1.はじめに
「IoTによって効率的に収集されたデータを、AIを用いて分析する」といった内容のニュースが連日のように流れています。「21世紀の石油」ともいわれるデータ(ビッグデータ)について、日本においても、その流通に係る各種制度の構築が急がれています。以下では、データ流通のための法的整備と市場原理について考察しています。
ただし、データ流通市場において流通が想定されているデータの範囲は広大であり、あらゆる種類のデータについて、その流通に係る法的課題を検討することは困難です。財産的価値を有するデータは、個人情報を含むデータと、個人情報を含まないデータと、に大別することができると考えますが、以下では特に「個人情報を含まないデータ」について、その流通市場に係る法的課題について考察します。なお、以下において考察する財産的価値を有する「個人情報を含まないデータ」としては、例えば、センサによって収集された工場の稼働データ等を挙げることができます。
2.現行法制度の状況
「個人情報を含まないデータ」について、データ自体は有体物(民法第85条)ではないため、所有権や占有権の対象とはなりません。物権法定主義(民法第175条)に従えば、法改正がなされない限り、「個人情報を含まないデータ」自体について物権上の請求権を行使するのは困難でしょう。「個人情報を含まないデータ」について、民法上の保護を受け得るとすれば、その利用等について債務不履行に基づく損害賠償責任(民法第415条以下)や不法行為に基づく損害賠償責任(民法第709条以下)等を追求することになると考えます。
では、「個人情報を含まないデータ」について、民法以外の法律はどのような保護規定を備えているのでしょうか。
著作権法は、「創作性」のあるデータ(著作権法第2条1項1号、第12条)および「創作性」のあるデータベース(著作権法第12条の2)を保護の対象としています。センサによって収集された工場の稼働データ等の「個人情報を含まないデータ」について、特に、センサによって収集されたリアルタイムの稼働データについて、「創作性」がどこまで認められるかは疑問です。
不正競争防止法は「営業秘密」を保護していますが、「営業秘密」として保護されるには、現行法上、「秘密管理性」、「有用性」、および「非公知性」の3要件を満たす必要があります(不正競争防止法第2条6項)。データ流通市場において流通が想定されているデータは「秘密管理性」の要件を満たさず、現行法制度の下では「営業秘密」とは認められないでしょう。
したがって、現行法制度においては、「個人情報を含まないデータ」について著作権法違反や不正競争防止法違反を主張することは困難であり、また民法上の不法行為責任を問うことも困難であると考えます。
3.データ保護強化の流れとデータ流通市場
現行法制度において「個人情報を含まないデータ」の利用を保護するのに最も有効な手段は、債務不履行に基づく損害賠償責任(民法第415条以下)等の契約責任を問うという方法でしょう。例えば、秘密保持契約は、データ利用を保護するために企業間で締結される最も一般的な契約の一つではないでしょうか。
しかし、契約責任によってしか保護されないとすれば、「個人情報を含まないデータ」の保護はあまりにも貧弱です。そこで現在、不正競争防止法を改正し、営業秘密以外のデータについても不正取得に対抗可能な新しい制度を導入する議論が進められています[1]。また、「秘密管理性」や「創造性」を満たさない「財産的価値を有するデータ」についても、法的保護対象とするための議論が進められています[2]。
このような議論は、営業秘密以外の「個人情報を含まないデータ」に係る権利について、法的地位を明確化した上で、その不正取得に対し不法行為責任を課すことにより、市場等を介した「個人情報を含まないデータ」の流通を促進しようとするものと捉えることができます。
4.データ流通に係る注意点
では、「秘密管理性」や「創造性」を満たさない「財産的価値を有するデータ」に係る権利の明確化、及び、不正取得の不法行為化によって「個人情報を含まないデータ」の流通は促進するのでしょうか?
結論から言えば、センサによって収集された工場の稼働データ等の「個人情報を含まないデータ」については、不正取得を不法行為化するだけでは、その流通を促進することは困難であると考えます。その理由の一つとして、不正ではない方法により利用許諾されたデータの利用について、未だ法的安定性が十分ではないと考えます。
センサによって収集された工場の稼働データ等の「個人情報を含まないデータ」については、利用許諾権者となり得る者が多数存在し、真に利用許諾権を有するのが誰であるのかを利用希望者が確認することは困難です。そのため、データ流通市場において利用許諾権者として振る舞う者と利用契約を結んだ利用者が、その利用契約の範囲で「個人情報を含まないデータ」を利用していた場合であっても、利用者は第三者から利用が不正使用であると訴えられる可能性が排除できないと考えます。
例えば、製造メーカ甲の下請事業者乙の工場Aにおいて、サーボモータBの稼働状況をセンシングしているセンサCがあるものとします。センサCのセンシングデータについて、利用許諾権を有するのは、製造メーカ甲でしょうか?下請事業者乙でしょうか?センサCを工場Aに納入した工作機械メーカ丙が、センサCのセンシングデータについての利用許諾権を有している可能性はないでしょうか?
センサによって収集された工場の稼働データ等の「個人情報を含まないデータ」の利用許諾権者について、公示制度はありません。また、これらの「個人情報を含まないデータ」は、日々大量に生成されるものであり、そのような「個人情報を含まないデータ」について利用許諾権者の公示制度を想定するのは実際上不可能でしょう。
そのため、「個人情報を含まないデータ」である「センサCのセンシングデータ」について利用を希望する丁は、「センサCのセンシングデータ」の利用許諾権を有するのが誰かを容易には確認することができません。
例えば、「センサCのセンシングデータ」の真の利用許諾権者が製造メーカ甲である場合、「センサCのセンシングデータ」について、データ流通市場において下請事業者乙から利用許諾を得た利用者丁が、下請事業者乙との利用契約の範囲で「センサCのセンシングデータ」を利用しているのにもかかわらず、製造メーカ甲から、「センサCのセンシングデータ」の不正利用を問われる可能性があります。
5.データ流通の円滑化のための条件「利用者の保護」
そのため、センサによって収集された工場の稼働データ等の「個人情報を含まないデータ」の流通を円滑化するためには、先ずは、「個人情報を含まないデータ」の利用者に対する保護が必要ではないでしょうか。
例えば、「個人情報を含まないデータ」について、データ流通市場において利用許諾権者として振る舞う者と利用契約を結んだ利用者は、その利用契約の範囲内での利用については、無過失の利用と推定される等の法整備が整うことにより、「個人情報を含まないデータ」の利用に係る法的安定性は改善されるでしょう。
市場において正規に購入した商品の利用について、利用者=需要者が不正利用の責任を問われ得るような商品・市場は、利用者=需要者から支持されないのと考えられます。
ただし、現時点では利用者による利用の無過失推定規定に係る議論は発表されていません。また、利用の無過失推定規定が今後仮に整備される可能性があるにせよ、データ流通市場の運用は既に始まっており、データ流通市場の管理者としては、利用者保護のための法整備を待っている訳にはいかないでしょう。さらに、日本国内の無過失推定規定のみによって海外の利用者による海外での利用がどの程度保護されるのかは不明確です。
6.市場原理を利用した利用者保護制度
法的規制によって市場参加者(例えば、データの利用者)を適切に保護できない場合、市場原理によって市場参加者を保護する制度が知られています。市場原理によって市場参加者を保護する制度は、例えば、商品の有するリスクを市場における商品の価値に適切に転嫁させることによって、市場参加者を保護しようと考えます。
具体的には、データ流通市場における利用者保護のために、「個人情報を含まないデータ」の提供者=利用許諾権者、及びデータ流通市場の管理者に、流通させる「個人情報を含まないデータ」の利用許諾権の正当性について、一定の役割を課す制度が考えられます。
ただし、データ流通市場の管理者に「個人情報を含まないデータ」の利用許諾権の正当性をチェックさせるのは実際的ではないでしょう。先ほどの例で言えば、「センサCのセンシングデータ」の利用許諾権を有するのが製造メーカ甲であるのか、それとも下請事業者乙であるのかを、データ流通市場の管理者に確認させるのは、データ流通市場の管理者の負担が重すぎ、また、非効率となると考えます。
データ流通市場においては、「個人情報を含まないデータ」の利用許諾権を有する者として振る舞う者に、「個人情報を含まないデータ」の利用許諾権の証明責任を負担させるのが合理的かつ効率的と考えます。先ほどの例で言えば、データ流通市場において「センサCのセンシングデータ」についての利用許諾権を有する者として振る舞っている下請事業者乙に、「センサCのセンシングデータ」の利用許諾権を自らが有することの証明責任を負担させるのが合理的でしょう。
もっとも、「自分の供給した商品の品質については供給者が責任を負う」としただけでは、データ流通市場の管理者は、自らが管理する市場において流通させているデータの品質(=利用許諾権の正当性)をコントロールするのは困難です。
ここで、自らが管理する市場において流通する商品の品質を、その市場の管理者がコントロールするための各種の制度が既に知られています。例えば、市場管理者は、市場参加者との間に、「商品の品質について問題が発生した場合、その旨を市場管理者に報告する。市場管理者は品質について問題が発生した商品の供給者の氏名等を公表する」との契約を結んでおくことにより、自らが管理する市場において流通する商品の品質をコントロールし得ることが知られています。リスクの高い商品の供給者であることが公表されることにより、需要者は、その供給者が供給する商品の有するリスクを、その商品の価格として評価することが可能となります。市場管理者は、商品の有するリスクを公表することによって、そのリスクが市場によって価格に適切に反映されるよう誘導することが可能となります。
この公表制度の利用は、市場管理者が、データの利用許諾権に係る各国法制度からある程度独立して、自らが管理する市場において流通するデータについて、その利用許諾権の正当性・合法性をコントロールし得るというメリットが想定されます。データ流通市場に参加する供給者と需要者とが異なる国・地域に属する場合、各国法制度の違いは利用許諾契約の主要なリスク源と考えられます。供給者と需要者とが異なる国・地域に属する場合であっても、市場管理者は、商品の有するリスクを公表することにより、需要者(=データ利用者)を適切に保護することができると考えます。
現在、日本でも「情報銀行」に係る議論が進められていますが、21世紀の資本の一つであるデータについて、その集約・利用・リスクマネジメントは、金融機関や先物市場などにおいて従来から実施されている資本の集約・利用・リスクマネジメントの手法が応用可能であることを示唆しているのかもしれません。
なお、日本でもデータ・オーナーシップに係る議論が進められており、これは、利用許諾権の帰属の明確化を促すものと捉えることができるでしょう。データ・オーナーシップのためのガイドラインとして、複数の事業者が関わるデータ・オーナーシップ契約の締結上の注意点が、幾つかの標準事例について議論されています[3]。ただし、データ・オーナーシップ契約について、現時点では、事例ごとの注意点の洗い出し・検討の段階にあり、「個人情報を含まないデータ」の「利用許諾権について、帰属推定・取得推定等の議論は未だ進んでいないようです。もっとも、データ・オーナーシップについてあらゆる事項を当事者間で契約内容として盛り込まねばならないとすれば、当事者の負担が大き過ぎる上に、データ・オーナーシップについて、権利としての安定性が不十分となることも危惧されます。
いずれにしろ、「個人情報を含まないデータ」の流通に係る法整備については、未だ具体的な発表は少なく、今後とも議論の進展を注視していく必要があるでしょう。ただし、上述の通り、「個人情報を含まないデータ」の流通促進のためには、少なくとも日本においては、利用者の利用保護が必要ではないかと考えます。
7.「個人情報を含むデータ」についての付記
今回の考察においては、「個人情報を含むデータ」は検討対象から除外しています。改正個人情報保護法が2017年5月末に施行され、また、欧州を中心に議論されているデータポータビリティの権利など、「個人情報を含むデータ」について検討すべき課題は数多くあります。
欧州においてデータポータビリティの権利は、民主主義の基礎として、個人のアイデンティティを形成する情報を管理する権能は個人のみが有するべきとのロジックで語られており、具体的には、①個人が自らのデータをデータ管理者から扱いやすい電子的な形式で取り戻す権利と、②あるデータ管理者から別のデータ管理者に移行させる権利の2つの権利から構成されます[4]。
例えば、メールやつぶやき等の履歴情報(個人のアイデンティティを形成する、蓄積された情報)を移転する権利(取り戻す権利、および、移行させる権利)は、利用許諾権の射程には収まりきらない範囲を有しており、慎重な検討が必要と考えます。
以 上
1 日本経済新聞「知財法制を一括見直し IoT利用促進へ経産省など提言」2017/4/19報道
2 経産省、営業秘密の保護・活用に関する小委員会、2017年5月「第四次産業革命を視野に入れた不正競争防止法に関する検討 中間とりまとめ」。なお、1996年3月11日にEUにおいて採択されたデータベース保護指令における「sui generis権」も同様の趣旨と考えられる。
3 平成28年8月29日、経済産業省、商務情報政策局 「オープンなデータ流通構造に向けた環境整備」
4 EU一般データ保護規則(General Data Protection Regulation、GDPR)20条
以 上