IoTサービスで収集したデータの利活用と法律上の問題点
近年、スマート家電などのように家庭の中にも導入が進んでいるIoTデバイス。非常に便利である一方で、インターネットに接続していることから、情報漏えいの危機に晒されているといえます。IoTビジネスを始めるうえでは、生活家電としての安全性だけでなく、サイバー攻撃にも耐えうるネットワーク上の安全性管理も重要な課題となります。
国内に目を向ければ、既に個人情報の漏えい問題は深刻化しており、東京商工リサーチは、2021年に発生した上場企業の個人情報漏えい、紛失事故が過去最多の137件、574万人分であったことを報告しています。
この記事では、IoTサービスで集めたデータの安全な利活用のため、知っておくべき法規制について解説します。
この記事の目次
IoTビジネスに関する法規制
IoTとは、「Internet of Things」略で、直訳すると「物のインターネット」となります。つまり、私たちが日常的に使う物をインターネット接続し、遠隔操作や自動認識、自動制御機能を持たせることで、生活をより便利にするためのシステムやサービスを指します。
家電としてのハード面においては、直接利用者の身体に影響を及ぼす可能性があるため、厳しい規制が敷かれています。
またソフト面では、通信ネットワークを規制する電波法や電気通信事業法において、事業をおこなうための登録や届出が求められています。
IoTのハード面、ソフト面における法規制については、こちらの記事で詳しく解説していますので、合わせてご参照ください。
関連記事:IoTビジネスで注意すべきハード面・ソフト面の法規制を解説
IoTビジネスでは、従来のデバイスをインターネットに接続し、集めた情報を利用するという性質があります。そのため、ハード面、ソフト面の法規制だけでなく、集積した情報をどのように処理するのかも、重要な問題として発生するでしょう。
IoTで取得したデータの利活用に関する法的問題点
IoTデバイスは、利用者の生活データを意図しない形で集積・利用してしまう危険性をはらんでいます。
ユーザー登録時に利用者が個人情報の利活用に同意していたとしても、IoTの性質上、利用するたびに行動情報を収集してしまうため、以下のような問題が発生します。
- 個人情報保護
- プライバシーの保護
- サイバー攻撃への対処
ここでは、このようなIoTデバイスが内包する法律上の諸問題について解説します。
IoTと個人情報
IoTデバイスが集積されたデータのすべてが、単独で個人情報として保護の対象となるわけではありません。ユーザー登録と生活情報のデータがひもづいて個人を特定できるようになった場合、個人情報保護法の対象となります。
そのため、スマートホームサービスで生活データとユーザー情報をひもづけて提供する事業者は、個人情報保護法第2条第5項の業者として、以下のような義務を負います。
<個人情報保護法第19条~第26条の義務>
- データの正確性の確保と消去義務
- 安全管理措置義務
- 従業員の監督義務
- 委託先の監督義務
- 第三者提供の制限や記録保持義務
個人情報を扱ううえでは、できるだけ利用目的を特定し、その目的を本人に通知・公表しなければなりません。また利用する必要がなくなれば、個人情報は速やかに処理される必要があります。また、情報漏えいには細心の注意を払った措置をとり、従業員や委託先にも徹底しなければなりません。
基本的には、取得した個人情報を第三者へ提供することは制限されます。しかし、サービス向上のためには、ときに第三者提供も必要になることもあります。その際は元の個人情報を復元することができない程度に匿名加工を施さなければなりません。
また、2022年4月に施行された改正個人情報保護法では、本人の権利保護強化や事業者の責任過重のほか、外国事業者に対する第三者提供が新たに規定されました。
この改正によって個人情報保護委員会が重視したのは、以下の5つの視点です。
- 個人の権利利益保護
- 保護と利用のバランス
- 国際的潮流との調和
- 外国事業者によるリスク変化への対応
- AI・ビッグデータ時代への対応
IoTとプライバシー権
収集する生活データが個人情報に該当しない場合でも、生活情報は本人の行動把握につながるため、慎重に扱う必要があります。例えば、電気、ガスなどの使用時間帯などの情報は、流出すれば空き巣などの犯罪に悪用されかねません。
一方、スマートホームサービスの質を高めるためには、本人の行動情報を把握し、利活用する必要があります。プライバシーを保護しつつ本人データをサービス向上のために利活用するためには、プライバシーに配慮し、個人情報に該当しない場合も、個人情報保護法に準じた対応をすることが求められるでしょう。
IoTとサイバーセキュリティ
IoTビジネスは、個人情報やプライバシー権に抵触する情報を収集・管理・利用することで成立し、またそれにより進歩するという性質を持っています。情報はインターネットを経由して集積・管理されるため、ネットワークに接続する機器のサイバーセキュリティ対策は欠かせません。
以下では、あらかじめ講じておくべきサイバーセキュリティ対策や、実際にサイバー攻撃を受けてしまった場合に負うべき責任について解説します。
デバイス製造業者の責任:製造物責任法
サイバー攻撃を受けたのがIoTデバイスだった場合、デバイス製造業者は製造物責任法上の損害賠償請求を受ける可能性があります。
製造物責任法上の責任発生基準は以下のとおりです。
- 製造物に欠陥があったこと
- それにより他人の生命、身体または財産を侵害したこと
- 損害が発生したこと
1でいう「欠陥」とは、「通常有すべき安全性」を欠いた状態をいい、製造上の欠陥・設計上の欠陥・指示・警告上の欠陥に分けられます。
実際にサイバー攻撃を受けた際に製造業者が責任を負うかどうかは、以下の状況により判断されます。
- 引き渡した当時に期待されていた技術水準を満たしていたか
- 公開されている最新のガイドラインや自主基準に準じたものであったか
デバイス製造業者は、欠陥があったことを認識できなかった事実を立証すれば、責任を回避できます。しかし、引き渡し当時の最高技術水準によっても欠陥が認められなかったことを証明しなければならないため、実際に認められる可能性は低いといえるでしょう。
ネットワーク管理者の責任:民法
ネットワークに対してサイバー攻撃を受け、情報漏えいなどが発生した場合、製造物責任法ではなく民法に基づき、以下のような原因で損害賠償請求を受ける可能性があります。
- ネットワーク管理者とユーザー間の契約違反
- ネットワーク管理者のセキュリティ対策義務違反による債務不履行
- ネットワーク管理者の不注意による不法行為責任(民法709条)
いずれの原因でも、ネットワーク管理者が「あるべきセキュリティ対策を怠ったことに過失があるか」が争点になります。
そして、「あるべきセキュリティ対策」とは、契約時の水準に沿った対策だけでなく、サイバー攻撃発生時に公開されているガイドラインに沿った対策も必要だと示した裁判例もあります(東京地判平成26.1.23)。
そのためネットワーク管理者は、納品後も常に重要なガイドラインの更新情報を把握し、必要に応じてソフトウエアをアップデートさせる必要があります。
<現在の情報セキュリティガイドライン>
関連記事:サイバー攻撃で損害。システムベンダーの損害賠償責任は?契約書記載例を解説
まとめ:IoTビジネスには専門的な法的理解が必要
IoTビジネスは、利用者の個人情報やプライバシーに関する情報をインターネットを介して集積し、利活用することで進歩するという性質をもっています。
そのため事業者は、家電としての製造物責任を負うだけでなく、個人情報を取り扱う事業者として、個人情報保護法や情報セキュリティガイドラインの更新にも留意しなければなりません。
製品事故があれば利用者の身体に影響を及ぼすだけでなく、情報漏えいによって不特定多数に被害が広がる可能性もあります。
IoTビジネスを始める際には、製造物責任法から個人情報保護法、最新の情報セキュリティガイドラインまで、幅広い専門知識をもった弁護士に相談することが重要です。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。近年、IoTビジネスは注目を集めており、リーガルチェックの必要性はますます増加しています。当事務所ではIoTビジネスに関するソリューション提供を行っております。
モノリス法律事務所の取扱分野:IT・ベンチャーの企業法務
カテゴリー: IT・ベンチャーの企業法務
