たとえば、工作機械製造メーカ A が、工作機械にセンサを装着して製品製造メーカ B に販売して、その工作機械のセンサから得られるデータを「工作機械のメンテナンス目的(保守目的)」で B が A に提供するという契約を締結した場合に、A が、①その得られたデータを A が製造する別の機械のバージョンアップに利用したり、②そのデータから得られる情報を加工して B の秘密情報を除外し、第三者に提供...
たとえば、工作機械製造メーカ A が、工作機械にセンサを装着して製品製造メーカ B に販売して、その工作機械のセンサから得られるデータを「工作機械のメンテナンス目的(保守目的)」で B が A に提供するという契約を締結した場合に、A が、①その得られたデータを A が製造する別の機械のバージョンアップに利用したり、②そのデータから得られる情報を加工して B の秘密情報を除外し、第三者に提供すると、①も②も契約で定めた「工作機械のメンテナンス目的(保守目的)」以外の目的で提供データを利用することになり得るため、目的外利用禁止規定に違反する可能性が生じる。
図 3:データ提供型契約と目的外利用禁止規定
そこで、提供されたデータを将来、加工・分析・編集・統合等を行ったうえで利用することが予想される場合、データ受領者は、①や②のケースを想定した契約条項を検討する必要があると考えられる。
①の場合、「工作機械のメンテナンス目的(保守目的)」とデータ利用の目的を限定せずに、たとえば、「工作機械のメンテナンス目的(保守目的)および新機種の開発を含むバージョンアップ等の工作機械の性能向上目的」とすることで、目的外利用禁止規定に違反せずにセンサから得られるデータを利用できると考えられる。
②の場合、センサから得られる情報には製品製造メーカ B の営業秘密、ノウハウ等が含まれる可能性があるため、B から第三者に対するデータの提供について同意が得られない可能性がある(その結果、データの第三者への提供は目的外利用になり得る)。とりわけ、未だデータの流通が活発化していない現状に鑑みると、B から提供されたデータから秘密情報
を除外したとしても、B からすると自社のノウハウ等がデータの第三者への提供に伴って流出してしまうという漠然とした不安からデータの第三者への提供に同意しない可能性は十分にあると考えられる。
そこで、②の場合ではデータ提供者からデータの第三者提供についての同意を得るための方策が必要であり、その方策として、たとえば、提供データを加工して第三者に提供する際に、あらかじめデータ提供者に第三者へ提供するデータの内容を確認してもらい、データ提供者の秘密情報が除外されているかを確認する手続規定を設ける方法や、提供データを加工して第三者へ提供した際に得られる利益をデータ提供者に一定割合で還元することを規定することで第三者への提供についての同意を得る方法、派生データの第三者への提供について同意をしたデータ提供者については他のデータ提供者から得られたデータをデータ受領者から提供するというメリットを与える方法等が考えられる。
データ・ローカライゼーションと越境移転規制
データ・ローカライゼーションとは、たとえばインターネット上のサービス等について、当該サービスを実行する物理的なサーバはサービスを提供する国内で運用しなければならない、すなわちサービス提供に必要なデータは全て当該国内に存在しなければならないという考え方に基づくルールである 57。データ・ローカライゼーションとは観点は異にするものの、データの越境移転を制限するという意味では共通する規制として、わが国の個人情報保護法や EU のデータ保護指令 95/46/EC、一般データ保護規則(GDPR)に代表される、個人情報保護に主眼を置いた越境移転規制が存在する 58。
236 頁から 247 頁に依拠している)。
米国 | • 連邦レベルで、政府調達に関連してデータ・ローカライゼーションを義務付ける規定等がある。 • 国防連邦調達規則補足:「クラウドサービスのネットワー |
57 株式会社三菱総合研究所、「安心・安全なデータ流通・利活用に関する調査研究の請負報告書」、xxxx://xxx.xxxxx.xx.xx/xxxxxxxxxxxxxxx/xxxxxxxx/x00_00_xxxxxxx.xxx、(2 017 年 3 月)64 頁
58 米国、ブラジル、中国等は一般的・包括的な個人情報保護法はないが、分野ごとに個人情報保護の要素を含む法律が存在するため、一般的・包括的な個人情報保護法の有無のみをもって当該国へのデータの移転によって個人情報に関する漏えいのリスクが高まるとは一概には言えない。なお、日本と同等の個人情報保護レベルにあるか否かは、GDPR の十分性認定を受けている国かどうか、CBPR(Cross Border Privacy Rules。APEC 越境プライバシールールのこと。)の批准国か否かを一つの基準に検討する方法がある。
59 xxxx://xxx.xxxx.xx.xx/xxxx_xxx/xxxxxx/X00XX/000000.xxx
ク侵入報告と契約」(2015 年)において、データの国内保存を義務付け 60。 • 米国歳入庁 publication1075;連邦・州・地方自治体向け税務関連情報セキュリティガイドライン(2016 年)において、税務関連の情報システムの設置を米国内に限定 61。 • 複数の州法において、データ・ローカライゼーションの規 | |
カナダ | • 公的機関が保持する個人情報は、カナダ国内において蓄積、アクセスされる(ノバスコシア州 個人情報国際開示保護法(2006 年)65、ブリティッシュ・コロンビア州 情報の自由とプライバシー保護法(1996 年)66)。 • 公的機関が保有する文書に関し、州外への個人情報の開示、所有、利用する業務の委任に際し、州法と同等の保護の確保を義務付け(ケベック州、公的機関が保有する書類への |
インドネシア | • インドネシア国民の個人情報の海外移送を制限(2008 年電子情報および移送に関する法 68、2012 年電子システムおよび電子商取引に関するインドネシア共和国政府規則(レギ ュレーション 82)69) |
60 Federal Register, Defense Federal Acquisition Regulation Supplement: Network P enetration Reporting and Contracting for Cloud Services (DFARS Case 2013-D018), 2015.8.25, xxxxx://xxx.xxxxxxxxxxxxxxx.xxx/xxxxxxxxx/0000/00/00/0000-00000/xxxxx se-federal-acquisition-regulation-supplement-network-penetration-reporting-and-c ontracting-for, (2015.8.25)
61 Internal Revenue Service, Publication 1075 Tax Information Security Guidelines for Federal, State and Local Agencies, 2016.9. xxxxx://xxx.xxx.xxx/xxx/xxx-xxx/ p1075.pdf
62 City of Los Angeles, ‘Supplemental Report – Information Technology Agency Requ est to Enter into a Contract with Computer Science Corporation for the Replaceme nt of the City’s E-mail System’, https://xxx.xxxxxxxxxxxx.xxx/uploads/file/City% 20of%20Los%20Angeles%20and%20CSC-Google%20Contract(1).pdf, (2009.10.7)(p.72)
63 National Foundation for American Policy, NFAP Policy Brief April 2017 ‘Anti-so urcing Efforts Down but Not Out’, 2007.4., xxxx://xxx.xxxx.xxx/xxx/0000Xxxxxxxxx ngBrief.pdf
64 National Foundation for American Policy, NFAP Policy Brief April 2017 ‘Propose d Restrictions on Global Sourcing Continue at High Level in 2005’, 2005.4., htt p://xxx.xxxx.xxx/xxxxxxxxxxxxxxxxxx/xxxxxxx/Xxxxxx_Xxxxxxxx_0000X.xxx
65 カナダ法律情報機関 (CanLⅡ) ウェブサイト、xxxx://xxx.xxxxxx.xxx/xx/xx/xxxx/xxxx
/sns-2006-c-3/latest/sns-2006-c-3.html
66 ブリティッシュ・コロンビア州ウェブサイト、xxxx://xxx.xxxxxx.xx/Xxxxx/xxxxxxxx/X D/freeside/96165_00
67 ケベック州ウェブサイト、xxxx://xxxxxxxxxxx.xxxx.xx.xx/xx/XxxxXxx/xx/X-0.0
68 Law of the Republic of Indonesia Number 11 off 2008 concerning Electronic Info rmation and Transactions(インドネシア法の仮訳提供サイトによる仮訳), xxxx://xxx.x xxxxx.xxx/xx/xxxx/xxxxxxxxxxxx/XXXX%00Xxxxxx/xxxxxxx/0000_XX_00_0000_x.xxxx
69 Government Regulation No. 82 of 2012 regarding the Provision of Electronic Sys tem and Transaction (Regulation 82)(インドネシア法の仮訳提供サイトによる仮訳), h ttp://xxx.xxxxxx.xxx/xx/xxxx/xxxxxxxxxxxx/XXXX%00Xxxxxx/xxxxxxx/0000_XX_00_0000_ e.html
• 公共サービス提供事業者に対するローカルデータセンターおよび災害回復センターの国内設置を要求(2012 年電子システムおよび電子商取引に関するインドネシア共和国政府規則(レギュレーション 82)) • 電子マネー業務事業者に対するデータセンターおよび災害回復センターの国内設置を要求(2014 年インドネシア銀行通達書簡第 16 号 70) • 個人情報を取り扱う電子事業者に対するデータセンターお | |
ベトナム | • 電子メール広告提供事業者およびインターネットベースのテキストメッセージサービス提供事業者に対して、ベトナム国内へのサーバの設置を義務付け(2008 年スパム対策に関する政令 90/2008/ND-CP72) • 情報集約ウェブサイト、SNS、携帯通信ネットワーク上の情報コンテンツサービス、オンラインゲームサービス事業者への国内サーバ設置要求(2013 年インターネットサービスとオンライン情報の管理、提供、利用に関する政令第 72号/2013/ND-CP73)74 • 国内電気通信・インターネットサービスを提供する外国企業に対し現地利用者に関するデータの管理サーバのベトナム国内設置を要求(サイバーセキュリティ法案(2017 年 6 月公表)75 76) |
インド | • データ・ローカライゼーションを分野横断的に義務付ける法はない。 • 以下分野別の政策は、いずれも発効した法規制ではないが、政策またはモデルライセンスとして一定の効果を有する。 - 2015 年国家通信 M2M ロードマップ 77は、M2M ネットワ ーク構築にあたり国内にのみ設備の設置を認めてい |
70 インドネシア銀行、xxxx://xxx.xx.xx.xx/xx/xxxxxxxxx/xxxxxx-xxxxxxxxxx/Xxxxx/xx_0 61114.aspx (インドネシア語)
71 Xxxxx Xxxxxxxxxx and Xxxxxxx Xxxxx, Data Protection in Indonesia, xxxx://xxxx. xxxx.xxx/xxxxx.xxx/0000/00/xxxx-xxxxxxxxxx-xx-xxxxxxxxx-0/
72 Ministry of Information and Communications, “Decree No. 90/2008/ND-CP dated Au gust 13,2008 of the Government against spam”, xxxx://xxxxxxx.xxx.xxx.xx/Xxxxx/Xx nBan/11244/90_2008_ND-CP.html
73 Asia Internet Coalition, “Re: Formal comments on the Draft Decree Amending Dec ree 72 on the Management, Provision and Use of Internet Services and Information Content Online (Decree 72/2013-ND-CP), xxxxx://xxx.xxxxxxx.xxx/xx-xxxxxxx/xxxxx ds/2016/11/AIC-Comments-on-Decree-Amending-Decre e-72-2016_10_17.pdf
74 2016 年改正案(現在、政令にはなっていない)では、外国のオンラインゲームサービス事業者に対するオンラインゲーム支払管理システムの国内設置が義務付けられている。
75 ベトナム日本商工会「サイバーセキュリティ法」(2017 年)、xxxx://xxxx.xx/xxxxx/Xxx shikan/20170808-notification-from-embassy-japanese.pdf
76 現時点でまだ承認はされていない。
77 xxxx://xxx.xxx.xxx.xx/xxxxx/xxxxxxx/xxxxx/Xxxxxxxx%00Xxxxxxx%00X0X%00Xxxxxxx.x df
る。 - クラウドサービスプロバイダーによるクラウドサービス提供に係る暫定的候補選択に係る提案の依頼において、政府にクラウドサービスを提供する事業者はデータの国内保存義務を要件とする認証を取得しなければならないとしている。 - 通信事業者に対する統一ライセンス合意 78 79において、当局の査察に備えるために少なくとも 1 年間はインド国内の集約されたセンターにログデータを保管 する義務を負わせている。 | |
シンガポール | • シンガポールにおいて取得された個人情報が国外に移転されることについて規定をしており、移転先が、シンガポール個人情報保護法と同等の個人情報保護制度を備えていることを確認することを、情報を移転する側の義務として 規定している(データプライバシー法 80)。 |
欧州委員会 | • EU 一般データ保護規則( General Data Protection Regulation; GDPR)(2016 年)81 - EU 域内で取得した個人情報を域外に移転することを原則禁止。 - 欧州委員会が十分な保護水準を確保していると決定した第三国への移転は可能。 - 2018 年 5 月には罰則を伴う適用が開始。 |
フランス | • EU 一般データ保護規則(GDPR)が直接適用される。 • 公的業務の実施にあたってはxxxx・xxxxのみが利用可能で、データは国内で加工・保存されなければならな |
ドイツ | • データの越境移転について欧州委員会に準ずるが、個人情報・金融・テレコミュニケーション関連データのデータ移 |
78 License Agreement for Unified License, xxxx://xxx.xxx.xxx.xx/xxxxx/xxxxxxx/xxx es/Amended%20UL%20Agreement_0_1.pdf?download=1, pp 40-41
79 White Paper of the Committee of Experts on a Data Protection Framework for Ind ia, xxxx://xxx.xxxxx.xxx.xx/xxxxxxxxxxxxx/xxxxx/xxxxx_xxxxx_xx_xxxx_xxxxxxxxxx_x n_india_171127_final_v2.pdf
80 xxxxx://xxx.xxx.xxx.xx/Xxx/XXXX0000
81 Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 A pril 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/ 46/EC (General Data Protection Regulation) (Text with EEA relevance), xxxx://xxx
-xxx.xxxxxx.xx/xxxxx-xxxxxxx/XX/XXX/?xxxxXXXXX:00000X0000
82 フランス政府、「フランスアーカイブ」、xxxxx://xxxxxxxxxxxxxx.xx/xxxx/x0xxx00000 13a246583fd2dd673a0e6d0f86c039/static_9151.pdf
83 Telekommunikationsgesetz (telecommunications Act), xxxxx://xxx.xxxxxxx-xx-xxxx xxxx.xx/xxx_0000/
84 European Centre for International Political Economy (ECIPE), “The Digital Trad e Estimates (DTE) database”, xxxx://xxxxx.xxx/xxx/xxxxxxxx/
ロシア | • 2006 年個人情報保護法および同法を改正する 2014 年連邦法 242-FZ 第 18 条 585 86。 - ロシア国外への個人情報の転送は、転送先管轄区域の保護が十分だとロシア政府が認めた場合に限り、データ主体からの追加の同意が不要。 - ロシア国民の個人データは、ロシア領内に設置されたデータベースで管理することを要求。 - 通信事業者は、個人情報が格納されているサーバの場所 をロシア連邦通信局に通知する義務を負う。 |
大韓民国 | • 個人情報に関してxxな報告義務、本人の同意取得義務(個人情報保護法(2011 年)87) • 地図データ等を国外に搬出してはならない(空間データの |
中国 | • 重要情報インフラ運営者に対し、国内で収集、作成した個人情報および重要データの国内保存を要求。国務院が重要情報インフラの具体的な範囲を設定することを規定(サイバーセキュリティ法(2017 年 6 月施行)89 90 91 92 93) • 商業銀行が収集した個人情報の保護、処理および分析は中 |
85 Roskomnadzor, Federal Law of 27 July 2006 N 152-FZ ON PERSONAL DATA, xxxxx://x x.xxx.xxx.xx/xxxxxxxxx/x000/x000/
86 RUSSIAN FEDERATION FEDERAL LAW PERSONAL DATA No.152-FZ, xxxxx://xxxx.xxx/xxxxx
/pdf/knowledge_center/Russian_Federal_Law_on_Personal_Data.pdf
87 Korean LII, Personal Information Protect Act, xxxx://xxxxxxxxx.xx.xx/x/xxxxxx/ 0/0e/KoreanDPAct2011.pdf
88 Korea Legislation Research Institute, ACT ON THE ESTABLISHMENT, MANAGEMENT, ET
C. OF SPATIAL DATA, xxxxx://xxxx.xxxx.xx.xx/xxx_xxxxxxx/xxxXxxx.xx?xxxxx00000&xx ng=ENG
89 Ministry of Industry and Information Technology of the Republic of China(中华
人民共和国工业和信息化部)、「中华人民共和国网络安全法」、xxxx://xxx.xxxx.xxx.xx/x 1146295/n1146557/n1146614/c5345009/content.html 、(2016 年 11 月 7 日)(中国語)
90 北大法宝、xxxx://xxx.xxxxxxxxxxxx.xxx/xxxxxxx.xxxx?xxx00000&xxxxxxx (中国語、英
語)
91 ジェトロ北京事務所「中国『インターネット安全法』に基づく企業コンプライアンスについて」、xxxxx://xxx.xxxxx.xx.xx/xxx_xxxxxx/_Xxxxxxx/00/0000/0000x0x000000000/xx rp-201711.pdf、(2017 年 11 月)
92 ジェトロ中国北アジア課、「インターネット安全法が施行、外国企業にも中国基準を適用」、xxxxx://xxx.xxxxx.xx.xx/xxxxxxx/0000/00/0xx0x0000xx00x0x.xxxx、(0000 年 6 月 19 日)
93 xx法律事務所仮訳、「インターネット安全法(日本語訳)」、xxxxx://xxx.xxxxx.xx.xx
/ext_images/world/asia/cn/law/pdf/others_005.pdf
94 The State Council The People’s Republic of China(中華人民共和国中央人民政府)、
「中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知」、xxxx://xxx.xxx. cn/gongbao/content/2011/content_1918924.htm、(2011 年 1 月 21 日)(中国語)
95 北大法宝、xxxx://xxx.xxxxxxxxxxxx.xxx/xxxxxxx.xxxx?xxxxxxx&xxx0000&XXxxx (中国
語、英語)
• オンライン出版に関してサーバやストレージは中国国内に設置しなければならない(オンライン出版サービス管理規定(2016 年 3 月施行)96 97)。 • オンラインタクシーにおけるユーザデータは国内サーバに | |
オーストラリア | • 政府の委託を受けて国民の健康・医療情報を扱う民間運営事業者に、当該情報の中心的な運営および管理は国内に設置する義務を課すとともに、データの国外保持、国外持ち |
欧州委員会との関係では、データ保護指令 95/46/EC 同様、2018 年 5 月 25 日に施行された EU 一般データ保護規則(GDPR)に、引き続き留意が必要である。個人データを EU 域内から第三国等へ域外移転させる場合、①欧州委員会による十分性認定がなされている第三国等への移転であるか
(GDPR45 条)102、または②欧州委員会による十分性認定がなされていな
96 Ministry of Industry and Information Technology of the Republic of China(中华
人民共和国工业和信息化部)、「网络出版服务管理规定」、xxxx://xxx.xxxx.xxx.xx/x0000 290/n4388791/c4638978/content.html、(2016 年 2 月 4 日)
97 北大法宝、xxxx://xxxxxxxxxxxx.xxx/xxxxxxx.xxxx?xxx00000&xxxxxxx (中国語、英語)
98 Ministry of Industry and Information Technology of the Republic of China(中华
人民共和国 工业和信息化部)、「网络预约出租汽车经营服务管理暂行办法」交通运输部、
工业和信息化 部、公安部、商务部、工商总局、质检总局、国家网信办令、xxxx://xxx.xxx x.xxx.xx/x0000000/x0000000/x0000000/x0000000/xxxxxxx.xxxx、(0000 年 7 月 14 日)(中国語)
99 北大法宝、xxxx://xxxxxxxxxxxx.xxx/xxxxxxx.xxxx?xxx00000&xxxxxxx (中国語、英語)
100 Privacy fact sheet 17: Australian Privacy Principles (xxxxx://xxx.xxxx.xxx.xx
/individuals/privacy-fact-sheets/general/privacy-fact-sheet-17-australian-privac y-principles)
101 Federal Register of Legislation, Australian Government, My Health Records Act 2012, xxxxx://xxx.xxxxxxxxxxx.xxx.xx/Xxxxxxx/X0000X00000
102 現時点で日本は十分性認定を受けていない。しかし、2018 年 5 月 31 日、個人情報保護委員会xx委員と欧州委員会ヨウロバー委員が、日 EU 間の個人データ移転について会談を行い、可能な限り早期に、個人情報保護法第 24 条に基づく個人情報保護委員会による EUの指定及び GDPR 第 45 条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意している(xxxxx://xxx.xxx.xx.xx/xxxxxxxxxxx/xxx peration/cooperation/300531/)。並行して、「個人情報の保護に関する法律についてのガイドライン(EU域内から十分性認定により移転を受けた個人データの取扱い編)(案)」のパブリックコメントの募集が、2018 年 5 月 25 日まで行われ、確定版の準備が進められている。(xxxxx://xxx.xxx.xx.xx/xxxxxxxxxxx/xxxxxxxxxxx/xxxxxxxxxxx/XXXX/)
い第三国等への移転の場合は、⑴適切な保護措置(管轄監督当局の個別承認を必要としないもの。典型的には、標準データ保護条項等)に基づく移転であるか(GDPR46 条 1 項)、もしくは⑵データ主体による明示的な同意等の例外事由が認められなければならない(GDPR49 条)。そして、これらの規制に違反して個人データを域外移転させた場合、最大で 2000万ユーロ以下、または事業者である場合は前会計年度の全世界年間売上高の 4%以下のいずれか高い方が制裁金として課される可能性がある
(GDPR83 条 5 項)。この制裁金は、データ保護指令 95/46/EC には定められていなかったものであり、また非常に高額であるため、EU 域内からの個人データの移転にあたっては慎重な対応が必要である。
外為法(外国為替及び外国貿易法(昭和 24 年法律第 228 号))について
日本では、外為法に基づき、武器、核兵器等、軍事転用可能な汎用品およびそれらに関する技術が安全保障上懸念のある国家やテロリストの手に渡ることを防ぐ目的で、輸出管理が行なわれている。
技術に関して、具体的には、兵器の開発等に用いられる技術またはxx品にも用いられる機微な技術を、外国為替令別表に定めている(以下「リスト技術」という。)。リスト技術を、外国にて提供する場合や、居住者が非居住者(外国人等)に提供する場合には、経済産業大臣による許可が必要となる(リスト規制という)。
リスト技術でない場合であっても、提供する技術が核兵器等や通常兵器の開発等に用いられるおそれがある場合には、経済産業大臣による許可が必要となる(キャッチオール規制という)。
このため、技術の一形態である技術データ等の越境移転に際しては、外為法上の規制内容を確認の上、同法を遵守する必要がある。特に、技術は一旦提供されてしまえば、元に戻すことが難しいことが多いこともあり、その管理には十分な注意を払う必要がある。
なお、リスト規制やキャッチオール規制に該当する技術データを、国内において、居住者が非居住者に技術を提供することを目的とする取引は、国内で行われる場合であっても規制の対象となる。
準拠法
海外企業との取引において日本法を準拠法とする合意をしておけば、日本の弁護士に依頼することができコミュニケーションの負担がなく、紛争の結論の見通しがつきやすくなるというメリットがあるため、準 拠法を日本法とする合意をしておくことが望ましい。
もっとも、準拠法を定めれば、紛争解決に適用されるルールの選択として十分になるわけではなく、選択する紛争解決手段次第では、当事者間の合意による準拠法の選択が無効とされたり、制限されたりすることがある。たとえば、裁判による紛争解決を選択するのであれば、その適用法は、原則として、裁判所の所在国の国際私法の定めに従って決定され、当事者による準拠法の選択を認めない国もある。このような場合には、希望する法の適用を受けるために、裁判外の手続(たとえば、国際商事仲裁)等を選択することも検討に値する。
とりわけデータ取引との関係でいえば、仮に、準拠法を日本法にし
たからといって、前記のデータ・ローカライゼーションおよび越境移転規制に関する各国の規制を逃れられることにはならないと考えられるので、留意が必要である。
裁判管轄(紛争解決手段)
日本の裁判所で裁判を行う方が手続の負担や見通しの立てやすさの点からメリットがあるため、日本の裁判所を専属的合意管轄としておくことが考えられる。
しかし、海外企業に対して日本の裁判所で裁判を提起して判決を得ても、相互承認等の問題で判決を執行することが難しいことも多いため、紛争解決手段を裁判ではなく仲裁にするということも多い。そして、紛争解決手段として仲裁を選択する場合、仲裁人の数、仲裁地、仲裁言語等についても定めることが多い。国際商事仲裁の場合、多くの国で「外国仲裁判断の承認及び執行に関する条約」(いわゆるニューヨーク条約。昭和 36 年 7 月 14 日条約第 10 号。)を批准しているため、他国で得た仲裁判断を容易に承認・執行することができるというメリットがある。もっとも、仲裁の場合、①仲裁の費用として仲裁人の報酬の支払いが必要になるが、特に仲裁人が 3 人の場合等は高額になり得ること、②仲裁は一審のみであり上訴できないことといったデメリットもあるので注意が必要である。
データ提供型契約の相手方が海外企業であり、提供データが海外に移転する場合、日本の法律を準拠法にするのか、当該外国法にするのかは、当該国のデータ保護に関する法律の内容を検討したうえで、より有利なものを準拠法として定めるという考え方もあり得る。
103 本表は、MUFG 三菱 UFJ リサーチ&コンサルティング「平成 29 年度産業経済研究委託事業 海外におけるデータ保護制度に関する調査研究 調査報告書」、xxxx://xxx.xxxx.xx. jp/meti_lib/report/H29FY/000807.pdf、(平成 29 年 11 月)8 頁より抜粋した。
「個人情報」とは、①生存している個人に関する情報のうち、②⑴特定の個人を識別することができるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができるものを含む)、または⑵個人識別符号が含まれるものをいう(個人情報保護法 2 条 1 項)。
104 独立行政法人等が取り扱う個人情報については、独立行政法人等の保有する個人情報の保護に関する法律(平成 15 年法律第 59 号)が適用される。また、個人情報保護法 76 条 1
「個人データ」に該当するためには「個人情報」に該当することが前提となり、「特定の個人を識別することができるもの(他の情報と容易に照合することができ、それによって特定の個人を識別することができるものを含む)」であるものが「個人情報」に該当することになる。一方、複数人の情報から共通要素に係る項目を抽出して集計して得られるデータであり個人との関係が排斥されている「統計情報」の場合には、個人情報保護法に基づく規制に沿った対応は不要になる
105。
たとえば、自動車のドライブレコーダー等の自動車に備え付けられた機器を経由して取得される車両情報、運転情報、位置情報等の情報が、その運転者の情報(運転者 ID 等)と結び付いて特定の個人を識別できる情報であれば「個人データ」に該当し得る一方、その情報を集計し個人との関係を持たない(排斥した)形で、交通事故が発生しやすい場所や交通渋滞が発生しやすい場所を特定し、それをまとめた情報にすぎない場合は「統計情報」にあたり、個人情報保護法に基づく規制に沿った対応は不要になるものと考えられる(ユースケース 3 参照)。
提供データに「個人データ」が含まれる場合、提供データを第三者に提供する際に、前記のとおり、原則として、あらかじめ本人の同意を取得する必要がある(個人情報保護法 23 条 1 項)。
ただし、個人データの移転が、①委託による場合、②事業承継による場合、③共同利用による場合は、当該受領者は「第三者」にあたらないとされている(個人情報保護法 23 条 5 項 1 号ないし 3 号)。
また、①法令に基づく場合(個人情報保護法 23 条 1 項 1 号)、②人
(法人を含む。)の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき(同条項 2 号)、
③公衆衛生の向上または児童の健全な育成の推進のために特に必要が ある場合であって、本人の同意を得ることが困難であるとき(同条項 3 号)、④国の機関若しくは地方公共団体またはその委託を受けた者が 法令の事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれが あるとき(同条項 4 号)は、個人データの第三者提供に際し、あらか じめ本人の同意を得ることは不要である。
なお、一般的な個人データであれば、「オプトアウト」の方式による第三者提供が認められている(個人情報保護法 23 条 2 項)が、要配慮個人情報の場合、「オプトアウト」の方式による第三者提供が認められない点には留意が必要である。
項各号において、たとえば、大学その他の学術研究を目的とする機関若しくは団体またはそれらに属する者が学術研究の用に供する目的で個人情報を取り扱う場合等が、個人情報保護法に基づく規制の適用除外とされている。
105 個人情報保護委員会・前掲注 32「個人情報の保護に関する法律についてのガイドライン
(匿名加工情報編)」4~5 頁参照。
提供データに個人データが含まれている場合に、それを加工することによって柔軟な利活用をするための手法として、データを匿名加工することが考えられる。その一つの例として、個人情報保護法に基づく「匿名加工情報」の枠組みを活用することが可能である。匿名加工情報とは、個人情報保護法 2 条 9 項各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
匿名加工情報の制度は、本人の同意に代わる一定の条件の下、パーソナルデータを自由に利活用するために設けられたものであり 106、匿名加工情報を作成したときは、匿名加工情報の作成後遅滞なく、当該匿名加工情報に含まれる個人に関する情報の項目を公表しなければならず(個人情報保護法 36 条 3 項)、また、匿名加工情報を第三者に提供するときは、①あらかじめ第三者に提供される匿名加工情報に含まれる個人に関する情報の項目およびその提供の方法について公表するとともに、②提供先の第三者に対して、提供された情報が匿名加工情報であることを明示しなければならない(個人情報保護法 36 条 4 項)。
匿名加工の方法については、個人情報保護法 36 条に基づいて「個人
情報の保護に関する法律施行規則(平成 28 年 10 月 5 日個人情報保護
委員会規則第 3 号)」第 19 条に匿名加工情報の作成の方法に関する基準が定めされており 107、このほか、個人情報保護委員会のガイドライン 108等が参考になる。匿名加工情報の作成に際しては、ID や氏名等を削除しただけでは「個人を識別することができないように個人情報を加工」したとはいえない場合や、ID、氏名、生年月日等の情報を削除したとしても、他の情報(たとえば、購入商品、購入日時、場所、性別等)から個人を識別できれば「個人を識別することができないように個人情報を加工」したとはいえないとされる場合もあり得る。このように、匿名加工の方法やその程度には事案ごとの判断が要求されることから匿名加工には一定の困難も伴うことに留意する必要がある。
また、前記第 4-2-⑷で述べたように、提供データを匿名加工して第三者提供することが個人情報保護法に違反しないとしても、データ提供契約における目的外利用禁止の規定等に違反することはあり得るため、匿名加工情報を第三者に提供する際には、契約条項を慎重に検討する必要がある。
なお、加工を行うことによって、前記の「統計情報」にまで至った場合には、特定の個人との紐付きは完全に失われるため「匿名加工情報」にも該当せず、前記のとおり個人情報保護法に基づく規制に沿った対応は不要になる。
106 xxxx編著「一問一答 平成 27 年改正個人情報保護法」(平成 27 年 12 月)39 頁
107 xxxxx://xxx.xxx.xx.xx/xxxxx/xxx/000000_xxxxxxxx_xxxxxxxxxxxxxxx.xxx
108 個人情報保護委員会・前掲注 32「個人情報の保護に関する法律についてのガイドライン
(匿名加工情報編)」
a 外国にある第三者へ個人データを提供する場合
事業者が個人データを外国にある第三者に提供する場合には、原則として、「外国にある第三者への個人データの提供を認める」という本人の同意を取得しなければならない(個人情報保護法 24 条)。もっとも、①提供先の第三者が、日本と同等の水準にあると認められる個人情報保護制度を有している国として個人情報保護法施行規則で定める国にあたる場合 109、②提供先の第三者が、個人情報取扱事業者が講ずべき措置に相当する措置を継続的に講ずるために必要な体制として個人情報保護法施行規則11 条で定める基準 110に適合する体制を整備している場合、③個人情報保護法 23 条 1 項各号の例外事由に該当する場合には、「外国にある第三者への個人データの提供を認める」という本人の同意は不要である。
「外国にある第三者」にあたるか否かについては、法人格を基準にするので、日本企業が、外国の子会社に対して個人データを提供することは「外国にある第三者」への個人データの提供にあたるが、日本企業が、外国の支店や事務所等同一法人格内で個人データを提供することは「外国にある第三者」への個人データの提供にあたらない 111。
また、外国の法令に準拠して設立され外国に住所を有する外国法人であっても、当該外国法人が「個人情報取扱事業者」に該当する場合には、「外国にある第三者」には該当しない。そのため、たとえば、日本企業が外資系企業の東京支店に個人データを提供する場合、当該外資系企業の東京支店は「個人情報取扱事業者」に該当し、
b 外国にある者から個人データの提供を受ける場合
外国にある者から個人データの提供を受ける場合、当該国の法律が適用され、当該国の法律に沿った対応が必要となる。そのため、たとえば、ある機械を販売して、その機械に取り付けたセンサから個人情報を含む機械の稼働情報を取得する場合において、当該機械
109 現時点で個人情報保護法施行規則において、日本と同等の水準にあると認められる個人情報保護制度を有している国は定められていない(個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(外国にある第三者への提供編)」、xxxxx://xxx.x xx.xx.xx/xxxxx/xxx/xxxxxxxxxx00.xxx、(平成 28 年 11 月)2 頁)。ただし、個人情報保護委員会と欧州委員会との間で、個人情報保護法第 24 条に基づく個人情報保護委員会による EU の指定及び GDPR 第 45 条に基づく欧州委員会による日本の十分性認定に係る手続を完了させるための作業を加速することに合意している(前掲注 102 参照)。
110 次のいずれかに該当すること
① 個人情報取扱事業者と個人データの提供を受ける者との間で、当該提供を受ける者における当該個人データの取扱いについて、適切かつ合理的な方法により、法第 4 章第 1 節の規定の趣旨に沿った措置の実施が確保されていること。
② 個人データの提供を受ける者が、個人情報の取扱いに係る国際的な枠組みに基づく認定を受けていること。
111 個人情報保護委員会・前掲注 109・5 頁
112 個人情報保護委員会・前掲注 109・5 頁
が外国に販売され、当該外国に設置された機械のセンサから個人情報を含む機械の稼働情報を直接取得するような際には、その機械が設置された当該外国の個人情報に関する法制度について留意が必要である(ユースケース 4 参照)。
前記第 4-2-⑸-①で述べたように、諸外国の法令において、個人データの越境移転が規制されている場合は珍しくなく、また個人情報の範囲も国により異なり得るので、各国の法令に沿った対応をすることは極めて重要である。
3 データ流通を阻害する原因とその対処法
提供データの利活用がノウハウの流出につながるとの懸念とその対処
法
前記第 3-2 で述べたように、データ提供者は提供データに含まれる自
社の営業秘密・ノウハウがデータの提供に伴って社外に流出してしまうという懸念をもち、そのことがデータ流通を阻害している原因になっているといえ、前記第 3-2 で述べたように、契約、不正競争防止法、民法、不正アクセス禁止法等による法的保護、および、提供データの安全性を担保する技術的手段等により、提供データに含まれる営業秘密・ノウハウを守りつつ、データを流通させることが可能になる。
前記第 3-3 で述べたように、データの価値算定の困難性がデータの流
通を阻害している面があるが、前記第 3-3 で述べたように、データを利用した価値の試験的検証の考え方を用いる等して、データの価値を適切に算定する方法があり得るので、そのような手法を積極的に採り入れることも検討に値する。
4 適切なデータ提供型契約の取決め方法
データ提供型契約においては、以下のような内容について契約で定めるかを検討しておくことが望ましい。その具体的な条項例については、第 7のデータ提供型契約書のモデル契約書案を参照されたい。
⑴ データ等の定義
□提供データの定義
□派生データの定義
□契約の目的
⑵ 提供データの内容・提供方法
① 提供データの内容
□提供データの対象(提供データの概要)
□提供データの項目
□提供データの量
□提供データの粒度
□提供データの更新頻度
② 提供データの提供方法
□提供データの提供形式(紙/電子ファイル、電子ファイルのときのファイル形式)
□提供データの提供手段(電子メールで送付、サーバからのダウンロード、サーバへのアクセス権の付与、記録媒体にデータを記録させて返送)
□提供データの提供頻度
□提供データの提供方法(提供形式、提供手段、提供頻度)の変更方法
⑶ 提供データの利用許諾等
□データ提供型契約の類型(利用許諾、譲渡、共同利用)
□提供データの第三者提供等の禁止
□提供データの目的外利用の禁止
□提供データの本目的以外の目的での加工、分析、編集、統合等の禁止
□提供データに関する知的財産権の帰属
□提供データの利用許諾の場合、独占/非独占
⑷ 対価・支払条件
□提供データの対価の金額あるいはその算定方法
□提供データの対価の支払方法
⑸ 提供データの非保証
□提供データに関する第三者の権利の非侵害の保証/非保証
□提供データの正確性・完全性についての保証/非保証
□提供データの安全性(提供データがウイルスに感染していないか)についての保証/非保証
□提供データの有効性、本目的への適合性についての保証/非保証
□提供データに関する第三者の知的財産権の非侵害の保証/非保証
⑹ 責任の制限等
□データ受領者に提供データの開示、内容の訂正、追加等の権限を与えない
□提供データに関連して生じた第三者との紛争の対応責任(契約に違反しない態様での利用の場合/契約に違反した態様での利用の場合)
□データ提供者が賠償責任を負う場合の上限額
⑺ 利用状況
□データ受領者が契約に従った提供データの利用をしているか否かの報告
□データ受領者が契約に従って提供データの利用をしているか否かについてのデータ提供者の監査
□監査の結果、提供データが契約に従った利用がなされていないことが発覚したときの追加の対価等の支払い
⑻ 提供データの管理
□提供データと他の情報との区分管理
□データ受領者のデータ管理に関する善管注意義務
□提供データの管理状況についての報告要求、是正要求
⑼ 損害軽減義務
□データ受領者が提供データの漏えい等が発覚した際の通知義務
□データ漏えい等が生じた場合のデータ受領者の再発防止策等の検討および報告義務
⑽ 秘密保持義務
□秘密情報の定義
□秘密保持義務の内容とその例外
□秘密保持義務が契約終了後も存続すること、およびその存続期間
⑾ 派生データ等の取扱い
□派生データの利用権限の有無
□提供データのデータ受領者の利用に基づいて生じた知的財産権の帰属
□提供データのデータ受領者の利用に基づいて生じた知的財産権の、データ提供者の利用権限
□派生データのデータ受領者の利用に基づいて生じた知的財産権を利用して得られた利益の分配
⑿ 有効期間
□契約の有効期間
□契約の自動更新
⒀ 不可抗力免責
□(一般的な不可抗力免責事由に加えて)停電、通信設備の事故、クラウドサービス等の外部サービスの提供停止または緊急メンテナンスも不可抗力事由とするか否か
⒁ 解除
□(一般的な契約解除条項で足りる)
⒂ 契約終了後の措置
□契約終了後の提供データの廃棄・消去
□提供データの廃棄・消去証明書の提出
⒃ 反社会的勢力の排除
(一般的な反社会的勢力排除条項で足りる。たとえば、警察庁が示した暴力団排除条項モデル 113等)
⒄ 残存条項
□契約終了後も存続させるべき条項について過不足はないか
113 警察庁、暴力団対策、xxxxx://xxx.xxx.xx.xx/xxxxxx/xxxxxxxxxxxx/xxxxxxxxxxx.xxxx
⒅ 権利義務の譲渡禁止
(一般的な権利義務の譲渡禁止条項で足りる)
⒆ 完全条項
(一般的な完全合意条項で足りる)
⒇ 準拠法
□準拠法としてどの国、州等の法律を選択するか
(21) 紛争解決
□合意管轄として、裁判・仲裁のいずれを選択するか
□裁判地・仲裁地としてどこを選択するか
第5 「データ創出型」契約(複数当事者が関与して創出されるデータの取扱い)
1 構造
本ガイドライン(データ編)において、「データ創出型」契約とは、複数当事者が関与することにより、従前存在しなかったデータが新たに創出されるという場面において、データの創出に関与した当事者間で、データの利用権限について合意する場合を対象とする。本類型の対象には、たとえば、センサ等によって検知されるいわゆる生データ 114が含まれるほか、そのようなデータを加工、分析、編集、統合等(以下、本章では「加工等」とする)することによって得られる派生データも含まれる。
想定されるケースの具体例として、以下のようなものがある。なお、契約形態としては、本ガイドライン(データ編)では当事者間での相対取引を想定しているが、後記ケース 1 のような事例や一般消費者を当事者とする事例等では、利用規約や約款による場合もあり得る。
ケース 1
工作機械の製造業者 A は、顧客(B1、B2・・)の工場に納入した工作機械にセンサを設置し、センサから取得した工作機械の稼働データを分析することを計画している。稼働データは、そのデータを取得した工作機械を使用している顧客に対して、工作機械の利用に関するアドバイスや保守等のアフターサービスを行う際に利用される。さらに、A は、顧客の各工場にて取得したデータを分析し、生産性を向上させる使用方法をベスト・プラクティスとして各顧客に提供することを検討している。また、A は、そのようなデータの分析結果を自社の工作機械製品の活用のために利用することも検討しているほか、将来的には、稼働データを統計化した情報を第三者に販売することも構想している。
図 4:ケース 1
創出に関係する当事者:工作機械の製造業者 A
工作機械の使用者 B1、B2・・問題となるデータ:工作機械の稼働データ
前記の稼働データの分析データ
114 後記第 6 および本ガイドライン(AI 編)第 2-3-⑵-①と異なり、ここでは、従前存在せず、新たに創出されたデータのことを「生データ」と呼んでいる。
ケース 2
長距離バス路線の運航をしているバス会社 A は、バス運転手の過重労働が社会問題化したことをきっかけに、労働環境改善のための対策として、従業員に対して、勤務中にウェアラブル端末を装着させ、勤務中のバイタルデータ(体温、心拍数、発汗等)を取得して、これらのデータに基づいて従業員の健康管理を行うことにした。具体的には、A はヘルスケアサービスを展開する B と共同してウェアラブル端末を開発し、端末から取得した従業員(C1、C2・・)のバイタルデータをリアルタイムで監視し、体調が悪化したり疲労が蓄積したりしている従業員について、警告を出すというシステムを予定している。また、このシステムから取得された各従業員のバイタルデータは、B の管理するシステムに蓄積され、B が分析をすることで、全社的な健康管理施策の立案および助言を行うことも予定している。さらに、B は、このサービスを通じて得たバイタルデータを加工して、自社の展開している別の健康管理サービスに利用することができないかと考えている。
図 5:ケース 2
創出に関係する当事者:バス会社 A
ヘルスケアサービス提供事業者 B
A の従業員(バス運転手)C1、C2・・問題となるデータ:従業員のバイタルデータ
前記データの分析データ
ケース 3
大手物流業者 A は、全国に多数の配送拠点や倉庫を有し、多数の運送車両を保有して、常時全国の道路で走行させている。A は、気象予報および気象データやニュースの配信等を行っている B に対して、各拠点施設や運送車両に B の開発した環境センサを設置し、これらの環境センサから得られた気象データに基づいた気象予測を行うことを依頼しようとしている。A は、これらの情報を用いて、自社の運送効率の向上を図ることを計画しているが、この事業で得られる気象予測は、従来よりも高い精度のものとなることが見込まれるため、これらの情報を第三者へ販売することで、新規の収益事業とすることも計画している。な
お、A は、自社の協力会社(C1、C2・・)に、運送車両へのセンサの設置を依頼することも計画している。
図 6:ケース 3
創出に関係する当事者:物流業者 A
気象予測サービスの提供会社 B A の協力会社 C1、C2・・・
問題となるデータ:環境センサから得られた気象データ(気温、湿度、気圧、風速等)
前記データの分析によって得られる気象予測データ
データ創出型契約を締結する際に生じる主な課題として、以下のものがある。
データ創出に複数の当事者が関与するが、利用権限の調整ルールが明確ではないこと
たとえば、ケース 1 では、工作機械を実際に稼働させている顧客(B1、 B2・・)が稼働データに関する利用権限を有すべきであると考えることもできる。他方で、センサの設置について企画し、取得するデータの種類や項目を立案した A が、稼働データの利用権限を有すべきであると考えることもできる。また、センサから取得された生データを分析して得られた派生データの利用権限をどのように定めるかは、生データの利用権限とは別個の問題として検討しなければならないが、その利用権限の定め方についても、明確な基準があるわけではない。このように調整ルールが明確ではないことから、当事者間のxx性をいかに確保するかが課題となる。
データの創出がなされる場合でも、その利用方法が必ずしも明確ではない場合が多いこと
IoT 技術の普及等により、データの創出や蓄積が進んでいるものの、そのように創出されるデータの利用方法について、当事者間で明確なイメージが共有されていない場合も少なくない。また、データは加工等の仕方により大きな価値が生じることがあるが、どのような価値が生じるかは契約締結段階で明確ではない場合が多い。したがって、収益や費用について、どのような基準で分配すべきかを合意するのも容易ではない。
創出されるデータに個人情報が含まれる場合、第三者に当該データを提供するためには原則として本人の同意を要する等の個人情報保護法の規制が適用される。また、個人情報に該当しない場合でも、利用方法等によっては個人のプライバシー権の侵害となる場合もあり得る
115。
2 データ創出型契約における主な法的論点 当事者間で設定すべき利用条件
取引に関連して創出されるデータ(対象データ)を明確にし、各対象データについて、当事者間で利用条件を定めていくことになるが、当事者間で合意をしておくことが望ましい条件として以下のものがある。
項目 | 定めるべき事項 |
対象データの範囲 | • 取引に関連して創出されるデータ(対象データ)の一覧表を作成する等して、対象データの範囲の明確化を図ること。 • 前記の一覧表から漏れたデータ等、明確に利用権限が合意されなかったデータについて、当該データの利用権限の定め方を規定しておくこと。 • 必要に応じて、営業秘密やノウハウを除去または希薄化できる程度にデータの粒度を粗くし、取得 するデータの範囲・内容を限定すること。 |
利用目的 | • 利用目的を定めることにより、対象データの利用権限の範囲を明確にすること(たとえば、特定の事業領域での利用に限定する、当事者において既に決まっている研究開発契約での利用に限定する |
115 なお、パーソナルデータ(パーソナルデータの詳細については、前記第 3-1-⑶-②参照)に由来してデータ創出を行う場面(たとえば、心拍数や血圧等のヘルスケアデータを測定して収集するケース)では、当該データが、パーソナルデータの主体たる本人の行動が生み出すデータであることを踏まえ、データ主体たる本人のコントロールが及ぶべきであるとする考え方がある。また、個人情報の場合には個人情報保護法を遵守する必要がある。この場合、データに対する本人のコントロールをどのように及ぼすことを認めるか、たとえば、ヘルスケアデータであれば、測定したデータ自体のみならず、測定したデータを加工等して作られたデータについてコントロールすることを可能とするか整理が必要となる場合がある。とりわけ、データの対象となる情報の種類が、個人情報保護法における要配慮個人情報のように、慎重な取扱いが求められるものに関しては、法令に基づき適切に取り扱う必要がある。
等)。 | |
加工等の可否と派生データに対する利用権限 | • 対象となるデータの加工等の可否およびその方法を定めること。 • 加工等により創出される派生データに対する利用 権限について定めること。 |
データ内容および継続的創出の保証/非保証 | • データの内容の正確性等(前記第 4-2-⑵参照)について保証することまたは保証しないことについて合意をすること。 • データに個人情報が含まれる場合には、個人情報保護法を遵守し必要とされる手続が履践されていることを保証すること(利用目的、第三者提供の同意(または、業務委託・共同利用)の内容、確認記録義務の内容等)。 • データが継続的に創出され、データの量が確保さ れることについて、保証をすることまたはしないことについて合意をすること。 |
第三者提供の制限 | • 第三者に対するデータの提供の可否。 • 第三者へのデータの提供ができる場合には、その際に第三者に課される条件。 |
収益および費用の分配 | • 対象データを第三者提供すること等により収益を 得る場合、収益および費用の分配を定めること。 |
管理方法・セキュリティ | • データの性質やリスクに即して、具体的なデータ の保存先や管理方法等を定めること。 |
利用期間 | • 利用できる期間を定めること。 |
利用地域 | • データを利用できる国・地域を定めること。 |
契約終了時のデータの 取扱い | • 利用期間が終了した後に、派生データを含めて、 削除または返還を要するかを規定すること。 |
準拠法・裁判管轄 | • 契約に適用される法律および裁判管轄を合意する こと。 |
データの利用権限を定めるにあたっては、そもそも当該取引に関連して、どのようなデータが創出され、合意の対象となるのかを、当事者間で明確にすることが重要である。特に、消費者や中小企業が契約当事者である場合には、当該取引においてどのようなデータが創出(収集)され、どのように利用権限が分配されるかについて共通の認識をもつことは、より重要性が高い。たとえば、ケース 1 の工作機械の稼働データは、その内容を分析することによって B1 らの製造ノウハウや生産水準等を推測することができる可能性があるが、このような場合に、B1 らはいつどのようなデータが測定され、工作機械メーカである A に提供されているかを認識できていない場合も少なくない。
具体的な方法として、利用権限について協議を開始する前の段階で、創出されるデータを一覧化してカタログ化することが有益である。具体的なカタログの形式については、本章末尾のカタログの作成例((参考)データカタログ)を参照されたい。このようなカタログを作成する目的は、当事者間での誤解や不意打ちを避け、のちの紛争を防止することにあるため、カタログには、可能な限り漏れなく、かつ、重複をすることなく対象データを列挙することが望ましい。
なお、創出されるデータの全てを列挙し、それぞれについて明確な利用権限を定めることが現実的には難しい場合や、列挙対象から一部のデータが漏れる場合もあり得る。このような、利用権限の明確な合意ができていないデータについては、データに事実上アクセスできる当事者が自由な利用をすることができるとすることが必ずしも望ましいとは限らないことから、そのような場合に備え、いずれかの当事者に利用権限を与える、または、当事者間の協議により利用権限を定めるという内容のバスケット条項を設けることも合理的である。
対象データの範囲と関連して、データから営業秘密やノウハウが流出する可能性を低減するために、創出されるデータの粒度を粗くし、または、範囲・内容を限定することが考えられる。また、対象データが個人に関するものである場合、一部の情報をあえて収集しないことで、個人情報に該当することを避け、また、当該個人のプライバシー権に対する侵害となることを回避するということが考えられる。
たとえば、別添 2 のユースケース 3 のリース会社は、自動車の走行 に関する各種データを取得し、その中には車両の位置情報等も含まれ るが、このように取得される各種データによりドライバー個人を識別 することができる場合(他の情報と容易に照合することができ、それ によりドライバー個人を識別することができる場合を含む)には、当 該データは、ドライバー個人の個人情報に該当することになる。すな わち、当該データそのものが、ドライバーの氏名等の特定の個人を識 別できる情報と紐付いていないとしても、仮に、車両の位置情報その ものや他の容易に照合できる情報から、ドライバー個人を識別できる 場合には、当該走行データは、ドライバー個人の個人情報に当たるこ とになる。一方、出発時と到着時からそれぞれ一定の時間については 位置情報を削除し 116、車両が幹線道路を走行しているときにのみ位置 情報を取得することでドライバー個人を識別できないようにするなど、個人情報保護法上の匿名加工情報となるように加工することにより、 個人情報の取扱いよりも緩やかな規律の下で第三者に提供することが 考えられる。
もっとも、データの加工等は、データの有用性にも影響し得るものであり、データの利用の観点とデータ保護の観点を踏まえたバランス
116 個人情報保護委員会・前掲注 32「匿名加工情報 パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」58 頁以下参照。
の良い検討が求められるところである 117。
データの利用目的を定め、その利用目的の範囲外の利用を制限するという条件である。利用目的の設定は、データ創出に関するビジネスモデル全体に関わるものであり、第 1 から第 3 で説明した基本的視点に沿って、利用の促進とデータを秘匿する必要性の両面から評価をするのが望ましい。データの秘匿の必要性の観点から、当事者の事業と競合する事業での利用を禁じる等、具体的なリスクを想定しつつ明確化を図ることが望ましいが、他方で、データの利用促進の観点からは、過度に詳細な記載をすることで、当該ビジネスを阻害するものとならないようにしなければならない。
たとえば、ケース 1 では、「利用目的」を、工作機械の利用方法に関するノウハウやツールの開発および B1 に対するサービスの提供のために利用すること等とし、ケース 2 では、「利用目的」を、従業員の健康管理の実施および労務環境の改善策の立案のため等とすることが考えられる。また、ケース 3 では、「利用目的」を、収集したデータに基づく気象予測の実施等とすることが考えられる。
加工等および派生データの利用権限 加工等の方法の制限
創出されたデータは多くの場合、何らかの加工等をされ、事業のために用いられることになる。このような加工等の方法については、統計学等の知見に基づく高度な処理が行われることがあり、新しく開発された手法を用いることで、既存のデータから大きな価値を引き出すことができる場合もある。このように、新しい分析手法の開発を促すことに合理性があるため、契約において分析手法を限定しないのが望ましいが、当事者の予期せぬ態様での利用を防ぐために、特定の方法での加工等のみを認めるとすることもあり得る。特に、個人情報については、匿名加工情報とすることにより、本人の同意を得ずに第三者に提供することも考えられるところ、情報の性質によっては、匿名加工情報を作成する場合の留意事項を記載しておく方法もありうる。
このような加工等をすることによって得られた派生データについては、それ自体が新たに創出されたものであるとみなすことができる。したがって、派生データが生じる以前の生データに関する利用権限の配分とは別に、派生データの利用権限および派生データに関する知的財産権についても当事者間で合意をしておく必要がある。
派生データについて具体的に定めるべき内容は、生データに対するものと同様であり、各派生データについて、加工等の方法およびそれによって派生するデータの利用権限、利用目的等の利用範囲、データ
117 個人情報に限らず、たとえば製造業においても、ノウハウの流出防止等を目的として、どの工場でいつ製造されたかという情報を収集しないことはありうる。この場合も、データの有用性とデータの保護のバランスをとった判断が必要となる。
の粒度、第三者利用等の制限、利益分配、コスト・費用負担、利用期間および地域ならびに契約終了時の扱いを定める必要がある。
派生データに対する利用権限を設定する際には、①分析の対象となる生データの創出に対する各当事者の寄与度(コスト負担、機器の所有権、センサ等の設置方法の策定やデータの継続的創出のためのモニタリングの主体はどちらか)、②データの加工等にかかる労力および必要となる専門知識の重要性、③派生データの利用により、当事者が受けるリスク等が考慮要素となる。
たとえば、ケース 1 については、以下のように取り決めをすることが考えられる。
工作機械の製造業者 A | 顧客(工作機械の使用者) B1 | |
当事者の寄与度 | • センサの設置方法を策定。 • 継続的創出のためのモニタリングの実施。 | • 工作機械を保有して使用しており、B1 が工作機械を使用することにより初めてデータが創出され る。 |
データの分析・加工 | • データの分析方法の選択や分析の実施は、これらに専門性を有する A が行 う。 | |
リスク | • 製造方法に関する営業秘密、ノウハウの流出。 • 製品の製造状況に関する 情報の流出。 | |
取決め | 分析結果を、B1 に対するサービスの提供および A の新製品の研究開発のために使用することはできるが、B1 の競合事業者に対して、ベスト・プラクティスを提供する目的では 使用してはならない 118。 |
対象データおよび派生データの第三者への譲渡もしくは利用許諾または第三者との共同利用(利用許諾等)に関しては、当事者自身による利用と異なり、相手方当事者から反対の意向を示されることも少なくないので、事前に明確に合意しておくことが望ましい。
とりわけ、競合事業者への利用許諾等は、大きな反発を招くことが想定される。他方で、競合事業者以外への利用許諾等については、相手方当事者がさほど強い反発・関心を示さない場合もあるため、双方にとって不満の生じない形で、第三者への利用許諾等の可能な範囲を設定することは十分あり得るところである。
118 ケース 1 のような事案では、B1 のデータが利用されない限りにおいて、A と B1 との間で、A が B2 のデータを活用して B2 に対して同種のサービスを提供することを制限しないと取り決めることにも合理性があると考えられる。
基本的な考え方は、第三者にデータを利用させることによって当事者が得られる利益と第三者がデータを利用することによって生じる当事者の不利益を比較衡量するというものである。具体的に考慮すべきものとして、以下のような要素が考えられる。
• データの性質(営業秘密、ノウハウを推測可能なものか、個人のプライバシー権を侵害するものではないか等)
• 営業秘密、ノウハウ流出等を防止するために取られている方法(工場を特定する情報を削除する、同種の機器全体の統計情報として処理する等)
• 提供先の第三者が競業者であるか否か
• 提供先の第三者の利用に対してどのような制限を課すか(ただし、実効性を確保できるかについては慎重な判断が必要である)
• 対価の額、利益の分配方法
対象データおよび派生データの分析結果の第三者への提供(「横展開」)について
データ創出型契約に関連して、対象データおよび派生データを加工等し、そこから得られたノウハウを、コンサルテーションサービス等の方法で第三者に提供することがある。
たとえば、ケース 2 で、ヘルスケアサービスを行っている B が、ケース 2 の事業で得たバイタルデータを加工して、別の健康管理サービスに利用することを検討しているというような場合がこれにあたる。また、別添 2 のユースケース 4 では、複数の製造業者から取得した対象データを加工等して、解析用のデータベースを作成し、機械の最適利用や故障の予兆分析を行うための学習済みモデルを作成し、新規の顧客や第三者に対するコンサルテーションサービスとして活用することが検討されている。
そのような横展開のサービスは、もともとの対象データおよび派生データからの恩恵を受けているものの、全体として横展開のサービス提供者が得る経済的利益に対して、対象データおよび派生データがどの程度寄与しているのかを金銭的に評価するのが難しいことから、利益分配の対象とすることが難しい場合が多いと考えられる。
このような場合には、データの創出および加工等のためのシステム
(ケース 2 であれば、バイタルデータの取得やモニタリングのためのシステム)の開発を、サービス提供者(ケース 2 の B)が行う場合に、当該システムの開発に要する費用をディスカウントすることや、サービス提供者(ケース 2 の B)が他方当事者(ケース 2 の A)に対して、対象データおよび派生データに基づいて行うコンサルテーションサービス(全社的な健康管理施策の立案および助言)を減額した上で提供する等の方法を取ることが考えられる。また、たとえば、ケース 1 で、 B1 がA に対して自己の工作機械から取得したデータを B2 へのサービスに利用することを認めることを条件に、B1 に対するサービスにも B2 の工作機械から取得されたデータが利用される(A は B2 とも同様の契約を締結している)というように、対象データおよび派生データを他事業者へのサービスに利用することを認める代わりに、他事業者から得
た対象データおよび派生データを自社に対しても利用させるという方法も考えられるところであり、当事者間において、事案に応じた方法を選択する必要がある 119。
対象データおよび派生データが、他の経済的活動に使用されるようになると、データの誤りやデータが継続的に創出されないことによって損害が生じることがあり得る。そのため、データの内容やデータの継続的な創出について、当事者間での責任関係を明らかにしておくことが望ましい。
たとえば、別添 2 のユースケース 5 では、ネットワークの問題等何らかの理由により、実際の車両の挙動とは異なる値のデータがデータセンターに送信され、そのような誤った内容のデータを利用することで損害が生じるということはあり得るところであるから、データの正確性等について保証する、または保証しない旨を定めておくことが望ましい。
ケース 1 では、顧客 B1 が、時季ごとの生産状況によって工作機械を稼働せず、稼働データが継続的に取得されないことがあり得る。そのような場合、生産状況という B1 が調整し得ない理由でデータを継続的に創出できないのであるから、データの継続的な創出について顧客 B1 の責任とすることが妥当ではない場合も多いと思われるため、顧客 B1 は何らの責任を負わない等とすることが考えられる。
他方で、ケース 2 では、A から提供されるバイタルデータは個人情報に該当すると考えられるため、A は B に対して、提供されるバイタルデータの取扱いについて本人の同意を得たことを保証するという条項を定めることが考えられる。
また、ケース 3 でも、A が B に対して、協力会社 C1 らから、データの取得および利用について許諾を得ていることを保証することは合理的と考えられる。
データ創出型契約では、データを当事者自らが利用するだけではなく、第三者へ提供する等により、収益をあげることが予定される場合がある。このような収益のモデルとしては、以下のようなモデルを含め、様々な態様が考えられる。
• 対象データそのものを第三者に利用許諾等することにより、ライセンスフィーを受領
• 対象データを用いて分析モデルを作成し、当該分析モデルに基づき開発した ASP(Application Service Provider)サービスを第三者に対して提供
また、収益分配の算定方式は、固定料金、従量制、売上分配等が考えられる。これらの方式に関しては単純に優劣がつけられるものではなく、
119 ビジネスモデルの構築については、事案に応じた様々な創意が期待されるところである。たとえば、事案によっては、横展開によって実際に収益が発生したことを条件として、サ ービスの減額等の利益の分配を行うことなども考えられる。
個別の状況に応じた選択がなされるべきである。
たとえば、ケース 1 の場合であって、A が同種の工作機械を納入している工場の数が相当数に上り、第三者に対して譲渡または利用許諾する分析データも、これら相当数の工場の稼働データを統計的に処理したものであり、B1 の工場の稼働データそれ自体の寄与度が小さく、B1 の工場の営業秘密、ノウハウが流出するリスクも小さいというような場合には、Aから B1 に対して、データの販売量に応じた対価支払を行うというのではなく、A が B1 に販売する工作機械の販売価格を減額するといった方法によることも考えられる。
また、一方当事者(x)が、対象データおよび派生データについて他 方当事者(乙)に利用権限を認めることを条件に、乙が甲に対して、当 該データに基づき作成した成果物(コンサルティング・サービスを含む) を提供するということも考えられる。たとえば、自社サービスにおいて、 データの提供に応じた工場については、同様にデータの提供に応じた工 場の分析データを活用した機器使用のコンサルティングを受けられる等、サービス内容に差を設けるといった方法を取ることもあり得る。
データの利用権限を配分するにあたって、当事者のコスト負担の程度を考慮して当事者間で分担金を定めることがあり得る。このような例によらず、収益分配の決定においてコスト負担を考慮することもあり得る。
契約一般の問題として、複数の事業者が共同して行う事業の開始後に、想定外の高額なコスト負担が生じてしまった場合、あらかじめコスト分配について明確に定めておかなかったために、当事者間で紛争が発生することは少なくない。そこで、あらかじめ、コスト増加が懸念される項目については、当事者間で協議の上、合意内容を契約上明確にしておくことが、紛争発生防止の観点からは望ましい。もちろん、全ての懸念事項を、事前に洗い出すことはできないため、事業が一定程度進展した時点で合意内容を見直すことをあらかじめ予定しておく、または、相手方当事者に申し入れることができる旨を定めておく等の対応が必要となる場合もある。
対象データおよび派生データは、その経済的価値を踏まえると、一定期間保管することが必要になる場合がある。このため、データを安全かつ効率よく、適切なコストで管理する手段を定める必要があるが、データの性質やリスク等に応じて、そのバランスは異なってくるものであり、
120 同様に、A は、C との間についても、収益分配を検討する必要がある。
セキュリティの面を含めて、具体的な管理方法について当事者間で合意しておくことが望ましい。
特に、データの種類や国によっては、データの保存先に関する規制が定められている場合があるので、注意が必要である。このような規制は、個人情報の越境移転規制およびデータ・ローカライゼーション規制として議論されることが多い(各国の詳細は、前記第 4-2-⑸-①の「データ・ローカライゼーションと越境移転規制」を参照)。以前は越境移転規制に注目が集まりがちであったが、とりわけデータ・ローカライゼーション規制は、中国のサイバーセキュリティ法や、ロシアの規制法が著名であり、データ・ローカライゼーション規制を擁する国は世界各国に拡大しつつあることから、国際的な枠組みでデータ創出を行う場合は、注意が必要である。EU 加盟国各国でも規制を設けている国は少なくないが、 EU においては、EU 域内の自由なデータ流通を目指して、このような加盟国ごとのデータ・ローカライゼーションは撤廃の方向で進んでいる。
また、対象データおよび派生データの管理を第三者に委託する場合は、適切な委託先を選任し、適切な管理方法が実施されることを担保できるような契約を委託先と締結する必要がある。とりわけ、責任のあり方に関連して、委託先において情報流出等の問題が発生した場合、どちらの当事者が責任を負うかを明確にしておく必要がある。
さらに、データに個人情報が含まれる場合、特に EU 由来の個人データが含まれるときは、EU 一般データ保護規則(GDPR)では、契約で規定しなければならない必須事項がある(GDPR28 条 3 項)、EEA(European Economic Area。欧州経済領域)域外への移転には一定の制約がある等厳格な規制が設けられているため、専門家へのレビュー依頼を含め、慎重な対応が必要となる。
対象データおよび派生データの利用権限を配分する際、データを利用可能な期間および地域を定めておくべきである。利用可能な期間について契約上明らかにしておかなかった場合、契約の有効期間が存続する限り、データの利用は可能であると判断される可能性があり、利用可能期間が明確ではなくなるため、権利関係の明確化の観点から見ると望ましくない。また、対象データおよび派生データについて、オンライン上での利用や、海外での利用もあり得る状況で、データを利用可能な地域を定めておかなければ、後々紛争の原因になりかねないため、利用可能な地域を定めておくことが望ましい。
契約終了後にデータの破棄または消去を要する場合と契約終了後も当事者が利用権限を有する場合があり得るところであるが、営業秘密、ノウハウまたは個人情報等については廃棄または消去を要するが、それ以外のデータについては、その後も利用権限を継続して有することができる等、データの種類によって、契約終了時の扱いに差異を設けることは必ずしも不合理ではない。このようにデータの種類によって、契約終了時の扱いに差異を設ける場合には、どのデータについてはどのような扱
いをするのかを明確にしておくことが必要である。
また、データの廃棄または消去を求める場合には、契約終了時のデータの廃棄または消去のルールを定めておくべきである。必要に応じて廃棄または消去の証拠化(当事者自身による場合のみならず、データの重要性によっては、専門業者等の第三者による廃棄または消去の証明書等も検討すべき)も定めておくことが望ましい。
他方、契約終了後においても、それまでに当事者が利用権限を有する データについてはそれぞれが利用権限を継続して有すると定める場合に は、データの管理方法について定めている条項が、契約の終了後も効力 を有するのかが明らかではなく、相手方が、契約終了後も契約期間中と 同様の管理義務を負うのかが不明確になるということにもなりかねない。このため、これらの条項が契約終了後も存続することについて明確にし ておくことが望ましい。
データの創出の場面そのものを規律する法律は、世界的に見ても多くないものと考えられるが、データの創出過程で個人情報が含まれる場合は、各国によって規制が異なるので、その国の法制度について注意が必要である。
準拠法や裁判管轄については、前記第 4-2-⑸-③および④を参照。
消費者契約法 10 条は、消費者と事業者との間で締結される消費者契約について、法律上の任意規定が適用される場合と比べて、消費者の権利を制限しまたは消費者の義務を加重する条項であって、xxxに反して消費者の利益を一方的に害するものは、無効とすると定めている。
また、データの漏えい等により消費者に損害が生じた場合の損害賠償の規定について、以下の免責規定は無効とされる(消費者契約法 8 条 1項)。
• 事業者の債務不履行により消費者に生じた損害を賠償する責任の全部を免除する条項
• 事業者の債務不履行(当該事業者、その代表者またはその使用する者の故意または重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する条項
• 消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為により消費者に生じた損害を賠償する責任の全部を免除する条項
• 消費者契約における事業者の債務の履行に際してされた当該事業者の不法行為(当該事業者、その代表者またはその使用する者の故意または重大な過失によるものに限る。)により消費者に生じた損害を賠償する責任の一部を免除する条項
消費者との間でデータ創出型契約を締結する際には、これらの消費者保護法制にも留意をする必要がある。
たとえば、サプライチェーンの上流から下流にかけて、生産状況をモニタリングして共有することで、当該サプライチェーン全体の遊休リソースを削減して生産性を向上させようといった試みがなされることがある。このような試みは、多くの場合、競争促進的な効果が認められ得ると考えられるが、下請けの立場にある製造業者が、優越的な地位にあることが認められる事業者からその地位を利用して、製造にかかわるデータを一方的に提供することを求められ、対象となるデータの範囲およびデータの利用権限の配分が当該製造業者に不当に不利益を与えるものである場合には、独占禁止法上の優越的地位の濫用(独占禁止法 2 条 9 項 5号)等に該当することがあり得る 121。また、下請法の適用がある場合には、不当な経済上の利益の提供要請の禁止(下請法 4 条 2 項 3 号)に該当する可能性が生じ得る。
このように、データ創出型契約を行う際には、競争法的な観点から問題が生じないかについて、十分に留意する必要がある。
3 適切なデータ創出型契約の取決め方法
データ創出型契約においては、以下のような内容について契約で定めるかを検討しておくことが望ましい。その具体的な条項例については、第 7のデータ創出型契約書のモデル契約書案を参照されたい。
⑴ データ等の定義
□対象データの定義
□加工態様の定義および派生データの定義
⑵ データの利用権限の配分
□具体的な利用権限の内容
□契約書で利用権限が個別に定められていない対象データの利用権限の定め方
⑶ データの加工態様の定めおよび派生データの利用権限の配分
□対象データの加工態様の定め
□派生データの利用権限の配分
⑷ データに関する保証/非保証
□相手方が、本データ創出型契約に基づき利用権限を有するデータ(相手型データ)に関する第三者の権利の非侵害の保証/非保証
□相手方データの正確性・完全性についての保証/非保証
□相手方データの安全性(相手方データがウイルスに感染していないか等)についての保証/非保証
□相手方データの有効性、本目的への適合性についての保証/非保証
□相手方データに関する第三者の知的財産権の非侵害の保証/非保証
□対象データの創出、取得および提供等について、個人情報保護法に定める手続きが履践されていることについての保証/非保証
121 xx取引委員会競争政策研究センター・前掲注 33・37 頁参照。
⑸ 収益とコストの分配
□利用権限の配分に対する対価
□収益の分配方法
□コストの分配方法
⑹ 第三者の権利により利用が制限される場合の処理
□相手方の利用に制限があり得ることが判明した場合の協力
⑺ データの管理
□相手方データと他の情報との区分管理
□相手方データの管理に関する善管注意義務
□相手方データの管理状況についての報告要求、是正要求
⑻ 秘密保持義務
□秘密情報の定義
□秘密保持義務の内容とその例外
□秘密保持義務が契約終了後も存続すること、およびその存続期間
⑼ 対象データの範囲の変更
□対象データを変更する際の変更手続
⑽ 有効期間
□契約の有効期間
□契約の自動更新
⑾ 不可抗力免責
□(一般的な不可抗力免責事由に加えて)停電、通信設備の事故、クラウドサービス等の外部サービスの提供停止または緊急メンテナンスも不可抗力事由とするか否か
⑿ 解除
(一般的な解除条項で足りる)
⒀ 契約終了時のデータの取扱い
□契約終了後のデータの廃棄または消去を要するか否か
□廃棄または消去を要する場合、廃棄・消去証明書を提出することになっているか
⒁ 反社会的勢力の排除
(一般的な反社会的勢力排除条項で足りる 122)
⒂ 残存条項
122 前掲注 113・警察庁のウェブページ(xxxxx://xxx.xxx.xx.xx/xxxxxx/xxxxxxxxxxxx/xxx ryokudan.html)
⒃ 権利義務の譲渡禁止
(一般的な権利義務の譲渡禁止条項で足りる)
⒄ 完全合意
(一般的な完全合意条項で足りる)
⒅ 準拠法
□準拠法としてどの国の法律を選択するか
⒆ 紛争解決
□合意管轄として、裁判・仲裁のいずれを選択するか
□裁判地・仲裁地としてどこを選択するか
(参考) データカタログ
・製造業にて、機器にセンサを設置してデータを取得する際のサンプル
製品・機器名/製品・ 機器 ID | セ ン サ ID | 稼 働 場 所 | データ項目 | データ集計対象期間 | デ ー タ 形 式 | |
1 | ●●●● | ●●● | ● ● 工場 | 選定対象データの詳細 | 2018/●/● ~2018/●/ ● | ●●形式 |
2 | ||||||
3 |
第6 「データ共用型(プラットフォーム型)」契約(プラットフォームを利用したデータの共用)
1 構造
本章では、プラットフォームを利用したデータの共用を目的とする類型の契約(以下「データ共用型」または「プラットフォーム型」契約という。)を取り扱う。
このようなプラットフォーム型の取組みは、その目的や対象となるデータの性質によって内容は千差万別であるが、本章では、主として以下のような取組みを念頭に置くことにする。
• 異なる企業グループに属する複数の事業者がデータをプラットフォームに提供し、
• プラットフォームが当該データを集約・保管、加工または分析し
• 複数の事業者がプラットフォームを通じて当該データを共用または活用する 125
123 日本経済再生本部、「日本再興戦略 2016‐第 4 次産業革命に向けて‐」、xxxx://xxx. xxxxxx.xx.xx/xx/xxxxx/xxxxxxxxxxxx/xxx/xxxxxxxxxxxx_000000.xxx(平成 28 年6 月2 日)。また、リアルデータに関するプラットフォームの創出を、我が国が提唱する「Connected I ndustries」(多様な組織、機械、技術、国家がつながり、新たな付加価値を創出し、社会課題を解決していくという産業コンセプト)の戦略の一つと位置づけ、それを実現するためのアプローチを示すものとして、産業構造審議会新産業構造部会事務局「『新産業構造ビジョン』一人ひとりの、世界の課題を解決する日本のxx」(平成 29 年 5 月 30 日)(h ttp://xxx.xxxx.xx.xx/xxxxx/0000/00/00000000000/00000000000-0.xxx)参照。
124 本ガイドライン(データ編)で言及するプラットフォーム型の例としては、ユースケース 1 および 2 のほか、別添 1 で紹介する産業分野別のデータ利活用事例参照。
125 本章においては、事業者が提供したデータがプラットフォームを通じて何らかの形で他
本章において以下の用語を用いる場合は、それぞれ以下の意味で用いるものとする。
「プラットフォーム」 | プラットフォームという用語は、使用される場面により意味が大きく異なり得るが、本ガイドライン(データ編)では、「異なる企業グループに属する複数の事業者から提供される大量のデータを集約・保管し、複数の事業者が当該データを共用または活用することを可能にするための場所または 基盤」という意味で用いることとする 126。 |
「プラットフォーム事業者」、「プラットフォーム事業」 | 「プラットフォーム事業者」とは、プラットフォームを運営する事業者をいい、プラットフォーム事業者がプラットフォームを通じて行う事業を「プラットフォーム事業」 という。 |
「データ提供者」、「提供データ」 | 「データ提供者」とは、プラットフォーム事業者によりあらかじめ設定された利用規約またはプラットフォーム事業者との個別契約に従い、プラットフォームにデータを提供する者をいい、データ提供者がプラットフォームに提供する当該データを「提供データ」という。提供データには、生データだけでなく、データ提供者の元で生データに一定の加工等を加えた加工済みデータ も含まれ得る。また、プラットフォームが |
の事業者にも利用可能な状態となることをデータの「共用」といい、また、データの「共用」にとどまらず、プラットフォームに集約されたデータまたはその加工・分析結果を利用して新たなソリューション等を開発・創出するという側面を強調する際には、データの
「活用」という用語を使用することとする。もっとも、「共用」も広い意味では「活用」に含まれうるものであり、両者は常に明確に区別されるものではない。
126 同一の企業グループ内の複数の事業者が一つのデータベースにデータを集約したうえで、当該グループ内で共用することにより、または第三者に提供することにより当該データを 活用する事例もみられるが、かかるデータベースは、異なる企業グループに属する複数の 事業者からデータが提供されることが予定されていないため、本ガイドライン(データ編) においてはプラットフォームとしては扱わないこととする。
また、オンラインマーケットプレイスやソーシャル・ネットワーク・システム(SNS)等も、それぞれ「マッチング型」、「メディア型」のプラットフォームと呼ばれることがあるが、本ガイドライン(データ編)では、このような B to C または C to C 取引におけるプラットフォームは対象外としている。
なお、本ガイドライン(データ編)では、データに個人情報が含まれる場合についても付随的な限度で検討を加えているが、専ら個人情報を中心とする文脈でプラットフォームとしての機能を果たし得る仕組みとして議論されている「情報銀行」や「パーソナルデータストア(PDS)」の導入についての検討は、本ガイドライン(データ編)の対象外としている。
利用される事業分野によっては、産業デー タだけでなく、個人情報その他のパーソナルデータも含まれ得る。 | |
「データ利用者」、「利用データ」、「利用サービス」 | 「データ利用者」とは、プラットフォーム事業者によりあらかじめ設定された利用規約またはプラットフォーム事業者との個別契約に従い、プラットフォームが提供するデータを共用・活用し、またはプラットフォームが提供するサービスを利用する者をいう。プラットフォームを通じてデータ利用者が共用・活用するデータを「利用データ」といい、利用データには、データ提供者からプラットフォームに対して提供される提供データのほか、当該提供データにプラットフォームが加工・分析を加えたデータも含まれ得る。また、提供データの加工・分析結果に基づいてプラットフォームにより提供されるサービス(新たに創出されるソリューション等を含む)を「利用サービ ス」という。 |
「参加者」 | プラットフォーム事業に参画する事業者 (データ提供者およびデータ利用者を含む)を総称して、「参加者」という。 |
前記のとおり、本章が対象とするプラットフォーム型の基本的な構造は、データを集約・保管、加工または分析するプラットフォームを中心に、プラットフォームにデータを提供するデータ提供者グループ
(X1、X2、X3…)と、プラットフォームを通じてデータを共用・活用するデータ利用者グループ(Y1、Y2、Y3…)が存在するものを念頭に置いている。このような構造のイメージを図示すると以下の図 7 のとおりである。