NDAと機密情報の保護
1)目標と原則
NDA(非開示契約)および社内ポリシーは以下を保護します:- 事業秘密(不正防止アルゴリズム、ボーナスプロファイル、MLモデル、RNG数学);
- 交渉資料(価格タグ、オファー、M&A、デューデリジェンス);
- 技術プロセスとソース(アーキテクチャ、IaC、 APIダイアグラム、キー);
- パートナーデータ(SDK、ロードマップ、ベータ);
- 個人/業務データ(DPA/DSA内)
原則:必要性、トレーサビリティ、デフォルトによる暗号化、役割/責任の分離、共同開発のための「クリーンルーム」。
2)情報の分類とマーキング
推奨される分類レベルと連絡先のルール:マーキング:'[機密]'、データ所有者、リリース日、チケット/アクセス理由へのリンク。
3)営業秘密モード
法的行為/ポリシー:情報のリスト、保護措置、責任。
技術的な対策:RBAC/ABAC、アクセスログ、DLP、透かし、印刷/スクリーンショット制御。
組織:オンボーディング/オフボーディングチェックリスト、トレーニング、非開示契約、登録なしでメディアを持ち出す/持ち出すことの禁止。
Dock規律:バージョン、アーティファクトレジストリ、ラベル付け、「秘密」チャンネル(閉じたスペース/リポジトリ)。
4) NDAの種類
一方通行:片側(通常はSDKプロバイダ)を公開します。
相互:双方向の機密情報の交換(交渉、統合)。
多国間:コンソーシアム、ジョイントパイロット。
NCA/NDA+NCA: NDAにNon-circumvention(仲介者を迂回する禁止)が追加されます。
開発者/請負業者とのNDA: Inventions/Assignment(結果に対する権利)と組み合わせます。
5) NDAの主要なセクション(必須です)
1.機密情報の定義:税込。経口(さらに書面による確認時)、電子、有形メディア;典型的な例(コード、スキーム、価格、ダッシュボード)を一覧表示します。
2.例外:(i)違反なしに公に知られています。(ii)すでに法的所有権を有していた。(iii)独立して開発された(証明可能);(iv)政府機関に合法的に開示(通知付き)。
3.開示の目的:特定(パートナーシップ評価、パイロット、監査)。
4.受取人の義務:保護のレベルは自分のものよりも低くはありません。知っておくべきこと、ターゲットを超えたコピーの禁止、リバースエンジニアリング/ベンチマークの禁止。
5.用語と「生存」:契約期間(例:2-5年)+秘密の後期保護(例えば。5-10年/秘密のための不定期)。
6.返品/破壊:リクエストまたは完了に応じて-確認と返品/削除;バックアップ-自動期間までストレージ・モードで。
7.監査およびインシデント通知:通知の速度(例:72時間≤)、調査への協力。
8.法的救済:差止命令的救済、補償、制限は意図的な違反には適用されません。
9.適用される法律/仲裁:管轄/フォーラム、言語、ADR/仲裁。
10.輸出/制裁:準制裁/管轄への移転の禁止。輸出管理(暗号化)の遵守。
11.「残留知識」(合意):従業員の「未収録の知識」を使用することは可能/不可能です(通常-除外または制限する)。
12.下請業者/アフィリエイト:同様の義務と書面による同意がある場合のみ許可されます。
13.データ保護(PIIの場合):DPA/DSAへの参照、当事者の役割(コントローラ/プロセッサ)、目的/法的根拠、国境を越えた転送、保持期間。
6) NDAとプライバシーとセキュリティの連携
個人データが転送された場合、NDAでは十分ではありません-DPA/DSAおよびGDPR/アナログ対策が必要です(法的根拠、被験者の権利、高リスクのためのDPIA)。
技術的な制御:輸送中の暗号化(TLS 1。2+)、at-rest (AES-256)、秘密管理、キー回転、デバイス用MDM、 2FA、 SSO、 PIIログの最小化。
7)アクセスと交換手続き
チャンネル:ドメインメール、保護された部屋(VDR)、 SFTP/mTLS、暗号化されたアーカイブ(AES-256+帯域外パスワード)。
禁止:企業統合、個人クラウド、パブリックリンク、管理されていないデバイスなしのインスタントメッセンジャー。
印刷/輸出の制御、個人的なフラッシュメディアの禁止、地理的制限(ジオフェンス)。
8)クリーンルームと共同開発
コマンド「seeing」と「clean」を分離し、片面アーティファクトを別々に保存します。
文書のソースと出所。
共同PoCの場合:派生データを所有する結果(共同/割り当て)に対する権利に同意します。
9) RAGリスクマトリックス
10)チェックリスト
情報交換の前に
- NDA(右/フォーラム/用語/例外/制裁)によって署名されました。
- DPA/DSAが必要ですか?はいの場合は、署名しました。
- オーナーと分類レベルを設定します。
- 交換チャネルと暗号化は一貫しています。
- 知る必要があるリスト、構成されるVDRのアクセス/フォルダ。
交換中
- ファイルマーキングとバージョン、透かし。
- アクセスログ、同意なしに再共有することはありません。
- ハッシュサム/アーティファクトレジスタ。
完成後
- 返品・削除と書面による確認。
- 失効されたトークン/キーにアクセスします。
- 監査後:プロセス/テンプレートで何を改善するか。
11)テンプレート(契約条項の断片)
A。定義と例外
B。コミットメントとアクセス
C。 Term/サバイバル
D。リターン/破壊
E。法的救済
F。輸出/制裁
G。残留知識(オプション)
>締約国は、受領者の従業員の根拠のない一般的なスキルおよび知識は、ソースコード/秘密式の意図的な暗記および使用がない限り、機密情報とは見なされないことに同意する。(高リスクプロジェクトを除外または厳しく制限することをお勧めします。
12)推奨レジストリ(YAML)
12.1 NDA登録
yaml nda_id: "NDA-2025-0142"
counterparty: "GameProvider X Ltd"
type: "mutual"
purpose: "SDK integration and technical support"
term_months: 36 survival_years: 7 includes_dpa: true export_sanctions_clause: true residual_knowledge: "excluded"
owner: "Legal"
vault_folder: "vdr/providers/gpx"12.2 Artifact Exchangeレジストリ
yaml exchange_id: "XCH-2025-009"
nda_id: "NDA-2025-0142"
classification: "Confidential"
channel: "VDR"
files:
- "api_specs_v3. pdf" # sha256:...
- "kpis_q1. xlsx" # sha256:...
recipients: ["a. smith@gpx. com","techlead@gpx. com"]
access_start: "2025-11-05"
access_end: "2026-01-31"
destroy_confirmed: false13)セキュリティポリシーとプラクティス(概要)
デバイス:企業、フルディスク暗号化、MDM、「秘密」のためのBYOD禁止。
アクセス:SSO/2FA、条件付きアクセス(地理/デバイス)、一時的な役割(ジャストインタイム)。
ログ:アクセスの保存と監視;大量アンロード/非標準時のアラート。
DLP:ドメイン外の添付ファイルのブロック/暗号化なし、PDF内の透かし。
利便性:安全なルームテンプレート(VDR)、既製のアーカイブ暗号化スクリプト、標準のNDA/DPA。
14)インシデント管理(NDAの文脈で)
1.固定:what、 when、 what、 what files/repositories;凍結セッション。
2.分離:アクセス/キーの失効、クラウド内の一時的な「フリーザー」。
3.通知:データ所有者、弁護士、パートナー;PII-DPA/GDPRによる。
4.調査:ログの収集、鑑識、損傷の量の決定。
5.修復:秘密の置き換え、パッチ、プレイブックの更新、学習。
6.法的措置:NDAの請求/請求作業、補償。
15) ミニFAQ
NDAは個人データに十分ですか?いいえ、DPA/DSAとプライバシー対策が必要です。
メッセンジャーに機密を送信することは可能ですか?DLP/ログが有効になっているエンタープライズ承認済みおよびエンドツーエンドのみ。
材料を保管するにはいくらですか?目的/契約によって要求される限り。完了すると-確認との返品/削除。
内部ドライブを暗号化する必要がありますか?はい、完全なディスク+ファイル/シークレット暗号化。
16)結論
NDAは氷山の一角にすぎません。実際の保護は、企業秘密、プライバシー(DPA)、厳格な技術的および組織的管理、交換規律、迅速なインシデント対応に基づいています。テンプレートを標準化し、レジスタとプレイブックを作成します。シークレット、コード、ネゴシエーションは脆弱性ではなく資産のままです。