DX推進における保有データの利用時・ベンダー提供時の法的検討事項と、事業部への伝え方

IT・情報セキュリティ
福岡 真之介弁護士 西村あさひ法律事務所

 事業部から、「デジタルトランスフォーメーション(DX)による事業の変革を行ううえで、会社が保有するデータを利用したりベンダーへ提供したりすることに法的問題がないか」と質問されました。データの種類に応じた法的な検討のポイントや、事業部への伝え方における留意点について教えてください。

 データについては、秘密性が高いデータか否か、パーソナルデータか否か、構造化データか否か、リアルタイム性があるか否かといった要素を踏まえたうえで、取り扱いを考える必要があります。

 たとえば秘密性が高いデータについては、秘密保持契約や不正競争防止法による営業秘密・限定提供データによって保護することが考えられます。また、パーソナルデータについては個人情報保護法などの遵守が必要となり、利用目的の公表、利用目的内での利用、第三者提供の制限などを考慮する必要があります。

 これらの留意点を事業部に伝えるには、データの保護だけを検討するのではなく、他社と共有することで積極的に活用するという観点を持って「データのオープン・クローズ戦略」を実践することや、パーソナルデータについては、法律を遵守さえすれば良いのではなく、社会的に適切な行為といえるかという観点を持つことも重要です。

解説

目次

  1. DXのプロジェクトで主に扱うデータの種類、分類
    1. 秘密性の高いデータ、低いデータ
    2. パーソナルデータ・非パーソナルデータ
    3. 構造化データ・非構造化データ
    4. リアルタイムデータ・非リアルタイムデータ
  2. ベンダとやり取りするうえでの、データの扱いに関する留意点
  3. データの扱いに関する留意点について事業部へ伝える際のポイント

DXのプロジェクトで主に扱うデータの種類、分類

 DXのベースとなるのはもちろんデータですが、データの種類にも色々あり、その分類方法もさまざまです。平成29年版情報白書では、データの主体に着目して以下の4つに分類しています。

① 政府:国や地方公共団体が提供する「オープンデータ」
② 企業:暗黙知(ノウハウ)をデジタル化・構造化したデータ
③ 企業:M2M(Machine to Machine)から吐き出されるストリーミングデータ
④ 個人:個人の属性に係る「パーソナルデータ」

 このようにデータと一口に言っても、さまざまな種類のデータを含んでおり、データを扱ううえでは、その特性を踏まえた検討が必要です。

データの具体例

出典:総務省統計委員会担当室「ビッグデータの統計的利活用に向けて」(平成30年5月23日)

出典:総務省統計委員会担当室「ビッグデータの統計的利活用に向けて」(平成30年5月23日)

 データについて、法律実務的な観点からは以下の分類が重要と思われます。

秘密性の高いデータ、低いデータ

 データのなかには、秘密性が高いデータと、秘密性が低いデータがあり、当然、前者は秘密として保護すべき必要性が高く、後者は、秘密として保護する必要性は低く、広く他社と共有が可能となります。

 秘密性の高いデータについて、他社に開示する場合には、秘密保持契約などの契約で守る方法のほかに、営業秘密として不正競争防止法により保護することが考えられます(不正競争防止法2条6項)。営業秘密として保護するためには、①秘密管理性、②有用性、③非公知性といった要件を満たす必要があります。

 また、営業秘密に該当しないデータであっても、他社と共有することが想定されているデータについては、限定提供データとして不正競争防止法により保護することも考えられます(不正競争防止法2条7項)。限定提供データとして保護するには、①限定提供性、②電磁的管理性、③相当蓄積性、④有用性といった要件を満たす必要があります。

パーソナルデータ・非パーソナルデータ

 データのなかには、個人に関するデータを含んだパーソナルデータと、個人に関するデータを含まない非パーソナルデータがあります。パーソナルデータの例としては、個人の氏名・住所だけではなく、個人と紐付いた購買履歴・移動履歴などがあります。

 パーソナルデータは、個人情報保護法が適用される可能性があります。その場合には、利用目的の公表や利用目的内での利用が義務付けられ、また第三者提供が制限される場合があることに留意が必要です。さらに、海外と関連するデータを取り扱う場合にGDPRなどの外国法が適用される可能性にも留意すべきです。

 他方、工作機器の稼働データなどの産業データについては、非パーソナルデータが多いといえます。もっとも、産業データであってもパーソナルデータが含まれることもあります。たとえば、コネクティッドカーから収集される自動車の走行軌跡情報(プローブデータ)については、移動履歴から個人の行動が特定できる可能性があるため、パーソナルデータとしての取扱いが問題となり得ます。

 また、産業データについても、ある機器のデータであることを特定されたくないというニーズが企業側にある場合には、データを流通させる際に、機器が特定されないように配慮するなど、パーソナルデータと同様の配慮が必要となることもあります。

ビッグデータの種類

ビッグデータの種類

構造化データ・非構造化データ

 構造化データとは、一定の観点から体系化されたデータです。顧客データや会計データのように、エクセルの表のように列と行によって整理されているデータが典型例です。このようなデータは、体系化されているため、集計や分析を比較的簡単に行うことができる。

 これに対し、非構造化データとは、体系化されていないデータであり、SNSに投稿された写真・映像・文書などが典型例です。これらのデータは、形式や内容がばらばらなため、取り扱いが困難です。

 非構造化データは従来のデータベースでは分析が困難であったため、これまであまり利用されてきませんでしたが、最近は、AIの発展などにより、非構造化データの分析手法が発展してきており、これまで得られなかったような有益な知見を得ることができるため、注目されています。
 もっとも、構造化データと非構造化データには、明確な境界があるわけではなく、段階的なものです。たとえば、XMLやJSONといったタグやツリー構造で表現された文書は「半構造化データ」と呼ばれることがあります。

 構造化データと非構造化データでは、法律的には以下の違いが生じます。

 まず、個人情報保護法においては、情報を体系化すると事業者により重い義務が課される仕組みとなっています。たとえば、個人情報は体系化されると個人データとなり、第三者利用の提供等について制約が生じます(個人情報保護法2条4項、6項、23条)。また、匿名加工情報は体系化することにより、その取扱事業者には匿名加工情報取扱事業者としてのさまざまな義務が発生します(個人情報保護法2条10項)。このように、非構造化データよりも構造化データのほうが、個人情報保護法では、事業者の義務が重くなります。

 次に、著作権法では、データベースについて、その情報の選択または体系化によって創作性を有するものには、著作権が認められており(著作権法12条の2)、そのデータベースの無断利用が禁止されます。

 もっとも、前述したとおり、構造化データと非構造化データは明確に2つに区別できるものではなく、どの場合に、個人情報保護法や著作権法において体系化されたデータといえるのかについては個別の検討が必要です。

リアルタイムデータ・非リアルタイムデータ

 リアルタイムデータとは、刻々と変化する状態についてのデータです。情報のなかには鮮度が重要なものがあり、身近なものでいえば、ニュース、スポーツの試合結果、渋滞情報などがあげられます。これらの情報は、時間が過ぎてしまうと多くの人は興味を失ってしまいます。このように、リアルタイムデータについては、データのリアルタイム性が重要であることから、一般論としては、過去のデータは、データとしての価値が低下することが多いといえます

 このようなリアルタイムデータは、無断利用される時点では、その情報は過去のものとして価値が低下していることや、無断利用しようとする侵害者は、リアルタイムでデータを侵害し続けなければならないことから、無断利用に対して、一定の耐性があります。

 リアルタイムデータはすべて保存するとデータ量が膨大になり保存・管理コストがかかることから、データが短期間で破棄されることも少なくありません。

ベンダとやり取りするうえでの、データの扱いに関する留意点

 DXに取り組む場合には、データを共有したり、ITベンダなどのベンダにデータを提供したりすることが多くなります。その結果、データが外部に開示される機会が格段に増えていきます。
 データは、無体物であるがゆえに物理的制約に服さないため、以下のような特徴を有しています。

  1. データには、所有権や占有権が観念できない。そのため、データの外形から、その所在や権利関係を明確に判断することが困難である。

  2. データは、複数の者が同時に利用できる(排他性の不存在)。そのため、データの利用により、データが摩耗・減少してしまうということはなく、データを他人にわけ与えたからといって、自分が保有するデータが減ることもない。

  3. データは、複数の媒体に同時に存在することができる(同時存在性)。そのため、データが盗用され、利用されても、元のデータ保有者は、盗用されたデータの所在や、違法行為を把握することが困難となる。

  4. データは、コピーすることが容易であり、コピーによって内容が劣化しない。そのため、データは、オリジナルの価値が低い。また大量かつ広範にコピーが可能であることから、一度外部に流出してしまうと容易に拡散してしまう可能性がある。

  5. データは、一度外部に開示・流出してしまうと、開示・流出する前の状態に戻すことはできない(流通の不可逆性)。そのため、データが外部にいったん流出してしまうと、それをなかった状態に戻すことは困難であり、被害を回復することが困難である。

 世の中の多くの人は、データに「所有権」があると誤解したり、そのような誤解をしていないとしても、あたかも有体物と同じような発想でデータの取り扱いを考えてしまい、データの「所有権」や「帰属」にこだわってしまうという弊害がよく見受けられます。データには排他性の不存在や同時存在性といった特徴があることから、データの所有権や帰属にこだわるのはナンセンスであり、データをどのように利用できるのかという「利用条件」こそが重要なポイントです

 また、情報をデジタル化したものであるデータは、情報と同様に、無断利用が容易です。データについてはこのような特徴があるために、データの保護や無断利用などの違法行為の摘発が有体物と比べると困難です。データの無断利用に対する人々の道徳的ハードルは、残念ながら有体物と比較すると低いのが実情です。

 では、そのような状況において、データを保有している者は、データに対する利益をどのように守ることができるでしょうか。

 データに対する自らの利益を守る手段としては、法律による保護が考えられます。データを保護する法律の主なものとして、著作権法、不正競争防止法などの知的財産法があります。もっとも、データが法律によって保護される場合は限定的であり、法律に頼るだけでは不十分です。

 この点、データに対する自らの利益を守る手段として、データを秘匿するという方法があります。秘匿してしまえば、他人が利用することはできず、データを保護するには一番手っ取り早いといえます。もっとも、それでは、他人にデータを提供できず、データを広く活用することができなくなってしまいます。

 そこで、データを他人に提供する際に、秘密保持契約などの契約をすることで、データに対する自らの利益を守ることが考えられます。しかし、契約をしたとしても、契約の拘束力を第三者に及ぼすことはできません。また、データの受領者が契約に違反して、データが外部にいったん流出してしまうと、データには一度開示すると取り戻せない性質があるため、なかった状態に戻すことは基本的にはできず、損害の回復は困難です。このように、契約という手段にも一定の限界があります

 契約以外の手段としては、技術的手段などによって、データに対する自らの利益を守ることも考えられます。技術的手段による保護は、その保護を突破する技術が必要であることから、法律や契約と比べて、データに対する利益を保護する手段として強力な場合があります。

 そこで、データを取り扱う者は、データに対する利益を保護する手段として、法律、契約、技術的手段を組み合わせて保護することを考える必要がありますその意味で、データを取り扱う法律家は、単に契約書をレビューしたり法律について知るだけではなく、データを保護するための技術的手段やストラクチャーについての知識を有しておくことが求められるといえるでしょう。

データの扱いに関する留意点について事業部へ伝える際のポイント

 データについては、それを保護することも考慮すべきですが、過剰な保護は、データの利用を阻害してしまうというデメリットも考える必要があります。データは、利用されなければ無価値であるばかりか、保存のためのコストがかかることからマイナスの資産です。また、データについては質だけではなく量も必要になることが多いですが、データについての流通市場が確立していない現状では、データを入手するには、自らがデータを提供しなければならないこともあります。

 データには、秘密にすべきデータもある反面、他社と共有してもよいデータもあります。また、利用目的によっても利用を認めるべき場合とそうでない場合があります。それらを見極めたうえで、適切な保護・利用の手段を考えるべきです。つまり、どのようなデータを秘密にし、どのようなデータを開示するかという「データのオープン・クローズ戦略」といったより大きな視点を持つことが求められます

 そのため、データの取り扱いについて事業部に伝える際には、保護することだけを考える、あるいは利用することだけを考えるのではなく、データの性質や利用目的を見極め、「データのオープン・クローズ戦略」を実践する観点から伝えることが望ましいといえます。

 また、特に個人情報などのパーソナルデータについては、法律だけを遵守すればよいものではありません。適法なものであっても、ある商品・サービスにおいてパーソナルデータについて社会的に批判されるような取り扱いをした結果、「炎上」してしまう事例は枚挙にいとまがありません。そうした場合には、結局、そのような商品・サービスを廃止せざるを得なくなってしまいます。したがって、パーソナルデータなどのデータについては、それを利用される個人の立場に立ってプライバシーを尊重するような取り扱いをするように事業部に伝えることが重要でしょう

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する