{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
本シリーズの第1回では、IPA(情報処理推進機構)が2020年に公表した「企業における営業秘密管理に関する実態調査」の結果の一部を紹介しました。その後も定期的に調査が実施されており、IPAは2025年8月29日に同調査の最新版である「企業における営業秘密管理に関する実態調査2024(以下、本調査)」を公表しています。
営業秘密の漏えいは単なる情報管理の問題ではなく、企業の競争力の源泉を失わせ、競争優位性が維持できなくなるリスクをはらんでいます。漏えいした内容によっては、国家レベルの経済安全保障上の問題に発展する可能性もあり、万一ニュースとして報道されれば、深刻なレピュテーションリスクとなり株主や顧客からの信頼を大きく損なってしまいます。
さらに、生成AIやクラウドの急速な普及、そしてサプライチェーン全体を狙うサイバー攻撃の増加により、リスクは複雑化しています。例えば、生成AIに重要情報を入力してしまうことによる情報流出や、サプライチェーン上のセキュリティ不備を突かれた侵入による情報漏えいが挙げられます。上述したようにこれらのリスクは事業の競争力、経済安全保障上の責任、そしてステークホルダーからの信頼をも左右する可能性があります。そのため今や営業秘密保護は経営層にとっては経営戦略と切り離すことができない、持続的成長と企業価値の維持・向上に関わる経営アジェンダとなっています。
本調査はこうした時代的背景を如実に反映しており、経営層にとって重要な示唆を含んでいます。本稿では、この調査結果を基に、AIガバナンス・サイバーセキュリティ・リスクマネジメントの観点からPwCコンサルティングとしての分析と今後の展望を解説します。
セクション1:IPA実態調査の進化と新たな焦点
本調査は、2016年度、2020年度に続く3回目の定点観測調査であり、今回は国内企業の情報システム、リスクマネジメント、経営企画、サイバーセキュリティ部門、さらに経営層を含む1,200名を対象に、2025年1月23日から31日にかけてウェブアンケートで実施されています。
この調査の特徴は、過去の枠組みを踏襲しつつも、社会環境の変化に応じて新しい設問が追加・修正された点にあります。図表1は、2020年度調査から2024年度調査にかけて変化した主なポイントを整理したものです。
図表1:本調査の2020年度調査からの追加・修正ポイント
本調査は、営業秘密の管理実態を基盤としながら、AIやクラウド、サプライチェーンといった経営に直結するリスク要素を新たに取り込み、より広い視点から実態を示す内容へと変化しています。また、限定提供データの活用度や内部不正の要因を部門別に調査するなど、分析の粒度も一層高まりました。これにより、本調査は経営層が自社を取り巻く環境変化を客観的に把握し、今後の対応を検討する上での重要な手がかりとして活用し得るものとなっています。
セクション2:本調査結果が示すリスクの現実
i. 漏えいリスクは「常態化」
本調査では、過去5年以内に営業秘密の漏えいを認識した企業が35.5%にのぼり、2020年度調査(以下、前回調査)の5.2%から大幅に増加しました(図表2)。漏えいはもはや一部企業における例外的な事象ではなく、多くの企業にとって現実に起こり得るリスクへと変質していると考えられます。
図表2:情報漏えいの認識割合の推移
ii. 漏えいの経路は外部要因と内部要因の「二重構造化」
漏えいの経路については、外部要因と内部要因のいずれも高い割合を占めており、双方が同時に企業のリスクを高めています(図表3)。
まず、外部要因として特に目立つのがサイバー攻撃です。本調査では、サイバー攻撃による漏えいが36.6%に達し、前回調査の8.0%から大幅に増加しました。ランサムウェアをはじめとする標的型攻撃やサプライチェーンを経由した侵入など、攻撃手法の高度化が背景にあると考えられます。
それに加えて、物理的な侵入によるリスクも看過できません。外部者の立ち入りに起因する漏えいは20.2%と、前回調査の2.7%から急増しています。オフィスや研究・製造施設への入退室管理や監視体制といったフィジカルセキュリティの不備が、重大なリスク要因として成長してきていることを示しています。
一方で、内部要因(内部不正およびヒューマンエラー)も依然として高い割合を示しています。現職従業員による金銭目的の不正が31.5%(前回調査:8.0%)、定められた規程や手順を守らない「ルール不徹底」が32.6%(前回調査:19.5%)、誤操作や誤認といったヒューマンエラーが25.4%(前回調査:21.2%)となっており、意図的な行為から日常的なミスまで、幅広い形でリスクが顕在化していることが分かります。
ここから読み取れるのは、サイバーやフィジカル攻撃といった外部リスクが増加しているからといって、内部リスクが減少したわけではないということです。外部リスクと内部リスクは「入れ替わる関係」ではなく「積み重なる関係」にあり、両者が高い割合で併存しているため、営業秘密管理対策の優先順位付けや体制整備を一層難しくしています。
図表3:営業秘密の漏えいルートの推移
iii. 経営層と現場の「認識ギャップ」
本調査では、「内部不正を誘発する環境や状況」についても尋ねられています(図表4)。ここで経営層の最多回答は「当てはまるものはない(45.1%)」でした。経営層を対象にした調査は今回からの追加であるため前回調査との比較はできませんが、実務部門が具体的な要因を複数挙げているのに対し、経営層だけが要因を示さなかった点は極めて特徴的で、この乖離は、経営層が潜在的な内部不正リスクを十分に認識していない傾向を示していると言えます。
図表4:「内部不正を誘発する環境や状況」の回答結果
この結果から、経営層と現場との間には営業秘密漏えいをもたらす不正要因における「認識ギャップ」が存在していると解釈することができ、図表5に示すようなリスクや影響をもたらすと考えられます。
図表5:「認識ギャップ」による影響とシナリオ
PwCコンサルティング作成
以上を総合すると、営業秘密の漏えいリスクは、外部からの侵入、内部の脆弱性、経営・組織ガバナンスという三層が相互に作用する構造を持っていると言えます。漏えいを認識した企業は2020年の5.2%から2024年には35.5%へと急増しており、企業が漏えいリスクを現実のものとして認識できるようになった結果、漏えい経路の各要素の数字も高くなっていると考えられることから、今後もこの傾向は続く可能性は高いでしょう。
一方で、経営層の多くは内部不正要因について「当てはまるものはない」と回答しており、漏えいリスク認識の高まりに対し、経営層の意識が追いついていないことが大きな懸念となります。
セクション3:守りと攻めを統合する情報資産ガバナンス―AIガバナンスの視点から
i. 営業秘密流出がもたらす経営インパクト(守りの観点)
営業秘密には、製品開発の技術ノウハウ、研究開発データ、顧客情報、営業戦略など、企業の競争優位を支える情報資産が含まれます。これらが漏えいすれば、市場シェアの喪失、研究開発投資の無効化、事業戦略の優位性の剥奪といった直接的な競争力低下を招きます。本調査でも、漏えい先として「国内競合他社」が54.2%、「国内競合他社以外の企業」が48.8%を占めており、流出情報の多くが既存の競合や潜在的な競争相手に渡っていることが示されています。
こうした事件が規制当局の発表や内部告発を通じて社会的に可視化された場合は、ステークホルダー(顧客・株主・取引先・従業員など)からの信頼を大きく損なうレピュテーションリスクを伴います。信頼の毀損は、取引条件の悪化、株主評価の低下、従業員満足度の低下による人材確保の難航など、日々の事業運営に直結する影響を引き起こす可能性があります。
さらに、先端技術や基幹産業に関わる情報が国外へ流出すれば、経済安全保障リスクに直結することも注意が必要です。特に経済安全保障推進法で「特定重要技術」として指定している技術群(例:半導体、AI、バイオなど)においては、流出が国家戦略や国際競争力に直接的な影響を及ぼします。営業秘密の漏えいは単なる企業不祥事にとどまらず、規制強化や国際的な摩擦を招く可能性があり、地政学リスクとの接点を持つ課題となるのです。
ii. 生成AI活用に潜む新たな課題:攻めと守りの交錯
情報資産を「攻め」に活用する動きとして注目されるのが生成AIです。本調査では、まず生成AIを業務で利用できるかどうかを尋ねたところ、
- 利用を許可している企業は38.9%
- 利用を禁止している企業は26.2%
- 利用可否が不明とする企業は34.5%
という結果となっています。
この「不明」という状態は、経営として利用方針を明確にできていないことを意味しており、現場が独自に判断して利用を進める「シャドーAI(統制外のAI利用)」の温床となりかねません。方針を後追いで定める状況では、現場判断での利用が先行し、入力情報の線引きや責任所在が曖昧になります。そのため、漏えい発生時の原因特定や対外説明が困難となり、リスクを増幅させることになります。
また、利用を「許可」している企業を対象にルールの有無や内容が問われており、そのうち「ルールがある」と回答した企業では、
- 公開情報のみを外部の生成AIに入力可:28.5%
- クローズドな社内環境で秘密情報も含め入力可:21.2%
という内訳となっています。ただし「公開情報のみ」というルールは一見すると安全に思われますが、公開情報の定義が不明確なままでは現場の解釈に委ねられ、秘匿性の高い情報が誤って入力されるリスクを残します。データ区分を明確にし、どの範囲が入力可能かを具体的に示すことが不可欠です。
以上の結果からは、攻め(生成AIを積極的に活用する姿勢)と守り(リスクを警戒して禁止や制限を設ける対応)が拮抗している現状が浮かび上がります。さらに「利用可否すら分からない」と回答した企業が3割を超えており、経営層の関与やガバナンス整備の余地が大きいことも明らかになりました。
ビジネスのスピードが加速し、生産性向上が経営課題となる中で、生成AIを適切に活用することは攻めの観点から不可欠です。正しくルールを定め、クローズド環境などの安全な利用基盤を構築すれば、情報漏えいリスクを最小化しながら生成AIを活用することは十分に可能です。したがって、単に禁止に傾くのではなく、適切なルール策定と環境整備を通じて攻めを実現することが、今後の企業に求められる方向性と言えます。
なお、PwCが実施した「生成AIに関する実態調査2025春」では、大企業を中心に生成AIの活用効果やガバナンス整備が進んでいるとの結果が示されています。一方で、IPAによる本調査では「ルールがあるか分からない」と回答する企業が3割を超えており、特に中規模企業において、経営層の関与やガバナンス体制が追いつかない課題が顕著であると推測されます。
iii. 守りと攻めを統合するガバナンス
営業秘密の保護は「守り」、生成AIの利活用は「攻め」に位置付けられます。しかし両者は対立するものではなく、AIガバナンスの視点に基づき、統合的にマネジメントすることが重要であり、経営の課題となります。つまり、AIの利活用に伴うリスクを適切に管理しながら、公平性・説明可能性・透明性といった要件を確保し、信頼できる形で価値を創出するための枠組みを構築していく必要があります。AIガバナンスは、単なるAIリスク対策にとどまらず、経営層が責任をもって「攻め」と「守り」の両面をバランスさせるための基盤となるのです。
営業秘密のリスク管理と生成AIの利活用を分けて考えるのではなく、どの情報は絶対に守るべきか、どの領域は適切なルールと環境の下で積極的に活用すべきかを経営レベルで明確にし、統合的に推進することが求められます。これにより、リスクを抑制しつつ新たな競争力を獲得する、持続的な経営アジェンダが実現するでしょう。
まとめ
本稿では、IPA「企業における営業秘密管理に関する実態調査2024」を通じて、営業秘密の漏えいリスクが常態化し、外部攻撃と内部脆弱性が積み重なる二重構造にあること、そして経営層と現場の認識ギャップが大きな懸念であることを確認しました。さらに、生成AIの利活用やサプライチェーンを含む攻撃の拡大に対してガバナンスが追いついていないことから、営業秘密保護はこれまで以上に複雑で高度な経営課題へと変化しています。
PwCコンサルティングでは、こうした課題に対応するために、営業秘密の保護からサイバーセキュリティ、フィジカルセキュリティ、サプライチェーンセキュリティ、ゼロトラスト、そしてAIガバナンス等に至るまで幅広いサービスを提供し、経営層が責任を持って「守り」と「攻め」を両輪で推進できるよう伴走します。
以下は、PwCコンサルティングが提供する主な関連サービスおよび過去の関連コラムの一覧です。
関連する提供サービス・コラム(抜粋)
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
