基本情報技術者単語帳 - 法務

知的財産には様々な種類があり、法律で権利保護の対象となっているものには著作物(著作権)や実演(著作隣接権)、発明(特許権)、商標(商標権)、意匠(意匠権)、肖像(肖像権)、物品の形状(実用新案権)などがある。商業上の利益に繋がる特許権、実用新案権、意匠権、商標権は「産業財産権」あるいは「工業所有権」とも呼ばれる。

広義には、営業秘密(企業秘密)や植物の品種(育成者権)、農畜産物の産地表示(地域ブランド)、インターネット上のドメイン名、文字の書体(フォント)、半導体の回路設計(回路配置利用権)なども含まれる。肖像については人格権と財産権(パブリシティ権)に分けて考えることもある。

一方、ある事柄について体系的に記録・蓄積されたデータなど、経済的な価値のある情報の一種だが、それ自体は法律上の保護の対象とならない知的財産もある。また、主にビデオゲーム産業を中心とするエンターテインメント業界では、知名度や過去の実績が顕著な、有力な作品タイトルやシリーズ、キャラクターなどを指して知的財産という意味で「IP」という用語を用いる。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも知的財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも産業財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

発明を審査・登録して出願者に権利を付与する行政手続きを「特許」というが、一般には特許登録された発明(特許発明)のことを指して特許ということが多い。

特許権の対象となる発明とは、自然科学の法則を応用して新たに考案された物や方法、物を生産する手段などで、特許発明として登録されるには新規性や進歩性、産業への応用可能性がなければならない。

出願された内容がすでに公知の場合や、科学的に実在を確認できない原理や存在に基いている場合、自然科学の法則を利用していない場合、既存の技術よりあらゆる面で劣っている場合、産業における有用性が見込めない場合、公序良俗や法律に反する目的や手段を含む場合などは、審査により却下される。

特許発明の出願者には独占的な使用権が認められ、発明を許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。特許権の有効期間は日本の現在の制度では出願から20年間で、原則として延長はできないが、薬品などごく一部の分野に限って5年間の延長が認められる。登録中は毎年特許庁に特許料を収めなければならず、これを怠ると20年を待たずに特許権は消滅する。

特許発明の内容は特許庁によって公開され、誰でもその詳細を知ることができる。また、特許権は商標権のように任意の期間延長することはできず、存続期間が終了すると誰でも自由にその発明を利用できるようになる。

このため、自社の優位を少しでも長く維持したい企業や、知的財産権の保護体制が未整備な国への技術流出を恐れる企業では、自社独自の技術などをあえて特許出願せず、秘密を厳重に管理して守ろうとする場合もある。

実用新案権の対象となるのは、自然科学の法則を応用して新たに考案された物体・物品の形状や構造、またその組み合わせで、特許権とは異なり、何かを実現するための方法や、化学物質、コンピュータプログラムなどは含まれない。技術水準が高度でなくてもよい点も特許と異なる。

実用新案の出願者には独占的な使用権が認められ、許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。実用新案権の有効期間は日本の現在の制度では出願から10年間で、延長はできない。

実用新案は特許庁への出願時には特許のように審査はされず、そのまま登録される。ただし、模倣者への使用の差止請求など権利を行使するには、同庁に技術評価書の作成を請求して相手方にこれを提示しなければならず、この技術評価が事実上の審査となっている。技術評価によって新規性がないなど否定的な評価が下されても直ちに登録が抹消されるわけではないが、権利行使は事実上不可能となる。

意匠権の対象となるのは美感を起こさせる物体の形状、模様、色彩、およびこれらの組み合わせで、新規性や創作性があり、工業的に利用できる(量産できる)ものでなければならない。

美術品のように量産できないものや、機能を実現するための形状・構造、外観に表れない内部構造、既存・先願の意匠と同一あるいは類似しているもの、すでに有名なブランドや製品などと誤認・混同する恐れのあるもの、公序良俗に反するものなどは登録することができない。

意匠を登録するには特許庁に出願書とともに図面や写真、見本などを提出して審査を受け、要件を満たすと登録される。出願者には当該意匠および類似する意匠について独占的に使用する権利が認められ、許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。意匠権の有効期間は日本の現在の制度では登録から20年間で、延長はできない。

登録された意匠は同庁により公開されるが、申請すれば登録から3年に限り非公開(秘密)とすることができる。秘密意匠について権利を行使するには同庁から登録を証明する書類を取得して相手方に提示しなければならない。

商標として登録できるのは、文字や記号、平面図形、立体図形、またこれらの組み合わせで、2015年の商標法改正で新たに、動き(図形などの特徴的な移動や変形)、位置(対象物の中で標識が掲示される位置)、色(シンボルカラーなど、単色または複数色の組み合わせ)、音(サウンドロゴなど)、ホログラムが新たに対象となった。

特許庁に登録され、保護の対象となった商標のことを「登録商標」という。権利者は登録商標や類似する商標を許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。登録は10年間有効で、申請により10年ずつ延長することができる。出願や登録、延長にはそれぞれ手数料がかかる。

商標登録は分類ごとに行われ、登録時に対象となる商品やサービスの分類(指定商品・指定役務)を指定しなければならない。分類ごとに出願料・登録料がかかるため、すべての分類を網羅する商標を登録するには巨額の費用がかかる。

指定外の分類では他者がその商標を自由に使用することができ、自らの商標として登録することもできる。実際、シンプルな製品名称などでは分類ごとに商標権者が異なるということもよくある。ただし、すでに有名な製品名などと同じか類似する商標の登録は認められないことが多いほか、無断で使用すると商標法上は問題なくても不正競争防止法など他の法律に抵触することがある。

商標登録は出願すれば必ず認められるとは限らず、一般名詞や地名、公序良俗に反する言葉や図形、日本や他国の国旗、商品の誤認や混同が起こるような名称(指定商品がうどんなのに出願商標が「○○ラーメン」など)、既存の登録商標に類似する商標などは審査により却下される。

名称やロゴなどが登録商標であることを示すには、「登録商標」「registered trademark」といった文言の他に、「®」「(R)」といった記号が用いられることがある。また、名称などが一般名詞等ではなく商標であることを示すために「trademark」「TM」「(TM)」(サービスの場合は「servicemark」「SM」「(SM)」とも)といった文言が用いられることがあるが、これは登録していない商標について用いられることが多い。

著作権法では対象となる著作物を「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」と規定しており、小説や随筆、論文、絵画、写真、図形、立体造形物、建築、音楽、映画、コンピュータプログラムなどがこれに該当する。新聞や雑誌、辞書などは要素の選択や配列といった編集に創作性が認められ、編集著作物として保護される。

一方、思想や感情ではない単なるデータや、創作性に乏しい他人の作品のコピーや誰が書いても同じになるような定型文書、文芸・学術・美術・音楽に含まれない日用品や工業製品、法令や判決文、行政機関などの発行する通達等の文書などは除外される。また、アイデアなどはそれを記したものはその表現が著作物として保護の対象となるが、アイデアそれ自体は著作物ではないため対象外である。

著作者に認められる権利はいくつかあり、大別すると、著作者の人格的利益を保護する著作者人格権、著作物の利用を独占的に制御することを認める財産権としての(狭義の)著作権に分かれる。また、音楽などの場合には著作者以外にも実演家やレコード製作者、放送事業者に著作隣接権が発生する。

人格権には公表権、氏名表示件、同一性保持権などが含まれ、著作権(財産権)には、複製権、上演権、公衆送信権、展示権、頒布権、譲渡権、貸与権、翻訳権、翻案権、二次的著作物の利用についての権利などが含まれる。音楽の実演家などには、著作隣接権として、その実演についての同一性保持権や録音権、放送権、送信可能化権、譲渡権、貸与権などが認められる。

不正競争防止法では、企業内で秘密として管理され、事業の遂行上必要あるいは有用であり、公然と知られていない(一般に公開されていない)といった要件を満たす情報を営業秘密として法的な保護の対象としている。

例えば、製品の特殊な製法、顧客名簿、独自の営業ノウハウなどが該当する。ただし、違法あるいは反社会的な行為・活動に関連する情報(脱税ノウハウなど)は保護されない。また、創業者の生い立ちなど、事業上有用でない情報は、たとえ秘密とされていても営業秘密とはみなされない。

営業秘密を不正に取得・利用した場合には差止や損害賠償などを請求できるほか、利益を得たり保有者に損害を与える目的で営業秘密を不正取得・使用した場合は刑事上の罪に問われる。

著作権法では対象となる著作物を「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」と規定しており、小説や随筆、論文、絵画、写真、図形、立体造形物、建築、音楽、映画、コンピュータプログラムなどがこれに該当する。新聞や雑誌、辞書などは要素の選択や配列といった編集に創作性が認められ、編集著作物として保護される。

一方、思想や感情ではない単なるデータや、創作性に乏しい他人の作品のコピーや誰が書いても同じになるような定型文書、文芸・学術・美術・音楽に含まれない日用品や工業製品、法令や判決文、行政機関などの発行する通達等の文書などは除外される。また、アイデアなどはそれを記したものはその表現が著作物として保護の対象となるが、アイデアそれ自体は著作物ではないため対象外である。

著作者に認められる権利はいくつかあり、大別すると、著作者の人格的利益を保護する著作者人格権、著作物の利用を独占的に制御することを認める財産権としての(狭義の)著作権に分かれる。また、音楽などの場合には著作者以外にも実演家やレコード製作者、放送事業者に著作隣接権が発生する。

人格権には公表権、氏名表示件、同一性保持権などが含まれ、著作権(財産権)には、複製権、上演権、公衆送信権、展示権、頒布権、譲渡権、貸与権、翻訳権、翻案権、二次的著作物の利用についての権利などが含まれる。音楽の実演家などには、著作隣接権として、その実演についての同一性保持権や録音権、放送権、送信可能化権、譲渡権、貸与権などが認められる。

著作権を構成する諸権利は大きく分けて、著作物の財産としての権利を保護する著作財産権(狭義の著作権)、著作者の意思や感情を尊重し精神的に傷つけられないよう保護する著作者人格権、実演家などに与えられる著作隣接権に分類される。

著作者人格権は著作物の公表の仕方などを著作者がコントロールできるようにする権利で、不本意な形で著作物が流通するのを防止する。具体的な権利として、著作物を無断で公表されない「公表権」、著作者名の表記の仕方(実名、匿名、ペンネームなど)を決定する「氏名表示権」、著作物を無断で改変されない「同一性保持権」がよく知られる。

また、国によっては、不名誉な場な方法で著作物を公表されない「名誉声望保持権」や、出版の中止や公表の停止を求めることができる「出版権廃絶請求権」、出版社などに修正版への差し替えを要求できる「修正増減請求権」などが認められる場合がある。

著作者人格権は著作者本人の人格、精神にまつわる権利のため、著作財産権とは異なり譲渡や相続、貸与などができないか制限される(一身専属性)。ベルヌ条約では著作者の死後も著作者人格権は存続すると定められており、日本の著作権法では権利自体の相続の規定は無いものの、きょうだいや孫といった2親等以内の親族などに権利侵害に対する差止請求権などを認めている。

日本の著作権法では第23条に規定があり、広く一般の人々が受信、視聴、閲覧などするために無線や有線の通信によって著作物を広域的に送信、配信する権利を指す。典型的にはテレビやラジオなどの放送、有線放送などがこれにあたる。ただし、プログラムの著作物(ソフトウェア)を除き、同じ建物の中で送信すること(館内アナウンスや校内放送)は公衆送信には当たらないとされる。

また、インターネット上のサーバに蓄積したデータを利用者の求めに応じて配信する方式などのことは「自動公衆送信」と定義され、著作物を自動公衆送信が可能な状態に置く(サーバにファイルをアップロードするなど)権利を「送信可能化権」という。インターネットの普及に伴い、1997年の著作権法改正時に公衆送信権とは別に新たに送信可能化権についての規定が追加された。

意匠権の対象となるのは美感を起こさせる物体の形状、模様、色彩、およびこれらの組み合わせで、新規性や創作性があり、工業的に利用できる(量産できる)ものでなければならない。

美術品のように量産できないものや、機能を実現するための形状・構造、外観に表れない内部構造、既存・先願の意匠と同一あるいは類似しているもの、すでに有名なブランドや製品などと誤認・混同する恐れのあるもの、公序良俗に反するものなどは登録することができない。

意匠を登録するには特許庁に出願書とともに図面や写真、見本などを提出して審査を受け、要件を満たすと登録される。出願者には当該意匠および類似する意匠について独占的に使用する権利が認められ、許諾なく使用した者に対し、使用の差し止めや損害賠償を請求することができる。意匠権の有効期間は日本の現在の制度では登録から20年間で、延長はできない。

登録された意匠は同庁により公開されるが、申請すれば登録から3年に限り非公開(秘密)とすることができる。秘密意匠について権利を行使するには同庁から登録を証明する書類を取得して相手方に提示しなければならない。

英語では “business method patent” (ビジネスメソッドパテント)と呼ぶが、日本に最初に紹介されたときに「ビジネスモデル特許」という用語が使われたことから、現在でもこの言い方が定着している。

従来、事業の方法自体は特許にならないと言われていたが、アメリカで起きた「ハブ&スポーク特許事件」を契機に、1990年代末から続々と申請されるようになった。ハブ&スポーク特許は、米シグネチャーフィナンシャルグループ(Signature Financial Group)社が取得した特許で、複数の投資信託を一括管理するための仕組みである。

同業のステートストリートバンク(State Street Bank and Trust)社が特許無効を訴える裁判を起こしたが、米国連邦控訴裁判所は1998年7月に特許を有効とする判決を下した。ビジネス手法であっても、発明が有用(useful)で、具体的(concrete)で、有形(tangible)の結果を生みだすならば、特許として認められるという判断を示したのである。

この事件をきっかけにビジネス方法の特許は注目を集めるようになり、ちょうど2000年前後のインターネットを用いた新ビジネスのブーム(ドットコムバブル)と重なったこともあり、コンピュータやインターネットに関連する手法を用いた新ビジネスの特許が大量に出願されるようになった。

この時期に成立したインターネット関連のビジネス方法の特許として、プライスラインドットコム(Priceline.com)社の「逆オークション」特許や、米オープンマーケット(OpenMarket)社の「ショッピングカート」特許、米アマゾンドットコム(Amazon.com)社の「1-Click」特許、ダブルクリック(DoubleClick/当時)社の「DART」特許などが有名である。

日本でもインターネット関連を中心に2000年代前半に大量のビジネス方法の特許が出願されたが、その大半は審査の結果拒絶されたとされている。各国特許当局により審査基準の整備などが進むと申請も下火になっていったが、現在でもデジタル広告などの分野では新技術が開発されるとビジネス方法の特許化されることがある。

営業秘密の侵害や、複製・模造商品の販売、商品名やロゴなどの模倣、著名人の名前などの無断使用、デジタルデータのコピー制限技術やアクセス管理技術の解除や回避、商品の材料や原産地などの偽装や紛らわしい表示、他社の商標などに一致または類似するインターネットドメイン名の使用、競合相手を誹謗する虚偽情報の流布、外国製品の輸入代理店などが原権利者に無断で商標等を流用することなどを禁止している。

また、外国と交わした条約などに基づいて、外国公務員への贈賄や、外国の国旗や紋章などの不正使用、国際機関の標章などの不正使用も禁じている。

1934年(昭和9年)に、「工業所有権の保護に関するパリ条約」を批准するために制定された法律である。現在施行されているのは1993年(平成5年)に全面改正され、その後何度か部分改正されたもので、全面改正前の旧法を「旧不正競争防止法」と呼ぶことがある。

不正競争防止法では、企業内で秘密として管理され、事業の遂行上必要あるいは有用であり、公然と知られていない(一般に公開されていない)といった要件を満たす情報を営業秘密として法的な保護の対象としている。

例えば、製品の特殊な製法、顧客名簿、独自の営業ノウハウなどが該当する。ただし、違法あるいは反社会的な行為・活動に関連する情報(脱税ノウハウなど)は保護されない。また、創業者の生い立ちなど、事業上有用でない情報は、たとえ秘密とされていても営業秘密とはみなされない。

営業秘密を不正に取得・利用した場合には差止や損害賠償などを請求できるほか、利益を得たり保有者に損害を与える目的で営業秘密を不正取得・使用した場合は刑事上の罪に問われる。

全5章、60条の条文と附則から成り、国家のサイバーセキュリティの基本方針を示している。国および地方公共団体はサイバーセキュリティを推進する施策を実施する責務を負い、事業者や国民もサイバーセキュリティの確保に務めることと定めている。

国が行うべき施策として、国の機関や民間の重要インフラにおけるサイバーセキュリティの確保、人材の確保、研究開発の推進、犯罪の取り締まりや被害拡大の防止、安全保障を脅かす事態への対処、セキュリティ産業の振興と国際競争力の強化などを挙げている。

内閣には「サイバーセキュリティ戦略本部」が置かれ、国によるサイバーセキュリティ戦略の企画や実施、関係機関との調整などに責任を負う。本部長は官房長官で、国家公安委員会委員長やデジタル大臣、総務大臣、経済産業大臣、防衛大臣などが参加する。

企業などが運用する情報システムを、外部の攻撃者や内部犯による悪意ある行為から守り、機密性や完全性、可用性などが確保された健全な状態を維持することを指す。脅威にはシステムの破壊やサービスの停止、秘密情報の不正な取得、データの改竄や消去、権限の無い操作の実行(不正アクセス)などが含まれる。

脅威

脅威の具体例として、

• パスワードクラック ― 辞書攻撃、パスワードリスト攻撃、レインボーテーブル攻撃など
• 不正アクセスや遠隔操作 ― バックドア、バッファオーバーフロー攻撃、権限昇格、ルートキットなど
• マルウェア ― コンピュータウイルス、トロイの木馬、ワーム、ランサムウェアなど
• DoS攻撃 ― DDoS攻撃やボットネットなど
• 通信の盗聴や傍受 ― スニッフィングや中間者攻撃、MITBなど
• 機密情報の詐取や漏洩 ― 攻撃者による盗難、内部犯による持ち出しなど
• データの改竄や破壊
• ネットワーク利用詐欺 ― フィッシング詐欺、ビジネスメール詐欺、ワンクリック詐欺など
• 標的型攻撃 ― スピアフィッシング、APT攻撃など
• サイドチャネル攻撃

などがある。

また、ポートスキャンやソーシャルエンジニアリング(スカベンジングやショルダーハッキングなど)といった攻撃前の準備、調査、情報収集活動や、機密情報の入った記憶媒体の紛失、誤操作や誤設定による意図しないデータの公開や漏洩といった潜在的・偶発的な事象も脅威の一種に含める場合もある。

対策

サイバーセキュリティを確保するための技術的な対策法としては、ネットワーク境界に設置したIDS/IPSやファイアウォールによる境界監視や境界防御、アンチウイルスソフトなどによるマルウェア対策、ペネトレーションテストなどによる保安上の弱点の調査と対処、導入済みソフトウェアの適時のアップデート、システムの挙動や利用者の操作に関するログの記録、各利用者への適切なアクセス権限の付与(過剰な権限を与えない)、データの保存や送受信の暗号化などが挙げられる。

また、データの保存や複製、移動についてのルールの策定、受信メールの取り扱いやWebサイト閲覧など危険に遭遇する可能性のある場面について推奨される操作法の策定、私有機器の利用制限、攻撃手法などの教育・啓蒙といった人的対策、重要機器の設置場所における入退室管理、監視カメラの設置といった物理的対策などを組み合わせる場合もある。

情報を表す信号やデータを何らかの電磁的な物理状態に置き換えて記録する器具を指す。紙媒体のように人が直に内容を知覚したり記録することはできず、媒体の種類ごとに読み書きするための電子機器が必要となる。

微細な磁性体の磁化状態を用いて信号を記録するものを「磁気記録媒体」(磁気メディア)という。薄いプラスチックフィルムをリールに巻き取った「磁気テープ」、円盤(ディスク)状の媒体を用いる「フロッピーディスク」や「ハードディスク」などが該当する。

薄いプラスチックディスク表面の光の反射率を変化させて信号を記録するものを「光学記録媒体」(光学メディア)という。CDやDVD、Blu-ray Discなどが該当する。近年ではフラッシュメモリなどの不揮発性メモリを利用する半導体メモリ型の媒体も急激に普及している。「SSD」や「USBメモリ」「メモリーカード」などが該当する。

コンピュータがストレージ(外部記憶装置)として利用する媒体はすべて情報をデジタルデータとして記録するが、音声を記録するカセットテープや映像を記録するレーザーディスクのように、情報の種類によってはアナログ方式で信号を記録するものもある。

媒体の種類によって、媒体を記録装置から取り外して交換したり持ち運べるもの(リムーバブル型)と、装置内に固定されて入れ替えられない固定型のものがある。磁気テープやフロッピーディスク、光学ディスク、メモリーカードなどは前者、ハードディスクやSSD、USBメモリなどは後者となる。USBメモリは装置自体が十分小さく機器への着脱が容易なため可搬型に分類される場合もある。

アクセス制御を行っているコンピュータやそのようなコンピュータに守られているコンピュータに対し、通信回線やネットワークを通じてアクセスし、本来制限されている機能を利用可能にすることを禁じている。違反した場合は1年以下の懲役または50万円以下の罰金が課される。

制限を回避する行為として、他人の識別符号(パスワードなど)を盗み取って本人になりすましたり、識別符号以外の、制限を免れるための何らかの情報(ソフトウェアの脆弱性を攻撃するコードなど)を送り込むことを挙げている。

2012年の改正で、他人の識別符号を不正に取得する行為、不正アクセスを助長する行為(識別符号の不正な提供など)、不正に取得された識別符号を保管する行為が新たに禁止され、違反者には30万円以下の罰金が課されるようになった。

また、コンピュータのアクセス管理者に対しては識別符号の管理やアクセス制御機能などについて適切な防御措置を取る努力義務が課されており、都道府県公安委員会に対しては被害にあったアクセス管理者から支援を要請されたら必要な情報の提供や助言などの援助するよう定めている。

何らかの主体(人間や機器、ソフトウェアなど)が、システムの管理下にある対象(装置や回線、データ、プログラム、ファイルなど)に対して、どのような操作が許されているかを登録・管理し、権限外の操作を実行しようとした時にはこれを拒否する。

例えば、ファイルシステムによるアクセス制御であれば、各ユーザーアカウントやユーザーのグループに対して、ファイルやディレクトリに対する読み込み、書き込み、削除、プログラムファイルの実行といった権限を付与し、操作主体と権限を確認して許可や拒否を行う。

認証・認可・監査

アクセス制御は「認証」(authentication)、「認可」(aurhorization)、「監査」(audit)といったプロセスから成る。認証は主体を識別して本物であることを確認するプロセスで、利用者にアカウント名を入力させ、パスワードなどの確認手段で本院であることを確かめる活動などが該当する。

認可は権限に基づいて操作の可否を判断するプロセスで、アカウント情報や管理者の定義したポリシー設定、アクセス制御リスト(ACL)などを参照して対象者の資格や権限を確認し、対象者が行おうとしている操作を許可したり拒絶したりする。

監査は、認証や認可、および利用主体による対象へのアクセスの履歴(ログ)を記録・蓄積し、後から「いつ誰が何を試みて結果がどうなったか」を管理者が追跡できるようにするプロセスである。システムやデータの安全を脅かす不審な試みや、不正な行為による被害などを確かめることができるようにする。

モデル

アクセス制御を適用する手法にはいくつかの典型的なモデルがあり、実際のシステムはモデルに基づいてアクセス制御の仕組みを実装している。

古くからありよく知られるのは、操作対象(オブジェクト)の所有者がアクセス許可の指定を行う「任意アクセス制御」(DAC：Discretionary Access Control)で、一般的なオペレーティングシステム(OS)のセキュリティ機能などで採用されている。

これに対して、「強制アクセス制御」(MAC：Mandatory Access Control)は管理者およびシステムが権限を設定し、所有者と言えどこれを変更できない仕組みである。軍用システムなど高度なセキュリティが要求される一部のシステムで実装されている。

他にも、利用者の役割(ロール)ごとに権限を設定する「ロールベースアクセス制御」(RBAC：Role-Based Access Control)や、利用者や操作対象の持つ様々な属性情報を収集し、どの属性のユーザーがどの環境でどの対象にアクセス可能かといった設定を記述していく「属性ベースアクセス制御」(ABAC：Attribute-Based Access Control)などの手法も提唱されている。

正規のアクセス権を持たない者が何らかの方法で取得した識別情報(管理者のIDとパスワードなど)を入力して実行する場合と、システムのアクセス制御機能をソフトウェアの保安上の欠陥(脆弱性)を悪用するなどして回避・無効化し、本来認められていない操作を実行する場合がある。

システムの運用主体と無関係な外部の攻撃者が通信回線やインターネットなどの広域ネットワークを通じて遠隔からシステムへの侵入や操作を試みる手法が一般的だが、一定のアクセス権を持つ内部犯がシステムに直に接触して本来の権限を超えた操作を行う事例も見られる。

具体的な不正行為としては、Webサイトの改竄やコンピュータウイルスの埋め込み、機密情報や個人情報の不正取得、遠隔操作による他のコンピュータへの攻撃、迷惑メールやウイルスメールの一斉配信、クレジットカード番号など金融機関の認証情報の詐取による金銭の盗難などがある。

日本では1999年に制定された「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)により禁じられ、最大で1年以下の懲役または50万円以下の罰金が課される。この法律は不正アクセス行為行為そのものと、その準備段階に行われる識別符号(パスワードなど)を不正に取得、保管、入力要求する行為などが禁止されている。

一般に「ウイルス作成罪」と通称されるが、法律上の名称は「不正指令電磁的記録に関する罪」で、ウイルスに相当する不正なコンピュータプログラムの「作成・提供」と「供用」(相手に実行させること)、(誰かに使用する目的での)「取得・保管」のそれぞれについて罰則が規定されている。

対象となるウイルスについて「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と規定しており、狭義のウイルスだけでなくワームやトロイの木馬などマルウェア全般が含まれる。

また、「不正な指令を記述した電磁的記録」という規定もあり、実行形式プログラムだけでなくソースコードも対象となる。ウイルスの作成・提供・供用には3年以下の懲役または50万円以下の罰金、取得・保管には2年以下の懲役または30万円以下の罰金が課される。

体系的・継続的に個人情報を保有・利用するすべての団体や事業者に対し、取得や保存・利用に関する義務や、違反時の罰則などを定めている。当初は5000件を超える個人情報を所有する事業者のみが規制の対象だったが、2017年の大幅改正でこの要件が撤廃され小規模な事業者や町内会のような団体も対象となった。

個人情報を取り扱う事業者は、個人情報の収集にあたって利用目的を特定することや、目的外の個人情報の収拾・取扱の禁止、収集手段および目的の公表、不正な手段による個人情報取得の禁止、個人情報の保護に必要な措置を講じること、本人から申し出があったときは速やかに保有する開示・訂正・削除に応じること、本人の同意を得ない第三者への譲渡の禁止などの義務が課される。

違反した場合は内閣府の外局である個人情報保護委員会による勧告や命令が行われ、従わない場合は最大で6ヶ月以下の懲役または30万円以下の罰金が課される。

個人情報の種類

保護の対象となる個人情報は、生存する個人の氏名や生年月日、住所、電話番号など、個人の特定・識別に用いることができるものが該当する。顔写真や所属先のメールアドレス、金融機関の口座番号のように他の情報と組み合わせれば個人を特定できる符号なども含まれる。

また、DNA配列や指紋、声紋、顔貌、虹彩など身体に固有の特徴を符号化したデータ、マイナンバーやパスポート番号、運転免許証番号など公的な識別番号・符号も2017年改正で対象に追加された。

個人情報のうち、差別や偏見に繋がりかねず慎重な取り扱いが求められる項目を「要配慮個人情報」と定義し、本人の明示的な同意を得ずに取得したり第三者に提供することが禁じられている。これには人種や信条、社会的身分、病歴、犯歴、犯罪被害事実などが該当する。

一方、特定の個人を割り出せないように一部のデータをランダムな符号で置き換えるなど復元不能な変換処理を行った「匿名加工情報」については、本人の同意を得ずに第三者提供などの利用ができることが定められている

公的機関の責務

国や地方公共団体は事業者等がこの法律に則って適切に個人情報を取り扱うよう、制度の周知・広報や指針の策定など、適切な措置を講ずることが定められている。

なお、この法律が対象とするのは民間が保有する個人情報の取り扱いであり、国や自治体、独立行政法人など公的機関自身が保有する個人情報については、行政機関個人情報保護法など別の法制度によって規定される。

個人情報保護法(個人情報の保護に関する法律)の第2条3項では要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう」と定義している。

条文内で挙げられている項目の他に、政令で定められている項目として、身体障害などの障害を持つ事実、健康診断や医療上の検査結果、診療や調剤、保健指導などの記録、(犯罪や非行を疑われ)刑事手続や少年保護手続上の取り扱いを受けた事実がある。

要配慮個人情報を取得する場合も利用目的を明示した上で事前に本人の同意が必要となる。また、オプトアウト(明示的に拒否の手続きをしない限り同意したとみなす)方式による第三者提供も禁じられ、外部への提供には本人による明示的な許可が必要となる。

機微情報 (センシティブ情報)

個人情報に関する標準規格やガイドラインなどの中には、取り扱いに配慮を要するセンシティブな個人情報を「機微情報」として定義しているものがある。

金融庁の「金融分野における個人情報保護に関するガイドライン」では、第6条で「機微(センシティブ)情報」として、政治的見解、信教(宗教や思想、信条)、労働組合への加盟、人種、民族、門地、本籍地、保健・医療、性生活、犯罪歴を挙げている。

プライバシーマークの根拠としてよく知られるJIS Q 15001規格(個人情報保護)では「特定の機微な個人情報」として、思想、信条、宗教、人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項、労働組合や労働運動に関する事項、デモや請願、署名への参加など政治的権利の行使に関する事項、保健・医療や性生活に関する事項を挙げている。

一般的に事業者が顧客の行動履歴などを記録したデータは個人が特定・識別できる状態となっている。これを加工して、氏名など個人の特定や識別に繋がる情報を復元不可能な状態にしたものを匿名加工情報という。

個人情報保護法では、事業者が取得したパーソナルデータの利用や外部提供について本人に十分な説明を行って個別に許諾を得るなどの制約を課しているが、匿名加工情報は本人の同意を得なくても外部への提供が可能であり、一定のルールの下で事業者間の連携や横断的な活用を行うことが期待される。

情報の加工については規定が定められており、これに則って行う必要がある。氏名など個人を識別できる情報の削除や不可逆な置き換えが必要で、顔画像や指紋、運転免許証番号などの個人識別符号、他の情報と連結するためのIDなどの符号、極めて珍しい属性など本人であると容易に推定可能な特異な記述も削除する必要がある。

匿名加工情報を作成する場合は加工方法などの漏洩防止や苦情の処理などについて安全管理措置を取ることが求められる。また、作成時や第三者への提供時にはWebサイトなどを通じて加工された情報に含まれる項目や提供方法などを公表しなければならない。

一方、2022年の法改正では新たに「仮名加工情報」についての規定が追加された。これは個人についての情報を加工して、他の情報と照合しない限り個人を特定できないようにしたものとされる。匿名加工情報よりも作成のハードルは低いが、第三者提供は委託や共同利用に限定されている。

認定を受けるには日本工業規格(JIS)に定められたJIS Q 15001(個人情報保護マネジメントシステム要求事項)に適合した組織や事業の運営体制が整っていることを証明することが求められる。申請はJIPDECに直接、あるいは国内に約20団体ある指定審査機関に対して行い、書類や立ち会いによる審査を経て認定される。

対象は国内に拠点を持つ事業者で、原則として法人を単位に認定されるが、医療法人と学校法人については法人全体ではなく病院や学校などの組織が認定される。有効期間は2年で、申請により2年単位で更新することができる。

認定を受けると「たいせつにしますプライバシー」のキャッチコピーと「i」「P」の文字をかたどった専用のロゴマーク(プライバシーマーク本体)を使用することができ、店頭や広告、名刺、Webサイト、パンフレットなどに掲載することができる。JIPDECではWebサイトなどを通じて付与事業者や認定取り消し・一時停止事業者を公表しており、消費者などが認定状況を確認できるようになっている。

プライバシーマーク制度は1998年に創設され、個人情報を取得・利用する消費者向け事業を行う企業や、学校・病院など機微情報を取り扱う機関で取得が広まっているほか、政府機関や地方公共団体の中には情報処理関連の委託事業などで入札の参加資格にマークの取得を義務付けている場合もある。

情報・通信技術の進歩や普及により個人情報やプライバシーの保護に関する社会的な要請が強まる中、国際的な情報流通を円滑に進めるため、先進各国が足並みを揃えて法律や規制を整備するための基本原則を定めている。

プライバシー保護に関する国際標準のISO/IEC 29100ではOECDプライバシーガイドラインを元に11条からなるプライバシー原則を定めている。日本の個人情報保護法にもOECDプライバシーガイドラインの項目を反映した条文が記載されている。OECDプライバシーガイドラインの具体的な項目は以下の通り。

収集制限の原則 (Collection Limitation Principle)

個人データは、適法・公正な手段により、かつ情報主体に通知または同意を得て収集されるべきである。

データ内容の原則 (Data Quality Principle)

収集するデータは、利用目的に沿ったもので、かつ、正確・完全・最新であるべきである。

目的明確化の原則 (Purpose Specification Principle)

収集目的を明確にし、データ利用は収集目的に合致するべきである。

利用制限の原則 (Use Limitation Principle)

データ主体の同意がある場合や法律の規定による場合を除いて、収集したデータを目的以外に利用してはならない。

安全保護の原則 (Security Safeguards Principle)

合理的安全保護措置により、紛失・破壊・使用・修正・開示等から保護すべきである。

公開の原則 (Openness Principle)

データ収集の実施方針等を公開し、データの存在、利用目的、管理者等を明示するべきである。

個人参加の原則 (Individual Participation Principle)

データ主体に対して、自己に関するデータの所在及び内容を確認させ、または異議申立を保証するべきである。

責任の原則 (Accountability Principle)

データの管理者は諸原則実施の責任を有する。

企業などが事業のために個人に関連するデータを取得して保存、利用するには、所在地や連絡先、情報取得の目的、第三者提供の有無や範囲、保管期間などについて利用者にあらかじめ告知し、同意を得なければならないと定めている。

対象となるデータは、個人の識別・同定に用いられる個人情報(氏名や住所、電話番号など)と、Webページの閲覧記録やサービスの利用履歴といった個人の属性や活動を記録したパーソナルデータで、IPアドレスやWebブラウザのCookieなども含まれる。

これらのデータをEEA(欧州経済領域：EU加盟国とアイスランド、ノルウェー、リヒテンシュタイン)内の個人から取得する場合にEU一般データ保護規則が適用される。加盟国の国民だけでなく旅行や出張、居住などで滞在中の域外国民の情報も対象となる。

域内で取得したデータはEEA外への持ち出しが原則禁じられる。EU一般データ保護規則同等のデータ保護が可能であるとしてEUが個別に協定を結んだ国や地域の場合には、所定の手続きや一定の制約の元に移転が認められる。日本との間には2019年に相互のデータ移転を可能にする協定が発効している。

規則に違反した企業などには警告や監査、多額の罰金(売上に対する一定割合)などの処罰が行われる。EU内の企業だけでなく、インターネットを通じて域内の個人からデータを取得する全世界の企業が規制の対象となる。欧州の利用者と通信する可能性のあるネットサービスなどはEU一般データ保護規則への対応が必須となる。

企業が個人に行う様々な活動や措置、行為などに対し、対象者から明確に許諾を得ない限り実施しない(あるいは、してはならない)とする原則のことを「オプトイン方式」という。一方、離脱や脱退、拒否、停止、中止などの意思を表明したり申し入れることを「オプトアウト」(opt-out)という。

オプトイン方式ではすべての活動は原則禁止で対象者が明示的に承諾したものだけが可能になるが、オプトアウト方式ではすべての活動は原則自由で対象者が明示的に拒否したものだけが停止されるという違いがある。

事業者が消費者に対して事前に許諾を得ることなく一方的に行う電話勧誘やダイレクトメールの配達、電子メール広告の送信などを拒否することや、そのために用意された制度や手続きなどを意味することが多い。

国によっては、無差別に送信される広告メールに一定の法規制を課したり、事業者が勧誘電話を掛けてはいけない電話番号のリストを政府機関などが構築・運営し、消費者からの申し出により登録するといった制度を運用しているところもある。

また、顧客や登録利用者など、既に企業と関わりのある個人が、会員登録の解除、会誌やメールマガジンなどの購読停止などを行うことをオプトアウトということもある。ネット広告事業者がネット利用者のWeb閲覧履歴をサイトを横断して捕捉するのを拒否したり、企業が取得した個人情報の利用や第三者への提供を拒否することをオプトアウトということもある。

対義語は「オプトイン」(opt-in)で、個人が企業などに対して特定の活動を行うことを明示的に許諾することや、そのための手続きなどを意味する。企業などの活動について「オプトアウト方式」という場合は、「対象者が明示的に拒否しない限り行われる(あるいは、行ってよい)」ことを、「オプトイン方式」という場合は「対象者が明示的に許諾しない限り行われない(あるいは、行ってはならない)」ことをそれぞれ指す。

公開鍵暗号では一対の暗号鍵の組を用い、一方は自分しか知らない秘密鍵として、もう一方は通信の相手方に渡して使ってもらう公開鍵として用いる。相手と安全な受け渡し手段がある場合は事前に公開鍵を渡しておくことができるが、そうでない場合はインターネットなど信用できない経路を含む通信手段で鍵を配送しなければならない。

そこで、公開鍵が通信途上で攻撃者による改竄・すり替えに遭っておらず、確かに送信者本人のものであると受信者が確認できるようにするために、公開鍵データに送信者と受信者の双方が信用する第三者(認証局)のデジタル署名を添付するという手法が考案された。

送信者は認証局に自らの識別(身元)情報や公開鍵を申請し、認証局の秘密鍵でデジタル署名された電子証明書を作成してもらい、これを受信者に渡す。受信者は証明書から公開鍵を取り出し署名を検証することで、認証局がその公開鍵が送信者本人のものであると主張していることを確かめることができる。

現在広く普及している電子証明書の規格はITU-Tの定めたX.509で、公開鍵自体の他に、証明書発行者(認証局など)の識別情報、証明書の識別情報(シリアル番号など)、証明書の有効期間(開始日・終了日)、鍵の所有者の識別情報、公開鍵の暗号アルゴリズムの種類、発行者によるデジタル署名などの情報が記載される。

認証局の鍵配送問題とルート認証局

証明書のデジタル署名を検証するには認証局の公開鍵が必要となるため、受信者は送信者が利用する認証局の公開鍵を安全に入手しなければならない。しかし、世の中のすべての認証局の公開鍵をあらかじめ揃えておくことは現実的ではなく、また、インターネットなどで公開鍵をそのまま配送するのは送信者の鍵を送る場合と同じ危険がある。

この問題を回避するため、Webブラウザなど公開鍵暗号を利用するソフトウェアには世界的に有力な少数の認証局の公開鍵が安全な方法であらかじめ組み込まれており、そのような認証局をルート認証局(ルートCA)という。

各認証局は自らの公開鍵を上位の認証局に署名してもらって公開し、上位認証局はさらに上位の認証局に署名してもらって鍵を公開し…というプロセスを繰り返し、最終的にルート認証局の署名が得られれば、利用者は安全に各認証局の公開鍵を入手することができる。ルート認証局は利用者側でも追加できるようになっているため、必ずしも著名な機関を頂点とする証明書しか使用できないわけではない。

特定電気通信役務提供者

この法律は主に「特定電気通信役務提供者」について適用されるが、これには狭義のプロバイダであるインターネット接続事業者(ISP：インターネットサービスプロバイダ)だけでなく、Webサイトの公開・運用を請け負う事業者(サーバホスティング事業者やブログサービス事業者など)、電子掲示板(BBS)やSNSの運営者など、契約者にネット上で情報発信できる環境を提供している者が含まれる。営利事業か否かの区別もなく、状況によっては大学や公的機関、個人などが該当する場合もある。

責任の制限

以前は法的な位置づけが曖昧だった、ネット上で著作権侵害や名誉毀損、プライバシー侵害などが発生した際のプロバイダ等の賠償責任を、一定の条件を満たした場合に免責するよう定めている。

ある情報の流通について権利が侵害されたと主張する者が現れた場合に、当該情報の流通を止めなかった責任について、プロバイダ等自身が発信者ではなく、差し止めが技術的に不可能である、権利侵害であると知らなかったといった条件を満たした場合に免責される。

逆に、権利侵害の申告を受けて情報の流通を止めた場合に発信者側に生じた損害について、停止措置が必要最低限であり、権利侵害を疑う十分な理由があった場合に免責される。選挙運動期間中の候補者や政党などについての情報を差し止めた場合については、別項を設けて似た内容の規定(発信者に生じた損害の免責)を定めている。

リベンジポルノの防止

2014年に成立した私事性的画像記録の提供等による被害の防止に関する法律(通称リベンジポルノ被害防止法)ではプロバイダ責任制限法の特例を定めており、いわゆるリベンジポルノの公開を停止する措置を講じた場合に、発信者側(加害者側)に生じた損害についてプロバイダ等の賠償責任を免責している。

発信者情報の開示

以前は権利侵害事案の発信者情報の開示について法的な規定がなく、プロバイダ等は被害を訴える側に任意に情報を提供すれば発信者側から、拒否すれば被害者側から訴えられるリスクを負う板挟み状態となっていたが、この法律では開示請求について一定の基準を定めている。

権利侵害を受けたと主張する側は、当該情報による権利侵害が明らかである証拠があり、差し止めや賠償の請求などを行うために発信者情報が必要である場合に、プロバイダ等に発信者情報の開示を請求できる。プロバイダ側は可能な限り発信者に意見の聴取を行い、請求者の訴えが正当であると認められる場合は発信者の情報を開示する。

開示の対象となる発信者情報は、発信者の氏名、住所、メールアドレス、当該情報送信時のIPアドレス、当該情報の送信日時で、プロバイダ側はこれらの情報を取得して保管しておかなければならない。

具体的な手続きや判断基準は業界団体であるプロバイダ責任制限法ガイドライン等検討協議会が発行する「プロバイダ責任制限法発信者情報開示ガイドライン」に基づいて行われている。

なお、発信者の情報を開示しなかったことで請求者側に生じた損害について、プロバイダ等自身が発信者ではなく故意や重い過失ではない場合には賠償責任が免責される。

企業などが広告のために送信するメールを規制の対象となる特定電子メールとし、あらかじめ受信を同意(オプトイン)した人にのみ送信することや、送信者の氏名・名称や受信拒否窓口の連絡先の表示、送信停止の意思を示した人への以降の送信の禁止などの義務を課している。

これらの規定に違反するメールを送信した事業者などには、総務大臣あるいは消費者庁長官が改善命令を発することができる。命令にも従わなかった場合には、最高で1年以下の懲役か100万円(法人の場合は3000万円)以下の罰金が課される。

対象はインターネット上の電子メールだけでなく携帯電話/スマートフォン向けのSMS(ショートメッセージ)なども含まれる。外国のサーバから送信するものも含まれる。問い合わせ窓口などとしてWebサイトで公表されているメールアドレスへの送信は規制の対象外だが、受信を拒否する旨を記載して公表している場合は対象となる。

派遣元が雇用あるいは登録した労働者を、企業などとの契約に基づいて派遣し、その事業所で労働させる事業である。日本では労働者派遣法(労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律)による規制を受ける。

以前は派遣元が正規雇用する従業員を派遣する「特定派遣」(届出制)と、派遣先が決まったときだけ雇用する「一般派遣」(許可制)の区別があったが、2018年にこの区分は廃止され、派遣社員の雇用形態によらず許可制の労働者派遣制度のみとなった。

類型

派遣元に正規雇用され、派遣先の有無に関わらず常に雇用された状態にある形態を「常用型派遣」、仕事が無い時には雇用されず、派遣先が決まって勤務している間だけ雇用される形態を「登録型派遣」という。

登録型のうち、一回の派遣契約の期間が30日以内の派遣は「日雇い派遣」と呼ばれ、原則禁止されている。例外として、学生や60歳以上の人、年収500万円以上の人が副業で働く場合、世帯年収が500万円以上あるが本人が主たる稼ぎ手でない場合(親が高収入の実家暮らしの若者など)に限って認められている。

なお、派遣先による直接雇用を前提に、6か月以内の派遣期間のあと、本人と派遣先の双方が合意すれば直接雇用に切り替えられる派遣契約を「紹介予定派遣」という。必ず直接雇用に転換できるとは限らず、転換後の雇用形態も正規雇用に限らない。

制限

派遣労働の対象業務は労働者派遣法で定められ、建設業や警備業などは派遣労働が禁止されている。派遣契約の期間は1年単位で、3年まで延長でき、3年を超えて業務に従事させたい場合は派遣先による直接雇用に切り替えなければならない。

派遣先は紹介予定派遣を除いて、事前に履歴書の要求や面接などを行ってはならない。派遣先が受け入れた派遣社員を別の事業者に再び派遣することは「二重派遣」あるいは「再派遣」と呼ばれ、禁止されている。

業務請負との違い

事業者間で契約を取り交わし、受注者が発注者の指定する業務の遂行を請け負う契約を「業務請負」あるいは単に「請負」という。受注者は人員、施設、設備、資材などを自前で用意して、自社の監督者の指揮に基づいて業務を行い、成果のみを発注元に納品あるいは報告する。

請負契約でも受注者の従業員が発注者の事業所に勤務する場合があり、労働者の勤務形態は派遣に近くなるが、この場合、請負側労働者への指揮命令は請負側の管理者が行わなければならない。発注元の従業員が直接指示を出すのは俗に「偽装請負」と呼ばれる違法行為となる。

IT業界では、情報システム関連業務(開発や保守、サポートなど)を専門の事業者が請け負い、発注側の事業所に勤務して業務を行う「客先常駐」型のサービスがあり、「SES」(システムエンジニアリングサービス)と呼ばれる。労働者派遣ではないため、必ず受注側の監督者が帯同し、発注者から請け負った業務の指揮命令を自社の労働者に行うことになっている。

派遣元が雇用あるいは登録した労働者を、企業などとの契約に基づいて派遣し、その事業所で労働させる事業である。日本では労働者派遣法(労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律)による規制を受ける。

以前は派遣元が正規雇用する従業員を派遣する「特定派遣」(届出制)と、派遣先が決まったときだけ雇用する「一般派遣」(許可制)の区別があったが、2018年にこの区分は廃止され、派遣社員の雇用形態によらず許可制の労働者派遣制度のみとなった。

類型

派遣元に正規雇用され、派遣先の有無に関わらず常に雇用された状態にある形態を「常用型派遣」、仕事が無い時には雇用されず、派遣先が決まって勤務している間だけ雇用される形態を「登録型派遣」という。

登録型のうち、一回の派遣契約の期間が30日以内の派遣は「日雇い派遣」と呼ばれ、原則禁止されている。例外として、学生や60歳以上の人、年収500万円以上の人が副業で働く場合、世帯年収が500万円以上あるが本人が主たる稼ぎ手でない場合(親が高収入の実家暮らしの若者など)に限って認められている。

なお、派遣先による直接雇用を前提に、6か月以内の派遣期間のあと、本人と派遣先の双方が合意すれば直接雇用に切り替えられる派遣契約を「紹介予定派遣」という。必ず直接雇用に転換できるとは限らず、転換後の雇用形態も正規雇用に限らない。

制限

派遣労働の対象業務は労働者派遣法で定められ、建設業や警備業などは派遣労働が禁止されている。派遣契約の期間は1年単位で、3年まで延長でき、3年を超えて業務に従事させたい場合は派遣先による直接雇用に切り替えなければならない。

派遣先は紹介予定派遣を除いて、事前に履歴書の要求や面接などを行ってはならない。派遣先が受け入れた派遣社員を別の事業者に再び派遣することは「二重派遣」あるいは「再派遣」と呼ばれ、禁止されている。

業務請負との違い

事業者間で契約を取り交わし、受注者が発注者の指定する業務の遂行を請け負う契約を「業務請負」あるいは単に「請負」という。受注者は人員、施設、設備、資材などを自前で用意して、自社の監督者の指揮に基づいて業務を行い、成果のみを発注元に納品あるいは報告する。

請負契約でも受注者の従業員が発注者の事業所に勤務する場合があり、労働者の勤務形態は派遣に近くなるが、この場合、請負側労働者への指揮命令は請負側の管理者が行わなければならない。発注元の従業員が直接指示を出すのは俗に「偽装請負」と呼ばれる違法行為となる。

IT業界では、情報システム関連業務(開発や保守、サポートなど)を専門の事業者が請け負い、発注側の事業所に勤務して業務を行う「客先常駐」型のサービスがあり、「SES」(システムエンジニアリングサービス)と呼ばれる。労働者派遣ではないため、必ず受注側の監督者が帯同し、発注者から請け負った業務の指揮命令を自社の労働者に行うことになっている。

依頼主側に人員を送り業務に就かせる人材派遣と異なり、業務を実施するための資金、人員、施設、設備、材料などは請負側の責任で用意・調達する。また、従業員の労務管理や指揮命令は請負側の管理監督者が行わなければならない。

依頼主側の監督者が請負側のスタッフを指揮するなど、これらの要件を満たさない場合、実態は直接雇用や労働者派遣であるのに請負契約を装った「偽装請負」となり、職業安定法や労働基準法などに対する違反となる。

請負契約と準委任契約

業務請負では具体的な契約形態として「請負契約」と「準委任契約」のいずれかが用いられることが多い。

請負契約とは、仕事の完成を目的として、納期までに成果を納めて対価を得る契約形態で、受注者は納期までに委託された業務を完遂して成果を発注者に引き渡す義務を負う。成果物に不具合がある場合も受注者側の責任で対応する義務がある(瑕疵担保責任)。

一方、準委任契約は仕事の完成などは保証せず、定められた期間だけ業務を遂行することを委託する契約形態である。派遣に近いが、請負契約の一種であるため発注者による直接の指揮監督は認められない。IT分野では「SES」(システムエンジニアリングサービス)の呼称で定着している。

派遣元が雇用あるいは登録した労働者を、企業などとの契約に基づいて派遣し、その事業所で労働させる事業である。日本では労働者派遣法(労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律)による規制を受ける。

以前は派遣元が正規雇用する従業員を派遣する「特定派遣」(届出制)と、派遣先が決まったときだけ雇用する「一般派遣」(許可制)の区別があったが、2018年にこの区分は廃止され、派遣社員の雇用形態によらず許可制の労働者派遣制度のみとなった。

類型

派遣元に正規雇用され、派遣先の有無に関わらず常に雇用された状態にある形態を「常用型派遣」、仕事が無い時には雇用されず、派遣先が決まって勤務している間だけ雇用される形態を「登録型派遣」という。

登録型のうち、一回の派遣契約の期間が30日以内の派遣は「日雇い派遣」と呼ばれ、原則禁止されている。例外として、学生や60歳以上の人、年収500万円以上の人が副業で働く場合、世帯年収が500万円以上あるが本人が主たる稼ぎ手でない場合(親が高収入の実家暮らしの若者など)に限って認められている。

なお、派遣先による直接雇用を前提に、6か月以内の派遣期間のあと、本人と派遣先の双方が合意すれば直接雇用に切り替えられる派遣契約を「紹介予定派遣」という。必ず直接雇用に転換できるとは限らず、転換後の雇用形態も正規雇用に限らない。

制限

派遣労働の対象業務は労働者派遣法で定められ、建設業や警備業などは派遣労働が禁止されている。派遣契約の期間は1年単位で、3年まで延長でき、3年を超えて業務に従事させたい場合は派遣先による直接雇用に切り替えなければならない。

派遣先は紹介予定派遣を除いて、事前に履歴書の要求や面接などを行ってはならない。派遣先が受け入れた派遣社員を別の事業者に再び派遣することは「二重派遣」あるいは「再派遣」と呼ばれ、禁止されている。

業務請負との違い

事業者間で契約を取り交わし、受注者が発注者の指定する業務の遂行を請け負う契約を「業務請負」あるいは単に「請負」という。受注者は人員、施設、設備、資材などを自前で用意して、自社の監督者の指揮に基づいて業務を行い、成果のみを発注元に納品あるいは報告する。

請負契約でも受注者の従業員が発注者の事業所に勤務する場合があり、労働者の勤務形態は派遣に近くなるが、この場合、請負側労働者への指揮命令は請負側の管理者が行わなければならない。発注元の従業員が直接指示を出すのは俗に「偽装請負」と呼ばれる違法行為となる。

IT業界では、情報システム関連業務(開発や保守、サポートなど)を専門の事業者が請け負い、発注側の事業所に勤務して業務を行う「客先常駐」型のサービスがあり、「SES」(システムエンジニアリングサービス)と呼ばれる。労働者派遣ではないため、必ず受注側の監督者が帯同し、発注者から請け負った業務の指揮命令を自社の労働者に行うことになっている。

企業や行政機関が行っている、または行おうとしている法令違反を知った従業員がその内容を告発した場合、法人側がその告発を理由として解雇や雇い止め、減給、降格などの不利益な取り扱いを行うことを禁じている。この規定は、従業員が法令違反を報告する際に報復を恐れずに行動できるようにするためのものである。

公益通報法の対象となる内部告発は、刑法や食品衛生法、環境保護法、労働基準法など、国民の生命や財産を保護するための法律や条例、政省令に対する違反や犯罪である。これらの法令違反が通報の対象となり、通報者は企業内部の管理部門に加え、権限を有する行政機関や監督機関、さらには報道機関や消費者団体といった外部機関にも通報できることが規定されている。

2019年の改正により、通報者保護の範囲はさらに広がった。従業員に限らず、外部の契約者や業務委託先も保護の対象となり、報復行為に対する罰則も強化された。企業は、報復行為に対して損害賠償責任を負うことがあり、通報者の保護期間も定められている。

一般に発注元事業者は下請事業者に対し優越的な地位にあることが多く、これを乱用して代金を発注後に一方的に引き下げたり、支払いを先延ばしにしたりといった不公正な取引を強要することがある。

こうしたことを防ぐため、下請法では一定の基準を満たす取引について、発注元に対し、取引内容を記した書面の交付義務や、支払期日を定める義務、取引記録の作成・保管義務、支払いが遅延した場合の利息の支払い義務を課している。

対象となる取引は、製造委託、修理委託、情報成果物作成委託(ソフトウェア開発など)、役務(サービス)提供委託などの取引で、建設工事など別の法律で同様の規定がある取引は除外されている。

取引が下請けに該当するか否かは発注元と受注先の企業規模の差によって判断され、製造委託などの場合は資本金3億円超の企業からそれ以下の企業への、または、1000万円超の企業からそれ以下の企業への発注が対象となる。役務提供などの場合は資本金5000万円超の企業からそれ以下の企業への、または、1000万円超の企業からそれ以下の企業への発注が対象となる。

業務委託には「請負契約」と準委任契約がよく用いられるが、請負契約は仕事の完成を目的とし、受注者は委託された業務を完成・完了させて成果を発注者に引き渡す義務を負う。一方、準委任契約は定められた期間だけ業務を遂行することが目的で、仕事の完成の成果物の保証(瑕疵担保責任)などの義務は生じない。

成果を保証せず作業の遂行自体を委託する点では「派遣契約」にも似ているが、派遣の場合は発注者が作業者に直に指揮・命令できる一方、準委任契約で発注した仕事は受注者側の責任において遂行される。発注者が直接監督することは偽装請負となり違法となる。

なお、「準」のつかない「委任契約」は法律行為の実施を委託する契約のことで、弁護士と依頼人の間などで交わされるものである。弁護士資格のない者が委任契約を結んで法律行為を行うことは弁護士法で禁止されている。

依頼主側に人員を送り業務に就かせる人材派遣と異なり、業務を実施するための資金、人員、施設、設備、材料などは請負側の責任で用意・調達する。また、従業員の労務管理や指揮命令は請負側の管理監督者が行わなければならない。

依頼主側の監督者が請負側のスタッフを指揮するなど、これらの要件を満たさない場合、実態は直接雇用や労働者派遣であるのに請負契約を装った「偽装請負」となり、職業安定法や労働基準法などに対する違反となる。

請負契約と準委任契約

業務請負では具体的な契約形態として「請負契約」と「準委任契約」のいずれかが用いられることが多い。

請負契約とは、仕事の完成を目的として、納期までに成果を納めて対価を得る契約形態で、受注者は納期までに委託された業務を完遂して成果を発注者に引き渡す義務を負う。成果物に不具合がある場合も受注者側の責任で対応する義務がある(瑕疵担保責任)。

一方、準委任契約は仕事の完成などは保証せず、定められた期間だけ業務を遂行することを委託する契約形態である。派遣に近いが、請負契約の一種であるため発注者による直接の指揮監督は認められない。IT分野では「SES」(システムエンジニアリングサービス)の呼称で定着している。

著作物や発明、商標、意匠などの知的財産に対する排他的な財産権が存在しないか失効し、誰でも自由に使用できる状態を指す。特許権が期限切れとなった発明、商標登録が失効した製品名などを含む概念だが、通常は著作権が失われた著作物を指すことが多い。

知的創作物がパブリックドメインになる場合としては、権利者が権利の放棄を宣言した場合、法制度上権利が発生しないと定められている場合(法律の条文など)、権利の保護期間が終了した場合(著作権、特許権など)、権利取得や継続に必要な手続きを行わなかった場合(特許権、商標権など)、権利者が死亡し相続人がいない場合などがある。

著作物のパブリックドメイン

著作物の場合、著作権が失われると誰でも自由に入手や利用、改変、配布、販売などを行うことができ、何者かが著作権法などに基づく利用差止や損害賠償などを求めても無効となる。日本の現行制度では、著作者の死から70年が経過すると著作権が失効する。

日本の著作権法では著作権の登録制度などはなく、放棄について定めた条文もない。そのような場合に何をもって権利の放棄とみなすかは議論がある。また、国によっては著作権が放棄できず、法制度上はパブリックドメインとすることができない場合もある。

また、著作権は財産権の他に著作者人格権を認めており、財産権が失効してパブリックドメインとなった後も人格権は失われないと解されるのが一般的である。このため、改変については同一性保持権の規定により著作者を精神的に傷つけるか否かといった観点から一定の制約を受ける場合がある。

相手方とまだ具体的な取引契約などを結んでいない段階で、交渉などのために秘密の情報を提供・開示する必要がある場合、何の縛りも無ければ相手方から世間や第三者に情報が漏洩するリスクがある。これを回避するため、秘密を守ることに限定して結ばれる契約がNDAである。

具体的な契約内容は双方の合意によって決められるが、すでに公知の情報や、秘密を当事者以外から別に入手した場合を除外する規定が定められることが多い。また、顧問弁護士のように交渉や取引に密接に関わる必要のある第三者への開示や、公的機関などから法律に則って開示を求められた場合なども除外されることが多い。

法律や制度で規定された守秘義務とは異なり、あくまで相手方との民事上の契約であるため、違反が発覚した場合には相手方へ差し止めや損害賠償を請求し、折り合わなければ民事訴訟で決着をつける形となる。NDA違反それ自体に刑事上あるいは行政上の刑罰が与えられることはないが、違反の内容に法律違反が含まれればそれについて裁かれることはありうる。

一般的なソフトウェア製品では、コンピュータへの導入(インストール)時に画面上に契約条件が表示され、利用者が「同意する」などと書かれたボタンを押すなどして意思を示すことで契約が締結されたとみなされる(クリックラップ契約)。パッケージに書面が添付され、記録メディアの開封時に自動的に許諾したとみなす場合もある(シュリンクラップ契約)。

具体的な条文や条件は製品によって異なるが、著作権などの権利の所有者の宣言・確認や、購入者に許可される行為と禁止される行為、ソフトウェアの使用に伴い生じた結果についての開発元の免責などがうたわれることが多い。

多くの場合、購入者本人が使用する以外の行為のほとんどは禁止あるいは厳しく制限されており、特に、第三者への譲渡や販売、貸与、複製、改変、二次著作物の作成、逆コンパイル、リバースエンジニアリングなどは明示的に禁止されていることが多い。

同じソフトウェア製品を法人などで大量に購入する場合に、パッケージを必要個数だけ購入したり、ダウンロー購入手続きを必要数だけ繰り返したりしなくて済むように、パッケージを一つ(あるいは指定の少数)だけ提供して利用権を必要な数だけ販売する方式である。

通常は企業や官公庁、教育機関などの法人に対して販売されるが、最低限のライセンス数を満たせば、個人でも購入できることがある。オペレーティングシステム(OS)製品などでは個人でも複数台のコンピュータで利用する場合に購入できる場合がある。

ボリュームライセンス契約が提供される最低販売数に届かなければ購入できないが、単体のパッケージを必要数購入する場合に比べ割引価格で提供される。利用人数が増えた場合などに同条件で追加購入(利用権の追加)が可能なことが多い。製品によっては大規模環境用の配布・管理システムなどが提供される場合もある。

法人利用の多いソフトウェアを多数取り扱っている米マイクロソフト(Microsoft)社では、単体の製品ごとのボリュームライセンス契約だけでなく、Microsoft Office(Microsoft 365)とWindowsのように、複数の製品を組み合わせた数が最低購入数に達していれば適用されるライセンス形態も用意している。

ボリュームライセンス契約による販売では、一つのメディアで提供(あるいはダウンロード提供)されるソフトウェアをネットワークなどを通じて各端末に複製して導入する。個別の利用権を表すシリアル番号やライセンスキーなどの識別番号が購入数だけ提供され、導入時や起動時にこれを入力して有効化する。製品によってはライセンスキーの管理はライセンスサーバなどを用いて集中化、省力化できる場合もある。

メーカーや製品によっては、適用対象により企業向けを「コーポレートライセンス」(corporate license)、官公庁・地方自治体向けを「ガバメントライセンス」(government license)、教育機関向けを「アカデミックライセンス」(academic license)や「スクールライセンス」(school license)などと呼び分けている場合もある。

多くのソフトウェアメーカーでは、法人などが一括購入する場合に、使用者数や台数などに応じて割引価格や固定金額などを適用する特別な販売方式を導入している。個人向けのパッケージ版を店頭で購入するよりも割安であることが多く、規模や契約方式によっては専用のサポート窓口や担当者などが配置される場合もある。

製品のパッケージ形態やプログラムファイルなども通常版とは別になっていることが多く、構内ネットワーク(LAN)を通じて大量に複製インストールする機能が提供されたり、起動時に専用の登録番号などを入力するようになっていることがある。

メーカーや製品によっては、適用対象により企業向けを「コーポレートライセンス」(corporate license)、官公庁・地方自治体向けを「ガバメントライセンス」(government license)、教育機関向けを「アカデミックライセンス」(academic license)や「スクールライセンス」(school license)などと呼び分けている場合もある。

著作権法には使用権の概念がないため、ソフトウェアの開発者が利用者に使用上の条件を課すには個別に相対で契約を結ぶ必要がある。担当者と接触の機会がある企業向けの大規模製品などでは契約書を交わすことも可能だが、個人向けに販売店などに卸されるパッケージ製品などでは開発元とすべての購入者が直に書面を取り交わすのは現実的ではない。

このため、パッケージの外箱の中にメディア(DVD-ROMなど)を封入したケースと共に使用許諾契約書(EULA：End-User License Agreement)を同封し、封を解いてメディアを取り出した時点で契約条件を許諾したものとみなすとする旨の記述が行われるようになった。

このような方式が双方の合意に基づく契約の締結と言えるかどうかについては疑問を呈する法律家もいる。アメリカではシュリンクラップ契約の有効性を巡って訴訟も起こされており、有効であるとする判例がいくつか出ているが、日本ではこれを直接の争点とする判例が示されたことはない。

ソフトウェア開発では一般に、人間が理解しやすいプログラミング言語を用いて開発者が「ソースコード」(source code)を作成し、これをコンピュータが直に解釈可能な形式(ネイティブコード/実行可能形式)に変換して実行することが多い。

販売されているソフトウェア製品などの多くは利用者に実行形式のプログラムのみを提供するが、ソースコードを公開・配布して誰でも自由に改変や再配布できるようにする考え方があり、これを「オープンソース」(open source)という。

OSSライセンスはオープンソースソフトウェア(OSS：Open Source Software)の作者(原著作者)が利用者や他の開発者に対して提示する利用許諾条件をまとめたもので、許可事項や禁止事項、要請事項、免責事項などが含まれる。

ライセンスによって具体的な条件は異なるが、多くに共通する事項として、ソースコードの自由な利用や改変、再頒布(販売を含む)を許可すること、無保証であり損害が生じても作者は免責されること、作者名などの著作権表示を付すこと、再頒布時にソースコードとライセンス文書を添付することなどが定められている。

元のソフトウェアを改変した二次的・派生的ソフトウェアの扱いはライセンスによって異なり、派生物のソースコードを公開してオリジナルと同様のライセンスを適用しなければならない「コピーレフト」(copyleft)を要請するものと、派生物の独占的な利用やソースコードの非公開を認めるものに分かれている。

具体的なライセンスとして、原著作者が自身で作成したオリジナルのライセンスと、多くのソフトウェアに適用できるよう汎用的な条件を記述した著名なライセンスがある。後者としてはGPL(GNU General Public License)やBSDライセンス、MITライセンス、Apacheライセンス、MPL(Mozilla Public License)などがよく知られる。

ソフトウェア製品は単体で導入・利用するものの他に、サーバとクライアントに機能が分かれており、サーバに中心的な機能を導入し、利用者が操作するクライアントからその機能を呼び出して使用する形態のものが存在する。

その際、サーバ版やクライアント版の販売代金および利用許諾(いずれか一方が無償の場合もある)とは別に、「クライアントがサーバにアクセスする権利」に対して販売元に代金を支払って利用許諾を購入する必要がある製品が存在する。この利用権をCALという。

製品の購入者は使用したいクライアントの数に応じて必要なだけCALを購入し、システムに組み込んでおく。製品によって、サーバ側に導入され、同時に利用できるクライアント数を管理するライセンス(クライアント自体は何台でも良い)と、クライアント側に導入され、特定のクライアントごとに紐付けられるライセンスがある。

クライアントに紐付けられるライセンスの場合、利用者(のシステム上でのアカウント)に紐付ける方式を「ユーザーCAL」、端末に紐づける方式を「デバイスCAL」という。一人が複数の端末を使い分けるような利用形態では前者が、教育機関のように一台の端末を複数人で使い回すような利用形態では後者が好まれる。

サーバソフト製品の中には標準で5ユーザー分など少数のCALが同梱されており、その数の範囲内であれば別途CALを購入しなくても利用できるようになっているものもある。その数を超えて使用したい場合には、CALのみを販売元から購入し、導入済みのサーバソフトに追加する操作を行う。

フリーソフトウェア財団(FSF)などが主張するフリーソフトウェアの定義では、コンピュータプログラムの実行可能ファイルだけでなく人間が理解しやすいプログラミング言語で書かれたソースコードが公開されており、誰でも自由に入手、使用、再配布、販売、複製、改変、別のソフトウェアへの組み込みなどを行うことができるものを指す。

利用者がどのように扱うのも「自由」(free)である、という点に力点が置かれる概念であり、例えばオリジナルの開発元が有償で販売していても、その後の取り扱いを自由と定めていればフリーソフトウェアであると考えられる。

フリーウェア (freeware)

一方、1980年代に安価な個人用コンピュータ(マイコン/パソコン)が普及し始めると、これを用いてアマチュアの個人開発者が作成したソフトウェアを無償で配布するという活動が活発になり、英語圏などでは “freeware” の呼称で広まった。日本では「フリーソフト」と呼ばれることが多かった。

こちらは入手や使用に対して対価を求めない「無料」(free)である、という点に力点が置かれた概念であり、多くの場合は実行可能形式のファイルのみが配布された。ソースコードは公開されないため利用者側での改変や組み込みの自由はなく、また、再配布等に関しても制限(販売してはならない等)を設ける場合があった。

自由か無償か

「フリーソフトェア」「フリーウェア」「フリーソフト」は元になった単語が同じで字面が極めて似ており、ほとんどのフリーソフトウェアは無償でもあるため、「自由」「無償」の区別や呼び分けは普及しておらず、混同されがちである。

プログラムを必要に応じて手直しして使う開発者兼利用者のコミュニティでソフトウェアの公開・配布する場合、自由と無償の区別は重要だが、現代ではソフトウェアを「利用するだけ」の利用者が大半であり、彼らにとっては無料で使えるかどうかだけが関心事であることも世間一般にこのような区別が浸透しない要因となっている。

オープンソースソフトウェアとの違い

プログラミング言語などで書かれたソースコードが公開され、誰でも自由に入手できるソフトウェアを「オープンソースソフトウェア」(OSS：Open Source Software)という。

大半のオープンソースソフトウェアはフリーソフトウェアでもあるが、開発元が適用するライセンス(利用許諾契約)によっては、必ずしもプログラムの取り扱いが完全に自由なわけではないため、フリーソフトウェアとは呼べない場合もある。企業がソフトウェア製品を独自のライセンスでオープンソース化した場合などにこのような事例がある。

利用者は開発元からソフトウェアを無償で入手して使い始めることができるが、これは一種の試用版・体験版であり、機能の一部が制限されていたり、最初の起動から一定期間経過すると起動できなくなったりする。

利用者がソフトウェアを気に入って、正規版の使用を希望する場合は、開発元へ所定の料金を支払うと正規版が利用可能となる。正規版が試用版と別になっており、開発元が購入者のみに正規版を提供する場合と、試用版に開発元から知らされた特定のコード(パスワード)を入力すると制限が解除され、正規版になる場合がある。

類義語

開発者が対価の支払いを求めず、無償で制約なく利用できるものは「フリーソフトウェア」(フリーウェア/フリーソフト)という。任意の寄付を求める(必須ではないため無料で使い続けることもできる)ものは「ドネーションウェア」(donation：寄付)あるいは「カンパウェア」という。

無償だが広告の閲覧や視聴を要求する(操作画面上に強制的に表示される)「アドウェア」(ad：広告)、作者に感想などを書いた郵便はがきの郵送を求める「ポストカードウェア」、これを電子メールで送るよう求める「メールウェア」などの提供方式もある。

歴史

1980年代前半のアメリカで、当時普及し始めていたパソコン向けに個人の開発者が作成したソフトウェアの提供方法として考案され、次第に企業なども利用するようになった。“share” は共有する、分かち合うという意味だが、「開発費を作者と利用者で分担する」という意味合いが込められていた。

日本では1980年代中頃から広まり始め、主にパソコン通信や雑誌・書籍の付録CD-ROMを通じて個人開発のシェアウェアが頒布された。現代ではWebサイトやオンラインストアなどで試用版を無償配布し、購入手続きをすると正規版に昇格するという手法が用いられる。

もともとFSFが主催するGNUプロジェクトで開発されたソフトウェアの利用条件を提示するために作られたものだが、同プロジェクト以外にも多くのフリーソフトウェア、オープンソースソフトウェアで採用されている。

一般にソフトウェア開発では人間が理解しやすいプログラミング言語でソースコードを記述し、これをコンピュータが解釈可能なネイティブコードなどに変換して実行するが、GPLではこのソースコードの公開を大原則とし、誰でも自由に入手、使用、改変、再頒布(販売も含む)することを認めている。

また、GPLに基づいて公開されているプログラムを改変したり、自らのプログラムの一部として組み込んだ場合など、派生的・二次的なソフトウェアを作成した場合には、これにもGPLを適用して公開しなければならないと定めている。

このような派生著作物にGPLの適用を強制する方式は「コピーレフト」(copyleft)と呼ばれ、他の多くのオープンソースライセンスには見られない特徴的な条件となっている。この点を忌避してGPL以外のライセンスを採用する開発者も多い。

GPLは主として利用者のコンピュータ上で独立に実行されるプログラムに適用することを想定したライセンスだが、GNUプロジェクトでは他の形態のプログラムや著作物にも適用できるよう派生的なライセンスをいくつか用意している。ライブラリ向けの「LGPL」(Lesser GPL)、サーバソフトウェア向けの「AGPL」(Affero GPL)、文書向けの「GFDL」(GNU Free Documentation License)などである。

GNUプロジェクトでは開発したソフトウェアを「GPL」(GNU General Public License)というライセンスに基づいて公開しており、誰でも自由に入手や使用、改変、再頒布(販売を含む)などを行うことを認めている。

GPLでは元のソフトウェアを改変したり、自作のソフトウェアの一部に組み込んだ場合、それら派生的なソフトウェアにもGPLを適用してソースコードを公開しなければならない「コピーレフト」(copyleft)と呼ばれる考え方を採用しており、ライブラリなど部分的な機能しか提供しないプログラムを組み入れるだけでもソフトウェア全体を公開しなければならなかった。

LGPLではこの条件が緩和されており、LGPLを適用したプログラムを実行時に動的リンク(ダイナミックリンク)してその機能を呼び出す場合、リンク元のソフトウェアには同じLGPLを適用しなくてよい。商用ソフトウェアのように本体部分のソースコードを非公開としたり再配布などを制限することができる。

ただし、リンク元のプログラムのライセンスにリバースエンジニアリングを禁じる条項は設けてはならないと定めており、商用利用などで問題となることがある。また、開発時に実行ファイルを一体化してしまう静的リンク(スタティックリンク)を行う場合には、GPL同様、本体側にもLGPLを適用しなければならない。

最初のバージョンは1991年にGPL 2.0と共に「Libary GPL 2.0」(GPLにバージョンを揃えたため1.xは存在しない)として公開されたが、適用対象はライブラリに限定されないため1999年のバージョン2.1で「Lesser GPL」に名称変更された。

コンピュータプログラムのソースコードの配布などに際してよく用いられる考え方で、GPL(GNU Public License)などのソフトウェアライセンス(利用許諾契約)がこの考え方を取り入れていることでよく知られる。

著作権(copyright)に反対する権利概念であるため、“right” の反対で “left” という言葉遊び的な名称となっている。シンボルマークも○に「C」を入れた著作権マーク © を左右反転させたものになっている。

著作者によってコピーレフトが宣言された著作物は、誰でも自由に入手、使用、改変、複製、(販売を含む)再配布が可能で、この点は著作権が放棄された著作物などと同様だが、コピーレフトでは原著作物を改変したり組み込んだりした二次的、派生的な著作物について、その作者が第三者による自由な使用、改変、再配布を制限することを禁じ、同じ条件で公開しなければならないと定めている。

例えば、企業がソフトウェア製品を開発する際にコピーレフトのプログラムを複製して組み込むと、自社開発部分を含む製品全体のソースコードをコピーレフトとして公開しなければならないことになる。この点は自社の開発物についての著作権や企業秘密などを守りたい企業などから敬遠される要因となっている。

オープンソースソフトウェアのライセンスではGPLやMPL(Mozilla Public License)がコピーレフトの考え方を取り入れているが、同じGNUプロジェクトのライセンスでもライブラリなどに適用されるLGPL(Lesser GPL/Library GPL)では、リンクによって機能を使用する場合はリンク元のソフトウェアの公開を免除している。MITライセンスやBSDライセンスはコピーレフトではなく、派生物を非公開とすることができる。

企業コンプライアンスとは、企業が業務の遂行にあたって法律や条例、政令、規制、業界団体などが定めた規則や申し合わせ事項、自主規制といった各種のルールを遵守することを意味する。外部で制定されたものに加えて、自社内で独自に定めた社内規則や倫理規定、行動規範などを対象に含めることもある。

コンプライアンスは企業統治(コーポレートガバナンス)および内部統制の重要な構成要素の一つとされ、担当の部署や体制を設けたり、社内通報制度などの仕組みを整備することもある。株式市場では上場審査などに関連する項目があり、上場後も内部統制報告書などで報告・開示が義務付けられている。

一般的には遵守する対象は何らかの形で明文化されたルールであり、倫理や道徳、社会的規範、常識などモラルやマナーの範疇に属するものは含まれないが、これらを含めてコンプライアンスの対象にすべきであるとする考え方もある。

正式な定義などはなく、文脈によって意味が異なるが、狭義には、主に株主が経営者を監視し、不正や暴走、会社の私物化などを防いで企業価値の最大化に集中させるための仕組みや制度を意味することが多い。

広義には、企業活動全般について、組織ぐるみの不正や違法行為、非倫理的な振る舞いを抑え、株主だけでなく従業員や取引先など企業を取り巻くすべての利害関係者(ステークホルダー)にとって、また、社会全体にとって企業活動が害を及ぼさないようにするための仕組みを意味することが多い。

具体的な仕組みには、従来より法律や株式市場のルールなどによって規定された制度(株主総会、株主代表訴訟、監査制度、上場企業の財務情報開示制度など)もあるが、各企業が独自に取り組むものとして、社外取締役や社外監査役の任命、取締役と執行役の分離、指名委員会や報酬委員会の設置、内部通報制度の整備、役員や従業員の行動準則や行動規範の策定などがある。

企業が株主に対する責任を果たして利潤を追求するだけでなく、社会の一員として従業員や取引先、消費者、地域住民、行政、社会全体といった様々な利害関係者(ステークホルダー)を尊重し、自らの影響に対する責任を果たすための自発的な取り組みを指す。

具体的には、環境保護、人権尊重(途上国の委託工場の労働環境の監督など)、顧客や消費者への積極的な情報開示(原材量の調達元の公表など)、公正な取引(下請け企業との取引条件の開示・改善や、いわゆるフェアトレードなど)などの活動を行う企業が多い。

ヨーロッパでは業務や事業のあり方を規定する指針の一つとしてCSRに取り組む企業が多いのに対し、アメリカでは寄付や慈善事業、ボランティア活動、地域貢献など、利潤を社会に還元したり地域の一員として貢献するのがCSRであるといった考え方の企業が多い。

日本もアメリカ型に近く、エネルギー企業が植林を行なったり、金融機関が学校に投資家教育を提供したりと、事業分野と関連はあるが本業とは別に社会貢献活動を行うのがCSR活動であると考える企業が多い。日本独特の考え方として法令遵守(コンプライアンス)をCSRに含めることがある。

ISO(国際標準化機構)ではCSR(正確には企業に限らない様々な主体の社会的責任)のガイドラインとして2010年にISO 26000を策定した。この中では7つの原則として

• 説明責任 (Accountability)
• 透明性 (Transparency)
• 倫理的な行動 (Ethical behavior)
• ステークホルダーの利害の尊重 (Respect for stakeholder interests)
• 法の支配の尊重 (Respect for the rule of law)
• 国際行動規範の尊重 (Respect for international norms of behavior)
• 人権の尊重 (Respect for human rights)

を挙げている。

組織の目的を達成し、逸脱が起こらないようにするため、組織の管理者、経営者が整備、運用する制度である。企業においては経営陣が従業員を監督する仕組みと解されるが、営利法人に限った概念ではなく、公的な機関や非営利法人においても求められる。

日本では会社法および金融商品取引法の一部(日本版SOX法)がそれぞれ独立に企業に対する内部統制の規定を定めており、前者は主に大企業(大会社)、後者は主に上場企業(有価証券報告書を提出する会社)に適用される。

よく参照される企業会計審議会内部統制部会の報告では、内部統制の目的を「業務の有効性・効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4つとしており、これを達成するため、「統制環境」「リスクの評価と対応」「統制活動」「情報の伝達」「モニタリング」、「ITへの対応」の6つを基本的な要素と定義している。

内部統制のうちIT分野に属する規定や活動を「IT統制」という。現代の企業活動にITの利用は不可欠であり、ITを適切に利用する統制、ITを活用した内部統制の実施のどちらも重要となる。IT統制はさらに「IT全社的統制」「IT全般統制」「IT業務処理統制」に分類される。

同省は以前からシステム監査を行う際のガイドラインである「システム監査基準」を公開していたが、その「実施基準」の主要部分を抜き出し、システム管理者が実践すべき規範をまとめる形で2004年に初版が公開された。

前文では基準の主旨を「どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化・一般化したもの」と定義しており、すべての項目を網羅的に適用するのはなく、業種や業態、自社の組織やシステムの現況に照らして取捨選択や改変、追加を行うべきとしている。

まず全体の枠組みとしてITガバナンスの定義や原則、モデル、前提条件などを定義し、続いて「ITガバナンス」「企画フェーズ」「開発フェーズ」「アジャイル開発」「運用・利用フェーズ」「保守フェーズ」「外部サービス管理」「事業継続管理」「人的資源管理」「ドキュメント管理」の各段階・分野に分けて個別の管理項目を列挙している。

すべての項目には基準を示す本文に加えて、詳細を説明する「主旨」と、考慮すべき具体的な内容の例示などを行う「着眼点」が付記されており、各組織が自らの状況に即して具体的な基準に読み替えることができるよう配慮されている。

デジタル化された情報の発信や公開、利用にあたり必要となる基礎的な知識や規範の体系で、他者への加害や権利侵害を行わないよう行動に責任を持ち、また、自己や周囲が危険に巻き込まれるのを避けるために必要となる。

まず、コンピュータやスマートフォンなどの情報機器やインターネットやネットサービスの特性(特に、現実の日常生活との違い)、および、情報発信に関する法制度(著作権や名誉毀損など)の基礎知識が土台となる。

その上で、具体的な行動規範として、発信する情報に責任を持つ、他者の権利や尊厳を尊重する、自らや周囲の個人情報やプライバシーをみだりに公開したり教えたりしない、ネットでしか繋がりのない相手を簡単に信用しない、といった内容が含まれる。具体的な内容は多岐に渡り、時代や新しい機器・サービスの普及、法制度の改正によっても変遷する。

大人が社会人の基礎的な素養として身につけるべきであることはもちろん、子どものうちから発達段階に応じて教育すべきであるとされ、学校でも情報教育の一環として2008年改定の学習指導要領から情報倫理教育が明確に定義されている。

Webサイトやネットサービス、電子掲示板(BBS)、チャット、SNS、メッセンジャーなどで情報を送受信したり共有したりする際に、他者に不利益を与えたり不快にしないために気をつけるべき事柄をまとめたもの。

「ネチケット」という呼称は、「ネットワーク」(network)と「エチケット」(etiquette)を組み合わせた造語である。一部は時代と共に変化し、また、コミュニティやサービスなどそれぞれの「場」によっても違いが見られる。

ネチケットは倫理・道徳の問題であるため、利用規約や法律といったルールの範疇に含まれる事柄は本来取り扱わないが、インターネットが普及して日が浅く、禁止事項や法令違反について一般社会のそれと同じようには認知が進んでいないため、著作権の取り扱いなど、啓蒙の意味を込めて法的な要素を含めることもある。

具体例

一般社会と共通なものとしては、知らない相手には丁寧に接する、誹謗・中傷・挑発・差別的発言などをしない、個人情報やプライバシーを本人に同意を得ずに他人に教えたり書き込んだりしない、他者の著作物や肖像を無断で使用しない、といったものがある。

ネット社会特有なものとして、検索エンジンなどで簡単に調べられるようなことを人に聞かない、同じ質問をあちこちで同時にしない、チェーンメールを転送しない、メールの同報送信で他人のメールアドレスを勝手に他の人に教えない(BCCを使う)といったものもある。

技術的な要請

また、コンピュータやソフトウェア、通信回線などの技術的な要請から必要とされるものもある。例えば、大容量のデータを電子メールに添付しない、機種依存文字を使用しない、不正アクセスやウイルス感染の踏み台にならないようソフトウェアを最新に保ちセキュリティソフトで自衛する、といった点がよく指摘される。

技術的な背景は時代によって大きく変わり、変化のスピードも速いため、少し前のマナーが時代遅れになってしまうこともある。例えば、ネット普及期に指摘されていた、ファイルのダウンロードは地理的に近いサーバを選択すべき、といった考え方は通信回線の高速化やCDNの普及、FTPの衰退などにより無効化している。

特定の集団内だけでなく不特定多数の人々へ増殖しながら転送されていくことを目指し、受信者に対して友人・知人や参加するメーリングリストなどに転送することを勧める内容が記載されたメールのことを指す。そこで告知している内容の真偽や善悪、当否は問わない。

近年ではチャットやインスタントメッセンジャー、SNSなどのネットサービスのメッセージ機能を利用して無差別に転送を勧めるチェーンメール的なメッセージが流通することがあり、それらは電子メールではないが、便宜上「チェーンメール」と呼ぶことがある。

チェーンメールの内容

内容は、いわゆる不幸の手紙のように「転送しないと悪いことが起きる」と無根拠に宣言して転送を強要するものや、「このようなコンピュータウイルスが流行しているので対策法を広めて」「テレビ番組の企画でどこまでメッセージが広まるか試しているので協力してほしい」などともっともらしい作り話で拡散を呼びかけるものが多い。

他にも、儲け話を装った詐欺、無限連鎖講(ねずみ講)などの勧誘、噂話やデマ、特定の人物や集団の誹謗など、面白半分の悪戯や悪意・害意に基づいた攻撃的な内容も見られる。行方不明の人探しやペット探し、募金の呼びかけなど、それ自体は善意に基いた内容のチェーンメールもある。

チェーンメールの問題点

チェーンメールは発信元と無関係な第三者が受信しても責任の所在や信ぴょう性などを確認することが困難なことが多く、いったん広まり始めると発信元も含め誰にも制御することができなくなり、途中で改竄されたり発信当初とは状況が変わっても停止したり修正したりできない。

長くインターネットを利用している人々の間ではどのような内容でも転送せずに止めるのがマナーとされることが多いが、人助けのためならば積極的に広めるべきと考える人も少なくないため、そのような手段を用いることの是非をめぐってしばしば論争が起きる。

Web検索やニュース配信などのネットサービスには「フィルタリング」(filtering)の機能があり、様々な条件に基づいて内容が取捨選択される。これには、利用者の登録情報、過去のアクセス履歴、属性や関心、嗜好などに基づいて、一人ひとりに適した内容に「個人化」(パーソナライズ)する仕組みも含まれる。

日常接する情報サービスが過度にパーソナライズされると、本人の思想や世界観、利益、願望にマッチした「望ましい」検索結果やニュースばかりが並ぶようになり、新しい視点や社会の関心事から切り離され、社会に対する視野が狭まる可能性があるとされる。

この様子を、フィルタによって形成された泡(バブル)に一人ひとりの利用者が閉じ込められているという意味込めて「フィルターバブル」という語が考案された。各々が「見たいものだけ見る」ようになった社会では、民主主義を基礎付ける開かれた市民的な議論も困難になる危険性が指摘されている。

この概念は2010年頃に米インターネット活動家のイーライ・パリサー(Eli Pariser)氏によって考案され、2011年に刊行された著書 “The Filter Bubble: What the Internet Is Hiding from You” (邦題：閉じこもるインターネット ― グーグル・パーソナライズ・民主主義)によって広く知られるところとなった。氏はフィルターバブルが懸念されるシステムの例としてGoogle検索とFacebookニュースフィードを挙げている。

似た概念に「エコーチェンバー現象」が知られている。これは2010年代にSNSの本格的な普及と市民生活への浸透、サービスの高度化が進んだことで見られるようになった現象で、自分と似た人とばかり交流し、自分と似た人の発言ばかり好んで目にすることで視野が狭くなり、集団で偏った信念や思想を互いに強化し合って過激化してゆく状態を指す。

「タトゥー」(tattoo)とは入れ墨のことで、一度体に刻んだ入れ墨が自然には消えずに生涯残り続けるように、ネット上に現れた自分についての情報が消えずに残り続ける状態を表している。

SNSやブログなどの利用者が投稿した情報は本人の操作により消去することができるが、検索エンジンのキャッシュやWebアーカイブサービスに複製されたり、他の利用者の投稿に引用、複製された場合には容易に消去させることができなくなる。

これにより、ある人物について本人あるいは他人が過去に公開した情報が時間が経ってもネット上に残存し続け、本人に不都合があっても手続きが煩雑すぎてすべて消去するのは事実上不可能になる現象をデジタルタトゥーという。

デジタルタトゥーとなりうるのは、本人と識別できる情報(個人情報や芸名など)に紐付いた本人の過去の属性や行動、所属などに関する情報(SNSの書き込み、学歴・職歴など)、本人が写っている写真や動画、本人について他人が名指しで言及、指摘、暴露した情報などである。

特に問題となるのは本人についての悪い情報が残り続ける現象で、過去の犯罪やSNSへの悪ふざけ投稿などが「炎上」して多くのサイトに取り上げられ罰を受けた後も容易に検索できてしまう事例や、元恋人に逆恨みされ腹いせに暴露投稿されたセンシティブな写真が複製され続ける問題などがよく知られる。

パソコンやゲーム機、スマートフォン、タブレット端末などの機器や、それらの上で利用されるソフトウェアやオンラインサービスなどで提供される使用制限機能で、親があらかじめ設定した条件に従って、子どもが使用・視聴する際に一部の機能や内容を制限・封鎖する。子どもが自分で解除できないよう、親がパスワードや暗証番号を設定することができるようになっていることが多い。

制限の具体的な内容や方式は機器やサービスなどによって異なるが、成人向けに制作された性描写や暴力表現などを含む映像やゲームなどを利用できないようにしたり、機器を使用可能な時間(連続使用時間や時間帯)を制限することが多い。子どもが使っている時の操作や利用の記録を取り、親が後から確認できるようにするシステムもある。

携帯機器やネット接続された機器では、オンラインでの料金の支払いや、写真や位置情報などプライバシーに繋がる情報の送信、SNSなど特定のアプリの使用、アカウント情報の変更など、特定の機能や操作をブロックすることができるようになっている場合もある。

ゲーム作品や映像作品などでは業界団体などが作品の審査を行い、「成人向け」「15歳以上向け」「全年齢可」などいくつかの段階を設けて視聴・プレイ可能な年齢の格付け(レーティング)を行っていることがある。DVDプレーヤーや家庭用ゲーム機などでは、この情報をコンテンツの一部として記録しておき、機器側の制限情報と照らし合わせて自動的に再生や起動を制限する仕組みも提供されている。

なお、“parental” は本来「パレンタル」に近い発音だが、日本では “parent” (ペアレント)の発音に引きずられて「ペアレンタル」という表記が定着している。

第一章の総則では法律の対象となる電気通信や設備、役務、事業者などの定義、憲法に定める検閲の禁止や通信の秘密の保護などを規定している。法律上の「電気通信」には金属線に電気信号を流す方式だけでなく、光ファイバー通信、電波による無線通信も含まれる。

第二章では事業者の義務や総務省への登録制度、契約者との関係、禁止行為、ドミナント規制(指定電気通信設備制度)、電気通信主任技術者と指定試験機関、通信設備や端末の規定、電話番号(電気通信番号)、技術基準適合認定制度(技適)、ユニバーサルサービス制度(基礎的電気通信役務)、サイバー攻撃対策(認定送信型対電気通信設備サイバー攻撃対処協会)などについて定めている。

第三章では事業者の認定制度および認定事業者による通信設備設置・運用のための土地利用などに関する規定、第四章では電気通信紛争処理委員会と事業者間の紛争処理の取り決め、第五章では雑則、第六章では罰則をそれぞれ定めている。

1984年に電気通信事業法および日本電信電話株式会社法(NTT法)が制定され、電電公社・国際電電の民営化(それぞれNTT・KDDへ)と、いわゆる第二電電(NCC)の参入による通信自由化が実現した。現在では電気通信事業法はISPやMVNOなど自前の固定設備を持たない事業者も含めほとんどの通信事業者に何らかの形で効力が及ぶ。

NTT持株会社、NTT東日本、NTT西日本については電気通信事業法の他に、現在でもNTT法による規制を受ける。また、電波を利用する移動体通信事業者(携帯電話会社)や衛星通信事業者などは電波法の規制も受ける。

特定電気通信役務提供者

この法律は主に「特定電気通信役務提供者」について適用されるが、これには狭義のプロバイダであるインターネット接続事業者(ISP：インターネットサービスプロバイダ)だけでなく、Webサイトの公開・運用を請け負う事業者(サーバホスティング事業者やブログサービス事業者など)、電子掲示板(BBS)やSNSの運営者など、契約者にネット上で情報発信できる環境を提供している者が含まれる。営利事業か否かの区別もなく、状況によっては大学や公的機関、個人などが該当する場合もある。

責任の制限

以前は法的な位置づけが曖昧だった、ネット上で著作権侵害や名誉毀損、プライバシー侵害などが発生した際のプロバイダ等の賠償責任を、一定の条件を満たした場合に免責するよう定めている。

ある情報の流通について権利が侵害されたと主張する者が現れた場合に、当該情報の流通を止めなかった責任について、プロバイダ等自身が発信者ではなく、差し止めが技術的に不可能である、権利侵害であると知らなかったといった条件を満たした場合に免責される。

逆に、権利侵害の申告を受けて情報の流通を止めた場合に発信者側に生じた損害について、停止措置が必要最低限であり、権利侵害を疑う十分な理由があった場合に免責される。選挙運動期間中の候補者や政党などについての情報を差し止めた場合については、別項を設けて似た内容の規定(発信者に生じた損害の免責)を定めている。

リベンジポルノの防止

2014年に成立した私事性的画像記録の提供等による被害の防止に関する法律(通称リベンジポルノ被害防止法)ではプロバイダ責任制限法の特例を定めており、いわゆるリベンジポルノの公開を停止する措置を講じた場合に、発信者側(加害者側)に生じた損害についてプロバイダ等の賠償責任を免責している。

発信者情報の開示

以前は権利侵害事案の発信者情報の開示について法的な規定がなく、プロバイダ等は被害を訴える側に任意に情報を提供すれば発信者側から、拒否すれば被害者側から訴えられるリスクを負う板挟み状態となっていたが、この法律では開示請求について一定の基準を定めている。

権利侵害を受けたと主張する側は、当該情報による権利侵害が明らかである証拠があり、差し止めや賠償の請求などを行うために発信者情報が必要である場合に、プロバイダ等に発信者情報の開示を請求できる。プロバイダ側は可能な限り発信者に意見の聴取を行い、請求者の訴えが正当であると認められる場合は発信者の情報を開示する。

開示の対象となる発信者情報は、発信者の氏名、住所、メールアドレス、当該情報送信時のIPアドレス、当該情報の送信日時で、プロバイダ側はこれらの情報を取得して保管しておかなければならない。

具体的な手続きや判断基準は業界団体であるプロバイダ責任制限法ガイドライン等検討協議会が発行する「プロバイダ責任制限法発信者情報開示ガイドライン」に基づいて行われている。

なお、発信者の情報を開示しなかったことで請求者側に生じた損害について、プロバイダ等自身が発信者ではなく故意や重い過失ではない場合には賠償責任が免責される。

株式会社は株を発行し出資金を得る。出資者は金額に応じた数の株を得て、会社の共同所有者となる。経営上の意思決定や業務の執行は取締役や執行役などの役員を中心に行われるが、役員の指名や会社の合併や分割、事業部門や子会社の売買、定款の変更など重要事項は株主総会が決議する。

年に一度、事業年度の終了後に開催されるものを「定時株主総会」、経営上の重大な事案があり定時総会を待たずに緊急に開催されるものを「臨時株主総会」という。上場企業では多数の個人株主も参加するため、広い会場を借り切って開催し、経営陣への質疑応答などにも応じる。

日本の会社法では株式会社の役員として取締役、監査役、会計参与の3つを定義している。一般的な企業では取締役は最上位の役職として意思決定を行い、また組織を統括して業務を遂行する。

取締役は複数任命することができ、合議で重要な意思決定を行う「取締役会」を設置することができる(公開企業などでは必須)。会社を代表する権限(代表権)を持つ「代表取締役」を一人以上置くことができ、多くの会社では取締役会長または社長が兼務する。会社に所属する(社内)取締役の他に、外部の人物から選任する非常勤の「社外取締役」を置くことができる。

近年の制度改正で「委員会設置会社」という類型が設けられ、経営の監督と業務の執行が分離されている。取締役は監督に専念し、執行を統括するのは「執行役」が務める。執行役は会社法上の役員ではないが、一般的には役員の一種とみなされ、取締役と兼任することもできる。社長を取締役を兼務しない代表執行役とする会社もある。

日本の会社法では株式会社の役員として取締役、監査役、会計参与の3つを定義している。監査役は取締役や会計参与の業務が適正に行われているかをチェックし、違法あるいは不適切な行為があれば指摘して是正する。監査業務には業務を対象とする業務監査と、会計を対象とする会計監査がある。

監査役は設置しなくてもよいため、小さな企業などでは置かないことも多い。取締役設置会社(公開企業などが含まれる)など、一部の類型では設置が義務付けられている。1人でも複数でもよく、社内出身者でも外部の人物(社外監査役)でもよいが、監査役会設置会社では3人以上、過半数を社外とすることが義務付けられている。

組織の目的を達成し、逸脱が起こらないようにするため、組織の管理者、経営者が整備、運用する制度である。企業においては経営陣が従業員を監督する仕組みと解されるが、営利法人に限った概念ではなく、公的な機関や非営利法人においても求められる。

日本では会社法および金融商品取引法の一部(日本版SOX法)がそれぞれ独立に企業に対する内部統制の規定を定めており、前者は主に大企業(大会社)、後者は主に上場企業(有価証券報告書を提出する会社)に適用される。

よく参照される企業会計審議会内部統制部会の報告では、内部統制の目的を「業務の有効性・効率性」「財務報告の信頼性」「法令遵守」「資産の保全」の4つとしており、これを達成するため、「統制環境」「リスクの評価と対応」「統制活動」「情報の伝達」「モニタリング」、「ITへの対応」の6つを基本的な要素と定義している。

内部統制のうちIT分野に属する規定や活動を「IT統制」という。現代の企業活動にITの利用は不可欠であり、ITを適切に利用する統制、ITを活用した内部統制の実施のどちらも重要となる。IT統制はさらに「IT全社的統制」「IT全般統制」「IT業務処理統制」に分類される。

「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律」と「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律」の二法をまとめてこのように呼ぶ。

帳票類や財務諸表、取締役会の議事録など、商法や税法などで企業に保存が義務付けられている文書について、電子化された文書ファイルなどでの保存を認めている。また、紙の文書をスキャナで読み取った画像データも一定の要件を満たせば原本として認められる。

事業者は紙面で保存するか電子化するか選べるようになり、文書管理の効率化やペーパーレス化による省資源化、社内での業務の遂行や事業者間の契約や取引に関する手続きの電子化の推進が期待される。

同法成立に伴い、銀行法や証券取引法など、複数省庁にまたがる251の関連法が一括改正された。医療機関のカルテなども対象に含まれるが、損益計算書や貸借対照表、高額の領収書などは対象外のため引き続き紙の文書を作成・保存しなければならない。また、国税関係書類に関しては「電子帳簿保存法」という別の法律で電子化が認められている。

製品が本来備えるべき安全性が欠けていることによって、購入者や使用者の身体や(その製品以外の)財産に害が生じた場合について、その製品を製造・加工・輸入等した事業者が賠償責任を負うことを定めている。販売者の責任は問われない。

安全上の欠陥により事故などが生じた場合の損害を対象した法律で、性能や機能、品質が販売時に提示された水準に満たず、製造者のうたう利益や便益が得られなかったといった損失や逸失利益には適用されない(他の法律に基いて賠償請求できる場合はある)。

対象となる製品は「製造または加工された動産」と規定され、建物(不動産)や、未加工の状態で販売された物(採れたての野菜など)、サービス、ソフトウェア、電気などの無体物は対象外となる。ただし、電子機器が内蔵するソフトウェアの不具合によって損害を生じた場合には、その機器の欠陥として対象となる。

各規格はAからZの部門記号により分類され、規格番号により識別される。これを「JIS X 0201」のように表記する。規模の大きな規格は部(part)に分割され、「JIS X 8341-3」のようにハイフン(-)に続いて枝番号を示して識別する。規格は制定後に改訂されることがあり、どの年度の版なのかを示すには「JIS X 0208:1997」のようにコロン(:)に続けて制定年を表記する。

IT関連の規格はX部門(情報処理)やQ部門(管理システム)に多く存在する。1987年にX部門が新設される前はC部門(電子機器及び電子機械)に分類されていた。

JISC (日本産業標準調査会/日本工業標準調査会)

工業製品などに関する日本の国家規格を検討する標準化機関をJISC(Japanese Industrial Standards Committee)という。産業標準化法に基いて経済産業省に設置された審議会で、標準規格案の調査、審議を行い、主務大臣に答申する。

JISに含まれる各規格分野を所管する主務大臣(多くは経産大臣)はJISCからの答申、建議を受けて規格を制定する。2019年までは「日本工業標準調査会」という名称だったが、制度改定で「日本産業標準調査会」に改称した。

各規格はAからZの部門記号により分類され、規格番号により識別される。これを「JIS X 0201」のように表記する。規模の大きな規格は部(part)に分割され、「JIS X 8341-3」のようにハイフン(-)に続いて枝番号を示して識別する。規格は制定後に改訂されることがあり、どの年度の版なのかを示すには「JIS X 0208:1997」のようにコロン(:)に続けて制定年を表記する。

IT関連の規格はX部門(情報処理)やQ部門(管理システム)に多く存在する。1987年にX部門が新設される前はC部門(電子機器及び電子機械)に分類されていた。

JISC (日本産業標準調査会/日本工業標準調査会)

工業製品などに関する日本の国家規格を検討する標準化機関をJISC(Japanese Industrial Standards Committee)という。産業標準化法に基いて経済産業省に設置された審議会で、標準規格案の調査、審議を行い、主務大臣に答申する。

JISに含まれる各規格分野を所管する主務大臣(多くは経産大臣)はJISCからの答申、建議を受けて規格を制定する。2019年までは「日本工業標準調査会」という名称だったが、制度改定で「日本産業標準調査会」に改称した。

分野ごとに専門委員会(TC：Technical Committee)が置かれ、各国機関の代表の意見を調整して標準化を進める。策定された規格には5桁以下の規格番号が与えられ、「ISO xxxxx-p:yyyy」という形式で表記・識別される。

「xxxxx」の部分が規格番号、「p」は複数部で構成される場合の部番号、「yyyy」は制定年または改訂年である。年表示は同じ規格が改訂された場合にどの年度の版かを識別するために記載され、改訂されていない規格には付けないことが多い。

ISO規格には、工業製品や部品の仕様などを定めたものの他にも、用語やコード番号などを定義した規格や、製法や工程(プロセス)、管理手法(マネジメントシステム)の標準を定めた規格、サービスの仕様や水準を定めた規格などもある。

IECとの関係

電気・電子分野の標準化はISOでは扱わず、国際電気標準会議(IEC：International Electrotechnical Commission)が担当している。規格番号の重複を避けるため、ISO標準の規格番号は60000未満、IEC標準の規格番号は60000～79999と定められている。

ただし、どちらとも言えない横断的な分野については合同技術委員会(JTC：Joint Technical Committee)を設け、「ISO/IEC xxxxx」という形式で両機関共通の標準規格を発行している。1987年に情報技術(IT)分野を扱う「JTC 1」が、2009年にエネルギーの効率化や再生可能エネルギーなどを扱う「JTC 2」が設置された。

歴史と名称

ISOは1947年に休眠状態だった万国規格統一協会(ISA：International Federation of the National Standardizing Associations)を改組して設置された。ISOには公用語が英語、フランス語、ロシア語の3つあり、組織名の綴りがそれぞれ異なる。

このため、略称に単語の頭文字をつなげた頭文字語を用いることはせず、ギリシャ語で「等しい」「均質」などを意味する “ἰσοϛ” (isos、英語の“equal”に相当)という言葉を元にISOという略称を定めた。

1865年に前身機関の一つである国際電信連合(International Telegraph Union)が、1906年にもう一つの前身機関、国際無線電信連合(International Radiotelegraph Union)が設立された。1932年に両機関が合併しITUが発足した。1947年以降は新たに設立された国際連合の機関の一つとして活動している。

主に有線の電気通信技術の標準化を行う電気通信標準化部門(ITU-T)と、無線通信の技術標準の策定や周波数資源の調整などを行う無線通信部門(ITU-R)、途上国の通信インフラの開発援助などを行う電気通信開発部門(ITU-D)などの部局がある。

ITU-T (電気通信標準化部門)

主に有線の電気通信に関する技術の標準化を担当する部門をITU-T(ITU Telecommunication Standardization Sector)という。古い文書ではITU-TSという表記も見られる。技術標準を審議・策定し、ITU-T勧告(recommendation)として発表している。

勧告は技術領域に応じてAシリーズからZシリーズまで25種類(Wシリーズは存在しない)に分類されており、通信回線の伝送システムや伝送媒体などについて定めたGシリーズや、動画や音声の圧縮形式やテレビ電話などについて定めたHシリーズ、ネットワークシステムについて定めたXシリーズなどが有名。

1993年にそれまでの「国際電信電話諮問委員会」(CCITT：Comité Consultatif International Téléphonique et Télégraphique)を改組して発足した。

ITU-R (無線通信部門)

主に無線通信技術の標準化や電波周波数の割り当てなどを担当する部門をITU-R(ITU Radiocommunication Sector)という。

無線通信に関する技術標準をITU-R勧告として発表しているほか、無線利用についての基準や規則の策定、無線周波数の割当や調整、人工衛星軌道の調整などを行っている。

1993年にそれまでの「国際無線通信諮問委員会」(CCIR：Comité Consultatif Internationale des Radiocommunications)および「国際周波数登録委員会」(IFRB：International Frequency Registration Board)を統合して発足した。

CCITT (国際電信電話諮問委員会)

現在のITU-Tの前身で、1993年まで有線の電気通信に関する技術の標準化などを行なっていたITU内の部局をCCITT(Comité Consultatif International Téléphonique et Télégraphique)という。IT分野ではインターネット普及の初期にアナログモデムなどの通信機器の準拠規格の標準化機関だったことでよく知られている。

1956年に電話の標準化を行なうCCIF(Comité Consultatif International Téléphonique)と電信の標準化を行うCCIT(Comité Consultatif International Télégraphique)が統合して発足した。

Gシリーズ勧告

ITU-Tの標準規格の勧告のうち、伝送システムやデジタル通信に関するものは「G.xxx」という形式の規格番号を与えられ、Gシリーズと総称される。音声のデジタル符号化や伝送(G.7xxシリーズ)や、SONET/SDH関連、ISDN関連、DSL関連(G.99xシリーズ)などの規格が含まれる。

Hシリーズ勧告

ITU-Tの標準規格の勧告のうち、音声、動画、マルチメディアに関連するものは「H.xxx」という形式の規格番号を与えられ、Hシリーズと総称される。動画の圧縮符号化の方式(H.26xシリーズなど)や、テレビ会議システム(H.32xシリーズ)などが含まれる。

Tシリーズ勧告

ITU-Tの標準規格の勧告のうち、ファクシミリ(FAX)、ビデオテックス、JPEGといった情報通信(テレマティックサービスと称している)関連の規格を定めたものは「T.xxx」という形式の規格番号を与えられ、Tシリーズと総称される。

Vシリーズ勧告

ITU-Tの標準規格の勧告のうち、既存の加入電話網を利用したデータ通信を行うための規格を定めたものは「V.xxx」という形式の規格番号を与えられ、Vシリーズと総称される。アナログモデムの信号処理方式や誤り訂正プロトコルなどについて規定されている。

Xシリーズ勧告

ITU-Tの標準規格の勧告のうち、データ通信網に関するものは「X.xxx」という形式の規格番号を与えられ、Xシリーズと総称される。パケット交換についての規格、ディレクトリサービスの規格などが含まれる。デジタル証明書のX.509が特に有名。

電気工学や電子工学、およびその応用分野、関連産業分野を対象に国際標準を定めており、電力システム(発電・送電・配電など)、電気通信、エレクトロニクス・半導体、家電製品、医療用電気機器、映像・音響・マルチメディアなど多岐に渡る分野で標準化活動を行なっている。

傘下に数十の技術委員会(TC：Technical Committee)が置かれ、それぞれの技術分野に関する専門家が集まり議論を行う。TCによっては副委員会(SC：Subcommittee)あるいは技術エリア(TA：Technical Area)という小委員会に分かれている場合もある。例えば、「TC 47」は「半導体デバイス」(Semiconductor devices)だが、「SC 47A」の「集積回路」(Integrated circuits)など4つのSCに分かれている。

IECの制定した規格にはそれぞれ固有の番号が与えられ、「IEC 61508」といったように表記する。規格番号はISO(国際標準化機構)の標準との重複を避けるため、60000～79999の整数が割り当てられる。複数のパートに分かれている場合は「IEC 61508-1」のように枝番で識別する。

一部の分野ではISO(国際標準化機構)と合同技術委員会(JTC：Joint Technical Committee)を設け、共同で標準化を行なっている。共同の規格はISO側の60000未満の規格番号を用いて「ISO/IEC 10646」のように表記する。コンピュータ・情報技術などを扱う「JTC 1」(1987年設立)と、エネルギーの効率化や再生可能エネルギーなどを扱う「JTC 2」(2009年設立)がある。

通信手順(プロトコル)やデータ形式など、インターネットで情報を交換するのに必要な技術標準の策定を行っている。主題ごとにワーキンググループ(WG：作業部会)が設置され、メーリングリストや年3回の全体会議で各規格の仕様の検討が行われている。議論の過程はすべて公開され、誰でも見ることができる。

標準を議論する際、「ラフコンセンサス」(rough consensus：緩やかな合意)と「ランニングコード」(running code：動くプログラムコード)として知られる理念を重視している。公的な標準化機関などに見られる厳格・厳密な合意形成プロセスに労力をかけず、まず作業部会の緩やかな合意で大枠の仕様を定め、具体的な実装例による運用や検証を進めながら詳細を議論していく。

IETFで決定された規格は「RFC」(Request For Comments)と呼ばれる文書にまとめられ、公開される。各規格には通し番号が与えられ、「RFC 2616」のように表記する。RFCとして技術標準以外にも情報提供(Informational)や運用上の推奨事項(BCP：Best Current Practice)なども発行されている。

他の標準化団体が対象としている技術分野については原則として取り扱わない。例えば、物理層の通信装置や回線、信号などの仕組みについてはIEEEなどの標準を、Web(WWW)関連の技術についてはW3C(World Wide Web Consortium)やWHATWGの標準を尊重し、独自に競合する規格を策定するといった活動はしていない。

連邦政府機関ではなく民間の非営利法人で、自らは標準規格の作成はせず、分野ごとの標準開発機関(SDO：Standards Developing Organizations)が提案した仕様を検討し、標準として承認する。

世界的に影響力のある標準化機関の一つで、ANSIで標準化された規格がそのまま世界的に利用されたり、ISO/IECなどの国際標準となることも多い。米政府調達に関する標準規格は商務省所管の米国立標準技術研究所(NIST：National Institute of Standards and Technology)が制定している。

1918年に設立されたAESC(American Engineering Standards Committee)が前身で、1928年にASA(American Standards Association)に、1966年にUSASI(United States of America Standards Institute)に改称、1969年に現在の名称となった。

分野ごとに39の分科会(ソサエティと呼ばれる)に分かれ、各分野における論文誌の出版や国際会議の開催、教育活動などを行っている。分野によっては表彰制度があり、毎年大きな功績を挙げた研究者を選定し賞を授与している。

標準化部門の「IEEE-SA」(Standards Association)では分野ごとに専門化委員会を設置し、技術標準の策定・勧告を行っている。電気・電子分野を中心に世界的に最も有力な標準化団体の一つであり、「IEEE 802.11」「IEEE 1394」のようにIEEEで始まる規格名で広く知られる。

歴史

IEEEは1963年にAIEE(American Institute of Electrical Engineers：米国電気学会)とIRE(Institute of Radio Engineers：無線学会)が合併して発足した。初期には前身団体の流れを汲んで電気、電子、通信、無線、半導体、コンピュータなどの分野での活動が中心だった。

近年では周辺領域にも活動分野を広げ、航空・宇宙工学、医療・生体工学、核・プラズマ科学、電力・エネルギー、フォトニクス、安全工学、信頼性工学、海洋工学、ロボティクス・自動化、車両技術などの分科会が置かれている。

日本では1988年にIEEE Computer Society内の組織として東京にIEEEジャパン・オフィスが置かれ、2010年に日本におけるIEEEの活動全般を統括する組織に衣替えした。日本では約13000人が会員となっている。

“de facto” とはラテン語で「事実上の」という意味で、公的な機関による議論や交渉、手続きなどを経て正式に制定された規格ではなく、一企業や企業連合などが私的に決定して製品に組み込んだ仕様が広く普及した結果、実質的な標準となった状態を指す。

家庭用ビデオにおけるVHS、パソコン向けオペレーティングシステム(OS)におけるWindows、コンピュータネットワークの通信手順(プロトコル)におけるTCP/IPなどがデファクトスタンダードの例として挙げられる。国際的なコミュニケーションに英語を用いることもデファクトスタンダードの一種であると言える。

一旦デファクトスタンダードが確立した業界においては、標準仕様に対応した製品や、標準製品と高い互換性を持つ製品が市場のほとんどを占めるようになる。すでにデファクトスタンダードとなった仕様を公的な標準化機関が後から標準規格として制定(追認)することもある。

一方、特定の技術分野に関係する業界や企業などが組織する企業連合や業界団体、専門家集団などが提唱する標準仕様などのことを「フォーラム標準」(forum standard)という。また、JISCやANSIなど各国政府の標準化機関や、ISO(国際標準化機構)やIEC(国際電気標準会議)、ITU(国際電気通信連合)といった国際標準化機関が定める制度的な標準規格を「デジュールスタンダード」(de jure standard/デジュリスタンダードとも)という。

業務システムの開発などに用いられる分散オブジェクト技術を標準化するために設立された団体で、CORBA(Common Object Request Broker Architecture)やIIOP(Internet Inter-ORB Protocol)などの規格策定や商標管理などを行っていた。

その後、オブジェクト指向やデータモデリング(モデル化)などに関連する技術の標準化に注力し、UML(Unified Modeling Language)、BPMN(Business Process Model and Notation)、SysML(Systems Modeling Language)、MOF(Meta-Object Facility)、XMI(XML Metadata Interchange)などの規格を策定した。このうちのいくつかはISO/IECの合同委員会によって国際標準となっている。

1989年に米ヒューレット・パッカード(Hewlett-Packard)社(当時)、米IBM社、米サン・マイクロシステムズ(Sun Microsystems)社(当時)、米アップル(Apple)社、米アメリカン航空(American Airlines)、米データゼネラル(Data General)社らによって設立された。現在は企業、大学、研究機関、他の業界団体など合わせて200を超える組織が加盟している。

主にWeb上で送受信される情報の表現形式についての標準を定めており、標準化された仕様は「勧告」(recommendation)として公開される。Web技術に関わりの深い世界の数百の企業や団体が加盟している。

よく知られる標準規格として、HTML(HyperText Markup Language)やCSS(Cascading Style Sheet)、XML(Extensible Markup Language)などのマークアップ言語やスタイル記述言語、CGI(Common Gateway Interface)やDOM(Document Object Model)といったソフトウェア内のデータモデルやソフトウェア間のインターフェースなどがある。

Web関連の技術でも、HTTPやSSL/TLSなどのプロトコル(通信手順)についてはIETF(Internet Engineering Task Force)が、JavaScriptについてはEcma Internationalがそれぞれ標準化している。

WHATWGとの関係

HTML規格については、2004年に有力Webブラウザ開発元などが設立した業界団体「WHATWG」(Web Hypertext Application Technology Working Group)も仕様の提唱を行なっており、しばらくの間両団体の標準が並立して業界に混乱を招いた。

協議の結果、2019年からはWHATWGが随時更新していく「HTML Living Standard」を唯一のHTML標準と認め、W3Cが独自に規格を策定しないことなどが合意された。

電気・電子分野におけるIEEE(Institute of Electrical and Electronic Engineers)規格、インターネット技術におけるIETF(Internet Engineering Task Force)やW3C(World Wide Web Consortium)の規格などが該当し、IT分野では個別技術ごとに結成された企業連合による標準化活動も活発に行われている。

一方、日本のJIS規格や国際的なISO(国際標準化機構)規格など、公的機関や標準化機関が策定した制度上の標準規格を「デジュールスタンダード」(de jure standard/デジュリスタンダードとも)、特定の製品などが普及した結果、その仕様が事実上の標準として広まったものを「デファクトスタンダード」(de facto standard)という。

デファクトスタンダードは一社が単独で策定して使い始めた仕様がそのまま広まる場合もあるが、フォーラム標準は複数の企業や団体、当該分野に強い影響力を有する専門家などが集まり、標準化団体の内部での討議を経て仕様を発行する。

フォーラム標準の有名な例として、光学ディスクの「DVD」(DVDフォーラム)やメモリーカードの「SDメモリーカード」(SDアソシエーション)、多言語の文字コード規格である「Unicode」(Unicodeコンソーシアム)などが挙げられる。Unicodeとほぼ同様の仕様がISO/IEC 10646として正式に標準化されたように、IT業界ではフォーラム標準がデファクトスタンダード化した後に公的な標準化機関によってデジュールスタンダード化する事例が多く見られる。

一方、フォーラム標準がデファクトスタンダードを獲得できなかった例としてDVDの次世代規格がある。それぞれ別の団体が推進する「Blu-ray Disc」と「HD DVD」という二つのフォーラム標準が競合したが、Blu-ray Discがデファクトの地位を獲得し、敗れたHD DVDは普及することなく消滅した。

MPEGやJPEGのように、ISOやIEC、ITUなどの標準化機関が専門家を招いて設置した作業部会が策定した規格もフォーラム標準に分類されることが多いが、JPEGのISO/IEC 10918規格のように、最終的に標準化機関が発行した規格はデジュールスタンダードである。

日本のJIS規格や米国のANSI規格、欧州のEN規格などが該当し、国際的にはISO(国際標準化機構)やIEC(国際電気標準会議)、ITU(国際電気通信連合)などが定めた規格が該当する。

標準化団体が策定する規格でも、政府や国連などの公的機関が関与する制度的な機関ではなく、企業連合や業界団体、専門家集団などが策定するものは「フォーラム標準」(forum standard)と呼ばれる。

一方、標準化活動に依らず、特定の企業などの製品やその仕様が広く普及した結果、事実上の業界標準のような状態になることを「デファクトスタンダード」(de facto standard)という。

IT業界におけるデジュレスタンダードの例としてはASCIIやJIS X 0201といった文字コード標準などが挙げられる。プログラミング言語のJavaScriptがEcma Internationalによるフォーラム標準(ECMAScript)の策定を経てISO/IEC 16262やJIS X 3060として標準化されたように、デファクトスタンダードが標準化活動によってデジュレスタンダード化することもある。

“de jure” はラテン語の「法律上の」という表現に由来する。標準的なカナ表記が定まっておらず、「デジュール」「デジュリ」のほか「デジュレ」「デジューレ」などと表記されることもある。英語での発音は「ディージュアリ」に近い。

情報システムやソフトウェアの開発や運用を委託する際、発注者と受注者の間で用語や作業工程、業務や役割の分担や範囲、契約上の権利・義務などを巡って理解や解釈の齟齬が生じないよう、各工程の内容について共通の枠組みを示している。

実際の作業手順を具体的に定めたものではなく、顧客側とベンダー側でそれぞれ持っている独自の開発方法、プロセスを共通フレームに対応させ、お互いの役割を把握し、共通認識として相互理解するためのものである。

発注者と受注者がSLCP-JCFに基いて交渉や契約を進めることで、工程の把握や、費用や期間の見積もり、品質管理などにおける相互の認識のずれによるトラブルの発生防止、共同作業による作業効率の向上などが期待される。

共通フレーム94 (SLCP-JCF94)

最初の版は1994年3月に策定された「ソフトウェアを中心としたシステムの取引に関する共通フレーム」(共通フレーム94/SLCP-JCF94)で、ISO/IECで審議中だったSLCPに関する標準規格ISO/IEC 12207の内容を先取りする形で策定された。

共通フレーム98 (SLCP-JCF98)

1998年10月には「ソフトウェアを中心としたシステム開発および取引のための共通フレーム 1998年版」(SLCP-JCF98、共通フレーム98)が策定された。これは1995年に正式に標準となったISO/IEC 12207や、これを日本語化したJIS X 0160:1996をベースに改訂されたものである。

共通フレーム2007 (SLCP-JCF2007)

2007年10月には「共通フレーム2007」(SLCP-JCF2007)が発行された。これには2002年と2004年に発行されたISO/IEC 12207の改訂版の内容が反映されている。2009年9月にはその改訂版である「共通フレーム2007第2版」が発行された。

インターネット・Web関連など新しいソフトウェア技術への対応や、開発の前段階の企画プロセス(いわゆる「超上流」工程)の強化と要件定義プロセスの新設、経営層や業務部門の役割の明確化、プロジェクト進行途上での契約変更に関するプロセスの定義などが盛りこまれている。

共通フレーム2013 (SLCP-JCF2013)

2013年3月には「共通フレーム2013」(SLCP-JCF2013)が発行された。これは国際標準のISO/IEC 12207:2008(2008年改訂版)およびこれを国内規格化したJIS X 0160:2012(2012年改訂版)を元にしている。

品質管理や意思決定、リスク管理などいくつかのプロセスについての規定が追加されたほか、一部のプロセスの名称変更などが行われた。従来はソフトウェア開発のみが対象だったが、ハードウェアを含むシステム開発全体を取り扱うことが明示された。システム導入後の運用、サービス提供についても独立したプロセスとして重視されるようになった。

IT機器やソフトウェア、それらを組み合わせた情報システムなどについて、情報セキュリティを確保するための機能や信頼性を評価する枠組みを提供する。対象そのものだけでなく、設計・開発のプロセスや、利用者への操作説明などにセキュリティを確保するための方針や方策が適切に反映されているかどうかも評価される。

どの程度まで詳しく評価するかは「EAL」(Evaluation Assurance Level)と呼ばれる保証レベルで表され、機能テストのみを行なう最も簡易で低コストなEAL1から、設計の形式的検証やテストなどを行なう最も厳密だがコストのかかるEAL7まで7段階が定められている。

ISO/IEC 15408に基づく評価は各国の認証機関(日本では情報処理推進機構)が認定した評価機関が行なう。機関が異なっても結果に著しい差が生じないよう、評価手法や判断基準などについて一定の指針を示した「CEM」(Common Evaluation Methodology : 共通評価方法)が定められており、ISO/IEC 18045として標準化されている。

評価結果は「CCRA」(Common Criteria Recognition Arrangement：CC承認アレンジメント)と呼ばれる国際協定により、他の締結国でも有効となる。日米など約20か国が相互承認を行っており、他に英国など約10か国が受入国(自国で認証は行わないが他国の結果は受け入れる)となっている。高いEALの評価は複雑になるため、CCRAの対象となるのはEAL4まで(一部製品はEAL2まで)となっている。

CORBAは異なるコンピュータ上のプログラム部品(コンポーネント)同士がネットワークを通じて機能やデータを利用し合う「分散オブジェクト環境」の基盤となるソフトウェアの仕様や通信規約などを定めている。プログラミング言語やオペレーティングシステム(OS)の違いに依らず利用することができる。

コンポーネントを外部から呼び出す方法などは共通の「IDL」(Interface Definition Language：インターフェース記述言語)と呼ばれる言語によって記述され、呼び出し時にはそれぞれのプログラミング言語へのマッピング(変換)が自動的に行われる。

CORBAでは、コンポーネント間は直接通信せず、「ORB」(Object Request Broker)と呼ばれる中継ソフトウェアを介してやり取りする。ORBはデータ形式の変換などを行って環境間の仕様の違いなどを吸収し、相手方のコンポーネントの呼び出し、応答の呼び出し元への返却を行う。

異なるコンピュータで動作するORB間は通信ネットワークを通じて「GIOP」(General InterORB Protocol)あるいは「IIOP」(Internet InterORB Protocol)と呼ばれるプロトコル(通信規約)で接続され、同じコンピュータ上のコンポーネント間の通信とほとんど同じ手順で別のコンピュータのコンポーネントを呼び出すことができる。

業務システムの開発などに用いられる分散オブジェクト技術を標準化するために設立された団体で、CORBA(Common Object Request Broker Architecture)やIIOP(Internet Inter-ORB Protocol)などの規格策定や商標管理などを行っていた。

その後、オブジェクト指向やデータモデリング(モデル化)などに関連する技術の標準化に注力し、UML(Unified Modeling Language)、BPMN(Business Process Model and Notation)、SysML(Systems Modeling Language)、MOF(Meta-Object Facility)、XMI(XML Metadata Interchange)などの規格を策定した。このうちのいくつかはISO/IECの合同委員会によって国際標準となっている。

1989年に米ヒューレット・パッカード(Hewlett-Packard)社(当時)、米IBM社、米サン・マイクロシステムズ(Sun Microsystems)社(当時)、米アップル(Apple)社、米アメリカン航空(American Airlines)、米データゼネラル(Data General)社らによって設立された。現在は企業、大学、研究機関、他の業界団体など合わせて200を超える組織が加盟している。

EJBを利用したシステムの開発者は必要な機能を「Bean」(ビーン)と呼ばれるJavaクラスとして開発していき、これを繋ぎ合わせてアプリケーションを構築する。BeanはEJBの仕様に準拠したアプリケーションサーバに組み込まれて実行される。

サーバ側でトランザクション処理やDI(Dependency Injection：依存性注入)、セキュリティ制御などの諸機能を提供してくれるため、Beanの開発者はこれらに個別に対応する必要はなく、自らのビジネスロジックの記述に集中できる。

Session Bean (セッションBean)

セッション単位での処理を行う機能を持つBeanをSession Bean(セッションBean)という。Session Beanに記録したデータはBean自身が保持するため、セッションが失われ、Session Beanが破棄されるとデータも同時に破棄される。

Session Beanはさらに、処理状態を保持するSteteful Session Bean(ステートフルセッションBean)、保持しないStateless Session Bean(ステートレスセッションBean)、クライアントに依らず全体で単一インスタンスとなるSingleton Session Bean(シングルトンセッションBean)の3種類に分かれる。

Message-Driven Bean (メッセージ駆動Bean/MDB)

非同期処理を記述できるイベント駆動型のBeanをMessage-Driven Bean(メッセージ駆動Bean/メッセージドリブンBean)という。EJB 2.0で追加された。JMS(Java Message Service)により外部からメッセージを受け取ると起動し、対応する処理を行う。

Entity Bean (エンティティBean)

データベースのレコードなど、特定のデータに対する参照を提供する永続的なBeanをEntity Bean(エンティティBean)という。EJB 3.2で廃止された。

Entity Beanは自身でデータを保持するのではなく、背後にあるデータベース管理システム(DBMS)など、別の記録システムに対するインターフェースを提供する形で動作する。Entity Beanに対して記録を行ったデータはデータベースのレコードとして記録され、Beanが破棄されてもデータの内容は保存される。

永続性をアプリケーション側が維持するBMP(Bean-Managed Persistence)とEJBコンテナ側で管理するCMP(Container-Managed Persistence)の2種類があり、用途に応じて使い分ける。

歴史

最初の仕様はIBMとサン・マイクロシステムズ(Sun Microsystems)により1997年に開発された。分散オブジェクト技術に由来する仕様で複数のサーバに分散したオブジェクトを連携動作させる点に力点が置かれ、複雑な設定ファイルの記述が必要であるなど仕様の煩雑さが普及の足かせとなった。

2007年のEJB 3.0では仕様が一新され、シンプルなJavaクラス(POJO)にEJB独自部分をアノテーションで追加するスタイルに変更されたほか、DIへの対応、エンティティBeanのJPA(Java Persistence API)への移管などが行われた。2009年のEJB 3.1ではさらに仕様を縮減したサブセット(縮小版)であるEJB Liteが定義された。

コンピュータはすべての情報を「0」と「1」のを組み合わせたデジタルデータとして取り扱う。数値は2進数を用いることで容易に表現できるが、文字は字形そのものを画像や図形としてデータ化したものはデータ量が多く、これをそのまま繰り返し並べて文字データとすることは無駄が大きい。このため、各文字に短い識別番号(正確には0と1の並び：ビット列)を与えて数字の列として文字列を表現するようになった。この数字と文字の対応関係を定めた規約が文字コードである。

最も普及しているASCII文字コードは英数字や制御文字、記号などを収録した7ビット(7桁のビット列、十進数では0～127)のコード体系であり、例えばアルファベットの大文字の「A」は65番(ビット列で1000001)、小文字の「z」は122番(同1111010)などと定められている。あるデータ列がASCII文字列であることが分かっていれば、番号との対応関係を元に文字の並びを知ることができる。

文字集合と符号化方式

文字コードを定義するには、どの言語を対象にどの文字を収録するかを決めなければならず、まず収録する文字(の字形)を特定して列挙した文字集合(文字セット)を定める。その際、番号などは与えずにただ収録する文字群を定義したものをレパートリ、各文字に一意の番号を与えたものを符号化文字集合(CCS：Coded Character Set)という。

欧米圏の8ビット文字コード規格のように、符号化文字集合をそのまま文字コードとして利用することも多いが、漢字圏など収録文字数の多い言語では各文字に割り当てられた符号をどのようなビット列で表現するかについて、いくつかの異なる方式を定めている場合があり、これを文字符号化方式(CES：Character Encoding Scheme/文字エンコーディング)という。

例えば、代表的な日本語の符号化文字集合の一つであるJIS X 0208規格に定められた符号をそのまま文字コードとしたものを区点コードというが、この文字集合を対象とする符号化方式としてJISコードやShift JISコード、日本語EUC(EUC-JP)などが定められており、同じ文字でも符号化方式によってそれぞれ異なったビット列で表現される。世界中の文字を収録したUnicodeでも、同じ文字集合に対してUTF-8、UTF-16、UTF-32など複数の異なる符号化方式が定義されている。

太さの異なる複数の縦棒(バー)と隙間(スペース)を交互に並べてデータを表現したもので、表現できる文字の種類やパターンとの対応ルールにはいくつかの規格が存在する。バーとスペースの太さの相対的な比率を読み取っているため、図形全体の大きさは(機械が読み取れる範囲であれば)任意で構わない。

バーコードを読み取る装置を「バーコードリーダー」(barcode reader)あるいは「バーコードスキャナー」(barcode scanner)という。光源と光センサーで構成され、光源の光がバーコードに当たって反射したものを読み取って符号に変換する。専用の装置は小売店のレジなどによく設置されているほか、スマートフォンにもカメラによるバーコード読み取りアプリが提供されている。

バーコードは流通業や小売業における商品の機械的な識別の仕組みとして広く普及しているほか、製造業での部品の識別、図書館での蔵書の管理、宅配・郵便事業での荷物の識別などにも使われている。商品コードの標準規格として「JANコード」(日本)、「EANコード」(ヨーロッパ他)、「UPCコード」(北米)などがよく知られている。

バーコードは情報を1次元的に表現するが、文字や数字を2次元の図形パターンとして表現するものを「2次元コード」(2D code)という。「QRコード」などがよく知られており、情報量がバーコードの数十倍あるためWebサイトのURLなど様々な情報を表すのに用いられている。広義には2次元コードを含めバーコードと呼ぶ場合もある。

文字コード規格で各文字に付けられた番号を一定の規則で符号化する方式を定めたもので、「エスケープシーケンス」(escape sequence)という特殊な制御文字を挿入することにより複数の文字集合(いわゆる半角文字と全角文字など)の切り替えを行う。同じコードでも直前のエスケープシーケンス次第で別の文字を指し示すことがあるため、文字列は先頭から順に読み込まなければならないという制約がある。

ASCII文字コードで定義された制御文字やラテン文字(いわゆる半角英数字・記号)に加え、JIS X 0208で定義された日本語文字(ひらがな、カタカナ、漢字)やギリシャ文字、キリル文字、全角記号などを記述できる。いわゆる半角カタカナは含まれていない。

最初の仕様は1993年にRFC 1468として標準化され、1997年にはJIS X 0208の改訂版に収録され国内の公的な標準規格となった。その後、JIS X 0212で定義された文字を扱えるようにしたISO-2022-JP-1(RFC 2237)などいくつかのバリエーションが策定された。

Unicodeの普及以前に、Shift JISコード、日本語EUCコード(EUC-JP)と並んで古くからよく用いられてきた有力な日本語文字コードの一つである。特に、1990年代後半のインターネットの一般への普及の初期に、8ビット単位の文字コードが欧米で開発された電子メールソフトウェアなどと相性が悪かった(7ビットコードしか想定していないものが多かった)ことなどから、電子メールで日本語を扱う際の事実上の標準として広まった。

コンピュータで文字データを扱うには、文字や記号の一つ一つに対応する番号(符号)を与え、文字の列を番号の列に変換する必要がある。文字と番号の対応関係を定めたルールを「文字コード」(character code)と呼び、従来は国や言語圏ごとに自分たちの使う文字のコード体系を定めて使用していた。

Unicodeは世界中の様々な言語の文字を集め、すべての文字や記号に重複しないようそれぞれ固有の番号を与えた文字コード規格である。世界の主な言語のほとんどの文字を収録しており、通貨記号や約物など文字と共に使われる記号や絵文字なども登録されている。

米大手IT企業を中心とする業界団体「Unicodeコンソーシアム」(Unicode Consortium)が仕様を策定・改訂しており、ほぼ同じものがISO(国際標準化機構)とIEC(国際電気標準会議)の合同委員会によって「ISO/IEC 10646」として国際標準となっている。ISO/IEC側ではUnicodeに相当する文字集合の名称を「UCS」(Universal Coded Character Set)としている。

コードポイント

Unicodeでは、登録された文字のそれぞれについて「コードポイント」(code point：符号点、符号位置と訳される)と呼ばれる一意の通し番号を与えている。例えば、日本語のカタカナの「ア」には12450番が割り当てられており、説明文などでは16進数を用いて「U+30A2」のように表記する。

世界中のあらゆる言語の文字を収録するという目的のため、コードポイントは最長で21ビットの値(上限は1114111番、U+10FFFF)まで用意されている。初期の規格で世界の既存の文字コードに規定された文字の多くが収録されたが、独自の文字コードを持たなかった言語や、絵文字、古代文字、新設された通貨記号などを中心に、現在も毎年のように新しい文字が追加されている。

現在はコードポイント空間全体の約12%にあたる約15万文字が割り当て済みで、規格上は文字を規定しない「私用面」(企業などが独自に使用してよい)が約13万文字(約12%)分予約済みである。残りの約75%が未割り当てとなっている。

基本多言語面と追加多言語面

コードポイントの範囲のうち、16ビット(2バイト)の値で表現できる U+0000 から U+FFFF は「基本多言語面」(BMP：Basic Multilingual Plane)と呼ばれる。ラテンアルファベットやキリル文字、ギリシャ文字、ひらがな・カタカナ、ハングル、基本的な漢字など、主要な言語の文字のほとんどをカバーしている。

当初の規格はBMPのみの予定だったが、追加収録を希望する文字のすべてを登録しきれないことが明らかになり、後から U+10000～U+10FFFF の拡張領域が追加された。このうち、U+10000～U+1FFFF の範囲を「追加多言語面」(SMP：Supplementary Multilingual Plane/補助多言語面)と呼び、古代文字や絵文字などが収録されている。

日本語文字の扱い

日本語の文字は原則として日本語文字コードのJIS規格から収録されている。当初は「JIS X 0201」(いわゆる半角文字)、「JIS X 0208」(JIS基本漢字)、「JIS X 0212」(JIS補助漢字)に定められた文字を収録したが、後に「JIS X 0213」(JIS2000/JIS2004)のすべての漢字が収録された。

なお、JIS X 0213の一部の漢字についてはBMPには収まりきらず、東アジア各国・地域の追加漢字を収録する U+20000～U+2FFFF の領域(SIP：Supplementary Ideographic Plane/追加漢字面)に収録されている。

これら元になった規格の通り、半角カナも全角とは別に「HALFWIDTH KATAKANA LETTER A」(半角カタカナのア)等の名称で、全角英数字も「FULLWIDTH LATIN CAPITAL LETTER A」(全角ラテンアルファベット大文字A)等の名称でそれぞれ収録されている。

UTF (Unicode Transformation Format/UCS Transformation Format)

様々な事情から、文字をデータとして実際に記録・伝送する際には、文字集合で定められたコードポイントをそのままビット列で表すのではなく、一定の手順で特定の形式に変換する。この変換手順を「符号化方式」(文字エンコーディング)という。

Unicodeにも標準の符号化方式がいくつか定められており、用途や処理の都合に応じて使い分ける。全体を総称して「UTF」と呼び、Unicodeでは “Unicode Transformation Format” の略、ISO/IEC 10646では “UCS Transformation Format” の略とされる。

UTFには「UTF-8」「UTF-16」「UTF-32」の3種類があり(UTF-7もあるがIETF独自拡張)、同じUnicode文字列でも符号化が違えばまったく異なるバイト列として表現される。文字データの保存・交換用として最も一般的に使われるのはUTF-8で、単にUnicodeといえばUTF-8でエンコードされたデータを意味することが多い。

UnicodeとISO/IEC 10646

ISO(国際標準化機構)とIEC(国際電気標準会議)の合同委員会(JTC 1)は、1980年代後半に国際的な文字コード標準の策定を目指し、仕様の検討を始めた。当初の構想は4バイトのコードを用いて既存の各国の文字コードをほとんどそのまま収録・統合するというものだった。

1991年に民間の企業連合であるUnicodeコンソーシアムが設立され、Unicode規格が発表されると、公的な標準と業界標準の分裂を避けるためISO/IECとの間で一本化の調整が行われることになった。議論の末、Unicodeの仕様をほぼそのままISO/IEC標準として採用することになった。

同年に発行されたUnicode 1.0規格をほぼそのまま取り込む形で1993年にISO/IEC 10646-1規格の初版が標準化され、以降はUnicode側と仕様を擦り合わせながら改訂されていった。両者は用語法など細かな点に違いがあるものの、収録文字など仕様の実質は同一となっている。

13桁の標準タイプと8桁の短縮タイプがあり、それぞれ番号の体系や棒状のシンボルと空白の並べ方についての仕様を定めている。8桁のコードは日本独自で、パッケージが小さく標準タイプを印刷できない製品にのみ利用される。

13桁のコードは日本の国コードである「49」または「45」で始まり、5桁または7桁のメーカーコード(GS1事業者コード)、5桁または3桁の商品コード、1桁のチェックデジットが続く。8桁の場合は国コードに続いて4桁のメーカーコード、1桁の商品コード、1桁のチェックデジットが続く。

小売店などが店頭で独自にコードを作成するインストアマーキングも可能で、価格データをコードに含める場合は国コードを「02」として5桁の商品コード、1桁の価格チェックディジット、4桁の価格、1桁のチェックディジットという形式になる。

チェックディジット(C/D：check digit)は他の桁の値から一定の手順で算出される誤り検出符号で、コードの読み取り時に同じ計算を行い、末尾に付加されている値に一致すればコードに誤りが無いことを確認できる。

メーカーコードは重複しないよう一般財団法人流通システム開発センターが一元管理しており、コードを利用したいメーカーは商工会議所などを通じて同センターから自社のコードを取得する。

JANコードの標準規格は1978年にJIS B 9550(共通商品コード用バーコードシンボル)として制定された。1987年、情報処理部門のXシリーズ新設に伴い、JIS X 0501に移行した。北米のUPC(Universal Product Code)やヨーロッパのEAN(European Article Number)コードとほとんどの仕様が共通しており、互換性がある。

小さな正方形の点を縦横同じ数だけ並べたマトリックス型2次元コードで、一辺に21個並べた「バージョン1」から、177個並べた「バージョン40」まで、40通りの仕様が用意されている。点の数が多いほうがたくさんの情報を記録できるが、必要な面積は大きくなっていく。

コード領域の三方の角には、中心が黒く塗りつぶされた大きな「回」の字型の「切り出しシンボル」(ファインダパターン)が配置されており、360度どの向きから読み取っても正確に情報が読み出せるようになっている。

記録できる情報量はバージョン40の場合で最大23,648ビットである。文字は独自のコード体系および符号化方式で表され、カナや漢字を含む文字列は最長1,817文字、アルファベットと数字だけなら4,296文字、数字だけなら7,089文字まで記録できる。

データには冗長性を持たせてあり、一部が汚損して読み取れなくてもデータを復元することができる。誤り訂正率は5段階から選択でき、最も低いもので約7%、最も高いもので約50%までの汚損に対応できる。誤り訂正率は高いほどより多くの冗長なデータが必要となるため、記録できるデータ量はその分少なくなる。

同社では自動車工場のカンバン(現品札)の自動読み取り、倉庫や配送の管理の効率化など、産業機器の自動化推進の一環としてQRコードを開発したが、汎用性の高さ、データ密度の高さ、高度な誤り訂正機能、読み取り向きが自由であるなど使い勝手の良さ、関連特許を開放して利用料を求めなかったことなどから、IT分野を中心に広く浸透している。

携帯電話のカメラ機能と組み合わせてインターネット上のURLやメールアドレス、サービス上のID情報などの告知や伝達に使われたり、乗り物の乗車券や搭乗券、イベントや施設のチケットレス入場、キャッシュレス決済などでよく用いられる。

出版社が発行して書店などで販売される出版物の識別のために用いるコードで、国や言語を表す番号(グループ番号、日本語は4)、発行主体を表す番号(出版者記号)、各出版物に固有の番号(書名記号)の3つを組み合わせ、末尾にコードが正しいことを確かめるために検査番号(チェックディジット)を加える。書籍の裏表紙などに番号を表すバーコードと共に印刷されることが多く、POSシステムなどと組み合わせて販売管理にも利用される。

2006年まで使われていた規格(現在ではISBNコード-10とも呼ばれる)では、これらを合わせて10桁で表していたが、英語圏で番号が枯渇しそうになったため、2007年以降は合計13桁の番号(ISBNコード-13)が使われている。以前に発行された書籍のISBNコード-10を扱う場合は、そのまま10桁で取り扱うか、先頭に「978」を付け加えて13桁に揃える処理が行われる。

ISBNコード付与の対象となるのは、通常の書籍やマンガ、ムック、電子書籍、地図、点字出版物、マイクロフィルム、オーディオブックなどである。出版社が発行したり書店で販売されていても、広告物や音楽CD、映像DVD、ゲームソフト、手帳、カレンダー、楽譜、ポスターなどは対象外となる。また、雑誌や新聞などの定期刊行物、逐次刊行物はISBNコードではなく「ISSN」(International Standard Serial Number)の対象となる。