日本公布新創事業與廠商合作之指針草案，統整雙方不對等契約關係之問題並提出改善建議

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

電腦製造大廠HP 於得知其競爭對手Oracle 公司聘用其離職總裁Mark V. Hurd後隨即於加洲法院提起違約(breach of contract)及即將發生盜用營業秘密(threatened misappropriation of trade secrets)之訴訟，但又在短短兩周內雙方達成和解。 HP前總裁Mark V. Hurdy 於八月因被HP董事會指控違反該公司之企業行為規範（code of business conduct）而閃電辭職，隨即受邀接受擔任Oracle 公司共同總裁(Co president) 一職。HP於獲知消息後隨即對Mark V. Hurd提起違約及即將發生盜用營業秘密之訴訟。HP表示其前總裁簽署過保密合約對HP之營業秘密及機密資訊負有保密之義務。HP認為若Mark V. Hurdy任職於其競爭對手Oracle 公司，將對HP造成威脅且將會違反其所負擔之保密義務，因為了於Oracle 公司執行其職務，Mark V. Hurdy必然會使用且洩漏HP之營業秘密及機密資訊。 然於在不到兩周的時間，雙方隨即達成和解。Mark V. Hurdy承諾不會洩漏HP的營業秘密給他的新雇主同時必須放棄346,030 units 的限制性股權(restricted stock units)，總價值高達美金4千萬元。 多數觀察家認為HP提起此訴訟案之目的不在阻止其前總裁前往競爭對手工作而主要是在企圖追回Mark V. Hurdy因離職而取得的大量股票權益。

　　日本經濟產業省於2018年召開「IoT和AI可能衍生之新型態交通服務研究會」（IoTやAIが可能とする新しいモビリティサービス関する研究会），並於2019年4月公布「朝向新型態交通服務之活性化」（新しいモビリティーサービスの活性化に向けて）報告；國土交通省亦自2018年底起召開「都市與地方新型態交通服務懇談會」（都市と地方の新たなモビリティサービス懇談会），於2019年3月公布中間結果。經產省和國土省根據上述會議結論，自2019年4月起，發起支援地方政府挑戰推動新型態交通服務之新計畫「智慧交通挑戰」（スマートモビリティチャレンジ）。 　　「智慧交通挑戰」計畫之目的，在於促使地方政府與企業合作，以實現自動駕駛社會，並透過新型態交通服務解決既有交通問題和加速地方活性化，其具體措施包括︰（1）透過設置「智慧交通挑戰推進協議會」及舉辦論壇，促進地方政府和企業間共享資訊，形成工作網路；（2）經濟產業省補助新型態交通服務實用化、計畫制定和效果分析等計畫；（3）國土交通省補助MaaS等新型態交通服務實驗，以及建構以解決地區交通服務為目的之模型等計畫。經產省與國土省分別自4月起對外公開募集提案，最終於75個提案中選出28個計畫，將於今年起陸續施行。

日本獨立行政法人情報處理推進機構（Information-technology Promotion Agency，下稱IPA）於2026年4月2日發布AI利用者的安全性報告（下稱安全性報告），並呼籲企業強化AI利用過程中的營業秘密保護管理措施。 近年來，以生成式AI為首的人工智慧技術及其應用急速發展，但另一方面，針對AI開發與運用所衍生之安全性風險亦層出不窮。IPA針對其於今(2026)年1月發布之10大資訊安全威脅中的第三位風險，即AI應用所帶來的網路風險，發布安全性報告，期協助企業降低AI利用過程中的營業秘密外洩風險。 安全性報告指出，有高達67%的企業職員會透過個人帳號使用生成式AI，且有高達77%會直接將公司內部資料「複製貼上」到生成式AI對話框。由於雲端AI係藉由網路串接方式提供AI服務，因此人員若將企業之營業秘密輸入AI中，即意味著將企業之營業秘密提供營運AI服務的外部企業。此外，在雲端AI中輸入企業之營業秘密，除了該營業秘密可能會被作為學習資料，用於訓練AI以外，其他企業亦可能透過該雲端AI輸出之內容取得該營業秘密，潛在高度洩密風險。準此，安全性報告提醒企業勿在具備網路串接功能之雲端AI上傳包含企業營業秘密之資料，並呼籲企業透過諸如將AI瀏覽器區分為企業內部使用與外部使用之方式，強化內部營業秘密保護管理措施，以避免洩密風險。 企業如欲於內部導入AI應用以提升業務效率，可參考資訊工業策進會科技法律研究所創意智財中心（資策會科法所創智中心）發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》，建立營業秘密管理措施或相關機制，避免在使用AI提升業務效率的同時，導致具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）