「NDAを結んだので、もう大丈夫ですよね」
お客様からこう言われると、私はいつも少し言葉に詰まります。
NDA(秘密保持契約)は、結べば情報が漏れなくなる装置ではありません。
ことが起きたとき、相手に責任を問いやすくするための準備でしかない。
そして、ことが起きないようにする仕組みは、契約書の外側にあります。
「NDAを結んだのに情報が漏れた」というご相談を、ここ数年で何件か受けました。
共通していたのは、契約書の中身ではなく、その手前で起きていることでした。
NDA(秘密保持契約)に過信が生まれる場面
「とりあえず結んでおけば安心」という見方
新しい取引先と打ち合わせをするとき、雛型のNDAを交わしておく。
ここまでは、よくある実務の流れです。
問題は、結んだ瞬間に「これで情報の心配はなくなった」と思ってしまうこと。
書面の効果は、相手に責任を問いやすくすることまでです。
情報が外に出ること自体を、契約書が止めてくれるわけではありません。
雛型に依存して中身を見ていない
ネット上のNDA雛型をダウンロードして、社名だけ差し替えて使っている会社があります。
雛型がよくない、という話ではありません。
中身を読み込んでいないと、自社の業務と合わない条項が紛れ込みます。
たとえば、雛型が想定している業界・規模・取引形態が、自社と違うことがあります。
そのまま使うと、現場の運用と契約書が離れていきます。
締結したのに情報が漏れる典型ケース
部門間・担当者間で伝わる中で漏れる
NDAは取引先との間で結ばれていても、社内では情報が自由に動きます。
担当者がチームに共有する、チームが部門に共有する。
このどこかで、本来見るべきでない人の目に触れることがあります。
漏れた、と気づくのはたいてい外に出てからです。
社内をどう動いたかを後から追えない会社では、漏えい経路の特定も難しくなります。
退職者・外部委託先からの漏れ
退職時に、業務で扱っていた情報が記憶や記録として持ち出されることがあります。
外部委託先で、再委託の連鎖の途中で情報が広がることもあります。
NDAは結んでも、退職者や再委託先までの一連の動きが見えていない会社では、結局どこから漏れたか追えなくなります。
チャットツールや生成AIへの貼り込み
最近、目立つようになったのがこれです。
顧客情報、契約内容、案件の詳細を、社員がチャット型AIにそのまま貼り付けてしまう。
本人は、業務を効率化したつもりで動いています。
NDAは「第三者に情報を渡さない」という構造ですが、AIへの入力がそれに当たるかどうかは、使っているサービスの設定や契約条件によって扱いが変わります。
ケースによっては、契約違反の論点が立ち上がる場面があります。
NDAが効きにくい場面とは
「漏れた」と証明できない場合
情報が漏れたことを、自社の側で証明できないと、NDAは効きにくくなります。
誰が、いつ、何を、どこに、どうやって渡したか。
これを後から追えない会社では、契約書を持っていても動かしづらいことがあります。
損害額の算定が難しい場合
漏えいによる損害額の算定は、一般的に簡単ではありません。
何をもって損害とするのか、どれくらいの金額になるのか。
契約書に違約金の条項があっても、それが妥当な金額として通るかどうかは、別の話になります。
具体的な金額の見積もりや、賠償の枠組みの判断は、弁護士の領域です。
ここで断定的なことは申し上げられません。
損害賠償請求が現実的でない場合
相手が小規模事業者・個人だった場合、賠償を求めても回収できる金額が限られることがあります。
契約書の効果が現実に発揮されにくい場面です。
書類だけでは足りない理由
「見える状態」を作らないことが本質
情報を守るための基本は、見えない場所に置いておくことです。
契約書は「見えてしまった人」に対する歯止めであって、見えないようにする仕組みではありません。
漏えい対策の主軸は、見える人を絞ることに置く必要があります。
契約書だけでは「見てよい人」を区切れない
NDAは取引先との間の契約です。
社内で誰が見てよいか、外部委託先で誰が見てよいか、退職者がどこまで持ち出してよいかは、別の仕組みで管理する必要があります。
社内規程・アクセス権限・運用ルールの組み合わせで、ようやく機能します。
AI時代の見えない対策
生成AIに業務情報を入力することが日常になりつつあります。
契約書の文言を「第三者に開示しない」と書いていても、AIへの入力がそれに当たるかどうかが曖昧な状態の会社が多いと感じます。
ここを社内ルールで明文化しないまま使い続けると、いつ問題になってもおかしくない場面です。
社内ルールと運用ルール整備の重要性
アクセス権限の設計
誰が、何を見られるか。
誰が、何を持ち出せるか。
クラウドのアクセス権限、ファイル共有の設定、印刷の制限。
このあたりを、業務の現実と合わせて設計する作業が必要です。
完璧を目指すと続きません。
「これだけは守る」というラインから始めるのが現実的です。
持ち出し・外部送信のルール
情報を社外に出すときのルール。
メールで送るときに何に注意するか、クラウドで共有するときに何を確認するか、AIに入力するときに何を避けるか。
ここを文書化していない会社で、漏えいが起きています。
退職時・委託終了時の手順
退職時にPCを返却してもらう、アクセス権限を停止する、業務で扱った情報を消去する。
このあたりの手順を、退職時にゼロから考えていると、抜けが出ます。
事前に手順を決めておく必要があります。
行政書士に相談するメリット
契約書と社内規程の両輪で見てもらえる
NDAだけ、就業規則だけ、と個別に整える会社が多いところです。
私の立場からは、契約書と社内規程を両方並べて、ずれが出ていないかを点検します。
ここでずれが見つかると、契約書か規程のどちらかを直すことになります。
実務の動きに合わせた運用ルールの提案
きれいな規程を作るより、現場の動きに合う規程の方が、結局守られます。
業務量、社員数、取引先の数に合わせて、書く量を絞る。
このあたりの設計に、行政書士として関わらせていただく場面が増えました。
よくある質問
Q. NDAは雛型をそのまま使ってよいですか?
そのまま使う場合は、業種・規模・取引形態が自社に合っているかを必ず確認することをおすすめします。
特に、損害賠償の範囲、有効期間、対象情報の定義は、雛型によって扱いが大きく違います。
Q. 個人情報保護の契約とは何が違いますか?
NDAは秘密情報全般を扱う契約で、個人情報の取扱契約は個人情報保護法を踏まえた契約です。
重なる部分もありますが、それぞれの法令の枠組みが違います。
両方が必要になる場面もあります。
Q. 定期見直しは必要ですか?
法令の改正、自社の事業の変化、取引先の構成の変化に応じて、定期的に見直すことが望ましいです。
本記事執筆時点で5年に1回が目安、というような明確な基準はありません。
Q. 生成AIに社内情報を入れても大丈夫ですか?
使っているサービスの設定・契約条件によって扱いが変わります。
取引先とのNDAで「第三者開示禁止」と書かれている情報を、AIに入れることが許されるかどうかは、ケースによって異なります。
社内ルールで線引きをしておくことを、強くおすすめします。
まとめ
NDAは結べば終わり、という装置ではありません。
契約書の前段で「見える人を絞る」「持ち出しの手順を決める」仕組みを整えてこそ、書類が活きてきます。
契約書と社内規程を両輪で見直したい段階で、ご相談いただくと選択肢が広がります。
