オープンデータ公開前段階の法的論点:データ収集・加工における第三者の権利とプライバシー保護
はじめに
近年、官民データ活用推進基本法に基づき、行政のみならず民間事業者においてもデータ公開、特にオープンデータとしての公開が推奨されています。オープンデータの推進は、新たなビジネス創出、行政の透明性向上、市民サービスの向上など、多岐にわたるメリットをもたらす一方で、データを公開する主体(以下「提供者」)は様々な法的リスクに直面します。特に、データの公開後の利用段階におけるリスク(例:誤謬による損害、第三者の権利侵害)に加えて、データ公開に至る前段階、すなわちデータの「収集」および「加工」のプロセスにおいても、弁護士が深く検討すべき重要な法的論点が存在します。
本記事では、提供者がデータをオープンデータとして公開するにあたり、その前段階であるデータ収集および加工のプロセスで留意すべき法的課題、特に第三者の権利保護とプライバシー保護に焦点を当てて解説します。これは、公開後のトラブルを未然に防ぎ、適法かつ倫理的なデータ公開を実現するために不可欠な視点であり、弁護士がクライアントに対して適切なアドバイスを提供するための基礎知識となります。
オープンデータ公開プロセスの概観と法的枠組み
オープンデータ公開プロセスは、一般的に以下の段階を経ます。
- データ収集: 公開対象となるデータを様々なソースから取得する段階。
- データ加工: 収集したデータを、公開に適した形式に整形、匿名化・非識別化、クレンジング等を行う段階。
- データ公開: 加工済みデータを、特定のライセンスの下で一般に利用可能な状態にする段階。
これらの各段階において、様々な法令が関わってきます。官民データ活用推進基本法はオープンデータ推進の基本理念を示しますが、具体的なデータの取扱いに関しては、個人情報保護法、著作権法、不正競争防止法、統計法、情報公開法、公文書管理法など、個別の法律が適用されます。本記事では、特に「収集」および「加工」段階における、個人情報保護法、著作権法、不正競争防止法を中心に法的課題を検討します。
データ収集段階における法的留意点
オープンデータとして公開を意図するデータを収集する際には、以下の点が法的問題となり得ます。
1. 第三者が権利を有するデータの収集
収集対象データに、第三者が著作権(データベースの著作権を含む)やその他の知的財産権を有する情報が含まれる場合、権利者の許諾なくこれを収集し、さらに公開することは著作権侵害等となり得ます。
- 著作権: テキスト、画像、音声、プログラムコードなど、著作物性の認められる情報が含まれる場合。適法な収集方法(例:著作権法上の引用の要件を満たす、権利者からの利用許諾を得る)が必要です。ウェブサイトからのデータ収集(いわゆるスクレイピング)については、利用規約違反や、その態様によっては不正アクセス禁止法違反、サーバーへの負荷による損害賠償責任などが問題となり得ますが、収集行為自体が直ちに著作権侵害となるかについては個別の判断が必要です。しかし、収集したデータをそのまま、あるいは加工して公開する場合には、複製権、公衆送信権等が問題となる可能性が高まります。
- データベースの著作権: データベースとして構成され、その選択または体系的な構成によって創作性が認められる場合、データベースの著作権が発生します。このようなデータベースからの大量のデータの抽出・利用は、著作権侵害となり得ます。
- その他の権利: 特許情報、商標情報、意匠情報など、他の知的財産権に関わる情報を含む場合も、権利侵害リスクを検討する必要があります。
提供者は、収集するデータのソース、含まれる情報の種類を確認し、第三者の権利が及ぶ可能性のある情報については、権利処理(利用許諾の取得など)を行うか、公開対象から除外するなどの対応が必要です。
2. 個人情報の収集
オープンデータ公開を目的とする場合であっても、収集するデータに個人情報(生存する個人に関する情報であって、特定の個人を識別できるもの、または個人識別符号が含まれるもの)が含まれる場合は、個人情報保護法の適用を受けます。
- 適法な取得: 偽りその他不正の手段による取得は禁止されています(個人情報保護法第20条)。適法な方法で取得する必要があります。
- 利用目的の特定と通知・公表: 個人情報を取得する際は、あらかじめその利用目的をできる限り特定し(同法第17条)、本人に通知するか公表しなければなりません(同法第21条)。オープンデータ公開という目的のために個人情報を収集する場合、その利用目的の中に「オープンデータとしての公開」が含まれている必要があります。
- 同意取得: 要配慮個人情報を取得する場合や、利用目的の変更、第三者提供を行う場合など、本人の同意が必要となるケースがあります(同法第20条2項、第21条、第27条等)。オープンデータとして公開する場合、個人情報保護法上の「第三者提供」に該当する可能性があるため、原則として本人の同意が必要となります。ただし、法令に基づく場合など同意が不要な例外規定もあります。
オープンデータ化を前提とした個人情報の収集は、当初の利用目的設定、同意取得の方法について、より慎重な検討が求められます。
3. 営業秘密データの収集
他社の営業秘密(不正競争防止法第2条6項に定める要件を満たす情報)を不正な手段(例:窃取、詐術、強迫)で取得した場合、不正競争防止法違反となり、差止請求や損害賠償請求の対象となり得ます。オープンデータとして公開を意図する場合であっても、不正に取得した他社の営業秘密を含むデータを公開することは、不正競争防止法上の問題を引き起こします。
収集するデータが他社の営業秘密に該当する可能性がないか、またその取得方法が適法であるかを十分に確認する必要があります。
データ加工段階における法的留意点
収集したデータをオープンデータとして公開するために加工する段階でも、いくつかの法的論点があります。
1. 個人情報の加工(匿名化・非識別化)
オープンデータとして個人情報を含むデータを公開する最も一般的な方法は、個人情報保護法に定める匿名加工情報または仮名加工情報として加工し、再識別化のリスクを低減することです。
- 匿名加工情報: 特定の個人を識別することができないように個人情報を加工し、かつ、当該個人情報を復元することができないようにした情報(個人情報保護法第2条9項)。作成方法には厳格なルールがあり(同法第43条)、作成時には公表義務等が発生します(同法第44条)。匿名加工情報は、原則として本人の同意なく第三者提供(オープンデータとしての公開)が可能です(同法第45条)。ただし、加工方法が不十分で再識別化が可能である場合、または再識別化を目的とした他の情報との照合が禁止されているにもかかわらずこれを行った場合は、個人情報保護法違反となり、匿名加工情報としての適格性を失う可能性があります。
- 仮名加工情報: 特定の個人を識別することができるように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたもの(同法第2条5項)。仮名加工情報は、作成時に特定のルールがあり(同法第35条の2)、利用目的の変更制限や本人同意・オプトアウト規定の適用除外などの特典がありますが、第三者提供は原則として本人の同意が必要です(同法第35条の3)。オープンデータとしての公開を目的とする場合は、匿名加工情報の方が適しているケースが多いと考えられます。
提供者は、個人情報保護法が定める匿名加工情報または仮名加工情報の作成基準、公表義務、安全管理措置義務などを遵守する必要があります。特に、他のオープンデータや公開情報と照合することで特定の個人が識別される「再識別リスク」をいかに低減するかは、技術的かつ法的に重要な課題です。最新の非識別化技術(差分プライバシー等)を理解し、その法的評価を適切に行う必要があります。
2. 著作物の加工(翻案・同一性保持権)
収集したデータに著作物が含まれており、これをオープンデータとして公開するために加工する場合、その加工行為が翻案(著作権法第2条1項11号)に該当する可能性があります。翻案権は著作者に専属する権利であるため、権利者の許諾なく翻案を行うことは著作権侵害となり得ます(同法第27条)。また、加工の態様によっては、著作者の意に反して著作物の内容、題号または著作者名に変更、切除その他の改変を加えることとなり、同一性保持権(同法第20条1項)を侵害する可能性もあります。
提供者は、加工対象のデータに著作物が含まれるかを確認し、加工の必要性、加工の程度、権利者の許諾の要否を慎重に検討する必要があります。特に、データの一部を抽出して公開する場合、それが元の著作物の一部と評価されるか、あるいは新たなデータベースの作成と評価されるかによって法的評価が異なる場合があります。
3. 倫理的配慮
法的な要件を満たすことと並行して、データを加工する際には倫理的な配慮も重要です。例えば、特定の集団に不利なバイアスを含むデータをそのまま公開したり、加工が不十分で間接的に特定の個人や組織を特定し得るデータを公開したりすることは、法的な問題には直ちにならなかったとしても、社会的な信頼を損なう可能性があります。
提供者は、データの公平性、透明性、アカウンタビリティといった倫理原則を意識し、加工プロセスにおいてこれらの原則を反映させる努力が求められます。これは、データガバナンスの一環として、データポリシーやガイドラインの中で明確に定めることが望ましいでしょう。
実務上の課題と対応策
オープンデータ公開前段階の法的課題に対して、提供者は実務上以下の点に留意し、対応策を講じる必要があります。
- データインベントリと法的リスク評価: 収集・加工するデータの種類、ソース、含まれる情報(個人情報、第三者の権利に関わる情報、営業秘密等)を正確に把握するデータインベントリを作成し、各データに対して潜在的な法的リスク(個人情報保護法違反、著作権侵害、不正競争防止法違反等)を評価します。
- 権利処理と同意取得体制の構築: 第三者の権利が関わるデータについては、必要な権利処理(利用許諾契約等)を行います。個人情報を含むデータについては、利用目的に「オープンデータ公開」が含まれる形での適法な取得、同意取得が必要な場合の同意取得プロセスを確立します。
- 適切な加工方法の選択と検証: 個人情報を含むデータについては、目的(匿名加工情報として同意なく提供したいのか等)に応じた適切な加工方法(匿名加工、仮名加工、単なる非識別化等)を選択し、その加工が個人情報保護法等の求める基準を満たすか、再識別リスクが許容範囲内であるかを技術的・法的に検証します。外部の専門家(データサイエンティスト、プライバシーエンジニア、弁護士)の知見を活用することが有効です。
- 利用規約・プライバシーポリシーの整備: データ収集時に参照する利用規約やプライバシーポリシーが、その後のオープンデータ公開を想定した内容になっているかを確認・修正します。
- データガバナンス体制の強化: データ収集・加工・公開の各段階における法的リスクを管理し、コンプライアンスを確保するための内部規程の整備、担当者の教育、監査体制の構築を行います。
弁護士は、これらの課題に対して、クライアントのビジネスモデルやデータの特性に合わせて、リスク評価の支援、法的アドバイス、契約書・規程の作成・レビュー、コンプライアンス体制構築のサポートといった多様なサービスを提供することが求められます。
結論
オープンデータの適法かつ円滑な推進には、公開後の利用段階だけでなく、その前段階であるデータ収集・加工プロセスにおける法的・倫理的な課題への適切な対応が不可欠です。特に、第三者の権利(著作権、データベースの著作権、営業秘密等)侵害リスクと、個人情報保護法に基づくプライバシー保護義務は、提供者が最も注意すべき論点です。
弁護士は、個人情報保護法における匿名加工情報・仮名加工情報の要件と実務、著作権法における翻案権・同一性保持権の解釈、不正競争防止法における営業秘密の定義と保護範囲など、関連法令に関する深い理解に加え、データの非識別化技術やデータガバナンスに関する知見も持ち合わせることで、クライアントに対して多角的かつ実践的な法的助言を行うことが可能となります。
オープンデータ公開前段階における法的リスクを適切に管理することは、データ公開の信頼性を高め、より健全なデータエコシステムの発展に寄与することに繋がります。本記事が、弁護士の皆様がオープンデータに関する実務においてこれらの重要な論点を理解し、活用するための一助となれば幸いです。