2023年10月1日
IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)
IOTに関する法律的な問題点をIOTビジネスに詳しい弁護士が解説【2021年12月】
IOTに関する法律についての解説
IOTとは、Internet of Thingsの略で、あらゆる「モノ」にセンサーが組み込まれて、直接インターネットにつながり、モノ同士、あるいはモノと人とが相互に通信できるようになる仕組みのことをいいます。
ここ数年の間で一気に言葉としては広がり、それによるビジネスも多く出てきました。
IOTビジネスについては、ハード面とソフト面が双方が問題となってくるため、多くの法律を検討する必要があります。
弊社では、IOTビジネスを行っている企業に対して、法律面からサポートするのは当然行っておりますが、IOT企業に対して、出資もしております。
IOTビジネスについては、法律的なアドバイスをするだけでなく、実際の経営の現場に携わっています。
そこで、今回は、IOTに関する法律について、解説していきたいと思います。
IOTの法律を要素別に解説
IOTのシステムについては、以下の5つにわけることができます。
- ハードとなる「デバイス」
- 通信をする「ネットワーク」
- 収集する「データ」
- IOTビジネス自体の「サービス」
- セキュリティ
それぞれについて、法律的にみていきましょう。
①IOTのハードとなる「デバイス」の法律
IOTのハード面で問題となるのは、センサーなどのデバイスについて、電化製品であることが多いです。
電化製品を販売する場合には「電気用品安全法」という法律があります。
例えば、「電気用品」を販売する場合には、その製品に「PSEマーク」の表示を付さなければなりません。
これに違反した場合には、一年以下の懲役若しくは百万円以下の罰金などの罰則もあるので、注意が必要です。
そのため、事業者としては、電気製品であるIOTデバイスを製造するときには、当該デバイスが、「電気用品安全法」上の「電気用品」に当たるかをチェックする必要があります。
「電気用品安全法」上の「電気用品」とは
法律上の「電化製品」の種類については、電気用品安全法施行令で定められています。
特に危険又は障害の発生する恐れのある電気用品である「特定電気用品」と「それ以外の電気用品」に分かれています。
この資料を参考に、自社の製品が、該当するのかを慎重に検討する必要があります。そして、電化製品に該当する場合には、製品にPSEマークを表示する義務が生じます。
「電気用品」のうち、「特定電気用品」については、登録検査機関による検査が必要になります。一方「それ以外の電気用品」については、自主検査でよいとされています。
よって事業者としては「特定電気用品」なのか、「それ以外の電気用品」なのかの区別は、しっかりとしておく必要があります。「それ以外の電気用品」では、事業者の自主検査でOKですが、自主検査だと本当に基準を満たしているか不明確なところがあります。
仮に、自主検査の結果、基準を満たしていなかった場合には、行政から改善命令、PSEマークの表示の禁止、危険措置命令などの措置が取られてしまいます。
本当に基準を満たしているか心配という場合には、任意で第三者検査機関の適合性検査を受けることも検討することが考えられます。
リモートコントロールの場合の規制
IOTデバイスが、遠隔操作機能が実装されることが予定されている場合には、技術基準を満たす必要があります。
ヘルスケアに関連するデバイスの場合
ヘルスケアに関連するデバイスの場合には、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(医薬品・医薬機器等法)に気を付ける必要があります。
特に、ヘルスケアデバイスが、薬機法上の「医療機器」に該当するかが問題になります。なぜなら、ヘルスケアアプリが「医療機器」に該当すると、事前に、以下のものを揃える必要がでてくるからです。
- 医療機器製造販売業許可
- 医療機器製造業登録
- 大臣による「承認」、第三者機関による「認証」
では、どのようなデバイスが「医療機器」に該当するのでしょうか?薬機法では、次のようなものが医療機器に該当します。
- 人若しくは動物の疾病の診断、治療若しくは予防に使用されること
- 人若しくは動物の身体の構造若しくは機能に影響を及ぼすことが目的とされている
薬機法の政令には、「医療機器」にあたる「プログラム」の種類が列挙されています。
また、厚生労働省からは、「プログラムの医療機器への該当性に関する基本的な考え方について」というものが公表されていて、具体的にどういったものが「医療機器」にあたるのかが示されています。
この中で、人の生命及び健康や機能に与える影響等を考慮し、プログラムの医療機器の該当性の判断を行うに当たり、次の2点について考慮すべきとされています。
- プログラム医療機器により得られた結果の重要性に鑑みて疾病の治療、診断等にどの程度寄与するのか
- プログラム医療機器の機能の障害等が生じた場合において人の生命及び健康に影響を与えるおそれ(不具合があった場合のリスク)を含めた総合的なリスクの蓋然性がどの程度あるか
②通信をするネットワークの法律問題「電波法」
通信などのネットワークにおいては、無線通信を利用する場合には、電波法という法律に気を付ける必要があります。
このような電波を発する製品を日本国内で使用する場合、本来、その使用者が電波法に基づく無線局開設の免許を取得することが必要となります。
もっとも、無線LANなどの通信を行う場合、技適マークが付された設備を用いるならば、使用者は免許の取得を不要としてます。
よって、このようなIOTデバイスを販売する事業者は、技適マークの取得する必要があるのです。
技適マークを取得するためには、国の登録を受けた登録証明機関から「技術基準適合証明」や「工事設計認証」を取得する必要があります。
技術基準適合証明は、総務大臣の登録を受けた者(登録証明機関)等が、特定無線設備について、電波法に定める技術基準に適合しているか否かについての判定を無線設備1台ごとに行う制度です。
登録証明機関は、総務省令で定めるところにより、無線設備1台1台について試験(総務大臣が告示する試験方法又はこれと同等以上の方法(特性試験の試験方法による))等の審査を行った上で証明を行います。
工事設計認証とは、特定無線設備が技術基準に適合しているかどうかの判定について、その設計図(工事設計)及び製造等の取扱いの段階における品質管理方法(確認の方法)を対象として、登録証明機関が行う認証制度です。
③収集する「データ」~個人情報保護法・著作権法~
デバイスが収集するデータが、個人情報を含む場合には、個人情報保護法を遵守する必要があります。「個人情報」とは、生存する個人を特定できる情報全てをいいます。
個人情報保護法については、2017年5月30日に改正法が施行され、事業者が負うべき義務が加算されています。
「個人情報」の範囲が拡大
従来は、「個人情報」に当たるのか不明確であったものが「個人情報」に加わりました。その一つが「個人識別符号」です。
個人識別符号とは、いかのようなものです。
- 運転免許証番号、パスポート番号などの個人に発行される符号
- 指紋データ、顔認識データなどの身体的特徴のデータ
「個人識別符号」に当たると、それ自体で「個人情報」に該当するので、当該情報は、個人情報保護法に則って管理をする必要があります。
匿名加工情報
匿名加工情報は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報です。
匿名加工情報は、本人の同意なしで第三者に提供することが可能で、事業者としては、自社のビッグデータの活用が期待されています。
この匿名加工情報を作成した事業者には、以下のような義務が生じます。
- 匿名加工情報の適正加工義務
- 漏えい防止措置義務
- 作成したときの公表義務
- 第三者提供をする場合の公表・明示義務
具体的な義務の内容はガイドラインで記載されています。
個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)
詳しくは、【匿名加工情報】改正個人情報保護法の改正における「ビッグデータ」活用のポイントで解説しています。
要配慮個人情報
要配慮個人情報とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」をいうとされています。
特に以下の内容を押さえておくことが必要です。
- 取得する場合には、本人の事前同意が必要
- オプトアウトによる第三者提供の禁止
要配慮個人情報の例として、以下の項目などが挙げられています。
- 健康診断の結果
- ストレスチェックの結果
個人情報の第三者提供
第三者提供に係る記録等の義務として、個人データを第三者に提供する際には、トレーサビリティ(追跡可能性)確保の観点から、当該情報を提供する側と提供を受ける側それぞれに対して規制が強化されました。
トレーサビリティの確保では以下の項目が求められるようになりました。
第三者に個人データを提供する側
- 提供年月日
- 提供先等に関する記録の作成
- 当該記録の一定期間の保存
第三者から提供を受ける側
- 提供者の情報・提供年月日
- 提供者が当該個人データを取得した経緯の確認
- 提供者情報およびその取得経緯に関する記録の作成
- 当該記録の一定期間の保存
詳しくは、改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とはで解説しています。
第三者提供オプトアウト手続きの厳格化
改正前の法律においても、オプトアウトで個人データの第三者提供を行おうとする場合には、下記の事項についてあらかじめ本人に通知、本人が容易に知り得る状態に置くことが必要とされていました。
- 第三者への提供を利用目的とする
- 第三者に提供される個人データの項目
- 第三者への提供の方法
- 本人の求めがあれば、第三者提供を停止すること
改正法では、上記(1)~(4)に加えて、「(5)本人の求めを受け付ける方法」を付け加える必要があります。
そして、事業者は、上記5項目について、個人情報保護委員会に届け出なければなりません。
そして、この届出の内容は個人情報保護委員会によって公表されることになりました。
これからは、さりげなく自社ホームページなどで記載しておけば、第三者提供ができるということはなくなります。
オプトアプトで第三者提供している事業者は、今一度、上記5項目を見直す必要があるのです。
個人情報の消去努力義務
企業は個人データを利用する必要がなくなった場合、遅滞なく当該個人データを消去するよう努めなければならないという努力義務が定められました。
これは、不要となった個人データを保持し続けることで生じる個人情報漏えいのリスクを回避することが目的です。
④IOTビジネス自体の「サービス」に関する法律
IOTについては、最先端なビジネスモデルであることも多く、既存の法律と抵触する可能性があります。例えば、自動運転車であれば、現行の道路交通法との関係が問題になります。
「ロボネコヤマト」配送実験へ!自動運転車を公道で実験するときの法的注意点とは?
弁護士が読み解く!自動運転車が事故を起こしたら、法的には、どうなるの?
また、ヘルスケアIOTが提供するサービスが、医療行為として医師法に違反するのかといったことも問題になります。
また、IOTで使用されている技術やビジネスモデルについては、特許や著作権などの知的財産権にも注意が必要です。
⑤サイバーセキュリティに関する法律
IOTでは、サイバーセキュリティは、非常に重要な問題です。IOTビジネスでハッキングされてしまうと、人が物理的に危害を被る可能性が出てきます。
よって、事業者としては、セキュリティが甘いシステムを開発してしまい、他人に損害を加えてしまった場合には、法的責任が問題になります。
この点に関しては、2016年7月5日、総務省及び経済産業省が「IoTセキュリティガイドライン ver1.0」を公表しました。
IoTセキュリティガイドライン ver1.0では、その目的として、IoT 特有の性質とセキュリティ対策の必要性を踏まえて、IoT 機器やシステム、サービスについて、その関係者がセキュリティ確保等の観点から求められる基本的な取組を明確化したものとされています。
あくまで、ガイドラインなので法的拘束力がありません。ですが、IOTシステムについて、セキュリティ問題があった場合、それによって、損害が生じた場合には、事業者が責任を負う可能性があります。
その場合に、事業者として守るべき技術的水準として、IoTセキュリティガイドライン ver1.0が基準とされる可能性があります。
詳しい内容については、IoTセキュリティガイドラインが公表。IOT事業者が守るべき法律的注意点とは?で解説しています。
侵入者に対しては、法的な責任追及手段として、刑法、不正アクセス禁止法、不正競争防止法などが挙げられます。
IOTの最新技術が法律に抵触しないか事前に確認しよう!
IOT事業を行っていて、気になる点の一つに「法律」があると思います。「自社のサービスが、実は法律に触れていました」なんてことになったら、目も当てられません。
特に、IOT事業は、ソフトだけでなく、ハードも導入するため、コストが膨大にかかります。後から、法律でストップがかかってしまうと、莫大な損害になりかねません。
そこで、自社サービスをリリースする前に、法律に抵触するか確認する方法はあるのでしょうか?
IOTビジネスで法律面で不安があるときに
グレーゾーン解消制度・企業実証特例制度
上記のように、IOTビジネスでは、様々な法律に抵触しないように、設計することが大事です。しかし、最先端のビジネスであるため、既存の法律では、判断できない部分もあります。
ここで、使えるのが、産業競争力強化法のグレーゾーン解消制度と企業実証特例制度です。
グレーゾーン解消制度とは、新事業を行おうとする者が、その事業を所管している官庁に対し、事業活動を規制する法律や命令の解釈・適用の有無について確認を求めることができる制度です。
新事業を行う際に、弁護士の専門家に相談すれば解決できることも多いですが、前例がない場合には、どうしても判断できないこともあります。
そんなときに、グレーゾーン解消制度を使うと、その事業と法律に対する政府の見解を知ることができます。
規制の適用が受けない(適法)であれば、ビジネスを加速させられますし、規制の適用を受ける場合でも、事前に知ることで、法律に抵触しないようにビジネスを再構築するなど、対策が取れるのです。
この制度では、申請から回答までは、1か月程度で回答されることになっています。
グレーゾーン解消制度の注意点
グレーゾーン解消制度に必要な手続きや申請書類は「「企業実証特例」及び「グレーゾーン解消制度」の利用の手引き」に記載されています。
ここで、注意すべきことがあります。申請書には以下の3つを具体的に記載する必要があります。
- 判断を受けたい法律の条項(○○法○条)
- ビジネスとの関係で判断が難しい理由
- 自社の見解
そのため、自社の新サービスで適用を受ける可能性がある法律を事前に全て調査する必要があります。
特に、行政が答えてくれる事項は、申請があった法律だけです。その他の法律で抵触する可能性があっても、申請書に記載していないと、それは答えてくれないのです。
よって、申請書には、専門家に依頼し、自社サービスが抵触する可能性がある法律を全て列挙するようにしましょう。
企業実証特例制度とは
自社サービスが法律に抵触するとなると、事業の継続は困難になります。しかし、そのような法規制に反する場合でも、技術により安全性が確保できる場合もあります。
そのような場合に、企業自らが、法規制の求める安全性などを確保する措置を講ずることを前提に、特例として事業の継続を認めるのが、企業実証特例制度です。
例え、法規制を受けるビジネスであっても、企業実証特例制度を使ったその企業だけは、例外的に事業を行うことができるのです。これも、申請書には、ビジネスが規制を受ける法律の条項などを具体的に記載することが必要です。
また、特例措置の内容も、具体的に企業側が記載しないといけないので、規制法と技術面の両方を詳細に検討する必要があります。
企業実証特例制度及びグレーゾーン解消制度の活用広がる
以上のように、自社サービスが、適法に行えるか把握できるのは、事業者にとっては非常に大きい制度です。弊所のクライアントでも、この制度を使い、ビジネスに邁進しているところがあります。
法規制が怖くて…という前に、このような制度の活用を検討しましょう!
IOTの法律に強い法律事務所 グローウィル国際法律事務所
グローウィル国際法律事務所では、IOTビジネスに関する法律的支援を数多く行っております。顧問先企業としても、IOTビジネス企業だけで、40社以上です。
また、法律面からのサポートだけでなく、弊所は、実際にIOT企業に出資もしており、経営にも携わっております。
IOTビジネスの法律には、実績が豊富で熟知しています。また、IOTビジネスに関する著書や連載、セミナーも多数行っております。
IOTビジネスに関する著書
IOTビジネスに関する連載
- 「青信号だから発進した」…自動運転車のAI「判断」内容を記録 事故の究明や再発防止へ新システム
産経新聞 - 【Bizクリニック】AI創作物、価値生じれば権利保護へ フジ産経 ビジネスアイ
- IOT、法務はハード・ソフト両面で備えを フジ産経 ビジネスアイ
- 【Bizクリニック】自動運転車関連法律の整備急務にフジ産経 ビジネスアイ
IOTビジネスに関するセミナー
- 最新法改正で、新たなビジネスチャンスが到来!これだけ押さえるIoT法務:株式会社アークブレイン主催
- AI、自動運転等の最新技術の法的規制とビジネスチャンス~規制が確立していない今だからこそ生じるチャンスをいち早くつかむ~
株式会社 新社会システム総合研究所
