クラウドサービス(SaaS)利用時に送信するデータの権利等を保護するための契約上の留意点

IT・情報セキュリティ

 当社では、クラウドサービス(SaaS)を利用することを検討しております。このクラウドサービスを利用する際には、当社の重要なデータをクラウド事業者に送信しなければならないのですが、当社がクラウド事業者にデータを送信することによって、当社のデータに発生していた権利等が失われてしまうことはないでしょうか。

 データに所有権が発生することはなく、データに発生する権利等は、主に、営業秘密または限定提供データとなります。
 営業秘密として保護されるためには秘密管理性の要件が、また、限定提供データとして保護されるためには電磁的管理性の要件が必要となります。そこで、自社が重要なデータをクラウド事業者に提供する際には、データに発生している権利が失われないようにするために、クラウド事業者に対して、当該データについて秘密管理性と電磁的管理性の両方の要件を充足する管理を行うことを契約上義務付けることが望ましいといえます。

解説

目次

  1. データに発生する権利等
  2. 営業秘密の「秘密管理性」と、限定提供データの「電磁的管理性」
  3. 営業秘密と限定提供データの補完的関係
  4. 営業秘密・限定提供データとしての保護を失わないようにするための契約条項
  5. まとめ

データに発生する権利等

 近時、AI技術の進展等に伴うデータの価値の高まりにより、データの管理がますます重要になってきています。そして、データは、主に、営業秘密または限定提供データとして保護されます。

 所有権が発生するのは有体物についてのみとなります(民法206条、85条)。そして、データは、有体物ではなく、無体物ですので、データには所有権は発生しません
 また、特許法の保護対象である発明は、「自然法則を利用した技術的思想の創作のうち高度のもの」(特許法2条1項)であり、さらに、特許として保護されるためには新規性(特許法29条1項)、進歩性(特許法29条2項)等の要件を充足する必要がありますが、データが「技術的思想の創作」であり、さらに新規性、進歩性等の要件を充足する可能性は低いといえます。

 さらに、実用新案法の保護対象は、「物品の形状、構造又は組合せに係る考案」(実用新案法1条、3条1項柱書)ですが、データは無体物であり「物品」には該当しないため、データは実用新案法の保護対象にはなりません。

 著作権法の保護対象である著作物は、「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」(著作権法2条1項1号)であり、創作性を有することが必要になりますが、データ自体が創作性を有することはほとんどありませんので、データに著作権が発生する可能性は低いといえます。

 営業秘密とは、「秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないもの」(不正競争防止法2条6項)であり、これらの要件を充足するデータは営業秘密として保護されます

 限定提供データは、近時のデータの価値の高まりを受けて、データを新たな知的財産として保護するために創設され、2019年7月から施行されています。限定提供データは、「業として特定の者に提供する情報として電磁的方法……により相当量蓄積され、及び管理されている技術上又は営業上の情報(秘密として管理されているものを除く。)」(不正競争防止法2条7項)であり、これらの要件を充足するデータは限定提供データとして保護されます

営業秘密の「秘密管理性」と、限定提供データの「電磁的管理性」

 営業秘密と限定提供データには、それぞれ、管理に関する要件として、「秘密管理性」、「電磁的管理性」があります。そして、一般的に、重要なデータは営業秘密または限定提供データに該当する可能性がありますので、クラウド事業者に提供することによって、秘密管理性や電磁的管理性が失われないようにしなければなりません。

 秘密管理性を満たすために必要な管理措置の程度としては、情報に接する者が秘密であることを認識し得る程度の管理措置があれば足り、「アクセス制限」等は認識可能性を担保する1つの手段であると考えられています 1

 限定提供データの要件である電磁的管理性が満たされるためには、特定の者に対してのみ提供するものとして管理するという保有者の意思を第三者が一般的にかつ容易に認識できるかたちで管理されていることが必要です 2。アクセス制限は、通常、ユーザーの認証により行われ、認証の方法としては、以下などがあげられます 3

  1. 特定の者のみが持つ知識による認証(ID、パスワード、暗証番号等)
  2. 特定の者の所有物による認証(ICカード、磁気カード、特定の端末機器、トークン等)
  3. 特定の者の身体的特徴による認証(生体情報等)等

営業秘密と限定提供データの補完的関係

 営業秘密と限定提供データの要件の比較は、以下の通りです。

【営業秘密と限定提供データの要件の比較】

営業秘密
(不正競争防止法2条6項)
限定提供データ
(不正競争防止法2条7項)
要件 ① 技術上又は営業上の情報
② 有用性
③ 秘密管理性(秘密として管理されている)
④ 非公知性
① 技術上又は営業上の情報
② 相当蓄積性
③ 電磁的管理性
④ 限定提供性
⑤ 秘密として管理されているものを除く

 営業秘密と限定提供データの要件は、類似している点が多いといえます。
 まず、両者は、「①技術上又は営業上の情報」という点で共通しています。次に、限定提供データの「②相当蓄積性」は、電磁的方法により有用性を有する程度に蓄積していることをいうため 4、営業秘密の「②有用性」と類似する要件といえます。
 そして、営業秘密の「③秘密管理性」と、限定提供データの「③電磁的管理性」は、いずれも一定の者以外に漏えいしないように管理をしなければならないという点で共通しています。

 このように類似している点が多い営業秘密と限定提供データの要件ですが、あるデータが、営業秘密と限定提供データの両方に該当することはありません。あるデータが営業秘密の①~④のすべての要件を満たすと、営業秘密に該当し、限定提供データには該当しないことになります(限定提供データに該当しないことになるのは、営業秘密の「③秘密管理性(秘密として管理されている)」の要件を充足すると、限定提供データの「⑤秘密として管理されているものを除く」の要件を充足しなくなるからです)。

 そのため、一定の要件を充足するデータについては、秘密管理性を充足すれば営業秘密に該当し、秘密管理性を充足しなければ限定提供データに該当するという関係になるため、営業秘密と限定提供データは、補完的関係にあるといえます

営業秘密・限定提供データとしての保護を失わないようにするための契約条項

 営業秘密と限定提供データには、それぞれ、管理に関する要件として秘密管理性と電磁的管理性がありますので、クラウド事業者に送信するデータについてクラウド事業者に義務付ける管理の内容が、秘密管理性や電磁管理性の要件を充足しているか否かの評価に影響を与える可能性があります。

 営業秘密の秘密管理性の要件は、実際の営業秘密侵害訴訟の場面で争われることが多く、さまざまな証拠から総合的に判断されるものであるため、あるデータが秘密管理性を有していると思っていても、実際には秘密管理性が認められない可能性があります。
 また、クラウド事業者に複数のタイプの情報を送信する場合には、データのなかに、営業秘密に該当するものと、限定提供データに該当するものの両方が含まれていることも考えられます。

 そのため、データが営業秘密であるか限定提供データであるかを決めつけることをせずに、営業秘密と限定提供データが上記の通り補完的関係にあることを踏まえて、クラウド事業者に対して、秘密管理性の要件を充足する管理と、電磁的管理性の要件を充足する管理の両方を契約上義務付けることにより、クラウド事業者にデータを送信することによって秘密管理性や電磁的管理性の要件を充足していないと評価されないようにすることが望ましいといえます

 秘密管理性と電磁的管理性の両方を充足するために、クラウド事業者に求める管理の中心的な契約条項の例は以下の通りです。
 クラウド事業者に送信するデータ(以下の条項例では「提供データ」としています)に加えて、当該データの複製物についても同様の管理をしなければならないことを明確にしておくことが望ましいです
 さらに、クラウド事業者が、自社が提供したデータを改変することが予定されている場合には、改変されたデータの管理についても同様に定めることが望ましいです

  • 事業者は、提供データ(複製物を含む。以下同じ。)、及び、事業者が提供データを改変したデータ(以下「派生データ」といい、複製物を含む。以下同じ。)について厳に秘密を保持するものとし、利用者の事前の書面による承諾なしに第三者に対して開示又は漏えいしてはならないものとする。

  • 事業者は、提供データ及び派生データを電子データとして管理するものとし、提供データ及び派生データを紙媒体へ印刷する等して管理してはならない。

  • 事業者は、提供データ及び派生データの管理において、ID及びパスワードによるアクセス制限、又は、事業者及び利用者が別途合意したその他の適切な認証方法によるアクセス制限を行うものとする。

 なお、上記の通り、データは、主に、営業秘密または限定提供データとして保護されますが、万が一、データに特許権や著作権が発生しているとしても、特許権や著作権として保護されるための要件として管理に関する要件があるわけではありませんので、クラウド事業者に送信することによって特許権や著作権として保護されなくなってしまうということはありません。

まとめ

 以上の通り、データに発生する権利等は、主に、営業秘密または限定提供データとなります。クラウドサービス(SaaS)の利用時に、データをクラウド事業者へ提供しても営業秘密または限定提供データとしての保護が失われないようにするためには、クラウド事業者に対して、秘密管理性の要件を充足する管理と、電磁的管理性の要件を充足する管理の両方を契約上義務付けることが望ましいといえます。


  1. 経済産業省「営業秘密管理指針」(2019年1月23日)6頁脚注6。 ↩︎

  2. 経済産業省「限定提供データに関する指針」(2019年1月23日)10頁。 ↩︎

  3. 経済産業省「限定提供データに関する指針」(2019年1月23日)10頁。 ↩︎

  4. 経済産業省「限定提供データに関する指針」(2019年1月23日)9頁。 ↩︎

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する