データの利活用は社会で広まってきており、それに伴いデータに関する法務のニーズも高まっているように思います。ただ、まだまだ過渡期だと思われますし、また、苦手とする法律家も多い気がします。今回は、データ法務とは何か、その特徴などについてまとめてみたいと思います。

１．データ法務って何？

最初にデータに関する法務としてはどういうものがあるのかについてまとめてみます。

（１）個人情報保護法

一番わかりやすいのは個人情報保護法だと思います。個人情報を含んだデータは色々な場面で出てきますが、そのようなデータを取り扱う場合には個人情報保護法の対応が必要となります。具体的には、プライバシーポリシーを準備し、また第三者提供などの同意取得の対応を行うことがあります。

なお、アプリやWebサイトは日本だけではなくて、海外でも利用可能とすることが容易です。そのため、日本の個人情報のみならず、海外の個人データ保護法制についても検討が必要となる場面が少なくありません。特に、EUの法制度であるGDPRの重要さは、法律家でなくても、多くの人が聞いたことあるのではないかと思います。

（２）データに関する契約

データには所有権のような排他的な権限がないため、データを使わせてもらうためには、利用権を設定してもらう必要があります。どのようなデータを、どのような目的で、どのように取り扱うことができるのかを契約に明確に記載する必要があるため、法務がきちんとチェックする必要があります。

（３）その他

最近だと、AIガバナンスに対するアドバイスも多くなっている気がします。AIを生成する段階のみならず、利用段階でも個人情報や機密情報を取り扱うため、個人情報保護法への対応も必要となります。加えて、AI固有の問題として、バイアスの問題があったりするので、そのバイアスへの対応としてAIガバナンスが必要となるとされています。

他にも、データセットについては著作物となる可能性もありますし、不正競争防止法なども考慮する場面があります。最近では、Cookie対応が必要となった電気通信事業法の改正（外部送信規律）への対応などもありました。

２．データ法務の特徴

データ法務については、苦手意識を持っている法律家も多くいるように思います。データ法務の特徴が、一部の法律家にとってはとっつきにくく感じさせてしまうように思います。そのため、データ法務がその他の法務とどう違うのかについてまとめてみます。

（１）技術理解が必要

私自身は、技術への理解に難しさを感じることが多いです（面白さでもあると思います。）。「データを使ってこういうことをやりたいんです」と相談されたとき、法的に検討しようとすると、そもそもどういうデータを、どういう目的で、どういうフローで、どのように使っているのかを理解しないといけないのですが、正確に理解するためには技術についてもある程度知っている必要があります。

例えば、Cookie対応をしようとしたときに、Cookieとは何か？みたいなところも理解が必要となります。

もちろん、データ法務以外でもビジネスを理解したり、自社技術などへの理解が必要になることはあります。ただ、特にデータに関する技術はどんどん進歩しているので、キャッチアップが大変ということがあります。

技術の理解が大変であることに加えて、素早い変化に追いついていく必要があるということに苦手意識を覚える人がいるのではないかと思います。

（２）条文がよくわからない

見慣れぬ法律はすべてこのように感じるところはありますが、個人情報保護法はあいまいなものが多いように思います。

例えば、「違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない」（個人情報保護法19条）とかはわかるようなわからないような感じがします。また、外国にある第三者への提供（個人情報保護法28条）については、ちゃんと読めば分かりますが、結局どうすれば外国にある第三者に提供できるのかを初見で理解することは難しいのではないでしょうか。

さらに、クラウドサービスのときなど原則からすると少し外れるようなQ&Aがあったりするので、混乱する罠はたくさんあるように思います。

（３）クロスボーダーでの展開が多い

また、データという性質上、簡単に国を超えて移転することが可能となるため、クロスボーダーでの対応が求められやすいというところもあると思います。また、各国の法制度についても、事例の蓄積がないところも多いので、GDPRなど他国の動向を参考に検討していくことも多くあります。

そのため、現地の弁護士に聞いたとしても回答が難しいところがあります。最終的にどういう落とし所にするのかは、現地の法令だけではなく、世界的な潮流なども考慮する必要があるため、特有の難しさがあるように思います。

３．データ法務の今後

（１）EUの動向

今後の留意点としては、やはりEUが議論しているルールの動向に注意が必要になると思います。EUでは、AI Act、Data Act、Data Service Actなどデータに関する法令制定に向けた議論が進んでいます。GDPRのように制裁金が大きい可能性がありますし、世界的に同種の規制が広がる可能性があるからです。

個人的には、個人データではないデータについても対象とされるData Actはインパクトが大きくなる可能性があるように思います。今のデータ法務では個人データを対象とした対応が多いのですが、今後非個人データに対しても規制がなされることになると、対応しないといけないデータの数が倍以上になる可能性があると思われるからです。

（２）データ法務のキャリア

データ法務のキャリアについても今後どうなっていくのか気になります。GDPRでは、一定の場合、DPOというデータ保護責任者を選任する必要があります。日本では法令上直接義務付ける規定はありませんが、データプライバシー保護のためにそのような責任者を設けることは広がっていく可能性があります。

他方、データに関するポジションとしては、他にもCIO（Chief Information Officer）、CISO（Chief Information Security Officer）、CDO（Chief Digital Officer）などがあり、これらの関係がどう整理され、法務人材はどういうキャリアになるのかというところは個人的に関心があります（個人的にはプライバシー対応がメインとなるDPOが主軸になると思いますが、プライバシー対応を踏まえて、データ利活用が求められるCDO/CIOなどへのキャリアを歩む人が増えてもよいのではと思っています。）。

４．おわりに

以上のように、データ法務はまだまだ流動的で、今後も様々な変化があるのではないかと思います。

日本の個人情報保護法も3年ごとに見直しが予定されていますし、また、GDPRは自己決定権を根拠として同意を重要視していますが、本当に同意が意味があるのかというところは議論があるところです（プライバシーポリシーを読んで同意をしている人はどれくらいいるんですかねという純粋な疑問はありますよね。）。

そのため、まだまだ可能性を秘めた分野ではあると思いますので、興味がある人はチャレンジする価値はあるのではないかと思います。