2024年2月26日に東京地裁はかっぱ寿司がはま寿司の営業秘密を不正に使用したとして、不正競争防止法違反(営業秘密侵害)罪でかっぱ寿司に対して有罪判決を下した。この事件は、2020年にはま寿司からかっぱ寿司に転職した田辺元社長がはま寿司の元部下から商品原価などの企業秘密データを含むファイルを入手して、かっぱ寿司の商品企画部長だった大友氏に渡し、かっぱ寿司が不当にはま寿司との競争に有利になったものである。近年増加している転職の際の企業秘密漏えい事件として注目を集め、企業としてのかっぱ寿司の運営会社、個人の田辺元社長、大友元部長に有罪判決が下っている。モラルの低下など憂慮すべき点が多い事件の中、データセキュリティの観点からも多くを考えさせられる。
まず、かっぱ寿司および大友被告は、「データは秘密として管理されてなかった」として問題の情報はそもそも営業秘密には当たらず、無罪だと主張した。しかし、判決は、データが「はま寿司の事業活動に有用な技術上または営業上の情報」であったことなどから不競法上の営業秘密に該当すると認定。カッパ社に対して「事業者間の公正な競争を阻害し、会社の規模を考えると影響は軽視できない」と批判した。しかし、データを十分セキュリティで保護しないとそれは企業秘密ではないとも解釈できるという被告側主張も無視できない。一部報道では、ファイルは田辺元社長の元部下がメールで元社長に送信し、ファイル共有サービスからUSBに落とされた上、持ち出されたと言われている。つまり、十分にセキュリティが機能していたか疑問が残る。
データセキュリティは、大きく分けて2種類ある。まず、重要なデータへのアクセスを制限する各種施策がある。これは、権限を持たない者はデータをアクセスできなくすることだ。しかし、今回の事件ではアクセス権限を有する元部下がファイルを田辺元社長に渡し、元社長はそのファイルを持ち出してかっぱ寿司の大友元部長に漏えいしている。つまり、アクセス制限だけでは、今回の事件は防げなかったことになる。
もう一つのデータセキュリティは、ファイルそのものを暗号化し、権限を持つ者しか開けないようにするものである。IRM(インフォメーション・ライツ・マネージメント)を含むこうしたセキュリティ施策は、ファイルが不正に流出しても流出先は、その内容を見れなくするものだ。今回の事件に当てはめると、ファイルを最初にアクセスした元部下はファイルを開けても、ファイルセキュリティがかけられていればその先の元社長、かっぱ寿司の元部長はそのファイルの中身を見ることはできず、不正利用は起こらなかった。そのため、はま寿司は、アクセス制限はしていてもファイルセキュリティまではかけていなかったと考えられるのである。
転職が企業の人材戦略に欠かせない現在、今後このような事件は幾度なく再発する危険性がある。こうした現実を直視し、企業はアクセス制限、ファイルセキュリティの両方を活用して自社の秘密情報を守らなければ厳しい競争下で生き残れないと言っても過言ではない。