IOTとは、Internet of Thingsの略で、あらゆる「モノ」にセンサーが組み込まれて、直接インターネットにつながり、モノ同士、あるいはモノと人とが相互に通信できるようになる仕組みのことをいいます。
ここ数年の間で一気に言葉としては広がり、それによるビジネスも多く出てきました。
IOTビジネスについては、ハード面とソフト面が双方が問題となってくるため、多くの法律を検討する必要があります。
弊社では、IOTビジネスを行っている企業に対して、法律面からサポートするのは当然行っておりますが、IOT企業に対して、出資もしております。
IOTビジネスについては、法律的なアドバイスをするだけでなく、実際の経営の現場に携わっています。
そこで、今回は、IOTに関する法律について、解説していきたいと思います。
IOTのシステムについては、以下の5つにわけることができます。
それぞれについて、法律的にみていきましょう。
IOTのハード面で問題となるのは、センサーなどのデバイスについて、電化製品であることが多いです。
電化製品を販売する場合には「電気用品安全法」という法律があります。
例えば、「電気用品」を販売する場合には、その製品に「PSEマーク」の表示を付さなければなりません。
これに違反した場合には、一年以下の懲役若しくは百万円以下の罰金などの罰則もあるので、注意が必要です。
そのため、事業者としては、電気製品であるIOTデバイスを製造するときには、当該デバイスが、「電気用品安全法」上の「電気用品」に当たるかをチェックする必要があります。
法律上の「電化製品」の種類については、電気用品安全法施行令で定められています。
特に危険又は障害の発生する恐れのある電気用品である「特定電気用品」と「それ以外の電気用品」に分かれています。
この資料を参考に、自社の製品が、該当するのかを慎重に検討する必要があります。そして、電化製品に該当する場合には、製品にPSEマークを表示する義務が生じます。
「電気用品」のうち、「特定電気用品」については、登録検査機関による検査が必要になります。一方「それ以外の電気用品」については、自主検査でよいとされています。
よって事業者としては「特定電気用品」なのか、「それ以外の電気用品」なのかの区別は、しっかりとしておく必要があります。「それ以外の電気用品」では、事業者の自主検査でOKですが、自主検査だと本当に基準を満たしているか不明確なところがあります。
仮に、自主検査の結果、基準を満たしていなかった場合には、行政から改善命令、PSEマークの表示の禁止、危険措置命令などの措置が取られてしまいます。
本当に基準を満たしているか心配という場合には、任意で第三者検査機関の適合性検査を受けることも検討することが考えられます。
IOTデバイスが、遠隔操作機能が実装されることが予定されている場合には、技術基準を満たす必要があります。
ヘルスケアに関連するデバイスの場合には、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(医薬品・医薬機器等法)に気を付ける必要があります。
特に、ヘルスケアデバイスが、薬機法上の「医療機器」に該当するかが問題になります。なぜなら、ヘルスケアアプリが「医療機器」に該当すると、事前に、以下のものを揃える必要がでてくるからです。
では、どのようなデバイスが「医療機器」に該当するのでしょうか?薬機法では、次のようなものが医療機器に該当します。
薬機法の政令には、「医療機器」にあたる「プログラム」の種類が列挙されています。
また、厚生労働省からは、「プログラムの医療機器への該当性に関する基本的な考え方について」というものが公表されていて、具体的にどういったものが「医療機器」にあたるのかが示されています。
この中で、人の生命及び健康や機能に与える影響等を考慮し、プログラムの医療機器の該当性の判断を行うに当たり、次の2点について考慮すべきとされています。
- プログラム医療機器により得られた結果の重要性に鑑みて疾病の治療、診断等にどの程度寄与するのか
- プログラム医療機器の機能の障害等が生じた場合において人の生命及び健康に影響を与えるおそれ(不具合があった場合のリスク)を含めた総合的なリスクの蓋然性がどの程度あるか
通信などのネットワークにおいては、無線通信を利用する場合には、電波法という法律に気を付ける必要があります。
このような電波を発する製品を日本国内で使用する場合、本来、その使用者が電波法に基づく無線局開設の免許を取得することが必要となります。
もっとも、無線LANなどの通信を行う場合、技適マークが付された設備を用いるならば、使用者は免許の取得を不要としてます。
よって、このようなIOTデバイスを販売する事業者は、技適マークの取得する必要があるのです。
技適マークを取得するためには、国の登録を受けた登録証明機関から「技術基準適合証明」や「工事設計認証」を取得する必要があります。
技術基準適合証明は、総務大臣の登録を受けた者(登録証明機関)等が、特定無線設備について、電波法に定める技術基準に適合しているか否かについての判定を無線設備1台ごとに行う制度です。
登録証明機関は、総務省令で定めるところにより、無線設備1台1台について試験(総務大臣が告示する試験方法又はこれと同等以上の方法(特性試験の試験方法による))等の審査を行った上で証明を行います。
工事設計認証とは、特定無線設備が技術基準に適合しているかどうかの判定について、その設計図(工事設計)及び製造等の取扱いの段階における品質管理方法(確認の方法)を対象として、登録証明機関が行う認証制度です。
デバイスが収集するデータが、個人情報を含む場合には、個人情報保護法を遵守する必要があります。「個人情報」とは、生存する個人を特定できる情報全てをいいます。
個人情報保護法については、2017年5月30日に改正法が施行され、事業者が負うべき義務が加算されています。
従来は、「個人情報」に当たるのか不明確であったものが「個人情報」に加わりました。その一つが「個人識別符号」です。
個人識別符号とは、いかのようなものです。
「個人識別符号」に当たると、それ自体で「個人情報」に該当するので、当該情報は、個人情報保護法に則って管理をする必要があります。
匿名加工情報は、特定の個人を識別できないように個人情報を加工し、当該個人情報を復元できないようにした情報です。
匿名加工情報は、本人の同意なしで第三者に提供することが可能で、事業者としては、自社のビッグデータの活用が期待されています。
この匿名加工情報を作成した事業者には、以下のような義務が生じます。
具体的な義務の内容はガイドラインで記載されています。
個人情報の保護に関する法律についてのガイドライン (匿名加工情報編)
詳しくは、【匿名加工情報】改正個人情報保護法の改正における「ビッグデータ」活用のポイントで解説しています。
要配慮個人情報とは「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するもの」をいうとされています。
特に以下の内容を押さえておくことが必要です。
要配慮個人情報の例として、以下の項目などが挙げられています。
第三者提供に係る記録等の義務として、個人データを第三者に提供する際には、トレーサビリティ(追跡可能性)確保の観点から、当該情報を提供する側と提供を受ける側それぞれに対して規制が強化されました。
トレーサビリティの確保では以下の項目が求められるようになりました。
詳しくは、改正個人情報保護法施行!個人情報を第三者提供する場合の事業者の義務とはで解説しています。
改正前の法律においても、オプトアウトで個人データの第三者提供を行おうとする場合には、下記の事項についてあらかじめ本人に通知、本人が容易に知り得る状態に置くことが必要とされていました。
改正法では、上記(1)~(4)に加えて、「(5)本人の求めを受け付ける方法」を付け加える必要があります。
そして、事業者は、上記5項目について、個人情報保護委員会に届け出なければなりません。
そして、この届出の内容は個人情報保護委員会によって公表されることになりました。
これからは、さりげなく自社ホームページなどで記載しておけば、第三者提供ができるということはなくなります。
オプトアプトで第三者提供している事業者は、今一度、上記5項目を見直す必要があるのです。
企業は個人データを利用する必要がなくなった場合、遅滞なく当該個人データを消去するよう努めなければならないという努力義務が定められました。
これは、不要となった個人データを保持し続けることで生じる個人情報漏えいのリスクを回避することが目的です。
IOTについては、最先端なビジネスモデルであることも多く、既存の法律と抵触する可能性があります。例えば、自動運転車であれば、現行の道路交通法との関係が問題になります。
「ロボネコヤマト」配送実験へ!自動運転車を公道で実験するときの法的注意点とは?
弁護士が読み解く!自動運転車が事故を起こしたら、法的には、どうなるの?
また、ヘルスケアIOTが提供するサービスが、医療行為として医師法に違反するのかといったことも問題になります。
また、IOTで使用されている技術やビジネスモデルについては、特許や著作権などの知的財産権にも注意が必要です。
IOTでは、サイバーセキュリティは、非常に重要な問題です。IOTビジネスでハッキングされてしまうと、人が物理的に危害を被る可能性が出てきます。
よって、事業者としては、セキュリティが甘いシステムを開発してしまい、他人に損害を加えてしまった場合には、法的責任が問題になります。
この点に関しては、2016年7月5日、総務省及び経済産業省が「IoTセキュリティガイドライン ver1.0」を公表しました。
IoTセキュリティガイドライン ver1.0では、その目的として、IoT 特有の性質とセキュリティ対策の必要性を踏まえて、IoT 機器やシステム、サービスについて、その関係者がセキュリティ確保等の観点から求められる基本的な取組を明確化したものとされています。
あくまで、ガイドラインなので法的拘束力がありません。ですが、IOTシステムについて、セキュリティ問題があった場合、それによって、損害が生じた場合には、事業者が責任を負う可能性があります。
その場合に、事業者として守るべき技術的水準として、IoTセキュリティガイドライン ver1.0が基準とされる可能性があります。
詳しい内容については、IoTセキュリティガイドラインが公表。IOT事業者が守るべき法律的注意点とは?で解説しています。
侵入者に対しては、法的な責任追及手段として、刑法、不正アクセス禁止法、不正競争防止法などが挙げられます。
IOT事業を行っていて、気になる点の一つに「法律」があると思います。「自社のサービスが、実は法律に触れていました」なんてことになったら、目も当てられません。
特に、IOT事業は、ソフトだけでなく、ハードも導入するため、コストが膨大にかかります。後から、法律でストップがかかってしまうと、莫大な損害になりかねません。
そこで、自社サービスをリリースする前に、法律に抵触するか確認する方法はあるのでしょうか?
上記のように、IOTビジネスでは、様々な法律に抵触しないように、設計することが大事です。しかし、最先端のビジネスであるため、既存の法律では、判断できない部分もあります。
ここで、使えるのが、産業競争力強化法のグレーゾーン解消制度と企業実証特例制度です。
グレーゾーン解消制度とは、新事業を行おうとする者が、その事業を所管している官庁に対し、事業活動を規制する法律や命令の解釈・適用の有無について確認を求めることができる制度です。
新事業を行う際に、弁護士の専門家に相談すれば解決できることも多いですが、前例がない場合には、どうしても判断できないこともあります。
そんなときに、グレーゾーン解消制度を使うと、その事業と法律に対する政府の見解を知ることができます。
規制の適用が受けない(適法)であれば、ビジネスを加速させられますし、規制の適用を受ける場合でも、事前に知ることで、法律に抵触しないようにビジネスを再構築するなど、対策が取れるのです。
この制度では、申請から回答までは、1か月程度で回答されることになっています。
グレーゾーン解消制度に必要な手続きや申請書類は「「企業実証特例」及び「グレーゾーン解消制度」の利用の手引き」に記載されています。
ここで、注意すべきことがあります。申請書には以下の3つを具体的に記載する必要があります。
そのため、自社の新サービスで適用を受ける可能性がある法律を事前に全て調査する必要があります。
特に、行政が答えてくれる事項は、申請があった法律だけです。その他の法律で抵触する可能性があっても、申請書に記載していないと、それは答えてくれないのです。
よって、申請書には、専門家に依頼し、自社サービスが抵触する可能性がある法律を全て列挙するようにしましょう。
自社サービスが法律に抵触するとなると、事業の継続は困難になります。しかし、そのような法規制に反する場合でも、技術により安全性が確保できる場合もあります。
そのような場合に、企業自らが、法規制の求める安全性などを確保する措置を講ずることを前提に、特例として事業の継続を認めるのが、企業実証特例制度です。
例え、法規制を受けるビジネスであっても、企業実証特例制度を使ったその企業だけは、例外的に事業を行うことができるのです。これも、申請書には、ビジネスが規制を受ける法律の条項などを具体的に記載することが必要です。
また、特例措置の内容も、具体的に企業側が記載しないといけないので、規制法と技術面の両方を詳細に検討する必要があります。
以上のように、自社サービスが、適法に行えるか把握できるのは、事業者にとっては非常に大きい制度です。弊所のクライアントでも、この制度を使い、ビジネスに邁進しているところがあります。
法規制が怖くて…という前に、このような制度の活用を検討しましょう!
グローウィル国際法律事務所では、IOTビジネスに関する法律的支援を数多く行っております。顧問先企業としても、IOTビジネス企業だけで、40社以上です。
また、法律面からのサポートだけでなく、弊所は、実際にIOT企業に出資もしており、経営にも携わっております。
IOTビジネスの法律には、実績が豊富で熟知しています。また、IOTビジネスに関する著書や連載、セミナーも多数行っております。