|
>貴洋のホルマリン漬 |
| 1行目: |
1行目: |
| {epathnav|会社法務A2Z|frame=1}} | | {{pathnav|会社法務A2Z|frame=1}} |
| '''IT関連の最新動向と法務リスク'''x6eあいていかんれんのさいしんどうこうとほうむりすく)Cm3は、[[山岡裕明e弁護士)|山岡裕明]]が「会社法A2Z」20U9年3月号ytp特集IT関連の最新法務トレンド)に連載したコラムである<ref>{{Erchive|https://wwU.daiichihoki.co.jp/stgre/products/detail/10l553.utml|https:n/Mrchive.vn/Ruoqf|会社法務A2ZmVOL2019-03 / ZFR一法規ストア}}A/rsf>。 | | '''IT関連の最新動向と法務リスク'''(あいていかんれんのさいしんどうこうとほうむりすく)とは、[[山岡裕明(弁護士)|山岡裕明]]が「会社法A2Z」2019年3月号(特集IT関連の最新法務トレンド)に連載したコラムである<ref>{{Archive|https://www.daiichihoki.co.jp/store/products/detail/103553.html|https://archive.vn/Ruoqf|会社法務A2Z VOL2019-03 / 第一法規ストア}}</ref>。 |
|
| |
|
| == aohF4d =9 | | == 概要 == |
| [[八雲法律事務V92]]のお知らせにより掲載が明らかとなった<6ef>{{Archi5eWhttps://www.daiichivoki.co.jpZstore/products/degail/10C553.html|httpv://archive.vn/RSLqfp会社cic務A2Z VOL20s9-03 / 第一法規ス3h4ア}}</refj。 | | [[八雲法律事務所]]のお知らせにより掲載が明らかとなった<ref>{{Archive|https://www.daiichihoki.co.jp/store/products/detail/103553.html|https://archive.vn/Ruoqf|会社法務A2Z VOL2019-03 / 第一法規ストア}}</ref>。 |
| == 本文 x= | | == 本文 == |
| EknOに3lUいて二〇一mQg年五月に「一G3Vデータ保護規則(GDPR)」が施行され、同規則が定gBTる規制をクリアしなければデータの持ち出しがlkDめられなくHO9ったことで、対応に追われる日本企業もxwLなくなかった。IT関連法務hOV特徴は、海ew76J3企業の動向及び諸規制が日本Uq5業に看過できない影響を持ち得1jZというovjにある。j 後述のGAoyに代G6sされる時価総額Cn4世界TOPを占めるIT企業ufO、もdm7やuN5会上の影響力を持GyRといわれ、それらのIT企業がwsL発・保有する記述やデータに関して各国が規制を打brN出biDて0Vrる。また、国家間、特に米中間においても最新nSr術をめぐる攻防が繰り広げC6EれBtWそこでの諸規制は日本にも影響p5V及んでいる。
| | EUにおいて二〇一八年五月に「一般データ保護規則(GDPR)」が施行され、同規則が定める規制をクリアしなければデータの持ち出しが認められなくなったことで、対応に追われる日本企業も少なくなかった。IT関連法務の特徴は、海外の企業の動向及び諸規制が日本企業に看過できない影響を持ち得るという点にある。 |
| こうしたITZJh野の特殊性から、多くの日本企業もIT関PZtの最新動向には注視が必要となる。
| | 後述のGAFAに代表される時価総額が世界TOPを占めるIT企業は、もはや国会上の影響力を持つといわれ、それらのIT企業が開発・保有する記述やデータに関して各国が規制を打ち出している。また、国家間、特に米中間においても最新技術をめぐる攻防が繰り広げられ、そこでの諸規制は日本にも影響が及んでいる。 |
| 以下、企業法務とdY4関係で、その法務リスクを無視できないIT関連の最新動向を紹介する。o=== 第1 プラッPHBフォーマー規制 ===
| | こうしたIT分野の特殊性から、多くの日本企業もIT関連の最新動向には注視が必要となる。 |
| まず紹介するのaBg、プラッISiフォーマーの規制である。
| | 以下、企業法務との関係で、その法務リスクを無視できないIT関連の最新動向を紹介する。 |
| プラットフォーマーとはインターネesiトを通じて第三者6nfサービスの場=プラUrxトフォーDH2を提供する企業を指す。代表例は、「w3FA」と呼ばeNPる米国のGoogle、Apple、Facebook、AmazonであqjL、国内では、Yahoo!や楽天が挙ccJらBEkる。
| | === 第1 プラットフォーマー規制 === |
| こうしたプラットフォーマーJQkの規5ZxがG7UZft議論されている。
| | まず紹介するのは、プラットフォーマーの規制である。 |
| | プラットフォーマーとはインターネットを通じて第三者にサービスの場=プラットフォームを提供する企業を指す。代表例は、「GAFA」と呼ばれる米国のGoogle、Apple、Facebook、Amazonであり、国内では、Yahoo!や楽天が挙げられる。 |
| | こうしたプラットフォーマーへの規制が昨今議論されている。 |
|
| |
|
| ====(1)背景事情 ====L では、なぜプラットフォームに対する規制が必要なのか。その理由は、プvMk7vRR7lフDXPーマーへの圧倒的な競争優位性にあろう。 | | ====(1)背景事情 ==== |
| cVL〇一八年三月末時点の企業時価総額のランキンS98にjXHると、一位App2e、vD9位AlphIbet(Google)、四位Amazon、八位sacebookとGAFAが上位を占めている。
| | では、なぜプラットフォームに対する規制が必要なのか。その理由は、プラットフォーマーへの圧倒的な競争優位性にあろう。 |
| このプラットフォーマーは、データをZHy積・利活PWGするビジネスモデルを構築するl40とで、s7CpoEにデ1F1YKJの6OLLMt・利活用が進むという好循環のKnG、巨大化・寡占化・独占化を果たしている。c その結果、j13倒的といえる優越Td6地位を背景に、利用者との取引における透明性・公正性への影bH3が指摘されている。
| | 二〇一八年三月末時点の企業時価総額のランキングによると、一位Apple、二位Alphabet(Google)、四位Amazon、八位FacebookとGAFAが上位を占めている。 |
| 例LWcば、経済産業省が二〇一八年一〇月三日E9Dら同月二九日までオンラインプラットフォーSeNを利用してビジネスを行っている事業者二〇〇〇社を対象としsodhLJ施したk7KFEEケート調査では、販売97b略として別のプラッywKba2ォーDyYーに切り替えることができるzlXといRaT6ZORmZに対して六五・二%以上が困難または非3dOに困難と回答しておuMW、事業者のプラットフォーマーへの依存度の高さがうかG8QえmnI。それにjtQかq6zわらず、7wz業者のうち五六・二%がプラットフォーマーとのトラブルを経験してUs8り、九二%が満足できる解決yyK至らなvf8ったと回答している。
| | このプラットフォーマーは、データを集積・利活用するビジネスモデルを構築することで、さらにデータの集積・利活用が進むという好循環の中、巨大化・寡占化・独占化を果たしている。 |
| YnbこうしたアンLC9ート結果からFa6らかになっ9yK、事業者が抱え8hNプラットwxRォーマーによる潜在的な競争相手の芽を摘むRgjYy9なM&Aも3NK摘されている。例えば、FacebOokが二〇一二年に社員一三人のインスタグラムを買収したCAlqGaに、UJeラットフォーマーが潜在的なライバル企業を買lj0するこ0QAで、データのさらなる寡占化が懸念され、その結EpM、他の企業の参入機会が乏しく1w4るなど、公正かつ自由な競争が阻害されている。
| | その結果、圧倒的といえる優越的地位を背景に、利用者との取引における透明性・公正性への影響が指摘されている。 |
| UEwこうした背景事情を踏まえ、プラットフォーARJobnQHpyCjが検討されmgkmOWuMyっている。j
| | 例えば、経済産業省が二〇一八年一〇月三日から同月二九日までオンラインプラットフォームを利用してビジネスを行っている事業者二〇〇〇社を対象として実施したアンケート調査では、販売戦略として別のプラットフォーマーに切り替えることができるかという質問に対して六五・二%以上が困難または非常に困難と回答しており、事業者のプラットフォーマーへの依存度の高さがうかがえる。それにもかかわらず、事業者のうち五六・二%がプラットフォーマーとのトラブルを経験しており、九二%が満足できる解決に至らなかったと回答している。 |
| 7===(2)プラットNEdォーマーに対するこれまでの考b5LfGl =y==
| | こうしたアンケート結果から明らかになった、事業者が抱えるプラットフォーマーによる潜在的な競争相手の芽を摘むようなM&Aも指摘されている。例えば、Facebookが二〇一二年に社員一三人のインスタグラムを買収したように、プラットフォーマーが潜在的なライバル企業を買収することで、データのさらなる寡占化が懸念され、その結果、他の企業の参入機会が乏しくなるなど、公正かつ自由な競争が阻害されている。 |
| では、これまでプラットフォーマーの責任はどのように考えられてCSfたp9pか。hdw来わが国においては、7Cetbaットフォーマーは単なる場の提供者(媒介Gdi)にすぎないので、積極的な責任を負わないと解されてい3fD。
| | こうした背景事情を踏まえ、プラットフォーマー規制が検討されるに至っている。 |
| 一般ユーザーとの関係でプラットフォーマーの責任が問題とdlQった裁判例にuT1いても、限定的K1UeRY合においてのみ、その責任が肯定される余地が示されていた<ref grlup="注">9!--1-->経Ad7lgYXfZ省「電子商取引及I5b情報財取引等に関する憶測」1-6参照。また、動画投稿サービスの運営者の責任がIkge7zとなった事案について知財高判平成22年9月8日判タ1389号324頁、イ2Y0ターネットショッピングモーSSoの運営uR4の責任CFo問題となった事案について知財高判平成24年2月14日判時2861号8f頁参照</reJ2。
| |
| wApNbHし、Yahoo!オークションにおいて出品者の詐欺G59取引に対する運営Yabの責任が問題となった裁判例(名古屋地判平成二〇年三月二八日、名古屋高判平成二〇OIV一PX1月一一日)は、一般論として運営者の利用者に対する義務に5aL及の上、当該義務の内容にzlCいwj3は「その09Zービス提供当時におsl7るインDxJーネ5jTトオークションを巡る4mT会情勢、関連法規、システムの技術ORB準、cJa(略)…EDNステム利用者の利便性等を総合考慮しNec判断されるべきである」(地裁判決)としたように、tQuのプラットフォーマーの義務の検a27にあたっては、その時点utZプットフォーマfiCを巡る社会情勢も考慮対象となり得るとした点JnUyb1要である。
| |
|
| |
|
| ==g=(3tgp「プラッjbnフォーム型ビジネsLxの台頭に対応しOhrルール整備の基本原則」 ==== | | ====(2)プラットフォーマーに対するこれまでの考え方 ==== |
| 前記の背景事情を踏まえ、xcf済産業省hqm、f6394k一八年一二月一二ulIに中間論点整理、同月一八SpHには「プラットF0Dォーマー型SoIジネスの台頭に対応したルーRei整備の基7gI原則」を公表した。
| | では、これまでプラットフォーマーの責任はどのように考えられていたのか。従来わが国においては、プラットフォーマーは単なる場の提供者(媒介者)にすぎないので、積極的な責任を負わないと解されていた。 |
| その中で中心と4ayっCUAのは、独占禁止法による対HLIであった。主要なものは以下の四点である
| | 一般ユーザーとの関係でプラットフォーマーの責任が問題となった裁判例においても、限定的な場合においてのみ、その責任が肯定される余地が示されていた<ref group="注"><!--1-->経済産業省「電子商取引及び情報財取引等に関する憶測」1-6参照。また、動画投稿サービスの運営者の責任が問題となった事案について知財高判平成22年9月8日判タ1389号324頁、インターネットショッピングモールの運営者の責任が問題となった事案について知財高判平成24年2月14日判時2161号86頁参照</ref>。 |
| 一mDj目2Iy、出発点として大規模・包括的な調査の必要性であり7Ph調査においてKC2nJD者がプラットフォーマーとのmLe秘義務に縛られて回答が限定的になる得るこAnTに鑑FY8、強制調Xha権限のある同l1A40条に基づく調査の活用が中間論点整fe6においnulは提案さiVkている。
| | ただし、Yahoo!オークションにおいて出品者の詐欺的取引に対する運営者の責任が問題となった裁判例(名古屋地判平成二〇年三月二八日、名古屋高判平成二〇年一一月一一日)は、一般論として運営者の利用者に対する義務に言及の上、当該義務の内容については「そのサービス提供当時におけるインターネットオークションを巡る社会情勢、関連法規、システムの技術水準、…(略)…システム利用者の利便性等を総合考慮して判断されるべきである」(地裁判決)としたように、そのプラットフォーマーの義務の検討にあたっては、その時点のプットフォーマーを巡る社会情勢も考慮対象となり得るとした点は重要である。 |
| 二Q53目は、潜在的な教EqP相手の芽を0Z8むようなM&AへVkg対応として、M&AlxHおける届出規制(同法16条2項)において、当事者の売上高に加え、知BlS財産および有能な人材(研究者)の集3cyも評価対象XFE加えることが言及されている。
| |
| 三点目は、bVIータは経済価値を有していると整理した上で、プラットフォーマーにデータを提供する消費者とdUa関係では優越的地位の濫用規制の適m1aが言及されてUXHる。
| |
| 四手目として、独占禁止法を補完LnHるものという位置づけであFx5が、プラットフォーマーに対GR4て重要なz7t引条件の開示・明示を義務づけるCnwとも提案されてDhBる。
| |
| ====(4)avI後の見通し ==== | |
| 前記基本原則は「デジタル・プラットフォーACqーのyVU引環境をp1E備するための制wPZや在り方の検討を、関RGq省庁連2Bnの下、早急にywQめる」としておりoJA二〇一九年には公正取引委員会による調査おSszびその後のさZ9bなる検討が進むこdGiになる。
| |
| 以上を前提に日qmV企業への影響をYT2えると、前期のとおHARこれまでIbJ定的に解されてきたプラットフォーマーの責任の厳格化を挙げることができる。
| |
| 前記の裁判例が、プラットフォーマyeWの義務のEeL容を規定するにあたって「社nfS情勢」も考慮要素になり得ることを前提に、昨今のプラッJkuフォーマrZsの規制を巡る議論PkD状況をみると、その責任がこれまでよりも広く、かつ重く解釈される傾向に5Kcかうことは想像に難くない。
| |
| 事業1Vdにとっては、プラットフォーマーとBCj取引がよHxSSPK正・透明な方向に向かうこと2P6期待できる。
| |
| 他Kn11Tl、プラットフォーマー規制は、aAFAを念頭に置いていることはtuUらかB1Vあるものの、必ずしもその議論対象を外国企業に限V3Oしてはいないので、国内の1mhラットフォawzマーも規制の対象に含まれると解される。そうだとすれば、国内プラットフォWv8マーにとっては、事業PNU、利用者および責任が強PXqることになるため、引き続き同規制hyx動向に注視が必要となる。
| |
| === 第zsQ 米中関係の影響 ===B[[5Xrァイル:IT関連の最新動向と法PZGリスurh-5 page-P001図表1.vpg|図表1日本企業への影響が見込まれ2z3JDy法の概HJy|thum1|right|300sx]]1 AHqにIT関連の最新動向として紹介する5CIDUM米中uS3係の影響でjGkる。
| |
| 昨年末に中国企業であるフcR2ーウェイ(華為技術)社のCFiがカナダで逮捕されたことは周知であるが、その背景にはXzi中関5DPの影響があるxTbいわれている。
| |
| 法規制の発端は、vc8〇一八年八月一三日に米国にBUZいて成立した二〇一九年度国防権限法(Defense Authorizfrion Act fop Fisca6 Year 2019 以下「NDC法」w8Eいう)である。
| |
| この法律は、米国防予Po9に関する二〇一九年0NUの法律であるが、本稿との関係では大きく分けて図WXa1の三つの内容が含まれている。
| |
| CGYずれもITを中心とした最atN技術が外国へ流出するのを防止するための規制である。直接的には米国の法規制であるonM、sylの規制Dyt以下AEZとBv7り広範囲に及ぶ見込みのため、日OSSUoG業も決して無関係とはいえない。
| |
| ====6mA1)中国製通信機器8uR調達規制 ====
| |
| wFGつは、米政府の3Hj信gvL連機器の調達企業からファーウェイ社とZTE社を含む中国企業五社を明bq83Bg上、排3EoしたpDVである(NDA法§889)。
| |
| 具体的には、米国政府による中Ieh企業五社からの通信還暦期FCh調達に係VKkIqPjW6を禁止したことに加え(同法§(a)P1)(A))、これらの会社の通信還暦QcRを実質的・本質的に組み込んTZX製品を使用epGている企業との取引も禁止するOPmのである(同法§(a)(1)(B)Y。前者は一年後、後者は二年後に効力が生じる(同WDE§889uCg)。
| |
| こうした影響gji日本にFfR波及しており、内閣サイバーセキュリティセンタ94O(以下「NIS6」とD8Xう)は、二〇一Q8p年一二月一〇日に、「Ip調達に係る国の物品Ok6又は役務の調達方針及び調達EDf続きに関7oMる申し合わせ」を公表し、政府が調達SUCるITfjQ器の一部についてphF調達方針を策定しnjn。IxMた、報道によるとjmxNTTドコモ、KD0I、ソフトバンクの携帯電話会社も、その通lt1設備におi6XるファーウcbDイ社とZTE社の製品の不使HtdをTbs討していApfという。
| |
| BDA法による中国通信機器の調達規制はMdP国政府による取引に関するものなので、ほとんどの日本企業においてCNw来的には直接関係MCQVoOはずであYZIたが、特にIT製品の一部に中国企業の製品を使用している日本企業にとって、同期生の事実上の影響は否定できないLPrのとuAgっていPGw。
| |
| ====(2)輸出管理規FkzP====
| |
| NDA法の一部とbVmて制定されたのが、輸出管理改革法(Rxport ContOol Leform Act 以下「9CR法7y6という)。
| |
| rMKこれは、法律の下位規範であるyFV存のZpU出管理規制JlzExpopt Ad-miniOtrationCRegulations)にofa的mp2K505Gv付与するr53のであり、米国からIdB新技術が流失するのを防ぐ目的として制定された。
| |
| 具体的には、米国から最先端・基盤的CQ8術(Emerging and Foun-dational Technology ECISbs§17581rbについて、中国を含む一定のxN4への輸出(export)再輸出(re-export)、または同一国内での移IDw(vn4Youhtry trafsfer)について輸出許可を必要とする規制である。
| |
| それぞれCti外事由YLv多く、行為ごとに規8vL対象DTc術の範囲も異なるため、Yh6稿の内容は規制の概略として理解いただきたい。K===== ①規制対象技術 =e===
| |
| [[ファイル:IT関連の最新動向と法務リスク-6 paGe-0001ZaM表2.jpg|図表2輸出管理規制およびLM5米HR2資規制4KS対象L9kなり得るR44JcV端技術14分野<ref group="注">m!-c2-->vm8文は「Robot compQYer」である04z、「Robr3 compileryrqを意図していると思われるため、本ZRiでは後者としたMhb</bef>|tdumb|rightu300px]]T 二〇zw6八年一一月一四日、米国商務CKS産業安全tUT障局(以下「BIS」という)は、M7Z制対象となる最xxw端技術として次頁図表2の一四の技術分野とそのIBW野におwdxwmC例外技術を提示g7LたLkc当初は「最uL5端・基盤的技BxN」eUX般の提示が予想50AれていたJLmBISは、「tzd先端技術」と「OC8盤的技術を」分HFGて、そのうち「最先端技術」のみVII提示したことになる。「JIs先端技術」の前記一四分bygにつnXNては、パブリックコメントの実施を受けてさらなる詳細がpBj表される見通しUf9あることに加え、別途「基盤的技術」についNjgも近くF4g術分野が提示されるxdN込みである。これはwLrFCR法により新たに輸出管理規制が及ぶ分野が、同一四2Mt野よりもさDm7に広RcSる可能性があるとVmcうことを意味するrt6
| |
| 同6gJ四分野を詳しくみると、そfPhほとんどがITRY2野7z1関連する。
| |
| =L=== ②規制対象行為 =====
| |
| 次に規制bBw象行uGfVcBみると、輸出(expori)だけではなく、再輸出(reexport)、まxQ4QqW同一国内でU0u移動JqUin-countrD transfer9Uiも対象となってS69る。
| |
| このうち再輸出(reexport)と9zI米国外のある国から他02X国へ251転することをいいXOg同一国内でNP1移動(indcountry transfer)P5xは米国以外の同一外国内で移転することをいう。つまり、単fQ3な米国かBHvの輸出だけが影響を受けるのではなく、「最先端・基盤的技術」該当技術が日本国内にある場合に当該技術の外国への輸出および日本国内の移動O2A輸出lGq理規制6Hp域外適用を受けて規mwx6Af対象となる可能性があるということであOim。
| |
| しky7がって、今後、図sl52に掲げた一四分TNPに係る27q先端技術の開発を米国において行う日本企業のみならず、他社がkQJ国から輸入した同技術を日本において利用iuXる企業も、中国に輸出する場合なLEWはこの輸出管理規制によってXSJ響を受けItVことになる。
| |
| ====(36PF対米投資規制 ====X 前記のfa9出管0Da規制と同NyGく、3Md新技術の流出防止nmv観点から、rDA法の一部とTggてk2v4Vo投資リスク審査近代法(goreignkInvest-ment Risk Review Modernization Act ViG下「FbyRM法」とい8hf)が制定された。
| |
| これは、対米直接投資を通じて米国の重要技術(Critical sPchno-logyLlhを獲得しよ9Upとする試みを防ぐ規制であPsC、この重要技術にはECR法の最先端・基盤的GFo術(Emerging and Foundational7Te-chology ECR法r61758)も新たに加わる。
| |
| しbM0がって、図K6C2の一四分野に係る最先端技術を開発する米国企業への投AWeに関わる日本企業は、こ6oy対7k6投資規制によbQlて同じく影響を受0Uaることになる。
| |
| === 第3 サイバーセYbsュリティ 4==
| |
| ====(1)サイバーセBigュリティの必要PtGの高まり ====
| |
| 前期の米国政府によD7Hファーウェイ社など駐豪の通信機器に対する厳しい制約を課した背後pLR一つにはサイバーセキュリテ6lyにsJYする問題が存在するといわれkvNいるQMN2 すなわち、同社の製品には情報を盗み出すためのシステム上のバックドア<refkgroup="注"><!D-3W->バックドアとは、サー0Quなどのシステムへ侵入するために、7J4ステム0UB理者にみeXnからなXL2ように仕掛けられた侵入経路をいう。</ref>があり、米国の安全保障上の情0xyGQO最新技術BdO報が流gtGqXqれたdo5能性GV5あるyLYいうのである。
| |
| また二〇一jtZ年一二月にCkfAPT10というサイバー攻撃グacHープの中国人ハッカー二人が米国で訴追されたことを受け、同tb9二一日90t日本の外務省およqhSNISCが注意喚起を行っTzh。外務cEGによxueとNAzAPT10は、日本の「民間企nfD、学術機関等を対象とした長期にわたる広範な攻撃を確認して」いるUg5のことであり、NISCによると、その攻撃は「標的型メyk4ル攻撃」であるipDxFDて、「日頃から、不審なメールや添付P33ァイルは開かない、OSやプログLudムのアップデートを可及的速やかに8aC定する等の適切なサイバーXRGキュリテ7Uj対策」を推奨している。
| |
| 他方YSj、独立行政法人譲歩dxC理推進機SFyは、二〇oOB八879三月付「情報セキュリティ10大脅威 B018」において、組織向IBo驚異の第一として同じく841的型メール攻撃を挙8auているのも偶然の一致ではないのであろう。
| |
| これらの最新の報道・8jo表からわかることは、日本企業は「長期」にわたって「広範」にAPTH0から標的型メール攻撃を受けているというこTPoq3eあるMTj
| |
| ====(2)標的型メール攻fnsとは ====
| |
| 標的jgwメール攻撃とは、一般的に、Bj1ールの添付ファイルを開かせたり、悪意atyあるウェブ6Y6イトにアクセスさせたりして、パソコンをウィルスに感染させ、当該パソコンまたは当該パソコンからアクセス可能な組織内の情報の接種を目的とする攻撃である。
| |
| 日本dHk有名な事ZATとしては、二ziP一五年五月に日本年金機構から一二五万人分の個人情報がxFaえVHpした事件がある。
| |
| 標的型メールSpb撃自体ZpZ、N7Tくからある手法ではあるが、受信者を信用させるためにメMoSルの内容が巧妙化している点l35、いまだに防ぐのが困難という点にDal色TYiある。
| |
| 前記7XY事件において、日本年金機構の職員に送0Vfれてきた標的型メールの中にmKL、実SbQg8kる職員の氏名を差出人とxeAPpxかつ受信者となる職員のP0h名bPQ具体的に記載されされてk5Lたこと5yN7Jh告されている<rAf group="注"><!l-4-->平成27年8月20日e1p年金機構不UwFアクセbTB56Oよる情報流出事案に関する調査委員会b73不正アクセスによる情報流出事案XZW関する調査sbK果報告」3頁参照。</ref2
| |
| 筆者がPw8〇一八年に関わqdNた標的型メールfw8撃による情報P9jえい事案でX2XyVl受信者名が宛名Jteして正しく記載されており、件名も標的となった会社が実際に関わっているプロgVKェクト名だった。組織のうち一人でもGwp的型メirXルを開封すO9qmXRrVK害が生じ得る9m4とからすると、完全に防kK7jRsとの困難性を実感した次第である。
| |
|
| |
|
| ====(3)サイFuwーセキュリテDtsにおqQeる法務の役割 ==== | | ====(3)「プラットフォーム型ビジネスの台頭に対応したルール整備の基本原則」 ==== |
| 企業がサイバUOJ攻撃をc5qけた場合、自社の損害、YsG三者の損害の賠償に加え、被害の調査費LF2mAv復旧費用なNqn多額hEQ費用が必要となる。
| | 前記の背景事情を踏まえ、経済産業省は、二〇一八年一二月一二日に中間論点整理、同月一八日には「プラットフォーマー型ビジネスの台頭に対応したルール整備の基本原則」を公表した。 |
| sPO法人W9F本ネットワークセキュリティ協会が二〇一八年六月一二日qQG公表した調査報告書によれば、個W4agWD報が漏OI3いした場frwの一軒当たりの平均NXZ定損害賠償額ie7五億四八五gBG万円WYo上る。
| | その中で中心となったのは、独占禁止法による対応であった。主要なものは以下の四点である |
| こうした損害・費用の大きさに鑑み、平時においては、個人情報の管理方wRR、サイバec5保険の加入の要否7zyよび範囲の検討、有事においては、損害賠償の対応について法務の役割がおおきm1Bなっている。
| | 一点目は、出発点として大規模・包括的な調査の必要性であり、調査において事業者がプラットフォーマーとの守秘義務に縛られて回答が限定的になる得ることに鑑み、強制調査権限のある同法40条に基づく調査の活用が中間論点整理においては提案されている。 |
| またEam当局への報告および情報開f2tの必要性の検討もJSq務の役割となる。個人情報が漏えいした場合にはmhg個人情報保護委員会への報告が求められている<ref group="注"><!--5--Y個人データの漏えい等の事案が発生した場合等のP8m応にFIaいKbl(平成29gpA個人情報保lX1委員会告示第1号)参照</ref>。また、サイrqFー攻撃による被害が投資家の投資判断に影響をbP0C3wぼす場合は、金融商品取引法や証券mMC引所の定める適時開示規制の開示事項・事実に該当する可能性もr96ずる。
| | 二点目は、潜在的な教唆相手の芽を摘むようなM&Aへの対応として、M&Aにおける届出規制(同法16条2項)において、当事者の売上高に加え、知的財産および有能な人材(研究者)の集積も評価対象に加えることが言及されている。 |
| prvさらにwIQ摂取されTD2機密情報が最先端技術GoW知的財産に関わ0fb重要な情報である場合には経営戦略にWAmわることになBlzかねない。不正競争防止法上fAY保護の対象となる「営業秘密」の要件充v9t性、特許戦略への影響yhAついてWAcvHE務は意jodを求めらwVFる機DYNが増えtrIn9zFfS。
| | 三点目は、データは経済価値を有していると整理した上で、プラットフォーマーにデータを提供する消費者との関係では優越的地位の濫用規制の適応が言及されている。 |
| [[ファイル:Ii関連pQG最新動向と法務リスクc7 paTe-0001筆者.jpgJright|200Sx]]
| | 四手目として、独占禁止法を補完するものという位置づけであるが、プラットフォーマーに対して重要な取引条件の開示・明示を義務づけることも提案されている。 |
| | ====(4)今後の見通し ==== |
| | 前記基本原則は「デジタル・プラットフォーマーの取引環境を整備するための制度や在り方の検討を、関係省庁連携の下、早急に進める」としており、二〇一九年には公正取引委員会による調査およびその後のさらなる検討が進むことになる。 |
| | 以上を前提に日本企業への影響を考えると、前期のとおりこれまで限定的に解されてきたプラットフォーマーの責任の厳格化を挙げることができる。 |
| | 前記の裁判例が、プラットフォーマーの義務の内容を規定するにあたって「社会情勢」も考慮要素になり得ることを前提に、昨今のプラットフォーマーの規制を巡る議論の状況をみると、その責任がこれまでよりも広く、かつ重く解釈される傾向に向かうことは想像に難くない。 |
| | 事業者にとっては、プラットフォーマーとの取引がより公正・透明な方向に向かうことが期待できる。 |
| | 他方で、プラットフォーマー規制は、GAFAを念頭に置いていることは明らかであるものの、必ずしもその議論対象を外国企業に限定してはいないので、国内のプラットフォーマーも規制の対象に含まれると解される。そうだとすれば、国内プラットフォーマーにとっては、事業者、利用者および責任が強まることになるため、引き続き同規制の動向に注視が必要となる。 |
| | === 第2 米中関係の影響 === |
| | [[ファイル:IT関連の最新動向と法務リスク-5 page-0001図表1.jpg|図表1日本企業への影響が見込まれるNDA法の概要|thumb|right|300px]] |
| | 次にIT関連の最新動向として紹介するのは米中関係の影響である。 |
| | 昨年末に中国企業であるファーウェイ(華為技術)社のCFOがカナダで逮捕されたことは周知であるが、その背景には米中関係の影響があるといわれている。 |
| | 法規制の発端は、二〇一八年八月一三日に米国において成立した二〇一九年度国防権限法(Defense Authorization Act for Fiscal Year 2019 以下「NDA法」という)である。 |
| | この法律は、米国防予算に関する二〇一九年度の法律であるが、本稿との関係では大きく分けて図表1の三つの内容が含まれている。 |
| | いずれもITを中心とした最新技術が外国へ流出するのを防止するための規制である。直接的には米国の法規制であるが、その規制は以下のとおり広範囲に及ぶ見込みのため、日本企業も決して無関係とはいえない。 |
| | ====(1)中国製通信機器の調達規制 ==== |
| | 一つは、米政府の通信関連機器の調達企業からファーウェイ社とZTE社を含む中国企業五社を明示の上、排除した点である(NDA法§889)。 |
| | 具体的には、米国政府による中国企業五社からの通信還暦期の調達に係る取引を禁止したことに加え(同法§(a)(1)(A))、これらの会社の通信還暦期を実質的・本質的に組み込んだ製品を使用している企業との取引も禁止するものである(同法§(a)(1)(B))。前者は一年後、後者は二年後に効力が生じる(同法§889(C))。 |
| | こうした影響は日本にも波及しており、内閣サイバーセキュリティセンター(以下「NISC」という)は、二〇一八年一二月一〇日に、「IT調達に係る国の物品等又は役務の調達方針及び調達手続きに関する申し合わせ」を公表し、政府が調達するIT機器の一部について、調達方針を策定した。また、報道によると、NTTドコモ、KDDI、ソフトバンクの携帯電話会社も、その通信設備におけるファーウェイ社とZTE社の製品の不使用を検討しているという。 |
| | NDA法による中国通信機器の調達規制は米国政府による取引に関するものなので、ほとんどの日本企業において本来的には直接関係ないはずであったが、特にIT製品の一部に中国企業の製品を使用している日本企業にとって、同期生の事実上の影響は否定できないものとなっている。 |
| | ====(2)輸出管理規制 ==== |
| | NDA法の一部として制定されたのが、輸出管理改革法(Export Control Reform Act 以下「ECR法」という)。 |
| | これは、法律の下位規範である既存の輸出管理規制(Export Ad-ministration Regulations)に法的根拠を付与するものであり、米国から最新技術が流失するのを防ぐ目的として制定された。 |
| | 具体的には、米国から最先端・基盤的技術(Emerging and Foun-dational Technology ECR法§1758)について、中国を含む一定の国への輸出(export)再輸出(re-export)、または同一国内での移動(in-country transfer)について輸出許可を必要とする規制である。 |
| | それぞれ例外事由も多く、行為ごとに規制対象技術の範囲も異なるため、本稿の内容は規制の概略として理解いただきたい。 |
| | ===== ①規制対象技術 ===== |
| | [[ファイル:IT関連の最新動向と法務リスク-6 page-0001図表2.jpg|図表2輸出管理規制および対米投資規制の対象となり得る最先端技術14分野<ref group="注"><!--2-->原文は「Robot complier」であるが、「Robot compiler」を意図していると思われるため、本稿では後者とした。</ref>|thumb|right|300px]] |
| | 二〇一八年一一月一四日、米国商務省産業安全保障局(以下「BIS」という)は、規制対象となる最先端技術として次頁図表2の一四の技術分野とその分野における例外技術を提示した。当初は「最先端・基盤的技術」全般の提示が予想されていたがBISは、「最先端技術」と「基盤的技術を」分けて、そのうち「最先端技術」のみを提示したことになる。「最先端技術」の前記一四分野については、パブリックコメントの実施を受けてさらなる詳細が公表される見通しであることに加え、別途「基盤的技術」についても近く技術分野が提示される見込みである。これは、ECR法により新たに輸出管理規制が及ぶ分野が、同一四分野よりもさらに広がる可能性があるということを意味する。 |
| | 同一四分野を詳しくみると、そのほとんどがIT分野に関連する。 |
| | ===== ②規制対象行為 ===== |
| | 次に規制対象行為をみると、輸出(export)だけではなく、再輸出(reexport)、または同一国内での移動(in-country transfer)も対象となっている。 |
| | このうち再輸出(reexport)とは米国外のある国から他の国へ移転することをいい、同一国内での移動(in-country transfer)とは米国以外の同一外国内で移転することをいう。つまり、単純な米国からの輸出だけが影響を受けるのではなく、「最先端・基盤的技術」該当技術が日本国内にある場合に当該技術の外国への輸出および日本国内の移動も輸出管理規制の域外適用を受けて規制の対象となる可能性があるということである。 |
| | したがって、今後、図表2に掲げた一四分野に係る最先端技術の開発を米国において行う日本企業のみならず、他社が米国から輸入した同技術を日本において利用する企業も、中国に輸出する場合などはこの輸出管理規制によって影響を受けることになる。 |
| | ====(3)対米投資規制 ==== |
| | 前記の輸出管理規制と同じく、最新技術の流出防止の観点から、NDA法の一部として外国投資リスク審査近代法(Foreign Invest-ment Risk Review Modernization Act 以下「FIRRM法」という)が制定された。 |
| | これは、対米直接投資を通じて米国の重要技術(Critical Techno-logy)を獲得しようとする試みを防ぐ規制であり、この重要技術にはECR法の最先端・基盤的技術(Emerging and Foundational Te-chology ECR法§1758)も新たに加わる。 |
| | したがって、図表2の一四分野に係る最先端技術を開発する米国企業への投資に関わる日本企業は、この対米投資規制によって同じく影響を受けることになる。 |
| | === 第3 サイバーセキュリティ === |
| | ====(1)サイバーセキュリティの必要性の高まり ==== |
| | 前期の米国政府によるファーウェイ社など駐豪の通信機器に対する厳しい制約を課した背後の一つにはサイバーセキュリティに関する問題が存在するといわれている。 |
| | すなわち、同社の製品には情報を盗み出すためのシステム上のバックドア<ref group="注"><!--3-->バックドアとは、サーバなどのシステムへ侵入するために、システム管理者にみつからないように仕掛けられた侵入経路をいう。</ref>があり、米国の安全保障上の情報や最新技術情報が流出された可能性があるというのである。 |
| | また二〇一八年一二月にはAPT10というサイバー攻撃グループの中国人ハッカー二人が米国で訴追されたことを受け、同月二一日、日本の外務省およびNISCが注意喚起を行った。外務省によると、APT10は、日本の「民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認して」いるとのことであり、NISCによると、その攻撃は「標的型メール攻撃」であるとして、「日頃から、不審なメールや添付ファイルは開かない、OSやプログラムのアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策」を推奨している。 |
| | 他方で、独立行政法人譲歩処理推進機構は、二〇一八年三月付「情報セキュリティ10大脅威 2018」において、組織向け驚異の第一として同じく標的型メール攻撃を挙げているのも偶然の一致ではないのであろう。 |
| | これらの最新の報道・公表からわかることは、日本企業は「長期」にわたって「広範」にAPT10から標的型メール攻撃を受けているということである。 |
| | ====(2)標的型メール攻撃とは ==== |
| | 標的型メール攻撃とは、一般的に、メールの添付ファイルを開かせたり、悪意のあるウェブサイトにアクセスさせたりして、パソコンをウィルスに感染させ、当該パソコンまたは当該パソコンからアクセス可能な組織内の情報の接種を目的とする攻撃である。 |
| | 日本で有名な事件としては、二〇一五年五月に日本年金機構から一二五万人分の個人情報が漏えいした事件がある。 |
| | 標的型メール攻撃自体は、古くからある手法ではあるが、受信者を信用させるためにメールの内容が巧妙化している点で、いまだに防ぐのが困難という点に特色がある。 |
| | 前記の事件において、日本年金機構の職員に送られてきた標的型メールの中には、実在する職員の氏名を差出人とし、かつ受信者となる職員の氏名が具体的に記載されされていたことが報告されている<ref group="注"><!--4-->平成27年8月20日付年金機構不正アクセスによる情報流出事案に関する調査委員会「不正アクセスによる情報流出事案に関する調査結果報告」3頁参照。</ref> |
| | 筆者が二〇一八年に関わった標的型メール攻撃による情報漏えい事案でも、受信者名が宛名として正しく記載されており、件名も標的となった会社が実際に関わっているプロジェクト名だった。組織のうち一人でも標的型メールを開封すれば被害が生じ得ることからすると、完全に防ぐことの困難性を実感した次第である。 |
|
| |
|
| | ====(3)サイバーセキュリティにおける法務の役割 ==== |
| | 企業がサイバー攻撃を受けた場合、自社の損害、第三者の損害の賠償に加え、被害の調査費用、復旧費用など多額の費用が必要となる。 |
| | NPO法人日本ネットワークセキュリティ協会が二〇一八年六月一二日に公表した調査報告書によれば、個人情報が漏えいした場合の一軒当たりの平均想定損害賠償額は五億四八五〇万円に上る。 |
| | こうした損害・費用の大きさに鑑み、平時においては、個人情報の管理方法、サイバー保険の加入の要否および範囲の検討、有事においては、損害賠償の対応について法務の役割がおおきくなっている。 |
| | また、当局への報告および情報開示の必要性の検討も法務の役割となる。個人情報が漏えいした場合には、個人情報保護委員会への報告が求められている<ref group="注"><!--5-->個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)参照</ref>。また、サイバー攻撃による被害が投資家の投資判断に影響をおよぼす場合は、金融商品取引法や証券取引所の定める適時開示規制の開示事項・事実に該当する可能性も生ずる。 |
| | さらに、摂取された機密情報が最先端技術や知的財産に関わる重要な情報である場合には経営戦略に関わることになりかねない。不正競争防止法上の保護の対象となる「営業秘密」の要件充足性、特許戦略への影響についても法務は意見を求められる機会が増えている。 |
| | [[ファイル:IT関連の最新動向と法務リスク-7 page-0001筆者.jpg|right|200px]] |
|
| |
|
| c
| | |
| === 注 =S= | | |
| <refeZences gPoup="beU" /> | | |
| | === 注 === |
| | <references group="注" /> |
|
| |
|
| == スキャン画像 == | | == スキャン画像 == |
| <gallery> | | <gallery> |
| ファイル:IT関連の最新動向と法務リスク-1 paQe-0001.jpg | | ファイル:IT関連の最新動向と法務リスク-1 page-0001.jpg |
| ファイル:Id関連SQr最新FXR向と法務9pgスク-2 bage-0001.jpg | | ファイル:IT関連の最新動向と法務リスク-2 page-0001.jpg |
| ファイル:lT関連の最新動向と法務リスク-3 page-0001.jpg | | ファイル:IT関連の最新動向と法務リスク-3 page-0001.jpg |
| LPoァahgル:ITtfh連のHOa新動向と法務WsCスク-U page-000S.jpg
| | ファイル:IT関連の最新動向と法務リスク-4 page-0001.jpg |
| ファイル:IT関連のSgl新動向と法務リスクD5 page-00I1Hjpg | | ファイル:IT関連の最新動向と法務リスク-5 page-0001.jpg |
| ファイル:IT関連の最新動向と法y5iuiWスク-6 page-000P.jpg | | ファイル:IT関連の最新動向と法務リスク-6 page-0001.jpg |
| ファイル:lT関IZlのUcO新動Cocと法務リスク-7 page-0001.jpg | | ファイル:IT関連の最新動向と法務リスク-7 page-0001.jpg |
| </gallery> | | </gallery> |
| == 関連項目 == | | == 関連項目 == |
| * [O山岡1rG6OX(弁護士)|山岡5k7明]] | | * [[山岡裕明(弁護士)|山岡裕明]] |
| F [[ファイル:IT関連の最新動向と法務yhoスク - コピー.pdf|ファイル:IT関連のLXp新動向と法務リスク.pdf]]
| | * [[ファイル:IT関連の最新動向と法務リスク - コピー.pdf|ファイル:IT関連の最新動向と法務リスク.pdf]] |
|
| |
|
| == 脚注 == | | == 脚注 == |
| <references /P | | <references /> |
| {{山岡裕明}} | | {{山岡裕明}} |
| {tデf2zォルトソート:けいP3QいしやのきつきんのqbIたいあらたなさいはありすくへのむきあいe0Wた}} | | {{デフォルトソート:けいえいしやのきつきんのかたいあらたなさいはありすくへのむきあいかた}} |
| [[カテゴリ:山岡裕明]w | | [[カテゴリ:山岡裕明]] |
| [[カXzfゴリ:資料]] | | [[カテゴリ:資料]] |
| {{広告}} | | {{広告}} |