ターゲットというアメリカの大手小売り会社があります。
この会社が昨年12月に約4000万枚分のクレジットカード情報と7000万人分の個人情報流出を発表し、大きなニュースとなりました。この個人情報流出事件によって顧客の信用失墜、株価の大幅下落が発生し、更には取締役7名の退任が求められているとの報道もあります。
この問題のポイントは4000万件、7000万人分という流出規模も非常に重大ですが、POSシステムというPCやServer以外が狙われたという点、またターゲットの契約業者の一つである空調関係業者の端末からターゲット社内のネットワークに侵入したとの報道となっている点があります。
現代の経営において外部の協力会社との連携は必須ですし、各種の外部サービサーがサービスを提供する上で、社内のネットワークの一部にアクセスする、ということも当然発生してきます。
自社のネットワークを防護するだけではく、協力会社のネットワークやその接続状況についてもしっかりと防護していく必要性が、改めて明らかになった一例になるかと思います。
今回のコラムはUCA(Unfair Competition Act)と言われる、一種の不正競争防止法についてですが、こちらは情報セキュリティの問題と同じく、協力会社や納入業者を含んだサプライチェーン全体でのソフトウェア管理、ライセンス管理の問題に強く関係してきます。
UCA(Unfair Competition Act)とは米国の州法で、2012年にワシントン州とルイジアナ州で一種の不正競争防止法として成立しました。
その後は全米の多くの司法長官も同様の不正競争防止法に署名した、とのことですので米国のほとんどの州では、既に成立したと考えるべきです。
この法律が具体的にどのようなものかと言いますと、不正なIT(Stolen IT=盗まれたITという表現になっています)を使って作られた製造物が米国内で販売された場合、競合会社等が販売差し止め請求を含めて訴えることができる、というものです。
この「不正なIT」の要因は主に海賊版のソフトウェアの利用や、ライセンス不足、つまり正しいライセンス管理が行われておらず、利用数が保有ライセンス数を超過している状態が発覚すること、になります。
また具体的な注意のポイントとしては、そのメーカー自体が不正なITを利用して設計や製造を行い、製造物を米国内で販売したケースはもちろん対象となりますが、そのメーカーに部品を納品している部品製造業者が不正なITを利用していた場合でも、それが明らかになった場合には米国内で訴えられる可能性がある、という点です。
IBM、Oracle、Microsoft、Adobe、Autodesk、Symantec等の米国本社の大手ソフトウェアメーカーにとって頭の痛い問題は、海賊版ソフトの横行や、自社製ソフトウェアがライセンス(使用許諾)の範囲を超えて使用されてしまい、本来上がるべき売り上げが毀損してしまう、という点があり、不正なIT利用は彼らの利益に直結する大きな問題です。
さらにそれらの不正なITを利用して製造された製造物が米国内で販売されてしまうと、正規版のソフトウェアを購入し使用している米国のメーカーにとっても大きな不利益になってしまいます。UCAについては、海賊版ソフトを利用して設計・製造した業者と、正規版を購入して設計・製造しているメーカーが競争した場合、企業努力とは別に、それは不公正な競争である、という論理のもと作られている法律と考えられます。
端的に言いますと、以前大きな話題となった環境や有害物質使用の問題と同じく、ソフトウェアについてもサプライチェーン上での不正な利用があると、場合によっては米国内で訴えられ、販売差し止めや風評被害等、ビジネスに大きく影響を与える可能性がある、ということになります。
現時点ではこの法律による訴訟は非常に限定的のようですが、実際にタイの業者が訴えられた例も発生しています。TPP交渉の中でも知的財産権は議論の対象となっており、米国が本腰を入れた際には多大な影響を及ぼす可能性を秘めている法律だと考えられます。特に米国へ製品を輸出している企業にとっては要注意の法律です。
不正なITの主な対象と考えられている海賊版ソフトウェアについては、先進国では20%前後、発展途上国では80%を超える違法コピー率が発表されています。BSAの2013年調査結果発表によりますと、違法コピーの割合が中国74%、韓国38%、タイ71%、インドネシア84%、マレーシア54%、ベトナム81%、メキシコ54%となっており、日本企業が部品や製品を生産している国での違法コピー率が高い状況があります。
国によっては、違法コピーは著作権法の侵害とみなされ、刑事罰が設定されていることもあります。
また、訴訟等により「違法コピーをしている企業」として情報が公開される場合もあります。
UCAの利用例として、東南アジアで製造されたある部品を、自社の現地製造子会社が調達している際に、その取引先の部品製造業者が違法コピーで摘発されたとします。その最終製品の輸出販売先が米国であった場合、UCAを利用して競合会社から訴えられ、該当製品の販売差し止め請求となる可能性があり、「米国内で不公正な競争をしている企業である」といった風評被害を受ける可能性もあります。
ご存じの通り、米国は非常に強い競争社会です。競合相手の製品を貶めるTVコマーシャルも珍しく無く、競争が激しい場合や、逆に米国企業が競争上シェアを落としている場合等、競合企業がUCAを利用して法廷戦術を選択する可能性について、あらかじめ想定しておく必要があると言えます。
長く伸びたサプライチェーンをすべて管理することは難しいですが、それでも事前対策は取っておく必要があります。万一米国で訴えられた場合、具体的な対策を事前に行っていれば、その旨の説明も法廷でできますし、風評被害に対しても「事前対策を取っていたにも関わらず、今回一部で残念なことが発生してしまった、今後は更に対策を強化します」という対応が可能になります。
UCA対策の最初の一歩としては、CSR調達規程からは切り出した形で「知的財産遵守規程」を作成し、社内並びに社外の協力会社や納品業者に遵守してもらうような仕組みを作ることをお勧めします。
大手企業においてはCSR調達規程の一部として、「知的財産権を侵害しないこと」という項目が含まれていることが多いかと思います。しかし実際にはこの項目については、何ら考慮されていない様子で、CSR調達規程が適用されているあるグループ内においても、大規模なライセンス違反による損害賠償や和解が発生しています。
「知的財産遵守規程」を作成する際は、「海賊版等の不正に入手したソフトウェアによる設計、製造や一般業務を行わないこと」、 「ソフトウェアライセンスに関する棚卸しを半期に一度実施し、不整合が発現した場合は速やかに是正を行うこと」、 「ライセンス違反を含む知財侵害が問題となった場合は、取引を停止する可能性があります」、 「1年に1回程度、外部の専門家による、遵守状況の確認作業へ協力をお願いすることがあります」といった、より具体的な記載を行うことが重要です。
子会社への具体的な通知は可能でも、社外は難しいと考える多くの企業が選択しがちな、「他者の知的財産を侵害しないこと」や「適切なライセンス管理を実施すること」という記載も、過去の例から見ると、具体性が乏しいため実際にはあまり意味が無いと考えた方がよさそうです。往々にして何か問題が発生した後に、「やっているつもり」「自社の基準でやってはいたのですが」という事態に陥る可能性が大きいので、そのようなリスクを最小限にする取り組みとして、
等が挙げられます。
「知的財産遵守規程」のリリースと同時に、取引先向け説明会等において、外部の専門家を招いてUCAの説明や、ライセンス違反の実例と共に気を付けるべきポイント等の説明会を開催することもお勧めですし、これも実際に取り組みを行っている事実の一つになります。
次のステップとしては、ライセンス管理の範囲を広げて行くことです。現時点で本社においてもライセンス管理体制が確立していない場合もあるかと思いますが、まずはリスクアセスメントから始めることをお勧めします。実際のライセンス管理については、「知的財産遵守規程」の通知と実施よりも時間やリソースが必要ではありますが、その範囲について本社、国内関連会社、国外関連会社、協力会社と少しずつでも、広げて行く必要があるかと思います。
UCAについては、近未来に実際に発生しうるリスクだと考えます。この近未来のリスクに対して、現時点で発生していないリスクよりも、今目の前の課題の方が重要、と考える責任者や経営者も居れば、あらかじめ備えておくべき、ライセンス管理業務の立ち上げがグループITガバナンスや標準化、情報セキュリティにも役立つなら直ぐに実行するべき、と考える責任者や経営者も存在するかと思います。
規程の作成やライセンス管理の実施の目的が、UCA対策・監査対策のみと考えてしまうと、対策をするためのコスト増のみがクローズアップされてしまいがちです。それ以外についてのライセンス管理を行うことのメリットをいくつか挙げて、今回のコラムは終わりたいと思います。
(2014年12月)
IT資産管理・ライセンス管理 License Guardをご検討のお客さまはこちら
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。
