IoTやビッグデータビジネスを始める際に最低限知っておくべき法的ポイント

自社の持つデータの利活用や管理は、いまや企業にとって重大なテーマに

 

最近は、IT業界に限らず様々な業界で、IoTやビッグデータのビジネスでの活用が注目を集めています。その一方で企業が持つデータは、不正アクセルによる漏えいや、内部の人間による持出しといった、さまざまなリスクを抱えています。

そのような中で、自社が持つデータをどう活用し、どう管理していくかは、現在の企業にとって重大なテーマとなっています。

そこで、今回の記事では、IoTやビッグデータに関する法律の規制や保護を整理したうえで、企業が具体的にどのようにデータを活用し、他の企業やユーザーと契約を結んでいくべきかについて解説していきます。

 

IoTサービスは、メーカー、ユーザー双方にメリットがある

 

IoTとは「Internet of Things」の略称で、様々な「モノ」（家電、自動車、工業機械、センサー等々）がインターネットに接続され、情報交換する仕組みをいいます。

現在、センサーやデバイス、通信インフラ、クラウドサービスが高性能、かつ低価格になり、IoT が一気に普及してきています。IoTが普及することにより、これまで埋もれていたデータが処理、分析、連携等されるようになり、自動化が進んだり、これまでにない価値やサービスが生み出されることになります。

たとえば、機械メーカーが、工場に納入した機械にセンサーと通信機能を付けて、納入した機械の稼働データを継続的に収集して分析することで、ユーザーである工場に対して、適切なタイミングで機械のメンテナンスを案内することもできます。

このようなIoTサービスによって、ユーザーである工場は機械を安定的に稼働することができ、機械メーカーは継続的な取引をすることができ、メーカー、ユーザー双方にメリットがあるといえます。

 

IoTで収集したデータは法律上誰のもの？

 

さて、この事例では機械の稼働データが利用されていますが、このデータは一体誰ものなのでしょうか。

ユーザーである工場は、例えば工場の稼働ラインの見直しのために機械の稼働データを分析しようとした場合に、機械メーカーの同意なしにそれができるのでしょうか。

一方で、機械メーカーは、ユーザーである工場の同意なしに、例えば新たな機械の開発や、他の企業向けに工場の生産性向上のコンサルティングサービスに利用することができるのでしょうか。

この問題は、「データは法律上誰のもの？」という点を考える必要があります。

所有権の対象では？と思われるかも知れませんが、所有権は形あるもの（有体物）に対する支配権です。データは形がないもの（無体物）なので、所有権の対象にはなりません。

では、著作権の対象では？と思われるかも知れませんが、著作権は創作的な表現物に対する支配権です。例えばソフトウェアやソースコードやイラストのデータであれば、著作権の対象にはなりますが、機械の稼働データのような、単なる事実のデータは著作権の対象にはなりません。

というわけで、実はデータそのものは、原則として法律上保護されておらず、誰のものでもないのです。

 

データは誰のものでもないことによって生じる不合理

 

例外として、それが個人情報であれば、個人情報保護法という法律で保護されて、本人のものとなります。

また、企業内部で営業秘密として厳格に管理されているデータであれば、不正競争防止法という法律で保護されて、その企業のものとなります。ただ、不正競争防止法で保護される営業秘密は、みなさんがイメージする営業秘密よりもかなり狭い範囲のものなので、一般的にIoTで取り扱われるデータは、不正競争防止法では保護されないでしょう。

というわけで、この事例で、稼働データそのものは機械メーカー、工場、どちらのものでもありません（誰のものでもありません）。

稼働データを誰がどう利用できるかは、機械メーカーとユーザーである工場との間で、稼働データの利用について契約で取り決めていなければ、稼働データを保存するサーバーを管理してデータにアクセスできる側が自由に利用できる一方、他方の側は利用することができない、という関係になります。

そもそも、なぜデータが原則として法的に保護されないかというと、データはコピーも簡単にできますし、利用することで壊れたり減ったりするものでもないので、特定の者に独占させるのではなく、広く利用されることが世の中にとって有益だからといわれています。

先程紹介した事例で、もし機械メーカーが管理するサーバーにのみ稼働データが保存され、機械の売買契約以外には何らの契約書も交わされていない場合には、機械メーカーは稼働データを独占的に自由に利用できる一方で、工場は全くデータを利用できないことになります。

しかし、工場が機械を稼働させなければ、実際の製造現場で稼働させた場合のリアルな稼働データは創出できないにもかかわらず、機械メーカーがデータを独占して、工場に独自のデータ利用のニーズがあっても全く利用できないというのは、不公平・不合理に感じるところもあります。

 

政府が採用している「データオーナーシップ」という考え

 

IoTビジネスでは、データの創出に多数の者が関与する一方で、データがメーカーやサービス事業者のサーバーに送信されてユーザー側の機器には残りません。そのため、データを生み出したユーザーがデータを保有しない事態が多発することになり、上記のようなデータ利用の不公平・不合理な感覚がより問題視されることになります。

そのような中で、データを生み出したユーザーによるデータの活用の権限を公平に認めていくべきだ、という「データ・オーナーシップ」という考え方が注目されてます。

現在政府は、この「データ・オーナーシップ」の考え方を採用しています。そして、データの保護については、特許権や著作権のような独占的な法的権利を新たに認めるのではなく、データの創出に関与した者の間において、データ利用契約を結び、その中で利用権限や利用範囲を明確化することで解決し、その設定されたルールから外れた者に対してのみ規制を行うという方向で整理しています。

経済産業省は、企業間でデータの利用権限が不明確なためにデータ流通が進まないという課題を解決すべく、企業間の取引に関連して創出、取得または収集されるデータの利用権限を契約で適正かつ公平に定めるための手法や考え方を整理した「AI・データの利用に関する契約ガイドライン」を策定しました。

IoTやビッグデータビジネスをやる場合は、このガイドラインを読んでおいたほうが良いでしょう。

＜参考＞経済産業省　「AI・データの利用に関する契約ガイドラインを策定しました」

 

データの利用契約を結ぶ際の4つの注意点

 

さて、データの利用契約を結ぶ際に、当事者が、扱われるデータの種類、価値等について十分な知識を有しないがために、一方的に不利な条件や、法的なリスクが手当できていない内容で契約が締結されてしまうこともあります。

また、契約交渉に精通する人材を抱えた大企業がベンチャー企業と契約する場合に、契約交渉能力の差から一方的に不利な条件で契約が結ばれてしまうこともあります。

そこで、データの利用契約を結ぶ際にこれは絶対に抑えておくべき、という以下４つの注意点を解説します。

1. データの価値に見合った、適切な対価・利益の分配をするには
2. 安易に譲渡にしない方が良い！データの譲渡・利用許諾の違い
3. 契約を結んで収集したデータの品質に問題があった場合の保証
4. 個人情報を含むデータの取り扱いは慎重に

 

１．データの価値に見合った、適切な対価・利益の分配をするには

 

収集したデータがどれだけの価値を生むかわからない段階で、適切な対価を設定することは困難です。

データを購入する側としては、実はそんなに価値のないデータに高すぎる金額で買いたくないですし、データを販売する側としては、実はかなりの価値のあるデータを安すぎる金額で売りたくないです。

そこで、「イニシャル・ロイヤルティ+ランニング・ロイヤルティ方式」による対価の設定がおすすめです。

これは、契約締結時にイニシャル・ロイヤルティ（一定の金額）を支払い、その後、データの利用に伴って利益が生じた場合に、その利益の一定割合をランニング・ロイヤルティ（契約期間中に支払われる利益等に応じた金額）として支払う方式です。

この方式は、データを購入する側、販売する側、双方にとって納得感のある結論になりやすいというメリットがあります。

データを購入する側としては、購入したデータにあまり価値がなく利益が出なかった場合は、イニシャル・ロイヤルティの支払だけで済みますし、利益が出た場合でも、それに見合ったランニング・ロイヤルティを支払えば足ります。また、データを販売する側としても、最低限のイニシャル・ロイヤルティの支払いは受けられますし、利益が出た場合は、それに見合ったランニング・ロイヤルティを支払ってもらえます。

では、イニシャル・ロイヤルティやランニング・ロイヤルティの金額やパーセンテージは、どのような要素から決めればよいでしょうか。

これは、「寄与度の観点」から決めるのが良いでしょう。

例えば、価値の高いデータを不当に（騙して）安く買い取ることが駄目、というのは誰しも納得すると思います。その一方で、誰もが100円だと思っているデータについて、何らかの加工したり、他のデータと組み合わせたり、販売先を変えたり、見せ方を変えることで、それが100万円で売れることがあるかもしれません。

このようにデータの価値を見抜くことは、データビジネスの本質といえます。そのような場合に、後から「100万円の価値があるデータを騙して100円で売らせた」、「大企業が強い立場を利用してベンチャー起業をいじめている」と言われてしまうと、データの価値を見抜くビジネスは難しくなります。

そこでこの問題は、「どちらが寄与したか」という寄与度の観点で判断するのが適切です。

たとえば、対象となるデータが希少なものであれば、それを収集して提供した側が大きな寄与をしたと判断されるべきですし、逆に、データの価値を見抜ける人が希少なものであれば、購入したデータから高い価値を生み出した側が大きな寄与をしたと判断されるべきです。

そして、寄与度が大きい側が、イニシャル・ロイヤルティやランニング・ロイヤルティの金額やパーセンテージを決める際に、より利益の分配を受けられるようにすべきでしょう。

 

２．安易に譲渡にしない方が良い?データの譲渡・利用許諾の違い

 

データを提供する契約をする場合に、データの「譲渡」と「利用許諾」の、2つのやり方が考えられます。

データの「譲渡」とは、データの利用をコントロールできる地位など、データに関する一切の権限を譲渡相手に移転させ、データ提供者はそのデータに関する一切の権限を失わせることです。例えば、第三者のサーバにあるデータに対するアクセス権を譲渡相手に与えて、データ提供者はそのデータのアクセス権を失う方法などです。

一方でデータの「利用許諾」は、データ提供者が保有するデータの利用権限を一定の範囲で許諾相手に与えるものの、 データ提供者はデータに関する全ての利用権限を失うものではないことです。例えば、データ提供者のサーバにあるデータの利用権限（アクセス権など）を許諾相手に与えつつ、データ提供者もそのデータの利用権限を失わず、かつ、契約終了時には許諾相手に（許諾相手内部にある）データの消去義務を負わせ、さらにそのデータに対するアクセス権を停止させる方法などです。

さて、どちらを選ぶかという点に関して、例えば自社でそのデータを活用できないからといって、安易に「譲渡」しないほうが良いでしょう。実はそのデータに高い価値があるかもしれませんし、自社で活用できないとしても、別の第三者に利用許諾して、そこから改めて利益の配分を受けられるかもしれないからです。

また、「利用許諾」に関しては、データ提供者が、最初の許諾相手以外の第三者に対しても、引き続きデータの利用許諾をすることができるのか（非独占）、それとも、最初の許諾相手だけが独占的にそのデータを利用できるのか（独占）、契約で明確に定めておく必要があります。この、独占なのか非独占なのか、という問題は、後になって揉めがちなので、注意してください。

 

３．契約を結んで収集したデータの品質に問題があった場合の保証

 

データを提供する契約を結んだものの、

・提供データが不正確（時間軸がずれている、単位変換を誤っている、検査をクリアするためにデータが改竄または捏造されているなど）
・不完全（データに欠損や不整合がある）
・有効ではない（計画された通りの結果が達成できるだけの内容をデータが伴っていない）
・提供データがウィルスに感染していて安全ではない
・第三者の知的財産権を侵害している

といったように、提供データの品質に問題があり、データ受領者が契約の目的を達成できないことがあります。そのような場合、データ提供者は法的責任を負うのでしょうか。

この点、データ提供者が法的責任を負うかどうかは、「対価性」、つまりデータの提供が有償か無償かで変わってきます。

無償で提供したにすぎない場合であれば、データの品質に問題について知っていたか、あるいは重大な過失で知らなかったような場合を除き、原則責任を負わないでしょう。

一方で、有償で提供している場合はもちろん、仮にデータ提供自体が無償であっても、データを利用した開発契約で、データ受領者であるベンダが、データ提供者であるユーザから提供されたデータを他の目的に利用できる代わりに、開発の代金を下げているような場合は、実質的には有償で提供されたと評価できるので、データ提供社は責任を負うことになるでしょう。

もっとも、「提供データの品質」といっても様々な内容があるため、提供データの正確性、完全性、有効性、安全性、第三者の知的財産権の非侵害等について、どの範囲でデータ提供者が責任を負うのか、契約で明確に定めておくべきです。

なお、たとえ有償でのデータ提供契約であっても、

「データ提供者は、提供データの正確性、完全性、有効性、契約目的への目的適合性、安全性、第三者の知的財産権の侵害性について、一切保証しない。」と、データ提供者が、このような提供データの品質について一切保証しないという規定を契約書で定めた場合、契約自由の原則により、その規定は、基本的には有効であると考えられます。

もっとも、一切保証しないと規定した場合でも、提供データの品質に問題があることついてデータ提供者に故意又は重過失があるような場合は、法的責任を負う可能性はあるでしょう。

また、

「データ提供者は、可能な限り、提供データが正確かつ完全であり、契約目的の関係で有効かつ安全であり、第三者の知的財産権を侵害しないように努める義務を負う。」として、これらについてデータ提供者の努力義務とする方法もありえます。

もっとも、努力義務とした場合でも、提供データの品質についてデータ提供者が何も努力もしていないような場合は、努力義務違反として法的責任を負う可能性はあるでしょう。

 

４．個人情報を含むデータの取り扱いは慎重に

 

個人情報を含むビッグデータを利用する場合は、どのような注意点があるのでしょうか。

機器等の稼働状況に関するデータといった産業用データと異なり、個人情報に関しては、個人情報保護法で保護されています。

個人情報とは、生存する個人に関する情報で、 「特定の個人が識別できる」ものです。ただし、その情報単体で特定の個人が識別できなくても、他の容易に照合できる情報によって特定の個人が識別できれば個人情報になります。これを「容易照合性」といいます。

なお、容易照合性は相対的なものです。例えば、株式会社＊＊社員番号＊＊番という情報は、その会社内部では（社員リストなどの容易に照合できる情報によって）特定の個人を識別できるので個人情報ですが、その会社外部では（基本的に）特定の個人を識別できないので個人情報にはなりません。

個人情報保護法の義務として、取得時に利用目的を特定して、通知又は公表する必要がありますが、事後的に、公表した利用目的の範囲外で利用するためには、本人の同意が必要です。また、第三者に提供する場合も、基本的に本人の事前の同意が必要です。

たとえば、自社の従業員にウェアラブル端末を装着させて、当該端末から生体情報データを収集して分析し、健康不良等の従業員を検知して健康指導をしていた会社が、本人の特定と生体情報データとを照らし合わせて自社商品の開発やマーケティングに役立てようとする場合は、利用目的が変更になるので、従業員本人から同意を得る必要があります。

あるいは、従業員の生体情報データを、第三者である健康保険組合に提供して、検診や保健指導にも利用させるような場合は、第三者提供になるので、やはり従業員本人から同意を得る必要があります。

このように、個人情報を含むデータを活用する場合には、誰が、いつ、どのような方法で、当該個人情報の本人から同意を得るのかを考え、ビジネススキームを構築することが重要となってきます。

ところで、自社が取得した個人情報をマーケティングとかで使える有益なデータとして他社に提供、販売するケースがあります。

この場合に、氏名を削除したりすれば、個人情報ではなくなるので、第三者提供に関する本人の同意は不要であると考えている企業も多いですが、それは誤解です。単に氏名等を削除したするだけでは、個人情報ではなくなったとはいえません。

実際にその点が問題となった事例として、大手交通系企業によるICカードの乗降データの提供の事案があります。氏名等の識別情報やICカードの固有のID番号等を消去して乗降データを提供していましたが、提供元である大手交通系企業では、加工された提供用データと元データとを照合することで容易に個人を識別することが可能であり、加工された提供用データも未だ個人情報であるとして批判されました。

つまり、第三者提供の際の個人情報の該当性の判断は、提供先ではなく提供元において判断することになるので、提供先では加工した提供用データから個人を識別できないとしても、「個人情報」への該当性を否定する理由にはなりません。

この事件がニュースで取り上げられたことなどから、企業は個人情報を匿名加工して利用することに対して萎縮するようになり、日本においてビッグデータの利用が拡大しなくなったとも言われています。

そこで、改正個人情報保護法によって「匿名加工情報」という概念が導入され、企業が個人情報を匿名加工することで、本人の同意を得ることなく利用目的の範囲を超えた利用や第三者提供を行うことができる法的根拠が定められました。

もっとも、「匿名加工」の具体的な要求水準はあまり明確ではないので、弁護士などの専門家に相談して、匿名加工として十分かどうかきちんと確認するようにしたほうが良いでしょう。

 

IoTやビッグデータに関する法律相談は、お気軽にお問合わせください

 

というわけで、データは誰もが自由に無償で利用可能なものである、という大原則は今後も変更されませんが、一方で、IoTやビッグデータビジネスの普及に伴って注目されている「データ・オーナーシップ」という考え方は、データの取扱いに対する社会の考えを変え、データの資産化が意識されるようになっていくと思われます。

皆さんも、データは資産という意識を持って、適切な契約を結ぶことを心がけてください。

なお、当事務所は、IoTやビッグデータビジネスに関わる契約書の作成やチェック、契約交渉のサポートを手掛けています。ご相談があれば、お気軽にお問合せください。