持を行うことが、果たしてリスクマネジメントとして妥当なのか、という問題点です。

AIと機密保持契約

この点は、契約や扱う情報の性質などによって異なるのだろうと思いますが、特にAIとの関
係も注意しないといけない思っています。

AIはネット上の情報を同時並行で収集・分析する機能を持っています。逆にいえば、一旦
ネット上に流出すれば、AIによって簡単に模倣されるおそれがあるということです。
例えば、音楽やデザインなど、創作性のある情報については、既にAIを利用して模倣したコ
ンテンツを作成できるアプリがあります。

ですので、サイバー攻撃されて情報がネットに流れたら模倣されるおそれのあるデータについ
ては、そもそもスタンドアロン（インターネットにつながない）ことが必要かもしれません。

最後に

私個人的には、機密保持契約とIT・AI技術はイタチごっこだと思っています。
また、機密保持契約はリスクマネジメントの一環だとも思っています。

今後IT技術やAIが進化し、またネット環境からの情報収集・分析・判断をパソコンなどの
機器でどの程度できるようになるか、またそれらによるリスクをどのようにマネジメント
するかを、会社ごと、また情報ごとに考えて、どのような機密保持契約を作るかを考えな
ければならないと思います。

少なくとも、ネットで「機密保持契約　書式」で探してでてきたものをそのまま使用する
というのは、非常に危険だと思います。