MENU
行政手続きの専門知識とクリエイティブな発想で、あなたのビジネスをサポートします | ヒロ行政書士オフィス
  1. ホーム
  2. システム開発関連法務
  3. ソフトウエア開発
  4. [シズテム開発関連法務]GitHubで機密情報を誤公開!行政書士視点から見る法的リスクと対処法

[シズテム開発関連法務]GitHubで機密情報を誤公開!行政書士視点から見る法的リスクと対処法

システム開発関連法務 ソフトウエア開発 法務・コンプライアンス
Github法務

1. はじめに

エンジニアや企業が開発プロジェクトを進めるうえで、ソースコードを管理する手段としてGitHubは非常に便利です。

しかし、その便利さの反面、「社外秘のプログラムや機密情報を誤って公開してしまう」リスクがあります。

今回は、行政書士の視点から、GitHubを使う際にどのような法的リスクがあるか、万一誤公開してしまったときにどのような対応をとるべきかを考えてみます。

GitHub(ギットハブ)は、ソフトウェア開発プラットフォームであり、ソースコードホスティングする。コードのバージョン管理システムにはGitを使用する。Ruby on RailsおよびErlangで記述されており、アメリカカリフォルニア州サンフランシスコ市に拠点を置くGitHub社によって保守されている。

ウィキペディア(Wikipedia)

2. なぜ機密情報の誤公開が起きるのか

  1. リポジトリの公開設定ミス
    • プライベート設定にしたつもりが、実際にはパブリック(公開)リポジトリでコミットしてしまう。
  2. .gitignoreの不備
    • APIキーやパスワード、環境変数ファイルを除外する設定を忘れ、ソースコードと一緒にアップロードしてしまう。
  3. チーム間のコミュニケーション不足
    • 新たに入ったメンバーが誤操作に気づかずにプッシュしてしまう、等。

こうした要因で「本来なら社外に出してはならない情報」が世界中の人に閲覧可能な状態となり、大きなトラブルを招きかねません。

3. 行政書士が見る“機密情報”とは

日本の法律で機密情報(いわゆる営業秘密など)を扱う際、特に重要なのが不正競争防止法です。企業が保有する「営業秘密」は次の3要件を満たす必要があるとされています。

  1. 秘密として管理されていること(秘密管理性)
  2. 有用な情報であること(有用性)
  3. 公然と知られていないこと(非公知性)

GitHubに機密情報を誤って公開してしまうと、(3)の非公知性が失われ、営業秘密としての保護対象から外れてしまう恐れがあります。また、公開された情報を第三者が取得してしまった場合、不正競争防止法著作権法など、法的保護を受けにくくなる可能性が高まります。

4. 事例:GitHub上に「社外秘コード」を載せてしまった

4-1. 想定シナリオ

  • 中小企業の開発担当者が、社内システムのソースコードを誤ってパブリックリポジトリで管理していた。
  • 公開状態が数日続き、APIキーや内部アルゴリズムなどが閲覧可能に。
  • 後日、外部の不特定ユーザーから「こんな機能を使っているんですね」と連絡があり発覚。

4-2. 想定される問題

  1. 顧客や取引先への影響: 自社データだけでなく、連携先のシステムや顧客情報が含まれていれば信用問題に発展。
  2. 不正利用リスク: APIキーなどを悪用され、金銭的損失や情報漏えいが起きる可能性。
  3. 法的保護の弱体化: 営業秘密としての保護要件を満たしにくくなり、差止め請求などが難しくなる場合も。

5. 不正競争防止法の観点から

不正競争防止法では、営業秘密を不正に取得・使用・開示した行為に対して差止請求や損害賠償請求が認められています。ただし、そもそも「秘密として管理されていなかった」と見なされると、営業秘密とは認定されないため、公開状態が続いた情報は保護を受けにくい状況が生まれます。

5-1. 公開後の行為が「不正取得」にあたるか

誤公開された情報を第三者が見つけて利用した場合、それが「不正取得」に当たるかどうかはケースバイケースです。無償でウェブ上に公開されていた情報なら、「正当に取得した」と判断される可能性が出てきます。

このように、一度公開してしまうと、元の状態(非公知)に戻すのは容易ではありません。

6. 誤公開に気づいたときの対応

  1. 直ちにリポジトリを非公開または削除
    • パブリックリポジトリをプライベートに切り替える、あるいは緊急で削除する。
    • 既に複製(フォーク)されている恐れもあるため、完全な情報回収は難しいケースが多い。
  2. 関係者への報告と謝罪
    • 取引先や関連部署に対し、誤公開の事実を早めに報告。影響範囲を調査し、必要な対策を共有する。
    • 顧客やビジネスパートナーへ説明責任を果たすことが重要。
  3. APIキーなどの再発行手続き
    • 漏れた可能性のある鍵やパスワードはすべて無効化し、新たに発行する。
    • 影響を受けるサービスが多いほど工数は増えるが、放置すると被害が拡大する恐れあり。
  4. 今後の再発防止策
    • .gitignoreやGitHubのアクセス権限設定を徹底。
    • シークレットスキャンなどのツールを導入し、機密情報をコミットした際にアラートを出す仕組みを整備。
    • 社内規程に「GitHubでのリポジトリ運用基準」を追加し、教育を徹底する。

7. 行政書士ができるサポート

  1. 文書管理・情報管理規程の整備
    • 「どの情報を機密扱いとするか」「外部プラットフォームでの取り扱い方」などを明文化し、社員が迷わないようにルールを設計します。
    • 違反時の対処フローや、誤公開が起きた場合に備えた手続を盛り込むことも大切です。
  2. 契約書・秘密保持契約(NDA)の見直し
    • 社内外の共同開発や外部委託に際し、GitHubなどを使う場合の責任分担や秘密保持義務をどう設定するかを文書化。
    • 万一トラブルになった際の損害賠償や免責事項を明確にしておくと、法的リスクを緩和できます。
  3. 不正競争防止法など法的救済手段の助言
    • 誤って公開してしまった情報が第三者に不正利用された場合、差止請求や損害賠償請求が可能かどうかを検討。
    • 必要に応じて弁護士と連携しながら、被害回復・拡大防止策をアドバイスします。
  4. 社内研修・マニュアル作成
    • GitやGitHubの基礎知識、機密情報の取り扱い注意点を社員に周知するためのマニュアルを作成。
    • 行政書士は書類作成や規程整備に強みを持つため、理解しやすいドキュメントの作成にサポートできます。

8. まとめ

  • GitHubの誤公開リスクは、企業規模や業種を問わず誰にでも起こり得ます。
  • 一度情報が流出すると、営業秘密としての保護が難しくなり、不正競争防止法による差止めや損害賠償が制限される可能性が高まります。
  • 行政書士は、情報管理規程の整備や契約書の作成、再発防止策の構築などの面でサポートし、企業が法的リスクを最小限に抑えつつ安全に開発活動を進められるようお手伝いできます。

機密情報を守るためには、早めの対策とルールづくりが肝心。 GitHubを便利に活用しながら、情報漏えいリスクを徹底的に抑える仕組みを整えましょう。

免責事項
本記事は一般的な情報提供を目的としており、特定の事案に対する法的アドバイスを提供するものではありません。誤公開や情報漏えいに関する具体的な問題が生じた場合は、行政書士や弁護士など専門家へ個別にご相談ください。

システム開発関連法務 ソフトウエア開発 法務・コンプライアンス
#GitHub #ソースコード管理 #プライベートリポジトリ #情報管理 #誤公開 アプリ開発
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次