林「情報法」(45)

二者択一と三択問題

 テレビのクイズ番組を見ていると、「AかBか」という二択問題が多いように感じます。朝方、同姓の林修さん(親戚ではありません)が登場する「ことば検定」は青・赤・緑の三択ですが、緑は番組スタッフが作る「選択肢もどき」(これもfakeの一種?)ですから、実質は二択です。これはなぜでしょうか? デジタル化やトランプ現象と関係があるのでしょうか? あまりに外気が暑いので、少し気楽に考えてみましょう。なお本テーマは、次回に続きます。

・法律は網羅的とは限らない

 前回述べたとおり、公開と秘匿の間は連続的なスぺクトラムとなっており、両極端だけを見ていたのでは、対処しきれない部分が出てきます。ところが、これまでの立法は、とりあえず中間的なグレイゾーンは後回しにして、典型的な例だけを扱うことが多かったように思います。前回は、公開と秘匿に加えて、真実か虚偽かというマトリクスを考えましたが、今回は後者の代わりに「情報の保有者が政府機関か民間企業か」という軸を使って、代表的な法律を示すと、以下の図表のようになります。

 この図表を一見しただけでは、それぞれの領域ごとに代表的な法律が揃っていて、よく整備されているように見えるかもしれません。しかし、個々の法律の適用範囲を子細に見ていくと、公開と秘匿や公的・私的保有者のスぺクトラムうち、重要な部分がいくつも抜け落ちていることに気づきます。

 最も新しい法である特定秘密保護法を例に取ると、これは長らく空白であった「行政機関の情報で秘匿すべきもの」について規定することで、法の欠缺(不存在)を補完するものです。しかし、それでもなお「行政機関以外の政府機関」(国会や裁判所)に関する立法は欠けたままです。ましてや政府と民間の協働による組織(Public-Private Partnership = PPP)や、公開と秘匿の境目にある情報の扱いなどは、カバーされていません。

・Controlled Unclassified Information

 公開と秘匿の中間があるなんて信じられないかもしれませんが、米国でCUI = Controlled Unclassified Information(秘密情報に分類されないが、なお取扱いに制限が課せられる情報)という矛盾に満ちた名前で呼ばれているものは、9.11でテロの事前抑止に失敗した教訓として注目されるようになった概念です。従来の Need-to-Know の原則に加え(場合によっては、それに代えて)、 Need-to-Share の必要性を指摘するものだからです。

 テロの教訓を踏まえて発出された大統領令(Executive Order)13556 は、情報を区分(classify)し、アクセスできる「有資格者」を制限すること(security clearance)も大切だが、インテリジェンス機関等で情報を共有することも、それに劣らず大事だという、ある種の意識改革を伴うものです。ご承知のように、情報は秘密と区分されるもの(classified information)とそうでないもの(unclassified)に明確に分けられ、前者はさらにtop secret・secret・confidentialに三分されます。

 ところが、こうした厳密な仕組みも、現場ではその通りには運用されていませんでした。9.11テロ以前から、unclassified情報の中にも、連邦政府の各機関でSBU(Sensitive But Unclassified)とか FOUO(For Official Use Only)という名称で、アクセスや配布が制限されてきた情報が100 種類以上あったとされます。これらを改めて、CUIという形で統一的に扱う方針を定めたのが上記の大統領令なのです。いわば「生活の知恵」として運用されてきた方法を、追認し正規化したという側面もあるのです。

 大統領令を受けて国立公文書記録管理局(National Archives and Records Administration)が政府部門のおける実施方針を策定し(2015 年 12 月 32 CFR 2000)、国立標準技術研究所(National Institute of Standard and Technology)が非政府部門への展開指針を定めています(2015 年 6 月 NIST 800-171)。特にわが国の企業が注目しているのが、政府調達との関連です。民間企業といえども、米国政府の仕組みと同等のルールを定め遵守していないと、「調達先として不適格」にされる(つまり米国政府の調達から除外される)リスクがあるからです。

 この問題は根深いもので、ファーウェイ事件などとも底流でつながっており、学者としては以下の諸点を解明する必要があると思っています。① なぜ CUI が必要なのか、② 連邦機関横通しの手続きはどこまで可能か、③ 従来のシステムからの移行はスムーズに進むのか、④ 移行費用や格付け担当者の育成はどうするのか、⑤ 情報の秘匿と共有のバランスはどうとるのか、⑥ 情報公開法(FOIA)との関連はどうか。

 しかし、とりあえず本稿との関連では、あれほどインテリジェンスに敏感な米国においても、情報を一意に分類することがいかに難しいかを示す事例として、理解していただければ良いかと思います。

・二択から三択への大ジャンプ

 さてわが国に戻って、ごく最近になって二択択一ではなく三択を前提にした法律が登場したので、私も驚きました。それは、7月1日から施行されたばかりの、改正不正競争防止法において導入された「限定提供データ」という概念です。従来から「営業秘密」として保護されるための3要件は、① 非公知性(公然とは知られていないこと)、② 有用性(法的に保護する利益があること)、③ 秘密管理性(情報の保有者が秘密として管理していること)と規定されています。

 これは秘密保護法の一般原則となり得る要件ですが、同法の規律対象は従来、同一社内の情報だけと考えられてきました。しかし現代の企業は、他社と対等な持ち分で合弁会社を持ったり、長期の供給契約で提携したり、コンソーシアムに参加したりと多様なビジネスを展開しており、上記の3要件が同一社内だけでなく、サプライ・チェーンの関係者の間等もカバーして欲しいとの要望が強くなってきました。データの共有が事業成功の要になる傾向が高まってきたため、「情報共有」に基づく事業展開が円滑に進められないと困るという訳です。

 そこで、「限定提供データ」という概念が導入されたのです。これは「業として特定の者に提供する情報として電磁的方法により相当量蓄積され、及び管理されている技術上又は営業上の情報(秘密として管理されているものを除く。)」をいうとされています(法第2条第7項)。条文のカッコ内が従来の「営業秘密」で、改正された部分は「それを超える」ものになります。

 本稿の文脈から見た限定提供データの画期性は、「データ」とりわけ電子化されたデータに着目した点も然ることながら、「公有(あるいは公開)と私有の間に限定共有という第3類型を認めた」点にあると思われます。一見すると大した工夫ではなさそうですが、実は法学は「二値的分類」を基本論理としているので、「二択が三択になった」だけでも、革命的な変化ともいえます。

 二択しかないとすれば、私が「所有権アナロジー」と呼んでいる現象、つまり情報という占有できない対象に関しても何らかの支配権が必要だと考え、「限りなく所有権に近い扱い」をしようとする誘因が生じます。現行法を変える必要もなく、所有権類似―>絶対的排他権―>差止命令可能、といった具合に、手持ちの法技術で問題が簡単に解決できる(ように見える)からです。「二択の魅力」に魂を奪われた結果と言えるかもしれませんが、これを三択に変えるだけでも、法律に対する見方が違ってきます。

 なお「限定提供データ」を私の専門分野との関連で見ると、サイバー・インシデント情報の共有は、立法事実としては挙げられていませんが、今後この制度を利用する可能性があるかどうか、慎重に見守って行きたいと思います。そこから再び「革命的」なアイディアが出現するかもしれません。