データの不正利用を防止するための手段

IT・情報セキュリティ

 自社の工場の稼働データを利用して工場稼働の効率性をアップしたいと考えています。この工場の稼働データをITベンダに渡してそのデータを分析してもらおうと思いますが、そのデータが外部に漏れたり、不正に利用されたりしたら困ります。何か良い方法はありませんか?

 データに対する所有権は観念できず、知的財産権による保護も限定的であることを前提にしますと、質問のケースのように、データの利用条件などを契約で何も設定せずに、稼働データを渡してしまえば、データ受領者であるITベンダはそのデータを自由に使えることになってしまいます(参考:データの法的性質とは)。
 データの不正利用を防止する手段としては、①「限定提供データ」として法的保護、②契約による保護などが考えられます。

解説

目次

  1. はじめに
  2. データの法的性質
  3. 改正不正競争防止法の「限定提供データ」
  4. 契約による保護
    1. 厳格な秘密保持義務
    2. 提供データの厳格な管理体制
    3. 損害賠償額の予定
    4. 重要なデータは提供しないという視点
  5. まとめ

はじめに

 「AI・データの利用に関する契約ガイドライン」が、2018年6月15日に経済産業省から公表されました(以下「経産省ガイドライン」といいます)。
 経産省ガイドラインでは、データの法的性質、データの不正利用を防ぐ手段、データ契約の類型、各契約類型の法的論点を幅広く記載していますが、データ編だけでも180頁ほどあり、非常に長いので、そのガイドラインの中から、上記の質問に関する部分だけを抽出して説明します。

データ契約の類型、各契約類型における法的論点などについては、別稿で説明します。

データの法的性質

 データは所有権や占有権、用益物権、担保物権の対象とはならないため、所有権などの物権に基づく返還請求や、妨害排除請求はできませんし、知的財産権で保護されるケースは限定的です。詳細は、データの法的性質とはを参照ください。

改正不正競争防止法の「限定提供データ」

 改正不正競争防止法の「限定提供データ」に該当するデータについて、以下の各「不正競争行為」を行った場合、差止請求(不正競争防止法3条)、損害賠償請求(同法4条)、損害賠償額の推定規定(同法5条)等の民事上の救済が受けられることになります。

  1. 不正取得類型(改正不正競争防止法2条1項11号)
  2. 著しい信義則違反類型(同法2条1項14号)
  3. 転得類型(同法2条1項12号および15号、13号および16号)

 ただ、「限定提供データ」とは、業として特定の者に提供する情報として電磁的方法(電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう)により相当量蓄積され、および管理されている技術上または営業上の情報(秘密として管理されているものを除く)をいうとされています(改正不正競争防止法2条7項)。

 「限定提供データ」に該当するためには、以下の事項が少なくとも必要になります。

  1. 業として特定の者に提供する情報(限定的外部提供性)
  2. 電磁的方法により相当量蓄積
  3. 電磁的方法により管理
  4. 技術上または営業上の情報
  5. 秘密として管理されていないこと
  6. 無償で公衆に利用可能となっている情報と同一の限定提供データではないこと(改正不正競争防止法19条1項8号ロ)

 この「限定提供データ」の要件との関係で、データ契約を締結する際には、以下の3点に注意する必要があります。

関連する要件 データ契約における注意点
①限定的外部提供性との関係 データ受領者に対して、データ提供者の事前の同意なく提供データを第三者に提供できないことを規定しておくことが重要。
③電磁的方法により管理 最低限、ID・パスワード等による管理を施したうえでデータを提供することが重要。
④秘密として管理されていないこと データ受領者に自己の営業秘密と同等の秘密管理措置を講じることを契約で規定した場合に、この要件を満たさないとして、「限定提供データ」に該当しないと判断される可能性がある点には注意が必要。
ただし、秘密管理性、有用性、非公知性の要件を充たせば、「営業秘密」として当該データが保護されることになる。

 なお、データは国境を越えて流通しますので、海外のサーバで物理的に管理されている「限定提供データ」の場合、準拠法をどのように判断するのかは今後の課題になるという指摘があります(相良由里子「平成30年不正競争防止法改正によるビッグ・データの保護」(L&T別冊 知的財産紛争の最前線 No.4、2018年)106頁)。

契約による保護

 このように改正不正競争防止法によるデータの保護は、第三者に対する権利行使の観点からは重要ですが、きめ細やかな保護を実現するためには、データを契約によって保護していくことが重要になります。
 データ利用契約において、データの不正利用を防止するための規定として、たとえば以下のようなものがあります。

厳格な秘密保持義務

  • 提供データにアクセスできるデータ受領者の役員および従業員を制限する方法
  • 提供データにアクセスできるデータ受領者の役員および従業員に秘密保持に関する誓約書を提出させることをデータ受領者に契約上義務付ける方法

提供データの厳格な管理体制

  • 高セキュリティのサーバへの保管を義務付ける方法
  • 他のデータとの分別管理を義務付ける方法
  • 提供データの保管方法・管理方法について具体的に契約で定める方法
  • 提供データの管理状況についてデータ提供者への報告やデータ提供者が立入検査を求めることができる旨の規定を設け、その報告の結果または立入検査の結果、データ受領者の提供データの管理状況に問題があれば、データ提供者は提供データの管理方法の是正等を求めることができる旨を規定する方法

損害賠償額の予定

 上記の厳格な秘密保持義務、提供データの厳格な管理体制は、提供データが外部に流出しないようにするための予防策的な面がありますが、そのような対策にかかわらず、提供データが外部に流出してしまった場合に備えて、損害賠償額の予定を規定しておく方法があります。

 損害賠償額の予定は、予定額が低ければかえって契約の拘束力を弱めることになる一方、高額な予定額を規定すれば合意に至らないという非常に交渉が難しい条項の1つですが、データの価値の立証が難しく、データが流出してしまった際の損害額の立証が困難であることも合わせて考えると契約書に規定する価値のある条項であると考えます。

重要なデータは提供しないという視点

 契約によるデータの不正利用の防止という視点とは異なりますが、どれだけ契約で厳しい義務を謳っても完全に提供データの流出・不正利用を防ぐことができないため、会社の競争力の源泉となるような価値が極めて高いデータとそれ以外のデータを区別することができるのであれば、前者については提供せず、後者だけを提供するという発想もあると思われます。

まとめ

 データには所有権などの物権的な権利が認められず、知的財産権による保護も限定的です。したがって、データは契約によって保護していくべきと言えます。
 ただし、契約は契約当事者との関係でしか拘束力を持たないため、データが第三者に漏えいしないように契約条項を工夫すること、データが第三者に漏えいした場合のペナルティ条項(損害賠償額の予定)を入れること、究極的には、外部に流出してしまったら競争力を失いかねない重要なデータについては提供データの対象から外すことを検討することが重要です。

関連する実務Q&A

無料会員登録で
リサーチ業務を効率化

90秒で登録完了

無料で会員登録する