競争法における「サイバーセキュリティの確保」の要請
競争法における「サイバーセキュリティの確保」の要請(きょうそうほう-かくほ-ようせい)とは、八雲法律事務所に所属する山岡裕明と笠置泰平と畔柳泰成が雑誌「法律のひろば2023年1月号」に寄稿したコラムである。
概要
「法律のひろば」は ぎょうせいが発行する月刊誌である。
本文
読み切り
競争法における「サイバーセキュリティの確保」の要請
八雲法律事務所
弁護士 山岡 裕明
弁護士 笠置 泰平
弁護士 畔柳 泰成
一 はじめに
現代社会は、デジタル時代を迎え、様々な問題を解決するために情報システムやインターネットの利便性を追い求めた結果、その依存を深め、サイバーセキュリティ上のリスクを常に抱えることとなった。サイバーセキュリティリスクのマネジメントは、現在、世界中で重要な課題となっているが、その態様や程度によっては、競争上の懸念を生じさせることがある(注1)。このような状況は、特に一部のグローバルプラットフォーム事業者が急成長を遂げているデジタル市場において顕著である。そこで、本稿では、デジタル市場を中心として、競争法(注2)においてサイバーセキュリティがどのように考慮されるかについて検討したい。
二 サイバーセキュリティの意義等
1 サイバーセキュリティの意義
サイバーセキュリティは、サイバーセキュリティ基本法(以下「基本法」という。)において定義されている。すなわち、サイバーセキュリティは、電磁的方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていることを指す (基本法2条参照)。
このサイバーセキュリティが確保されていなければ、ハッカー等により不正アクセスがなされ、被害企業から情報が漏えいしたり、ランサムウェア等により情報が毀損されたりする事態となるおそれが生じる。そして、このような事態に至れば、その被害や影響が被害企業にとどまることはまれである。顧客情報の漏えいにより個人のプライバシー権等の権利が侵害されることにつながるのはもちろん、被害企業の基幹システムが停止することにより事業自体が停止するなどして、国民の生活、最悪の場合には国民の生命や社会システム全体に甚大な被害が発生するおそれもある(注3)。
2 サイバーセキュリティ確保の法的要請
基本法は、重要社会基盤事業者を含むすべての事業者に対し、サイバーセキュリティの確保と、国等が実施するサイバーセキュリティに関する施策に協力す るよう努めるべきことを規定している(基本法6条ないし8条)。
また、サイバーセキュリティ戦略本部は、令和4年6月17日、基本法11条及び256条1項5号に基づき、「重要インフラのサイバーセキュリティに係る行動計 画」(以下「行動計画」という。)を策定した。この行動計画においては、国民生活や社会経済活動に重要な影響を及ぼすことなく、重要インフラサービス (注4)の安全かつ持続的な提供を実現するという重要インフラ防護の目的との関係で、「サイバーセキュリティの確保」の重要性が確認されている(注5)。
3 小括
前記より、デジタル化の進んだ現代において、「サイバーセキュリティの確保」は、国民の生命や社会システム全体の安全保障にもつながる重要な要請であるといえ、このことは、基本法やそれに基づく行動計画においても改めて確認されているところである。
三 独占禁止法における「サイバーセキュリティの確保」の要請
1 「正当化理由」とサイバーセキュリティ
独占禁止法が禁止する行為要件に該当する行為であっても、何らかの「正当化理由」により独占禁止法上の違法性が否定されることがある(注6)。
この「正当化理由」という用語は、 実務上、多義的に用いられているが、「正当化理由」により独占禁止法上の違法性が否定されるかどうかの判断に当たっては、問題となる行為について、目的の正当性や、当該目的との関係で手段の正当性(相当性)が認められるか等の事情が考慮されることが多い。判審決例や公正取引委員会のガイドラインにおいても、「信用取引の安全を守り、手形制度の信維持を図る(注7)」「他の法律により当該取引又は当該取引条件による取引が禁止されている(注8)」「事故の防止による消費者の安全性確保等(注9)」「商品(エレベーター)の安全性確保(注10)」「安全、健康、その他の正当な理由(注11)」等のための行為であることが、独占禁止法上の違法性を否定する方向で考慮・検討されている。
前記二の検討のとおり、「サイバーセキュリティの確保」という目的は、国民の生命や社会システム全体の安全保障にもつながる重要な法的要請に基づくものであるから、これまで判審決例やガイドラインで確認された諸目的と同様に、「正当化理由」として独占禁止法上の違法性を否定し得るというべきである。
2 「サイバーセキュリティの確保」という目的による「正当化」の限界
既に述べたとおり、「正当化理由」により独占禁止法上の違法性が否定されるかどうかの判断に当たっては、目的の正当性のほかに、当該目的との関係で手段の正当性(相性)があるかどうかも考慮される。
この点、 事業者が「商品の安全性の確保」のために必要であると主張した行為について、そのような行為でなければ安全性を確保できないと認めるべき証拠は存しないとして、当該行為には独占禁止法上の正当性や合理性がない旨判断し、当該事業者の主張を認めなかった事例もある(注12)。
そのため、「サイバーセキュリティの確保」という目的で行われた行為であったとしても、「正当化理由」があるとして独占禁止法上の違法性が否定される範囲には限界があると考えられる。
この点、公正取引委員会が令和4年6月30日に公表した「株式会社サイネックス及び株式会社スマートバリューから中請があった確約計画の認定等について」 が参考になる。同事案では、自らが運営するホームページをリニューアルする業務(以下「本件業務」という。)の発注を検討している市町村等に対し、ホームページの管理を行うために導入するコンテンツ管理システム(以下「CMS」という。)について、オーブンソースソフトウェア(以下「OSS」という。)ではないCMSとすることが当該ホームページの情報セキュリティ対策上必須である旨を記載した仕様書等の案を、自らだけではCMSに係る仕様を設定することが困難な市町村に配布するなどして、OSSのCMSを取り扱う事業者が本件業務の受注競争に参加することを困難にさせる要件を盛り込むよう働きかけた行為(以下「本件違反被疑行為」という。)が、競争者に対する取引妨害に該当するかどうかが問題となった。公正取引委員会は、同事案の公表文において、市町村等において導入されるCMSを、情報セキュリティ対策からOSSではないCMSとしなければならない理由はないものと考えられる点を指摘している。
同事案は、事業者から申請された確約計画が認定されたものであって、本件遺反被疑行為が独占禁止法の規定に違反することが認定されたものではない。もっとも、公正取引委員会の前記指摘は、(そもそも「情報セキュリティ対策」という目的以外に真の目的が存在する可能性を指摘するものと解する余地はあるものの)文理上、「情報セキュリティ対策」という目的自体の正当性は一応肯定した上で、当該目的との関係で、市町村等において導入するCMSをOSSではないCMSに限定するよう働き掛けることの正当性(相当性)を問題視しているように理解できる。
3 小括
このように「サイバーセキュリティの「確保」という目的は、独占禁止法上、正当化理由として違法性を否定し得るものであるものの、当該目的との関係で正当性(相当性)が認められない行為については、「正当化理由」があるとして独占禁止法上の違法性を否定することはできないと考えられる。
四 「モバイル・エコシステムに関する競争評価中間報告」(注13)における「サイバーセキュリティの確保」の要請
令和4年4月26日、デジタル市場競争会議は、「モバイル・エコシステムに関する競争評価中間報告」を発表し(以下「中間報告」という。)、意見公募手続を 実施した(注14)。中間報告で検討された論点は多岐にわたるものの、大要、2つの巨大なモバイルOS事業者により形成されるモバイル・エコシステムにおける競争上の懸念に対しては既存の競争法での枠組みによる対処が困難であるとして、競争に悪影響を及ぼす危険性の高い
この節の加筆が望まれています。 |
注
画像
2023年1月11日、有志によって寄稿部分が開示された[1]。