「IT関連の最新動向と法務リスク」の版間の差分

IT関連の最新動向と法務リスク（あいていかんれんのさいしんどうこうとほうむりすく）とは、山岡裕明が「会社法A2Z」2019年3月号（特集IT関連の最新法務トレンド）に連載したコラムである^[1]。

概要

八雲法律事務所のお知らせにより掲載が明らかとなった^[2]。

本文

　ＥＵにおいて二〇一八年五月に「一般データ保護規則（GDPR）」が施行され、同規則が定める規制をクリアしなければデータの持ち出しが認められなくなったことで、対応に追われる日本企業も少なくなかった。IT関連法務の特徴は、海外の企業の動向及び諸規制が日本企業に看過できない影響を持ち得るという点にある。 　後述のGAFAに代表される時価総額が世界TOPを占めるIT企業は、もはや国会上の影響力を持つといわれ、それらのＩＴ企業が開発・保有する記述やデータに関して各国が規制を打ち出している。また、国家間、特に米中間においても最新技術をめぐる攻防が繰り広げられ、そこでの諸規制は日本にも影響が及んでいる。 　こうしたＩＴ分野の特殊性から、多くの日本企業もＩＴ関連の最新動向には注視が必要となる。 　以下、企業法務との関係で、その法務リスクを無視できないＩＴ関連の最新動向を紹介する。

第１　プラットフォーマー規制

　まず紹介するのは、プラットフォーマーの規制である。 　プラットフォーマーとはインターネットを通じて第三者にサービスの場＝プラットフォームを提供する企業を指す。代表例は、「GAFA」と呼ばれる米国のGoogle、Apple、Facebook、Amazonであり、国内では、Yahoo!や楽天が挙げられる。 　こうしたプラットフォーマーへの規制が昨今議論されている。

（１）背景事情

　では、なぜプラットフォームに対する規制が必要なのか。その理由は、プラットフォーマーへの圧倒的な競争優位性にあろう。 　二〇一八年三月末時点の企業時価総額のランキングによると、一位Apple、二位Alphabet（Google）、四位Amazon、八位FacebookとGAFAが上位を占めている。 　このプラットフォーマーは、データを集積・利活用するビジネスモデルを構築することで、さらにデータの集積・利活用が進むという好循環の中、巨大化・寡占化・独占化を果たしている。 　その結果、圧倒的といえる優越的地位を背景に、利用者との取引における透明性・公正性への影響が指摘されている。 　例えば、経済産業省が二〇一八年一〇月三日から同月二九日までオンラインプラットフォームを利用してビジネスを行っている事業者二〇〇〇社を対象として実施したアンケート調査では、販売戦略として別のプラットフォーマーに切り替えることができるかという質問に対して六五・二％以上が困難または非常に困難と回答しており、事業者のプラットフォーマーへの依存度の高さがうかがえる。それにもかかわらず、事業者のうち五六・二％がプラットフォーマーとのトラブルを経験しており、九二％が満足できる解決に至らなかったと回答している。 　こうしたアンケート結果から明らかになった、事業者が抱えるプラットフォーマーによる潜在的な競争相手の芽を摘むようなM＆Aも指摘されている。例えば、Facebookが二〇一二年に社員一三人のインスタグラムを買収したように、プラットフォーマーが潜在的なライバル企業を買収することで、データのさらなる寡占化が懸念され、その結果、他の企業の参入機会が乏しくなるなど、公正かつ自由な競争が阻害されている。 　こうした背景事情を踏まえ、プラットフォーマー規制が検討されるに至っている。

（２）プラットフォーマーに対するこれまでの考え方

　では、これまでプラットフォーマーの責任はどのように考えられていたのか。従来わが国においては、プラットフォーマーは単なる場の提供者（媒介者）にすぎないので、積極的な責任を負わないと解されていた。 　一般ユーザーとの関係でプラットフォーマーの責任が問題となった裁判例においても、限定的な場合においてのみ、その責任が肯定される余地が示されていた^{[注 1]}。 　ただし、Yahoo!オークションにおいて出品者の詐欺的取引に対する運営者の責任が問題となった裁判例（名古屋地判平成二〇年三月二八日、名古屋高判平成二〇年一一月一一日）は、一般論として運営者の利用者に対する義務に言及の上、当該義務の内容については「そのサービス提供当時におけるインターネットオークションを巡る社会情勢、関連法規、システムの技術水準、…（略）…システム利用者の利便性等を総合考慮して判断されるべきである」（地裁判決）としたように、そのプラットフォーマーの義務の検討にあたっては、その時点のプットフォーマーを巡る社会情勢も考慮対象となり得るとした点は重要である。

（３）「プラットフォーム型ビジネスの台頭に対応したルール整備の基本原則」

　前記の背景事情を踏まえ、経済産業省は、二〇一八年一二月一二日に中間論点整理、同月一八日には「プラットフォーマー型ビジネスの台頭に対応したルール整備の基本原則」を公表した。 　その中で中心となったのは、独占禁止法による対応であった。主要なものは以下の四点である 　一点目は、出発点として大規模・包括的な調査の必要性であり、調査において事業者がプラットフォーマーとの守秘義務に縛られて回答が限定的になる得ることに鑑み、強制調査権限のある同法40条に基づく調査の活用が中間論点整理においては提案されている。 　二点目は、潜在的な教唆相手の芽を摘むようなM＆Aへの対応として、M＆Aにおける届出規制（同法16条２項）において、当事者の売上高に加え、知的財産および有能な人材（研究者）の集積も評価対象に加えることが言及されている。 　三点目は、データは経済価値を有していると整理した上で、プラットフォーマーにデータを提供する消費者との関係では優越的地位の濫用規制の適応が言及されている。 　四手目として、独占禁止法を補完するものという位置づけであるが、プラットフォーマーに対して重要な取引条件の開示・明示を義務づけることも提案されている。

（４）今後の見通し

　前記基本原則は「デジタル・プラットフォーマーの取引環境を整備するための制度や在り方の検討を、関係省庁連携の下、早急に進める」としており、二〇一九年には公正取引委員会による調査およびその後のさらなる検討が進むことになる。 　以上を前提に日本企業への影響を考えると、前期のとおりこれまで限定的に解されてきたプラットフォーマーの責任の厳格化を挙げることができる。 　前記の裁判例が、プラットフォーマーの義務の内容を規定するにあたって「社会情勢」も考慮要素になり得ることを前提に、昨今のプラットフォーマーの規制を巡る議論の状況をみると、その責任がこれまでよりも広く、かつ重く解釈される傾向に向かうことは想像に難くない。 　事業者にとっては、プラットフォーマーとの取引がより公正・透明な方向に向かうことが期待できる。 　他方で、プラットフォーマー規制は、GAFAを念頭に置いていることは明らかであるものの、必ずしもその議論対象を外国企業に限定してはいないので、国内のプラットフォーマーも規制の対象に含まれると解される。そうだとすれば、国内プラットフォーマーにとっては、事業者、利用者および責任が強まることになるため、引き続き同規制の動向に注視が必要となる。

第２ 米中関係の影響

図表１日本企業への影響が見込まれるNDA法の概要

　次にIT関連の最新動向として紹介するのは米中関係の影響である。 　昨年末に中国企業であるファーウェイ（華為技術）社のCFOがカナダで逮捕されたことは周知であるが、その背景には米中関係の影響があるといわれている。 　法規制の発端は、二〇一八年八月一三日に米国において成立した二〇一九年度国防権限法（Defense Authorization Act for Fiscal Year 2019 以下「NDA法」という）である。 　この法律は、米国防予算に関する二〇一九年度の法律であるが、本稿との関係では大きく分けて図表１の三つの内容が含まれている。 いずれもITを中心とした最新技術が外国へ流出するのを防止するための規制である。直接的には米国の法規制であるが、その規制は以下のとおり広範囲に及ぶ見込みのため、日本企業も決して無関係とはいえない。

（１）中国製通信機器の調達規制

　一つは、米政府の通信関連機器の調達企業からファーウェイ社とZTE社を含む中国企業五社を明示の上、排除した点である（NDA法§889）。 　具体的には、米国政府による中国企業五社からの通信還暦期の調達に係る取引を禁止したことに加え（同法§(a)(1)(A)）、これらの会社の通信還暦期を実質的・本質的に組み込んだ製品を使用している企業との取引も禁止するものである(同法§(a)(1)(B))。前者は一年後、後者は二年後に効力が生じる（同法§889(Ｃ)）。 　こうした影響は日本にも波及しており、内閣サイバーセキュリティセンター（以下「NISC」という）は、二〇一八年一二月一〇日に、「IT調達に係る国の物品等又は役務の調達方針及び調達手続きに関する申し合わせ」を公表し、政府が調達するIT機器の一部について、調達方針を策定した。また、報道によると、NTTドコモ、KDDI、ソフトバンクの携帯電話会社も、その通信設備におけるファーウェイ社とZTE社の製品の不使用を検討しているという。 　NDA法による中国通信機器の調達規制は米国政府による取引に関するものなので、ほとんどの日本企業において本来的には直接関係ないはずであったが、特にIT製品の一部に中国企業の製品を使用している日本企業にとって、同期生の事実上の影響は否定できないものとなっている。

（２）輸出管理規制

　NDA法の一部として制定されたのが、輸出管理改革法（Export Control Reform Act 以下「ECR法」という）。 　これは、法律の下位規範である既存の輸出管理規制（Export Ad-ministration Regulations）に法的根拠を付与するものであり、米国から最新技術が流失するのを防ぐ目的として制定された。 　具体的には、米国から最先端・基盤的技術（Emerging and Foun-dational Technology ECR法§1758）について、中国を含む一定の国への輸出（export）再輸出（re-export）、または同一国内での移動（in-country transfer）について輸出許可を必要とする規制である。 それぞれ例外事由も多く、行為ごとに規制対象技術の範囲も異なるため、本稿の内容は規制の概略として理解いただきたい。

①規制対象技術

図表２輸出管理規制および対米投資規制の対象となり得る最先端技術14分野^{[注 2]}

　二〇一八年一一月一四日、米国商務省産業安全保障局（以下「BIS」という）は、規制対象となる最先端技術として次頁図表２の一四の技術分野とその分野における例外技術を提示した。当初は「最先端・基盤的技術」全般の提示が予想されていたがBISは、「最先端技術」と「基盤的技術を」分けて、そのうち「最先端技術」のみを提示したことになる。「最先端技術」の前記一四分野については、パブリックコメントの実施を受けてさらなる詳細が公表される見通しであることに加え、別途「基盤的技術」についても近く技術分野が提示される見込みである。これは、ECR法により新たに輸出管理規制が及ぶ分野が、同一四分野よりもさらに広がる可能性があるということを意味する。 　同一四分野を詳しくみると、そのほとんどがIT分野に関連する。

②規制対象行為

　次に規制対象行為をみると、輸出（export）だけではなく、再輸出（reexport）、または同一国内での移動（in-country transfer）も対象となっている。 　このうち再輸出(reexport)とは米国外のある国から他の国へ移転することをいい、同一国内での移動(in-country transfer)とは米国以外の同一外国内で移転することをいう。つまり、単純な米国からの輸出だけが影響を受けるのではなく、「最先端・基盤的技術」該当技術が日本国内にある場合に当該技術の外国への輸出および日本国内の移動も輸出管理規制の域外適用を受けて規制の対象となる可能性があるということである。 　したがって、今後、図表２に掲げた一四分野に係る最先端技術の開発を米国において行う日本企業のみならず、他社が米国から輸入した同技術を日本において利用する企業も、中国に輸出する場合などはこの輸出管理規制によって影響を受けることになる。

（３）対米投資規制

　前記の輸出管理規制と同じく、最新技術の流出防止の観点から、NDA法の一部として外国投資リスク審査近代法（Foreign Invest-ment Risk Review Modernization Act 以下「FIRRM法」という）が制定された。 　これは、対米直接投資を通じて米国の重要技術（Critical Techno-logy）を獲得しようとする試みを防ぐ規制であり、この重要技術にはECR法の最先端・基盤的技術（Emerging　and Foundational Te-chology ECR法§1758）も新たに加わる。 　したがって、図表２の一四分野に係る最先端技術を開発する米国企業への投資に関わる日本企業は、この対米投資規制によって同じく影響を受けることになる。

第3　サイバーセキュリティ

（１）サイバーセキュリティの必要性の高まり

　前期の米国政府によるファーウェイ社など駐豪の通信機器に対する厳しい制約を課した背後の一つにはサイバーセキュリティに関する問題が存在するといわれている。 　すなわち、同社の製品には情報を盗み出すためのシステム上のバックドア^{[注 3]}があり、米国の安全保障上の情報や最新技術情報が流出された可能性があるというのである。 　また二〇一八年一二月にはAPT10というサイバー攻撃グループの中国人ハッカー二人が米国で訴追されたことを受け、同月二一日、日本の外務省およびNISCが注意喚起を行った。外務省によると、APT10は、日本の「民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認して」いるとのことであり、NISCによると、その攻撃は「標的型メール攻撃」であるとして、「日頃から、不審なメールや添付ファイルは開かない、OSやプログラムのアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策」を推奨している。 　他方で、独立行政法人譲歩処理推進機構は、二〇一八年三月付「情報セキュリティ10大脅威　2018」において、組織向け驚異の第一として同じく標的型メール攻撃を挙げているのも偶然の一致ではないのであろう。 　これらの最新の報道・公表からわかることは、日本企業は「長期」にわたって「広範」にAPT10から標的型メール攻撃を受けているということである。

（２）標的型メール攻撃とは

　標的型メール攻撃とは、一般的に、メールの添付ファイルを開かせたり、悪意のあるウェブサイトにアクセスさせたりして、パソコンをウィルスに感染させ、当該パソコンまたは当該パソコンからアクセス可能な組織内の情報の接種を目的とする攻撃である。 　日本で有名な事件としては、二〇一五年五月に日本年金機構から一二五万人分の個人情報が漏えいした事件がある。 　標的型メール攻撃自体は、古くからある手法ではあるが、受信者を信用させるためにメールの内容が巧妙化している点で、いまだに防ぐのが困難という点に特色がある。 　前記の事件において、日本年金機構の職員に送られてきた標的型メールの中には、実在する職員の氏名を差出人とし、かつ受信者となる職員の氏名が具体的に記載されされていたことが報告されている^{[注 4]} 　筆者が二〇一八年に関わった標的型メール攻撃による情報漏えい事案でも、受信者名が宛名として正しく記載されており、件名も標的となった会社が実際に関わっているプロジェクト名だった。組織のうち一人でも標的型メールを開封すれば被害が生じ得ることからすると、完全に防ぐことの困難性を実感した次第である。

（３）サイバーセキュリティにおける法務の役割

　企業がサイバー攻撃を受けた場合、自社の損害、第三者の損害の賠償に加え、被害の調査費用、復旧費用など多額の費用が必要となる。 　NPO法人日本ネットワークセキュリティ協会が二〇一八年六月一二日に公表した調査報告書によれば、個人情報が漏えいした場合の一軒当たりの平均想定損害賠償額は五億四八五〇万円に上る。 　こうした損害・費用の大きさに鑑み、平時においては、個人情報の管理方法、サイバー保険の加入の要否および範囲の検討、有事においては、損害賠償の対応について法務の役割がおおきくなっている。 　また、当局への報告および情報開示の必要性の検討も法務の役割となる。個人情報が漏えいした場合には、個人情報保護委員会への報告が求められている^{[注 5]}。また、サイバー攻撃による被害が投資家の投資判断に影響をおよぼす場合は、金融商品取引法や証券取引所の定める適時開示規制の開示事項・事実に該当する可能性も生ずる。 　さらに、摂取された機密情報が最先端技術や知的財産に関わる重要な情報である場合には経営戦略に関わることになりかねない。不正競争防止法上の保護の対象となる「営業秘密」の要件充足性、特許戦略への影響についても法務は意見を求められる機会が増えている。

注

スキャン画像

関連項目

• 山岡裕明
• ファイル:IT関連の最新動向と法務リスク.pdf

脚注