「IT関連の最新動向と法務リスク」の版間の差分
ナビゲーションに移動
検索に移動
編集の要約なし
>チー二ョ (→関連項目) |
>チー二ョ 編集の要約なし |
||
| 4行目: | 4行目: | ||
== 概要 == | == 概要 == | ||
[[八雲法律事務所]]のお知らせにより掲載が明らかとなった<ref>{{Archive|https://www.daiichihoki.co.jp/store/products/detail/103553.html|https://archive.vn/Ruoqf|会社法務A2Z VOL2019-03 / 第一法規ストア}}</ref>。 | [[八雲法律事務所]]のお知らせにより掲載が明らかとなった<ref>{{Archive|https://www.daiichihoki.co.jp/store/products/detail/103553.html|https://archive.vn/Ruoqf|会社法務A2Z VOL2019-03 / 第一法規ストア}}</ref>。 | ||
== 本文 == | == 本文 == | ||
EUにおいて二〇一八年五月に「一般データ保護規則(GDPR)」が施行され、同規則が定める規制をクリアしなければデータの持ち出しが認められなくなったことで、対応に追われる日本企業も少なくなかった。IT関連法務の特徴は、海外の企業の動向及び諸規制が日本企業に看過できない影響を持ち得るという点にある。 | EUにおいて二〇一八年五月に「一般データ保護規則(GDPR)」が施行され、同規則が定める規制をクリアしなければデータの持ち出しが認められなくなったことで、対応に追われる日本企業も少なくなかった。IT関連法務の特徴は、海外の企業の動向及び諸規制が日本企業に看過できない影響を持ち得るという点にある。 | ||
| 28行目: | 25行目: | ||
====(2)プラットフォーマーに対するこれまでの考え方 ==== | ====(2)プラットフォーマーに対するこれまでの考え方 ==== | ||
では、これまでプラットフォーマーの責任はどのように考えられていたのか。従来わが国においては、プラットフォーマーは単なる場の提供者(媒介者)にすぎないので、積極的な責任を負わないと解されていた。 | では、これまでプラットフォーマーの責任はどのように考えられていたのか。従来わが国においては、プラットフォーマーは単なる場の提供者(媒介者)にすぎないので、積極的な責任を負わないと解されていた。 | ||
一般ユーザーとの関係でプラットフォーマーの責任が問題となった裁判例においても、限定的な場合においてのみ、その責任が肯定される余地が示されていた<ref>経済産業省「電子商取引及び情報財取引等に関する憶測」1-6参照。また、動画投稿サービスの運営者の責任が問題となった事案について知財高判平成22年9月8日判タ1389号324頁、インターネットショッピングモールの運営者の責任が問題となった事案について知財高判平成24年2月14日判時2161号86頁参照</ref>。 | 一般ユーザーとの関係でプラットフォーマーの責任が問題となった裁判例においても、限定的な場合においてのみ、その責任が肯定される余地が示されていた<ref group="注"><!--1-->経済産業省「電子商取引及び情報財取引等に関する憶測」1-6参照。また、動画投稿サービスの運営者の責任が問題となった事案について知財高判平成22年9月8日判タ1389号324頁、インターネットショッピングモールの運営者の責任が問題となった事案について知財高判平成24年2月14日判時2161号86頁参照</ref>。 | ||
ただし、Yahoo!オークションにおいて出品者の詐欺的取引に対する運営者の責任が問題となった裁判例(名古屋地判平成二〇年三月二八日、名古屋高判平成二〇年一一月一一日)は、一般論として運営者の利用者に対する義務に言及の上、当該義務の内容については「そのサービス提供当時におけるインターネットオークションを巡る社会情勢、関連法規、システムの技術水準、…(略)…システム利用者の利便性等を総合考慮して判断されるべきである」(地裁判決)としたように、そのプラットフォーマーの義務の検討にあたっては、その時点のプットフォーマーを巡る社会情勢も考慮対象となり得るとした点は重要である。 | ただし、Yahoo!オークションにおいて出品者の詐欺的取引に対する運営者の責任が問題となった裁判例(名古屋地判平成二〇年三月二八日、名古屋高判平成二〇年一一月一一日)は、一般論として運営者の利用者に対する義務に言及の上、当該義務の内容については「そのサービス提供当時におけるインターネットオークションを巡る社会情勢、関連法規、システムの技術水準、…(略)…システム利用者の利便性等を総合考慮して判断されるべきである」(地裁判決)としたように、そのプラットフォーマーの義務の検討にあたっては、その時点のプットフォーマーを巡る社会情勢も考慮対象となり得るとした点は重要である。 | ||
| 62行目: | 59行目: | ||
それぞれ例外事由も多く、行為ごとに規制対象技術の範囲も異なるため、本稿の内容は規制の概略として理解いただきたい。 | それぞれ例外事由も多く、行為ごとに規制対象技術の範囲も異なるため、本稿の内容は規制の概略として理解いただきたい。 | ||
===== ①規制対象技術 ===== | ===== ①規制対象技術 ===== | ||
[[ファイル:IT関連の最新動向と法務リスク-6 page-0001図表2.jpg|図表2輸出管理規制および対米投資規制の対象となり得る最先端技術14分野|thumb|right|300px]] | [[ファイル:IT関連の最新動向と法務リスク-6 page-0001図表2.jpg|図表2輸出管理規制および対米投資規制の対象となり得る最先端技術14分野<ref group="注"><!--2-->原文は「Robot complier」であるが、「Robot compiler」を意図していると思われるため、本稿では後者とした。</ref>|thumb|right|300px]] | ||
二〇一八年一一月一四日、米国商務省産業安全保障局(以下「BIS」という)は、規制対象となる最先端技術として次頁図表2の一四の技術分野とその分野における例外技術を提示した。当初は「最先端・基盤的技術」全般の提示が予想されていたがBISは、「最先端技術」と「基盤的技術を」分けて、そのうち「最先端技術」のみを提示したことになる。「最先端技術」の前記一四分野については、パブリックコメントの実施を受けてさらなる詳細が公表される見通しであることに加え、別途「基盤的技術」についても近く技術分野が提示される見込みである。これは、ECR法により新たに輸出管理規制が及ぶ分野が、同一四分野よりもさらに広がる可能性があるということを意味する。 | 二〇一八年一一月一四日、米国商務省産業安全保障局(以下「BIS」という)は、規制対象となる最先端技術として次頁図表2の一四の技術分野とその分野における例外技術を提示した。当初は「最先端・基盤的技術」全般の提示が予想されていたがBISは、「最先端技術」と「基盤的技術を」分けて、そのうち「最先端技術」のみを提示したことになる。「最先端技術」の前記一四分野については、パブリックコメントの実施を受けてさらなる詳細が公表される見通しであることに加え、別途「基盤的技術」についても近く技術分野が提示される見込みである。これは、ECR法により新たに輸出管理規制が及ぶ分野が、同一四分野よりもさらに広がる可能性があるということを意味する。 | ||
同一四分野を詳しくみると、そのほとんどがIT分野に関連する。 | 同一四分野を詳しくみると、そのほとんどがIT分野に関連する。 | ||
| 76行目: | 73行目: | ||
====(1)サイバーセキュリティの必要性の高まり ==== | ====(1)サイバーセキュリティの必要性の高まり ==== | ||
前期の米国政府によるファーウェイ社など駐豪の通信機器に対する厳しい制約を課した背後の一つにはサイバーセキュリティに関する問題が存在するといわれている。 | 前期の米国政府によるファーウェイ社など駐豪の通信機器に対する厳しい制約を課した背後の一つにはサイバーセキュリティに関する問題が存在するといわれている。 | ||
すなわち、同社の製品には情報を盗み出すためのシステム上のバックドア<ref>バックドアとは、サーバなどのシステムへ侵入するために、システム管理者にみつからないように仕掛けられた侵入経路をいう。</ref>があり、米国の安全保障上の情報や最新技術情報が流出された可能性があるというのである。 | すなわち、同社の製品には情報を盗み出すためのシステム上のバックドア<ref group="注"><!--3-->バックドアとは、サーバなどのシステムへ侵入するために、システム管理者にみつからないように仕掛けられた侵入経路をいう。</ref>があり、米国の安全保障上の情報や最新技術情報が流出された可能性があるというのである。 | ||
また二〇一八年一二月にはAPT10というサイバー攻撃グループの中国人ハッカー二人が米国で訴追されたことを受け、同月二一日、日本の外務省およびNISCが注意喚起を行った。外務省によると、APT10は、日本の「民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認して」いるとのことであり、NISCによると、その攻撃は「標的型メール攻撃」であるとして、「日頃から、不審なメールや添付ファイルは開かない、OSやプログラムのアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策」を推奨している。 | また二〇一八年一二月にはAPT10というサイバー攻撃グループの中国人ハッカー二人が米国で訴追されたことを受け、同月二一日、日本の外務省およびNISCが注意喚起を行った。外務省によると、APT10は、日本の「民間企業、学術機関等を対象とした長期にわたる広範な攻撃を確認して」いるとのことであり、NISCによると、その攻撃は「標的型メール攻撃」であるとして、「日頃から、不審なメールや添付ファイルは開かない、OSやプログラムのアップデートを可及的速やかに設定する等の適切なサイバーセキュリティ対策」を推奨している。 | ||
他方で、独立行政法人譲歩処理推進機構は、二〇一八年三月付「情報セキュリティ10大脅威 2018」において、組織向け驚異の第一として同じく標的型メール攻撃を挙げているのも偶然の一致ではないのであろう。 | 他方で、独立行政法人譲歩処理推進機構は、二〇一八年三月付「情報セキュリティ10大脅威 2018」において、組織向け驚異の第一として同じく標的型メール攻撃を挙げているのも偶然の一致ではないのであろう。 | ||
| 84行目: | 81行目: | ||
日本で有名な事件としては、二〇一五年五月に日本年金機構から一二五万人分の個人情報が漏えいした事件がある。 | 日本で有名な事件としては、二〇一五年五月に日本年金機構から一二五万人分の個人情報が漏えいした事件がある。 | ||
標的型メール攻撃自体は、古くからある手法ではあるが、受信者を信用させるためにメールの内容が巧妙化している点で、いまだに防ぐのが困難という点に特色がある。 | 標的型メール攻撃自体は、古くからある手法ではあるが、受信者を信用させるためにメールの内容が巧妙化している点で、いまだに防ぐのが困難という点に特色がある。 | ||
前記の事件において、日本年金機構の職員に送られてきた標的型メールの中には、実在する職員の氏名を差出人とし、かつ受信者となる職員の氏名が具体的に記載されされていたことが報告されている<ref>平成27年8月20日付年金機構不正アクセスによる情報流出事案に関する調査委員会「不正アクセスによる情報流出事案に関する調査結果報告」3頁参照。</ref> | 前記の事件において、日本年金機構の職員に送られてきた標的型メールの中には、実在する職員の氏名を差出人とし、かつ受信者となる職員の氏名が具体的に記載されされていたことが報告されている<ref group="注"><!--4-->平成27年8月20日付年金機構不正アクセスによる情報流出事案に関する調査委員会「不正アクセスによる情報流出事案に関する調査結果報告」3頁参照。</ref> | ||
筆者が二〇一八年に関わった標的型メール攻撃による情報漏えい事案でも、受信者名が宛名として正しく記載されており、件名も標的となった会社が実際に関わっているプロジェクト名だった。組織のうち一人でも標的型メールを開封すれば被害が生じ得ることからすると、完全に防ぐことの困難性を実感した次第である。 | 筆者が二〇一八年に関わった標的型メール攻撃による情報漏えい事案でも、受信者名が宛名として正しく記載されており、件名も標的となった会社が実際に関わっているプロジェクト名だった。組織のうち一人でも標的型メールを開封すれば被害が生じ得ることからすると、完全に防ぐことの困難性を実感した次第である。 | ||
| 91行目: | 88行目: | ||
NPO法人日本ネットワークセキュリティ協会が二〇一八年六月一二日に公表した調査報告書によれば、個人情報が漏えいした場合の一軒当たりの平均想定損害賠償額は五億四八五〇万円に上る。 | NPO法人日本ネットワークセキュリティ協会が二〇一八年六月一二日に公表した調査報告書によれば、個人情報が漏えいした場合の一軒当たりの平均想定損害賠償額は五億四八五〇万円に上る。 | ||
こうした損害・費用の大きさに鑑み、平時においては、個人情報の管理方法、サイバー保険の加入の要否および範囲の検討、有事においては、損害賠償の対応について法務の役割がおおきくなっている。 | こうした損害・費用の大きさに鑑み、平時においては、個人情報の管理方法、サイバー保険の加入の要否および範囲の検討、有事においては、損害賠償の対応について法務の役割がおおきくなっている。 | ||
また、当局への報告および情報開示の必要性の検討も法務の役割となる。個人情報が漏えいした場合には、個人情報保護委員会への報告が求められている<ref>個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)参照</ref>。また、サイバー攻撃による被害が投資家の投資判断に影響をおよぼす場合は、金融商品取引法や証券取引所の定める適時開示規制の開示事項・事実に該当する可能性も生ずる。 | また、当局への報告および情報開示の必要性の検討も法務の役割となる。個人情報が漏えいした場合には、個人情報保護委員会への報告が求められている<ref group="注"><!--5-->個人データの漏えい等の事案が発生した場合等の対応について(平成29年個人情報保護委員会告示第1号)参照</ref>。また、サイバー攻撃による被害が投資家の投資判断に影響をおよぼす場合は、金融商品取引法や証券取引所の定める適時開示規制の開示事項・事実に該当する可能性も生ずる。 | ||
さらに、摂取された機密情報が最先端技術や知的財産に関わる重要な情報である場合には経営戦略に関わることになりかねない。不正競争防止法上の保護の対象となる「営業秘密」の要件充足性、特許戦略への影響についても法務は意見を求められる機会が増えている。 | さらに、摂取された機密情報が最先端技術や知的財産に関わる重要な情報である場合には経営戦略に関わることになりかねない。不正競争防止法上の保護の対象となる「営業秘密」の要件充足性、特許戦略への影響についても法務は意見を求められる機会が増えている。 | ||
[[ファイル:IT関連の最新動向と法務リスク-7 page-0001筆者.jpg|right|200px]] | [[ファイル:IT関連の最新動向と法務リスク-7 page-0001筆者.jpg|right|200px]] | ||
| 98行目: | 95行目: | ||
=== 注 === | |||
<references group="注" /> | |||
== スキャン画像 == | == スキャン画像 == | ||