IoTビジネスを行うに当たり注意するべき法律について、弁護士が解説!

【ご相談内容】

当社は家電等を製造するメーカーです。この度ソフトウェア開発事業者と協力して、一定のプログラムを家電に組込み、ネットワーク通信が可能な環境にすることで、ユーザーに対して様々な付加サービスを提供するいわゆるIoT機器を製造販売することになりました。

このようなIoT機器を取扱う場合、法的にどういった点に注意すればよいのでしょうか。

 

 

【回答】

IoTビジネスを展開する場合、①サービス提供事業者が提供する端末(デバイス)に関する法規制、②サービス提供事業者とユーザーとを繋ぐネットワークに関する法規制、③サービス提供事業者が取得し処理するユーザー情報に関する法規制、といった視点をもって問題点を整理すれば比較的理解しやすいと思われます。

また、サービスに不具合が生じた場合の法的責任ついては、現行法が想定していない新たな問題点も出現しています。機器メーカーであることを踏まえ、特に製造物責任法に関する新たな問題点についても簡単に以下では解説を行います。

 

 

【解説】

 

1.大まかな視点

上記回答で記載した3点ですが、具体的には、

①デバイス(端末)に対する法規制として、電気用品安全法、消費生活用製品安全法、家庭用品品質表示法の三法は必ず意識しつつ、サービス内容が疾病予防や健康増進等を目的とする場合(いわゆるヘルステック)は薬機法も確認する。

②ネットワークに対する法規制として、電波法と電気通信事業法を確認する。

③ユーザー情報に対する法規制として、個人情報保護法とプライバシー権を確認する。

といった事項となります。

また、サービス不具合が生じた場合の法的責任と現行法上の問題点については、具体的には製造物責任法の適用対象となる事業者の範囲、欠陥の判断方法等に関する解釈論となります。

 

 

2.デバイス(端末)にまつわる法規制

 

(1)電気用品安全法

電気用品安全法とは、端的に言えば電気用品の安全性に関するルールを定めた法律となります。少し前の話になりますが、PSEマークの付いていないビンテージ電気楽器(電気ギータ等)や音響機器等について販売禁止となった騒動を聞いたことがないでしょうか(現在では法改正となり原則販売可能)。この販売規制の根拠となったのが実は電気用品安全法です。

さて、電気用品安全法の規制対象となる電気用品は政令で定めることとなっています。

かなりの品目が対象となっていますので、具体的には次のリンク先等を見つつ、確認する必要があります。

・電気用品安全法の概要(経済産業省 ※なお「制度の概要」1.(1)を参照)

・対象・非対象の解釈事例(経済産業省)

 

電気用品安全法のポイントは、IoT機器が同法の規制対象となる場合、PSEマークを製品に付けないことには国内での販売が不可能という点です。では、PSEマークはどこでもらえるのかというと、基本的には電気用品安全法に基づき定められた省令(電気用品の技術上の基準を定める省令)に記載された基準につき自主検査を行い、適合すると自社で判断したのであれば、PSEマークを付することが可能となっています。すなわち、第三者機関による認証等は原則不要となっています(但し、電気用品安全法に定める「特定電気用品」に該当する場合は第三者機関による認証が必要)。

電気用品安全法の規制対象となるデバイス(電気用品)を販売する場合、どういった処理が必要なのかは、次の経済産業省の資料が詳しいので、そちらをご参照ください。

・電気用品安全法 届出・手続の流れ(経済産業省)

 

なお、サービス事業者が提供するデバイス(端末)の機能として、インターネット回線等を用いた遠隔操作を行うことを想定している場合もあるかと思います。

この遠隔操作については、従来法律が想定していなかったこともあり、本記事執筆時点では規制が追い付いていない(不必要に規制されている)状況と言わざるを得ないのですが、遠隔操作に関する技術基準について経済産業省は順次見直すことを公表しています。なお、将来的に見直しは予想されるものの、現時点では次に定められている技術基準を満たさない限りPSEマークを付すことができないこと、したがって国内販売を行ことは不可であることに必要です。

・電気用品の遠隔操作に関する報告書等の見直しについて(経済産業省)

 

(2)消費生活用製品安全法

消費生活用製品安全法とは、一般消費者が日常使用する製品によって生命・身体に危害が及ばないよう規制する法律です。上記(1)に記載した電気用品安全法と趣旨・目的は重複するところがあるのですが、消費生活用製品安全法はその名の通り、一般消費者に対して特に規制を及ぼすものという意味で一種の特別法的な位置づけと考えてもよいかもしれません。この結果、サービス提供事業者が市場に流通させるデバイス(端末)の想定ユーザーとして事業者に限定されるわけではない場合には、消費生活法製品安全法と電気用品安全法の両方が適用されると考える必要があります。届出や手続の流れは重複するところが多いところ、経済産業省も重複することを前提にした資料を公表しています。

・製品安全法令体系図(経済産業省)

 

ところで、消費生活用製品安全法ではPSCマークというものが出てきます。電気用品安全法ではPSEマークというものが出てきたのですが、一文字違いとはいえ、どちらもこのマークを付さない限り、販売等することができないという点では同一です。もっとも、PSCマークは消費生活用製品に該当すればすべて付けなければならないという訳ではありません。消費生活用製品のうち「特定製品」に該当する場合に限定されます。この特定製品については法律上限定列挙されています。

・消費生活用製品安全法の概要(経済産業省)

 

したがって、サービス提供事業者が販売するデバイス(端末)が消費生活用製品安全法上の特定製品に該当するのかがポイントになってきます。

 

(3)家庭用品品質表示法

家庭用品品質表示法とは、家庭用品の品質に関する表示の適正化を図ることを目的とした法律となります。前述の電気用品安全法及び消費生活用製品安全法は、ユーザーに危害が及ばないよう技術水準を定め事業者に順守させるという側面が強いのに対し、家庭用品品質表示法は事業者に対する広告表示規制となりますので、その目的は大きく異なります。

家庭用品品質表示法に定める広告規制が及ぶか否かは、政令で定める品目に該当するかで判断することになります。特に本件のようなデバイス(端末)の場合は「電気機械器具」として定められている内容に該当するかが重要なポイントになると考えられます。

・家庭用品品質表示法(消費者庁)

 

(4)薬機法(医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)

一昔前は薬事法と呼ばれていましが、法律が改正され今は薬機法と呼ばれています(正式名称はタイトルの括弧書き通りです)。

薬機法への対処としては、まずはサービス提供事業者が販売するデバイス(端末)が薬機法に定める「医療機器」に該当するか否かの見極めがポイントです。万一、医療機器に該当する場合、いわゆる許認可事業になりますので、簡単にビジネスを進めることができないことになります。

では、医療機器の該否についてはどのように判断するのでしょうか。薬機法2条では「人若しくは動物の疾病の診断、治療若しくは予防に使用されること、又は人若しくは動物の身体の構造若しくは機能に影響を及ぼすことが目的とされている機械器具等」と定義づけられていますが非常に抽象的です。また、正直申し上げると、一律の判断基準もないのが実情です。結局のところ専門家に相談する(専門家を紹介してもらう)ほかないのが実情ですが、例えば公的な機関としては独立行政法人医薬品医療機器総合機構(PMDA)などがありますので、問い合わせてみるのも一案かもしれません。

 

(5)プログラム(アプリ)を提供するに過ぎない場合の注意点

上記(1)から(4)までは、サービス提供事業者が有体物=IoT機器であるデバイス(端末)を販売することを前提にしていましが、デバイス(端末)自体は自ら販売せずに他社製品を利用する、すなわちプログラム(アプリ)を提供するにすぎない場合は別途注意事項があります。

まず、プログラム(アプリ)は無体物である以上、有体物を前提にした電気用品安全法、消費生活法製品安全法及び家庭用品品質表示法について、サービス提供事業者に直接適用されるわけではありません。もっとも、日本語のイメージとは離れますが、プログラムは薬機法上の「医療機器」に該当するとされています。そして、その該当性判断については、執筆時点では、厚生労働省が平成26年に公表した資料がベースとなっています。

・プログラムの医療機器への該当性に関する基本的な考え方について(厚生労働省)

 

なお、上記資料もやや古いものとなっており、今後の動向で見直しが行われるものと予想されます。情報のアップデートが必要となることにご注意ください。

 

次に、直接的な法規制とは離れますが、いわゆるスマートフォンを対象としたプログラム(アプリ)の場合、サービス提供事業者は、プラットフォーム運営者が定める規約等を遵守する必要があります。有名な一例として、iPhoneの場合、プラットフォーム以外での課金ビジネスはNGといったルールがあります。規約違反でプラットフォームから締め出されてしまうとビジネスとして成り立たなくなるというリスクがあることから、プラットフォーム運営者が定める規約等については必ず理解しておく必要があります。

 

 

3.ネットワークにまつわる法規制

 

(1)電波法

IoTビジネスはWi-Fi等の電波を利用することが前提となっていますが、電波は有限であり、無秩序に電波が飛び交うと混線等の問題が生じます。そこで、電波を発信する無線設備に対しては電波法による規制が行われています。

さて、電波法では、電波を利用する場合原則として免許・登録が必要とされています。このため、サービス提供事業者が販売するデバイス(端末)を購入したユーザーは、各人で免許・登録を行う必要が生じるというのが原則的結論となります。ただ、こういったユーザー各人で免許・登録を行うことは現実的ではありませんし、その煩雑さゆえにIoTビジネス自体が成立しないことは明らかです。

そこで、IoTビジネスを行う場合、免許・登録が不要又はサービス提供事業者側で包括許諾を取得することが可能な電波法の例外要件に該当するようビジネスモデルを設計する必要があります。具体的には、デバイス(端末)が、電波法に定める「特定無線設備」(小規模な無線局に使用するための無線設備であって法務省令に定めるもの)に該当し、かつ事前に電波法に基づく技術認証(いわゆる技適マーク)を受けることで、電波法の例外要件を充足することが可能となります。詳細については、次の総務省の資料でご確認ください。

・特定無線設備、特別特定無線設備一覧(総務省)

・技術認証制度の概要(総務省)

 

なお、上記以外の例外として、微弱無線局(例えば、一定周波数以下のラジコンやワイヤレスマイクなど)に該当する場合や、小電力無線局(例えば、コードレス電話や無線LANなど)に該当する場合なども存在します。

・免許及び登録を要しない無線局(総務省)

 

ところで、サービス提供事業者が、ユーザーが保有するスマートフォンに対してプログラム(アプリ)を提供するにすぎない場合はどう考えればよいのか、という問い合わせを受けることがあります。結論としては、サービス提供事業者が電波法に基づく免許・登録手続きを行う必要はありません。なぜなら、スマートフォンを提供している携帯電話各社がユーザーのために包括的な免許を取得しているからです。

したがって、この場合、サービス提供事業者は電波法を意識する必要はないことになります。

 

(2)電気通信事業法

電気通信事業法と電波法は混同されることが多いのですが、電波法は電波を発信する無線設備に対する規制であるのに対し、電気通信事業法は電気通信設備を用いて“他人との通信を媒介”する事業に対する規制となります。したがって、電波法上の免許登録要件を充足しているからといって、電気通信事業法に基づく登録・届出が不要という結論にはならないこと(なお、電波法上の免許登録要件に該当しないからといって、電気通信事業法に基づく登録届出が不要という結論にもならない)こと、まずは押さえておく必要があります。

さて、電気通信事業法に定める電気通信事業とは、電気通信役務を他人の需要に応じるために提供する事業と定められています。この電気通信役務とは、電気通信設備を他人の通信の用に供することと定義されているところ、他人の通信の用に供するとは、他人と他人の通信媒介のみならず、他人と本人との通信も含まれるとされています。このため、サービス提供事業者がデバイス(端末)を販売する形式のIoTビジネスの場合、電気通信設備(インターネット設備等)を用いて他人(ユーザー)との通信を行うことが前提となっていることが通常であるため、多くの場合は電気通信役務に該当するものと考えられます。

では、登録・届出が必要となる電気通信事業とは何か、例外はあるのかこれを読み解くのがIoTビジネスを進める場合のポイントになります。

例えば、ネット通販については、電気通信役務に該当するものの、電気通信事業にはそもそも該当しないとされています。これはネット通販事業者の場合、本来的には商品を売る事業を行っており、専らネット通販事業者自らの需要のために電気通信役務を行っていると判断されるためです。また、例えば、経理事務や労務管理等の計算作業を行うためのデータ処理サービスをオンライン上で提供している場合、電気通信事業には該当しますが、登録・届出が不要となります。これは、他人間の通信を媒介しているとは言えないため、電気通信事業に該当しても登録・届出までは不要という例外要件に該当するためです(但し、電気通信設備をサービス提供事業者が設置している場合は必要となること注意が必要)。一方、ユーザー同士のメッセージの媒介を行うSNSサービスの場合、登録・届出が必要な電気通信事業となります。

結局のところ、そもそも電気通信事業に該当するのか、該当するとして登録・届出が必要なのかは専門的な判断が必要となります。総務省がある程度の具体例を公表していますので、以下の資料も参照しながら検討を行うことになります。

・電気通信事業参入マニュアル

・電気通信事業参入マニュアル(追補版)

 

 

4.ユーザー情報の取得・利活用にまつわる法規制

 

(1)個人情報保護法

IoTビジネスを展開する場合、ユーザーの行動履歴を含む日常生活の情報をサービス提供事業者が取得し、それを一定のデータ処理を行い得られた結果を踏まえて、付加的なサービスを提供することが前提となっています。この取得する情報の中には、個人情報保護法が定める個人情報も当然に含まれうることから、同法に従った対応が必要となります。

ちなみに、個人情報保護法に関するご相談を受ける中で、特に対応不十分と執筆者が感じる共通事項としては次の3点があります。

・個人情報の利用目的が不十分・網羅できていないこと

・第三者提供に関する記載が不十分・不正確であること(特に共同利用の記載)

・個人情報から派生した情報の取扱いに配慮できていないこと

なお、個人情報保護法は近時法改正が繰り返されており、最近では要配慮個人情報、匿名加工情報、個人関連情報といった新たな情報概念が出現しています。また、個人情報保護法だけを守っていれば企業コンプライアンスとして十分とは言い難い環境になってきている点も考慮する必要があります。

IoTビジネスは、取得した情報を解析・分析した上で、ユーザーに利便性のあるサービスを提供する点にビジネスの根幹があります。しかし、一方でユーザーは個人情報を含む情報の取得や事業者による利活用について、頭では理解しつつも漠然とした不安感を有しているのも事実です。個人情報保護法の適用外となるいわゆるパーソナルデータの取扱いについて、ユーザーの反感(不安感や不信感を煽る等)を招かないように、事前にどこまで説明・情報開示し、適切に了解を取りつけるのかがIoTビジネスの要になります。

 

(2)プライバシー権

個人情報とプライバシー情報は似て非なる概念であり、あえて例えるのであれば、個人情報はプライバシー情報の一部に属するものとなります。また、上記でも記載したパーソナルデータとプライバシー情報も必ずしもイコールとは限りません。

こういった曖昧な状態となるのは、プライバシー権で保護されるプライバシー情報について、法律上の定義が存在しないからです(裁判例の積み重ねより創設された概念となり、定義は時代と共に変遷しているものと考えられています)。この結果、何をどこまで意識して対処すればよいのか、サービス提供事業者としては判断に迷うところがあります。

ただ、昨今のトラブル事例(いわゆる炎上騒ぎ等)を踏まえると、確実に言えるのは、ユーザーに対して事前に十分な説明を行っていないにもかかわらず、サービス提供事業者が情報を利活用して利益を得ていることに対し、厳しい目が向けられているという点です。ユーザーの不安感や不信感はもちろん、勝手に利用することへの反発がその根底にあるといえます(端的に言えば、自分の知らないところで、自分の情報を駆使して利益を独占していることが気にくわない…と言ってよいかもしれません)。

したがって、何がプライバシー情報に含まれるのかを検討するよりも、どういった情報を取得し、取得した情報どういった目的で利用するのかを事前に開示し、了解を取り付けるというスタンスが、プライバシー権の問題にうまく対応する方法ではないかと考えられます。

なお、あまり色々と書きすぎるとユーザーの離反を招く(ユーザーが利用登録してくれない)というサービス提供事業者側の声も聴きます。しかし、あえてその点を隠してサービス展開すること自体がリスクであること、事業展開後に発覚した場合は取り返しがつかない、場合にとってはサービス中止に追い込まれることを理解していただき、最初に全てをさらけ出したほうが良い(案ずるより産むがやすし)と発想の転換を図っていただくことが肝要だと思われます。

 

 

5.トラブル対応

 

(1)製造物責任法

適用対象範囲について注意する

製造物責任法が適用される大前提として、製造物=有体物である必要があります。この点、プログラム(アプリ)は無体物ですので、これ単体では製造物責任法の適用はありません。しかし、プログラム(アプリ)を組み込んだIoT機器は製造物=有体物となることから製造物責任法の適用対象となります。つまり

・プログラム(アプリ)のみを開発する事業者は製造物責任法の適用対象ではない

・プログラム(アプリ)を組み込んだ機器メーカーは製造物責任法の適用対象となる

と一応整理することができます。

ところで、上記では単に「組み込んだ」と記載しましたが、IoT機器にプログラム(アプリ)がインストールされている場合は、まさしく当該機器と一体化したという意味で「組み込んだ」といってよいと考えられます。しかし、最近主流と思われるASPやSaaSの場合、プログラム(アプリ)自体はIoT機器とは別の場所に保存され、インターネットを通じて制御しているという実態があるため、果たして「組み込んだ」といえるのかは判然としないところがあります。もちろん、ASPやSaaS形式の場合、プログラム(アプリ)を開発する事業者及びIoT機器メーカー共に製造物責任法の適用対象外という解釈論が成立するとしても、製造物責任法以外の民事責任の追及可能性は残ります。したがって、IoT機器の誤作動等に備えた対策が必要となります。

 

さて、IoT機器の誤作動等によりユーザーが損害を被った場合の対策として、①IoT機器メーカーとプログラム(アプリ)開発事業者との契約で何らかの対応を取り決める(例えば、当事者間で賠償責任負担割合について取決めを行う等)、②PL保険(生産物賠償責任保険)に加入して対応する、といったものが考えられます。

この点、①については、時々プログラム(アプリ)のみを開発する事業者に対して製造物責任が適用されることを前提にした契約書を見かけることがあるのですが、上記の通りプログラム(アプリ)を開発する事業者は理論上製造物責任を負わないと考えられます。プログラム(アプリ)のみを開発する事業者に対して適切な責任分担を求めるのであれば、一般的な民事責任を前提にした契約内容にする必要があること要注意です。

また、②については、PL保険(生産物賠償責任保険)の約款内容にもよりますが、プログラム(アプリ)を開発する事業者自らが機器製造に一切関与していないとなると、PL保険(生産物賠償責任保険)の適用対象外となる可能性があります。一方、IoT機器メーカーも、ASPやSaaSの場合は上記の「組み込んだ」に該当しないという理由で、プログラム誤作動等による事故が発生した場合、機器自体の不具合・欠陥ではないとして保険適用対象外と保険会社より主張されてしまう可能性があります。どちらの当事者においても、本当に保険金を支払ってもらえるのか、保険契約内容を今一度の検証と分からない場合は保険会社への相談を行ってほしいところです。

 

欠陥の判断方法に注意する

製造物責任法の欠陥については、従来は開発・製造・流通という工程に応じて「設計上の欠陥」、「製造上の欠陥」、「指示警告状の欠陥」という分類を行ったうえで解釈論が展開されてきました。ただ、これらの解釈論は、製造物の“引渡し”段階で既に欠陥が存在することが大前提とされていました。これは製造物責任法の条文構造から当然に導かれる前提であり、何ら問題はありません。

しかし、IoT機器の場合、当該機器がユーザーに引渡された時点では、プログラム(アプリ)が組み込まれていない場合があります。すなわち、ユーザーが自らの判断で引渡し後にプログラム(アプリ)をインストール等する場合があります(スマートフォンのアプリ利用を想定すればイメージできるかと思います)。また、引渡し後にプログラム(アプリ)が更新又はアップデートされ、それをインストール等するといった使用形態も想定されます。

こういった場合、製造物の“引渡し”段階ではプログラム(アプリ)が存在しない以上、仮にプログラム(アプリ)に欠陥があり、誤作動等を起こしてユーザーに何らかの損害を与えたとしても、製造物責任法の適用対象外になるのではないか、という疑問が生じることになります。今後の議論の展開にもよりますが、欠陥の判断時点に関する解釈論が変化する可能性があること注意が必要です。なお、現時点では上記でも記載した通り、製造物責任法の適用の有無が問題となるだけであり、他の民事責任の追及を排除するものではありませんが、やはり契約書の内容を工夫する、PL保険(生産物賠償責任保険)の適用対象となるのかについては確認を行う必要があると考えられます。

 

次に「欠陥」の証明程度について、具体的にどこまで立証すればよいのかという点も今後議論を呼ぶものと予想されます。特にIoT機器の場合、機械自体に問題があるのか、プログラムに問題があるのか等についてユーザーはもちろんのこと、事業者間においても判然としないという場面が想定されるからです。

この点、あくまで個別事案の判断であり一般化することはできませんが、例えば平成25年2月13日に東京高裁が判断した内容を敷衍させていくと、おそらくは「IoT機器を適正な使用方法で使用したにもかかわらず、通常予想できない事故が発生したことを主張立証すれば十分であり、それ以上に当該機器の欠陥の部位やその態様等を特定した上で、事故が発生するに至った科学的機序まで主張立証する必要はない。」という考え方がベースになるものと考えられます。

 

最後に、これは問題提起になりますが、IoT機器にたとえ欠陥があったとしても、製造物責任法が定める「開発危険の抗弁」(=製造物の引渡し当時の科学技術知見では、欠陥があることを認識することが不可能な場合は製造物責任を負わないという理論のこと)により責任を免れる場面が出てくるのか今後議論が生じるものと思われます。ちなみに、開発危険の抗弁については、現行法上医薬品くらいにしか適用されないのではないかと考えられているところです。結局のところ「科学又は技術に関する知見」について、入手可能な最高水準の知識と解釈されているところ、この解釈論に変更が生じるのか又はAIの特殊性(未だに人類が制御しきれていないこと)を考慮するのかが焦点になると考えられます。

 

(2)民法

上記(1)でも記載しましたが、製造物責任法の適用がない場合であっても、民法上の契約責任(債務不履行責任)や不法行為責任の適用は当然にあり得ます。

ただ、もともと製造物責任では、事業者の故意過失といった主観的要件をということなく責任追及可能とされていますが、民法の場合、この主観的要件を主張立証する必要があります。この点では責任追及のハードルが高くなるのは如何ともしがたいところがあります。少なくともIoTメーカーとプログラム(アプリ)開発事業者間の契約では、この主観的要件の主張立証についてそれぞれの立場で何らかの対策を講じた内容にする必要があると考えられます。

 

 

<2021年1月執筆>

※上記記載事項は弁護士湯原伸一の個人的見解をまとめたものです。今後の社会事情の変動や裁判所の判断などにより適宜見解を変更する場合がありますのでご注意下さい。

 

 


弁護士 湯原伸一

「リーガルブレスD法律事務所」の代表弁護士。IT法務、フランチャイズ法務、労働法務、広告など販促法務、債権回収などの企業法務、顧問弁護士業務を得意とする。 1999年、同志社大学大学院法学研究科私法学専攻課に在学中に司法試験に合格し、2001年大阪弁護士会に登録し、弁護士活動を開始する。中小企業の現状に対し、「法の恩恵(=Legal Bless)を直接届けたい(=Direct delivery)」という思いから、2012年リーガルブレスD法律事務所を開設した。現在では、100社以上の顧問契約実績を持ち、日々中小企業向けの法務サービスを展開している。

 

弁護士へのご相談・お問い合わせ

当サイトの記事をお読みいただいても問題が解決しない場合は
弁護士にご相談いただいた方がよい可能性がございます。

下の電話番号もしくはメールにてリーガルブレスD法律事務所までお問い合わせください。

06-4708-7988 メールでのご相談

運営事務所

当事務所は大阪で中小企業の法務に特化したリーガルサービスを提供しています。一貫して中小企業法務に力を入れてきたため、高い専門性とノウハウを取得することができました。結果として大阪を中心に多くの企業様から支持を受けています。企業の法務問題で顧問弁護士をお探しの方は、リーガルブレスD法律事務所にご相談ください。

アクセスランキング

人気記事ランキング

MAIL MAGAZINEメールマガジン

法律や話題のニュースを弁護士の視点で解説。
無料で読めるメルマガの登録はこちらから。
プライバシーポリシーに同意の上、登録してください。

メールマガジン登録