不正競争防止法上の限定提供データについて、限定提供性・相当蓄積性・電磁的管理性、対象情報、営業秘密・個人情報・契約実務との関係を企業法務の視点で確認します。
データを秘密として守るのか、限定された相手に流通させながら守るのかを切り分けます。
データを秘密として守るのか、限定された相手に流通させながら守るのかを切り分けます。
限定提供データは、不正競争防止法上、営業秘密とは異なる情報・データ保護制度として位置付けられます。典型的には、商品として販売されるデータ、プラットフォーム参加者にだけ共有されるデータ、会員・利用者・コンソーシアム構成員に限定して提供されるデータ、AI開発・機械学習・市場分析等に用いられるデータセットが問題となります。
限定提供データとして保護されるためには、第一に業として特定の者に提供する情報であること、第二に電磁的方法により相当量蓄積されていること、第三に電磁的方法により管理されていることが求められます。加えて、対象は技術上又は営業上の情報であり、営業秘密は限定提供データから除外されます。
企業実務では、秘密情報として守るデータ、限定された相手に流通させるデータ、個人情報保護法上の規律を受けるデータ、契約だけで規律するデータを、生成時点、取引設計時点、提供時点、紛争時点で整理することが重要です。
次の3つの項目は、限定提供データの保護を考える入口を表しています。各項目は、どの要件を満たす必要があるかを早く把握するために重要であり、読者は自社データがどの確認項目で止まりやすいかを読み取ると実務整理に役立ちます。
事業として、契約者、会員、参加者、API利用者など特定の者に提供する情報かを確認します。
件数や容量だけでなく、蓄積により取引価値、利活用可能性、投下コストが生じているかを確認します。
ID、認証、権限、暗号化、ログなどにより、限定された者に提供する意思が外部から分かるかを確認します。
次の強調部分は、この制度の位置付けを一文でまとめたものです。秘密として閉じ込める制度だけではない点が重要であり、読者はデータ流通を前提にした保護設計が必要だと読み取ることができます。
営業秘密制度が秘匿管理に重心を置くのに対し、限定提供データ制度は、一定の相手方に提供されるデータを不正取得・使用・開示から守る方向に重心があります。
不正競争防止法が想定するデータ流通型の保護対象を確認します。
限定提供データは、データの安全な流通と利活用を促進するために設けられた保護対象です。価値あるデータであっても、著作権法の保護対象にならない場合や、他者との共有を前提とするため営業秘密に該当しない場合には、不正流通を差し止めることが難しい場面があります。この制度は、一定要件を満たすデータの不正取得・使用・開示等を不正競争行為として位置付ける趣旨で導入されています。
定義を実務向けに言い換えると、限定提供データとは、事業として特定の者に提供する情報として、電子的・磁気的その他人の知覚だけでは認識できない方法により、相当量蓄積され、かつ管理されている技術上又は営業上の情報であり、営業秘密を除くものです。
この制度は、誰にも知られてはならない秘密だけを守る制度ではありません。取引、共同研究、会員制サービス、コンソーシアム、SaaS、API、データマーケット、AI開発などで、一定の相手方に提供されるデータを念頭に置きます。
一方で、限定提供データはデータに一般的な所有権を与える制度ではありません。限定提供データに該当しても、あらゆる利用を排除できるわけではなく、保護の中心は悪質性の高い取得・使用・開示等に対する民事上の救済です。限定提供データに係る不正取得・使用・開示行為等は差止請求・損害賠償請求の対象となり得ますが、経済産業省の指針では刑事罰の対象とはなっていないと説明されています。
限定提供データの重要性は、データが企業価値の中核に入り込んだことにあります。製造業では機械稼働データ、設備保全データ、センサーデータ、品質検査データ、図面関連データが問題となります。小売・EC・広告では購買履歴、消費動向、閲覧履歴、キャンペーン分析、顧客セグメントが問題となります。モビリティ、物流、不動産、金融、医療・ヘルスケア、エネルギー、スマートシティでは、複数事業者がデータを共有して付加価値を生み出す場面が増えています。
次の比較表は、限定提供データが問題になりやすい業務場面と企業法務上の論点を整理しています。場面ごとに契約・管理・証拠化の重点が変わるため重要であり、読者は自社のデータ提供や共同利用がどの論点に近いかを読み取ると、優先して整備する事項を決めやすくなります。
| 場面 | 企業法務上の論点 |
|---|---|
| データ販売・データライセンス | 提供対象、利用範囲、再提供禁止、派生データ、監査、終了時削除を整理します。 |
| 業務委託・共同開発 | 委託先が取得・加工したデータの帰属、利用権限、目的外利用禁止を整理します。 |
| データプラットフォーム | 参加資格、利用規約、アクセス権限、参加者間の閲覧制御、制裁措置を整えます。 |
| AI開発・機械学習 | 学習用データセット、学習済みモデル、パラメータ、成果物の取扱いを設計します。 |
| M&A・事業譲渡 | データ資産の棚卸し、ライセンス承継、契約上の利用制限、データの価値評価を確認します。 |
| 内部不正・情報漏えい | 従業員・委託先によるコピー、クラウド転送、退職時持出し、証拠保全を検討します。 |
| 個人情報を含むデータ提供 | 個人情報保護法、同意、第三者提供、委託、共同利用、個人関連情報を重ねて確認します。 |
限定提供データは、単なる知財用語ではなく、契約、コンプライアンス、IT統制、情報セキュリティ、プライバシー、M&A、訴訟・仮処分、内部監査の共通言語になります。
3要件だけでなく、対象情報性、除外、適用除外まで一体で見ます。
限定提供データの3要件と対象データを一枚で整理すると、確認すべき順序が見えやすくなります。表は要件、内容、実務上の確認ポイントを対応させたものです。要件ごとの証拠化の方向が分かるため重要であり、読者は自社のデータで不足しやすい列を重点的に確認できます。
| 区分 | 内容 | 実務上の確認ポイント |
|---|---|---|
| 第1要件 ― 限定提供性 | 業として特定の者に提供する情報であることです。 | 事業性、提供先の特定、会員・顧客・参加者・契約者の範囲、提供意思を確認します。 |
| 第2要件 ― 相当蓄積性 | 電磁的方法により相当量蓄積されていることです。 | 量そのものだけでなく、蓄積による価値、利活用可能性、取引価格、投下コストを確認します。 |
| 第3要件 ― 電磁的管理性 | 電磁的方法により管理されていることです。 | アクセス制御、認証、暗号化、VPN、専用回線、第三者から見た管理意思を確認します。 |
| 対象情報性 | 技術上又は営業上の情報であることです。 | 地図、機械稼働、AI学習用データ、消費動向、市場調査など、利活用価値を確認します。 |
| 除外・限界 | 営業秘密は除かれ、違法・公序良俗違反情報は保護対象外と考えられます。 | 営業秘密との分類、オープンデータとの同一性、個人情報・著作権等との重なりを確認します。 |
3要件と呼ばれるのは、限定提供性、相当蓄積性、電磁的管理性です。ただし、3要件だけを満たせば常に救済が認められるわけではありません。対象情報が技術上又は営業上の情報であること、営業秘密に該当しないこと、不正競争防止法の各不正競争類型に該当する行為があること、適用除外に当たらないこと、請求主体に営業上の利益侵害又はそのおそれがあることも検討します。
業として特定の者に提供する情報かを、提供先と提供意思から確認します。
限定提供性とは、対象データが、業として、特定の者に提供する情報であることです。商品として広く提供されるデータや、コンソーシアム内で共有されるデータなど、事業者等が取引等を通じて特定の者に提供する情報が想定されています。
特定の者に提供するという表現は、少数者だけへの提供を意味しません。会費を払って提供を受ける者、資格を満たしたコンソーシアム参加者、登録ユーザー、APIキーを付与された開発者など、一定の条件で提供先が特定されていれば該当し得ます。
業としてとは、対象行為が社会通念上、事業の遂行又は一環として行われているといえる程度のものを指します。反復継続的な提供は典型ですが、特定データを反復継続的に提供していることまでは必須ではありません。データ販売開始予定の公表や、事業の一環としての提供意思を示す客観資料も重要です。
次の一覧は、限定提供性を検討する際の確認項目を並べたものです。提供先の特定や提供意思が証拠として残るかが重要であり、読者は契約・規約・アカウント発行など、どの資料で説明できるかを読み取ることができます。
事業計画、収益モデル、共同事業、研究開発、業務提携、会員制度、API提供、SaaS提供等にデータ提供が組み込まれているかを確認します。
契約、利用規約、会員規約、コンソーシアム規約、参加資格、申込承諾、アカウント発行等で提供先が特定されているかを確認します。
金銭の支払いがなくても、社会通念上、事業の一環といえるかを確認します。
まだ提供開始前でも、提供意思を示す客観資料があるかを確認します。
提供するとは、データを特定の者が利用し得る状態に置くことです。ファイル送付だけでなく、クラウド上のデータにアクセス権を付与する場合、API経由で利用可能にする場合、ダッシュボードで閲覧・ダウンロード可能にする場合も含まれます。
次の比較表は、限定提供性を満たしやすい例と疑義が出やすい例を対比しています。何が提供先の限定につながるかを見分けるために重要であり、読者は公開範囲、利用条件、アクセス管理の有無を読み取ることができます。
| 方向性 | 例 |
|---|---|
| 満たしやすい例 | 有料会員向け市場分析データベース、APIキーを付与された契約者向け気象・地図・物流データ、コンソーシアム参加企業向け稼働データ、SaaS顧客向け業界ベンチマークデータ、研究共同体内の実験データセット、製品購入者向け更新データが挙げられます。 |
| 疑義が出やすい例 | 誰でも無償でアクセスできる政府統計をそのまま掲載したデータ、無制限にダウンロードできるファイル、SNSで不特定多数に公開したデータ、外部提供予定も提供先特定もない社内データが挙げられます。 |
単なる件数や容量ではなく、蓄積による価値を見ます。
相当蓄積性とは、対象データが、電子的方法、磁気的方法その他人の知覚によっては認識できない方法により、相当量蓄積されていることです。この要件は、ビッグデータ等を念頭に、有用性を有する程度に蓄積している電子データを保護対象とする点にあります。
相当量は、単純なレコード数、ファイル容量、ページ数、ギガバイト数だけで判断されません。重要なのは、蓄積されることによって価値が生じているかです。大量であるほど認められやすい一方、小規模でも、取得困難性、解析コスト、時系列価値、希少性、精度、整備・クレンジング・ラベリングの労力により取引価値が生じていれば、検討対象となります。
企業が保有するデータベース全体の一部だけが提供されることもあります。この場合、一部データについても、蓄積による付加価値、利活用可能性、取引価格、投下された労力・時間・費用等を考慮し、その一部に価値が生じていれば、相当蓄積性が認められる余地があります。
次の比較表は、相当蓄積性を説明するために証拠化したい資料を評価軸ごとに整理しています。侵害時の差止めや損害賠償でも価値立証に関わるため重要であり、読者は自社が平時に保存すべき資料を読み取ることができます。
| 評価軸 | 証拠化すべき資料 |
|---|---|
| データ量 | レコード数、容量、対象期間、対象地域、サンプル数、バージョン履歴を保存します。 |
| 蓄積による価値 | 分析レポート、利用実績、顧客提案資料、価格表、利用事例を保存します。 |
| 収集・生成コスト | センサー設置費、調査費、外部購入費、人件費、開発費、ラベリング費を保存します。 |
| 整備・加工コスト | クレンジング、欠損補完、正規化、統合、匿名化、仮名化、メタデータ整備の記録を保存します。 |
| 取引価値 | ライセンス料、API利用料、会費、見積書、契約書、請求書を保存します。 |
| 利活用可能性 | AI学習、需要予測、経路最適化、広告配信、品質改善、研究開発への利用実績を保存します。 |
これらの資料は、契約交渉時だけでなく、侵害発生時の差止請求や損害賠償請求でも重要です。不正に取得・開示されたデータが全体ではなく一部であっても、その一部に蓄積価値があることを説明できるようにしておく必要があります。
契約文言だけでなく、提供時のアクセス制御とログを一致させます。
電磁的管理性とは、対象データが、電磁的方法により管理されていることです。要件の趣旨は、データ保有者がデータを提供する際に、特定の者に対して提供するものとして管理する意思を外部に明確化し、第三者の予見可能性と経済活動の安定性を確保する点にあります。
ここで重要なのは、単なる社内管理ではなく、特定の者にのみ提供するものとして管理する意思が、管理措置により第三者から認識できるかどうかです。提供時にアクセス制御等が施され、対象データが限定された者だけに提供されるものだと外部から分かる状態が求められます。
電磁的管理性は、データ提供時に施されている管理措置によって判断されます。社内管理に不足があっても、提供時に適切な電磁的管理が施されていれば、要件が直ちに否定されるわけではありません。反対に、社内では厳重に管理していても、提供時に誰でもアクセスできる状態で公開していれば、管理性に疑義が生じます。
次の一覧は、電磁的管理性を支える主な技術的措置を整理しています。提供先以外のアクセスを防ぐ仕組みを説明するために重要であり、読者は契約上の利用範囲と実システムの制御が一致しているかを読み取ることができます。
契約者、会員、従業員、委託先担当者ごとに個別認証します。
認証パスワードに加え、トークン、生体認証、端末認証等を組み合わせます。
本人確認API利用者ごとに認証し、利用量・権限・ログを管理します。
利用制御事前登録されたネットワーク、端末、利用者、組織だけが接続できるようにします。
接続制限保存時・通信時に暗号化し、特定の通信経路でのみデータ提供を行います。
経路管理閲覧、ダウンロード、編集、再提供、権限変更を記録し、提供先識別情報も活用します。
証跡コピー防止とアクセス制御は異なります。DVDで提供されるデータについて、閲覧はできるがコピーできない措置があるだけでアクセス制御がされていない場合、電磁的管理性を満たしにくい例があります。また、データ自体には電磁的管理がなく、データを置いた部屋への出入りだけを電磁的に管理している場合も、原則として要件を満たしにくい例とされます。
実務上は、対象データそのもの、又は対象データへのアクセス経路に対して、特定の者だけがアクセスできる技術的制御を実装する必要があります。単なる社外秘表示、契約書上の秘密保持条項、紙の台帳管理、部屋の施錠だけでは、電磁的管理性を支えるには不十分となり得ます。
法務部門は、契約書レビューだけで完結せず、IT部門、情報セキュリティ部門、プロダクト部門、営業部門と連携し、契約上の利用範囲、アカウント発行、ロール設定、ログ保持、退職・異動時の権限停止、委託先管理、API利用制限、再提供防止を実装に落とし込む必要があります。
形式ではなく、利活用価値と適法性を確認します。
限定提供データの対象は、技術上又は営業上の情報です。利活用されている又は利活用が期待される情報が広く該当し得ます。技術上の情報としては、地図データ、機械稼働データ、AI技術を利用したソフトウェア開発・学習用データセット、学習済みモデル等が挙げられます。営業上の情報としては、消費動向データ、市場調査データ等が例示されています。データには、テキスト、画像、音声、映像等が含まれます。
次の一覧は、技術上の情報と営業上の情報の代表例を整理しています。対象データ性の判断で、分野名よりも利活用価値が重要になるため、この整理は重要です。読者は自社のデータが技術面・営業面のどちらの価値を持つかを読み取ることができます。
機械・設備・センサーの稼働データ、走行・運行・制御データ、地図・三次元空間・災害・地形データ、製造工程・品質検査・異常検知・保全履歴、研究・実験・シミュレーション・測定結果、AI学習用データセット、学習済みモデル、パラメータ、特徴量、ソフトウェア実行に必要なデータ集合が考えられます。
消費動向、購買履歴、販売実績、需要予測、市場調査、競合分析、価格分析、広告効果測定、顧客属性、セグメント、物流、在庫、店舗オペレーション、不動産取引、金融・保険分野のリスク評価、会員制サービスの利用状況が考えられます。
表計算ファイル、CSV、JSON、XML、ログファイル、データベース、画像、音声、動画、点群、時系列データ、センサーデータ、モデルファイル、APIレスポンスなど、形式自体は限定されません。
ただし、違法な情報や公序良俗に反する有害な情報は、不正競争防止法の目的に照らし、保護対象となる技術上又は営業上の情報には該当しないと考えられます。違法薬物の販売広告データや、名誉毀損罪に相当する内容のデータなどは、限定提供データとしての保護を論じる前提を欠く場合があります。
企業実務では、データの法的保護を検討する以前に、その取得・生成・保有・提供自体が適法かを確認します。個人情報、著作権、肖像権、プライバシー、通信の秘密、電気通信事業法、医療・金融・労働・輸出管理等の業法規制との関係を先に整理します。
秘匿型の営業秘密、流通型の限定提供データ、公開データを分けて考えます。
営業秘密と限定提供データは、いずれも不正競争防止法上の情報保護制度です。ただし、営業秘密は秘密として管理される情報を不正利用から守る制度であり、限定提供データは一定条件を満たす特定の者に提供する情報を不正利用から守る制度です。令和5年改正により、限定提供データの定義上、除外対象が秘密として管理されているものから営業秘密に拡充されたと説明されています。
次の比較表は、営業秘密と限定提供データの違いを整理しています。両制度の要件と共有への向き合い方が異なるため重要であり、読者は同じデータでも主位的に営業秘密で見るのか、限定提供データで見るのかを読み取ることができます。
| 項目 | 営業秘密 | 限定提供データ |
|---|---|---|
| 保護の中心 | 秘密として管理される情報です。 | 特定の者に提供されるデータです。 |
| 主な要件 | 秘密管理性、有用性、非公知性です。 | 限定提供性、相当蓄積性、電磁的管理性です。 |
| 公開・共有との関係 | 公然と知られていないことが求められます。 | 限定された相手への提供を前提にし得ます。 |
| 対象 | 生産方法、販売方法等の有用な技術上・営業上の情報です。 | 電磁的方法で蓄積・管理される技術上・営業上の情報です。 |
| 刑事罰 | 要件充足により営業秘密侵害罪の対象となり得ます。 | 指針上、限定提供データに係る不正取得等は刑事罰対象ではないと説明されています。 |
| 典型例 | 製造ノウハウ、未公開顧客リスト、研究開発情報です。 | 有料会員向けデータ、API提供データ、コンソーシアム共有データです。 |
次の分類表は、企業内のデータをどの保護手段に寄せるかを整理しています。紛争時に主張構成を組み立てやすくするため重要であり、読者はラベルだけでなく管理・契約・証拠の組み合わせを読み取ることができます。
| 分類 | 典型例 | 主な保護手段 |
|---|---|---|
| 営業秘密として守る情報 | 未公開アルゴリズム、製造条件、重要顧客リストです。 | 秘密管理、NDA、アクセス制御、教育、監査で守ります。 |
| 限定提供データとして流通させる情報 | 会員向け分析データ、APIデータ、共同利用データです。 | 契約、利用規約、電磁的管理、ログ、再提供禁止で守ります。 |
| 個人情報・個人データ | 顧客情報、行動履歴、ID連携データです。 | 個人情報保護法、同意、利用目的、安全管理、委託先管理で規律します。 |
| オープンデータ | 政府統計、誰でも無償利用可能な公開データです。 | 利用条件確認、出典表示、ライセンス遵守を行います。 |
| 契約上のみ管理する情報 | 営業秘密・限定提供データ要件が不明な業務資料です。 | 契約、就業規則、社内規程、債務不履行責任で規律します。 |
限定提供データ制度は、データ保有者の保護とデータ利用者の萎縮防止のバランスをとるため、一定の適用除外を設けています。重要なのは、無償で公衆に利用可能となっている情報、いわゆるオープンなデータと同一の限定提供データを取得・使用・開示する行為は、差止め等の対象から外れる場合がある点です。
無償とは、データの提供を受けるに当たり金銭の支払いが不要な場合を想定します。ただし、見返りとして自社データの提供を求められる場合や、データが付随する製品購入者に限定される場合など、データの経済価値に対する反対給付が求められる場合には、無償に該当しないと考えられます。
同一とは、オープンなデータと実質的に同一であることを意味します。政府統計をそのまま提供する場合、単純かつ機械的に並び替える場合、一部を機械的に切り出す場合、複数のオープンデータを単純に組み合わせる場合などは、実質的に同一と評価される可能性があります。
他方、オープンデータを基にしても、独自の収集、分析、推計、クレンジング、欠損補完、ラベリング、スコアリング、モデル化、検証、更新、統合により、新たな取引価値を持つデータになっている場合には、単なる同一データとは異なる評価があり得ます。
取得・使用・開示、転得、適用除外、差止めと損害賠償を整理します。
限定提供データに関する不正競争では、取得、使用、開示が基本行為となります。取得とはデータを自己の管理下に置くこと、使用とはデータを用いること、開示とはデータを第三者が知ることができる状態に置くことです。
取得の例としては、サーバや媒体のデータを自分のPCやUSBメモリにコピーする行為、クラウド上で自分が利用できる状態に置く行為、電子ファイルをメールで受信する行為、プリントアウトして持ち出す行為、ディスプレイを撮影する行為が挙げられます。使用の例としては、研究開発、物品製造、プログラム作成、AI学習用データセット作成、データベース作成、営業活動が挙げられます。開示の例としては、媒体の手渡し、ホームページ掲載、メール送付、アクセス権付与、サーバ所在とパスワードの教示、画面閲覧が挙げられます。
次の一覧は、不正競争となり得る類型を実務上の着眼点とともに整理しています。行為者や転得者ごとに必要な主張立証が変わるため重要であり、読者は不正取得だけでなく目的外利用や再提供先の認識も確認すべきだと読み取れます。
窃取、詐欺、強迫その他の不正の手段により限定提供データを取得する行為、又はそのように取得したデータを使用・開示する行為です。不正アクセス、認証情報の無断利用、退職者による持出し、委託先担当者による契約外取得などが問題となり得ます。
データを示された者が、不正の利益を得る目的又は保有者に損害を加える目的で、管理に係る任務に違反して使用又は開示する行為です。単なる契約違反だけではなく、図利加害目的や任務違反の態様を精査します。
不正取得行為又は不正開示行為が介在したデータを、事情を知って取得・使用・開示する者や、取得後に事情を知って開示する者が対象となります。二次取得者、再提供先、転売先、関連会社、海外拠点にも注意します。
取引によって限定提供データを取得した者が、取得時に不正開示行為や不正取得行為の介在等を知らない場合には、取引によって取得した権原の範囲内で開示する行為が適用除外となる場合があります。また、オープンなデータと同一の限定提供データの取得・使用・開示も適用除外の対象となり得ます。
善意で取引した利用者が過度に萎縮すれば、データ流通そのものが阻害されます。もっとも、善意であっても、権原の範囲を超えた利用・開示は保護されません。契約上の利用範囲確認は不可欠です。
不正競争防止法上、営業上の利益を侵害され、又は侵害されるおそれがある者は、一定の不正競争行為に対して差止めを求めることができます。限定提供データについても、不正取得・使用・開示が不正競争に該当すれば、差止請求が検討されます。
データ侵害では、損害賠償だけでは回復困難な場合が多く、不正に取得されたデータが競合サービス、AIモデルの学習、第三者への再提供に使われると、被害が急速に拡大します。仮処分を含む迅速な差止め、削除請求、アクセス停止、再提供停止、媒体廃棄、ログ保全、秘密保持命令等の検討が重要です。
損害賠償では、ライセンス料相当額、逸失利益、価格下落、顧客喪失、調査費用、再発防止費用、信用毀損、対応人件費等の立証が問題となります。契約書、価格表、見積書、提供履歴、利用実績、顧客別売上、データ生成・維持費用、開発費、アクセスログ、監査記録を保存しておくことが重要です。
営業秘密侵害は一定の場合に刑事罰の対象となり得ますが、限定提供データに係る不正取得・使用・開示行為等については、経済産業省指針上、刑事罰の対象とはなっていないと説明されています。もっとも、不正アクセス禁止法、電子計算機使用詐欺、背任、業務妨害、個人情報保護法違反等、別法令上の刑事問題が生じる場合はあり得ます。
不正競争防止法だけでなく、個人情報保護法と契約条項を重ねて設計します。
限定提供データに個人情報、個人データ、個人関連情報、仮名加工情報、匿名加工情報が含まれる場合、不正競争防止法だけでは完結しません。購買履歴、位置情報、閲覧履歴、端末識別子、広告ID、会員ID、健康・医療関連データ、金融取引データ、従業員データなどは、文脈によって個人情報又は個人関連情報として扱われる可能性があります。
実務では、不正競争防止法上、限定提供データの3要件と対象データ性を満たすかを確認し、同時に個人情報保護法上、取得、利用目的、第三者提供、委託、共同利用、越境移転、安全管理措置、漏えい等報告、本人対応の規律を満たすかを確認します。限定提供データとして保護され得るからといって、本人同意や第三者提供規制が不要になるわけではありません。
限定提供データ制度は、不正競争防止法上の事後的救済を提供する制度です。しかし実務上は、契約こそが平時の保護インフラです。契約により、提供対象、利用範囲、再提供禁止、派生データ、監査、削除、損害賠償、秘密保持、個人情報保護、セキュリティ、ログ、準拠法・管轄を定めることで、要件充足、権原範囲、任務違反、図利加害目的、善意取得者保護などの判断にも影響します。
次の比較表は、データ提供契約で検討したい条項と具体的な検討事項を対応させています。契約の抜けが要件充足や侵害対応に直結するため重要であり、読者は自社のひな形に不足している項目を読み取ることができます。
| 条項 | 具体的検討事項 |
|---|---|
| 定義 | 対象データ、メタデータ、派生データ、成果物、学習済みモデルを定義します。 |
| 提供方法 | API、SFTP、クラウド、媒体、ダッシュボード、更新頻度、形式を定めます。 |
| 利用範囲 | 目的、部署、地域、期間、ユーザー数、端末、処理内容、AI学習可否を定めます。 |
| 禁止事項 | 再提供、転売、スクレイピング、リバースエンジニアリング、競合利用、再識別を整理します。 |
| 電磁的管理 | 認証、権限、暗号化、ログ、アクセス制限、委託先・再委託先管理を定めます。 |
| 派生データ | 加工後データ、統計値、モデル、特徴量、レポートの利用権限を定めます。 |
| 知的財産 | 著作権、データベース、ノウハウ、発明、成果物の帰属を整理します。 |
| 個人情報 | 役割分担、同意、委託・第三者提供、共同利用、越境移転、安全管理を定めます。 |
| 監査 | ログ提出、利用状況報告、オンサイト監査、第三者認証、是正措置を定めます。 |
| 侵害時対応 | 通知、調査協力、アクセス停止、削除、証拠保全、再発防止を定めます。 |
| 終了時 | 返還、削除、バックアップ、派生データの取扱い、存続条項を定めます。 |
| 責任 | 損害賠償範囲、責任制限、間接損害、違約金、補償、差止合意を定めます。 |
限定提供データ実務で争点化しやすいのが、派生データ、加工データ、統計データ、AI学習済みモデル、特徴量、推論結果、レポート、ダッシュボード、スコア、予測値の取扱いです。成果物が元の限定提供データとは異なるものと評価される場合、成果物の使用・譲渡等は不正競争に該当しないと考えられる一方、成果物が取得データと実質的に等しい場合又は実質的に等しいものを含む場合には、元データの使用・開示に該当し得ます。
次の一覧は、契約で粒度を分けて定義したいデータの種類を示しています。成果物の帰属を一文だけで処理すると争点が残るため重要であり、読者は元データからモデル・推論結果まで段階ごとに権限を分ける必要を読み取れます。
元データそのもの、元データから抽出した一部データを分けて定義します。
機械的に整形したデータ、統計処理した集計データ、他データと統合したデータを分けます。
元データを用いて学習したモデル、モデルから生成される推論結果を分けます。
分析レポート・可視化結果、匿名化・仮名化・マスキング後データを分けます。
成果物は利用者に帰属するとだけ定めると、元データの実質的複製を含む成果物まで自由利用できるのか、AIモデルの再提供が可能なのか、第三者への販売が可能なのか、再識別リスクを誰が負うのかが不明確になります。
データ台帳、分類、ログ、初動対応を平時から整えます。
限定提供データの保護を実効化するためには、まずデータ台帳が必要です。台帳には、データ名称、保有部門、生成・取得元、対象期間、件数、形式、保存場所、提供先、契約、利用目的、個人情報該当性、営業秘密該当性、限定提供データ該当性、アクセス権限、ログ保存期間、削除期限を記載します。
台帳がない企業では、侵害発生時に、どのデータがどの要件を満たし、誰に提供され、誰が不正取得したのかを説明しにくくなります。これは差止め、損害賠償、内部調査、監査、M&Aデューデリジェンスのすべてで不利に働きます。
次の時系列は、限定提供データを守るための社内整備を段階ごとに示しています。データ保護はラベルだけでは機能しないため重要であり、読者は分類、証跡、緊急対応を順番に整える必要を読み取ることができます。
データ名称、保有部門、取得元、期間、件数、保存場所、提供先、契約、利用目的、該当性、権限、ログ保存期間、削除期限を記録します。
営業秘密、限定提供データ候補、個人情報・個人データ、個人関連情報、匿名加工情報・統計情報、オープンデータ由来、契約制限データ、公開可能データを分類します。
ログイン、認証失敗、閲覧、ダウンロード、API呼出し、検索条件、権限変更、共有リンク作成、外部送信、管理者操作、削除・改変を保存します。
対象データ、保存場所、アクセス権限、提供先を特定し、ログ、端末、メール、チャット、クラウド、外部ストレージ、USB、印刷履歴を保全します。
分類ラベルを貼るだけでは足りません。ラベル、契約、アクセス制御、ログ、教育、監査、提供先管理が一致して初めて、電磁的管理性や不正行為立証に役立ちます。
ログは、改ざん防止、保存期間、監査可能性、時刻同期、個人情報保護、労務管理との整合性を考慮します。退職者、委託先、外部アカウント、共有IDの利用は特にリスクが高く、共有IDは個人ごとの行為特定を困難にするため、原則として避ける設計が望まれます。
漏えい・不正利用が疑われる場合は、アカウント停止、APIキー失効、共有リンク無効化、パスワード変更を行い、契約上の通知義務、個人情報保護法上の漏えい等報告義務、取引先通知義務を確認します。外部弁護士、フォレンジック、情報セキュリティ、広報、経営、監査と連携し、差止仮処分、証拠保全、警告書、削除要請、取引停止、再発防止策と取締役会・監査役・内部監査への報告を整理します。
該当しやすいデータ、該当し得るデータ、注意が必要なデータを並べます。
次の早見表は、代表的なデータ類型ごとに、限定提供データ該当性の方向性と注意点を整理しています。実務では同じ類型でも契約・管理・加工内容で結論が変わるため重要であり、読者は表の方向性を仮説として、個別事情を追加確認する必要を読み取れます。
| データ類型 | 該当性の方向性 | 注意点 |
|---|---|---|
| 有料APIで提供する気象データ | 該当しやすいです。 | API認証、契約、提供範囲、オープンデータとの差分を整理します。 |
| 会員向け市場調査データ | 該当しやすいです。 | 会員条件、相当蓄積性、更新履歴、利用範囲を証拠化します。 |
| コンソーシアム共有のセンサーデータ | 該当しやすいです。 | 参加資格、規約、参加者別アクセス権限、再提供禁止を整理します。 |
| AI学習用ラベル付き画像データ | 該当し得ます。 | 著作権、肖像権、個人情報、ラベル作成コスト、モデル利用範囲を確認します。 |
| 学習済みモデル | 該当し得ます。 | 元データとの実質的同一性、パラメータの取扱い、契約定義を確認します。 |
| 顧客購買履歴分析データ | 該当し得ます。 | 個人情報・個人関連情報、同意、第三者提供、匿名化・統計化を確認します。 |
| 政府統計をそのまま再配布 | 該当しにくい又は適用除外が問題となります。 | 無償で公衆に利用可能な情報との同一性を確認します。 |
| 政府統計に独自推計を加えた商圏分析 | 該当し得ます。 | 独自加工部分、投下コスト、元データとの同一性を区分します。 |
| 社内だけで使う未公開製造ノウハウ | 営業秘密の検討が中心です。 | 秘密管理性・有用性・非公知性を確認します。 |
| 誰でも閲覧できる公開ウェブデータ | 原則として限定提供性に疑義が生じます。 | 収集方法、利用規約、著作権、スクレイピング規制にも注意します。 |
| 違法薬物販売広告データ | 保護対象外と考えるべきです。 | 違法・公序良俗違反情報は保護対象性を欠きます。 |
法務部だけでなく、セキュリティ、事業、経営、監査が連携します。
次の役割表は、限定提供データ対応に関わる関係者と主な役割を整理しています。データ保護は契約書だけでは完結せず、技術実装、証跡、経営判断まで関係するため重要です。読者は自社で誰を巻き込むべきかを読み取ることができます。
| 関係者 | 役割 |
|---|---|
| 法務担当・企業内弁護士 | 要件該当性、契約書、規約、侵害対応、訴訟戦略を統括します。 |
| 外部弁護士 | 紛争、仮処分、M&A、国際取引、複雑な法解釈を支援します。 |
| 知財法務・弁理士 | データ、著作権、営業秘密、特許・ノウハウ、ライセンス設計を確認します。 |
| 個人情報保護担当 | 個人情報・個人関連情報・匿名加工情報の確認、PPC対応を担います。 |
| 情報セキュリティ担当 | アクセス制御、暗号化、ログ、インシデント対応、脆弱性管理を担います。 |
| 内部監査・内部統制 | データ管理手続、権限管理、証跡、委託先管理を監査します。 |
| 事業部門・プロダクト | データ価値、利用目的、提供仕様、顧客説明、価格設定を整理します。 |
| 経営層・取締役会 | データ戦略、リスク許容度、投資、重大インシデント対応を判断します。 |
| 公認会計士・税理士 | M&A・会計・税務上のデータ資産評価、DD支援を行います。 |
| フォレンジック専門家 | 不正取得・漏えい時の端末・ログ・クラウド証拠保全を支援します。 |
対象データの特定から救済手段まで、順番に確認します。
次の判断の流れは、限定提供データの3要件と対象データ性を実務で確認する順序を示しています。前の段階が曖昧なまま救済手段だけを検討すると、主張立証や契約整理に抜けが出やすいため重要です。読者は上から順に、データの特定、要件確認、適用除外、不正行為、救済の順番で読み取ることができます。
データ名、範囲、期間、形式、保存場所、提供先、契約を明確化します。
利活用価値、事業活動との関係、違法・公序良俗違反情報でないことを確認します。
秘密管理性、有用性、非公知性を満たす場合は営業秘密保護が中心となります。
業として、特定の者に、提供する情報といえるかを確認します。
蓄積による価値、利活用可能性、取引価格、投下コストを確認します。
提供時のアクセス制御、認証、暗号化、ログ、権限管理を確認します。
無償で公衆に利用可能な情報と実質的に同一でないかを確認します。
不正取得、目的外使用、任務違反開示、転得、善意・悪意を確認します。
差止、削除、損害賠償、契約解除、監査、仮処分、通知を検討します。
回答は制度の一般的な整理であり、個別事情によって結論は変わります。
一般的には、秘密として管理される情報は営業秘密として検討されます。他方、特定の者に提供する前提のデータであっても、限定提供性、相当蓄積性、電磁的管理性を満たし、営業秘密に該当しない場合には、限定提供データとして保護され得るとされています。ただし、提供方法、管理措置、契約内容、データの性質によって結論が変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、無償であることだけで直ちに否定されるわけではないとされています。社会通念上、事業の遂行又は一環として提供され、提供先が特定され、相当蓄積性・電磁的管理性を満たす場合には、限定提供データとなり得ます。ただし、相手方を特定せず無償で公衆に利用可能なデータは、限定提供性や適用除外の観点で保護が制限される可能性があります。具体的な評価は弁護士等の専門家へ相談する必要があります。
一般的には、相当蓄積性は単なる容量・件数だけでなく、蓄積による価値、利活用可能性、取引価格、投下コスト等で判断されるとされています。小規模でも、収集困難性や分析価値が高ければ検討対象となる可能性があります。ただし、データの内容、取引価値、証拠資料の有無によって結論は変わります。具体的な判断は弁護士等の専門家へ相談する必要があります。
一般的には、パスワード付きZIPだけでは、提供先管理、パスワード共有、再配布防止、ログ取得、期限管理、権限停止が不十分となる場合があります。ID管理、アクセス権限、ダウンロード制御、暗号化、ログ、契約上の利用制限を組み合わせることが実務上重視されます。ただし、提供態様やデータの性質によって必要な措置は変わります。具体的な設計は弁護士等の専門家や情報セキュリティ担当者へ相談する必要があります。
一般的には、契約条項だけでは足りず、限定提供データの要件として電磁的方法による管理が必要とされています。契約上の禁止と、実際のアクセス制御・認証・ログ等の技術管理を一致させることが重要です。ただし、契約内容、システム設定、提供先管理、証拠資料によって評価は変わります。具体的には弁護士等の専門家へ相談する必要があります。
一般的には、公開統計をそのまま、又は単純・機械的に並べ替えただけなら、オープンなデータと実質的に同一と評価される可能性があります。他方、独自の分析、統合、推計、検証、クレンジング等により新たな取引価値が生じている場合には、独自部分について限定提供データ性を検討し得ます。ただし、加工内容と元データとの同一性で結論は変わります。具体的な評価は弁護士等の専門家へ相談する必要があります。
一般的には、個人情報を含むデータも限定提供データになり得る一方、個人情報保護法の規律が別途適用されます。限定提供データとしての保護可能性は、本人同意、利用目的、第三者提供、委託、共同利用、越境移転、安全管理措置、漏えい等報告義務を免除するものではありません。具体的な提供設計は弁護士等の専門家へ相談する必要があります。
一般的には、対象データが限定提供データに該当し、持出しが不正取得又は契約・就業規則上の任務違反を伴う使用・開示等に該当するかを検討するとされています。営業秘密、契約違反、不法行為、不正アクセス、個人情報漏えい、就業規則違反も併せて検討する必要があります。ただし、権限設定、ログ、退職時手続、持出し態様によって結論は変わります。具体的な対応は弁護士等の専門家へ相談する必要があります。
一般的には、元データの不正取得・使用がある場合、使用差止めや削除が検討され得るとされています。ただし、学習済みモデルが元データと異なるものと評価されるか、元データを実質的に含むか、再現可能性、契約上の学習禁止、個人情報・著作権・秘密情報の問題などで結論は変わります。具体的な見通しは弁護士等の専門家へ相談する必要があります。
一般的には、日本法上の限定提供データ該当性に加え、準拠法、裁判管轄、仲裁、執行可能性、輸出管理、個人情報の越境移転、データローカライゼーション、海外法上の営業秘密・データ保護、クラウド所在地を確認する必要があります。ただし、相手国、契約、データ内容、提供方法によって必要な対応は変わります。具体的には弁護士等の専門家へ相談する必要があります。
平時、契約締結時、侵害発生時に分けて実務対応を確認します。
契約、技術管理、証跡を一体で設計することが中核です。
限定提供データは、データを秘匿するだけでなく、限定された相手に流通させながら保護するための制度です。企業法務では、データビジネス、AI開発、プラットフォーム、共同研究、SaaS、M&A、内部不正、個人情報対応のあらゆる場面で問題となります。
次の重要ポイントは、限定提供データの3要件と対象データを実務で理解するための核心を整理しています。各要件が単独で完結しない点が重要であり、読者は契約、技術、証跡を同時に整える必要を読み取ることができます。
限定提供性、相当蓄積性、電磁的管理性、対象データ性、営業秘密・オープンデータ・個人情報との関係を整理したうえで、契約、技術管理、データ台帳、ログ、内部統制、教育、監査、インシデント対応を一体化する必要があります。
公的資料・法令・ガイドラインを中心に確認しています。