「AI・データの利用に関する契約ガイドライン」にみるデータ契約に関わる法的な基礎知識

このエントリーをはてなブックマークに追加

こんにちは、データデザイン部でアドバイザリーを担当している黒政です。
普段は富士通グループの一員としてデータビジネスの活性化を目指して渉外活動や研究発表を行っています。

経済産業省が公開したデータ契約に関するガイドライン[1]にはデータ利活用に携わるみなさんが知っておくべき法的な基礎知識がまとめられているのをご存じでしょうか。

ぜひ「AI・データの利用に関する契約ガイドライン 1.1版 -データ編-」[2]を読んでみましょう。200頁近いボリュームがあってちょっと引きますが、データ利活用に関わるのであれば「第3 データ契約を検討するにあたっての法的な基礎知識 - 1 データの法的性質および分類等」は必読です。

今回は、その中でガイドラインに書いていない公的部門とパーソナルデータを扱う際に注意することを紹介します。公的部門とは、国立大学や市区町村などの地方自治体など民間事業者以外の団体です。

アジェンダ

  1. 「AI・データの利用に関する契約ガイドライン」とは
  2. ツボは 「データ契約を検討するにあたっての法的な基礎知識」を記している第3の章
  3. ガイドラインが指す「個人情報」とは
  4. 民間事業者と公的部門との個人情報取扱の相違点

「AI・データの利用に関する契約ガイドライン」とは

2018年6月経済産業省は、民間事業者等が、データの利用等に関する契約やAI技術を利用するソフトウェアの開発・利用に関する契約を締結する際の参考として、契約上の主な論点、契約条項例、条項作成時の考慮要素等を整理し、公開したドキュメントです。1.1版を2019年12月9日に公開しました。
ガイドラインの対象読者は、事業者の契約担当者のみならず、その事業部門、経営層、データの流通や利活用に関連するシステム開発者等を含む契約に関係する全ての人を対象と想定しています。

ツボは 「データ契約を検討するにあたっての法的な基礎知識」を記している第3の章

第3 データ契約を検討するにあたっての法的な基礎知識
  1 データの法的性質および分類等
    ⑴ 総論
    ⑵ データ・オーナーシップ
    ⑶ データの分類方法
        <1> 構造化データ/非構造化データ
        <2> パーソナルデータ/非パーソナルデータ
    ⑷ データ利用と競争政策

要約すると以下になります。

データの法的性質

  • データは無体物であり、民法上、所有権や占有権、用益物権、担保物権の対象とはならない
  • データに対する「オーナーシップ」はデータの利用権限を指している
  • パーソナルデータは個人情報保護法で律するデータも含む
  • データ収集や取引も独占禁止法上の問題となりえる

データは無体物であり、民法上、所有権や占有権、用益物権、担保物権の対象とはならない

3-1⑴総論【抜粋】

  • データは無体物であり、民法上、所有権や占有権、用益物権、担保物権の対象とはならない
  • 所有権や占有権の概念に基づいてデータに係る権利の有無を定めることはできない
    (民法206条、同法85条参照)
  • 知的財産権として保護される場合や、不正競争防止法上の営業秘密として法的に保護される場合は、後記“第3-2-(2) 不正競争防止法による保護”で述べるように限定的であることから、データの保護は原則として利害関係者間の契約を通じて図られることになる
  • データの保護に関する知的財産権等としては、著作権、特許権、営業秘密等があるものの、以下の理由から必ずしもデータの保護のために十分に機能するわけではない。

データに対する「オーナーシップ」はデータの利用権限を指している

3-1⑵ データ・オーナーシップ【抜粋】

  • データ契約の議論に際して、「データ・オーナーシップ」という言葉が用いられることがある。これには現在のところ法的な定義がなく、必ずしも「データに対する所有権を観念できる」という意味で用いられているわけではない。
    むしろ、データが知的財産権等により直接保護されるような場合は別として、一般には、データに適法にアクセスし、その利用をコントロールできる事実上の地位、または契約によってデータの利用権限を取り決めた場合にはそのような債権的な地位を指して、「データ・オーナーシップ」と呼称することが多いものと考えられる。

パーソナルデータは個人情報保護法で律するデータも含む

3-1⑶ <2> パーソナルデータ/非パーソナルデータ【抜粋】

  • 「パーソナルデータ」という言葉には現行法上の定義はないものの、「個人の属性情報、移動・行動・購買履歴、ウェアラブル機器から収集された個人情報を含」み、「特定の個人を識別できないように加工された人流情報、商品情報等も含まれる」とされる。そのため、パーソナルデータには「個人情報に加え、個人情報との境界が曖昧なものを含む、個人と関係性が見出される広範囲の情報」が含まれ得る。このように、パーソナルデータの中には個人情報も含まれるものであり、その場合、法令に基づき適切に取り扱う必要があるものである。

データ収集や取引も独占禁止法上の問題となりえる

3-1⑷ データ利用と競争政策【抜粋】

  • データの収集については、不当な手段でデータ収集が行われたり、データ収集が競争者間の協調行為を促進したりする等、競争に悪影響を与える場合には、独占禁止法上問題となり得る。また、データの共同収集については、共同収集するデータにより競争関係にある他の参加者が今後販売する商品の内容、価格、数量を相互に把握することが可能となり、これにより競争者間における協調的行為の促進を生じさせる場合には、独占禁止法第3条(不当な取引制限)の問題になり得る。
    さらに、データを重要な投入財として利用する商品の市場において、競争関係にある事業者の大部分が、各参加事業者が単独でも行い得るにもかかわらず、データを共同で収集するとともに、参加者それぞれにおけるデータ収集を制限し、これによって、当該商品の市場における競争を実質的に制限する場合には、独占禁止法上問題となり得ると考えられる。

ガイドラインが指す「個人情報」とは

 個人情報を法令に基づき適切に取り扱う必要がある、としている法令は「個人情報の保護に関する法律」[3][4]いわゆる個人情報保護法を指しています。
個人情報保護法第2条5項において個人情報取扱事業者になるのは、国の機関、地方公共団体、独立行政法人等、地方独立行政法人を除くとしています。図示すると以下になり、民間事業者が対象です。

「AI・データの利用に関する契約ガイドライン」が対象としている個人情報の範囲

     出典 個人情報保護委員会[3][5] https://www.ppc.go.jp/files/pdf/personal_framework.pdf

つまり、民間事業者は、個人情報保護法に基づき個人情報を取り扱い、ガイドラインに沿ってデータ契約を行うことに関して全く問題はありません。
問題は、民間事業者が公的部門とデータ契約を結ぶ時に発生します。
民間事業者が国の行政機関[6]とデータ契約を結ぶ事例は少ないと思いますが、独立行政法人等[7]に相当する国立大学、地方公共団体いわゆる自治体の出先機関や病院、教育機関とのデータ契約は想定しておく必要があります。

民間事業者と公的部門で取扱制度が異なる

 おおまかに個人情報取扱制度の相違点をまとめると以下となります。地方公共団体は「個別確認要」としていますが、47都道府県、1741市区町村、あるいは地方独立行政法人等、約2000に及ぶ団体はそれぞれ個人情報保護条例を定めて運用しています。[8] これは2000個問題と言われ、取扱規律が異なっていると共に解釈や対応も一体となっていないためデータ利活用を阻害しているとされています。
 この制度を踏まえて、大学などの教育機関、病院などの医療機関、同一事業に参加する団体ありながら実施主体の準拠法制が異なるときは、準拠法の確認と関係する団体相互で丁寧な摺り合わせを行い不整合を無くす必要があります。

  • 個人情報の定義
    民間では生存する個人に関する情報ですが、自治体によっては死者も含むことがあります。
    また、条文上で定義している個人情報の範囲が異なることがあります。
  • 個人情報周辺のデータ類型
    ガイドラインでは匿名加工情報が紹介されていますが、これは民間限定のデータ類型です。
    公的部門では匿名加工情報の概念に倣った非識別加工情報が導入されていますが、匿名加工情報の運用とは全く異なるため注意が必要です。
  • 第三者提供に関する取り扱い規律
    民間では共同利用やオプトアウトでの第三者提供も可能ですが、公的部門は基本的に同意に基づく第三者提供になります。
    公的部門では、学術研究を目的とした場合に第三者提供が可能になります。
  • 適用除外
    個人情報保護法には報道機関、著述目的、学術研究、宗教団体、政治団体に対して義務規定を免除する例外事項があります。
    このうち学術研究を行う機関や団体が公的部門にもありますのでここに掲載しています。
  • 越境データ
    民間事業者は、EU域内から日本への個人データ移転について十分性認定により簡易な手続きで実施することができます。[9] ただし、前項の適用除外となる団体と公的部門においては十分性認定の対象外となります。

個人情報取扱の相違点

分類 項目 民間事業者 国の機関 独立行政 法人等 地方公共団体 地方独立行政法人
都道府県 市区町村
個人情報の定義 生存者限定 個別確認要 個別確認要 個別確認要
容易照合性 × × 個別確認要 個別確認要 個別確認要
個人識別符号 個別確認要 個別確認要 個別確認要
要配慮個人情報 個別確認要 個別確認要 個別確認要
データ類型 匿名加工情報 × × × × ×
非識別加工情報 取扱事業者 個別確認要 個別確認要 個別確認要
第三者提供 同意 個別確認要 個別確認要 個別確認要
共同利用 × × 個別確認要 個別確認要 個別確認要
オプトアウト × × 個別確認要 個別確認要 個別確認要
人の生命、身体又は財産の保護 × × 個別確認要 個別確認要 個別確認要
本人利益 × 個別確認要 個別確認要 個別確認要
学術研究 個別確認要 個別確認要 個別確認要
適用除外 学術研究 × × 個別確認要 個別確認要 個別確認要
越境データ 十分性認定 ●※ × × × × ×

    ※ただし、適用除外となる報道機関、著述目的、学術研究、宗教団体、政治団体は対象外

2020年の個人情報保護法改正に向けて制度改正大綱[10]が公開され、行政機関と独立行政法人等に係る法制と民間部門に係る法制との一元化、さらに地方公共団体法律による一元化を含めた規律の在り方について議論を進めるとしていますが、今回の改正には間に合わなそうです。

まとめ

今回は、「AI・データの利用に関する契約ガイドライン -データ編-」から見えるデータ利活用に関する基本的な法的知識と、個人情報の取扱に関する制度に関して整理しました。
個人情報の定義、容易照合性、個人識別符号、要配慮個人情報、匿名加工情報、非識別加工情報、第三者提供、適用除外、越境データ、十分性認定など何の説明も無いまま表にしましたが、おいおい解説してまいります。
この中でも今ホットなのが「十分性認定」で、2020年の個人情報保護法改正は十分性認定の維持が目的の一つになっています。それは日本とEUの間で相互の円滑な個人データ移転を図る枠組みの十分性認定は、経済連携協定(EPA)と連動しているからです。[11] 個人情報を含むパーソナルデータの扱いは社会生活、経済活動と密接にリンクしており、パーソナルデータを正しく取り扱うことで経済活動にプラスの方向で役立ちますし、そのためには正しく理解する必要があります。この記事が少しでもそのお役に立てればと思います。


参考リンク


[1] 経済産業省 ニュースリリース
「AI・データの利用に関する契約ガイドライン 1.1版」を策定しました
https://www.meti.go.jp/press/2019/12/20191209001/20191209001.html

[2] AI・データの利用に関する契約ガイドライン 1.1版(データ編)
https://www.meti.go.jp/press/2019/12/20191209001/20191209001-2.pdf

[3] 個人情報保護委員会 法令・ガイドライン等
https://www.ppc.go.jp/personalinfo/legal/

[4]個人情報の保護に関する法律(平成15年5月30日法律第57号)
https://www.ppc.go.jp/files/pdf/290530_personal_law.pdf

[5](参考)個人情報保護に関する法律・ガイドラインの体系イメージ
https://www.ppc.go.jp/files/pdf/personal_framework.pdf

[6] 行政機関の保有する個人情報の保護に関する法律(平成15年5月30日法律第58号)
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000058

[7] 独立行政法人等の保有する個人情報の保護に関する法律(平成15年5月30日法律第59号)
https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000059

[8] 第1回 地方公共団体の個人情報保護制度に関する懇談会 資料4 総務省提出資料 (2019年12月2日)
https://www.ppc.go.jp/files/pdf/191202_soumushiryou.pdf

[9]「個人情報の保護に関する法律に係るEU域内から十分性認定により移転を受けた個人データの取扱いに関する補完的ルール」
https://www.ppc.go.jp/files/pdf/Supplementary_Rules.pdf

[10] 個人情報保護法 いわゆる3年ごと見直し 制度改正大綱 (個人情報保護委員会 2019年12月13日)
https://www.ppc.go.jp/files/pdf/seidokaiseitaiko.pdf

[11]欧州委員会、世界最大の安全な個人情報移転領域を生み出す、日本の「十分性認定」を採択 (駐日欧州連合代表部 2019年1月23日)
https://eeas.europa.eu/delegations/japan_ja/57031/


【無料ebookのご案内】
AI・データ活用がうまく進まない方におすすめの一冊です

年間多くのお客様からAI・データ活用に関するご相談いただきますが、中にはプロジェクトを立ち上げる前に終息したり、スタートできるまでに半年以上時間を要するケースもあります。
その最大の要因は、データの準備不足です。

AIプロジェクトを開始するためにはAI活用に適した形でデータが揃っていることが大前提ですが、この大前提ができていないケースが多くあります。
では、どうすればAI・データ活用プロジェクトを効率よく推進できるのでしょうか。

本ebookでは、企業が陥りやすいデータの3大課題と、その解決に役立つ「AI活用診断レポート」について、わかりやすくご紹介いたします。
無料でダウンロードできるのでぜひご活用ください。

ebookダウンロードはこちら

WRITER
Atsushi Kuromasa

Atsushi Kuromasa

黒政   敦史 Atsushi Kuromasa

●外部参加団体や活動・・・情報法制研究所 上席研究員、情報法制学会 会員、情報処理学会 電子化知的財産・社会基盤研究会(EIP) 幹事、CSS2020 PWS2020実行委員など。 ●最近の論文・寄稿・・・「"匿名加工されたデータの利活用に向けた課題","黒政敦史","学術雑誌『情報通信政策研究』3巻2号"」、「"PWS Cup 2019: ID識別・トレース推定に強い位置情報の匿名加工技術を競う", "村上 隆夫,荒井 ひろみ,井口 誠,小栗 秀暢,菊池 浩明,黒政 敦史,中川 裕志,中村 優一,西山 賢志郎,野島 良,波多野 卓磨,濱田 浩気,山岡 裕司,山口 高康,山田 明,渡辺 知恵美","コンピュータセキュリティシンポジウム2019論文集,2019,1485-1492 (2019-10-14) "」、 「"匿名加工情報および非識別加工情報の運用整理と利活用に関する考察", "黒政 敦史", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2019-EIP-84(2),1-8 (2019-05-27) , 2188-8647"」、「"個人データの保護と流通を目的とする匿名化と再識別コンテスト:PWSCup", "小栗 秀暢 ,黒政 敦史,中川 裕志,菊池浩明,門田 将徳", "情報処理学会デジタルプラクティス Vol.9 No.3 (July 2018)"」、「"ビッグデータの加工・取扱 -匿名加工情報の役割と活かし方-", "黒政 敦史", "情報処理Vol.59No.4Apr.2018 小特集 情報社会 -今そこにある課題-"」、「"匿名加工情報の加工方法と有用性・安全性指標の考察~匿名加工・再識別コンテスト2017から~", "黒政 敦史 , 小栗 秀暢 , 門田 将徳", "情報処理学会 研究報告電子化知的財産・社会基盤(EIP),2017-EIP-78(9),1-8 (2017-11-22),2188-8647"」

SNSで最新情報を発信しています

最新記事

ページTOPへ