Comments
Transcript
eラーニング事業の 法的リスクと対応策 - eラーニング情報ポータルサイト | 日本
eラーニング事業の 法的リスクと対応策 2003年8月1日 弁護士 森 亮二 [email protected] (C) Ryoji Mori 2003 目次 Ⅰ はじめに Ⅱ 従来型「ラーニング」における問題 1.著作権 コンテンツの複合的性格、複雑な権利関係の処理 2.個人情報保護 ① 教育・学習に関する個人情報の性格 ② ルールは何か?そもそも法的問題か(ガイドライン 等)? (C) Ryoji Mori 2003 目次 Ⅲ 「e」=デジタル化・ネットワーク化のインパクト 1.著作権 複合的性格、権利関係の複雑さ、増大 → ① 管理事業法、著作権法の改正による対応 → ② 集中管理制度をはじめとする工夫 2.個人情報保護 デジタル化に伴うリスクの増大 → ① 個人情報保護法の成立 → ② 情報セキュリティ (C) Ryoji Mori 2003 著作権 – 伝統的「ラーニング」の問題 <複合体としての性格> ・ 新聞・論文・小説からの引用 ・ 写真 ・ イラスト → 既存の著作物の処理 (学校等における複製の例外−著作権法35条) ・ 教員・ベンダー職員の作成部分 → 新しい著作物の処理 (職務著作権−著作権法15条) (C) Ryoji Mori 2003 職務著作権 (著作権法 15条) 法人その他使用者(中略)の発意に基づきその法人等の業務に 従事する者が職務上作成する著作物(プログラムを除く)で、そ の法人等が自己の著作の名義の下に公表するものの著作者は、 その作成の時における契約、勤務規則その他に別段の定めが ない限り、その法人等とする。2法人等の発意に基づきその法人 等の業務に従事する者が職務上作成するプログラムの著作物 の著作者は、その作成の時における契約、勤務規則その他に 別段の定めがない限り、その法人等とする。 (C) Ryoji Mori 2003 職務著作権- 要件と効果 a. 法人等の発意に基づくもの → 従業員がアイデアを出して上司が承認する場合もOK b. c. d. 法人等の業務に従事する者が職務上作成するもの → 雇用関係のない外部の業者が作成するものは× → 大学教授の作成する講義案は× 法人等が自己の名義で公表するもの(プログラムを除く) 作成時の契約、勤務規則に別段の定めがないこと Q:外部の業者に作成を委託する場合の注意点は? A:著作権移転の明記、著作者人格権の不行使特約 (C) Ryoji Mori 2003 学校等における複製の例外 (著作権法35条 教育現場における著作物の複製 ) 「学校その他の教育機関(営利を目的として設置されているもの を除く。)において教育を担任するものは、その授業の過程にお ける使用に供する事を目的とする場合には、必要と認められる 限度において、公表された著作物を複製することができる。ただ し、当該著作物の種類及び用途並びにその複製の部数及び態 様に照らし著作者の利益を不当に害することとなる場合には、こ の限りでない。」 注:現行法−平成15年12月31日まで有効 (C) Ryoji Mori 2003 学校等における例外 - 要件と効果1 a. 営利を目的として設置されている教育機関でないこと → 企業の研修施設は× b. 教育を担任する者自身がコピー等を行なうこと → 生徒がコピー等を行うことは× → インターネットを利用した調べ学習などで生徒がコンテン ツの無許諾複製を行うことも× c. その授業の過程における使用に供することを目的としてい ること → 全校生徒のために複製することは× d. 必要と認められる限度内であること → 授業において必要な部分に限られ、部数もクラスの生徒 数に限定される。 (C) Ryoji Mori 2003 学校等における例外 - 要件と効果2 e. f. 公表された著作物であること その著作物の種類及び用途並びにその複製物の部数及び 態様に照らし、著作権者の利益を不当に害することとならな いこと → ワークブックを一部購入して人数分複製するような行為 は認められない。 Q:サーバに複製して生徒に閲覧させる行為はどうか? A:△ サーバにおける複製は、クラスの生徒に限って閲覧できるものでないこ とが多く((c)?)、また長期間保存されるのが通常であるため((d)?)、 本条で許容される複製として認められない可能性あり。 Q:なぜこれほど不便なのか??? A:現行法は、デジタルコンテンツやネットワークの利用を想定していな い。 (C) Ryoji Mori 2003 著作権 - デジタル化・ネットワーク化 ①コンテンツの複合的性格、複雑な権利関係の処理 → さらに複雑に ②集中管理制度をはじめとする工夫 a. 「著作権等管理事業法」の施行 b. J-CIS(著作権権利情報集中管理システム) c. EduMart d. 文部科学省報告書(平成12年9月) 「コンピュータ、インターネット等を活用した著作物の教 育利用」 e. 文化審議会著作権分科会「審議経過報告」 (平成15年1月) ③著作権法改正(平成15年) (C) Ryoji Mori 2003 学校等における例外 – 改正35条 注:改正法−平成16年1月1日から有効 (著作権法35条 教育現場における著作物の複製等 ) 「学校その他の教育機関(営利を目的として設置されているものを除く。) において教育を担任する及び授業を受けるものは、その授業の過程にお ける使用に供する事を目的とする場合には、必要と認められる限度にお いて、公表された著作物を複製することができる。ただし、当該著作物の 種類及び用途並びにその複製の部数及び態様に照らし著作者の利益を 不当に害することとなる場合には、この限りでない。 2 公表された著作物については、前項の教育機関における授業の過程に おいて、当該授業を直接受ける者に対して当該著作物をその原作品若し くは複製物を提供し、若しくは提示して利用する場合又は当該著作物を 第三十八条第一項の規定により上演し、演奏し、上映し、若しくは口述し て利用する場合には、当該授業が行われる場所以外の場所において当 該授業を同時に受ける者に対して公衆送信(自動公衆送信の場合にあ つては、送信可能化を含む。)を行うことができる。ただし、当該著作物の 種類及び用途並びに当該公衆送信の態様に照らし著作権者の利益を不 当に害することとなる場合は、この限りでない。 」 (C) Ryoji Mori 2003 学校等における例外 – 改正35条 生徒がコピー等を行うこと × → ○ 旧法で複製可能であったものを遠隔教育で学ぶものに対し て(無許諾で)公衆送信 × → ○ (C) Ryoji Mori 2003 個人情報 – 伝統的「ラーニング」の問題 ① 教育・学習に関する個人情報の性格 → 人に知られたくない情報 (先進学習基盤協議会(ALIC) 「eラーニング白書 2002/2003」) ② 従来のルール a. 教育事業者が事業者として準拠すべきガイドライン → 特になし b. プライバシーマーク取得状況 → 一昨年までは低調 c.安全な管理を怠った場合の法的責任 → 民法(不法行為、債務不履行) (C) Ryoji Mori 2003 リスクの増大要因 - デジタル化・ネットワーク化 ① メディアのサイズ → 軽・小 e.g. 宇治市住民票データ流出事件 (MOでコピーして持ち出し) ② 複製が容易でデータの劣化なし+オンラインで転々流 通 → 二次被害の拡大 e.g. TBC事件 (WinMXで漏えい情報拡散) (C) Ryoji Mori 2003 リスクの内容・特徴 - デジタル化・ネットワーク化 ① 法的責任より風評被害 → 事前対策の重要性 ② 被害者の数が膨大 e.g. 宇治市住民票データ流出事件 → 22万人 TBC事件 → 5万人 ③ 外部より内部(委託先含む)が要注意 e.g. 防衛庁データ通信システム設計資料流出事件 KDD顧客データ漏えい事件 ④ ルールの変化に注意 → (C) Ryoji Mori 2003 個人情報保護法、JIS Q15001 個人情報保護法 - 成立と関連5法 ① 個人情報の有用性に配慮しつつ、個人の権利利益を保護 することを目的に、政府の個人情報保護法制化専門委員で 2000年2月から検討が進められ、2003年5月23日に成立 ② 個人情報保護関連5法 a. 「個人情報の保護に関する法律」いわゆる個人情報保護法 b. 「行政機関の保有する個人情報の保護に関する法律」(行政 機関 個人情報保護法) c. 「独立行政法人等の保有する個人情報の保護に関する法律」 (独立行政法人等個人情報保護法) d. 「情報公開・個人情報保護審査会設置法」(審査会設置法) e. 「行政機関の保有する個人情報の保護に関する法律等の施行に 伴う関係法律の整備等に関する法律」(整備法) (C) Ryoji Mori 2003 個人情報保護法– 個人情報取扱事業者の範囲1 – 規制対象=「個人情報取扱事業者」とは a. b. c. d. 「個人情報データベース等」を事業の用に供している者(第 2条第3項)。 「個人情報データベース等」 → 個人情報を含む情報の集合体であって、検索できる ように体系的に構成したコンピュータ処理情報およ び特定の個人情報を容易に検索できるように構成し たマニュアル情報(第2条第2項)。 国、地方公共団体および独立行政法人のほか、「その取り 扱う個人情報の量及び利用方法からみて個人の権利利益 を害するおそれが少ないものとして政令で定める者」は含 まれない(第2条第3項、第5項)。 「個人情報取扱事業者」であっても、報道機関、著述業者、 研究機関、宗教団体、政治機関は、義務規定の適用除外 (第50条)。 (C) Ryoji Mori 2003 個人情報保護法 – 個人情報取扱事業者の範囲2 – 「個人情報保護法入門」岡村久道より START 国の機関 か NO YES 地方公共 団体か YES 個人情報保護条例 行政機関 か NO 独立行政 法人又は 特殊法人 か NO YES 個人情報 データ ベース等 を事業の 用に供し ているか NO 適用法なし YES 独立行政法人等個人情報保護法 第5号に 基づき政 令で除外 された者 が NO 適用法なし YES YES 行政機関個人情報保護法 適用法なし (C) Ryoji Mori 2003 NO 個人情報取扱事業者 個人情報保護法 個人情報保護法– 個人情報取扱事業者の範囲3 – eラーニング事業へのあてはめ →「一定の規模」を有する事業者が義務規定の適用を受ける 「個人情報取扱事業者」となる。 「一定の規模」 → 上記c.「量及び利用方法からみて個人の権利利益を害 するおそれが少ないものとして政令で定める者」にあた らないもの ↓ 現時点でははっきりしないが、約5000件程度が区分の 基準になると言われている。 約5000件:現在の生徒数ではなく、卒業生やアン ケート に回答したものも含む「取り扱う個人情報の数(人数)」で あることに注意。 (C) Ryoji Mori 2003 個人情報保護法 – 取扱事業者の義務1 ① 利用目的の明確化、利用目的による制限 利用目的をできる限り特定しなければならない(第15条)。 利用目的の達成に必要な範囲を超えて取り扱ってはならない(第16条)。 ② 適正な取得、取得に際しての利用目的の通知 偽りその他不正の手段により取得してはならない(第17条) 。 取得したときは利用目的を通知又は公表しなければならない(第18条)。 利用目的を本人の知りうる状態に置かなければならない(第24条)。 ③ データ内容の正確性の確保 正確かつ最新の内容に保つよう努めなければならない(第19条) ④ 安全管理措置、従業者・委託先の監督 安全管理のために必要かつ適切な措置を講じなければならない(第20 条)。 従業者・委託先に対し、必要かつ適切な監督を行わなければならない (第21条、第22条)。 (C) Ryoji Mori 2003 個人情報保護法 – 取扱事業者の義務2 ⑤ 第三者提供の制限 本人の同意を得ないで第三者に提供してはならない(第23条)。 ⑥ 本人の求めによる開示、訂正、利用停止等 本人の求めに応じて保有個人データを開示しなければならない(第25条)。 本人の求めに応じ、訂正・利用停止等を行わなければならない(第26条、 第27条)。 ⑦ 苦情の処理 苦情の適切かつ迅速な処理に努めなければならない(第31条)。個人情 報取扱事業者を所管する主務大臣は、個人情報取扱事業者に対して必 要な限度において、報告の徴収を行い(第32条)、必要な助言を与える (第33条)権限を有している。 注:主務大臣は、個人情報取扱事業者が義務規定に違反し、個人の権利利 益保護のため必要がある場合には、勧告を行うことができ、この勧告に 従わない場合や緊急の必要がある場合には、命令を出すことができる (第34条)。命令に従わない場合には、罰則が適用される(第56条)。 (C) Ryoji Mori 2003 情報セキュリティー - 情報セキュリティーとは 情報セキュリティとは何か? → 「C」「I」「A」 ① 情報の機密性(Confidentialityアクセスを許可されたも のだけが情報にアクセスできるようになっていること) ② 情報の完全性(Integrity情報が正確で改ざんなどを受 けていないこと) ③ 可用性(Availability利用権限のあるものが必要なときに 情報を利用できるようになっていること) (C) Ryoji Mori 2003 情報セキュリティー – 確保のための制度 ① (財)日本情報処理開発協会(JIPDEC)― ISMS適合性評価制度 「ISMS」とは 団体における「情報セキュリティを管理する仕組み」、すなわち情報セ キュリティ・マネジメント・システム(Information Security Management System)をいう。 ISMS適合性評価制度とは 情報セキュリティーが十分であることを外部にアピールしたい団体はこ の制度を利用して第三者による「お墨付き」を得ることができる。 JIPDECは、この審査・評価のための基準として前述のJISX5080を参 照して整合性を持たせた「ISMS認証基準」を作成しており、審査の結 果、この基準を満たしていると評価されれば、ISMS認証基準取得の お墨付きが与えられることになる。 平成15年5月現在ISMS認証基準を取得事業者数は約140 ② 経済産業省情報セキュリティ監査制度 経済産業省は、平成15年4月1日より、「情報セキュリティ監査制度」の 運用を開始。 (C) Ryoji Mori 2003