このページでわかること
- IT業界NDAが一般NDAと異なる理由(保護対象・GDPR対応・OSS条項)
- ソースコード・PII・ログデータを法的に守るための具体的条項
- 存続期間(3年/5年/無期限)の選び方と判例の傾向
- 違反時の差止請求・損害賠償・刑事罰の範囲
- 退職時の情報返還義務・GitHubポートフォリオ問題
IT業界NDAの特殊性
IT業界向けのNDA(秘密保持契約書)は、一般的な企業間NDAと比較して保護すべき情報の種類・技術的管理要件・国際法規制(GDPR等)の3点で大きく異なります。一般版NDAをそのままIT業界に使うと、ソースコード漏洩・顧客DBの第三者提供・OSSライセンス違反が契約上の「抜け穴」になるリスクがあります。
| 項目 | 一般版NDA | IT業界特化NDA |
|---|---|---|
| 主な保護対象 | 経営情報・販売情報・顧客リスト | ソースコード・設計書・PII・ログデータ・モデル重み |
| 保護対象の定義 | 「機密と指定した情報」 | 限定列挙(コード・DB・API仕様・セキュリティ情報等)+ 例示列挙の二重構造 |
| 法的根拠 | 不正競争防止法(国内) | 不正競争防止法 + 個人情報保護法 + GDPR(EU向け案件) |
| OSS条項 | なし | 許可ライセンスリスト・コピーレフト対応・除外規定必須 |
| 退職時の対応 | 「情報を返還・廃棄する」 | ローカルコピー削除・リポジトリアクセス権限剥奪・確認書面まで特定 |
| 存続期間 | 3年が一般的 | ソースコード等は5年、PII/顧客データは「保有期間+3年」 |
ソースコード・設計書の秘密保持
ソースコードが 不正競争防止法2条6項 の「営業秘密」として保護されるには、①秘密管理性(GitHubプライベートリポジトリ・アクセス制限済みGitLab・パスワード管理)、②有用性(競合他社が利用すれば経済的利益を得る)、③非公知性(OSS公開済みでない)の3要件を満たす必要があります。
IT業界向けNDAでは以下を「秘密情報」として明示列挙することを推奨します。
- コンピュータプログラム(ソースコード・バイナリ・コンパイル済みファイル)
- システム設計書・アーキテクチャ図・ER図・API仕様書
- テスト仕様書・脆弱性診断レポート・セキュリティポリシー
- インフラ構成(Terraform/CloudFormation等のIaCファイル)
- 機械学習モデルの構造・学習済み重み・訓練データセット
- Slack DM・Notionページ・Confluenceドキュメント(秘密と分かる状況で開示されたもの)
顧客データ・PII(個人情報)取扱
顧客データ・個人識別情報(PII: Personally Identifiable Information)は、NDA違反だけでなく個人情報保護法(2026年改正版)およびGDPR(EU一般データ保護規則)の制裁対象にもなります。NDAに以下の条項を追加することで、契約上の責任範囲を明確化できます。
- 「個人情報(法第2条第1項)・要配慮個人情報を秘密情報の最高区分として扱う」
- 「EU域内居住者の個人データはGDPR第28条のデータ処理者契約(DPA)に従い取り扱う」
- 「顧客DBへのアクセスログを90日間保持し、要求に応じて開示する」
- 「データ侵害発生時は72時間以内に通知する(GDPR第33条準拠)」
OSS利用ガイドライン
GPL・AGPL等のコピーレフトライセンスのOSSを組み込んだコードをNDAで秘密扱いにしようとすると、OSSライセンス違反(ソースコード公開義務)とNDA(非開示義務)が正面衝突します。IT業界向けNDAでは以下の対応が必要です。
- 許可ライセンスリスト(MIT・Apache 2.0・BSD 2-Clause・BSD 3-Clause等)を別紙に明示
- 「別紙許可リスト掲載のOSSコンポーネント自体はNDAの秘密情報から除外する」と明記
- GPL/AGPL/LGPLの業務利用は事前書面承認制とする
- OSS利用申請・承認フローを社内ポリシーとして整備する
守るべき情報の範囲(限定列挙 vs 例示列挙)
秘密情報の定義方式は限定列挙型と例示列挙型の2種類があり、それぞれトレードオフがあります。IT業界では両方を組み合わせた「二重構造」が推奨されます。
| 方式 | メリット | デメリット | IT業界での推奨場面 |
|---|---|---|---|
| 限定列挙型 (「以下の情報のみを秘密情報とする」) | 受領側の予見可能性が高い・過剰な義務を避けられる | 列挙漏れが抜け穴になる・新技術・新サービスへの対応が遅れる | 短期プロジェクト・スコープ限定の業務委託 |
| 例示列挙型 (「以下を含むがこれに限らない秘密情報」) | 網羅性が高い・新しい情報形態にも対応 | 何が秘密情報かが不明瞭・受領側に不利 | 長期の共同開発・技術提携・M&Aデューデリ |
| 二重構造型 (限定列挙 + 追加指定条項) | 明確性と柔軟性のバランス | 条項が複雑になる・双方の確認コスト増 | IT業界の標準的な推奨方式 |
二重構造型の実務的な記載例: 「秘密情報とは、本契約に基づき開示される以下の情報をいう:(1)ソースコード・設計書(第1条第1項各号に限定列挙)、(2)開示者が書面または電磁的記録で「Confidential」「社外秘」等と指定した情報、(3)口頭開示後14日以内に書面で秘密旨を確認した情報。」
GDPR/個人情報保護法対応
EU域内の個人データを取り扱うIT企業・エンジニアは、NDAと並行してGDPRのデータ処理者契約(Data Processing Agreement: DPA)の締結が義務(GDPR第28条)です。DPAなしでの個人データ処理は、GDPR違反として最大2,000万ユーロまたは前年度世界売上高4%の制裁金対象になります。
| 法規制 | 適用対象 | 主な義務 | NDAでの対応 |
|---|---|---|---|
| 個人情報保護法(日本) | 日本国内の個人情報取扱事業者 | 目的明示・安全管理・第三者提供制限 | 「個人情報を委託目的以外に使用しない」条項 |
| GDPR(EU) | EU域内居住者の個人データを処理する事業者 | DPA締結・データ侵害72時間通知・データポータビリティ対応 | NDAにGDPR第28条準拠のDPA条項を追加、または別紙DPA |
| CCPA(カリフォルニア州) | カリフォルニア州居住者の個人情報を処理する事業者 | オプトアウト権・削除権・販売禁止 | 「カリフォルニア州居住者データの第三者販売禁止」条項 |
日本の 個人情報保護委員会ガイドライン(通則編) では、個人データの委託先に対する監督義務(法第25条)が規定されており、NDA内に「委託先が安全管理措置を実施していることを定期的に確認する権利」を盛り込むことが望まれます。
存続期間(3年/5年/無期限の判断軸)
NDAの「存続期間」とは、契約終了後も秘密保持義務が続く期間のことです。IT業界では情報の種類に応じて存続期間を使い分けることが重要です。
| 情報の種類 | 推奨存続期間 | 理由 |
|---|---|---|
| ソースコード・アーキテクチャ設計 | 5年 | 技術の陳腐化が3〜7年サイクル。主要システムは5年以上現役のケースが多い |
| 顧客データ・PII(個人情報) | 保有期間+3年 | 個人情報保護法の安全管理義務は保有期間中。廃棄後も訴訟リスクに備えて+3年 |
| 営業情報・事業計画 | 3年 | 市場環境変化により3年で公知化するケースが多い |
| セキュリティ情報(脆弱性・認証情報) | パッチ適用または廃棄まで | パッチ後は秘密性が低下するが、廃棄システムの旧脆弱性情報は攻撃に使われる可能性あり |
| 無期限 | 非推奨 | 公序良俗違反(民法90条)として無効リスク。ただし不正競争防止法の「営業秘密」保護は期間制限なし |
判例では、特定の技術情報について3年超の存続期間が有効とされた事例(東京地判H11.9.24 等)がある一方、無期限条項が公序良俗違反として無効とされた事例もあります。合理的な理由がある場合は5年まで有効と判断されやすく、IT業界のソースコードは5年が実務上の上限目安です。
違反時のペナルティ(差止請求・損害賠償・違約金)
IT業界NDAの違反には、民事(差止請求・損害賠償・違約金)と刑事(不正競争防止法)の両方が適用されます。損害立証が難しいIT業界の特性を踏まえ、違約金条項の整備が特に重要です。
| 手段 | 根拠法令 | 内容 | IT業界での実務ポイント |
|---|---|---|---|
| 差止請求 | 不正競争防止法3条 | 侵害行為の停止・予防を命じる仮処分・本訴 | 競合他社への転職エンジニアによるコード流用は緊急性があり仮処分が多用される |
| 損害賠償請求 | 不正競争防止法4条・民法709条・415条 | 実損害・逸失利益・信用回復費用 | 損害額の立証が困難なため、NDA内に「最低違約金(例: 100〜500万円)」を規定しておくのが実務的 |
| 違約金 | 民法420条1項 | 損害証明不要の損害賠償額の予定 | IT業界の実損害は算定困難なため違約金条項が重要。100〜1,000万円の設定例が多い |
| 刑事告発 | 不正競争防止法21条 | 個人: 10年以下懲役・2,000万円以下罰金 法人: 3億円以下罰金 | 競合他社への故意的な持ち出し・転職先での使用が対象。警察・検察への告訴状提出が必要 |
経済産業省 営業秘密管理指針 では、NDA・社内規程・アクセス管理・誓約書の4点セットが「秘密管理性」の証拠として有効とされています。これらを整備した上でNDA違反が発生した場合、損害賠償・刑事告発のいずれにおいても有利な立場を確保できます。
退職時の情報返還義務
IT業界では退職時にローカルPCへのソースコードコピー・クラウドストレージへの私的バックアップ・個人GitHubリポジトリへのプッシュが問題になるケースが多くあります。NDAに以下の退職時義務条項を入れることで、トラブルを未然に防げます。
- 返還・削除対象の明示: ソースコード(ローカルコピー含む)・設計書・顧客データ・アクセス認証情報(APIキー・パスワード等)
- 削除確認書面の取得: 退職日または契約終了日に「秘密情報の完全削除・返還完了確認書」を交わす
- 個人GitHubリポジトリの確認: 業務コードを個人アカウントにプッシュしていないことを誓約させる
- クラウドサービスのアクセス権限剥奪: AWS/GCP/Azure・GitHub・GitLab・Slack・Notionの招待取り消しと確認
- デバイスの証拠保全手続き: 業務PCを会社が回収し、必要に応じてフォレンジック調査を実施する権限
業務で使ったコードを個人のポートフォリオとして公開したいエンジニアは、退職前に「公開可能範囲の確認書面」を会社から取得することを推奨します。公開済みのOSSプロジェクトや会社が明示的に許可したコードに限り、個人ポートフォリオへの掲載が認められます。
業界特化条項のNG/OK比較
IT業界のNDAでよく見られるNG条項と推奨のOK条項を比較します。
| 場面 | NGの書き方(リスクあり) | OKの書き方(推奨) |
|---|---|---|
| 秘密情報の定義 | 「開示された全ての情報を秘密情報とする」 | 「ソースコード・設計書・顧客データ等(第○条に列挙)および書面で秘密と指定した情報」 |
| OSSの取扱い | (OSS条項なし) | 「別紙許可ライセンスリスト掲載のOSSコンポーネントはNDA対象から除外する」 |
| 存続期間 | 「永遠に秘密保持義務を負う」 | 「契約終了後5年間(PIIは保有期間終了後3年間)」 |
| 退職時の対応 | 「秘密情報を返還または廃棄する」 | 「ローカルコピー・個人リポジトリ・クラウドバックアップを削除し、書面で確認する」 |
| GDPR対応 | (個人データ条項なし) | 「EU域内居住者の個人データはGDPR第28条準拠のDPAに従い処理する」 |
| 違約金 | 「損害賠償を請求できる」(立証困難) | 「違反1件につき○○万円の違約金を請求できる(損害額の証明を要しない)」 |
| 口頭開示 | (口頭開示の取扱いなし) | 「口頭開示後14日以内に書面または電磁的記録で秘密旨を通知した情報は秘密情報とする」 |
| 残留知識条項 | (残留知識に言及なし) | 「受領者の記憶に自然に残留した技術的知識については、本条項の制約を受けないものとする」 |
IT業界NDA よくある質問
ソースコードはNDAの「秘密情報」に含まれますか?
Slack DMやNotionのメモもNDA対象になりますか?
顧客データベース(個人情報含む)の漏洩はNDA違反だけですか?
OSSライセンス(特にGPL)とNDAは矛盾しませんか?
GitHubの秘密リポジトリに上げたコードでも退職後に使えますか?
ログデータ・行動データはPII(個人識別情報)に含まれますか?
NDAの存続期間を「無期限」にすることはできますか?
ITエンジニアが副業先に既存の設計知識を使ってよいですか?
業務委託(フリーランス)エンジニアへのNDAはどう書きますか?
クラウドサービス上のデータ(AWS S3・GCS等)の漏洩責任はどうなりますか?
退職時に自分が作ったコードを「ポートフォリオ」に使えますか?
IT業界NDAの違反差止請求・損害賠償の相場はどのくらいですか?
ソースコード漏洩・GitHub秘密リポジトリの流出対応
NDA違反による情報漏洩は、個人情報保護法・GDPR・不正競争防止法と複合的に責任が問われます。労働問題・知財紛争に強い弁護士に 無料相談 可能。
- 初回相談無料・全国対応
- NDA違反対応・損害賠償請求の専門弁護士
- 労働問題・知財紛争・営業秘密侵害の実績多数
参考文献・出典
本ページの内容は以下の公的情報源に基づき作成しています(2026-05-12 確認時点)。