経済産業省は4月27日、企業の技術流出を防ぐための「技術流出対策ガイダンス第2版」を取りまとめ、公表しました。昨年5月に策定された第1版から内容を大幅に拡充し、企業ニーズの高かった「共同研究」と「すり合わせ」に伴う技術流出への対策を新設したほか、サイバー防御態勢の具体的な強化策や、「経済安全保障経営ガイドライン」などを踏まえた経営層による全社的な体制構築の重要性が明記されました。
第1版では主に「生産拠点の海外進出」と「人を通じた技術流出」に焦点を当てていました。しかし、オープンイノベーションが推進される中、他組織との連携過程で技術流出が生じるリスクが高まっていることから、第2版では「共同研究」(第4章)と、製品開発などでの「すり合わせ」(第5章)を新設し、各フェーズの詳細な対策を示しました。
第4章「共同研究に伴う技術流出への対策」の計画・契約段階においては、パートナー候補に対するデューディリジェンス(DD)の徹底や、事前の秘密保持契約(NDA)の確実な締結、情報提供範囲の限定などが求められています。さらに、実施段階においては、サイバー防御態勢の強化について具体的な対策が大幅に加筆されました。
機密性の高い研究では、プロジェクトごとにセキュリティ担当者を配置し、重要データを扱うネットワークを社外からアクセスできない閉域網やオフライン環境で保護することや、多要素認証の導入が推奨されています。外部事業者が提供するツールについては、利用制限を検討するほか、共有リンクの有効期限やパスワード設定による誤転送の防止、アクセスログの常時監視やデータの暗号化の徹底が求められます。さらに、定期的な脆弱性診断やバックアップの実施、研究従事者に対するフィッシング対策訓練を行うことで、巧妙化するサイバー攻撃から技術情報を守る体制を提示しています。
製品開発などでの「すり合わせ」においては、技術など手の内を相手に見せることになるリスクがあります。第5章「すり合わせに伴う技術流出への対策」では、取引開始前から生産・製造工程や原材料のコードネーム化などを行って情報提供範囲を限定することや、取引基本契約のなかに目的外利用・第三者提供を禁じる秘密保持義務を規定することなどを求めています。
第3章「人を通じた技術流出への対策」についても内容が充実しました。SNSでのやり取りを通じた情報流出などの新たな事例が紹介されたほか、対策を現場任せにするのではなく「組織横断的な専門部署」を設置し、全社的に対応することが重要と記されています。退職時のアクセス制限や、副業・兼業を通じた情報流出の防止ルールの明確化など、具体的な未然防止策が拡充されています。
本ガイダンス全体を通じた共通対策として、経営層のリーダーシップが強く打ち出されています。経営層は「経済安全保障経営ガイドライン」や「サイバーセキュリティ経営ガイドライン」を参照し、持続的な企業経営を目指す上では技術流出対策は必要な投資と位置づけ、全社的な連携体制を構築することが求められています。
なお、企業が自主的に対策状況を点検できるよう要点をまとめた「チェックリスト」も併せて公開されています。
