Contents
【ご相談内容】
第4の経営資源とまで言われるようになった「情報」ですが、例えば、個人情報、プライバシー情報、パーソナルデータ等といった用語について、法律上の根拠はどこにあるのか、その相違は何なのか等がはっきりせず、混乱が生じています。
概念を整理する意味で、法的な裏付けのある「情報」とは何か、また取り扱い上の注意点等について教えてください。
【回答】
ご相談内容にあるような、個人情報、プライバシー情報、パーソナルデータを例にとると、個人情報は個人情報保護法に根拠があり、プライバシー情報は明文上の根拠はないものの裁判所が認めている点で根拠を有するもの、パーソナルデータは法的根拠がなく、日常用語に位置づけられるものという点では、区別することが可能です。また、個人情報は個人情報保護法に定義があるので判別できますが、プライバシー情報は裁判所の判断の変遷もあり定義が流動的となっていること、パーソナルデータについては正確な定義がない状態といった相違もあったりします。
上記のような法律上の根拠の有無、用語例の使用のされ方等を意識しつつ、事業活動において必ず見聞することになる「情報」について、以下では、経済的利益に絡む情報、人格的利益に絡む情報と分けたうえで解説を行います。
【解説】
1.経済的利益に絡む情報
(1)営業秘密
営業秘密については、不正競争防止法第2条第6項に法的根拠があります。
不正競争防止法第2条第6項
この法律において「営業秘密」とは、秘密として管理されている生産方法、販売方法その他の事業活動に有用な技術上又は営業上の情報であって、公然と知られていないものをいう。
不正競争防止法における営業秘密の定義を分解すると以下のようになります。
- ①秘密として管理されていること(秘密管理性)
- ②生産方法・販売方法その他の事業活動に有効な技術上又は営業上の情報であること(有用性)
- ③公然と知られていないこと(非公知性)
この3要件を充足して、はじめて「営業秘密」として法的に保護される情報になるわけですが、以下、この3要件の具体的内容を説明します。
まず、①「秘密管理性」についてです。この秘密管理性の要件についてはさらに2つに分けられ、客観的に当該情報が営業秘密であることが認識可能であること、当該情報へのアクセスを制限されていることが必要とされています。何故、この様な再分類をするのかですが、情報それ自体は原則として法律は何らの保護を与えていないところに、特別な保護を及ぼしたいのであればきちんと区別できるようにし、転々流通する情報を取得した者が判断できるようにすることで、営業秘密という目には見えない情報の峻別を図ろうとしたからです。
次に、②「有用性」についてですが、ここでいう有用性とは法的保護に値する有用な情報を意味します。したがって、企業の脱税情報、社会保険料を不正に免れるためのノウハウ、役員の個人スキャンダル等の反社会的な情報は法的保護に値しない以上、ここでいう「有用性」には該当しません。もっとも、過去の開発の過程等で得られた失敗した研究や実験のデータ・情報といったネガティブインフォメーションについては有用性ありとされています。これは、たしかに無駄な情報かもしれませんが、かのエジソンが言ったと言われている「こうすれば失敗するという新しい発見をした」という前向きな言葉と同じで、無駄な研究や実験を省くことができる、研究開発費を節約することができるという意味では、やはり有用なものといえるからです。少なくとも、実験に失敗したからといって反社会的と言われることはあり得ませんので、ここが脱税情報等とは大きな違いとなります。この「有用性」については、例えば、技術上の情報の具体的例として製品の設計図、製法、試験データ、研究・開発情報等商品の開発・生産に用いられる情報などが、営業上の情報として、顧客名簿、販売マニュアル、製品販売情報、新製品の企画情報、マーケット・リサーチ情報、仕入情報などが考えられます。
最後に、③「非公知性」ですが、これは文字どおり、その情報が不特定の者によって知られていない状態のことを意味します。ただ、不特定ではダメと言っているだけですので、特定多数であっても、例えば特定多数全員と秘密保持契約を締結することで秘密保持義務が課せられているのであれば、非公知性の要件を充足することになります。
この営業秘密に該当した場合、営業秘密を使用する者に対して使用差止や損害賠償請求などの民事上の救済を受けることが可能となります。また、不正に営業秘密を取得・使用等した者は刑事上の制裁を受けることもあります。
(参考)
(2)営業秘密と秘密情報との相違
おそらく現場実務では、営業秘密という用語例よりも秘密情報(機密情報、マル秘情報、企業秘密など)という用語例の方が用いられる頻度が多いかと思います。このためか営業秘密と秘密情報を同一視する方もいるようですが、法律上は全く別物です。
本記事のテーマに即して言えば、秘密情報等と称される情報は当然に法的保護を受けられるものではありません。これは端的に秘密情報について法的根拠となる明文規定が存在しないからです。明文規定が存在しない以上、秘密保持契約書等の契約において、当事者間で秘密情報として取扱うことに関する合意を行う必要があります
ここでは簡単に営業秘密と秘密情報とはどの様な関係に立つか解説しておきます。
一言で言うと、秘密情報の一部として営業秘密が包含される関係になることが多いといえます。これは、秘密情報の中でも、特に上記3要件を充足した情報のみが営業秘密と位置付けられているからです。例えば、脱税のためとか社会保険料を免れるためとかの「マル秘情報」というのが世の中には実在するかと思うのですが、これは日常用語としての「秘密情報」に該当するかと思います。しかし、脱税等は違法行為ですので、先ほどの要件でいえば「有用」な情報には該当しません。したがって、秘密情報に該当しても営業秘密に該当しないという場合はあり得ることとなります。
なお、秘密情報を保護するための秘密保持契約の解説については、次の記事もご参照ください。
(参考)
(3)限定提供データ
近時、不正競争防止法に導入された内容となるのですが、次のように定められています。
不正競争防止法第2条第7項
業として特定の者に提供する情報として電磁的方法(電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。次項において同じ。)により相当量蓄積され、及び管理されている技術上又は営業上の情報(秘密として管理されているものを除く。)
条文だけを読むとやや分かりづらいのですが、いわゆるビッグデータ等と称される収集・蓄積された価値あるデータについて、法的保護を及ぼそうとするものです。データ=情報と位置づけられるので本記事では取り上げましたが、かなり特殊なものとなります。別記事の解説をご参照いただければと思います。
(参考)
収集・蓄積された価値あるデータの法的保護について、弁護士が解説!
(4)インサイダー情報
インサイダーという言葉は聞いたことがあるかと思いますが、法律上はインサイダー情報という言葉は用いられていません。金融商品取引法では「重要事実」という言葉が用いられています。
金融商品取引法第166条第2項
前項に規定する業務等に関する重要事実とは、次に掲げる事実(第一号、第二号、第五号、第六号、第九号、第十号、第十二号及び第十三号に掲げる事実にあって、投資者の投資判断に及ぼす影響が軽微なものとして内閣府令で定める基準に該当するものを除く。)をいう。
いわゆる上場会社ではない中小企業の現場実務において、インサイダーなど縁もゆかりもないのではと思わるかもしれませんが、例えば上場会社が手掛ける新技術の開発の一部に関与している状況下において、その新技術を上場会社がタイミングを図って世間に公表しようとしている場合、それ新技術の開発に携わっていること自体がインサイダー情報に該当するということがあります。
自分は上場企業に所属しているわけではないから関係ないと考えるのは早計です。
2.人格的利益に絡む情報
(1)個人情報
個人情報については、非常にメジャーな概念となってはいるものの、少し勘違いして認識している現場実務担当者もいたりします(例えば、個人情報の該当性は公開の有無を問わない等)。
個人情報保護法第2条第1項
生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)
二 個人識別符号が含まれるもの
法文に書いてある氏名や生年月日はもちろん、肖像や電話番号等も個人情報に該当しうることはイメージしやすいのですが、混乱を招きやすいのが「識別性(特定の個人を識別することができること)」についてです。例えば、その情報だけではどこの誰に関する情報なのか分からないものの、社内の別部署にある情報と紐づけた場合に特定の個人と判明する場合は、これらの情報は当該会社においては個人情報に該当します。しかし、当該会社以外の者には紐付けができず、特定の個人であることが分からない場合、当該会社以外の者においては個人情報に該当しません。つまり、「識別性」という要件があることで、個人情報の該当性が相対的に判断されることを意味します。
なお、個人情報保護法は、個人情報に該当しただけでは、例えば第三者提供の禁止や情報開示義務を負うわけではありません。個人情報に該当することを前提に、さらに「個人データ」、「保有個人データ」という絞り込みがかけられ、それぞれで負担する義務が異なるという特徴があります。
個人情報保護法第2条第6項
この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
個人情報保護法第2条第7項
この法律において「保有個人データ」とは、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有する個人データであって、その存否が明らかになることにより公益その他の利益が害されるものとして政令で定めるもの又は一年以内の政令で定める期間以内に消去することとなるもの以外のものをいう。
個人情報保護法上は、個人情報、個人データ、保有個人データを明確に分類した上で、それぞれで異なる義務を定めています。しかし、パーソナルデータの不適切な取扱いに関する炎上事例などを見ても分かる通り、法律に違反していない以上、社会的非難を浴びないとは言い切れません。したがって、現場実務の対応としては、個人情報に該当する以上は法律に書いてある全ての義務を遵守する、例えば個人データに該当しない個人情報であっても、第三者に提供することはNGと考えて対策を講じたほうが無難といえます。
(参考)
(2)要配慮個人情報
平成29年5月30日より導入された概念となります。
個人情報保護法第2条第3項
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
個人情報の中でも病歴や健康診断情報等の機微情報と称される情報の取扱いについては、法律が定める以上に細心の注意が必要と言われていたところですが、上記にも記載した通り平成29年の改正法で「要配慮個人情報」という名称にて導入されました。
要配慮個人情報については、取得するに際しては原則本人の事前同意が必要(単なる個人情報の取得の場合は利用目的の明示で足ります)であること、オプトアウト方式による第三者提供が許されないこと(個人データの場合はオプトアウト方式もOK)等の取扱いの厳格化が図られていることに注意が必要です。
(3)個人関連情報
実は本記事を執筆している時点(令和3年9月)での個人情報保護法には明記されていないのですが、令和2年の個人情報保護法改正により新たに追加された概念となります。なお、施行は令和4年4月1日となっています。
(改正予定)個人情報保護法第26条の2第1項(一部抜粋)
個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないものをいう。
正直なところ、この法文上の定義だけを見ても理解ができないと思われます。この個人関連情報が導入された背景としては、就職情報サイト運営者が求人会社に対して、求職者の閲覧履歴等から算出された内定辞退率の予測データを提供し、社会問題化したという事例があげられます。ここで問題となったのは、提供元である就職情報サイト運営者が保有する情報だけでは特定の個人を識別することが不可能であること(=したがって、提供元との関係では個人情報に該当しない)、一方で提供先である求人会社は自らが保有するデータと提供された予測データを突き合わせることで特定の個人を識別することが可能であったという点です。これは当時の個人情報保護法の内容ではカバーしきれておらず、厳密に違法と言えるのか微妙な事例だったという指摘があります。こういった間隙を埋めるために「個人関連情報」という概念が生まれたと考えればわかりやすいかもしれません。
個人関連情報については、本記事執筆現在(令和3年9月)、施行規則やガイドライン等で具体的にどういった内容・建付けにするのか議論が行われている最中ですので、最新の情報を確認する必要があります。
(参考)
(4)匿名加工情報
次の(5)で解説する仮名加工情報と混同しそうなのですが、いずれも共通点としては、事業者が取得した個人情報について、当該事業者が何らかの加工を行った結果、個人の識別性が失われた状態の別の情報が生成されたことを前提にしています。そして、その識別性の再現可能性に応じて、“匿名”なのか“仮名”なのか分類されていると考えれば、イメージしやすいかもしれません。
さて、匿名加工情報ですが、次のように定められています。
個人情報保護法第2条第9項(なお、令和4年4月1日より第2条第11項に変更)
この法律において「匿名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
匿名加工情報のポイントは、①個人の識別性が失われていること、②個人識別の再現ができないこと、がポイントとなります。要は、匿名加工情報に該当する場合は、既に個人情報ではないということになります。この結果、匿名加工情報をいわゆるビックデータとして第三者への提供が可能にする法的道筋をつけたと評価できます。なお、個人情報ではなくなっていることから、匿名加工情報については利用目的による制限を受けないことにもなります。
その他詳細については、個人情報保護委員会が公表している内容をご確認ください。
(参考)
個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)
(5)仮名加工情報
仮名加工情報については、本記事執筆時点(令和3年9月)では明文化されておらず、上記(3)でも触れた令和2年の個人情報保護法改正により新たに追加された概念となります(施行は令和4年4月1日の予定)。
(改正予定)個人情報保護法第2条第9項
この法律において「仮名加工情報」とは、次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
一 第一項第一号に該当する個人情報 当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
二 第一項第二号に該当する個人情報 当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
前述(4)で解説した匿名加工情報は、いったん喪失した個人識別性につき再現不可能な状態にすることが要件となっていましたが、仮名加工情報については当該要件が課せられていません。この結果、匿名加工情報は第三者提供ができたのに対し、仮名加工情報は第三者提供が不可という取扱いとなります。したがって、仮名加工情報は、個人情報を取得した事業者内部での利用、例えばAIの機械学習用として仮名加工情報を用いる、社内での内部分析データとして仮名加工情報を用いるといったことが想定されています。
また、仮名加工情報については、利用目的の範囲内でしか利用できないというのが原則となります。しかし、利用目的について事後的に自由に変更可能とされていますので(この点は個人情報と取扱いが異なります)、実質的には利用目的による制限はないと考えて差し支えありません。
結局のところ、現場実務の対応としては、個人識別性を喪失させた情報につき、第三者へ提供することを目的とするのであれば匿名加工情報を検討する、分析・解析等の社内のみでの利用を想定しているのであれば仮名加工情報を検討する、ということになると考えられます。
ちなみに、個人情報を統計情報として用いる場合と仮名加工情報を社内分析情報として用いる場合の相違点が分からないという問い合わせを受けることがあります。統計情報は特定の個人との対応関係がなくなっており、ある一定の母集団に対する分析情報であるのに対し、仮名加工情報は個人を識別できないとはいえ、ある一定の人物に対する分析情報という対応関係があるという相違があります。
(参考)
(6)プライバシー情報
上記(1)から(5)までは個人情報保護法に根拠のある情報についてでした。一方、ここで取り上げるプライバシー情報は、個人情報保護法に根拠を有するものではなく、また他の法律にも明確に規定されているものではありません。もっとも、裁判所の判断(法解釈)としてプライバシー権は既に実務上確立している権利であることから、プライバシー情報が法的保護に値することは争いがないといえます。
ところで、プライバシー情報と個人情報を同一視する又は混同される方もいるようです。個人情報の定義については上記(1)で解説した通りですが、実はプライバシー情報の定義については時代と共に変遷している感があります。伝統的には
- ①公開された内容が、私生活上の事実又は事実らしく受け止められるおそれのある事柄であること。
- ②一般人の感受性を基準に、当該私人の立場に立った場合、公開を欲しないであろう事柄であること。換言すれば、一般人の感覚を基準として公開されることによって心理的な負担、不安を覚えるであろうと認められる事柄であること。
- ③一般の人々にいまだ知られていない事柄であること。
の3要件を充足するものをプライバシー情報として取り扱ってきました。しかし、近時の裁判例を含め、現代では上記3要件にこだわらず、「他人にみだりに知られたくない情報」という捉え方をしているという指摘もあるところです。
いずれにしても、プライバシー情報と個人情報は一部重複する部分があるものの、原則異なるものであり、プライバシー侵害の可能性と個人情報保護法違反の可能性については別途検討を行う必要があります。例えば、パーソナルデータを取得する際、個人情報保護法上は本人からの同意が必要とはされていません(利用目的の事前公表を行えば足りる)。しかし、プライバシー侵害可能性の観点から検討した場合、事前同意が必要と考えたほうが現状の社会認識に合致するものといえます。こういった相違が生じることは現場実務の担当者もぜひ知っておきたいところです。
(7)マイナンバー情報
正確な法令用語は「特定個人情報」となります。平成27年の導入当時は色々と話題となりましたが、その後は鎮静化し、最近の新型コロナ対策の一環として再び話題になってきているというのが実情です。
事業活動における現場実務では、マイナンバーを社会保険等の手続きに利用する必要があるため、従業員等より取得するといったことはあるかと思いますが、マーケティング活動で利用することは考えられません(利用目的が厳しく制限されています)。したがって、マイナンバー情報(特定個人情報)については、導入時以降において何か新たな対策が必要というわけではものと考えられます。
(参考)
特定個人情報の適正な取扱いに関するガイドライン(個人情報保護委員会)
3.情報の権利化
前記1.及び2.において、法律上の根拠のある情報について解説を行いました。
では、法律上の根拠のない情報はどういった取扱いとなるのかですが、原則的には何らの法的保護がありません。情報=無体物である以上、所有権などが発生する余地がないからです。したがって、情報を守りたいのであれば、情報保持者が権利化を行う必要があります。
この権利化については、(1)出願登録手続きを行うことで知的財産権にする、(2)当事者間の契約する、という2つの方法が考えられます。
(1)知的財産権
例えば、発明・考案に関する情報であれば特許権や実用新案権として、特定の文字や図形等に関する情報であれば商標権として、特定のデザインに関する情報であれば意匠権として、それぞれ出願登録することが考えられます。
なお、創作に関する情報は著作権の対象となるのですが、日本の著作権法では出願登録は要件とされていません。したがって、創作物に対しては当然に著作権が発生することになるのですが、実は出願登録手続きがないが故に、なぜ自分が独占的な権利者と言えるのか証明することが特許等々比較して難しくなるという問題があったりします。
(2)当事者間の契約
上記1.(2)でも記載しましたが、情報の開示者に対して秘密保持契約を締結し、合意内容を遵守してもらう、合意内容を遵守しない場合は法的救済と相手に対する法的制裁を課すことができるようにする、というのが対策となります。
ただ、契約である以上、契約していない者に対しては当然に法的効力が及びませんので、契約外の第三者に対しても、情報に対する法的保護を及ぼしたいのであれば、上記の知的財産権の取得を検討する必要があります。
<2021年9月執筆>
※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。
|
|
弁護士 湯原伸一
