ITパスポート単語帳 - 法務

大きく分けて、人間の知的活動によって創作された表現に対して認められる「著作権」、商業上有用になりうる情報や標識などに対して認められる「産業財産権」(工業所有権)、この二つに属さないその他の権利に分かれる。

著作権は思想や感情を創作的に表現した者がその表現の利用を独占できる権利で、複製権や上演権、公衆送信権、貸与権、翻案権など様々な権利で構成される。また、音楽などの場合には実演家や記録物の製作者、放送事業者などに著作を利用した実演などに対する「著作隣接権」が認められ、広義にはこれも知的財産権の一種とみなすことがある。

産業財産権は企業などの経済活動に関連する情報などを保護する権利で、発明に認められる「特許権」、有用なアイデアなどに認められる「実用新案権」、工業製品のデザインや特徴的な外観に認められる「意匠権」、営業活動に用いる名称や標識などに認められる「商標権」などが含まれる。

これ以外にも、IC(集積回路)の設計など半導体の回路配置を保護する「回路配置利用権」、品種改良で産み出された有用な植物を保護する「育成者権」、企業の営業上のノウハウや秘密の情報などを保護する「営業秘密」(企業秘密)、著名人の容姿を写した記録物の持つ商業的な価値を保護する(財産権としての)「肖像権」、インターネット上のドメイン名を保護する権利などがある。

産業財産権 (工業所有権)

知的所有権のうち、企業や経済活動に関わりの深いものを産業財産権(industrial property right)あるいは工業所有権と総称する。日本では商標権、特許権、意匠権、実用新案権がこれに含まれる。

国際的には、1883年にパリで締結された「産業財産権の保護に関するパリ条約」(パリ条約)および、その最新の改正版であるストックホルム改正条約(1967年)によって規定された諸権利のことを意味し、「特許、実用新案、意匠、商標、サービス・マーク、商号、原産地表示又は原産地名称及び不正競争の防止に関するもの」(特許庁訳)と規定されている。

日本では明治時代にパリ条約の訳文に「工業所有権」の語が用いられ、一般にも定着したが、2002年の「知的財産戦略大綱」以降、政府公式の文書などでは「産業財産権」の語を用いるようになっている。

著作権法では対象となる著作物を「思想又は感情を創作的に表現したものであつて、文芸、学術、美術又は音楽の範囲に属するもの」と規定しており、小説や随筆、論文、絵画、写真、図形、立体造形物、建築、音楽、映画、コンピュータプログラムなどがこれに該当する。新聞や雑誌、辞書などは要素の選択や配列といった編集に創作性が認められ、編集著作物として保護される。

一方、思想や感情ではない単なるデータや、創作性に乏しい他人の作品のコピーや誰が書いても同じになるような定型文書、文芸・学術・美術・音楽に含まれない日用品や工業製品、法令や判決文、行政機関などの発行する通達等の文書などは除外される。また、アイデアなどはそれを記したものはその表現が著作物として保護の対象となるが、アイデアそれ自体は著作物ではないため対象外である。

著作者に認められる権利はいくつかあり、大別すると、著作者の人格的利益を保護する著作者人格権、著作物の利用を独占的に制御することを認める財産権としての(狭義の)著作権に分かれる。また、音楽などの場合には著作者以外にも実演家やレコード製作者、放送事業者に著作隣接権が発生する。

人格権には公表権、氏名表示件、同一性保持権などが含まれ、著作権(財産権)には、複製権、上演権、公衆送信権、展示権、頒布権、譲渡権、貸与権、翻訳権、翻案権、二次的著作物の利用についての権利などが含まれる。音楽の実演家などには、著作隣接権として、その実演についての同一性保持権や録音権、放送権、送信可能化権、譲渡権、貸与権などが認められる。

英語では “business method patent” (ビジネスメソッドパテント)と呼ぶが、日本に最初に紹介されたときに「ビジネスモデル特許」という用語が使われたことから、現在でもこの言い方が定着している。

従来、事業の方法自体は特許にならないと言われていたが、アメリカで起きた「ハブ&スポーク特許事件」を契機に、1990年代末から続々と申請されるようになった。ハブ&スポーク特許は、米シグネチャーフィナンシャルグループ(Signature Financial Group)社が取得した特許で、複数の投資信託を一括管理するための仕組みである。

同業のステートストリートバンク(State Street Bank and Trust)社が特許無効を訴える裁判を起こしたが、米国連邦控訴裁判所は1998年7月に特許を有効とする判決を下した。ビジネス手法であっても、発明が有用(useful)で、具体的(concrete)で、有形(tangible)の結果を生みだすならば、特許として認められるという判断を示したのである。

この事件をきっかけにビジネスモデル特許は注目を集めるようになり、ちょうど2000年前後のインターネットを用いた新ビジネスのブーム(ドットコムバブル)と重なったこともあり、コンピュータやインターネットに関連する手法を用いた新ビジネスの特許が大量に出願されるようになった。

この時期に成立したインターネット関連のビジネスモデル特許として、プライスラインドットコム(Priceline.com)社の「逆オークション」特許や、米オープンマーケット(OpenMarket)社の「ショッピングカート」特許、米アマゾンドットコム(Amazon.com)社の「1-Click」特許、ダブルクリック(DoubleClick/当時)社の「DART」特許などが有名である。

日本でもインターネット関連を中心に2000年代前半に大量のビジネスモデル特許が出願されたが、その大半は審査の結果拒絶されたとされている。各国特許当局により審査基準の整備などが進むと申請も下火になっていったが、現在でもデジタル広告などの分野では新技術が開発されるとビジネスモデル特許化されることがある。

営業秘密の侵害や、複製・模造商品の販売、商品名やロゴなどの模倣、著名人の名前などの無断使用、デジタルデータのコピー制限技術やアクセス管理技術の解除や回避、商品の材料や原産地などの偽装や紛らわしい表示、他社の商標などに一致または類似するインターネットドメイン名の使用、競合相手を誹謗する虚偽情報の流布、外国製品の輸入代理店などが原権利者に無断で商標等を流用することなどを禁止している。

また、外国と交わした条約などに基づいて、外国公務員への贈賄や、外国の国旗や紋章などの不正使用、国際機関の標章などの不正使用も禁じている。

1934年(昭和9年)に、「工業所有権の保護に関するパリ条約」を批准するために制定された法律である。現在施行されているのは1993年(平成5年)に全面改正され、その後何度か部分改正されたもので、全面改正前の旧法を「旧不正競争防止法」と呼ぶことがある。

不正競争防止法では、企業内で秘密として管理され、事業の遂行上必要あるいは有用であり、公然と知られていない(一般に公開されていない)といった要件を満たす情報を営業秘密として法的な保護の対象としている。

例えば、製品の特殊な製法、顧客名簿、独自の営業ノウハウなどが該当する。ただし、違法あるいは反社会的な行為・活動に関連する情報(脱税ノウハウなど)は保護されない。また、創業者の生い立ちなど、事業上有用でない情報は、たとえ秘密とされていても営業秘密とはみなされない。

営業秘密を不正に取得・利用した場合には差止や損害賠償などを請求できるほか、利益を得たり保有者に損害を与える目的で営業秘密を不正取得・使用した場合は刑事上の罪に問われる。

コンピュータプログラムには著作権が発生し、開発者は著作権を有する。開発者は利用者に許諾する事項をライセンスとしてまとめ、利用者に提示する。商用ソフトウェア製品では、購入者以外の使用や無断複製、譲渡、貸与、販売などの禁止が宣言されていることが多い。

最終利用者に使用許諾の条件を提示した契約書面のことを「EULA」(End-User License Agreement：エンドユーザー使用許諾契約)と呼び、これを単にソフトウェアライセンスと呼ぶ場合もある。EULA文書をパッケージに同封し、プログラムを記録したメディア(光学ディスクなど)を開封したら同意したとみなす「シュリンクラップ契約」という契約手続きが用いられることが多い。

法人向けライセンス

企業や官公庁、学校などの法人向け製品の場合には、一定の人数まで複製して使用できることを定めた「ボリュームライセンス」(コーポレートライセンス)によって販売を行うことが多い。これには利用権の付与の仕方によって様々なソフトウェアライセンス形態がある。

例えば、利用者単位(ユーザーライセンス)か機器単位(デバイスライセンス)か、一台単位か搭載CPU個数単位(CPUライセンス)かCPUコア数単位(コアライセンス)か、機器を固定(ノードロックライセンス)するか権限を移動(フローティングライセンス)できるかといった違いがある。

オープンソースライセンス

ソースコードが公開され、誰でも自由に入手、使用、改変、再配布などできるオープンソースソフトウェアの場合も、原著作者の定める利用条件を記載した「オープンソースライセンス」に基いて許諾が与えられることが多い。

基本的には利用者がソフトウェアを自由に扱うことを認めるが、二次的著作物を作成した際に原著作物と同じライセンス条件での公開を求めるか、派生物には商業的な独占や秘匿などを認めるかといった違いがあり、利用者は原著作者の要請に従う義務がある。

ソフトウェア作者が自ら条件を記述してライセンスを作成する場合もあるが、「GPL」(GNU General Public License)や「BSDライセンス」「MITライセンス」「Apacheライセンス」など、著名なオープンソースライセンスが存在し、その中から選んで採用することが多い。

複数の異なるオープンソースライセンスや、商用ライセンスとオープンソースライセンスの適用を認め、利用者側で好ましいものを選べるようにする場合もある。これを「マルチライセンス」と呼び、特に2つの場合を「デュアルライセンス」という。

一般的なソフトウェア製品では、コンピュータへの導入(インストール)時に画面上に契約条件が表示され、利用者が「同意する」などと書かれたボタンを押すなどして意思を示すことで契約が締結されたとみなされる(クリックラップ契約)。パッケージに書面が添付され、記録メディアの開封時に自動的に許諾したとみなす場合もある(シュリンクラップ契約)。

具体的な条文や条件は製品によって異なるが、著作権などの権利の所有者の宣言・確認や、購入者に許可される行為と禁止される行為、ソフトウェアの使用に伴い生じた結果についての開発元の免責などがうたわれることが多い。

多くの場合、購入者本人が使用する以外の行為のほとんどは禁止あるいは厳しく制限されており、特に、第三者への譲渡や販売、貸与、複製、改変、二次著作物の作成、逆コンパイル、リバースエンジニアリングなどは明示的に禁止されていることが多い。

同じソフトウェア製品を法人などで大量に購入する場合に、パッケージを必要個数だけ購入したり、ダウンロー購入手続きを必要数だけ繰り返したりしなくて済むように、パッケージを一つ(あるいは指定の少数)だけ提供して利用権を必要な数だけ販売する方式である。

通常は企業や官公庁、教育機関などの法人に対して販売されるが、最低限のライセンス数を満たせば、個人でも購入できることがある。オペレーティングシステム(OS)製品などでは個人でも複数台のコンピュータで利用する場合に購入できる場合がある。

ボリュームライセンスが提供される最低販売数に届かなければ購入できないが、単体のパッケージを必要数購入する場合に比べ割引価格で提供される。利用人数が増えた場合などに同条件で追加購入(利用権の追加)が可能なことが多い。製品によっては大規模環境用の配布・管理システムなどが提供される場合もある。

法人利用の多いソフトウェアを多数取り扱っている米マイクロソフト(Microsoft)社では、単体の製品ごとのボリュームライセンスだけでなく、Microsoft Office(Microsoft 365)とWindowsのように、複数の製品を組み合わせた数が最低購入数に達していれば適用されるライセンス形態も用意している。

ボリュームライセンスによる販売では、一つのメディアで提供(あるいはダウンロード提供)されるソフトウェアをネットワークなどを通じて各端末に複製して導入する。個別の利用権を表すシリアル番号やライセンスキーなどの識別番号が購入数だけ提供され、導入時や起動時にこれを入力して有効化する。製品によってはライセンスキーの管理はライセンスサーバなどを用いて集中化、省力化できる場合もある。

メーカーや製品によっては、適用対象により企業向けを「コーポレートライセンス」(corporate license)、官公庁・地方自治体向けを「ガバメントライセンス」(government license)、教育機関向けを「アカデミックライセンス」(academic license)や「スクールライセンス」(school license)などと呼び分けている場合もある。

多くのソフトウェアメーカーでは、法人などが一括購入する場合に、使用者数や台数などに応じて割引価格や固定金額などを適用する特別な販売方式を導入している。個人向けのパッケージ版を店頭で購入するよりも割安であることが多く、規模や契約方式によっては専用のサポート窓口や担当者などが配置される場合もある。

製品のパッケージ形態やプログラムファイルなども通常版とは別になっていることが多く、構内ネットワーク(LAN)を通じて大量に複製インストールする機能が提供されたり、起動時に専用の登録番号などを入力するようになっていることがある。

メーカーや製品によっては、適用対象により企業向けを「コーポレートライセンス」(corporate license)、官公庁・地方自治体向けを「ガバメントライセンス」(government license)、教育機関向けを「アカデミックライセンス」(academic license)や「スクールライセンス」(school license)などと呼び分けている場合もある。

ソフトウェア製品は単体で導入・利用するものの他に、サーバとクライアントに機能が分かれており、サーバに中心的な機能を導入し、利用者が操作するクライアントからその機能を呼び出して使用する形態のものが存在する。

その際、サーバ版やクライアント版の販売代金および利用許諾(いずれか一方が無償の場合もある)とは別に、「クライアントがサーバにアクセスする権利」に対して販売元に代金を支払って利用許諾を購入する必要がある製品が存在する。この利用権をCALという。

製品の購入者は使用したいクライアントの数に応じて必要なだけCALを購入し、システムに組み込んでおく。製品によって、サーバ側に導入され、同時に利用できるクライアント数を管理するライセンス(クライアント自体は何台でも良い)と、クライアント側に導入され、特定のクライアントごとに紐付けられるライセンスがある。

クライアントに紐付けられるライセンスの場合、利用者(のシステム上でのアカウント)に紐付ける方式を「ユーザーCAL」、端末に紐づける方式を「デバイスCAL」という。一人が複数の端末を使い分けるような利用形態では前者が、教育機関のように一台の端末を複数人で使い回すような利用形態では後者が好まれる。

サーバソフト製品の中には標準で5ユーザー分など少数のCALが同梱されており、その数の範囲内であれば別途CALを購入しなくても利用できるようになっているものもある。その数を超えて使用したい場合には、CALのみを販売元から購入し、導入済みのサーバソフトに追加する操作を行う。

ソフトウェア開発では人間に理解しやすいプログラミング言語などを用いて「ソースコード」(source code)というコンピュータプログラムを作成し、これをコンピュータが解釈・実行しやすい形式のプログラムに変換して実行する。

企業などが製品として開発するソフトウェアなどの場合、ソースコードは企業秘密として公開せず、実行可能プログラムのみを販売する方式が多い。このようなソフトウェアを「プロプライエタリソフトウェア」(proprietary software)と呼び、利用者はソースコードを入手できないか、できても契約により強い制約が課される。

一方、オープンソースソフトウェアではプログラムの著作権者である開発者が著作権の一部の行使を凍結し、誰でも自由にソースコードを入手して、使用だけでなく販売を含む再配布、動作の解析や一部の改変、自作ソフトウェアへの同梱や機能としての組み込みなどを行うことができる。これらは無償で行うことができ、開発者へ問い合わせたり許諾を得る必要もない。

ただし、著作権が放棄されたわけではなく、著作者や利用者の権利や制限などを定めた「オープンソースライセンス」(open source license)という利用許諾契約に基づいて配布される。利用者はソフトウェアの取り扱いに際して、このライセンスに書かれた条項を遵守する法的な義務を負う。

オープンソースソフトウェアは個人や小規模な開発者集団が自作のソフトウェアを善意で公開する例が多く、インターネット上にはボランティア開発者が集う「オープンソースコミュニティ」が数多く存在する。企業などが製品をオープンソース化して普及に努め、法人ユーザーとのサポート契約や関連ネットサービスの利用料などで利益を得るという「ビジネスとしてのオープンソース」も定着している。

フリーソフトウェア財団(FSF)などが主張するフリーソフトウェアの定義では、コンピュータプログラムの実行可能ファイルだけでなく人間が理解しやすいプログラミング言語で書かれたソースコードが公開されており、誰でも自由に入手、使用、再配布、販売、複製、改変、別のソフトウェアへの組み込みなどを行うことができるものを指す。

利用者がどのように扱うのも「自由」(free)である、という点に力点が置かれる概念であり、例えばオリジナルの開発元が有償で販売していても、その後の取り扱いを自由と定めていればフリーソフトウェアであると考えられる。

フリーウェア (freeware)

一方、1980年代に安価な個人用コンピュータ(マイコン/パソコン)が普及し始めると、これを用いてアマチュアの個人開発者が作成したソフトウェアを無償で配布するという活動が活発になり、英語圏などでは “freeware” の呼称で広まった。日本では「フリーソフト」と呼ばれることが多かった。

こちらは入手や使用に対して対価を求めない「無料」(free)である、という点に力点が置かれた概念であり、多くの場合は実行可能形式のファイルのみが配布された。ソースコードは公開されないため利用者側での改変や組み込みの自由はなく、また、再配布等に関しても制限(販売してはならない等)を設ける場合があった。

自由か無償か

「フリーソフトェア」「フリーウェア」「フリーソフト」は元になった単語が同じで字面が極めて似ており、ほとんどのフリーソフトウェアは無償でもあるため、「自由」「無償」の区別や呼び分けは普及しておらず、混同されがちである。

プログラムを必要に応じて手直しして使う開発者兼利用者のコミュニティでソフトウェアの公開・配布する場合、自由と無償の区別は重要だが、現代ではソフトウェアを「利用するだけ」の利用者が大半であり、彼らにとっては無料で使えるかどうかだけが関心事であることも世間一般にこのような区別が浸透しない要因となっている。

オープンソースソフトウェアとの違い

プログラミング言語などで書かれたソースコードが公開され、誰でも自由に入手できるソフトウェアを「オープンソースソフトウェア」(OSS：Open Source Software)という。

大半のオープンソースソフトウェアはフリーソフトウェアでもあるが、開発元が適用するライセンス(利用許諾契約)によっては、必ずしもプログラムの取り扱いが完全に自由なわけではないため、フリーソフトウェアとは呼べない場合もある。企業がソフトウェア製品を独自のライセンスでオープンソース化した場合などにこのような事例がある。

コンピュータプログラムは法律上は著作物とみなされ、開発者はその著作権を保有する。パブリックドメインソフトウェアは著作権が消滅した状態のプログラムで、開発者が放棄を宣言した場合、著作権保護期間が満了した場合、政府機関による開発など法の規定により著作権が発生しない場合などが該当する。

パブリックドメインソフトウェアは誰でも自由に入手して使用することができ、ソースコードにより配布されている場合には改変や他機種への移植、自作ソフトウェアへの組み込みなどの制約なく行うことができる。複製や再配布、販売も自由である。放棄された著作権が復活することはないため、原著作者や他の主体が自らの著作物として再び著作権の保護を求めることはできない。

無料で入手・使用できる点はフリーソフトウェアと共通するが、フリーソフトウェアの著作権は放棄されておらず、改変や再配布などが許諾されているとは限らない。オープンソースソフトウェアとも似ているが、こちらも著作権は放棄されておらず、再配布時などに著作者やライセンスの表示を求めたり、自作プログラムへの組み込みに条件を課したりする場合がある。

ソフトウェア製品のアクティベーション

商用のソフトウェア製品では、利用者がその製品を正規に入手したことを開発元・販売元が確認し、非合法に入手した不正コピー品などを利用できないようにする手続きを「ライセンス認証」あるいは「アクティベーション」という。

アクティベーションが必要なソフトウェアは、コンピュータへ導入(インストール)しただけでは完全に利用可能な状態とはならず、所定の手続きが完了するまで起動しなかったり、一部の機能が制限されたり、一定期間が経過すると使用不能になったりする。

利用者はインターネットなどを通じて、メーカーにシリアル番号やライセンスコードなど製品パッケージなどに添付された識別情報を申告し、これが正規に販売され、まだ未使用の状態であることが確認されると、起動制限・機能制限が解除されて完全に利用可能な状態になる。

識別情報の申告時に利用者の身元や連絡先などの入力を要求し、利用者登録(ユーザー登録)手続きを同時に行う場合もある。また、ネットがなくても手続きができるよう、電話や郵送などによる手続きを受け付ける窓口を開設しているメーカーもある。

ソフトウェア本体をインターネットなどを通じて無償配布し、インストール直後は機能や期間が制限された試用版・体験版となっているが、購入手続きを行ってアクティベーションを実施するとそのままフル機能の製品版に変化する、といった販売手法を採用しているソフトウェア製品もある。

アクティベーションを解除して実施前の状態に戻す手続きを「ディアクティベーション」(deactivation)あるいは「アクティベーション解除」「アクティベーション停止」などと呼ぶ。コンピュータを買い替えたり、複数台のコンピュータを切り替えて使用する場合などで、使わなくなった(使わない)側のコンピュータで必要になる場合がある。

機器のアクティベーション

モバイル機器などの中には、購入後の初回使用時に様々な設定や必要事項の入力、ユーザーアカウント作成などの手続きを行い、使用可能な状態にする一連の操作をアクティベーションと呼ぶことがある。iPhoneやiPadなど米アップル(Apple)社製品でよく用いられる用語で、パソコンなどの場合は同様の手続きや操作を「セットアップ」(setup)と呼ぶことが多い。紛失時に第三者が再利用できないよう初期化を封じる機能を「アクティベーションロック」という。

サブスクリプションサービス

会員制のサービスや機器の保守契約などについて、一定期間の利用権を購入することをサブスクリプションという。また、サービスへの課金方式として、「一回あたりいくら」という都度課金と対比して、契約期間中は利用し放題の定額課金のことをサブスクリプションという。

音楽や映像などの配信サービスは従来、作品ごとに都度課金して購入や視聴を行う方式が主流だったが、2010年代後半頃から一定の月額料金で全作品見放題、聴き放題のサービスが大きく加入者を伸ばしている。俗に「サブスク」と略されることが多い。

音楽や映像だけでなく、ビデオゲームや電子書籍などのオンライン販売でも定着しつつあり、IT・ネット業界以外でも、食品や飲料などの販売、家電や自動車などのレンタル、飲食店や施設・サービスの利用などでサブスクリプション方式による提供が試みられている。

ソフトウェアのサブスクリプション購入

従来、ソフトウェアの販売は機器の販売と同じように買い切り(売り切り)型で、購入時に一度料金を支払えば(そのバージョンについては)永続的に使用できる方式が主流だった。

近年では、サービスと同じように一定期間の利用権のみを販売し、継続利用する場合にはこれを更新するという方式が広まりつつある。このような販売方式をサブスクリプション方式という。このようなタイプのソフトウェアはコンピュータに導入済みであっても利用期限が過ぎて契約が切れると自動的に起動できなくなる。

自分についての情報を勝手に公開されないプライバシー権(人格権の一部)としての性質と、芸能人など容貌に経済的な価値がある場合に、無断で商業的に利用されないパブリシティ権(財産権の一部)としての性質がある。

日本では肖像権そのものを規定した法は無く、肖像権の侵害が刑事事件として扱われることはないが、憲法の幸福追求権や民法の人格権、財産権の侵害として、民事で差止請求や損害賠償請求が認められた判例はいくつも存在し、実質的な権利としてある程度確立している。

このうち、無名の一般人の肖像については主に人格権、プライバシー権が問題となり、インターネットで誹謗中傷を受けるなど肖像の公開・利用によって受忍限度を超える精神的苦痛を受けた場合などに公表の差し止めや損害賠償が認められている。

また、著名人の肖像については主に財産権、パブリシティ権が問題となり、無断で肖像を著作物や製品の広告や包装などに用いて利益を得るなどした場合には、差し止めや賠償が認められることがある。著名人の場合でも、週刊誌が勝手にプライベートの姿を隠し撮りし公表するなどプライバシー権の侵害が争われる事例は存在する。

ちなみに、競走馬のパブリシティ権が争われた、いわゆる「ダービースタリオン事件」の控訴審判決(2002年東京高裁)では、著名人のパブリシティ権は自然人(人間)の人格権に根ざして派生的に生じた権利であるとされ、(この事件で争われた競走馬のように)人間以外の有名な生き物や無生物を写した肖像には肖像権は存在しないとするのが通説となっている。

有名人の名前や肖像(写真や明白に本人と分かるイラストなど)は人を惹き付ける力があり、広告や商品の外観などに使用したりメディアに露出することで経済的な価値を生み出すことができる。その利益を本人が独占し、他者に勝手に使わせない権利をパブリシティ権という。

肖像に関しては「肖像権」という概念もあり、こちらは本人の意に反して肖像を勝手に使われない人格権としての側面が重視される。すなわち、経済的な利益を得る目的でなくても、肖像を勝手に使うことで名誉やプライバシーが害されれば肖像権の侵害であると解される。

パブリシティ権について明文の法律を設けている国(米国のいくつかの州法など)もあるが、日本のように判例の積み重ねで一定の権利を確立している国もある。保護の対象は氏名(本名)と肖像だけでなく、芸名やペンネームなどで活動している場合はこれも含まれる。明確に争点となった裁判例はないが、声やサインも含まれるとする見解もある。

全5章、60条の条文と附則から成り、国家のサイバーセキュリティの基本方針を示している。国および地方公共団体はサイバーセキュリティを推進する施策を実施する責務を負い、事業者や国民もサイバーセキュリティの確保に務めることと定めている。

国が行うべき施策として、国の機関や民間の重要インフラにおけるサイバーセキュリティの確保、人材の確保、研究開発の推進、犯罪の取り締まりや被害拡大の防止、安全保障を脅かす事態への対処、セキュリティ産業の振興と国際競争力の強化などを挙げている。

内閣には「サイバーセキュリティ戦略本部」が置かれ、国によるサイバーセキュリティ戦略の企画や実施、関係機関との調整などに責任を負う。本部長は官房長官で、国家公安委員会委員長やデジタル大臣、総務大臣、経済産業大臣、防衛大臣などが参加する。

アクセス制御を行っているコンピュータやそのようなコンピュータに守られているコンピュータに対し、通信回線やネットワークを通じてアクセスし、本来制限されている機能を利用可能にすることを禁じている。違反した場合は1年以下の懲役または50万円以下の罰金が課される。

制限を回避する行為として、他人の識別符号(パスワードなど)を盗み取って本人になりすましたり、識別符号以外の、制限を免れるための何らかの情報(ソフトウェアの脆弱性を攻撃するコードなど)を送り込むことを挙げている。

2012年の改正で、他人の識別符号を不正に取得する行為、不正アクセスを助長する行為(識別符号の不正な提供など)、不正に取得された識別符号を保管する行為が新たに禁止され、違反者には30万円以下の罰金が課されるようになった。

また、コンピュータのアクセス管理者に対しては識別符号の管理やアクセス制御機能などについて適切な防御措置を取る努力義務が課されており、都道府県公安委員会に対しては被害にあったアクセス管理者から支援を要請されたら必要な情報の提供や助言などの援助するよう定めている。

正規のアクセス権を持たない者が何らかの方法で取得した識別情報(管理者のIDとパスワードなど)を入力して実行する場合と、システムのアクセス制御機能をソフトウェアの保安上の欠陥(脆弱性)を悪用するなどして回避・無効化し、本来認められていない操作を実行する場合がある。

システムの運用主体と無関係な外部の攻撃者が通信回線やインターネットなどの広域ネットワークを通じて遠隔からシステムへの侵入や操作を試みる手法が一般的だが、一定のアクセス権を持つ内部犯がシステムに直に接触して本来の権限を超えた操作を行う事例も見られる。

具体的な不正行為としては、Webサイトの改竄やコンピュータウイルスの埋め込み、機密情報や個人情報の不正取得、遠隔操作による他のコンピュータへの攻撃、迷惑メールやウイルスメールの一斉配信、クレジットカード番号など金融機関の認証情報の詐取による金銭の盗難などがある。

日本では1999年に制定された「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)により禁じられ、最大で1年以下の懲役または50万円以下の罰金が課される。この法律は不正アクセス行為そのものと、その準備段階に行われる識別符号(パスワードなど)を不正に取得、保管、入力要求する行為などが禁止されている。

体系的・継続的に個人情報を保有・利用するすべての団体や事業者に対し、取得や保存・利用に関する義務や、違反時の罰則などを定めている。当初は5000件を超える個人情報を所有する事業者のみが規制の対象だったが、2017年の大幅改正でこの要件が撤廃され小規模な事業者や町内会のような団体も対象となった。

個人情報を取り扱う事業者は、個人情報の収集にあたって利用目的を特定することや、目的外の個人情報の収拾・取扱の禁止、収集手段および目的の公表、不正な手段による個人情報取得の禁止、個人情報の保護に必要な措置を講じること、本人から申し出があったときは速やかに保有する開示・訂正・削除に応じること、本人の同意を得ない第三者への譲渡の禁止などの義務が課される。

違反した場合は内閣府の外局である個人情報保護委員会による勧告や命令が行われ、従わない場合は最大で6ヶ月以下の懲役または30万円以下の罰金が課される。

個人情報の種類

保護の対象となる個人情報は、生存する個人の氏名や生年月日、住所、電話番号など、個人の特定・識別に用いることができるものが該当する。顔写真や所属先のメールアドレス、金融機関の口座番号のように他の情報と組み合わせれば個人を特定できる符号なども含まれる。

また、DNA配列や指紋、声紋、顔貌、虹彩など身体に固有の特徴を符号化したデータ、マイナンバーやパスポート番号、運転免許証番号など公的な識別番号・符号も2017年改正で対象に追加された。

個人情報のうち、差別や偏見に繋がりかねず慎重な取り扱いが求められる項目を「要配慮個人情報」と定義し、本人の明示的な同意を得ずに取得したり第三者に提供することが禁じられている。これには人種や信条、社会的身分、病歴、犯歴、犯罪被害事実などが該当する。

一方、特定の個人を割り出せないように一部のデータをランダムな符号で置き換えるなど復元不能な変換処理を行った「匿名加工情報」については、本人の同意を得ずに第三者提供などの利用ができることが定められている

公的機関の責務

国や地方公共団体は事業者等がこの法律に則って適切に個人情報を取り扱うよう、制度の周知・広報や指針の策定など、適切な措置を講ずることが定められている。

なお、この法律が対象とするのは民間が保有する個人情報の取り扱いであり、国や自治体、独立行政法人など公的機関自身が保有する個人情報については、行政機関個人情報保護法など別の法制度によって規定される。

個人情報保護法第2条に定められた符号で、単体で個人を識別することができる何らかの符号を指す。何が該当するかは政令で指定されており、個人の身体的な特徴を記録した符号と、個人に割り当てられる符号に大別される。

身体的特徴に基づく符号としては指紋や声紋、歩容、顔パターン、静脈パターン、虹彩パターン、DNA配列などが、個人ごとに発行される番号などに基づく符号としてはマイナンバーや運転免許証番号、パスポート番号、住民票コード、基礎年金番号、健康保険被保険者証番号などが含まれる。

なお、身体的なパターンを表す情報などに関しては、コンピュータで利用可能な形式(デジタルデータ)に変換されていること、個人を特定する用途に使えるよう特徴量の抽出などの整理が行われていることも要件となる。例えば、診察のために撮影した眼球の写真に虹彩が映っていても、それだけでは識別や認証のために用いることができないため該当しない。

個人情報保護法(個人情報の保護に関する法律)の第2条3項では要配慮個人情報を「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう」と定義している。

条文内で挙げられている項目の他に、政令で定められている項目として、身体障害などの障害を持つ事実、健康診断や医療上の検査結果、診療や調剤、保健指導などの記録、(犯罪や非行を疑われ)刑事手続や少年保護手続上の取り扱いを受けた事実がある。

要配慮個人情報を取得する場合も利用目的を明示した上で事前に本人の同意が必要となる。また、オプトアウト(明示的に拒否の手続きをしない限り同意したとみなす)方式による第三者提供も禁じられ、外部への提供には本人による明示的な許可が必要となる。

機微情報 (センシティブ情報)

個人情報に関する標準規格やガイドラインなどの中には、取り扱いに配慮を要するセンシティブな個人情報を「機微情報」として定義しているものがある。

金融庁の「金融分野における個人情報保護に関するガイドライン」では、第6条で「機微(センシティブ)情報」として、政治的見解、信教(宗教や思想、信条)、労働組合への加盟、人種、民族、門地、本籍地、保健・医療、性生活、犯罪歴を挙げている。

プライバシーマークの根拠としてよく知られるJIS Q 15001規格(個人情報保護)では「特定の機微な個人情報」として、思想、信条、宗教、人種、民族、門地、本籍地、身体・精神障害、犯罪歴、その他社会的差別の原因となる事項、労働組合や労働運動に関する事項、デモや請願、署名への参加など政治的権利の行使に関する事項、保健・医療や性生活に関する事項を挙げている。

一般的に事業者が顧客の行動履歴などを記録したデータは個人が特定・識別できる状態となっている。これを加工して、氏名など個人の特定や識別に繋がる情報を復元不可能な状態にしたものを匿名加工情報という。

個人情報保護法では、事業者が取得したパーソナルデータの利用や外部提供について本人に十分な説明を行って個別に許諾を得るなどの制約を課しているが、匿名加工情報は本人の同意を得なくても外部への提供が可能であり、一定のルールの下で事業者間の連携や横断的な活用を行うことが期待される。

情報の加工については規定が定められており、これに則って行う必要がある。氏名など個人を識別できる情報の削除や不可逆な置き換えが必要で、顔画像や指紋、運転免許証番号などの個人識別符号、他の情報と連結するためのIDなどの符号、極めて珍しい属性など本人であると容易に推定可能な特異な記述も削除する必要がある。

匿名加工情報を作成する場合は加工方法などの漏洩防止や苦情の処理などについて安全管理措置を取ることが求められる。また、作成時や第三者への提供時にはWebサイトなどを通じて加工された情報に含まれる項目や提供方法などを公表しなければならない。

一方、2022年の法改正では新たに「仮名加工情報」についての規定が追加された。これは個人についての情報を加工して、他の情報と照合しない限り個人を特定できないようにしたものとされる。匿名加工情報よりも作成のハードルは低いが、第三者提供は委託や共同利用に限定されている。

企業が個人に行う様々な活動や措置、行為などに対し、対象者から明確に許諾を得ない限り実施しない(あるいは、してはならない)とする原則のことを「オプトイン方式」という。一方、離脱や脱退、拒否、停止、中止などの意思を表明したり申し入れることを「オプトアウト」(opt-out)という。

オプトイン方式ではすべての活動は原則禁止で対象者が明示的に承諾したものだけが可能になるが、オプトアウト方式ではすべての活動は原則自由で対象者が明示的に拒否したものだけが停止されるという違いがある。

事業者が消費者に対して事前に許諾を得ることなく一方的に行う電話勧誘やダイレクトメールの配達、電子メール広告の送信などを拒否することや、そのために用意された制度や手続きなどを意味することが多い。

国によっては、無差別に送信される広告メールに一定の法規制を課したり、事業者が勧誘電話を掛けてはいけない電話番号のリストを政府機関などが構築・運営し、消費者からの申し出により登録するといった制度を運用しているところもある。

また、顧客や登録利用者など、既に企業と関わりのある個人が、会員登録の解除、会誌やメールマガジンなどの購読停止などを行うことをオプトアウトということもある。ネット広告事業者がネット利用者のWeb閲覧履歴をサイトを横断して捕捉するのを拒否したり、企業が取得した個人情報の利用や第三者への提供を拒否することをオプトアウトということもある。

対義語は「オプトイン」(opt-in)で、個人が企業などに対して特定の活動を行うことを明示的に許諾することや、そのための手続きなどを意味する。企業などの活動について「オプトアウト方式」という場合は、「対象者が明示的に拒否しない限り行われる(あるいは、行ってよい)」ことを、「オプトイン方式」という場合は「対象者が明示的に許諾しない限り行われない(あるいは、行ってはならない)」ことをそれぞれ指す。

ある個人の属性や履歴、本人の作成した情報などを記録したデータの総体を指す。この中には、氏名や住所、電話番号、生年月日など個人を特定できる情報、個人の識別に用いられる符号(マイナンバー、パスポート番号など)、他の情報と照合することで個人の特定に繋がる情報(顔写真、所属先のメールアドレス等)が含まれ、これらは法律上の保護の対象となる個人情報(PII：Personally Identifiable Information)となる。

パーソナルデータにはこうした個人情報だけでなく、識別や特定には直接は結びつきにくいが個人に属するデータが含まれる。例えば、携帯端末で取得した位置情報や移動履歴、交通機関の乗降履歴、商品の購入履歴、検索エンジンの検索履歴、Webサイトなどの閲覧履歴、SNSなどへの投稿、本人が撮影や録音した画像や動画、音声、IPアドレスやCookieなど機器の識別情報、体重や血圧といった身体や健康の状態を表す測定データ、医療機関の利用履歴などである。

これらの中には特定の分野の事業者にとって顧客サービスや製品開発などに利用価値のある有用な情報が含まれる一方、プライバシーに属するとみなされるセンシティブな情報も含まれるため、情報機器やオンラインサービスを通じた個人からのデータの取得や保管、解析、外部への提供などについて各国や業界でルールの整備が進められている。

個人情報保護法ではパーソナルデータの扱いについて、2017年の改定で特定の個人を識別する情報を復元できないよう改変・削除した「匿名加工情報」の概念を導入し、一定の要件を満たせば明示的な本人の同意がなくても第三者への提供などが行えるようになった。

また、2020年の改定では一連のデータが一人の個人に紐付いている状態は維持しつつ、氏名等の識別情報は別の符号に置き換えて本人を特定できないようにする「仮名加工情報」の枠組みが設けられ、事業者内での高度なパーソナルデータ活用に用いられている(外部提供は大きく制限)。

企業などが事業のために個人に関連するデータを取得して保存、利用するには、所在地や連絡先、情報取得の目的、第三者提供の有無や範囲、保管期間などについて利用者にあらかじめ告知し、同意を得なければならないと定めている。

対象となるデータは、個人の識別・同定に用いられる個人情報(氏名や住所、電話番号など)と、Webページの閲覧記録やサービスの利用履歴といった個人の属性や活動を記録したパーソナルデータで、IPアドレスやWebブラウザのCookieなども含まれる。

これらのデータをEEA(欧州経済領域：EU加盟国とアイスランド、ノルウェー、リヒテンシュタイン)内の個人から取得する場合にGDPRが適用される。加盟国の国民だけでなく旅行や出張、居住などで滞在中の域外国民の情報も対象となる。

域内で取得したデータはEEA外への持ち出しが原則禁じられる。GDPR同等のデータ保護が可能であるとしてEUが個別に協定を結んだ国や地域の場合には、所定の手続きや一定の制約の元に移転が認められる。日本との間には2019年に相互のデータ移転を可能にする協定が発効している。

規則に違反した企業などには警告や監査、多額の罰金(売上に対する一定割合)などの処罰が行われる。EU内の企業だけでなく、インターネットを通じて域内の個人からデータを取得する全世界の企業が規制の対象となる。欧州の利用者と通信する可能性のあるネットサービスなどはGDPRへの対応が必須となる。

企業などが広告のために送信するメールを規制の対象となる特定電子メールとし、あらかじめ受信を同意(オプトイン)した人にのみ送信することや、送信者の氏名・名称や受信拒否窓口の連絡先の表示、送信停止の意思を示した人への以降の送信の禁止などの義務を課している。

これらの規定に違反するメールを送信した事業者などには、総務大臣あるいは消費者庁長官が改善命令を発することができる。命令にも従わなかった場合には、最高で1年以下の懲役か100万円(法人の場合は3000万円)以下の罰金が課される。

対象はインターネット上の電子メールだけでなく携帯電話/スマートフォン向けのSMS(ショートメッセージ)なども含まれる。外国のサーバから送信するものも含まれる。問い合わせ窓口などとしてWebサイトで公表されているメールアドレスへの送信は規制の対象外だが、受信を拒否する旨を記載して公表している場合は対象となる。

一般に「ウイルス作成罪」と通称されるが、法律上の名称は「不正指令電磁的記録に関する罪」で、ウイルスに相当する不正なコンピュータプログラムの「作成・提供」と「供用」(相手に実行させること)、(誰かに使用する目的での)「取得・保管」のそれぞれについて罰則が規定されている。

対象となるウイルスについて「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と規定しており、狭義のウイルスだけでなくワームやトロイの木馬などマルウェア全般が含まれる。

また、「不正な指令を記述した電磁的記録」という規定もあり、実行形式プログラムだけでなくソースコードも対象となる。ウイルスの作成・提供・供用には3年以下の懲役または50万円以下の罰金、取得・保管には2年以下の懲役または30万円以下の罰金が課される。

派遣元が雇用あるいは登録した労働者を、企業などとの契約に基づいて派遣し、その事業所で労働させる事業である。日本では労働者派遣法(労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律)による規制を受ける。

以前は派遣元が正規雇用する従業員を派遣する「特定派遣」(届出制)と、派遣先が決まったときだけ雇用する「一般派遣」(許可制)の区別があったが、2018年にこの区分は廃止され、派遣社員の雇用形態によらず許可制の労働者派遣制度のみとなった。

類型

派遣元に正規雇用され、派遣先の有無に関わらず常に雇用された状態にある形態を「常用型派遣」、仕事が無い時には雇用されず、派遣先が決まって勤務している間だけ雇用される形態を「登録型派遣」という。

登録型のうち、一回の派遣契約の期間が30日以内の派遣は「日雇い派遣」と呼ばれ、原則禁止されている。例外として、学生や60歳以上の人、年収500万円以上の人が副業で働く場合、世帯年収が500万円以上あるが本人が主たる稼ぎ手でない場合(親が高収入の実家暮らしの若者など)に限って認められている。

なお、派遣先による直接雇用を前提に、6か月以内の派遣期間のあと、本人と派遣先の双方が合意すれば直接雇用に切り替えられる派遣契約を「紹介予定派遣」という。必ず直接雇用に転換できるとは限らず、転換後の雇用形態も正規雇用に限らない。

制限

派遣労働の対象業務は労働者派遣法で定められ、建設業や警備業などは派遣労働が禁止されている。派遣契約の期間は1年単位で、3年まで延長でき、3年を超えて業務に従事させたい場合は派遣先による直接雇用に切り替えなければならない。

派遣先は紹介予定派遣を除いて、事前に履歴書の要求や面接などを行ってはならない。派遣先が受け入れた派遣社員を別の事業者に再び派遣することは「二重派遣」あるいは「再派遣」と呼ばれ、禁止されている。

業務請負との違い

事業者間で契約を取り交わし、受注者が発注者の指定する業務の遂行を請け負う契約を「業務請負」あるいは単に「請負」という。受注者は人員、施設、設備、資材などを自前で用意して、自社の監督者の指揮に基づいて業務を行い、成果のみを発注元に納品あるいは報告する。

請負契約でも受注者の従業員が発注者の事業所に勤務する場合があり、労働者の勤務形態は派遣に近くなるが、この場合、請負側労働者への指揮命令は請負側の管理者が行わなければならない。発注元の従業員が直接指示を出すのは俗に「偽装請負」と呼ばれる違法行為となる。

IT業界では、情報システム関連業務(開発や保守、サポートなど)を専門の事業者が請け負い、発注側の事業所に勤務して業務を行う「客先常駐」型のサービスがあり、「SES」(システムエンジニアリングサービス)と呼ばれる。労働者派遣ではないため、必ず受注側の監督者が帯同し、発注者から請け負った業務の指揮命令を自社の労働者に行うことになっている。

相手方とまだ具体的な取引契約などを結んでいない段階で、交渉などのために秘密の情報を提供・開示する必要がある場合、何の縛りも無ければ相手方から世間や第三者に情報が漏洩するリスクがある。これを回避するため、秘密を守ることに限定して結ばれる契約が守秘義務契約である。

具体的な契約内容は双方の合意によって決められるが、すでに公知の情報や、秘密を当事者以外から別に入手した場合を除外する規定が定められることが多い。また、顧問弁護士のように交渉や取引に密接に関わる必要のある第三者への開示や、公的機関などから法律に則って開示を求められた場合なども除外されることが多い。

法律や制度で規定された守秘義務とは異なり、あくまで相手方との民事上の契約であるため、違反が発覚した場合には相手方へ差し止めや損害賠償を請求し、折り合わなければ民事訴訟で決着をつける形となる。守秘義務契約違反それ自体に刑事上あるいは行政上の刑罰が与えられることはないが、違反の内容に法律違反が含まれればそれについて裁かれることはありうる。

派遣元が雇用あるいは登録した労働者を、企業などとの契約に基づいて派遣し、その事業所で労働させる事業である。日本では労働者派遣法(労働者派遣事業の適正な運営の確保及び派遣労働者の就業条件の整備等に関する法律)による規制を受ける。

以前は派遣元が正規雇用する従業員を派遣する「特定派遣」(届出制)と、派遣先が決まったときだけ雇用する「一般派遣」(許可制)の区別があったが、2018年にこの区分は廃止され、派遣社員の雇用形態によらず許可制の労働者派遣制度のみとなった。

類型

派遣元に正規雇用され、派遣先の有無に関わらず常に雇用された状態にある形態を「常用型派遣」、仕事が無い時には雇用されず、派遣先が決まって勤務している間だけ雇用される形態を「登録型派遣」という。

登録型のうち、一回の派遣契約の期間が30日以内の派遣は「日雇い派遣」と呼ばれ、原則禁止されている。例外として、学生や60歳以上の人、年収500万円以上の人が副業で働く場合、世帯年収が500万円以上あるが本人が主たる稼ぎ手でない場合(親が高収入の実家暮らしの若者など)に限って認められている。

なお、派遣先による直接雇用を前提に、6か月以内の派遣期間のあと、本人と派遣先の双方が合意すれば直接雇用に切り替えられる派遣契約を「紹介予定派遣」という。必ず直接雇用に転換できるとは限らず、転換後の雇用形態も正規雇用に限らない。

制限

派遣労働の対象業務は労働者派遣法で定められ、建設業や警備業などは派遣労働が禁止されている。派遣契約の期間は1年単位で、3年まで延長でき、3年を超えて業務に従事させたい場合は派遣先による直接雇用に切り替えなければならない。

派遣先は紹介予定派遣を除いて、事前に履歴書の要求や面接などを行ってはならない。派遣先が受け入れた派遣社員を別の事業者に再び派遣することは「二重派遣」あるいは「再派遣」と呼ばれ、禁止されている。

業務請負との違い

事業者間で契約を取り交わし、受注者が発注者の指定する業務の遂行を請け負う契約を「業務請負」あるいは単に「請負」という。受注者は人員、施設、設備、資材などを自前で用意して、自社の監督者の指揮に基づいて業務を行い、成果のみを発注元に納品あるいは報告する。

請負契約でも受注者の従業員が発注者の事業所に勤務する場合があり、労働者の勤務形態は派遣に近くなるが、この場合、請負側労働者への指揮命令は請負側の管理者が行わなければならない。発注元の従業員が直接指示を出すのは俗に「偽装請負」と呼ばれる違法行為となる。

IT業界では、情報システム関連業務(開発や保守、サポートなど)を専門の事業者が請け負い、発注側の事業所に勤務して業務を行う「客先常駐」型のサービスがあり、「SES」(システムエンジニアリングサービス)と呼ばれる。労働者派遣ではないため、必ず受注側の監督者が帯同し、発注者から請け負った業務の指揮命令を自社の労働者に行うことになっている。

依頼主側に人員を送り業務に就かせる人材派遣と異なり、業務を実施するための資金、人員、施設、設備、材料などは請負側の責任で用意・調達する。また、従業員の労務管理や指揮命令は請負側の管理監督者が行わなければならない。

依頼主側の監督者が請負側のスタッフを指揮するなど、これらの要件を満たさない場合、実態は直接雇用や労働者派遣であるのに請負契約を装った「偽装請負」となり、職業安定法や労働基準法などに対する違反となる。

請負契約と準委任契約

業務請負では具体的な契約形態として「請負契約」と「準委任契約」のいずれかが用いられることが多い。

請負契約とは、仕事の完成を目的として、納期までに成果を納めて対価を得る契約形態で、受注者は納期までに委託された業務を完遂して成果を発注者に引き渡す義務を負う。成果物に不具合がある場合も受注者側の責任で対応する義務がある(瑕疵担保責任)。

一方、準委任契約は仕事の完成などは保証せず、定められた期間だけ業務を遂行することを委託する契約形態である。派遣に近いが、請負契約の一種であるため発注者による直接の指揮監督は認められない。IT分野では「SES」(システムエンジニアリングサービス)の呼称で定着している。

業務委託には「請負契約」と準委任契約がよく用いられるが、請負契約は仕事の完成を目的とし、受注者は委託された業務を完成・完了させて成果を発注者に引き渡す義務を負う。一方、準委任契約は定められた期間だけ業務を遂行することが目的で、仕事の完成の成果物の保証(瑕疵担保責任)などの義務は生じない。

成果を保証せず作業の遂行自体を委託する点では「派遣契約」にも似ているが、派遣の場合は発注者が作業者に直に指揮・命令できる一方、準委任契約で発注した仕事は受注者側の責任において遂行される。発注者が直接監督することは偽装請負となり違法となる。

なお、「準」のつかない「委任契約」は法律行為の実施を委託する契約のことで、弁護士と依頼人の間などで交わされるものである。弁護士資格のない者が委任契約を結んで法律行為を行うことは弁護士法で禁止されている。

一般に発注元事業者は下請事業者に対し優越的な地位にあることが多く、これを乱用して代金を発注後に一方的に引き下げたり、支払いを先延ばしにしたりといった不公正な取引を強要することがある。

こうしたことを防ぐため、下請法では一定の基準を満たす取引について、発注元に対し、取引内容を記した書面の交付義務や、支払期日を定める義務、取引記録の作成・保管義務、支払いが遅延した場合の利息の支払い義務を課している。

対象となる取引は、製造委託、修理委託、情報成果物作成委託(ソフトウェア開発など)、役務(サービス)提供委託などの取引で、建設工事など別の法律で同様の規定がある取引は除外されている。

取引が下請けに該当するか否かは発注元と受注先の企業規模の差によって判断され、製造委託などの場合は資本金3億円超の企業からそれ以下の企業への、または、1000万円超の企業からそれ以下の企業への発注が対象となる。役務提供などの場合は資本金5000万円超の企業からそれ以下の企業への、または、1000万円超の企業からそれ以下の企業への発注が対象となる。

製品が本来備えるべき安全性が欠けていることによって、購入者や使用者の身体や(その製品以外の)財産に害が生じた場合について、その製品を製造・加工・輸入等した事業者が賠償責任を負うことを定めている。販売者の責任は問われない。

安全上の欠陥により事故などが生じた場合の損害を対象した法律で、性能や機能、品質が販売時に提示された水準に満たず、製造者のうたう利益や便益が得られなかったといった損失や逸失利益には適用されない(他の法律に基いて賠償請求できる場合はある)。

対象となる製品は「製造または加工された動産」と規定され、建物(不動産)や、未加工の状態で販売された物(採れたての野菜など)、サービス、ソフトウェア、電気などの無体物は対象外となる。ただし、電子機器が内蔵するソフトウェアの不具合によって損害を生じた場合には、その機器の欠陥として対象となる。

企業コンプライアンスとは、企業が業務の遂行にあたって法律や条例、政令、規制、業界団体などが定めた規則や申し合わせ事項、自主規制といった各種のルールを遵守することを意味する。外部で制定されたものに加えて、自社内で独自に定めた社内規則や倫理規定、行動規範などを対象に含めることもある。

コンプライアンスは企業統治(コーポレートガバナンス)および内部統制の重要な構成要素の一つとされ、担当の部署や体制を設けたり、社内通報制度などの仕組みを整備することもある。株式市場では上場審査などに関連する項目があり、上場後も内部統制報告書などで報告・開示が義務付けられている。

一般的には遵守する対象は何らかの形で明文化されたルールであり、倫理や道徳、社会的規範、常識などモラルやマナーの範疇に属するものは含まれないが、これらを含めてコンプライアンスの対象にすべきであるとする考え方もある。

デジタル化された情報の発信や公開、利用にあたり必要となる基礎的な知識や規範の体系で、他者への加害や権利侵害を行わないよう行動に責任を持ち、また、自己や周囲が危険に巻き込まれるのを避けるために必要となる。

まず、コンピュータやスマートフォンなどの情報機器やインターネットやネットサービスの特性(特に、現実の日常生活との違い)、および、情報発信に関する法制度(著作権や名誉毀損など)の基礎知識が土台となる。

その上で、具体的な行動規範として、発信する情報に責任を持つ、他者の権利や尊厳を尊重する、自らや周囲の個人情報やプライバシーをみだりに公開したり教えたりしない、ネットでしか繋がりのない相手を簡単に信用しない、といった内容が含まれる。具体的な内容は多岐に渡り、時代や新しい機器・サービスの普及、法制度の改正によっても変遷する。

大人が社会人の基礎的な素養として身につけるべきであることはもちろん、子どものうちから発達段階に応じて教育すべきであるとされ、学校でも情報教育の一環として2008年改定の学習指導要領から情報倫理教育が明確に定義されている。

特定電気通信役務提供者

この法律は主に「特定電気通信役務提供者」について適用されるが、これには狭義のプロバイダであるインターネット接続事業者(ISP：インターネットサービスプロバイダ)だけでなく、Webサイトの公開・運用を請け負う事業者(サーバホスティング事業者やブログサービス事業者など)、電子掲示板(BBS)やSNSの運営者など、契約者にネット上で情報発信できる環境を提供している者が含まれる。営利事業か否かの区別もなく、状況によっては大学や公的機関、個人などが該当する場合もある。

責任の制限

以前は法的な位置づけが曖昧だった、ネット上で著作権侵害や名誉毀損、プライバシー侵害などが発生した際のプロバイダ等の賠償責任を、一定の条件を満たした場合に免責するよう定めている。

ある情報の流通について権利が侵害されたと主張する者が現れた場合に、当該情報の流通を止めなかった責任について、プロバイダ等自身が発信者ではなく、差し止めが技術的に不可能である、権利侵害であると知らなかったといった条件を満たした場合に免責される。

逆に、権利侵害の申告を受けて情報の流通を止めた場合に発信者側に生じた損害について、停止措置が必要最低限であり、権利侵害を疑う十分な理由があった場合に免責される。選挙運動期間中の候補者や政党などについての情報を差し止めた場合については、別項を設けて似た内容の規定(発信者に生じた損害の免責)を定めている。

リベンジポルノの防止

2014年に成立した私事性的画像記録の提供等による被害の防止に関する法律(通称リベンジポルノ被害防止法)ではプロバイダ責任制限法の特例を定めており、いわゆるリベンジポルノの公開を停止する措置を講じた場合に、発信者側(加害者側)に生じた損害についてプロバイダ等の賠償責任を免責している。

発信者情報の開示

以前は権利侵害事案の発信者情報の開示について法的な規定がなく、プロバイダ等は被害を訴える側に任意に情報を提供すれば発信者側から、拒否すれば被害者側から訴えられるリスクを負う板挟み状態となっていたが、この法律では開示請求について一定の基準を定めている。

権利侵害を受けたと主張する側は、当該情報による権利侵害が明らかである証拠があり、差し止めや賠償の請求などを行うために発信者情報が必要である場合に、プロバイダ等に発信者情報の開示を請求できる。プロバイダ側は可能な限り発信者に意見の聴取を行い、請求者の訴えが正当であると認められる場合は発信者の情報を開示する。

開示の対象となる発信者情報は、発信者の氏名、住所、メールアドレス、当該情報送信時のIPアドレス、当該情報の送信日時で、プロバイダ側はこれらの情報を取得して保管しておかなければならない。

具体的な手続きや判断基準は業界団体であるプロバイダ責任制限法ガイドライン等検討協議会が発行する「プロバイダ責任制限法発信者情報開示ガイドライン」に基づいて行われている。

なお、発信者の情報を開示しなかったことで請求者側に生じた損害について、プロバイダ等自身が発信者ではなく故意や重い過失ではない場合には賠償責任が免責される。

組織がソーシャルメディアを通じて情報発信や他の利用者との間でやり取りする活動に関して、目的や基本方針、運営体制、行動基準、連絡窓口、免責事項、フォローや返信などSNSでの行動に関する方針、他の利用者に求める制限や禁止事項などを記載する。

企業などが広報やマーケティングなどでSNSを活用する場面が増えるに従い、いわゆる炎上や著作権侵害、商標権侵害などのトラブルに遭遇する事例も増えている。組織や関係者に何かあると公式アカウントが窓口扱いされることもあり、企業としてSNSに取り組む姿勢を外部に告知する目的でソーシャルメディアポリシーが策定される。

策定した文書は組織の公式Webサイト上で発表し、SNS上のアカウントのプロフィール欄などからリンクすることが多い。公表される文書は主に組織外の人へ方針を知らせる目的で作成されるため、従業員が業務でSNSを利用する際の運営規則やマニュアルは詳細なものを別に作成し、社内や部署内で共有することが多い。

Webサイトやネットサービス、電子掲示板(BBS)、チャット、SNS、メッセンジャーなどで情報を送受信したり共有したりする際に、他者に不利益を与えたり不快にしないために気をつけるべき事柄をまとめたもの。

「ネチケット」という呼称は、「ネットワーク」(network)と「エチケット」(etiquette)を組み合わせた造語である。一部は時代と共に変化し、また、コミュニティやサービスなどそれぞれの「場」によっても違いが見られる。

ネチケットは倫理・道徳の問題であるため、利用規約や法律といったルールの範疇に含まれる事柄は本来取り扱わないが、インターネットが普及して日が浅く、禁止事項や法令違反について一般社会のそれと同じようには認知が進んでいないため、著作権の取り扱いなど、啓蒙の意味を込めて法的な要素を含めることもある。

具体例

一般社会と共通なものとしては、知らない相手には丁寧に接する、誹謗・中傷・挑発・差別的発言などをしない、個人情報やプライバシーを本人に同意を得ずに他人に教えたり書き込んだりしない、他者の著作物や肖像を無断で使用しない、といったものがある。

ネット社会特有なものとして、検索エンジンなどで簡単に調べられるようなことを人に聞かない、同じ質問をあちこちで同時にしない、チェーンメールを転送しない、メールの同報送信で他人のメールアドレスを勝手に他の人に教えない(BCCを使う)といったものもある。

技術的な要請

また、コンピュータやソフトウェア、通信回線などの技術的な要請から必要とされるものもある。例えば、大容量のデータを電子メールに添付しない、機種依存文字を使用しない、不正アクセスやウイルス感染の踏み台にならないようソフトウェアを最新に保ちセキュリティソフトで自衛する、といった点がよく指摘される。

技術的な背景は時代によって大きく変わり、変化のスピードも速いため、少し前のマナーが時代遅れになってしまうこともある。例えば、ネット普及期に指摘されていた、ファイルのダウンロードは地理的に近いサーバを選択すべき、といった考え方は通信回線の高速化やCDNの普及、FTPの衰退などにより無効化している。

特定の集団内だけでなく不特定多数の人々へ増殖しながら転送されていくことを目指し、受信者に対して友人・知人や参加するメーリングリストなどに転送することを勧める内容が記載されたメールのことを指す。そこで告知している内容の真偽や善悪、当否は問わない。

近年ではチャットやインスタントメッセンジャー、SNSなどのネットサービスのメッセージ機能を利用して無差別に転送を勧めるチェーンメール的なメッセージが流通することがあり、それらは電子メールではないが、便宜上「チェーンメール」と呼ぶことがある。

チェーンメールの内容

内容は、いわゆる不幸の手紙のように「転送しないと悪いことが起きる」と無根拠に宣言して転送を強要するものや、「このようなコンピュータウイルスが流行しているので対策法を広めて」「テレビ番組の企画でどこまでメッセージが広まるか試しているので協力してほしい」などともっともらしい作り話で拡散を呼びかけるものが多い。

他にも、儲け話を装った詐欺、無限連鎖講(ねずみ講)などの勧誘、噂話やデマ、特定の人物や集団の誹謗など、面白半分の悪戯や悪意・害意に基づいた攻撃的な内容も見られる。行方不明の人探しやペット探し、募金の呼びかけなど、それ自体は善意に基いた内容のチェーンメールもある。

チェーンメールの問題点

チェーンメールは発信元と無関係な第三者が受信しても責任の所在や信ぴょう性などを確認することが困難なことが多く、いったん広まり始めると発信元も含め誰にも制御することができなくなり、途中で改竄されたり発信当初とは状況が変わっても停止したり修正したりできない。

長くインターネットを利用している人々の間ではどのような内容でも転送せずに止めるのがマナーとされることが多いが、人助けのためならば積極的に広めるべきと考える人も少なくないため、そのような手段を用いることの是非をめぐってしばしば論争が起きる。

Web検索やニュース配信などのネットサービスには「フィルタリング」(filtering)の機能があり、様々な条件に基づいて内容が取捨選択される。これには、利用者の登録情報、過去のアクセス履歴、属性や関心、嗜好などに基づいて、一人ひとりに適した内容に「個人化」(パーソナライズ)する仕組みも含まれる。

日常接する情報サービスが過度にパーソナライズされると、本人の思想や世界観、利益、願望にマッチした「望ましい」検索結果やニュースばかりが並ぶようになり、新しい視点や社会の関心事から切り離され、社会に対する視野が狭まる可能性があるとされる。

この様子を、フィルタによって形成された泡(バブル)に一人ひとりの利用者が閉じ込められているという意味込めて「フィルターバブル」という語が考案された。各々が「見たいものだけ見る」ようになった社会では、民主主義を基礎付ける開かれた市民的な議論も困難になる危険性が指摘されている。

この概念は2010年頃に米インターネット活動家のイーライ・パリサー(Eli Pariser)氏によって考案され、2011年に刊行された著書 “The Filter Bubble: What the Internet Is Hiding from You” (邦題：閉じこもるインターネット ― グーグル・パーソナライズ・民主主義)によって広く知られるところとなった。氏はフィルターバブルが懸念されるシステムの例としてGoogle検索とFacebookニュースフィードを挙げている。

似た概念に「エコーチェンバー現象」が知られている。これは2010年代にSNSの本格的な普及と市民生活への浸透、サービスの高度化が進んだことで見られるようになった現象で、自分と似た人とばかり交流し、自分と似た人の発言ばかり好んで目にすることで視野が狭くなり、集団で偏った信念や思想を互いに強化し合って過激化してゆく状態を指す。

「タトゥー」(tattoo)とは入れ墨のことで、一度体に刻んだ入れ墨が自然には消えずに生涯残り続けるように、ネット上に現れた自分についての情報が消えずに残り続ける状態を表している。

SNSやブログなどの利用者が投稿した情報は本人の操作により消去することができるが、検索エンジンのキャッシュやWebアーカイブサービスに複製されたり、他の利用者の投稿に引用、複製された場合には容易に消去させることができなくなる。

これにより、ある人物について本人あるいは他人が過去に公開した情報が時間が経ってもネット上に残存し続け、本人に不都合があっても手続きが煩雑すぎてすべて消去するのは事実上不可能になる現象をデジタルタトゥーという。

デジタルタトゥーとなりうるのは、本人と識別できる情報(個人情報や芸名など)に紐付いた本人の過去の属性や行動、所属などに関する情報(SNSの書き込み、学歴・職歴など)、本人が写っている写真や動画、本人について他人が名指しで言及、指摘、暴露した情報などである。

特に問題となるのは本人についての悪い情報が残り続ける現象で、過去の犯罪やSNSへの悪ふざけ投稿などが「炎上」して多くのサイトに取り上げられ罰を受けた後も容易に検索できてしまう事例や、元恋人に逆恨みされ腹いせに暴露投稿されたセンシティブな写真が複製され続ける問題などがよく知られる。

茶漉しに固形物の混ざった液体を注ぐと網目より大きな塊は濾し取られて小さなものは通過するように、何らかの基準や条件に基づいて通過させるかどうかを判断し、一部を通さない働きのことをこのように呼ぶ。そのような働きをする機器やソフトウェアは「フィルタ」(filter)という。

単にフィルタリングといった場合、パソコンやスマートフォンなどでインターネット上のWebページやオンラインサービスを利用する際、あらかじめ指定された条件に基づいて一部をアクセスできないよう制限する「コンテンツフィルタリング」(content filtering)機能のことを指すことが多い。主に保護者が未成年の子どもに好ましくないコンテンツやサービスに触れないようにするために用いられる。

メールフィルタリング

メールソフトやメールサーバなどが、受信したメールの内容や添付ファイルなどから迷惑メールやウイルスメールと疑わしいメールを選別し、専用のフォルダに集めたり破棄する機能を「メールフィルタリング」「スパムフィルタリング」などという。

パケットフィルタリング

インターネットとLAN(構内ネットワーク)の間などネットワーク境界に設置されたファイアウォールやルータなどが、内外を通過するデータ(パケット)を検査してウイルス感染や不正アクセスなどが疑われるものを破棄する機能を「パケットフィルタリング」という。

パソコンやゲーム機、スマートフォン、タブレット端末などの機器や、それらの上で利用されるソフトウェアやオンラインサービスなどで提供される使用制限機能で、親があらかじめ設定した条件に従って、子どもが使用・視聴する際に一部の機能や内容を制限・封鎖する。子どもが自分で解除できないよう、親がパスワードや暗証番号を設定することができるようになっていることが多い。

制限の具体的な内容や方式は機器やサービスなどによって異なるが、成人向けに制作された性描写や暴力表現などを含む映像やゲームなどを利用できないようにしたり、機器を使用可能な時間(連続使用時間や時間帯)を制限することが多い。子どもが使っている時の操作や利用の記録を取り、親が後から確認できるようにするシステムもある。

携帯機器やネット接続された機器では、オンラインでの料金の支払いや、写真や位置情報などプライバシーに繋がる情報の送信、SNSなど特定のアプリの使用、アカウント情報の変更など、特定の機能や操作をブロックすることができるようになっている場合もある。

ゲーム作品や映像作品などでは業界団体などが作品の審査を行い、「成人向け」「15歳以上向け」「全年齢可」などいくつかの段階を設けて視聴・プレイ可能な年齢の格付け(レーティング)を行っていることがある。DVDプレーヤーや家庭用ゲーム機などでは、この情報をコンテンツの一部として記録しておき、機器側の制限情報と照らし合わせて自動的に再生や起動を制限する仕組みも提供されている。

なお、“parental” は本来「パレンタル」に近い発音だが、日本では “parent” (ペアレント)の発音に引きずられて「ペアレンタル」という表記が定着している。

正式な定義などはなく、文脈によって意味が異なるが、狭義には、主に株主が経営者を監視し、不正や暴走、会社の私物化などを防いで企業価値の最大化に集中させるための仕組みや制度を意味することが多い。

広義には、企業活動全般について、組織ぐるみの不正や違法行為、非倫理的な振る舞いを抑え、株主だけでなく従業員や取引先など企業を取り巻くすべての利害関係者(ステークホルダー)にとって、また、社会全体にとって企業活動が害を及ぼさないようにするための仕組みを意味することが多い。

具体的な仕組みには、従来より法律や株式市場のルールなどによって規定された制度(株主総会、株主代表訴訟、監査制度、上場企業の財務情報開示制度など)もあるが、各企業が独自に取り組むものとして、社外取締役や社外監査役の任命、取締役と執行役の分離、指名委員会や報酬委員会の設置、内部通報制度の整備、役員や従業員の行動準則や行動規範の策定などがある。

企業などの法人や行政機関が行っている(あるいは行おうとしている)法令違反を知った従業員がそのことを告発した際に、法人側が告発を理由とする解雇や雇い止め、減給、降格など不利益な取り扱いを行うことを禁じている。

対象となる内部告発は、刑法や食品衛生法など国民の生命や財産の保護に関連する法律や条例、政省令に対する違反や犯罪で、通報先は企業内部の管理部門などのほか、処分や取り締まりなどの権限を有する行政機関、マスコミや消費者団体など外部機関が規定されている。

例えば、ネジの標準化が行われる前の時代は、メーカーや製品、部品ごとにばらばらな寸法・形状のネジが使われ、機能やサイズに違いがないのに細部が微妙に異なる多品種のネジを個別に少量ずつ製造していた。

メーカーは自社製品専用のネジを少量ずつ自社生産しなければならず、大量生産してコスト削減や効率化を図ったり、専業の生産者から安く買い付けたりすることは難しい。購入者も割高なネジが使われた高価な製品しか選択肢がなく、修理などの際も必ず製造元から特注品を取り寄せなければならない。

ネジの仕様が公的機関や業界団体の主導により標準化されると、各メーカーは同じ寸法・形状のネジを使うようになり、製品間で同じネジを採用して大量生産による効率化を図ったり、外部への販売や外部からの購入も自由にできるようになった。他の汎用部品についても標準化が進められると、完成品メーカーと部品メーカーの役割分担が進み、産業全体の効率が高まった。

標準化は度量衡などの単位や送電網の電圧などの社会インフラ、ネジのような工業製品、部品などモノの仕様から始まったが、現代ではデータ形式などの無体物、圧縮符号化方式や通信プロトコルといった情報処理の手順、製造プロセスなどの仕組みや業務手順、組織体制などについても行われるようになっている。

標準の種類

産業における標準は主導者や成立過程によりいくつかの類型に分かれる。このうち、公的な標準化団体などが定められた手続きや法制度に則って正式に策定するものを「デジュールスタンダード」(de jure standard/「デジュリスタンダード」とも)という。ISOなどの国際機関が定めた規格、日本国内のJIS規格などが該当する。

一方、公的機関の手続きなどに依らず、特定の企業が仕様を定めて製品を市場で普及させた結果、広く受け入れられて事実上の標準となったものを「デファクトスタンダード」(de facto standard)という。変化の速いIT分野はデファクト標準が多く、標準化機関が後追いでデジュール標準化する例も見られる。

両者の中間的な方式として、複数の企業や専門家集団が業界団体(フォーラム)を形成し、共同で仕様を策定する「フォーラム標準」(forum standard)がある。DVDフォーラムが策定したDVD規格などの例が見られる。フォーラム標準は市場で定着してデファクト標準化し、その後に公的機関がデジュール標準化することが多いが、デファクトの地位を得られず撤退することもある。

標準化団体

標準化を推進する組織を標準化団体という。各国の代表が参画して運営される国際機関としてはISO(国際標準化機構)、IEC(国際電気標準会議)、ITU(国際電気通信連合)などがよく知られる。IEEEのように国際的な専門家団体が標準化団体を兼ねている例、3GPPのように国家と企業が関与する例などもある。

各国には法的に定められた公的規格があり、これを策定する標準化団体がある。日本の場合、JIS規格を発行する日本規格協会(JSA)および審議機関の日本産業標準調査会(JISC)、電波産業会(ARIB)、情報通信技術委員会(TTC)などが該当する。欧州域内の標準化を推進するCEN(欧州標準化委員会)やETSI(欧州電気通信標準化機構)のように国家連合が主導する機関もある。

IT分野では、フォーラム標準を策定する業界団体、企業連合も有力な標準化団体である。DVDフォーラム(DVD)、Blu-ray Discアソシエーション(Blu-ray Disc)、SDアソシエーション(SDメモリーカード)、Unicodeコンソーシアム(Unicode)、Wi-Fiアライアンス(Wi-Fi)、JEDEC(各種メモリ規格)、The Open Group(UNIX)などがよく知られる。

インターネット分野では、伝統的に専門家や開発者が個人の資格で参画する、企業連合的でないコミュニティ型の標準化団体が有力となっている。IETF(インターネット技術全般)やW3C(Web技術)、WHATWG(Web技術)などである。

“de facto” とはラテン語で「事実上の」という意味で、公的な機関による議論や交渉、手続きなどを経て正式に制定された規格ではなく、一企業や企業連合などが私的に決定して製品に組み込んだ仕様が広く普及した結果、実質的な標準となった状態を指す。

家庭用ビデオにおけるVHS、パソコン向けオペレーティングシステム(OS)におけるWindows、コンピュータネットワークの通信手順(プロトコル)におけるTCP/IPなどがデファクトスタンダードの例として挙げられる。国際的なコミュニケーションに英語を用いることもデファクトスタンダードの一種であると言える。

一旦デファクトスタンダードが確立した業界においては、標準仕様に対応した製品や、標準製品と高い互換性を持つ製品が市場のほとんどを占めるようになる。すでにデファクトスタンダードとなった仕様を公的な標準化機関が後から標準規格として制定(追認)することもある。

一方、特定の技術分野に関係する業界や企業などが組織する企業連合や業界団体、専門家集団などが提唱する標準仕様などのことを「フォーラム標準」(forum standard)という。また、JISCやANSIなど各国政府の標準化機関や、ISO(国際標準化機構)やIEC(国際電気標準会議)、ITU(国際電気通信連合)といった国際標準化機関が定める制度的な標準規格を「デジュールスタンダード」(de jure standard/デジュリスタンダードとも)という。

日本のJIS規格や米国のANSI規格、欧州のEN規格などが該当し、国際的にはISO(国際標準化機構)やIEC(国際電気標準会議)、ITU(国際電気通信連合)などが定めた規格が該当する。

標準化団体が策定する規格でも、政府や国連などの公的機関が関与する制度的な機関ではなく、企業連合や業界団体、専門家集団などが策定するものは「フォーラム標準」(forum standard)と呼ばれる。

一方、標準化活動に依らず、特定の企業などの製品やその仕様が広く普及した結果、事実上の業界標準のような状態になることを「デファクトスタンダード」(de facto standard)という。

IT業界におけるデジュレスタンダードの例としてはASCIIやJIS X 0201といった文字コード標準などが挙げられる。プログラミング言語のJavaScriptがEcma Internationalによるフォーラム標準(ECMAScript)の策定を経てISO/IEC 16262やJIS X 3060として標準化されたように、デファクトスタンダードが標準化活動によってデジュレスタンダード化することもある。

“de jure” はラテン語の「法律上の」という表現に由来する。標準的なカナ表記が定まっておらず、「デジュール」「デジュリ」のほか「デジュレ」「デジューレ」などと表記されることもある。英語での発音は「ディージュアリ」に近い。

電気・電子分野におけるIEEE(Institute of Electrical and Electronic Engineers)規格、インターネット技術におけるIETF(Internet Engineering Task Force)やW3C(World Wide Web Consortium)の規格などが該当し、IT分野では個別技術ごとに結成された企業連合による標準化活動も活発に行われている。

一方、日本のJIS規格や国際的なISO(国際標準化機構)規格など、公的機関や標準化機関が策定した制度上の標準規格を「デジュールスタンダード」(de jure standard/デジュリスタンダードとも)、特定の製品などが普及した結果、その仕様が事実上の標準として広まったものを「デファクトスタンダード」(de facto standard)という。

デファクトスタンダードは一社が単独で策定して使い始めた仕様がそのまま広まる場合もあるが、フォーラム標準は複数の企業や団体、当該分野に強い影響力を有する専門家などが集まり、標準化団体の内部での討議を経て仕様を発行する。

フォーラム標準の有名な例として、光学ディスクの「DVD」(DVDフォーラム)やメモリーカードの「SDメモリーカード」(SDアソシエーション)、多言語の文字コード規格である「Unicode」(Unicodeコンソーシアム)などが挙げられる。Unicodeとほぼ同様の仕様がISO/IEC 10646として正式に標準化されたように、IT業界ではフォーラム標準がデファクトスタンダード化した後に公的な標準化機関によってデジュールスタンダード化する事例が多く見られる。

一方、フォーラム標準がデファクトスタンダードを獲得できなかった例としてDVDの次世代規格がある。それぞれ別の団体が推進する「Blu-ray Disc」と「HD DVD」という二つのフォーラム標準が競合したが、Blu-ray Discがデファクトの地位を獲得し、敗れたHD DVDは普及することなく消滅した。

MPEGやJPEGのように、ISOやIEC、ITUなどの標準化機関が専門家を招いて設置した作業部会が策定した規格もフォーラム標準に分類されることが多いが、JPEGのISO/IEC 10918規格のように、最終的に標準化機関が発行した規格はデジュールスタンダードである。

太さの異なる複数の縦棒(バー)と隙間(スペース)を交互に並べてデータを表現したもので、表現できる文字の種類やパターンとの対応ルールにはいくつかの規格が存在する。バーとスペースの太さの相対的な比率を読み取っているため、図形全体の大きさは(機械が読み取れる範囲であれば)任意で構わない。

バーコードを読み取る装置を「バーコードリーダー」(barcode reader)あるいは「バーコードスキャナー」(barcode scanner)という。光源と光センサーで構成され、光源の光がバーコードに当たって反射したものを読み取って符号に変換する。専用の装置は小売店のレジなどによく設置されているほか、スマートフォンにもカメラによるバーコード読み取りアプリが提供されている。

バーコードは流通業や小売業における商品の機械的な識別の仕組みとして広く普及しているほか、製造業での部品の識別、図書館での蔵書の管理、宅配・郵便事業での荷物の識別などにも使われている。商品コードの標準規格として「JANコード」(日本)、「EANコード」(ヨーロッパ他)、「UPCコード」(北米)などがよく知られている。

バーコードは情報を1次元的に表現するが、文字や数字を2次元の図形パターンとして表現するものを「2次元コード」(2D code)という。「QRコード」などがよく知られており、情報量がバーコードの数十倍あるためWebサイトのURLなど様々な情報を表すのに用いられている。広義には2次元コードを含めバーコードと呼ぶ場合もある。

13桁の標準タイプと8桁の短縮タイプがあり、それぞれ番号の体系や棒状のシンボルと空白の並べ方についての仕様を定めている。8桁のコードは日本独自で、パッケージが小さく標準タイプを印刷できない製品にのみ利用される。

13桁のコードは日本の国コードである「49」または「45」で始まり、5桁または7桁のメーカーコード(GS1事業者コード)、5桁または3桁の商品コード、1桁のチェックデジットが続く。8桁の場合は国コードに続いて4桁のメーカーコード、1桁の商品コード、1桁のチェックデジットが続く。

小売店などが店頭で独自にコードを作成するインストアマーキングも可能で、価格データをコードに含める場合は国コードを「02」として5桁の商品コード、1桁の価格チェックディジット、4桁の価格、1桁のチェックディジットという形式になる。

チェックディジット(C/D：check digit)は他の桁の値から一定の手順で算出される誤り検出符号で、コードの読み取り時に同じ計算を行い、末尾に付加されている値に一致すればコードに誤りが無いことを確認できる。

メーカーコードは重複しないよう一般財団法人流通システム開発センターが一元管理しており、コードを利用したいメーカーは商工会議所などを通じて同センターから自社のコードを取得する。

JANコードの標準規格は1978年にJIS B 9550(共通商品コード用バーコードシンボル)として制定された。1987年、情報処理部門のXシリーズ新設に伴い、JIS X 0501に移行した。北米のUPC(Universal Product Code)やヨーロッパのEAN(European Article Number)コードとほとんどの仕様が共通しており、互換性がある。

小さな正方形の点を縦横同じ数だけ並べたマトリックス型2次元コードで、一辺に21個並べた「バージョン1」から、177個並べた「バージョン40」まで、40通りの仕様が用意されている。点の数が多いほうがたくさんの情報を記録できるが、必要な面積は大きくなっていく。

コード領域の三方の角には、中心が黒く塗りつぶされた大きな「回」の字型の「切り出しシンボル」(ファインダパターン)が配置されており、360度どの向きから読み取っても正確に情報が読み出せるようになっている。

記録できる情報量はバージョン40の場合で最大23,648ビットである。文字は独自のコード体系および符号化方式で表され、カナや漢字を含む文字列は最長1,817文字、アルファベットと数字だけなら4,296文字、数字だけなら7,089文字まで記録できる。

データには冗長性を持たせてあり、一部が汚損して読み取れなくてもデータを復元することができる。誤り訂正率は5段階から選択でき、最も低いもので約7%、最も高いもので約50%までの汚損に対応できる。誤り訂正率は高いほどより多くの冗長なデータが必要となるため、記録できるデータ量はその分少なくなる。

同社では自動車工場のカンバン(現品札)の自動読み取り、倉庫や配送の管理の効率化など、産業機器の自動化推進の一環としてQRコードを開発したが、汎用性の高さ、データ密度の高さ、高度な誤り訂正機能、読み取り向きが自由であるなど使い勝手の良さ、関連特許を開放して利用料を求めなかったことなどから、IT分野を中心に広く浸透している。

携帯電話のカメラ機能と組み合わせてインターネット上のURLやメールアドレス、サービス上のID情報などの告知や伝達に使われたり、乗り物の乗車券や搭乗券、イベントや施設のチケットレス入場、キャッシュレス決済などでよく用いられる。

分野ごとに専門委員会(TC：Technical Committee)が置かれ、各国機関の代表の意見を調整して標準化を進める。策定された規格には5桁以下の規格番号が与えられ、「ISO xxxxx-p:yyyy」という形式で表記・識別される。

「xxxxx」の部分が規格番号、「p」は複数部で構成される場合の部番号、「yyyy」は制定年または改訂年である。年表示は同じ規格が改訂された場合にどの年度の版かを識別するために記載され、改訂されていない規格には付けないことが多い。

ISO規格には、工業製品や部品の仕様などを定めたものの他にも、用語やコード番号などを定義した規格や、製法や工程(プロセス)、管理手法(マネジメントシステム)の標準を定めた規格、サービスの仕様や水準を定めた規格などもある。

IECとの関係

電気・電子分野の標準化はISOでは扱わず、国際電気標準会議(IEC：International Electrotechnical Commission)が担当している。規格番号の重複を避けるため、ISO標準の規格番号は60000未満、IEC標準の規格番号は60000～79999と定められている。

ただし、どちらとも言えない横断的な分野については合同技術委員会(JTC：Joint Technical Committee)を設け、「ISO/IEC xxxxx」という形式で両機関共通の標準規格を発行している。1987年に情報技術(IT)分野を扱う「JTC 1」が、2009年にエネルギーの効率化や再生可能エネルギーなどを扱う「JTC 2」が設置された。

歴史と名称

ISOは1947年に休眠状態だった万国規格統一協会(ISA：International Federation of the National Standardizing Associations)を改組して設置された。ISOには公用語が英語、フランス語、ロシア語の3つあり、組織名の綴りがそれぞれ異なる。

このため、略称に単語の頭文字をつなげた頭文字語を用いることはせず、ギリシャ語で「等しい」「均質」などを意味する “ἰσοϛ” (isos、英語の“equal”に相当)という言葉を元にISOという略称を定めた。

電気工学や電子工学、およびその応用分野、関連産業分野を対象に国際標準を定めており、電力システム(発電・送電・配電など)、電気通信、エレクトロニクス・半導体、家電製品、医療用電気機器、映像・音響・マルチメディアなど多岐に渡る分野で標準化活動を行なっている。

傘下に数十の技術委員会(TC：Technical Committee)が置かれ、それぞれの技術分野に関する専門家が集まり議論を行う。TCによっては副委員会(SC：Subcommittee)あるいは技術エリア(TA：Technical Area)という小委員会に分かれている場合もある。例えば、「TC 47」は「半導体デバイス」(Semiconductor devices)だが、「SC 47A」の「集積回路」(Integrated circuits)など4つのSCに分かれている。

IECの制定した規格にはそれぞれ固有の番号が与えられ、「IEC 61508」といったように表記する。規格番号はISO(国際標準化機構)の標準との重複を避けるため、60000～79999の整数が割り当てられる。複数のパートに分かれている場合は「IEC 61508-1」のように枝番で識別する。

一部の分野ではISO(国際標準化機構)と合同技術委員会(JTC：Joint Technical Committee)を設け、共同で標準化を行なっている。共同の規格はISO側の60000未満の規格番号を用いて「ISO/IEC 10646」のように表記する。コンピュータ・情報技術などを扱う「JTC 1」(1987年設立)と、エネルギーの効率化や再生可能エネルギーなどを扱う「JTC 2」(2009年設立)がある。

分野ごとに39の分科会(ソサエティと呼ばれる)に分かれ、各分野における論文誌の出版や国際会議の開催、教育活動などを行っている。分野によっては表彰制度があり、毎年大きな功績を挙げた研究者を選定し賞を授与している。

標準化部門の「IEEE-SA」(Standards Association)では分野ごとに専門化委員会を設置し、技術標準の策定・勧告を行っている。電気・電子分野を中心に世界的に最も有力な標準化団体の一つであり、「IEEE 802.11」「IEEE 1394」のようにIEEEで始まる規格名で広く知られる。

歴史

IEEEは1963年にAIEE(American Institute of Electrical Engineers：米国電気学会)とIRE(Institute of Radio Engineers：無線学会)が合併して発足した。初期には前身団体の流れを汲んで電気、電子、通信、無線、半導体、コンピュータなどの分野での活動が中心だった。

近年では周辺領域にも活動分野を広げ、航空・宇宙工学、医療・生体工学、核・プラズマ科学、電力・エネルギー、フォトニクス、安全工学、信頼性工学、海洋工学、ロボティクス・自動化、車両技術などの分科会が置かれている。

日本では1988年にIEEE Computer Society内の組織として東京にIEEEジャパン・オフィスが置かれ、2010年に日本におけるIEEEの活動全般を統括する組織に衣替えした。日本では約13000人が会員となっている。

主にWeb上で送受信される情報の表現形式についての標準を定めており、標準化された仕様は「勧告」(recommendation)として公開される。Web技術に関わりの深い世界の数百の企業や団体が加盟している。

よく知られる標準規格として、HTML(HyperText Markup Language)やCSS(Cascading Style Sheet)、XML(Extensible Markup Language)などのマークアップ言語やスタイル記述言語、CGI(Common Gateway Interface)やDOM(Document Object Model)といったソフトウェア内のデータモデルやソフトウェア間のインターフェースなどがある。

Web関連の技術でも、HTTPやSSL/TLSなどのプロトコル(通信手順)についてはIETF(Internet Engineering Task Force)が、JavaScriptについてはEcma Internationalがそれぞれ標準化している。

WHATWGとの関係

HTML規格については、2004年に有力Webブラウザ開発元などが設立した業界団体「WHATWG」(Web Hypertext Application Technology Working Group)も仕様の提唱を行なっており、しばらくの間両団体の標準が並立して業界に混乱を招いた。

協議の結果、2019年からはWHATWGが随時更新していく「HTML Living Standard」を唯一のHTML標準と認め、W3Cが独自に規格を策定しないことなどが合意された。

各規格はAからZの部門記号により分類され、規格番号により識別される。これを「JIS X 0201」のように表記する。規模の大きな規格は部(part)に分割され、「JIS X 8341-3」のようにハイフン(-)に続いて枝番号を示して識別する。規格は制定後に改訂されることがあり、どの年度の版なのかを示すには「JIS X 0208:1997」のようにコロン(:)に続けて制定年を表記する。

IT関連の規格はX部門(情報処理)やQ部門(管理システム)に多く存在する。1987年にX部門が新設される前はC部門(電子機器及び電子機械)に分類されていた。

JISC (日本産業標準調査会/日本工業標準調査会)

工業製品などに関する日本の国家規格を検討する標準化機関をJISC(Japanese Industrial Standards Committee)という。産業標準化法に基いて経済産業省に設置された審議会で、標準規格案の調査、審議を行い、主務大臣に答申する。

JISに含まれる各規格分野を所管する主務大臣(多くは経産大臣)はJISCからの答申、建議を受けて規格を制定する。2019年までは「日本工業標準調査会」という名称だったが、制度改定で「日本産業標準調査会」に改称した。

ISOとIECの合同作業部会(JTC1)が策定した規格群で、企業などの組織が情報セキュリティ管理を行う際のベストプラクティスやガイドラインを提供する。日本では同等の内容が日本産業規格(JIS規格)「JIS Q 27000シリーズ」として発行されている。

「ISO/IEC 27000」は「ISO/IEC 27001」「ISO/IEC 27002」などの一連の規格群(ISMSファミリ規格)の総称であると共に、「ISO/IEC 27000」という個別の規格も設けられている。この規格ではISMSファミリ規格群の目的や概要を示し、共通する用語の定義を列挙している。

ISO/IEC 27001

2005年に初版が発行された規格で、組織の情報セキュリティ管理が一定の水準を満たしていることを認定する「ISMS認証」の要求事項を定義している。日本では2006年に「JIS Q 27001」として同等の国内規格が発行されている。

ISMS認証制度は各国の認定機関が対象組織を審査し、ISO/IEC 27001の要求する事項を達成している場合にこれを認証するもので、日本では「ISMS適合性評価制度」の名称で一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が制度を運用している。

ISO/IEC 27002

情報セキュリティ管理を実践するためのベストプラクティス(実践規範)をまとめた規格。英国規格の「BS 7799」を元に2000年に策定された「ISO/IEC 17799」が2005年に改訂され、規格番号が改められISO/IEC 27000シリーズに編入された。日本では2006年に同等の内容が「JIS Q 27002」として発行されている。

組織が情報セキュリティ管理を実践するための指針として、基本方針、組織、資産管理、人的セキュリティ、物理セキュリティ、通信ネットワーク、アクセス制御、システム開発・保守、セキュリティインシデント管理、事業継続、コンプライアンスの12章に分けて規範が紹介されている。