デジタル化に関する法制度(データの保護・活用編)(1)
社会のデジタル化に伴って、膨大なデータの収集等が可能となり、その保護や活用の重要性が高まってきています。またより広くサイバー空間でのセキュリティ対策も重要な課題となっています。こうしたことを背景に整備されてきた、データの保護・活用やサイバーセキュリティの確保に関する法制度について、簡単にまとめておきたいと思います。
データの保護・活用に関する法制度の概観
基本法での理念規定
ネットワークの安全性の確保や個人情報の保護については、2000年のIT基本法においても基本方針の一つとして掲げられていました(第22条)が、その後、デジタル化の進展による新たな課題として、サイバーセキュリティの確保やビッグデータの利活用への法的な対応の必要性が生じてきたことを受けて、「サイバーセキュリティ基本法」「官民データ活用推進基本法」が制定されました。
その後、2021年のデジタル社会形成基本法においては、サイバーセキュリティの確保に関する規定(第33条)のほか、情報の活用の重要性を踏まえた規定(第3条、第23条、第30条等)が数多く置かれています。
関係する基本法は、以下のとおりです。
◯IT基本法(2000年)
◯サイバーセキュリティ基本法(2014年)
◯官民データ活用推進基本法(2016年)
◯デジタル社会形成基本法(2021年)
データの保護・活用に関する法律
データの保護については、個人情報保護法、著作権法、不正競争防止法などによって、個人情報、著作物、営業秘密等に関するデータの保護が図られてきています。
一方、データの利活用については、2015年に個人情報保護法が改正され、「匿名加工情報」の制度が創設され、一定の匿名加工を行うことでビッグデータとしての利活用が可能となりました。さらに、個人情報保護の制度については、個人情報保護法、行政機関個人情報保護法、独立行政法人等個人情報保護法という三本立てで、さらに各地方自治体の個人情報保護条例があり、それぞれの規定や運用が異なるという、いわゆる「2000個問題」が生じていましたが、これらの課題に対応して、三本の法律を一元化する個人情報保護法の改正が、2021年に行われています。
また、2018年の不正競争防止法改正で、ビッグデータを想定した「限定提供データ」の保護の制度が創設されています。
大きな流れとして、データの保護に関する法律があって、データの利活用に関する制度が追加されていくような形になっており、主なものを時系列で並べると以下のようになります。
◯著作権法(1970年)
◯著作権法改正(プログラムの著作権の保護)(1985年)
◯不正競争防止法(1993年)
◯著作権法改正(インターネット等での送信可能化権の保護)(1997年)
◯個人情報保護法(2003年)
◯マイナンバー法(2013年)
◯個人情報保護法改正(匿名加工情報制度の創設)(2015年)
◯不正競争防止法改正(限定提供データ制度の創設)(2018年)
◯著作権法改正(日本版フェアユース規定)(2018年)
◯個人情報保護法改正(三本の法律の一元化)(2021年)
サイバーセキュリティに関する法律
サイバーセキュリティに関しては、コンピューターやシステムに不正に侵入する行為を禁止する「不正アクセス禁止法」が重要な役割を果たしているほか、迷惑メールやチェーンメールを規制する「特定電子メール法」なども制定されています。
また、2011年には、コンピュータ・ウイルスの作成、提供、供用、取得、保管行為を対象とする「不正指令電磁的記録に関する罪」を定める刑法の改正が行われています。
関係する主な法律は、以下のとおりです。基本法は除いています。
◯不正アクセス禁止法(1999年)
◯刑法改正(不正指令電磁的記録に関する罪等の創設)(2011年)
◯特定電子メール法(2002年)
(サイバーセキュリティに関する法制度は、総務省のHPにもまとめられていますので、ご参照いただければと思います。)
概ね、以上が関連する法律の概観となりますが、以下、データの保護・活用に関する主な法律、サイバーセキュリティに関する主な法律の順で、内容やポイントを見ていきたいと思います。
データの保護・活用に関する主な法律
個人情報保護法(2003年)
個人情報保護法は、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とした法律です。2003年に制定され、2005年から施行されている法律で、正式名称は、「個人情報の保護に関する法律」です。
個人情報保護法は、主に個人情報を取り扱う民間事業者の守るべきルール等を定める法律となっています。従来、行政機関については「行政機関個人情報保護法」が、独立行政法人等については「独立行政法人等個人情報保護法」が、地方自治体については各自治体の「個人情報保護条例」が適用され、個人情報保護法制がバラバラになっていることが問題となっていました(いわゆる「2000個問題」)が、2021年の改正で、三本の法律や条例で定められていたルールは、個人情報保護法に一元化されました。
個人情報保護法には、データの利活用に関する規定も含まれていて、個人情報に一定の加工を加えることにより、ビッグデータとしての利用を可能にする「匿名加工情報」「仮名加工情報」などの制度が置かれています。
なお、個人情報保護法では、「個人情報」を、生存する個人に関する情報で、その情報に含まれる氏名や生年月日等によって特定の個人を識別できる情報としています。また、「個人識別符号」を含む情報も個人情報としています。マイナンバーも個人識別符号に当たりますので、原則として個人情報保護法が適用されますが、マイナンバーについては、マイナンバー法で「特定個人情報」とされ、より厳しい保護措置が上乗せされています。(マイナンバー法は、個人情報保護法の特別法ということになります。)
個人情報保護法の目次(章立て)は、以下の通りとなっています。
目次
第一章 総則(第一条―第三条)
第二章 国及び地方公共団体の責務等(第四条―第六条)
第三章 個人情報の保護に関する施策等
第四章 個人情報取扱事業者等の義務等
第五章 行政機関等の義務等
第六章 個人情報保護委員会
第七章 雑則(第百六十六条―第百七十条)
第八章 罰則(第百七十一条―第百八十条)
附則
個人情報保護法には、基本理念や国の施策などを定めた基本法的な部分と、個人情報を取り扱う事業者等への規制の部分、個人情報保護委員会の設置や権限について定めた組織法的な部分など、非常に多岐な内容が含まれていますが、デジタル化の関係では、事業者等への規制の部分で規定されている個人データの提供やデータの利活用に関する制度の部分がポイントとなるかと思います。
著作権法(1970年)
著作権法は、著作物に関する権利の保護と公正な利用について定める法律で、1970年に制定されています。
著作権法では、1985年の改正で、コンピュータープログラムが保護の対象となることが定められています(「プログラムの著作物」(第10条第1項第9号)。また、1997年の改正では、インターネットなどでデジタル化された著作物を自動的に公衆に送信する権利として「自動公衆送信権」(第23条第1項)の規定が設けられています。「自動公衆送信権」には、サーバにアップロードするなど送信し得る状態に置く「送信可能化権」も含まれています。
さらに、2018年の著作権法改正では、プログラムのリバースエンジニアリングを可能にする条文(第30条の4)が新設されました。
◯著作権法(昭和四十五年法律第四十八号)
(著作物に表現された思想又は感情の享受を目的としない利用)
第三十条の四 著作物は、次に掲げる場合その他の当該著作物に表現された思想又は感情を自ら享受し又は他人に享受させることを目的としない場合には、その必要と認められる限度において、いずれの方法によるかを問わず、利用することができる。ただし、当該著作物の種類及び用途並びに当該利用の態様に照らし著作権者の利益を不当に害することとなる場合は、この限りでない。
一 著作物の録音、録画その他の利用に係る技術の開発又は実用化のための試験の用に供する場合
二 情報解析(多数の著作物その他の大量の情報から、当該情報を構成する言語、音、影像その他の要素に係る情報を抽出し、比較、分類その他の解析を行うことをいう。第四十七条の五第一項第二号において同じ。)の用に供する場合
三 前二号に掲げる場合のほか、著作物の表現についての人の知覚による認識を伴うことなく当該著作物を電子計算機による情報処理の過程における利用その他の利用(プログラムの著作物にあつては、当該著作物の電子計算機における実行を除く。)に供する場合
1980年代当時、日本のコンピューター産業でIBMの互換機ビジネスが盛んだった頃に、リバースエンジニアリングという手法の過程で、メモリに一時的に蓄積されるデータが著作権(複製権)の侵害になるかということが日米間で問題になったことがありました。その時は、フェアユースという概念で、玉虫色に決着したような気がしますが、30年の時を経て、明文化されたと思うと感慨深いものがあります。
不正競争防止法(1993年)
不正競争防止法は、事業者間における正当な営業活動を遵守し、過度な競争が行われないよう、適正な競争の実施を確保することを目的とした法律で、1993年に制定されています。禁止されている行為は多岐にわたっていますが、2018年の改正では、ビッグデータを想定した「限定提供データ」の不正取得等が不正競争行為として規定されました。
不正競争防止法で「限定提供データ」については、以下のように定義されています。
◯不正競争防止法(平成五年法律第四十七号)
第二条
7 この法律において「限定提供データ」とは、業として特定の者に提供する情報として電磁的方法(電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において同じ。)により相当量蓄積され、及び管理されている技術上又は営業上の情報(秘密として管理されているものを除く。)をいう。
データの保護・活用に関する法律については、とりあえず、以上としたいと思います。
次回は、サイバーセキュリティに関する主な法律の内容やポイントを見ていけたらと思います。