1. ホーム
  2. IPO(上場準備)

個人情報・データ活用に関する「法規制」を知っておこう!

Q
個人情報及びその他のデータ活用に関する法規制の概要を教えてください。

A
近年、誰しもがスマートフォンやパソコンを持っており、これらを用いてSNSやネットショッピングを利用しています。

企業にとっては、AI、IoT、ロボット、ビッグデータ等のデジタル技術が進展する第四次産業革命を背景として、データ(情報資産)が企業の競争力の源泉としての価値を増しているといえます。
また、IT(情報技術)を有効かつ継続的に活用して、企業の業務のあり方から組織・文化・風土までを変革し、企業が新たな価値を創出し、社会や人々の生活を向上させるという考え方、またはそうした取り組みである「デジタル・トランスフォーメーション(DX)」も行われています。

今後は更に、デジタル技術とデータ(情報資産)の活用が進み、企業の事業環境が劇的に変化することで、新たな付加価値の創出・獲得が急務となっています。
これに対応するように、法律も増えたり、改正されたりと、法規制も目まぐるしく変化しています。対応していくには正しい情報を即座に知る必要があります。

今回は、国内外における情報に関する制度、法律について説明していきます。


澤田直彦

監修弁護士:澤田直彦
弁護士法人 直法律事務所 
代表弁護士

IPO弁護士として、ベンチャースタートアップ企業のIPO実績や社外役員経験等をもとに、永田町にて弁護士法人を設立・運営しています。

本記事では、
「個人情報・データ活用に関する「法規制」を知っておこう!」
について、詳しく解説します。

弁護士のプロフィール紹介はこちら直法律事務所の概要はこちらお問い合わせはこちら

情報保護の必要性

企業における経営資源は、かつては「ヒト、モノ、カネ」と言われていました。
これに、新たに「情報」が加わり、「情報」の活用が企業経営の中で重要な位置付けとなりました。そして、情報の収集、蓄積、活用が進むにつれて、情報の付加価値が高まり、情報の適切な管理が不可欠となりました。この情報には、個人情報も含まれます。

オンラインビジネスの活発化、重要性などにより、情報の活用場面が増すにつれて、漏洩・不正取得・不正利用などの危険性も高まっています。そのため、情報をより高いレベルで保護する必要があると認識されています。

情報が漏えいした、というニュースは耳にしたことがあると思います。

近年では、かっぱ寿司の社長が不正競争防止法違反で逮捕されました。
また、病院がハッキングの被害に遭うということもありました。

身近なところでは、クレジットカードのスキミングもあります。生活している中で、情報とは切っても切れない関係ですので、関係法令については知っていて損はありません。

これから、データを利用したビジネスを行う上で、特に知っておくべき法規制を、日本国内と海外に分けて、紹介します。

国内における情報に関する主な制度

日本国内で、情報を保護する法制度は、業法や刑事法を含めると実はたくさんあります。
その中でも、オンラインビジネスにおけるデータ活用という観点からは、法的リスクが生じる事態を避けるためにも、少なくとも、次の法令があることを認識し、違反抵触することがないように注意しておく必要があります。

個人情報の保護に関する法律(平成15年法律第57号)(個人情報保護法)

情報化の急速な進展により、個人の権利利益の侵害の危険性が高まったこと、OECD8原則(「プライバシー保護と個人データの国際流通についてのガイドラインに関するOECD理事会勧告」1980年)以来の国際的なプライバシー保護の動向等を受けて、平成15年5月に公布され、平成17年4月に全面施行されました。

個人情報保護法は、個人情報の適正かつ効果的な活用が新たな産業の創出並びに活力ある経済社会及び豊かな国民生活の実現に資するものであることその他の個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的としたものです(1条)。

個人情報保護法では、個人情報を取り扱う事業者(「個人情報取扱事業者」)の遵守すべき義務等を定めており、情報を取り扱う上では、非常に重要です。

「個人情報取扱事業者」とは、個人情報を、紙媒体・電子媒体を問わず、データベース化(特定の人を検索できるように体系的に整理すること)してその事業活動に利用している者のことをいいます。法人に限定されず、営利・非営利の別は問わないため、個人事業主やNPO、自治会等の非営利組織もこれに該当するので注意が必要です。

近年、違反を厳罰化する改正がなされ、1億円の罰金を科されることもあります。

私的独占の禁止及び公正取引の確保に関する法律(昭和22年法律第54号)(独占禁止法、独禁法)

独占禁止法の目的は、公正かつ自由な競争を促進し、事業者が自主的な判断で自由に活動できるようにすることです。
カルテル、私的独占、不公正な取引方法等の取引について、市場メカニズムを正しく機能させることを妨げるとして違法とされています。

事業者が、自らの創意工夫によって、より安くて優れた商品を提供して売上高を伸ばそうとし、消費者は、ニーズに合った商品を選択することができ、事業者間の競争によって、消費者の利益が確保されるという考え方に立って競争を維持・促進する政策(競争政策)を実施しているところ、データの重要性が高まる中で、データの取扱いについても、規制対象とされています。

この法律に違反すると、排除措置命令、課徴金、損害賠償が発生します。

特定デジタルプラットフォームの透明性及び公正性の向上に関する法律(令和2年法律第38号)(透明化法)

最近作られた法律です。
特定デジタルプラットフォーム提供者の指定、特定デジタルプラットフォーム提供者による提供条件等の開示、特定デジタルプラットフォームの透明性及び公正性についての評価その他の措置を講ずることにより、特定デジタルプラットフォームの透明性及び公正性の向上を図り、もって特定デジタルプラットフォームに関する公正かつ自由な競争の促進を通じて、国民生活の向上及び国民経済の健全な発展に寄与すること(第1条)が目的です。

デジタルプラットフォーム事業者の出現により、消費者の生活における利便性が高まっている一方、規約の変更や取引拒絶の理由が示されないなど取引の透明性が低い市場も散見されること、商品等提供利用者の合理的な要請に対応する手続・体制が不十分であることから制定されました。

違反者には、罰金(50万円以下)が課されます(第23、24条)。

著作権法(昭和45年法律第48号)

著作権法は、比較的聞きなじみのある法律ですね。
著作物並びに実演、レコード、放送及び有線放送に関し、著作者の権利及びこれに隣接する権利を定め、これらの文化的所産の公正な利用に留意しつつ、著作者等の権利の保護を図り、もって文化の発展に寄与することが目的の法律です(同法1条)。

同法では、著作物(思想又は感情を創作的に表現したものであって、文芸、学術、美術又は音楽の範囲に属するもの。第2条)を保護しており、当該表現が含まれる情報も保護の範囲内です。

オンラインビジネスにおいては、主にデータの利用が他人の著作権の侵害にならないかという観点から検討する必要があります。

例えば、他人の著作物(他社が撮影した写真、イラスト、文章等の利用)を自分のホームページ上で掲載する場合などに問題となり得ますので、注意が必要です。

不正競争防止法(平成5年法律第47号)(限定提供データの保護)

不正競争防止法は、事業者間の公正な競争を確保して市場経済を正常に機能させることを念頭に、さまざまな法律を補完する法律として制定されました。
この法は、事業者間の公正な競争及びこれに関する国際約束の的確な実施を確保するため、不正競争の防止及び不正競争に係る損害賠償に関する措置等を講じ、もって国民経済の健全な発展に寄与することを目的としています(同条1条)。

個人情報やプライバシー情報を含むデータが、

  1. 秘密管理性:秘密として管理されている
  2. 有用性:有用な営業上又は技術上の情報である
  3. 非公知性:保有者の管理下以外では一般に入手できない

という要件を全て満たしている場合で、不正競争防止法上の営業秘密にあたるときに、同法により保護されます。

不正競争の対象となる悪質性の高い行為を受けたときには、同法に基づく差止請求や損害賠償請求が可能となり、刑事罰が科されるかなり強い保護があります。

また、平成30年にされた改正では、新しいサービスを実現するために、複数の企業間で、価値の高いデータを共有する際に、当該データを保護するために、「限定提供データ」(業として特定の者に提供する情報として電磁的方法により相当量蓄積され、及び管理されている技術上又は営業上の情報(同法2条7項)の概念を導入し、該当するデータの不正取得・使用等を不正競争防止法の「不正競争行為」として位置付けました。

「限定提供データ」に該当するには、

  1. 「業として特定の者に提供する」(限定提供性)
  2. 「電磁的方法により相当量蓄積される」(相当蓄積性)
  3. 「電磁的方法により管理される」(電磁的管理性)

という要件を満たす必要があるとされており、同データに該当するかを意識して管理することが重要です。
限定提供データの不正取得等を行った場合には、民事的措置として、当該行為の差止請求及び損害賠償請求の対象となります(同法3条、4条)。なお、刑事的措置の対象ではありません。

一方で、「技術的制限手段の効果を妨げる装置等の提供」を行った場合は、民事的措置として、 当該行為の差止請求及び損害賠償請求(同法3条、4条)、また刑事的措置として、懲役又は罰金の刑事罰(同法21条)の対象となります。
「技術的制限手段の効果を妨げる装置等の提供」とは、技術的制限手段により制限されているコンテンツの視聴や記録、プログラムの実行、 情報の処理を可能とする(技術的制限手段の効果を無効化する)装置、プログラム、指令符号、役務を提供等する行為をいいます(不競法2条1項17号、18号)。

インターネットからダウンロードした違法コピーソフトを携帯型ゲーム機「ニンテンドーDS」 で起動させることができる機器を輸入・販売する行為がこれに該当するという裁判例があります。
(東京地判平成10月2月25日)

特定電子メールの送信の適正化等に関する法律(平成14年法律第26号)(特定電子メール法)

特定電子メール法とは、短時間のうちに無差別かつ大量に送信される広告や宣伝メール、いわゆる「迷惑メール」を規制し、良好なインターネット環境を保つことを目的とした法律です(2002年施行)。

特定電子メール法では、迷惑メール対策として、原則としてあらかじめ同意した者に対してのみ広告宣伝メールの送信が認められるというオプトイン方式が採用される(2008年改正)など、広告宣伝のために送信される電子メールに対する規制が導入されています。

特定電子メールの定義は、「営利を目的とする団体および営業を営む場合における個人」である送信者が「自己又は他人の営業につき広告又は宣伝を行うための手段として送信する電子メール」(法第2条の2)」です。

総務省のガイドラインには、「電子メールの内容が営業上のサービス・商品等に関する情報を広告または宣伝しようとするもの」である場合には、明らかに特定電子メールに当てはまると記されています。

顧客データを利用して、広告宣伝のためにメールを送信する場合には、注意が必要です。

民法

情報は、それ自体は有体物ではなく、民法上における所有権の対象とはなりません。
今まであげたように、情報自体を保護する法規制も進展しています。

情報が不当に利用された場合には、前述のような法令を根拠とするほか、不法行為や債務不履行(民法415条)を理由として損害賠償請求することも考えられます。
不法行為は故意または過失によって、他人の権利や法律上保護される利益を違法に侵害した場合に、債務不履行は契約上果たすべき義務を守らなかったことにより、相手方に損害を発生させた場合に請求ができます。

データ利用する側としては、データ利用により個人のプライバシーを侵害する場合等、様々な場合に、損害賠償請求を受ける法的根拠となりえます。

海外における情報に関する主な制度

海外における情報に関する制度は多岐にわたります。
個人情報及びその他のデータ活用に関連するものの代表的な規制について、紹介します。

EU、米国

EU、米国におけるプライバシー保護に関してはOECD8原則※に準拠しながらも、それぞれ異なる形で保護が図られてきました。

※1980年9月にOECD(経済協力開発機構)の理事会で採択された「プライバシー保護と個人データの国際流通についての勧告」にある、「収集制限の原則」、「データ内容の原則」、「目的明確化の原則」、「利用制限の原則」、「安全保護の原則」、「公開の原則」、「個人参加の原則」、「責任の原則」の8項目の原則

保護の流れが強くなったのは、近年デジタルプラットフォーム事業者の影響が大きくなったことと、個々人の権利意識が高まり権利保護の必要性が強く求められてきたためです。

データローカライゼーションの動き

OECDに加盟するいわゆる先進国の多くでは、OECD8原則に準拠する形で、プライバシー保護を目的とした法制の整備が進められています。
また、情報は国をまたいで利用されることが多いことから、データの越境移転についても、制度が確立してきていました。

ただ、近年、特に新興国では、国内で特定の事業を営む企業に対して、自国内の産業保護、安全保障・法執行や犯罪捜査などを目的として、越境データ流通を規制する動き、具体的にはICT・ITサービスの提供に用いられるサーバ設備の国内設置やデータの国内保存等を求めるといったデータローカライゼーション(data localization)と呼ばれる規制が目立ってきています。

データローカライゼーションにも様々な内容がありますが、越境個人データ移転規制に比べ、

  1. 対象データが個人データに限られない
  2. 必ずしも個人データの越境移転に着目しているわけではない
  3. 個人の同意があっても越境移転が認められるわけではない

という特徴があります。

例としては、中国で2017年6月に施行された中国サイバーセキュリティ法(中華人民共和国網絡安全法)は、個人情報・パーソナルデータに限られない、産業データを含む「重要データ」の広範な国外移転規制をしており、IoTビジネス全体に関わる広範なデータローカライゼーション規制として機能しうることが懸念されます。

また、ロシアで2015年9月に施行された改正個人データに関するロシア連邦法やインドネシアにおける個人データに関するデータ移転制限などもあります。

今後、東南アジアを始めとした、いわゆる発展途上国でデータローカライゼーションの動きが進むといわれています。今後、これらの国・地域で情報を取り扱う場合には、法規制の動向に注意が必要です。

個人情報保護・プライバシー保護に関するご相談は直法律事務所まで

今後も、より一層、通信技術等の進展による技術革命や、越境データの流通増大、自己の権利意識の高まることが想定されています。企業も、その流れに合わせてオンラインビジネスも活発化するでしょう。

徐々に、個人情報及びその他のデータ活用の形は変容していくため、それに伴って法規制や法律実務も変わります。最新の情報を入手して、いち早く対応していくことが重要といえます

個人情報やプライバシー等、とてもセンシティブな規制は、>一歩間違うと企業の信用を失い、その回復には時間がかかります

個人情報保護法・プライバシー保護に関してご相談・お悩みのあるかたは、直法律事務所にお気軽にお問い合わせください。個人情報の取扱いに精通した弁護士が、企業活動等に伴う情報リスク管理をサポートします。


【関連記事】
【企業向け】情報漏洩が起きたら(令和2年改正個人情報保護法にも対応 )

直法律事務所では、IPO(上場準備)、上場後のサポートを行っております。
その他、プラットフォーム、クラウド、SaaSビジネスについて、ビジネスモデルが適法なのか(法規制に抵触しないか)迅速に審査の上、アドバイスいたします。お気軽にご相談ください。
ご面談でのアドバイスは当事務所のクライアントからのご紹介の場合には無料となっておりますが、別途レポート(有料)をご希望の場合は面談時にお見積り致します。


アカウントをお持ちの方は、当事務所のFacebookページもぜひご覧ください。記事掲載等のお知らせをアップしております。

SaaS企業のお悩みは、
SaaS弁護士に相談して解決

プラットフォーム・クラウド・SaaSビジネスにおける法務のお悩みは、SaaSに強い弁護士に相談されると適切かつ迅速な解決が可能となります。大きなトラブルになる前に、少しでも気になる事は、お早めにSaaS弁護士にご相談ください。

クライアント企業一例