Hatena::ブログ(Diary)

Footprints このページをアンテナに追加 RSSフィード

2018-02-28

IoT時代におけるOSS利用と法的諸問題及び留意点

| 23:19

SOFTICが主催するセミナー「IoT時代におけるOSSの利用と法的諸問題及び留意点」に出席した。


http://www.softic.or.jp/seminar/180228/index.htm


ソフトウェア関連の法務を取り扱っていると,OSS問題は頻出である。しかし,少なくとも日本では裁判例などもないため,法的問題については答えがない課題が多いうえに,法務の立場からは「動的リンク」「ライブラリ」などと言われても,具体的にどういう状態なのかわからず,避けたくなる分野だといえるだろう。


OSSのさまざまな論点は,ずっと前から存在していたが,このセミナーの表題には「IoT時代における」とついていたことから,IoTになると何か固有の新しい問題が起きるのかな?と思って参加することにした。


しかし,内容的には,従来から挙げられていた論点の整理が中心で「IoT時代」固有のトピックについては特になかった。とはいえ,最近,ウェブアプリ,スマホアプリなどをはじめ,多種多様なOSSが大量にソフトウェアに混入しているという状況にあり,かつては利用に消極的だった企業も積極的に使うようになっているので,「IoT時代」かどうかは別としても関心が高まっているのは間違いない。だからこそ,満員御礼となってキャンセル待ちになったほどだ。


このセミナーでは,想定される事例を2つ掲げ,それぞれについて生じた紛争(OSSの不具合によって製品が発火した場合の責任,特許権侵害の警告等)に起きる論点についての解説が行われた。

(下記の図は,想定事例Iの図。上記リンクで公開されているものより抜粋)

f:id:redips:20180228225809p:image


以下はプログラムの抜粋。

2.「組込型OSS」の利用に関する法的諸問題、留意点[想定事例?]      

(1)ソースコード提供義務:OSSライセンスの法的性質、GPLの留意点等

(2)製造物責任:ソフトウェア及びプリンタの製造物責任、OSS利用の品質保証上の留意点等

(3)国際的な著作権侵害係争:OSSライセンス条件違反と著作権侵害、国際裁判管轄、準拠法

3.「SI開発」へのOSS利用に関する法的諸問題、留意点[想定事例?]      

(1)特許侵害訴訟:対応策等

(2)OSSライセンス違反:AGPLv3違反、Apache License2.0違反

(3)個人情報漏洩:損害賠償等

(4)再発防止と管理の改善等:OSSの採用基準、OSSチェックツールの利用、管理体制等

4.過去の係争事例


OSSに関して問題になりそうな論点がかなり幅広く網羅されている上に,個々の論点について丁寧に解説してあるため,4時間という尺がギリギリになってしまうほどの濃度だった。


セミナーでしか聞けない情報として貴重だなと思ったのは,OSSの管理体制,活用状況,社内ポリシーといった法律論以外の具体的な事例である。社内事例を紹介してくれた会社は,いずれも超大手企業であって,「まあ,ここまでやるかなあ」と感じる部分もあったが,実際にOSSを利用する中小のIT企業にとっては,これらの事例を参考にしながら自分たちでやれること,やるべきことを考えることができる材料にはなるので有意義だろう(時間の関係で詳細な説明が聞けなかったのは残念だが)。


国内では,OSSに関する提訴事例はない,という報告があったが,私自身,以前にOSSが関係した訴訟にかかわったことはある。詳しくは書けないが,ある機器の製作を委託し,ソフトウェア込みで納品されたところ,そこにコピーレフト型のOSSが組み込まれていたにも関わらず,ソースコードが開示されなかった(拒否された)という事案だった。委託者側は,ソースコードが開示されていない以上,その機器を販売・頒布できないため債務不履行(あるいは瑕疵)にあたるという主張をした。そのときは,納品されたソフトウェアが,ソースコードの提供義務を負うものであるということ,これに違反すると機器の販売ができないことなどを簡潔に説明するのに苦慮した記憶がある。

2018-01-29

オンライン広告タスクフォース成果報告会ーオーディエンスターゲティング広告における匿名加工情報の利用に関する提言

| 23:53

本日は,JILIS(一般社団法人情報法制研究所)の報告会に出席した。


JILISのタスクフォースのうち,「オンライン広告タスクフォース」では,昨年12月に「オーディエンスターゲティング広告における匿名加工情報の利用に関する提言」を発表した。本日の報告会は,この提言について説明が行われた。


事前に報告書(提言)を読んでから行こうと思いつつ当日を迎えてしまった。案の定,その場で報告を聞いてもきちんと頭に入らない。戻ってから読んでみたところ,これが実によくまとまった報告書になっている。


全60頁にわたる大作で,素人がパット見ると違いの分かりにくい場合分けがされていて混乱しやすいのだが,わかりやすい図表,例がたくさん挿入されており(下は例),落ち着いて読めばちゃんとわかる。

f:id:redips:20180129233103p:image


この提言は,平成27年個人情報保護法改正によって導入された「匿名加工情報」をターゲティング広告に利用するとした場合,どのような利用形態があるのかということを検討した結果をとりまとめたものである。


これを理解しようとする場合,オンライン広告に関する知識と,個人情報保護法に関する知識の双方が必要になる。法務の立場からは,前者が不安だが,この報告書の前半では,「オンライン広告の基礎」から「ターゲティング広告が表示される仕組み」「ターゲット指定のフロー」まで丁寧に説明してあるので安心だ*1


また,注意したいのは,これだけ大部の検討でありつつも,総花的に広く薄く検討するのではなく,かなりポイントを絞っていることである。例えば,匿名加工情報の作成に関しては検討対象外となっており,適法に作成・提供された匿名加工情報の利用の場面に絞られている。また,ターゲティング広告を配信する行為そのものの適法性についても対象外である。


ターゲティング広告への匿名加工情報の利用方法は,すごく大雑把にいえば,メディアが保有する個人データ等から,配信ターゲットを選別するために,匿名加工情報とレコード単位で照合することは,再識別を禁止する個人情報保護法38条に抵触しうることになるが,匿名加工情報に統計処理を施した結果を,個人データ等にぶつけて属性を追加するような利用であれば問題なさそうである*2


たまたま本日の日経新聞朝刊では,「匿名加工情報 6割の企業「活用の予定なし」」という記事が出された。これによれば,企業へのアンケートの結果からすると,


改正法の目玉施策の一つだが、現時点では企業の活用の意欲は停滞しているようだ。


とされている。確かに,匿名加工情報は,規制の内容が容易ではないうえに,生成の段階から技術的な障壁もあることから,簡単に広がるものではないことが予想されていた。しかし,本タスクフォースの研究成果をはじめ,こうした事例が増えていくことで,広がっていくことも期待したい。

*1:それでも最低限の知識は必要となるが・・

*2:大部の報告書の結論的な部分を一言でまとめただけなので,関心のある方は,ぜひ本文中にリンクした提言の本文をご覧いただきたい。

業界関係業界関係 2018/01/30 22:51 はじめまして。報告書を読んだ業界関係者です。
今回の報告書は「オーディエンスデータが個人データにあたる」という仮定の上での検討していたので、少しびっくりしました。少なくとも日本の個人情報保護法の解釈として、そのような考えている事業者(弁護士も含め)はほぼいないという認識でしたので。
そのように扱うべきではないかという意味で「提言」なのでしょうかね。

redipsredips 2018/02/03 09:52 コメントありがとうございます。
確かにそのような仮定を敷いていること,一般に国内法のもとでは個人データではないと考えられていることはその通りだと思います。
ただし,報告書にも記載のとおり,欧州などでの概念はもっと広いため,その点も見据えた検討,提言だと理解しています。

2017-12-23

BLJ特集「法務のためのブックガイド2018」における「ITビジネスの契約実務」の評価

| 22:12

BLJが届いたので,さっそく話題になっているブックガイド特集を読んだ。


毎年恒例の企画で,自分の評価と比べたりしながら楽しませてもらっているわけだが,今年は2月に自著「ITビジネスの契約実務」を出しているので,その評判が気になる。


年々,匿名品評会での辛口レベルがだんだん上がってきいるので,いろいろと厳しいコメントもあるだろうなとドキドキしつつ,多数の新刊の中で取り上げられるかどうかもわからないから単なる自意識過剰だろうと思いながら。


思ったより多くの箇所で取り上げていただいた。


まずは,匿名品評会から。(22頁)

C「伊藤雅浩・久礼美紀子・高瀬亜富「ITビジネスの契約実務」は,クラウドサービスの利用契約や,IoT・ビッグデータ・AI時代において今後さらに重要性が高まりそうなデータ提供契約に関する解説が盛り込まれているので購入しました。適度に図表が掲載され,分かりやすいと思います。販売店契約・代理店契約については,ソフトウェア・ITサービス業界に特有の事情にも配慮されていて,これからITビジネスの契約実務を担当する人にお薦めです。また,ベンダ・ユーザいずれか一方の立場から書かれた本ではないので,契約交渉における効率的な合意形成を図るうえで有効だと思います。」


E「商流の解説,ポイントになる条項とその解説,契約書の条項例・参考書式が契約類型ごとにコンパクトにまとまっているので,契約案件を担当する際に便利ですね。データ提供契約について取り上げられているのも興味深いです。」


A「実際にシステム開発に従事したことのある弁護士がメインとなって執筆しているだけあって,開発の流れや実務上問題になるポイントの指摘は的確ですし,巻末の契約条項例のクオリティもかなり高く実用的なのは間違いありません。ただ,読みやすさを優先したせいか,裁判例や文献等の引用が少ないため,根拠が必ずしも明確ではない解説も多いですし(例えば「瑕疵」の定義),ところどころに著者独自の考え方や用語の使い方が明確な留保なく登場したり,中立的なようで,ときどきベンダ寄りの記述が出てくるのも気になります。2017年に出版されたにもかかわらず,民法改正に対する目配りが皆無という点も残念でした。」


続いてユニ・チャーム法務部「AI技術の利活用による事業環境の変化への対応」。(42頁)

ソフトウェア開発委託契約,ライセンス契約,システム保守委託契約,クラウドサービス利用契約といった各種契約について,サンプルが掲載されていますので,規程すべき条項に漏れがないかを確認したり,ドラフトを作成したりするのに便利です。さらに,関連法令・裁判例等を交えた解説が付いており,案件に応じて開発成果の帰属に関する条項等をカスタマイズする際にも参考になります。

(中略)本書は,知的財産の取扱いに関するサンプルや解説が充実しており,こうした検討を行う際には大いに役立ちます。

事業部門が思い描いているビジネスに適した内容を契約書に落とし込むため,契約書の作成,審査などの実務において実際に参考にしています。


そして,ronnorさんによる辛口レビューでも取り上げていただいた。(56頁)

本文200頁,条項例50頁とコンパクトなので,この分野の契約審査を担当するときは,まずは本書を読むべきだろう。


おまけは,あの至誠堂書店の売れ筋ランキングで5位ランクイン!


というわけで,ヘビーユーザにもおおむね好評いただいたということで,ホッとしたところだ。私が本書で力を入れていたのは,5章(クラウドサービス利用規約)と7章(データ提供契約)だったのだが,こちらも注目度が高かったのはありがたい(ただし,実際に実務でよく出会うのはソフトウェア開発委託契約や保守委託契約ではないかと思われる。)。


もっとも,データ取引については,当ブログでも取り上げた*1ように,本書が出た後の動きも激しくて,さっそく全面的に改訂したいと強く思っているところだし,すでに指摘があったように,2章(ソフトウェア開発委託契約)を中心に改正民法を反映したい。

2017-11-23

データの利用と保護に関する最近のトピック

| 21:45

当ブログでは,パーソナルデータの利活用のほか,データ取引と保護に関するトピックを比較的多く取り扱っているが,最近のデータ取引と保護についてのトピックを少し整理しておきたい。

※今回のエントリは(今回も?),よく背景をわからぬまま想像で書いている部分が多々あるので,的外れな部分があるかもしれませんが,そのときはご指摘ください。


拙書「ITビジネスの契約実務」の第7章では,データ取引に関する契約を取り上げたが,この本が出た今年の2月からだけ見ても随分といろいろな動きがある。

ITビジネスの契約実務

ITビジネスの契約実務


今年5月30日には,「データの利用権限に関する契約ガイドラインVer1.0」が経済産業省およびIoT推進コンソーシアムから出された。

http://www.meti.go.jp/press/2017/05/20170530003/20170530003.html


当ブログでもこのガイドラインを紹介した。

http://d.hatena.ne.jp/redips/20170615/1497532192


また,ほぼ同じ時期,6月6日には,公正取引委員会から「データと競争政策に関する検討会報告書」が公表されている。

http://www.jftc.go.jp/cprc/conference/index.files/170606data01.pdf


これもデータの取扱いと競争法との関係がまとめられており,興味深い。


その後,7月になると,産業構造審議会 知的財産分科会 不正競争防止小委員会が立ち上がり,不正競争防止法を改正して「データ」を保護の対象にしようという動きが出てきた。この委員会は11月21日までに8回開催され,第8回には,「データ利活用促進に向けた検討中間報告(案)」が公表されている。

http://www.meti.go.jp/committee/sankoushin/chitekizaisan/fuseikyousou/008_haifu.html


この検討経緯については第1回時点で当ブログでも取り上げた。

http://d.hatena.ne.jp/redips/20170802/1501683426


中間報告案によれば,保護の客体となるデータは,

(i)技術的管理性

(ii)限定的な外部提供性

(iii)有用性

を要件とする。営業秘密とパラレルに考えるならば,秘密管理性の部分を,技術的な制限手段を設けることという限定がなされ,非公知性の部分を「限定的な外部提供性」に置き換えられている。純粋に社内利用によるものではなく,さりとて完全にオープンにしているものでもない。つまりは,契約に基づいて一定の者に開示されているデータだということであろうと考えられる。そうだとすると,確かにそのデータの提供する際の契約条項が重要で,「限定的な外部提供性」を具備するような定め方をしてないと,改正法によって保護されないことになってしまう。


これとも関係すると思われるのが,今年の12月に発足する経済産業省の「データ契約ガイドライン検討会」である。そしてまさに今,その検討会作業部会の構成員メンバーが公募されている。

http://www.meti.go.jp/press/2017/11/20171122001/20171122001.html


この流れからすると,契約によって企業間で取引されるデータは,一定の要件を満たせば,改正不正競争防止法の下で保護されるようになることを考えると,その契約の重要性が増すことになる一方で,契約形式が定まっていない。そこで,各種のガイドライン,テンプレートが求められるという状況だろう。


ちなみに,この流れを一気にキャッチアップしたいという方には,12月4日に開催されるSOFTICセミナー「どうする?どうなる?データの法的保護」がおすすめである。

http://www.softic.or.jp/seminar/171204/index.htm


経産省,公取委からのスピーカーもいるようで,アジェンダも,前述したガイドラインや不競法小委員会の中間報告が取り上げられている。


そんな中で,今年の10月,Linux Foundationは,"Community Data License Agreement(CDLA)"を公表した。


これはオープンデータの利用のための契約条件を示したもので,いわばソフトウェアにおけるOSSのデータ版のようなものだと考えられる(まだ詳しく中身を見ていないが・・)。


ここで公表されているライセンスは2種類ある。ひとつはCDLA-Sharingで,下流に対して同様の条件でライセンスしなければならないという,いわゆるコピーレフト型のライセンスである。もうひとつは,CDLA-Permissiveで,ほとんど何のオブリゲーションもなく利用できるというBSD型のようなライセンスである。


もともと,ソフトウェアは著作権による保護が及ぶproprietaryなものが前提だったところ,オープンソース化の動きがあったわけだが,データの場合,そもそも排他的な権利が及ぶのかどうかよくわからないところに,さらにオープンなライセンスが出てきたところが興味深い。データも,ソフトウェアと同様に,オープンなものとそうでないものの2系統に分かれていくのだろう。

2017-11-12

情報ネットワーク法学会第17回研究大会@名古屋大学

| 17:15

昨年の年次大会に続いて,今年も情報システム開発の分科会で主査を務めさせていただいた*1


今年の会場は,名古屋大学。自分は,名古屋大学に学部・修士を含めて6年在籍したけれど,まともに用があって大学に戻ってきたのは21年ぶりということになる。しかも,当時は理系のエリアだったため,文系エリアに来るとはまったく思いも寄らない。当たり前のことだけれど,20年も経てばどんどん新しい建物が建って雰囲気は変わっているし,自分が在籍していたころと比べると,全体的にきれいで立派になっている。これも野依ノーベル賞効果なんだろうか。


今年は,「プロジェクトマネジメント責任とは何なのか」というテーマで,私のほか,牛島綜合法律事務所の影島広泰先生,桃尾松尾難波法律事務所の松尾剛行先生にご登壇いただいた。


2013年のスルガ銀行・日本IBM高裁判決以来,プロジェクト失敗の場合のベンダのリスクが大きいのではないかという指摘がなされるようになり,その後のシステム開発紛争においても,ベンダの責任を追及する際には,ユーザ側は裁判内外を問わず「プロジェクトマネジメント義務違反」を主張することが半ば定跡となっていた。


そのような中で,今年の8月31日に出された旭川医大・NTT東日本札幌高裁判決では,原審判決を覆して,ベンダのプロジェクトマネジメント義務違反はなく,ユーザの協力義務違反があるとしたため,再びこの話題が注目を浴びることとなった。この分科会を企画したのは,札幌高裁判決前だったが,ちょうどいいタイミングとなった。


私からは,プロジェクトマネジメント義務と契約書ドラフティングについて問題提起した。裁判例では,プロジェクトマネジメント義務の内容は契約書によって決まるものではないとするものもあり,現に,契約書とは離れたところで義務が設定されていることから,当事者の予測可能性を害しているという現状がある。そこで,プロジェクトマネジメント義務・ユーザの協力義務を契約書に明示することで,紛争回避,早期解決できるのではないか,書くとしたらどのようにすればよいかといったことを問題提起した。


影島先生からは,プロジェクトマネジメント義務が問題となった近時の裁判例を分析し,ベンダが負うべき義務の範囲として共通するのは説明義務までであって,それを超えた「中止提言義務」(スルガ銀行vs日本IBM事件),「(追加要求)拒絶義務」(第一法規vsCTC事件)が発生するケースでは,契約書上にそれを示唆する文言がある場合や,プロジェクトの特性などが考慮されているのではないかという指摘があった*2


松尾先生からは,システム開発業務における相互の役割分担,責任を踏まえると,仕様の確定段階や,仕様変更段階においては,ユーザの責任(協力義務)がもっと重視されるべきではないかという指摘があった。特に,専門性の格差から義務が生じるとすれば,力が乏しいユーザほど,ベンダの責任が重くなるという結果につながり,怠惰なユーザほど保護されることになって問題ではないか,という指摘があった。


その後の議論の中では,そもそも現状のSIerにすべてお任せ,という取引慣行の問題点やユーザのガバナンスの問題にも発展していったが,そこまでくると弁護士3人が語れる範囲を超えてしまう。


こうしたやり取りを含め,90分の報告,議論,質疑応答はあっという間に終わってしまった。重要なことは,ここでの揮発性のある議論にとどまらず,議論をきちんと記録,蓄積して発展させていかなくてはならないことである。特に,法律家が裁判例を分析したりするのにとどまらず,実務に積極的にフィードバックしていくこと(「べし,べからず集」の取りまとめ等)であろう。


ご登壇いただいた影島先生,松尾先生,そして分科会に出席してくださった方々,情報ネットワーク法学会の運営スタッフのみなさま,貴重な機会をいただき,ありがとうございました。

*1:昨年の様子は http://d.hatena.ne.jp/redips/20161117/1479391786

*2:この点に関して,スルガ銀行vs日本IBM事件の評釈等で誰も触れていない,という指摘があった。