※【前編】ではTSMCで発生した産業スパイ事件の概要と、日本企業にとっての示唆を述べた。

後編では、この事件から浮かび上がった他国の法規制リスクと、日本企業が講じるべき実務的な対策について解説する。

一点、前提となる重要な留意点を改めて示しておく。

本件に関し、日本企業側に作為的意図、つまり組織的な故意があったような意見が一部見受けられるが、現時点までそれを裏付ける情報は一切ない。

他国の法規制リスク

TSMC技術流出事件は、台湾当局が国家の安全保障案件として厳正に対処した点で、日本企業にも新たな教訓を与えた。

台湾の国家科学技術委員会によれば、2nmプロセス技術は「国家核心重要技術」に指定されており、その漏洩行為は国家安全法による処罰の対象となる。この国家核心重要技術は、台湾の国家科学及技術委員会（NSTC）が、行政院の委託を受けて設置する審議会が作成・更新されていく。

本件では台湾当局による力のこもった捜査がなされており、産業スパイ行為が国家レベルの犯罪として追及されている。この事実は、日本企業にとって他国の法規制を他人事視できない現実を突きつけている。

つまり、自社の意図しないところで、自社社員が自己の判断で関与した技術情報の持ち出し・持ち込み行為が、相手国では「国家の重要技術の流出」と見なされる場合、自社も外国法の執行対象に巻き込まれかねないということだ。

これは一種の「逆輸出管理」リスクと言える。

例えば、ある国で戦略物資扱いされ厳重に管理されている技術情報を、日本企業が無断で入手・使用すれば、それは当該国から見れば不正な技術流出に他ならない。結果、現地の国家安全法に違反したとして、外国政府・当局から厳しい捜査を受ける可能性がある。

つまり、日本の企業は、自国の法令順守はもちろん、主要取引国・事業展開先地域における安全保障関連の規制にも目配りしなければならず、そのために、自社が取り扱う技術の棚卸と把握に加え、事業展開先の法規制との関連性まで紐づけて把握・管理することが求められる。

また、台湾国家安全法で言えば、自社社員が本罪を犯した場合、行為者本人の処罰に加え、その法人にも罰金を科すと規定している。

更に、法人の代表者等が「防止にできる限りの措置を尽くしていた場合」は、法人への罰金適用は除外されるとの但し書きがあり、企業社における不正防止等の取り組みが要求されているのだ。

よって、企業においては、グローバルな視点で「持ち込む情報の法的性質」を精査する体制づくりと、自社の技術情報管理や不正防止への取り組みといった基本的な施策も一層求められるだろう。

「技術情報持ち込み」防止のための実務的対策

では、社員による他社情報の不正持ち込みリスクに日本企業はどう備えるべきか。ここからは実務的な観点からの対策を整理する。

採用時の契約確認と誓約取得

中途採用者を受け入れる段階で、転職者が前職企業との間で秘密保持契約や競業避止義務などの契約上の制約を負っていないか確認することが重要である。加えて、入社に際して前職から機密情報等を一切持ち出していないこと、入社後も前職の秘密情報は使用しないことを記載した誓約書（念書）を提出させる。契約面の確認と本人からの書面誓約により、違反行為に対する抑止と証拠を残す効果が期待できる。

社内規程の整備と周知徹底

従業員が他社の機密情報を不正取得・使用する行為を明確に禁止する規程（情報セキュリティポリシーや営業秘密管理規程など）を設け、全社員に周知する。

入社時研修や定期的なコンプライアンス教育において「他社の秘密情報の持ち込みは禁止」「前職で知り得た秘密は共有・使用しない」旨を繰り返し啓発し、倫理意識を浸透させることが肝要である。社員一人ひとりが「他社情報を盗んでまで業務に活用することは許されない」という認識を持つ企業文化を醸成する。

入社後の監督とモニタリング

新たに中途入社した社員が、前職で扱っていたのと同じ分野の業務に携わる場合には特に、当初の一定期間、その業務内容を上長や管理部門が注意深く監督・確認する仕組みを設ける。

転職者が提出した成果物や設計・提案内容に、不自然なほど高度な知見が盛り込まれていないか、前職企業でしか知り得ないようなデータが含まれていないかをチェックする。また、業務で使用するファイルやデータについて、出所不明のもの（私物USBメモリや個人クラウドから持ち込んだファイルなど）が使われていないかモニタリングする。違和感のある懸念事項が見られた場合は速やかにヒアリングを行い、必要ならプロジェクトから外すなどの措置を取る。これらの対応によって、「重大な過失」により他社秘密を利用してしまうリスクを低減できる。

技術持ち出し・持ち込み相談窓口の設置

重要技術を取り扱う部門などには、技術の流出や持ち込みに関する通報窓口を設置することを強く推奨する。

この際、通報という形ではなく、相談窓口といった形で通報元の心理ハードルを下げるような仕組みが推奨される。また、悪意ある他者に教唆されているような社員が一人で抱え込まないように相談させるという意図もあり、対外的にも自社が「技術の持ち出しと持ち込みへの対策を重視している」と対外的に示すことにより、抑止効果も見込める。

日頃から「疑わしい情報を見つけたらすぐ報告を」「迷ったら相談を」というメッセージを経営層が発信し、現場任せにしない牽制機能を働かせることも有効である。この際、「あらゆるコンプライアンス違反を通報」などと既存の通報制度と混ぜ込むと、技術持ち出し・持ち込みの相談が埋もれてしまう。そのため、差別化を図るために重要技術取扱部門専門の相談窓口を設置するような仕組みで実効性を高めなければならないだろう。

情報持ち込み防止の技術的対策

技術面でも、社外からの不正データ持ち込みを防ぐ工夫が求められる。例えば社外のクラウドストレージや個人デバイスから社内ネットワークへのデータ持ち込みを技術的に遮断・管理することで、物理的に秘密情報を社内に持ち込ませない環境を整える。

不正発覚時の迅速な対応

万一、社員による他社情報の不正持ち込み疑惑が浮上した場合の対応計画も準備しておく。社内調査チームを立ち上げ事実関係を速やかに確認するとともに、当該社員の関与範囲を隔離し証拠保全を図る。必要に応じて被害が想定される企業（元の企業）や捜査当局に早期に連絡し、協力する姿勢を示す。

本件で日本企業が関与社員を即座に懲戒解雇し当局捜査に全面協力を表明したことは、自社の潔白を示す上で適切かつ不可欠な対応であったと言える。

企業自らが不正を隠蔽することなく積極的に情報開示・協力を行えば、被害企業や社会からの信頼回復も早まるだろう。

以上のような多角的な対策によって、不正な情報持ち込みリスクをゼロに抑えることは容易ではない。それでも、何の対策も講じていなければ企業は「重大な過失」を問われかねず、逆にできる限りの手を打っておけば、万一問題が発生しても被害拡大や法的責任の追及を最小限に抑えることができる。

重要なのは、「技術情報の流出防止」と同様に「不正な技術情報の持ち込み防止」にも目を向けることである。

そして、自社で取扱う技術が他国の核心技術として指定され、厳格な管理対象になっていないかといった法規制動向のチェックが必須であるのは言うまでもない。

おわりに

台湾TSMCの技術流出事件は、日本企業にとっては「自社からの技術情報漏えい」だけでなく、「他社からの技術情報持ち込み」という逆方向のリスクにも備える必要性を強調する出来事となった。

グローバルなサプライチェーンと人材流動性が高まる中、自社社員の一挙手一投足が海外の厳格な法制度に触れる可能性すらある。

経営層、法務・知財担当、情報セキュリティ担当のすべてがこのリスクを正しく認識し、制度整備と教育・監督を徹底することが求められる。

幸い、リスクに対する実務的な手立ては見えている。

前職との契約確認や誓約の取得、社内ルールと監視体制の強化、相談窓口の設置、不正発覚時の迅速な対処と当局・被害企業への協力。

これらは地道ではあるが確実に企業防衛の効果を発揮する取り組みである。

本コラムで指摘したリスクと対策が、読者各位の企業活動を見直す一助となれば幸いである。

関連ソリューション（Fortis Intelligence Advisory株式会社：技術流出対策支援）