先日、同僚に「KOLONのニュース見た??」と聞かれまして、見てはいたんですが何も特別なものとは思ってませんで、聞くと、比較的長く裁判してたということと、比較的高い罰金と返還金を払うことになったというのが少し異例で、一部業界では注目を浴びていたみたいです(注1)。
以下、新統一連邦法案が今年通りそうな、米国営業秘密保護法の今の様子と若干の見通しについて2回に分けてまとめます。
(注1) 営業秘密不正取得の刑事裁判で、Kolon(韓国企業)が罪状を認め、罰金8500万ドル、返還金2億7500万ドルを支払うことで合意。同社はDuPont社の防弾チョッキ用繊維に関する営業秘密を不正に取得したとして2012年に起訴されていました。民事裁判(今回合わせて和解)は2009年からやってたようです。言われてみると結構スゴイ金額です。
Koninklijke Philips N.V. v. Elec-Tech Int’l Co.
Kolonとは別の最近の民事裁判です:
事案の概要(ざっくり):
Philipsが、元従業員が在職中に営業秘密をコピーして、退職後に移籍先に提供したとして、元従業員の移籍先である中国の会社、同社の関連会社、そして取締役をCFAA(注2)違反を理由に2012年に提訴。
その後、元従業員に対する訴えは取り下げ。移籍先企業やその取締役等に対する主張は、「元従業員を代理人として」営業秘密に対して間接的に違法アクセス(ハッキング)した、とのこと。
連邦地裁は、CFAAは「ハッキング」について民事上の請求原因を提供するものであって、「営業秘密の不正取得」は請求原因とならない。移籍先企業やその取締役自身はハッキングしてないし、元従業員は情報にアクセスした時には社員だったのでハッキングでもない(注3)。Philipsが主張する代理人構成では、結局、州法にしか定められていない「営業秘密の不正取得」の請求原因を連邦法化(Federalize)することになってしまうから採用できない。
訴え却下。
(注2) Compurter Fraud and Abuse Act=コンピュータ詐欺及び不正行為防止法。基本的には、コンピュータに対する不正アクセス禁止法です。次回まとめます。
(注3) ハッキングに基づく請求が成立するためには、権限がないアクセスであることが必要。内部者のアクセスがこれに該当するかについては、各高裁間で判断が分かれています。たぶん次回まとめます。
最近の裁判例では営業秘密不正取得者を懲らしめる内容のものが多い印象でしたが、本件では被告が勝訴しました。
ハッキングを理由とする場合は別として(CFAAに基づく民事請求可)、Federalizeという判決中の言葉からも分かるように、(一部争いはあるものの)営業秘密の単なる不正取得の事案では連邦法では民事上の損害賠償請求等はできません。
殆どの州の州法では差止めや損害賠償ができますが(注4)、その場合には州の地裁に提訴するのが原則形態となり、盗まれた営業秘密が州境を越えるなどいったん州際問題となった場合には、Subpoena(裁判所による証人等への出頭命令又は証拠書類の提出命令)やDeposition(証人に対する質問形式による証拠収集手段の1つ)がめんどくさくなり、ほぼ確実に手続が遅れます(注5)(注6)。具体的には、例えば、別の州にいる証人にDepositionをかけようと思うと、複数の州裁判所の判断を要し、事件記録も行ったり来たりするので大変なようです。連邦地裁だとこのような煩雑さはだいぶ解消されます。
営業秘密の不正取得全般に基づく民事上の請求を州じゃなくて連邦地裁に提起できるようにしたい、これが営業秘密に関する統一連邦法が必要な理由の第一です。
(注4) UTSA(Uniform Trade Secret Act)というモデル法を、現在47州とDC、プエルトリコ、ヴァージン諸島が施行しています。マサチューセッツ州が採用に向けて動いており、ニューヨーク州は未採用。施行状況はコチラで見られます。
参考までに、UTSAでは、営業秘密は以下のように定義されており、日本の営業秘密の定義と比較的似ています:
公式、パターン、編集物、プログラム、機器、方法、技術又はプロセスを含む情報で、
- i) 独立した実際上の又は潜在的な経済的価値があり(有用性)、一般に非公知で、当該情報の開示又は使用により経済的価値を得られる者により適切な方法で入手できないものであって(非公知性)、
ii)秘密性を維持するために必要な合理的管理努力の対象となっているもの(秘密管理性)
(注5) 細かいですが、州法を理由とする損害賠償等でも、①Diversity of Citizenship(訴訟当事者が異なる州の州民である場合でかつ訴額が$75000以上)か、②Federal Question(請求そのものが連邦法に基づいて発生している)のいずれかを充足すれば連邦管轄が生じて、州地裁ではなく連邦地裁に提訴できるようになり、そうなるとSubpoenaやDepositionの面倒や遅れはなくなり得ます。もっとも、①はいつでも充足するわけではないし、②については、州法に基づく請求に何か連邦法に基づく請求を(時によりこじつけて)「追加する」ことになるので、少なくとも事案に対する真正面からの解決とは呼べないと思われます。
(注6) 裏から言うと、州内問題で済む営業秘密関係紛争は、州裁判所で適切に処理ができるということになります。そのような州内事案で筆者が比較的よく目にするのは、スタートアップ企業がらみの営業秘密紛争です。会社の共同設立者が仲違いをして開発ソフトウェアを持って行ってしまう、スタートアップが大企業にプレゼンをする際にコア情報を開示したが取引成立には至らず残念・・と思っていたらその大企業がその営業秘密を使ってビジネスをしているのを見つけた、などなど。
チャイナ・アタック
次に、比較的最近の刑事事件で目立つ国際的ハッキング事案のうち、その大半を占める中国関係事件を。
United States v. Dong (W.D. Pa.)
中国政府の軍関係者5名、中国の競合会社に情報を提供する目的で、米国の核、金属、ソーラー関係製品等を取り扱う会社にハッキング、CFAA違反その他で2014年5月に起訴。
外国政府関係者を起訴するのは初めてとのことで、外交的な意味も含めかなり重要事件です。
United States v. Bin (C.D. Cal.)
中国人ビジネスマン、ボーイング社他に対するハッキングにより軍事プログラム等に関する秘密情報を不正に取得しようとする謀議を行ったとして、CFAA違反その他で2014年8月に起訴。
(注7) 私の知る限り、これら2つとも、まだ判決は出ていないようです。
United States v. Liew (N.D. Cal.)
DuPont社の二酸化チタン製品に関する営業秘密の不正取得(中国政府関連会社に売却する計画だったらしい)のEEA(注8)違反で有罪。最も刑が重かったLiewに対しては、懲役15年、2780万ドル没収、51万ドル超の返還義務が命じられる。
(注8) Economic Espionage Act=経済スパイ防止法。営業秘密の不正取得(misappropriation)等を禁止する際の基本となる刑事法。海外企業等を利する目的の場合には刑が重くなります。次回まとめます。
United States v. Huang(S.D. Ind.)
中国人リサーチャーが、雇用主の殺虫剤関連の営業秘密を中国の利益のために不正取得、輸送したとしてEEA違反で有罪判決(2011年)。87か月の懲役。
筆者が目にした最近の事案では、ロシア、カナダ、スウェーデン等からの不正取得・使用もあり、世界各国から米国内の営業秘密が狙われているということですが、やはり圧倒的に多いのは中国からの攻撃であり、そのことは、一部の政府関係者も明言しています。国際的な営業秘密の不正取得による米国の損失は、GDPの1-3%とも言われています。
新法案は、このような事態に対する対応策でもあります。
Executive Order
このような流れの中、今年の4月1日、オバマ大統領は営業秘密の保護を踏まえた新しいExecutive Orderにサインしました。日本語のニュース(ロイター)はコチラ。
これにより、例によりましてざっくりと訳してみますと、大統領は、国家緊急事態を宣言し、悪意あるサイバー攻撃(cyber-enabled activities。注9)に対し、経済制裁を発動できる手段を整えました。簡単に言うと、政府(財務省)は、(A)重要インフラサービス提供に関わるコンピュータ等を害したり、(B)重要なインフラサービス提供を危険にさらしたり、(C)コンピュータ又はコンピュータネットワークに重大な崩壊を起こしたり、(D)資金、経済的な資源、営業秘密、個人識別子、財務情報を商業・競争又は個人的な利益の目的で不正取得したりするような者、そしてこれらの共謀者、幇助者等の米国所在の資産を凍結できることになります。
(注9) attack等の語より広く捉えようという意図のある用語だと思われます。
テロリズムと同等のレベルでサイバー攻撃全般をとらえることを宣言するという象徴的・外交的な意味合いの他に、政府に制裁発動に関する広い裁量を認めている点、実行犯のみならずその黒幕にも適用すると明示していること、伝統的には国家レベルの危機の文脈ではとらえられていなかった米国の「経済競争力」に対する危機を発動の基礎に含んでいる点等が特徴でしょうか。
もっとも、営業秘密に関わるサイバー攻撃に対してこの経済制裁が発動されるかはかなり不透明だと思われます。特に、どれだけの精度で攻撃者を特定できるのかという問題があるはずです。
いずれにせよ、オバマ政権は、サイバーセキュリティに本気です。
次回、現状の法律と、国会にかかっている2つの新連邦法案の整理等をしたいと思います。