IT法レポート(2023年7月版)
2023.07.14 Fri PHI LAW OFFICE STAFF
IT企業の皆さまをサポートすることを目標とし、IT関連法やビジネス関連法に関するレポートを定期的にお送りしています。取り上げるトピックは、ITやビジネスに関連する事項とし、必ずしも法律だけには限りません。
※IT法レポートの配信(無料)はこちらから(「関心のある分野」の「IT・情報」にチェックをお願いいたします。)
【目次】
1 IT関連法、ビジネス関連法の施行・施行予定
2 2023年6月の裁判、事件、行政対応
3 政府会議・審議会、ガイドライン、報告書等
4 トピック
1 IT関連法、ビジネス関連法の施行・施行予定
対応が必要となりそうなIT関連法やビジネス関連法についての施行状況を集約しました。
| 重要度 | 項目 | 対応が必要な企業 | 内容 | 対応 | 施行日 |
| C | 不正競争防止法等 | データを扱っている企業等 | デジタル空間における模倣行為の防止、営業秘密・限定提供データの保護の強化等(経産省サイト) | – | 2024年春ころか? |
| A | フリーランス・事業者間取引適正化等法 | フリーランスに業務を委託している企業 | フリーランスとの取引時に一定の事項の開示義務、報酬支払期日の設定等(厚労省説明資料) | 開示書面の作成 業務フローの見直し |
2024年秋ごろか? |
| B | 内部統制基準等の改訂 | 上場企業、上場準備企業 | 金融商品取引法に基づく内部統制報告制度について、その基準となる内部統制報告基準の改訂(金融庁サイト) | – | 2024年4月1日以後開始する事業年度 |
| S | 特定商取引法 | EC事業者 | ECサイトにおける最終確認画面において、申し込みの撤回等の一定の契約事項を簡単に最終確認できるように表示する義務の設定(消費者庁サイト) | ECサイト見直し | 2022年6月1日施行済 |
| S | 消費者契約法 | BtoCサービスを提供している企業 | 免責の範囲が不明確な条項(いわゆるサルベージ条項)の無効等の明記(消費者庁発表資料) | BtoC規約見直し | 2023年6月1日施行済 |
| A | 電気通信事業法 | ウェブサイト運営者、アプリケーション提供者等 | 電気通信事業を営む者が、利用者の端末に外部送信を指示するプログラム(いわゆるcookie等)を送る際、一定事項を通知・公表する義務の設定(総務省サイト) | Cookieポリシー等の新設、見直し | 2023年6月16日施行済 |
| A | 企業内容開示府令 | 上場企業、上場準備企業 | 非財務情報の開示 | 有価証券報告書記載内容の変更 | 2023年5月31日以降に終了する事業年度 施行済 |
※ランクについては、対応が必要となる可能性の高さを独自に示したもので、可能性が高い順にS、A、B、Cの4つのランクとしています。
2 2023年6月の裁判、事件
2.1 裁判
| 裁判所 | 判決内容 |
| 東京地裁 | 新作ゲームの共同開発に関するインサイダー取引で、スクウェア・エニックス元従業員に対して懲役2年6月(執行猶予4年)、罰金200万円、追徴金約1億7100万円の判決(8日) |
| 米連邦最高裁 | ハーバード大などが採用する人種を考慮した入学選考を違憲と判断(29日)【判決全文(英文)】 |
2.2 事件・行政対応
| 行政機関 | 内容 |
| 個情委 | 電力の送配電を行う事業者及び電力の小売事業を行っている事業者に対し、新電力顧客情報の不適切な取扱いがあったとして指導(29日) |
| 総務省 | 富士通クラウドテクノロジーズ株式会社に対して、通信の秘密の保護及びサイバーセキュリティの確保について指導(30日) |
3 政府会議・審議会、ガイドライン、報告書等
3.1 情報関連
| 項目 | 発表者 | 内容 |
| 医療情報システムの安全管理ガイドライン | 厚労省 | オンライン資格確認の導入原則義務化、医療機関におけるランサムウェアの被害事例の増加などを背景に、医療情報システムの安全管理ガイドラインの改訂(厚生労働省サイト)(5月31日) |
| 医療等データの利活用法制等の整備について(案) | 規制改革推進会議 | 必ずしも同意に依存しない医療等データ利活用法制の検討(規制改革推進会議)(1日) |
| 中間論点整理 | 内閣官房 | セキュリティ・クリアランスについての中間論点整理(内閣官房サイト)(6日) |
| 情報通信ネットワークにおけるサイバーセキュリティ対策分科会とりまとめ(案) | 総務省 | 「情報通信ネットワークにおけるサイバーセキュリティ対策分科会」において行われていた、情報通信ネットワークにおけるサイバーセキュリティ対策の強化について、とりまとめ(案)の発表(情報通信ネットワークにおけるサイバーセキュリティ対策分科会(第6回))(19日) |
3.2 ビジネス関連
| 項目 | 発表者 | 内容 |
| 「社外取締役向け研修・トレーニングの活用の8つのポイント」等 | 経産省 | 社外取締役向けの研修やトレーニングの活用の後押しを図るため、「社外取締役向け研修・トレーニングの活用の8つのポイント」及び「社外取締役向けケーススタディ集」を作成(経産省サイト)(30日) |
| 「金融商品取引法における課徴金事例集~不公正取引編~」 | 証取委 | 金融商品取引法違反となる不公正取引に関し課徴金納付命令の勧告を行った事案の概要を取りまとめ、事例として紹介(証券取引等監視委員会サイト)(30日) |
| 独占禁止法に関する相談事例集 | 公取委 | 令和4年度における事業者等の活動に関する主要な 相談事例を取りまとめ、「独占禁止法に関する相談事例集(令和4年度)」として公表(公取委サイト)(30日) |
4 トピック
4.1 セキュリティインシデント
| 会社名 | 種類 | 概要、対応状況 |
| ネットワールド | ランサム | 認知日:2023年4月7日 当社に対するランサムウエア攻撃のご報告と対応状況について(4月13日発表) 当社への不正アクセスに関する経過報告(5月7日発表) |
| 杉並区 | ランサム | 認知日:2023年5月30日 委託事業者サーバーのランサムウェアによる被害について(6月7日発表) |
| エーザイ | ランサム | 認知日:2023年6月3日 ランサムウェア被害の発生について(6月6日発表) |
| エムケイシステム | ランサム | 認知日:2023年6月5日 第三者によるランサムウェア感染被害のお知らせ(6月6日発表) 第三者によるランサムウェア感染被害への対応状況のお知らせ(6月9日発表) 第三者によるランサムウェア感染被害への対応状況のお知らせ(第2報)(6月21日発表) |
| コクヨ | ランサム | 認知日:2023年6月5日 当社グループ情報システムに対する外部攻撃について(6月8日発表) |
| 尼崎市 | 紛失 | USBメモリー紛失事案発生後の本市の対応について(6月9日発表) |
ランサムウェアについては被害が継続しています。
案件のうち、エムケイシステムに対する攻撃は、エムケイシステムが展開しているSaaSのデータを丸ごと暗号化するものであり、影響が大きいものであったと推測されます。SaaSについては、データの管理責任をユーザ側とし、ベンダー側はデータに含まれる個人情報について取扱いの委託を受けていないと構成しているケースも多いですが、システム全体を暗号化された場合には、責任を免れることは難しいでしょう。法的構成については、見直しを検討してもよいと思われます。
4.2 AI
生成AIの登場もあり、各省庁でAIに関する検討が行われています。
| 会議名 | 省庁等 | 内容 | |
| AI戦略会議 | 内閣府 | AI に関する暫定的な論点整理 | 第2回(5月26日) |
| AI戦略チーム | 関係省庁連携 | AI戦略会議における議論等を踏まえ、様々な課題に対する関係省庁の連携 | 第6回~第8回 |
| AIネットワーク社会推進会議 | 総務省 | 新AIガイドラインの策定 | 第24回(6月28日) |
| AIガバナンス検討会議 | 総務省 | 新AIガイドラインの策定 | 第20回(6月28日) |
| 文化審議会著作権分科会 | 文化庁 | AIと著作権法の改正 「AIと著作権の関係等について」 |
第68回(6月30日) |
また、以下のとおりの資料が発表されています。
- 知的財産戦略本部、生成AIと著作権についての言及部分を含む「知的財産推進計画2023」(本文)(概要)を決定(9日)
- 個情委、「生成AIサービスの利用に関する注意喚起等について」を発表(2日)
- 欧州議会、AI規則修正案を採択(14日)「欧州議会、AI規則案の修正を採択」(ロイター)
(弁護士 安藤 広人)