データ・オーナーシップがビジネスに与えるインパクト

第3回 IoT・ビッグデータ・AIビジネスにおける、データの不正な利活用に対する規制

IT・情報セキュリティ

目次

  1. 不正なデータの取得等からのデータ保護
  2. 不正競争防止法の改正による不正なデータ取得等からのデータ保護
  3. 改正によって保護対象とされるデータ
  4. 規制対象とされる行為
  5. 暗号化など技術的な制限手段の保護強化
  6. データの不正取得規制を踏まえたデータ管理のあり方

不正なデータの取得等からのデータ保護

 第2回「IoT・ビッグデータ・AIビジネスにおける契約実務はどう変わるのか」では、「データ・オーナーシップ」の考え方、すなわち、事業者間の取引に関連して創出されるデータの利用権限を契約で適正かつ公平に定めるという考え方を前提に、データの利用権限や利用範囲を明確化するための契約に関する法的留意点について解説しました。

 もっとも、そのような利用権限等に違反して無断で第三者に提供された場合や、産業スパイ等によってデータを不正に取得・提供された場合には、上記の契約では対抗できません。そのような自由競争の枠外にある者に対しては法律で規制を行うことが必要になります。

 第3回では、このような不正なデータの取得等に対する法規制の概要と具体的な実務対応について解説します。
 なお、個人情報を含むビッグデータの取扱いについては、「データ・オーナーシップ」の考え方に基づく実務対応が求められますが、これについては第4回において解説します。

不正競争防止法の改正による不正なデータ取得等からのデータ保護

 本年5月に公表された「第四次産業革命を視野に入れた不正競争防止法に関する検討中間とりまとめ」(産業構造審議会 知的財産分科会 営業秘密の保護・活用に関する小委員会)においては、安心してデータのやり取りができ、データの収集・分析・管理等に対する投資に見合った適正な対価を得ることができる環境整備のための制度構築が必要であるとされており、データを活用した企業活動を萎縮させることのないよう、データに物権的な権利を設定する法的アプローチではなく、不正な行為を規制する形式での法制化を検討するという方向性が示されました。

 具体的には、悪質性の高い行為によってデータを取得する行為等を不正競争防止法における不正競争行為として新たに規定し、差止請求などの民事的な救済措置が可能となるようにするとされています。

 これを受けて、産業構造審議会知的財産分科会不正競争防止小委員会が設置され、来年の通常国会に法案を提出することを目指して、不正競争防止法の改正による①データの不正取得の禁止と②暗号化など技術的な制限手段の保護強化の制度設計が検討されています。

改正によって保護対象とされるデータ

 上記のようにデータの流通促進のための制度であることから、新たに保護対象とすべきデータは、外部への提供が前提とされたデータになります。したがって、営業秘密とは異なり、「秘密管理性」や「非公知性」の要件は求められません。

 他方で、データ取得者等にとって不意打ちにならないように、当該データが保護対象であることを認識できるようにするため、データ取得者等がデータ提供者の管理の意思を確認できること(技術的管理性)が必要となります。

 具体的には、以下のようにデータへのアクセス等を制限する手段が講じられていることが求められます。

  • ID・パスワードの設定による購入・課金支払・利用登録等をした者のみにデータへのアクセスを許可する
  • 暗号化処理を施したDVD、USB等の媒体によるデータ提供
  • 専用回線(暗号化通信)によるデータ提供
  • 専用端末のみでアクセス可能とするデータの提供
  • 専用アプリ・ソフトウェアのみでの閲覧・利用の許可

 また、当該データが事業活動に有用でなければ保護対象にする必要がないため、営業秘密と同様に、「有用性」の要件が求められます。ビッグデータ・ビジネスにおけるファクトデータ(機器等の稼働データやセンシングデータ等の事実に関するデータ)は、それ自体に技術的・営業的な価値があるわけではなく、それを分析して初めて事業活動に有用な情報(機器の改良に資する情報やマーケティング情報等)が得られるわけですが、営業秘密の場合1と同様に、公序良俗に反しない内容の情報であれば、原則として「有用性」の要件を充足するものと思われます。

規制対象とされる行為

 規制対象行為の類型については、以下のように、営業秘密における侵害行為類型(不正競争防止法2条1項4号~10号)をベースに検討されています。

不正取得等の行為のイメージ

出典:経済産業省「不正競争防止小委員会(第2回)配布資料 資料3-1 検討にあたっての不正取得等の行為のイメージ

(1)不正取得の場合(AIビジネスではどのような行為が問題となるか)

 データの不正取得の場合については、営業秘密の不正取得の場合の規制(不正競争防止法2条1項4号~6号)と同様に、以下の3点を規制する方向で検討されています。

  1. 不正取得行為(詐欺等に相当する行為・保有者の管理を害する行為・不正アクセス行為等による取得)とそのデータの使用・提供
  2. 不正取得行為の介在について悪意・重過失である転得者による取得・使用・提供
  3. 取得後に悪意・重過失となった転得者による使用・提供

 AIビジネスにおいては、不正取得されたデータから「学習用データセット」を作成し、AIに機械学習させて「学習済みモデル」を作成し、その「学習済みモデル」をAIで使用して顧客に対して評価情報を提供するサービスを有償で行う場合に、どこまでが当該データの「使用」に該当するのかが問題となります。

どこまでが不正取得されたデータの「使用」に該当するのか

 「使用」の概念については、不正に取得されたデータをそのまま使用するだけでなく、改変された場合でも実質的に元のデータと等しいと判断される場合にはデータの「使用」に該当すると整理されています。

 このような整理によると、「学習用データセット」は、不正取得されたデータをその内容に含むため、それをAIに機械学習させる行為は「使用」に該当することになります。他方で、「学習済みモデル」は、入力から出力までの演算を行うプログラムと当該演算に用いられる重み付け係数(パラメータ)の組合せに過ぎず、不正取得されたデータをその内容に含まないため、それ自体の使用は、不正取得されたデータの「使用」には該当しないということになり、「学習済みモデル」自体の使用を止めることができません。

 また、侵害行為により生じた物(侵害品)の譲渡等に関しても、不正取得されたデータをその内容に含む侵害品の譲渡等のみを規制対象とする方向で整理がなされているため、不正取得されたデータを含まない「学習済みモデル」の譲渡等も止めることはできません。

 したがって、AIの「学習用データセット」に利用されうるようなデータには、後記のAIによる分析等を制限する技術的な保護手段を講じたうえで流通させるといった対応が必要と思われます。

(2)正当取得の場合

 次に、正当取得の場合については、営業秘密の正当取得の場合の規制(不正競争防止法2条1項7号~9号)とは異なり、以下の行為を規制することが検討されています。

  1. 権限外であることを認識し、かつ図利加害目的での使用・提供
  2. 提供者の権限外での提供の介在について悪意・重過失である転得者による取得・使用・提供
  3. 取得後に悪意・重過失となった転得者による使用・提供

 データの流通を前提とする場合、営業秘密と異なり、データは限定された者との間でのみ共有されるわけではありません。そのため、データの保有者にとって転得者が誰からデータを取得したのか把握することはほぼ不可能です。 その結果、転得者との関係で、提供者の図利加害目的を立証することは困難であるため、営業秘密の場合と異なり、「不正開示行為」2の介在についての悪意・重過失までは求めず、提供者の権限外での提供であることについての悪意・重過失で足りると整理されています。

 これによって、たとえば、アクセス制限を行ってデータを有償で一般に提供するビジネスにおいて、過去に取引のない第三者によって無断で当該データが公開されていることが発覚した場合、データの保有者は、当該第三者が誰からデータを取得したかはわからなくても、提供者の権限外で提供を受けたデータを公表している旨を警告することで、その後は当該転得者によるデータの提供を止めることができるようになるため、安心してデータの提供ができるようになるわけです。

(3)救済措置

 これらの規制対象行為に該当する場合には、営業秘密と同様に、差止請求、損害賠償請求(不正競争防止法5条1項~3項の損害賠償額の推定も適用)、信用回復措置が予定されています。なお、刑事罰については、その要否も含めて検討するとされています。

暗号化など技術的な制限手段の保護強化

 データに施される暗号化技術に関しては、現状では、①影像・音の視聴、②プログラムの実行および③影像・音・プログラムの記録を制限するために施される暗号等の技術的な制限手段(SCMS、CGMS等のコピーコントロール技術やスクランブル放送等のアクセスコントロール技術)が保護対象となっていますが、AIによる分析の高度化やIoTによるデータ流通に対応すべく、新たに「電子計算機による処理に供するためのデータ」の処理を保護対象に追加することが検討されています。

 具体的には、AIプログラムに学習させるためのデータ、アプリケーションで読み込むためのデータや自動走行のための機器読み取り用3D地図データ等が想定されています。

 これらのデータに施された一定のデータ処理を制限する技術的制限手段を無効化する装置やプログラム等の譲渡等、無効化するサービスの提供や無効化するための情報(シリアルコード等)の提供を規制することが検討されています。

 また、企業が秘匿するデータ分析方法の保護強化として、企業が営業秘密として秘匿管理しているデータの分析方法が、他者に不正に持ち出され、類似のサービスが行われていると立証できる場合には、民事裁判において不正使用が推定され、立証責任が被告へ転換されるという制度の導入も検討されています。

データの不正取得規制を踏まえたデータ管理のあり方

 企業における情報管理規程等においては、営業秘密として不正競争防止法による保護を受けるために「秘密管理性」の要件を充足するような情報管理体制を構築することに主眼があったと思われます。

 他方で、上記の不正競争防止法の改正によって、営業秘密としての秘密管理がなされていないデータ(広く一般に販売されて提供される公知なデータ等)に対しても法的な保護がなされることになります。

 そこで、これまでは他社との契約等により秘密保持義務や目的外利用の制限による制約を受けていたため、情報管理規程等において「秘密情報」に区分され秘密管理を要求されていた情報のうち、データの利用権限に関する契約によって新たに利活用が可能になるデータ(第2回「IoT・ビッグデータ・AIビジネスにおける契約実務はどう変わるのか」参照)に関しては、技術的管理を行う区分を設定するといった見直しを行う必要があります。


  1. 営業秘密における「有用性」の要件については、公序良俗に反する内容の情報(脱税や有害物質の垂れ流し等の反社会的な情報)など、秘密として法律上保護されることに正当な利益が乏しい情報を営業秘密の範囲から除外することに主眼があるとされています(経済産業省知的財産政策室編「逐条解説 不正競争防止法-平成27年改正版-」44頁) ↩︎

  2. 営業秘密においては、営業秘密を保有する事業者からその営業秘密を示された場合において、不正の利益を得る目的で、もしくはその保有者に損害を加える目的(図利加害目的)で、その営業秘密を開示する行為、または秘密を守る法律上の義務に違反してその営業秘密を開示する行為(=不正開示行為)の介在について、転得者の悪意・重過失が求められる(不正競争防止法2条1項8号)。 ↩︎

この特集を見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する