営業秘密漏えいの最新動向と企業が直面するリスク ― 実態調査2024から見える課題と対策

2025年9月8日

本記事は、独立行政法人情報処理推進機構（IPA）のウェブサイトに掲載の「企業における営業秘密管理に関する実態調査2024」報告書および関連資料をもとに執筆しています。

2025年8月29日、独立行政法人情報処理推進機構（IPA）は「企業における営業秘密管理に関する実態調査2024」を公表しました。^※

営業秘密とは、設計図や製造に関するノウハウ、顧客リスト、仕入れ先情報、研究開発の成果など、企業や研究機関が営業活動や研究開発を通じて蓄積した多様な情報を指します。これらは秘密として適切に管理されることで、自社の優位性や競争力を支える基盤となります。ゆえに営業秘密の漏えいは重大な経営リスクであり、その管理の重要性はますます高まっています。

しかし、上記の調査によれば、過去5年以内に営業秘密の漏えいを認識した組織は35.5%にのぼり、2020年度調査の5.2%から大幅に増加しました。

本コラムでは、IPAの調査結果をもとに、営業秘密漏えいの最新動向と企業が直面するリスクを整理し、その課題と求められる対策について解説します。さらに、営業秘密管理において必要な「区分・レベル分け」の進展状況や管理ルールの運用実態、さらにサプライチェーンにおける管理の課題を踏まえ、効果的な対策としてファイル暗号化・IRMの必要性についても取り上げます。

営業秘密の漏えいは重大な経営課題に

漏えいによる推定損害額

漏えいによる推定損害額は、「1,000万円未満」が16.4%となり、2020年度調査の40.4%から大幅に減少しました。一方で、「1,000万円以上1億円未満」（9.6%→18.1%）、「1億円以上10億円未満」（3.5%→18.5%）、さらに「10億円以上」（0%→30.0%）と、高額損害の割合は大きく増加しています。なお、「わからない」は46.5%から16.9%へと減少しました。

これらは営業秘密の漏えいが事業に与える影響がより深刻になったことを示しています。

営業秘密漏えいの要因など

漏えいルート

外部サイバー攻撃（36.6%）が最多で、2020年度（8.0%）から急増しています。この理由は、近年被害が増加しているランサム攻撃に伴う情報漏えいがここに含まれるからだと考えられます。

次に、「現職従業員等（派遣社員含む）のルール不徹底（ルールを知らなかった等）による漏えい」、「現職従業員等（派遣社員含む）による金銭目的等の具体的な動機をもった漏えい」、「現職従業員等（派遣社員含む）の（ルールを知っていた上での）誤操作・誤認等による漏えい」と、2位～4位には内部不正に起因する漏えいが続いています。5位以下も「外部者（退職者を除く）の立ち入りに起因する漏えい」を挟むものの、以降は内部不正による漏えいが続いています。

2020年度調査に比べると、「中途退職者（役員・正規社員）による漏えい」以外のすべての項目が増加しており、外部攻撃、内部不正の両面への対策が必要となっていることがわかります。

営業秘密管理における課題

営業秘密の区分とレベル分けは改善傾向にあるものの、十分ではない

営業秘密漏えい対策の基本は、営業秘密に当たる情報を特定し、それ以外の情報と区分、さらに区分した営業秘密を秘密性のレベルに応じてさらに区分（「極秘」「秘」など）し、それぞれに必要な管理を実施することです。

調査結果を見ると、「営業秘密とそれ以外の情報とを区分している」という回答は全体の61.5%で、2020年度調査の53.3%に比べると増加していました。逆に、「区分していない」は39.3%から22.3%と減少しており、「営業秘密の区分、レベル分け」は進展していることがうかがえます。

しかし、従業員数別に見ると状況は異なります。今回のレポートでは調査対象を従業員数301人以上、300人以下で２つに分けて集計していますが、301人以上の組織では「区分していない」と回答したのは9.2%程度にとどまった一方、300人以下の組織では35.5%と高い結果となりました。中小規模の企業では対策に大きな改善の余地があることが明らかになっています。

管理ルールが適切に運用されていない企業が増加

営業秘密に対する管理ルールの運用状況について、「厳密な運用が徹底されている」、「ある程度厳密に運用されている」、「改善の途中にある」など管理ルールに沿った運用を心掛けている割合は、合計すると60.4%でした。これは2020年度調査の74.5%から減少しています。

一方、管理ルールがあっても運用されていない、あるいはルールがあるかわからないという回答は増加しています（22.5％→39.6％）。このことから、営業秘密の管理ルールを定めていない、あるいは定めていても周知されていない状況にある組織が増加している可能性が指摘されます。

サプライチェーンにおける営業秘密管理に課題

サプライチェーンにおける営業秘密管理では、直接取引先の管理状況を把握している企業は44.9%にとどまり、その内訳は「再委託先への条件を定めていない」17.5%、「条件を定め管理は取引先任せ」15.1%、「条件を定め自社でも把握」12.3%でした。

一方で「把握していない」は18.3%、「やり取り自体がない」は36.8%を占めています。2020年度調査と比べると、取引先を把握していない割合は大幅に減少しましたが（37.4%→18.3%）、「やり取りがない」とする企業が増加しており（20.9%→36.8%）、全体として管理が大きく進展しているとは言えません。

これらの結果から、サプライチェーン対策の必要性は認識されているものの十分には進んでおらず、自社の営業秘密を正しく特定できていないことで、取引先に無自覚に提供してしまうリスクはむしろ強まっていることが示唆されます。

営業秘密漏えい対策の実施状況

不正アクセス対策

不正持出対策

営業秘密情報の社外への不正持出防止策として実施している対策（MA、n=1200）

不正アクセス対策として最も多かったのは「営業秘密を一般情報と分離して保管」で、28.1%でした。これに加え、保管場所への施錠管理や、電子データに対するアクセス権の設定なども上位に挙げられています。

一方、不正持出対策として最も多いのは「USBメモリや撮影機器などの持ち込み・持ち出し制限」で、28.8%でした。続いて「業務用・私用PCでのUSBメモリ等への書き出し制御」や「USBメモリやDVD等の複製制限」が続いており、外部デバイス対策の実施割合が高いことがわかります。

ファイル暗号化・IRMによる営業秘密保護

近年の調査結果から明らかなように、営業秘密漏えいのリスクは外部からのサイバー攻撃と、内部の不正や誤操作の両面で拡大しています。従来の「保管場所の施錠」や「USBメモリ制御」などの対策は一定の効果を持つものの、ファイルそのものを守ることができなければ十分とは言えません。ここで注目されるのが、IRM（Information Rights Management：情報権限管理）によるファイル暗号化・権限制御技術です。

秘密管理性要件への貢献

秘密情報が不正に取得・漏えい等された場合に、不正競争防止法による法的保護を受けるためには、その秘密情報が営業秘密として認められる必要があります。営業秘密とされるためには、①秘密管理性、②有用性、③非公知性の三要件を満たすことが求められますが、特に争点となりやすいのが「秘密管理性」です。

この要件を満たすには、対象となる情報について、何らかの秘密管理措置（アクセス制限や秘密保持契約など）が講じられていること、さらに従業員等がその情報を秘密であると認識できる状態にあることが必要です。

ファイル暗号化・IRMにより秘密情報が暗号化されアクセスが制限されていることは秘密管理措置の条件に合致します。さらに、弊社のファイル暗号化・IRMソリューション「DataClasys（データクレシス）」は、暗号化したファイルのアイコン上に鍵マークが表示されるため、従業員が「これは秘密情報である」と直感的に理解できる仕組みを備えており、秘密情報の周知にも寄与します。

外部攻撃・内部不正の両面に対応

ファイル暗号化は、たとえ攻撃者が社内ネットワーク内部に侵入しても暗号ファイルを利用できないため、外部攻撃に対して強力な防御となります。また内部関係者が意図的に営業秘密を含むファイルを持ち出そうとした場合でも、復号（暗号化の解除）には認可が必要となるため、不正利用を防止できます。

営業秘密の区分とレベル分けに対応

パスワード付きZipファイル等は「パスワードをかけるか・かけないか」という単純な管理にとどまります。一方でIRMは、ファイルを暗号化するだけでなく、「極秘」「部外秘」「社外秘」といった営業秘密の機密レベルに応じてアクセス権限を細かく設定することができます。これにより、情報の区分やレベル分けといった組織のセキュリティポリシーを実際のファイル利用に落とし込み、統一的に運用することが可能となります。