sg sg-security-management data_leakage vendor_management it_security_operations
まず結論
秘密保持契約書と守秘義務契約書は、どちらも秘密情報を漏らさない責任を文書で明確にするための契約です。
SG試験では、細かな契約名の違いを暗記するよりも、秘密情報にアクセスする前に、誰が、何を、いつまで守るのかを明確にする契約として理解することが大切です。
ざっくり整理すると、次のように考えると分かりやすいです。
| 用語 | 見方 |
|---|---|
| 秘密保持契約書 | 秘密情報を守るための契約書。NDAとも呼ばれる |
| 守秘義務契約書 | 秘密を漏らさない義務を明確にする契約書 |
| 守秘義務 | 秘密情報を漏らさない責任そのもの |
つまり、守秘義務は「責任」、秘密保持契約書や守秘義務契約書は「その責任を文書にしたもの」と考えます。
直感的な説明
仕事では、業務上必要だから見られる情報があります。
例えば、次のような情報です。
- 顧客リスト
- 取引条件
- 設計図
- 価格情報
- システム構成
- アカウント情報
- 未公開の事業計画
これらは、仕事のために共有される情報であり、自由に外部へ話してよい情報ではありません。
そこで、秘密情報を見せる前に、
この情報は秘密です。目的外に使わないでください。外部に漏らさないでください。
という約束を文書で明確にします。
この文書が、秘密保持契約書や守秘義務契約書です。
SG試験では、契約書の名称そのものより、秘密情報を扱う前に責任を明確にしているかを判断することがポイントになります。
定義・仕組み
秘密保持契約書と守秘義務契約書は、どちらも秘密情報を保護するために使われる契約です。
経済産業省の情報セキュリティ管理基準では、「秘密保持契約又は守秘義務契約」について、情報保護に対する組織のニーズを反映し、文書化し、定常的にレビューし、関係者が署名する管理策として示されています。
- 経済産業省:情報セキュリティ管理基準(令和7年改正版)
https://www.meti.go.jp/policy/netsecurity/is-kansa/IS_Management_Standard_R7.pdf
契約では、主に次のような内容を明確にします。
| 観点 | 内容 |
|---|---|
| 秘密情報の範囲 | 何を秘密情報として扱うか |
| 利用目的 | 何のために使ってよいか |
| 第三者提供の禁止 | 許可なく外部へ渡してよいか |
| 管理方法 | 保管、持出し、複製、廃棄のルール |
| 契約終了時の対応 | 返却、削除、廃棄など |
| 有効期間 | いつまで秘密を守るか |
| 違反時の対応 | 損害賠償、契約解除、懲戒など |
ここで大切なのは、契約書を作ること自体が目的ではないという点です。
本当の目的は、秘密情報を扱う人に対して、どの情報を、どの範囲で、どの期間、どう守るのかを明確にすることです。
どんな場面で使う?
秘密保持契約書や守秘義務契約書は、秘密情報を人や組織に開示する前に使います。
従業員が秘密情報を扱う場面
従業員が顧客情報や社内情報にアクセスする場合、守秘義務を明確にしておく必要があります。
例えば、入社時や配属時に、就業規則、雇用契約、誓約書、守秘義務契約などで責任を確認します。
SG試験では、従業員に秘密情報を扱わせる場合、教育だけでなく、契約や規程で責任を明確にするという判断が重要です。
委託先に情報を渡す場面
システム開発、保守、クラウド利用、データ入力などを外部委託する場合、委託先が秘密情報に触れることがあります。
このとき、委託先との契約で、秘密保持、再委託、事故時の報告、目的外利用の禁止などを定めておきます。
SG試験では、委託先に任せたから管理責任がなくなるわけではないという点がよく問われます。
取引先に情報を開示する場面
新製品の共同開発や商談では、取引先に未公開情報を見せることがあります。
この場合も、情報を渡す前に秘密保持契約書を締結しておくことで、情報の利用範囲や漏えい時の責任を明確にできます。
よくある誤解・混同
誤解1:秘密保持契約書と守秘義務契約書は、まったく別の目的の文書である
これは試験対策上、深く分けすぎなくてよいです。
どちらも、秘密情報を漏らさない責任を文書で明確にするために使われます。
SG試験では、名称の細かな違いよりも、秘密情報にアクセスする人へ責任を負わせる管理策として理解します。
誤解2:契約書に署名すれば、それだけで十分
これも誤りです。
契約書への署名は重要ですが、それだけで情報漏えいを防げるわけではありません。
実際には、次のような管理策と組み合わせる必要があります。
- 秘密情報の分類
- アクセス権限の制限
- 持出しルール
- 教育・訓練
- ログ管理
- 退職時や契約終了時の返却・削除
SG試験では、契約書だけでなく、運用として管理されているかを見ます。
誤解3:契約が終われば、秘密保持の責任もすぐ終わる
これも注意が必要です。
秘密保持契約では、契約終了後も一定期間、秘密情報を守るように定めることがあります。
そのため、選択肢で、
契約が終了したので、受け取った秘密情報は自由に利用できる
のように書かれていたら、誤りの可能性が高いです。
誤解4:守秘義務は従業員だけの問題である
守秘義務は、従業員だけでなく、委託先、派遣社員、取引先などにも関係します。
秘密情報にアクセスできる人や組織には、必要に応じて守秘義務を明確にする必要があります。
SG試験では、社外の関係者にも秘密情報保護の責任を明確にするという視点が大切です。
まとめ(試験直前用)
- 秘密保持契約書と守秘義務契約書は、どちらも秘密情報を守る責任を文書化する契約である
- 守秘義務は「責任」、契約書は「責任を明確にする手段」と考える
- 秘密情報へアクセスする前に、対象情報、利用目的、期間、終了時の対応を明確にする
- 契約終了後も、秘密保持の責任が続く場合がある
- SG試験では、「契約書に署名すれば十分」「契約終了後は自由に使える」という選択肢に注意する
確認問題
秘密保持契約書又は守秘義務契約書に関する説明として、最も適切なものはどれか。
- 秘密情報を扱う人や組織に対して、秘密情報の範囲、利用目的、保持期間などを明確にするために締結する。
- 秘密保持契約書に署名すれば、アクセス権限管理や教育などの管理策は不要になる。
- 契約期間が終了した時点で、受け取った秘密情報は自由に利用してよい。
- 守秘義務契約書は従業員だけを対象にするものであり、委託先や取引先には関係しない。
回答と解説
正解は **1** です。 秘密保持契約書や守秘義務契約書は、秘密情報を扱う人や組織に対して、何を秘密として扱うか、どの目的で使ってよいか、いつまで守るかなどを明確にするために使います。 2は誤りです。契約書だけでなく、アクセス権限管理、教育、ログ管理などの運用も必要です。 3は誤りです。契約終了後も、一定期間は秘密保持の責任が続く場合があります。 4は誤りです。守秘義務は従業員だけでなく、委託先や取引先にも関係します。🔗 関連記事
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】