新着情報WHAT'S NEW
IT法レポート(2023年8月版)
IT企業の皆さまをサポートすることを目標とし、IT関連法やビジネス関連法に関するレポートを定期的にお送りしています。
取り上げるトピックは、ITやビジネスに関連する事項とし、必ずしも法律だけには限りません。
※IT法レポートの配信(無料)はこちらから
【今回の目次】
1 2023年7月の概要
2 IT関連法、ビジネス関連法の施行・施行予定
3 2023年7月の裁判、事件、行政対応
4 政府会議・審議会、ガイドライン、報告書等
5 トピック
1 2023年7月の概要
法律の施行については、前月と変更ありませんが、産総研の情報漏えいのケースでみなし輸出規制の問題が取り上げられたことから、外為法の規制についても付記しました。 外国と関係が深い人を雇用等する場合には確認しておいたほうがよいでしょう。
訴訟では、経産省のトランスジェンダーの職員が女性トイレの使用を制限されたことについて提訴したケースで、最高裁は職員側の主張を認める判断を行いました。 今後実務的にも判断が難しいケースが出てくるものと思います。また、適格消費者団体による訴訟は不明確であった領域に裁判所の判断を蓄積させるもので、第三者としてみている分にはありがたいです。
セキュリティ関連では政府統一基準群の改訂がありました。引き続きサプライチェーンリスクについてはスポットライトが当たっています。契約書で広範なセキュリティ義務を定めておくのは冗長になりそうなので、別途チェックリストなどで確認するような対応になるのでしょうか。また、SBOM(ソフトウェア部品表)については今後対応を求め、あるいは求められるケースが出てくるものと思います。契約書に落とし込みが必要かどうかについては検討したいところです。
同様に、医療や金融等、重要インフラ分野に対する規制の強化も引き続き行われています。 今後、業界ごとにセキュリティ義務の法制化(現状は直接的な規制は少ない)及びインシデント発生時の報告、公表等の義務化が図られるのではないかと予想しています。
2 IT関連法、ビジネス関連法の施行・施行予定
対応が必要となりそうなIT関連法やビジネス関連法についての施行状況を集約しました。
ランクについては、対応が必要となる可能性の高さを独自に示したもので、可能性が高い順にS、A、B、Cの4つのランクとしています。
| 重要度 | 項目 | 対応が必要な企業 | 内容 | 対応 | 施行日 |
| C | 不正競争防止法等 | データを扱っている企業等 | デジタル空間における模倣行為の防止、営業秘密・限定提供データの保護の強化等(経産省) | – | 2024年春ころか? |
| A | フリーランス・事業者間取引適正化等法 | フリーランスに業務を委託している企業 | フリーランスとの取引時に一定の事項の開示義務、報酬支払期日の設定等(厚労省)(公取委)(中小企業庁) | 開示書面の作成 業務フローの見直し |
2024年秋ごろか? |
| B | 内部統制基準等の改訂 | 上場企業、上場準備企業 | 金融商品取引法に基づく内部統制報告制度について、その基準となる内部統制報告基準の改訂(金融庁) | – | 2024年4月1日以後開始する事業年度 |
| A | 外為法 | 外国と関係が深い人を雇用する企業 | みなし輸出管理の運用の明確化(経済産業省) | 適用の有無の確認 | 2022年5月1日 施行済 |
| S | 特定商取引法 | EC事業者 | ECサイトにおける最終確認画面において、申し込みの撤回等の一定の契約事項を簡単に最終確認できるように表示する義務の設定(消費者庁) | ECサイト見直し | 2022年6月1日 施行済 |
| S | 消費者契約法 | BtoCサービスを提供している企業 | 免責の範囲が不明確な条項(いわゆるサルベージ条項)の無効等の明記(消費者庁発表資料) | BtoC規約見直し | 2023年6月1日 施行済 |
| A | 電気通信事業法 | ウェブサイト運営者、アプリケーション提供者等 | 電気通信事業を営む者が、利用者の端末に外部送信を指示するプログラム(いわゆるcookie等)を送る際、一定事項を通知・公表する義務の設定(総務省) | Cookieポリシー等の新設、見直し | 2023年6月16日 施行済 |
| A | 企業内容開示府令 | 上場企業、上場準備企業 | 非財務情報の開示(経産省・非財務情報の開示指針研究会) | 有価証券報告書記載内容の変更 | 2023年5月31日以降に終了する事業年度 施行済 |
3 2023年7月の裁判、事件、行政対応
3.1 裁判
| 裁判所 | 判決内容 |
| 最高裁 | 経産省に勤務するトランスジェンダーの職員が、職場の女性用トイレの使用を制限されているのは不当だとして国を訴えた裁判で、トイレの使用制限を認めた国の対応は違法だとする判決(判決文)(11日)
【コメント】本件は事例判決であり、同様な事例について実際にどのような対応をするかについては個別の事情を考慮することが必要です。 |
| 大阪地裁 | ユニバーサル・スタジオ・ジャパンのWebチケットストア利用規約におけるキャンセル不可、転売不可の条項について、適格消費者団体が消費者契約法10条に違反するとして差し止め請求を求めていた裁判で、請求を棄却する判決(消費者支援機構関西サイト(判決文あり))(21日)
【コメント】差し止めを求めていた消費者支援機構関西では、棄却判決を受けて、控訴をしたようです(消費者支援機構関西サイト) |
3.2 事件・行政対応
| 行政機関 | 内容 |
| 個情委 | トヨタ自動車の関連会社において、サービス利用者の車両情報から収集した個人データ230万人分が10年間、外部から見ることができる状態になっていたことについて、行政指導を行った(個情委)(12日) |
| 個情委 | システムの変更により、次世代医療基盤法に基づく通知が行われていない患者の医療情報を、次世代医療基盤法における認定匿名加工医療情報作成事業者に意図せず提供したことについて、行政指導を行った(個情委)(12日) |
| 個情委 | マイナ問題でデジタル庁に立ち入り検査を実施(19日) 個情委で今後の対応について議論(第249回個人情報保護委員会)(19日) |
4 政府会議・審議会、ガイドライン、報告書等
4.1 セキュリティ
| 項目 | 発表者 | 内容 |
| 金融機関のシステム障害に関する分析レポート | 金融庁 | 2022年度(2022年4月~2023年3月)に報告書を受領したシステム障害の傾向、並びに、2018年7月から2023年3月までに報告書を受領したシステム障害のうち代表的な事例の事象、原因及び対策(金融庁サイト)(6月30日) |
| サイバーセキュリティ2023 | NISC | サイバーセキュリティ2023(2022年度年次報告・2023年度年次計画)の策定。内容は、ソフトウェアにおけるサプライチェーンリスクの把握(SBOM)、医療分野をはじめとする重要インフラ事業者等のサイバーセキュリティ強化等(概要)(全体)(4日) |
| 政府機関等のサイバーセキュリティ対策のための統一基準群 | NISC | 政府統一基準群の改訂。改定内容は、業務委託先に求める対策やソフトウェアに係る対策の強化(定期的な設定の確認等)、サーバ装置の冗長化等のDDoS対策の強化等の見直し(概要)(政府機関等のサイバーセキュリティ対策のための統一基準群)(4日) |
| 重要インフラのサイバーセキュリティに係る安全基準等策定指針 | NISC | 重要インフラのサイバーセキュリティに関する安全基準の策定のための指針の公開(本文)(4日) 策定した安全基準の詳細を定めるための「重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書」の公開(本文)(4日) |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版 | 総務省・経産省 | 「医療情報システムの安全管理に関するガイドライン(第 6.0 版)」への対応を図るための改訂(総務省・経産省報道発表) |
| ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 | 経産省 | ソフトウェアサプライヤー向けに、SBOMを導入するメリットや実際に導入するにあたって認識・実施すべきポイントをまとめた手引書を策定(経産省報道発表) |
| 重要情報を扱うシステムの要求策定ガイド | 経産省・IPA | 重要情報を扱うシステムの構築・調達・運用時に、管理者がシステムの要求仕様を策定するためのガイドラインの公開(IPA)(18日) |
| 米国証券取引法に基づく開示規則 | SEC | 米国証券取引委員会、公開企業によるサイバーセキュリティをめぐるリスク管理、戦略、ガバナンス、インシデント開示を義務付け(米国証券取引委員会サイト)(26日) |
| CER指令に基づく重要分野の指定 | 欧州委員会 | クリティカル企業のレジリエンス指令(CER指令)に基づき、銀行、ヘルスケア、デジタルプラットフォームなど11の分野を指定(欧州委員会サイト) |
4.2 データ
| 項目 | 発表者 | 内容 |
| EU-U.S. Data Privacy Framework | 欧州委 | EU-USデータプライバシーフレームワークの十分性認定(欧州委報道発表)(10日) |
| 特定個人情報の適正な取扱いに関するガイドライン(事業者編) | 個情委 | マイナンバーの利用範囲の拡大(社会保障制度、税制及び災害対策以外の行政事務においてもマイナンバーの利用の推進を図る)を定めたマイナンバー法の改正に伴うガイドラインの改訂 |
4.3 その他情報関連
| 項目 | 発表者 | 内容 |
| 今後の検討の方向性(案) | 総務省 | 誹謗中傷等の違法・有害情報への対策に関するワーキンググループ(第8回) |
4.4 ビジネス関連
| 項目 | 発表者 | 内容 |
| 消費生活用製品の安全確保に向けた検討会報告書 | 経産省 | ECサイト経由での製品販売の増加、特に海外からの直接販売の増加をふまえ、製品安全4法の見直しを検討(経産省サイト)(6月30日) |
5 トピック
重要であると考えられるトピックを取り上げ、関連する情報を集約しています。
5.1 セキュリティインシデント
セキュリティインシデントは毎月多数発生しているので、その中でも参考になりそうなインシデントを取り上げています。
| 会社名 | 種類 | 概要、対応状況 |
| 産総研 | 漏えい | 中国籍研究員が研究データを中国企業に開示し、不競法違反で逮捕 情報漏えい事案に係る再発防止策について(5日) |
| エムケイシステム | ランサム | SaaSベンダーのランサム被害で影響大 第三者によるランサムウェア感染被害のお知らせ(6月6日) 第三者によるランサムウェア感染被害への対応状況のお知らせ(6月9日) 第三者によるランサムウェア感染被害への対応状況のお知らせ(第2報)(6月21日) 当社サーバへの不正アクセスに関する調査結果のご報告(第3報)(7月19日) |
| 宇治病院 | ランサム | 2023年1月に発生した被害を6月になって公表 不正アクセスによる情報流出の可能性に関するお知らせとお詫び(6月12日) |
5.2 AI
AIに関する各省庁の取り組みについてまとめました。
| 会議名 | 省庁等 | 内容 |
| AI戦略会議 | 内閣府 | AIに関する論点の整理を目標 中間成果物:AI に関する暫定的な論点整理 |
| AI戦略チーム | 関係省庁連携 | AI戦略会議における議論等を踏まえ、様々な課題に対する関係省庁の連携 |
| AIネットワーク社会推進会議 | 総務省 | 新AIガイドラインの策定 |
| AIガバナンス検討会議 | 総務省 | 新AIガイドラインの策定 |
| 知的財産戦略本部 | 内閣府 | 「知的財産推進計画2023」(本文)(概要)を決定。生成AIと著作権についての言及あり |
| 文化審議会著作権分科会(23期) | 文化庁 | AIと著作権法の改正について議論 「AIと著作権の関係等について」 法制度小委員会において著作権法制度について議論される予定 「AIと著作権に関する論点整理について」 |
| – | 個情委 | 「生成AIサービスの利用に関する注意喚起等について」(7月2日) |
| 生成AI開発支援スキーム検討委員会 | 経産省 | 生成AIの開発を加速する観点から、競争力ある基盤モデル開発を行う企業等への支援を実施するためのスキームを検討(経産省報道発表) |
また、国際的な動向についても次の通りまとめました。
| 地域 | 内容 |
| 欧州 | 欧州議会でAI規則案を採択(6月14日)。生成型AIに対する規制を追加。 |
| 中国 | 生成AIサービスに対する規制(生成型AIサービス管理暫定弁法)を8月15日に施行予定。 |
(弁護士 安藤 広人)