運営:アスタミューゼ株式会社
  • ポートフォリオ機能


追加

関連審決 不服2014-11278
元本PDF 裁判所収録の全文PDFを見る pdf
事件 平成 28年 (行ケ) 10071号 審決取消請求事件

原告 エンカレッジ・テクノロジ株式会社
同訴訟代理人弁理士 谷川英和
同 森本悟道
被告特許庁長官
同 指定代理人辻本泰隆
同 高木進
同 野崎大進
同 板谷玲子
裁判所 知的財産高等裁判所
判決言渡日 2017/06/14
権利種別 特許権
訴訟類型 行政訴訟
主文 1 特許庁が不服2014−11278号事件について平成28年2月8日にした審決を取り消す。
2 訴訟費用は被告の負担とする。
事実及び理由
請求
主文同旨
前提事実(いずれも当事者間に争いがない。)
1 特許庁における手続の経緯等 原告は,発明の名称を「機密管理装置,機密管理方法,及びプログラム」と する発明について,平成22年11月17日に特許出願をしたが(特願201 1 0-256734号。以下「本願」という。),平成26年3月19日付け拒 絶査定を受けたことから,特許庁に対し,同年6月13日,拒絶査定不服審判 を請求した。特許庁は,当該請求を不服2014-11278号事件として審 理をした上,平成28年2月8日,「本件審判の請求は,成り立たない。」旨 の審決をした(以下「本件審決」という。)。その謄本は,同月18日,原告 に送達された。
原告は,同年3月17日,本件訴えを提起した。
2 特許請求の範囲 本願の請求項1〜5に係る発明は,平成25年10月22日付け手続補正書 (甲5)により補正された特許請求の範囲の請求項1〜5記載のとおりのもの であるところ,その請求項1に係る発明(以下「本願発明」という。また,本 願発明に係る明細書(特開2012-108704号公報(別紙)。甲4)を 「本願明細書」という。)は,以下のとおりのものである。
【請求項1】 機密事項を扱うアプリケーションを識別する機密識別子が記憶される機密識 別子記憶部と, システムコールの監視において,実行部がアプリケーションを実行中に行う 送信処理に応じたシステムコールをフックし,当該アプリケーションが,前 記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーシ ョンであり,送信先がローカル以外である場合に,当該フックしたシステム コールを破棄することによって当該送信を阻止し,そうでない場合に,当該 フックしたシステムコールを開放する送信制御部と,を備えた機密管理装置。
3 本件審決の理由の要旨 本件審決の理由は,別紙審決書(写し)記載のとおりであるが,要するに, 本願発明は,以下のとおり,本願の出願前に頒布された甲1(特開2009- 217433号公報。以下「引用例1」という。)に記載された発明(以下 2 「引用発明」という。)並びに当該技術分野の周知技術及び常とう手段に基づいて当業者が容易に発明することができたものであり,特許法(以下「法」という。)29条2項により特許を受けることができないものであるから,その余の請求項に係る発明について検討するまでもなく,本願は拒絶すべきものである,というものである。
(1) 引用発明 アプリケーションの処理手段がアプリケーションを実行中に,処理対象 となるファイルに対する送信を含む処理の指令を取得する第1の手段と, 前記第1の手段で取得された指令で特定される処理の内容に応じて,O Sに処理を渡す前にファイルに保護を施すか否かの判断を含む前記処理の内 容に応じたファイルの保護方法を求め,その保護方法により前記処理対象と なるファイルの保護処理を行う第2の手段と, 前記第2の手段は,前記第1の手段で取得された指令に関するファイル の入力元のアプリケーションの識別子とファイルの出力先となる記憶領域と に応じて,保護方法データベースによりファイルの保護方法を求め,その保 護方法は,ファイルの出力先となる記憶領域の安全性が低い場合は処理を禁 止することを含むものである, を備えることを特徴とするファイル管理装置。
(2) 本願発明と引用発明との対比等 ア(ア) 引用発明では,「保護方法データベース」により,「第1の手段で 取得された指令に関するファイルの入力元のアプリケーションの識別子 とファイルの出力先となる記憶領域とに応じて,」「ファイルの保護」 を行うところ,「保護方法データベース」に記憶された「入力元のアプ リケーション」が保護対象データである「ファイル」を処理するのは自 明であり,機密事項を保護対象データとして扱うことは当該技術分野の 技術常識であることから,引用発明の「入力元のアプリケーション」, 3 「識別子」はそれぞれ,本願発明の「機密事項を扱うアプリケーショ ン」,「機密識別子」に相当するということができる。
また,引用発明の「保護方法データベース」に「入力元のアプリケー ション」の「識別子」が記憶されていることは明らかであるから,引用 発明の「保護方法データベース」は本願発明の「機密事項を扱うアプリ ケーションを識別する機密識別子が記憶される機密識別子記憶部」に相 当する。
(イ) 引用発明の「アプリケーション処理手段」,「処理の指令」,「フ ァイル管理装置」はそれぞれ,本願発明の「実行部」,「システムコ ール」,「機密管理装置」に相当する。
また,引用発明の「第2の手段」と本願発明の「送信制御部」とは, 後記の点で相違するものの,“実行部がアプリケーションを実行中にフ ァイルに対する送信処理に係るシステムコールを検知し,当該アプリケ ーションが,前記機密識別子記憶部で記憶されている機密識別子で識別 されるアプリケーションである場合に,ファイルの送信先に応じて送信 を阻止するか否かを決定する制御部”である点で共通する。
イ 一致点 機密事項を扱うアプリケーションを識別する機密識別子が記憶される 機密識別子記憶部と, 実行部がアプリケーションを実行中にファイルに対する送信処理に係 るシステムコールを検知し,当該アプリケーションが,前記機密識別子 記憶部で記憶されている機密識別子で識別されるアプリケーションであ る場合に,ファイルの送信先に応じて送信を阻止するか否かを決定する 制御部と を備える機密管理装置。
ウ 相違点1 4 ファイル送信の阻止の条件に関し,本願発明では「アプリケーション が,前記機密識別子記憶部で記憶され」ているほかに,フックした「送 信処理に応じたシステムコール」の「送信先がローカル以外である場合」 が条件であるのに対して,引用発明では,ファイルの送信に係る「取得 された指令に関するファイルの入力元のアプリケーションの識別子とフ ァイルの出力先となる記憶領域」とが「保護方法データベース」に記憶 されているほかに,「ファイルの出力先となる記憶領域の安全性が低い 場合」が条件である点。
エ 相違点2 ファイル送信の阻止に伴う制御に関し,本願発明では「当該フックし たシステムコールを破棄することによって当該送信を阻止し,そうでな い場合に,当該フックしたシステムコールを開放する」のに対して,引 用発明では,「ファイルの出力」に係る「処理を禁止する」ための制御 の詳細について言及されていない点。
オ 判断 (ア) 相違点1について 引用発明のごときファイル管理装置において,アプリケーションのフ ァイルに対するいかなる処理の指令につきいかなるファイル保護処理を 対応付けるかは,要求されるシステムの安全性と必要なシステム負荷等 の相関関係等に基づき決定されるべき事項であり,当業者であれば適宜 設計し得た事項である。
また,甲2(特開2009-258852号公報。以下「引用例2」 という。)に記載されるように,ファイルを含むパケットについて,内 部ネットワークから外部ネットワークへの持出しを判断し,送信先に応 じて許可/禁止を判定すること,すなわち,内部ネットワーク(ローカ ル)以外への送信の安全性が低いとしてセキュリティ対策を施すことは, 5 本願出願前には当該技術分野の周知の事項であった。さらに,甲3(特 開2002-288030号公報。以下「参考文献」という。)に記載 されるように,機密ファイルをあるアプリケーションプログラムが開い た後は,電子メール等によって当該アプリケーションプログラムにより 当該ファイルが機密情報保存用フォルダ(ローカル)以外に出力される ことがないようにすることも,本願出願前には当該技術分野の周知技術 であった。
そうすると,引用発明において,引用例2等に記載の周知技術を適用 し,ファイル送信の阻止の条件として,アプリケーションが,機密識別 子記憶部に記憶されることのほかに,適宜,オペレーションシステム (OS)への処理要求に基づくファイルに対する処理が,ローカル以外 へのファイル送信であった場合を条件とすること,すなわち,相違点1 に係る構成とすることは,当業者が容易に想到し得たことである。
(イ) 相違点2について 引用発明では,「ファイルに対する送信を含む処理の指令」が「ファ イルの送信」の場合は,OSに処理を渡す前にファイルに保護を施すこ とが読み取れる。
そして,OSに処理を渡す前に,「ファイルの出力」に係る「処理を 禁止する」ための制御として,OSへの処理要求を破棄することは,当 該技術分野における常とう手段である。
そうすると,引用発明において,ファイルの出力に係る処理の制御の ために上記常とう手段を適用し,適宜,ファイルの出力に係る処理を禁 止する場合はOSへの処理要求を破棄し,当該処理を禁止しない場合に はOSへの処理要求を開放すること,すなわち,相違点2に係る構成と することは,当業者が容易に想到し得たことである。
当事者の主張
6 1 原告の主張 (1) 原告の主張する取消事由は,概略以下のとおりである。
ア 取消事由1(引用発明の認定の誤り) (ア) 取消事由1-1(送信の指令に関する引用発明の認定の誤り) (イ) 取消事由1-2(保護方法に関する引用発明の認定の誤り) (なお,取消事由1-1及び1-2は,原告の平成28年4月26日付 け準備書面において「取消事由1」として主張されているものであるが, 便宜上,上記のとおり別個の取消事由とする。) イ 取消事由2(一致点の認定の誤り及び相違点の看過) (ア) 取消事由2-1(本件審決は,引用発明の保護方法データベースに 含まれる各アプリケーションの識別子が,本願発明の機密識別子記憶 部で記憶されている機密識別子に相当する旨認定したものと理解した 場合。なお,原告の平成28年4月26日付け準備書面において「取 消事由2」として主張されているものであるが,便宜上「取消事由2 -1」とする。) (イ) 取消事由2-2(本件審決は,引用発明の保護方法データベースに 含まれる最高レベルの安全性に対応するアプリケーションの識別子が, 本願発明の機密識別子記憶部で記憶されている機密識別子に相当する 旨認定したものと理解した場合。なお,原告の平成28年11月28 日付け準備書面(第5回)において「取消事由4」として主張されて いるものであるが,便宜上「取消事由2-2」とする。) ウ 取消事由3(相違点の認定の誤り及び相違点に係る容易想到性判断の誤 り) (2) 取消事由1-1(送信の指令に関する引用発明の認定の誤り) ア 本件審決の認定に係る引用発明には,第2の手段が,第1の手段で取得 されたファイルの送信の指令に関する入力元のアプリケーションの識別 7 子と出力先となる記憶領域とに応じてファイルの保護方法を求める構成 が含まれる。このことは,ファイルの送信の指令に入力元のアプリケー ションの識別子と出力先となる記憶領域とが含まれており,それらを抽 出できることを前提とする。
しかし,引用例1の記載等によれば,引用発明の送信の指令はアプリ ケーションの識別子の引数を取らないと解されることから,ファイルの 送信の指令から入力元のアプリケーションの識別子を抽出することはで きない。すなわち,引用発明においては,第1の手段がファイルの送信 の指令を取得した場合,第2の手段が,第1の手段で取得されたファイ ルの送信の指令から入力元のアプリケーションの識別子を抽出すること はできないことから,取得されたファイルの送信の指令に関する入力元 のアプリケーションの識別子と出力先となる記憶領域とに応じてファイ ルの保護処理を求めることができない。このため,この場合,第2の手 段は,取得されたファイルの送信の指令に関して,ファイルの出力先と なる記憶領域の安全性が低い場合に送信の処理を禁止することもできな いことになる。
このように,引用発明においては,取得されたファイルの送信の指令 から入力元のアプリケーションの識別子を抽出することはできないとこ ろ,本件審決はその抽出ができるとした点で誤りがある。
イ 本願発明は,送信処理に応じたアプリケーションが機密識別子で識別さ れるアプリケーション(以下「機密アプリケーション」という。また, 引用発明について論ずるに当たり,これに相当するものとの趣旨でこの 語を用いることもある。)であり,送信先がローカル以外である場合に, その送信を阻止するのに対し,引用発明は,上記のとおり,ファイルの 送信の指令に関し,その送信を禁止することができないという相違点が ある。また,この相違点に係る本願発明の構成について,引用例2及び 8 参考文献に各記載の技術的事項から当業者が容易に想到することはでき ない。
したがって,上記送信の指令に関する引用発明の認定の誤りは,本件 審決の結論に影響を及ぼす。
(3) 取消事由1-2(保護方法に関する引用発明の認定の誤り) ア 仮に,上記送信の指令に関する引用発明の認定の誤りがなかったとして も,本件審決には,保護方法に関する引用発明の認定の誤りがある。
すなわち,本件審決は,引用発明における保護方法として「ファイル の出力先となる記憶領域の安全性が低い場合は処理を禁止することを含 む」ことを認定しているが,引用発明については,それだけでなく,第 1の手段で取得された指令に係るファイルの出力先となる記憶領域に応 じた安全性が,入力元のアプリケーションの識別子に応じた安全性より 高い場合に第2の手段が求める保護方法(ファイルの入力元となるアプ リケーションの識別子の安全性に対応する保護処理)も含めて認定すべ きであるのに,これを行っていない点で誤りがある。
イ 本願発明は,実行部がアプリケーションを実行中に行う送信処理に応じ たシステムコールをフックし,当該アプリケーションが機密アプリケー ションであり,送信先がローカル以外でない場合に,当該フックしたシ ステムコールを開放するのに対し,引用発明は,上記のとおり,ファイ ルの出力先となる記憶領域の安全性が高い場合であっても,入力元とな るアプリケーションの識別子の安全性に対応する保護処理を行うという 相違点がある。また,この相違点に係る本願発明の構成について,引用 例2及び参考文献に各記載の技術的事項から当業者が容易に想到するこ とはできない。
したがって,上記保護方法に関する引用発明の認定の誤りは,本件審 決の結論に影響を及ぼす。
9 (4) 取消事由2(一致点の認定の誤り及び相違点の看過) ア 本件審決は,引用発明の保護方法データベースに含まれる各アプリケー ションの識別子が,本願発明の機密識別子記憶部で記憶されている機密 識別子に相当する旨認定しているものと理解されるが,被告は,本件審 決につき,引用発明の保護方法データベースに含まれる最高レベルの安 全性に対応するアプリケーション(以下「最安全アプリケーション」と いう。)の識別子が,本願発明の機密識別子記憶部で記憶されている機 密識別子に相当する旨認定したものである旨主張する。
しかし,そのいずれと理解したとしても,本件審決には一致点の認定 の誤り及び相違点の看過があり,この誤りは結論に影響を及ぼす。以下, 本件審決の理解に応じて場合を分けて論ずるが,これらに共通する趣旨 は,本件審決は,本願発明の機密識別子の作用ないし機能と引用発明の 識別子の作用ないし機能が相違すること,すなわち,本願発明の「機密 識別子」は「機密事項を扱うアプリケーションを識別する」ものである のに対し,引用発明における「アプリケーションの識別子」は必ずしも 機密事項を扱うアプリケーションを識別するものではなく,ファイルの 保護方法を求める上で必要となる安全性の程度(例えば,数値)を得る 前提として,入力元のアプリケーションを識別するものであることを看 過したというものである。
イ 取消事由2-1(一致点の認定の誤り及び相違点の看過:本件審決につ き,引用発明の保護方法データベースに含まれる各アプリケーションの 識別子が,本願発明の機密識別子記憶部で記憶されている機密識別子に 相当する旨認定したものと理解した場合) (ア)a 本件審決は,引用発明の保護方法データベースに含まれる各アプ リケーションの識別子は,本願発明の機密識別子記憶部で記憶されて いる機密識別子に相当し,引用発明のアプリケーションの識別子を記 10 憶する「保護方法データベース」は,本願発明の機密識別子が記憶さ れている機密識別子記憶部に相当する旨認定しているところ,以下の とおり,この点に関する本件審決の認定には誤りがある。
b 引用例1の記載によれば,引用発明の保護方法データベースには, 原則として全てのアプリケーションの識別子が含まれていると解され ることから,実質的な保護処理を行わないアプリケーションの識別子 も保護方法データベースに含まれることになる。また,保護処理が, 引用発明の「ファイルの出力先となる記憶領域の安全性が低い場合は 処理を禁止すること」であるとしても,安全性の最低の値に対応する アプリケーションについては,ファイルの出力先となる記憶領域の安 全性がそのアプリケーションの識別子に対応する安全性よりも低くな ることはないから,処理を禁止する保護処理は行われないことになる。
このように,引用発明の保護方法データベースには実質的な保護 処理を行わないアプリケーションの識別子も含まれ,また,保護方法 データベースに記憶された識別子により識別されるアプリケーション が処理を行う対象であるファイルが保護対象データであるとは限られ ない。
その結果,機密事項を保護対象データとして扱うことが技術常識 であったとしても,保護方法データベースには機密事項を扱わないア プリケーションの識別子も含まれるため,引用発明の保護方法データ ベースは,本願発明の機密識別子記憶部とは異なることになる。すな わち,本願発明の機密識別子記憶部では,機密アプリケーションを識 別する機密識別子が記憶されるのに対し,引用発明の保護方法データ ベースでは,機密事項を扱わないアプリケーションの識別子も記憶さ れるという相違点(以下「相違点A」という。)が存在する。
したがって,引用発明の保護方法データベースが本願発明の機密 11 識別子記憶部に相当するとして一致点を認定し,相違点Aを看過した 本件審決には誤りがある。
(イ) 上記のとおり,本願発明と引用発明には相違点Aが存在するところ, 引用発明から,当該相違点に係る本願発明の構成に到達するためには, 引用発明の保護方法データベースにおいて,実質的な保護処理を行わ ないアプリケーションを識別する識別子を除外する必要がある。
しかし,引用発明は「データの取得先や出力先に応じてデータの保護 方法を変更したり,データを使用するアプリケーション毎にデータの保 護方法を変更したりして,柔軟にデータを保護すること」(引用例1 【0008】)を課題としているため,保護方法データベースに種々の アプリケーションの識別子が存在することは引用発明の課題解決手段と して必須の構成というべきである。そうすると,引用発明の保護方法デ ータベースにおいて特定のアプリケーションの識別子のみが記憶される ように限定することには,引用発明の課題を解決する観点から阻害要因 があるということができる。
このため,相違点Aについて,引用発明から出発して本願発明に容易 に想到可能であるということはできないから,上記一致点の認定の誤り 及び相違点Aの看過は,本件審決の結論に影響を及ぼす。
ウ 取消事由2-2(一致点の認定の誤り及び相違点の看過:本件審決につ き,引用発明の保護方法データベースに含まれる最高レベルの安全性に 対応するアプリケーションの識別子が,本願発明の機密識別子記憶部で 記憶されている機密識別子に相当する旨認定したものと理解した場合) (ア) 本願発明において,送信が阻止される条件としては,送信処理を行 うアプリケーションが,機密識別子記憶部で記憶されている機密識別 子で識別されるアプリケーションであるという部分条件(以下「第1 部分条件」という。)と,送信先がローカル以外であるという部分条 12 件とが存在する。本件審決は,「実行部がアプリケーションを実行中にファイルに対する送信処理に係るシステムコールを検知し,当該アプリケーションが,前記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションである場合に,ファイルの送信先に応じて送信を阻止するか否かを決定する制御部」を一致点と認定していることから,第1部分条件は一致点に含まれる。
他方,引用発明においては,送信の指令における入力元のアプリケーションが最安全アプリケーションであることは,送信阻止に関するアプリケーションの条件ではない。すなわち,引用発明では,送信の指令に含まれる入力元のアプリケーションの識別子に対応する安全性が出力先の記憶領域に対応する安全性よりも高い場合に送信が阻止される。このため,引用発明における送信阻止に関するアプリケーションの条件は,入力元のアプリケーションの識別子に対応する安全性が出力先の記憶領域に対応する安全性よりも高いことという相対的なものとなる。そうすると,送信の指令に含まれる入力元のアプリケーションが最安全アプリケーションであれば,出力先の記憶領域の安全性に応じて送信が阻止され得ることになるが,引用発明において安全性のレベルは3段階以上存在すると考えられるところ,送信の指令に含まれる入力元のアプリケーションに対応する安全性が2番目に高い場合にも,出力先の記憶領域の安全性に応じて送信が阻止され得ることになる。これは,引用発明において,入力元のアプリケーションが最安全アプリケーションであることは送信阻止に関するアプリケーションの条件ではないことを意味する。
したがって,本願発明の第1部分条件は一致点ではなく,「送信阻止に関するアプリケーションの条件が,本願発明では,送信処理を行うアプリケーションが機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションであること(第1部分条件)であるのに対し, 13 引用発明では,送信の指令に含まれる入力元のアプリケーションの識別 子に対応する安全性が出力先の記憶領域に対応する安全性よりも高いこ と」という相違点(以下「相違点B」という。)が存在することとなる。
(イ) この相違点Bの看過は,本件審決の結論に影響を及ぼす。
すなわち,前記のとおり,引用発明は,処理内容の入力元の安全性と 出力先の安全性との相対的な高低関係に応じて保護方法を決定するとい う特徴を有しており,その結果,送信阻止に関するアプリケーションの 部分条件も相対的なものとなっている。その相対的な部分条件を絶対的 なものに変更することは,引用発明の上記特徴を喪失させることになる。
このため,引用発明において本願発明の相違点Bに係る構成を採用する ことには阻害要因があり,引用発明から出発して本願発明の相違点Bに 係る構成に到達するための論理付けを行うことはできないし,これを可 能とする従来技術も周知技術も示されていない。
そうすると,本願発明の相違点Bに係る構成については,引用発明か ら出発して当業者が容易に想到可能であるということはできない。
したがって,本件審決には,一致点の認定の誤り及び相違点Bの看過 があり,これは本件審決の結論に影響を及ぼす。
(5) 取消事由3(相違点の認定の誤り及び相違点に係る容易想到性判断の誤 り) ア(ア) 本件審決は,以下のとおり,ファイル送信が阻止されない条件に関 する相違点を含めずに相違点1を認定した点で誤りがある。
(イ) 本願発明は,機密アプリケーションの実行中に行われた,送信先が ローカル以外である送信を阻止し,送信先がローカルである送信を阻 止しないものである。また,本願発明では,機密アプリケーションで ないアプリケーション(以下「非機密アプリケーション」という。) の実行中に行われた送信は,送信先がローカルでもローカル以外でも 14 阻止されないことになる。したがって,本願発明においてアプリケー ションによる送信が阻止されない条件は,送信を行ったアプリケーシ ョンの識別子が機密識別子記憶部に記憶されていないこと, 又は,送 信先がローカルであることである。
他方,前記のとおり,引用発明の保護方法データベースに含まれるア プリケーションの識別子には,処理の禁止等の実質的な保護処理を行わ ないアプリケーションのものも含まれると解されることから,引用発明 においてファイル送信が阻止される条件は,入力元であるアプリケーシ ョンの識別子の安全性よりも出力先である記憶領域の安全性の方が低い ことであり,送信が阻止されない条件は,入力元であるアプリケーショ ンの識別子の安全性よりも出力先である記憶領域の安全性の方が低くな いことである。
したがって,本願発明と引用発明とは,本願発明では,送信が阻止さ れる条件が,アプリケーションの識別子が機密識別子記憶部で記憶され ており,かつ,送信先がローカル以外であることであり,阻止されない 条件が,アプリケーションの識別子が機密識別子記憶部で記憶されてい ないこと,又は,送信先がローカルであることであるのに対し,引用発 明では,ファイル送信が阻止される条件が,入力元であるアプリケーシ ョンの識別子の安全性よりも出力先である記憶領域の安全性の方が低い ことであり,阻止されない条件が,入力元であるアプリケーションの識 別子の安全性よりも出力先である記憶領域の安全性の方が低くないこと であるという相違点(以下「相違点C」という。)があり,相違点1は, 正しくは相違点Cのように認定されるべきである。また,このことは, 仮に取消事由2-1として主張した一致点の認定の誤り及び相違点の看 過がなかったとしても異ならない。
イ(ア) 前記のとおり,引用発明の保護方法データベースには,原則として, 15 実行され得る全てのアプリケーションの識別子が含まれると解されるた め,非機密アプリケーションの識別子も保護方法データベースに含まれ ている。
引用発明においては,ファイルの入力元の安全性が高いほど低い程度 の保護処理を行えばよく,安全性が低いほどより厳重な保護処理を行う 必要がある。このため,引用発明において,本願発明と同様に,機密ア プリケーションによるローカル以外への送信が禁止され,非機密アプリ ケーションによるローカル以外への送信が少なくとも禁止されないよう にするためには,非機密アプリケーションの安全性を機密アプリケーシ ョンの安全性よりも低く設定しなければならないことになる。このこと は,機密事項を扱わないアプリケーションに対する保護方法が,機密事 項を扱うアプリケーションに対する保護方法よりも厳重でなくてはなら ないことを意味しており,引用発明の属する技術分野における技術常識 に反する。
したがって,引用発明において,本願発明と同様の保護処理が行われ るように安全性を設定することには阻害要因があるから,相違点Cに係 る本願発明の構成は,引用発明において当業者が適宜設計し得たもので はない。
(イ) 仮に,引用発明の保護方法データベースに,実行され得る全てのア プリケーションの識別子が含まれているのではないとしても,相違点 Cに係る本願発明の構成が,引用発明において当業者が適宜設計し得 たものでないことは異ならない。
すなわち,引用発明では,保護方法データベースに含まれないアプリ ケーションの識別子や記憶領域については,最も高い安全性を用いて保 護方法を求めることになると解される。他方,機密アプリケーションに よるローカル以外への送信が禁止されるように機密アプリケーションの 16 安全性とローカル以外の記憶領域の安全性とが設定されている場合,ロ ーカル以外の記憶領域の安全性は,少なくとも,最も高い安全性ではな いことになる。そうすると,非機密アプリケーションによるローカル以 外へのファイル送信も機密アプリケーションによるものと同様に阻止さ れることになり,非機密アプリケーションのローカル以外へのファイル 送信が阻止されない本願発明の構成とは異なるものになる。
このように,仮に,引用発明の保護方法データベースに,実行され得 る全てのアプリケーションの識別子が含まれているのではないとしても, 当業者が,引用発明から相違点Cに係る本願発明の構成に想到すること はできない。
ウ(ア) 引用例2に記載された技術は,送信先のIPアドレス等をチェック することによって,クライアントからの送信情報の持出しの可否につい て判定し,不可と判定された場合に通信を遮断するものである。この技 術は,ネットワーク上において上記処理を行うものであり,クライアン トPCにおいて用いられるものではなく,情報漏えいを防止するための 処理をネットワーク以外のローカルの装置等において実行するように変 更することは,当該技術の目的に反することになる。
また,当該技術は,パケットのIPアドレス,パケットのポート番号, パケットに含まれるキーワード及びファイルのサイズの少なくとも1つ を用いて判定を行うため,送信先のIPアドレス等がわからなければ, 送信情報の持出しの可否判定を行うことができない。このため,指令か らIPアドレスを取得しない引用発明に,IPアドレスを用いて情報漏 えいの防止を行う引用例2記載の技術的事項を適用することはできない。
(イ) 参考文献に記載された技術は,あらかじめ定められた機密情報保存 用フォルダに保存されているファイルの内容が当該フォルダ以外に出 力されないように制限するものであり,当該フォルダは,ローカルの 17 全てのフォルダではなく,一部のフォルダである。したがって,当該 技術は,ローカルにおける複数のフォルダのうち特定のフォルダに保 存されているファイルのみを保護するものである。
このため,引用発明に当該技術を適用した場合,ローカルの特定のフ ォルダに関する持出しの処理が制限されるだけであり,他のフォルダに 保存されているファイルについては制限されないことになるから,引用 発明に参考文献記載の技術的事項を適用することにより,機密アプリケ ーションによるローカル以外への送信を全て阻止することができる本願 発明に想到することはできない。
(ウ) 引用発明は,指令に含まれるアプリケーションの識別子や記憶領域 に対応する安全性を用いた保護処理を行うことによってその課題を解 決していると解されることから,安全性を用いて保護処理を行うこと を必須の構成とするものであって,引用発明に引用例2及び参考文献 に各記載の技術的事項を適用し,安全性を用いないで保護処理を行う ようにすることには阻害要因がある。
エ 以上のとおり,相違点Cに係る本願発明の構成は,引用発明において当 業者が適宜設計し得た事項ではなく,また,引用発明に引用例2及び参 考文献に各記載の技術的事項を適用することによって,相違点Cに係る 本願発明の構成に容易に想到することもできない。
したがって,本件審決には容易想到性の判断に誤りがあり,その誤り は本件審決の結論に影響を及ぼす。
2 被告の主張 (1) 取消事由1-1(送信の指令に関する引用発明の認定の誤り)について ア 本件審決の認定した引用発明の内容 (ア) 本件審決の認定した引用発明 引用例1の【0077】には,「<変形例3> 上記の実施の形態で 18 は,出力先の安全性に応じて保護方法を決定したが,処理内容から入力 元の記憶領域または識別子と出力先の記憶領域または識別子とを抽出し, 入力元の安全性と出力先の安全性から,処理方法を決定するようにして もよい。」(以下「変形例3」という。)と記載されている。この変形 例3においてのみ,「出力先の安全性」に加え「入力元の安全性」にも 応じて「保護方法」が決定されるものとなっており,かつ,@入力元と 出力先が同じ安全性であることから再度保護処理を行わずそのままファ イルの複写を行う態様,A入力元よりも出力先の安全性が低い場合に処 理を禁止する態様,B入力元よりも出力先の安全性が高い場合には入力 元の安全性に従った保護処理を施し,元の保護よりも弱い保護にはしな いようにする態様,が例示されている(以下,各態様を「態様@」のよ うにいう。)。態様@〜Bは,設定された安全性に基づく情報の保護の 方法ないし程度が異なっており,例えば態様Aは,出力禁止となってい ない出力先に対する出力であっても場合によっては禁止するものであり, 「元の保護よりも弱い保護にはしないようにする」という態様Bよりも より積極的に保護を行うものとなっている。
本件審決は,このような引用例1の記載のうち,態様Aに係る箇所の 記載を踏まえ,ファイルの入力元よりも出力先の安全性が低い場合に処 理を禁止し,それ以外の場合には処理を禁止しないものを引用発明とし て認定したものである。
(イ) 引用発明における「安全性」 引用例1の記載によれば,「安全性」はデータに対する指令の処理内 容に含まれる入力元又は出力先の記憶領域やアプリケーションに対して 数値レベルで設定される。この数値レベルは,情報セキュリティ上の信 頼の度合いを数値化し,どのような保護を適用するかを特定する際に用 いられるものであり,一般に「セキュリティレベル」と呼ばれ,データ 19 やリソース等のセキュリティレベル(安全性)の高さが機密性の高さと 相関することは周知の事項である。
もっとも,変形例3の態様@〜Bにおいては,引用例1記載の他の実 施の形態と異なり,「保護方法」は「安全性」の具体的な数値の値では なく「入力元の安全性」と「出力先の安全性」との関係に対応するので あって,「安全性」の具体的な数値の値が「保護方法」に対応するわけ ではない。引用発明は,前記のとおり,変形例3の3つの態様のうち態 様Aを踏まえて認定されたものであり,「入力元の安全性」と「出力先 の安全性」との関係に応じて所定の保護方法が適用され,ファイルの入 力元のアプリケーションの安全性よりその出力先となる記憶領域の安全 性が低いという関係にある場合に処理を禁止し,そうでない場合には処 理を禁止しないというものである。
(ウ) 引用発明の「第2の手段」 引用例1の記載によれば,引用発明のファイル管理装置は,「取得さ れた指令で特定される処理の内容に応じて,OSに処理を渡す前にファ イルに保護を施すか否かの判断を含む前記処理の内容に応じたファイル の保護方法を求め,その保護方法により前記処理対象となるファイルの 保護処理を行う」ものであって,そのための「第2の手段」を備えるも のである。また,この「手段」によって「取得された指令で特定される 処理の内容に応じたファイルの保護方法」を求めるに当たり,当該処理 内容に含まれる「記憶領域」又は「アプリケーションを特定する識別子」 が抽出される。さらに,「処理内容」に含まれる「記憶領域」又は「ア プリケーションを特定する識別子」に応じて「保護方法データベース」 が参照され,ファイルの「保護方法」が求められる。
加えて,前記【0077】の記載によれば,態様@〜Bのいずれも, 「取得された指令で特定される処理の内容」によっては,「指令」に関 20 するファイルの「入力元」と「出力先」とに応じてファイルの「保護方 法」を求める態様である旨が示されているところ,ここでの「入力元」 と「出力先」としては,「記憶領域」又は「アプリケーションを特定す る識別子」のうちの任意の組合せがあり得,「入力元」を「アプリケー ションの識別子」とし「出力先」を「記憶領域」とする組合せが含まれ ていることは明らかである。そうすると,同記載からは「取得された指 令で特定される処理の内容」により,ファイルの「入力元」の「アプリ ケーションの識別子」とファイルの「出力先」となる「記憶領域」とに 応じて,入力元よりも出力先の安全性が低い場合に処理を禁止する態様 を読み取ることができる。
以上を踏まえると,引用発明のファイル管理装置は,「取得された指 令で特定される処理の内容に応じて,OSに処理を渡す前にファイルに 保護を施すか否かの判断を含む前記処理の内容に応じたファイルの保護 方法を求め,その保護方法により前記処理対象となるファイルの保護処 理を行う」に当たり,「取得された指令に関するファイルの入力元のア プリケーションの識別子とファイルの出力先となる記憶領域とに応じて, 入力元よりも出力先の安全性が低い場合に処理を禁止する」ものであっ て,そのための「第2の手段」を備えるものである。本件審決も,同旨 を述べて引用発明を認定しており,その認定に誤りはない。
イ(ア) 引用例1の【0038】には,「ステップS12では,処理内容か ら出力先の記憶領域または識別子を抽出する。…なお,記憶領域または 識別子は処理内容に直接含まれている場合と処理内容に含まれる情報か ら 間 接 的 に 取 得 さ れ る 場 合 が あ る 。 例 え ば , ”read c:\word\test.txt HANDLE”のような処理内容があり,HANDLE が読み先のメモリ領域を 示す情報である場合,HANDLE から読み込み先のプロセスを特定する。
あるいは処理命令の指示元のプロセスを読み込み先としてもよい。」と 21 の記載がある。この記載は,「指令」に関する「ファイルの入力元のア プリケーションの識別子」と「ファイルの出力先となる記憶領域」を抽 出する態様として,「指令」の「処理内容」にこれらが直接含まれる態 様のほか,「指令」の「処理内容」に含まれる情報からこれらを間接的 に取得する態様,「指令」の「処理命令」の指示元プロセスをこれらの 読み込み先とする態様があることを前提としたものとなっている。
したがって,引用発明の構成として認定した「第1の手段で取得され た指令」に関する「ファイルの入力元のアプリケーションの識別子」と 「ファイルの出力先となる記憶領域」は,「指令」に直接含まれるもの に限定されていない。
(イ) 取消事由1-1に関する原告の主張は,「記憶領域または識別子」 を「処理内容から」「抽出する」ことが「処理内容に直接含まれてい る」ものを抽出することであるという前提に立つものであるが,引用 例1は上記(ア)のとおり,これと異なる前提に立つものである。
(ウ) また,引用例1のファイル管理装置が処理する命令に「ファイルの 送信(send)」が含まれている旨明示され,他方,変形例3の態様Aを 記載する前記【0077】において「処理の内容」から「ファイルの 入力元のアプリケーションの識別子」と「ファイルの出力先となる記 憶領域」を抽出できる「指令」の種類が限定されることが示されてい るわけでもないことから,引用例1には,「ファイルに対する送信を 含む処理」の「指令に関するファイルの入力元のアプリケーションの 識別子とファイルの出力先となる記憶領域とに応じて,保護方法デー タベースによりファイルの保護方法を求め」ることが記載されている。
ウ したがって,本件審決の引用発明の認定に誤りはない。原告の主張は引 用例1の記載内容を誤解したものであり,失当である。
(2) 取消事由1-2(保護方法に関する引用発明の認定の誤り)について 22 ア 原告は,ファイルの出力先となる記憶領域に応じた安全性が入力元のア プリケーションの識別子に応じた安全性より高い場合には入力元となる アプリケーションの識別子の安全性に対応する保護処理を行うものであ ることも含めて,引用発明を認定すべきである旨主張する。
イ しかし,前記(1)アのとおり,本件審決は,引用例1の記載のうち変形 例3の態様Aに係る箇所の記載を踏まえて引用発明を認定したものであ り,態様Bを認定したものではない。態様@〜Bは,設定された安全性 に基づく情報の保護の方法ないし程度が異なっており,態様Aは,出力 禁止とされていない出力先に対する出力であっても場合によっては禁止 するものである。他方,態様Bは,「元の保護よりも弱い保護にはしな いようにする」ものとなっている。入力先の安全性よりも出力先の安全 性が高い場合の処理として態様B以外の記載がないとしても,明示され なくとも,態様Aにおいて仮に入力元の安全性より出力先の安全性が同 じか高い場合には処理が禁止されないようにすれば足りるのであり,こ の場合に何らかの保護方法を適用するか否かについて,引用例1は述べ ていない。態様Aと情報の保護の方法ないし程度が異なる態様@やBを 組み合わせなければならない理由も見当たらない。
ウ よって,原告の主張は,本件審決を正解しないものであり,また,引用 例1の記載内容を誤解した根拠のない主張であって,失当である。
(3) 取消事由2(一致点の認定の誤り及び相違点の看過)について ア(ア) 本願特許の特許請求の範囲請求項1の記載によれば,本願発明の 「機密識別子記憶部」については「機密事項を扱うアプリケーションを 識別する機密識別子が記憶される」ものである旨が特定されているが, 「機密事項を扱うアプリケーション」でない「アプリケーション」を識 別する識別子を記憶しない旨を含め,どのような態様で「機密識別子」 を「記憶」するかについては特定されていない。また,「機密識別子記 23 憶部」に係る条件判断の内容も,「機密識別子記憶部」が「機密事項を 扱うアプリケーション」でない「アプリケーション」を識別する識別子 を記憶しないものであることを前提としたものにはなっておらず,「機 密識別子記憶部」における「機密識別子」を「記憶」する態様がどのよ うなものであるかを示さない文言が用いられている。「当該フックした システムコールを開放する」条件も,「そうでない場合」という包括的 なものであり,「機密識別子」を「記憶」する態様がどのようなもので あるかを示すものではない。
これらの点を踏まえれば,本願発明においては,「機密識別子記憶部」 が「機密識別子」でないものを記憶しているか否かは発明の構成と無関 係の事情であり,例えば,全てのアプリケーションの識別子を記憶した 上で,それらのうち「機密事項を扱うアプリケーション」であるか否か を別欄で示し,「機密事項を扱うアプリケーション」として記憶された 「識別子」で識別されたアプリケーションであることを条件とする態様 をも含んでいるということができる。
(イ) 引用発明の「保護方法データベース」は,アプリケーションの識別 子を前記「安全性」の情報とともに格納しているものであるところ, 引用発明における「指令」に係るファイルの出力の「処理」を「禁止」 するアプリケーション(「安全性」が最高レベルのアプリケーション すなわち最安全アプリケーション)とは,これより信頼度が相対的に 低い出力先への送信処理を禁止すべきであるほどに信頼度の高いアプ リケーションである。一般に,機密情報の保護を目的として,不適切 な送信先への機密情報の送信処理が禁止されるところ,送信処理の禁 止という技術的な観点からは,送信処理が禁止された情報と機密情報 とを区別することはできない。引用発明においても,信頼度が相対的 に低い出力先への送信処理を禁止すべき情報は,送信処理が禁止され 24 ることによって機密情報として取り扱われているのであり,このような情報を「機密情報」(機密事項)とし,これを取り扱うことが予定されている信頼度の高いアプリケーションを「機密アプリケーション」と称することに問題はない。また,このような機密情報を扱う蓋然性の高いアプリケーションは,「安全性」が最高レベルであるから,保護方法データベースにおいて最高レベルの「安全性」が対応付けられた「識別子」に基づき識別し得ることになる。
他方,上記(ア)のとおり,本願発明の「機密識別子記憶部」は,全てのアプリケーションの識別子を記憶した上で,それらのうち「機密事項を扱うアプリケーション」であるか否かを別欄で示す態様を含み,また,ここでいう「機密事項」も,「機密事項を扱うアプリケーション」により扱われることによって送信が阻止されてその漏えいが防止される事項を一般的に示すにすぎず,これと異なる技術的な定義が与えられているわけではない。
そうすると,引用発明においても,機密情報を扱う「安全性」の最高レベルが対応付けられたアプリケーション(最安全アプリケーション)の「識別子」が本願発明の「機密識別子」に相当するとともに,そのようなアプリケーションの「識別子」が記憶される「保護方法データベース」が,本願発明の「機密識別子記憶部」の上記態様に相当する。
本件審決は,引用発明の「保護方法データベース」が本願発明の「機密識別子記憶部」に相当することを認定するに当たり,引用発明の「入力元のアプリケーション」が本願発明の「機密アプリケーション」に相当するといえる旨を示しているが,これは,前記のとおり,本願発明の「機密識別子記憶部」が「機密識別子」でないものを記憶しているか否かが発明の構成と無関係の事情であることを踏まえたものであり,最安全アプリケーションでないアプリケーションを含めて本願発明の機密ア 25 プリケーションに相当する旨を示したものではない。すなわち,本件審 決は,「識別子」が本願発明の「機密識別子」に相当する場合の引用発 明の「入力元のアプリケーション」が本願発明の「機密事項を扱うアプ リケーション」に相当し,引用発明の「保護方法データベース」が本願 発明の「機密識別子記憶部」に相当すると認定したものであり,その認 定に誤りはない。
イ 取消事由2-1(一致点の認定の誤り及び相違点Aの看過)について 原告は,本願発明の「機密識別子記憶部」では機密アプリケーション を識別する機密識別子が記憶されるのに対し,引用発明の保護方法デー タベースでは非機密アプリケーションの識別子も記憶されるという相違 点Aが存在する旨主張するが,上記アのとおり,本願発明の「機密識別 子記憶部」は,全てのアプリケーションの識別子を記憶した上で,それ らのうち「機密事項を扱うアプリケーション」であるか否かを別欄で示 す態様を含むことから,原告の主張する相違点Aは存在しない。
したがって,原告の主張は失当である。
ウ 取消事由2-2(一致点の認定の誤り及び相違点Bの看過)について (ア) 本件審決は,非機密アプリケーションを含めて本願発明の「機密ア プリケーション」に相当するとするものではなく,本願発明が非機密 アプリケーションについて何ら述べていないことに対応して,「識別 子」が本願発明の「機密識別子」に相当する場合の引用発明の「入力 元のアプリケーション」が本願発明の「機密事項を扱うアプリケーシ ョン」に相当する旨を述べたものであって,非機密アプリケーション については何ら述べていない。そうである以上,引用発明の保護方法 データベースが最安全アプリケーションでないアプリケーションの識 別子を記憶するものであることは,本願発明との相違点となり得ない。
また,本件審決が認定した引用発明においては,「ファイルの入力元 26 のアプリケーションの識別子とファイルの出力先となる記憶領域とに応 じて」「ファイルの出力先となる記憶領域」の「安全性」が低い場合と そうでない場合とを区別できる必要があるが,そのためには「安全性」 は2段階であれば十分であり,3段階以上でなければならないものでは ない。すなわち,引用発明の,入力元のアプリケーションと出力先の記 憶領域の安全性が,安全性“1”(高),安全性“0”(低)の2値に設定 される態様においては,入力元の安全性として最高レベルが設定された アプリケーションを「機密アプリケーション」と一意に識別できるよう に,アプリケーションに対して入力元の安全性を設定することが可能で ある。
そうすると,本願発明の機密識別子記憶部と,引用発明の保護方法デ ータベースは,いずれも機密アプリケーションを一意に特定できるもの であり,この観点から相違していることにはならない。また,引用発明 において,保護方法データベースに入力元の安全性として最高レベルが 設定されたアプリケーションであることは,本願発明の条件のうちの 「当該アプリケーションが,前記機密識別子記憶部で記憶されている機 密識別子で識別されるアプリケーションである場合」に相当することに なる。
本件審決は,これを踏まえて,「当該アプリケーションが,前記機密 識別子記憶部で記憶されている機密識別子で識別されるアプリケーショ ンである場合に,ファイルの送信先に応じて送信を阻止するか否かを決 定する制御部」を備えることを本願発明と引用発明の一致点としたもの である。
(イ) 前記のとおり,引用発明は,安全性が3値以上の態様に限定されな い。
もっとも,引用発明の安全性が3値以上の態様においては,ファイル 27 の送信処理が禁止される入力元のアプリケーションであるかどうかは, 入力元のアプリケーションと出力先の記憶領域の安全性に基づいて相対 的に決まることから,入力元の安全性として最高レベルが設定されない アプリケーションについてもファイルの送信を阻止できるように設定す ることは可能である。
しかし,本願発明においては,「機密識別子記憶部」が「機密識別子」 でないものを記憶しているか否かは無関係の事情であり,非機密アプリ ケーションからの送信を一切阻止しない旨が積極的に特定されているわ けではないから,非機密アプリケーションについて送信を阻止できるよ うな設定はできないという趣旨までが含まれているわけではいない。
そうである以上,引用発明の3値以上の態様において非機密アプリケ ーション(最安全アプリケーションでないアプリケーション)につきフ ァイルの送信を阻止できるように設定可能であることは,相違点看過の 根拠とはならない。
(ウ) 相違点Bが仮に相違点であるとしても,この点については,本件審 決における相違点1の判断において事実上判断されている。
すなわち,本件審決は,引用発明の「入力元のアプリケーション」が 本願発明の「機密事項を扱うアプリケーション」に相当する旨認定し, これを前提として相違点1についての判断を示したものであるが,本願 発明の「アプリケーション」が「前記機密識別子記憶部で記憶されてい る機密識別子で識別されるアプリケーション」である旨が引用発明にお いて明示されていないことをもって相違点と考えたとしても,引用発明 において,この相違点に係る送信処理を行うアプリケーションが「機密 事項を扱うアプリケーション」すなわち「機密識別子記憶部で記憶され ている機密識別子で識別されるアプリケーション」であるとの構成が容 易想到である旨の判断は,事実上示されている。
28 (4) 取消事由3(相違点の認定の誤り及び相違点に係る容易想到性判断の誤 り)について ア 相違点の認定の誤りについて (ア) 本願発明におけるファイル送信が阻止されない条件は,「そうでな い場合」という包括的なもの,つまりファイル送信が阻止される条件 以外の全ての場合であって,ファイル送信が阻止される条件に応じて 反射的必然的に決定されるものである。
この点,原告は,「送信が阻止されない条件」は「アプリケーション の識別子が機密識別子記憶部で記憶されていないこと,又は,送信先が ローカルであること」である旨主張するが,特許請求の範囲の記載によ れば,「送信が阻止されない条件」は「そうでない場合」,つまり,送 信が阻止される場合でない場合であって,原告主張のような限定的な特 定はされていない。
(イ) 前記のとおり,引用発明は,引用例1の変形例3の態様Aに係る記 載を踏まえ,「ファイルの出力先となる記憶領域の安全性が低い場合」 に「処理を禁止する」ものであるから,明示するまでもなく,それ以 外の場合,すなわちファイルの出力先となる記憶領域の安全性が低い 場合以外の場合には処理を禁止しないのであり,「処理」が「禁止」 されないのは「ファイルの出力先となる記憶領域の安全性が低い場合」 以外の場合となる。
(ウ) このように,ファイル送信が阻止される場合(ファイルの入力元の アプリケーションと出力先の記憶領域が所定の組合せである場合)で ない場合という条件においては,本願発明と引用発明は相違 せず,こ の条件は一致点となる。
(エ) 本件審決は,以上の対比の趣旨を踏まえて,本願発明における「フ ァイル送信が阻止される条件」を構成する2つの部分条件のうち「前 29 記アプリケーションが,(前記機密識別子記憶部で記憶されている) 機密識別子で識別されるアプリケーションである場合」という部分条 件については一致点とし,「送信先がローカル以外である場合」とい う部分条件との論理積条件となっている点については相違点(相違点 1)と整理し,その際,「実行部がアプリケーションを実行中にファ イルに対する送信処理に係るシステムコールを検知し,当該アプリケ ーションが,前記機密識別子記憶部で記憶されている機密識別子で識 別されるアプリケーションである場合に,ファイルの送信先に応じて 送信を阻止するか否かを決定する制御部」を本願発明と引用発明との 一致点として認定したのであり,この認定に誤りはない。
(オ) 本願発明における送信が阻止されない条件のような反射的必然的に 決定される条件が結果的にどのような条件と等価となっているかは, 特許請求の範囲に記載されていない事項であり,発明特定事項ではな い。相違点1を相違点Cと認定すべきとの原告の主張は,特許請求の 範囲の記載を正解しないものであり,失当である。
イ 相違点に係る容易想到性判断の誤りについて (ア) 原告の主張する相違点に係る容易想到性判断の誤りは,相違点Cの 存在を前提としたものであるところ,前記のとおり,相違点Cを認定 すべきとする原告の主張は失当である以上,ここでの原告の主張はそ の前提において失当である。
(イ) 相違点1についての容易想到性に関し a 原告は,引用発明において本願発明と同様の保護処理が行われるよ うに安全性を設定することには阻害要因があり,相違点1に係る本願 発明の構成は,引用発明において当業者が適宜設計し得たものではな い旨主張する。
しかし,引用例1における「入力元の安全性と出力先の安全性」 30 から保護方法を決定するもの(態様@〜B)においては,「保護方法」 は,「安全性」の具体的な数値の値ではなく「入力元の安全性」と 「出力先の安全性」との関係に対応しているのであって,「出力先の 安全性」に応じて「保護方法」を決定する引用例1の他の態様と異な り,「安全性」の具体的な数値の値は「保護方法」に対応しない。こ のため,非機密アプリケーションの安全性を機密アプリケーションの 安全性よりも低く設定することは,前者に対する保護方法が後者に対 するそれより厳重でなくてはならないことを意味するなどとする原告 の主張は,態様@〜Bにおいては必ずしも妥当しない。原告の主張は, 「出力先の安全性」に応じて「保護方法」を決定することを念頭に置 いた「安全性」と「保護方法」の対応付けを根拠として「入力元」と なるアプリケーションの保護方法を論ずるものであり,失当である。
b 引用発明では,取得された指令に係る入力元のアプリケーションよ りも出力先の記憶領域の安全性が低い場合は処理を禁止することから, 引用発明において相違点1に係る本願発明の条件を実現しようとすれ ば,引用発明の保護方法データベースに記憶された,機密アプリケー ション(の識別子),ローカル記憶領域及びローカル以外の記憶領域 の安全性について,機密アプリケーションの安全性のレベルをローカ ル以外の記憶領域の安全性のレベルより高く設定する必要がある。
ところ で, 引 用発 明 の「保 護方法 デー タ ベース 」は, そも そも 「柔軟」な データ保 護のためのものであ る(引用例1の【0 00 8】)。これを用いてアプリケーションや記憶領域に合理的に安全性 を設定することは,そもそも当業者が適宜行うことであり,引用発明 において本願発明と同様の条件を実現することに何らの阻害事由もな い。また,後記のとおり,情報保護の文脈における条件としての「ロ ーカル」と「ローカル以外」との区別が周知であるということは,こ 31 のような区別に基づいて安全性を設定することが「合理的」であるこ とにほかならない。
c 本件審決の認定に係る相違点1は,要するに,ファイル送信の阻止 の条件について「送信先がローカル以外である場合」という部分条件 を論理積条件として考慮しているか否かということであるから,この 相違点1に係る本願発明の構成が引用発明に基づき容易想到であると する根拠として考慮すべき技術内容は,「ローカル」と「ローカル以 外」とが情報漏えい防止を含む情報保護の文脈における条件として区 別されること,及び,引用発明において,このような区別に従った保 護方法データベースの設定が可能であることである。本件審決は,こ のうち前者につき,「ローカル」と「ローカル以外」とが情報漏えい 防止を含む情報保護の文脈における条件として区別されることが周知 であることを示すに当たり,引用例2を示したものである。
d 参考文献は,拒絶理由通知に対する意見書(甲7)に答えて提示さ れたものであり,必ずしも本件審決の論旨に直接関係しない。
e したがって,出力先となる記憶領域の安全性が低い場合は処理を禁 止する引用発明において,上記区別を適用し,ファイル送信の阻止の 条件として,アプリケーションが機密識別子記憶部に記憶されること の条件のほかに,ファイルの送信先が安全性の低い記憶領域であるこ とに代えて,ファイルの送信先がローカル以外であることを条件とす ること,すなわち相違点1に係る構成とすることは,当業者であれば 適宜なし得たことである。この点に関する本件審決の判断に誤りはな く,原告の主張は失当である。
(ウ) 相違点Cについての容易想到性に関し a 上記(イ)a及びbの趣旨は,ここでも妥当する。
なお,引用発明の「保護方法データベース」を用いてアプリケー 32 ションや記憶領域に安全性を設定する場合の設定が「合理的」か否か については,上記(イ)bと同様の考慮に加え,更に「入力元」が「非 機密アプリケーション」である場合の設定についても考慮する必要が あるが,この場合とは,いわば機密情報を考慮する必要がない場合で あるから,「安全性」の設定の仕方は機密情報の保護と関係がなく, 阻害事由とはなり得ない。
b 仮に相違点Cを前提とした場合,情報保護の文脈における条件とし ての「ローカル」と「ローカル以外」との区別が周知である旨だけで なく,機密事項に該当しないデータの送信処理については,送信先が ローカル以外であっても送信を阻止しない点も周知である旨認定する 必要があるところ,本件審決は,この認定を明示的には行っていない 点で,不適切なところがあることになる。
もっとも,そもそも機密事項に該当しないデータの送信処理を許 可すべきことは言わずもがなのことであるし,データの保護を課題と する情報セキュリティの技術分野において,情報漏えい防止のために, 機密事項に係るデータの送信処理については,送信先がローカルであ れば送信を許可し,ローカル以外であれば送信を阻止するとともに, 機密事項に該当しないデータの送信処理については,送信先がローカ ル以外であっても送信を阻止しない旨の技術自体が周知である。また, 引用発明において,本願発明と同様の条件を実現することは設計事項 であって,何らの阻害事由もないことは前記a(上記(イ)b)のとお りであり,このような周知技術に倣って,引用発明において「ローカ ル」と「ローカル以外」とを区別しつつ,非機密アプリケーションの 送信について送信先がローカル以外であっても送信を阻止しないよう に設定することは,容易想到である。
このように,仮に相違点Cを前提としても,結論において本件審 33 決に誤りはない。
当裁判所の判断
1 本願発明 (1) 本願発明は,前記第2の2記載のとおりである。
(2) 本願明細書には,以下の記載がある。
ア 技術分野 「【0001】 本発明は,アプリケーションにおける送信の制御を行う機密管理装置 等に関する。」 イ 背景技術 「【0002】 従来,情報処理装置や情報処理システムにおいて,不正行為から装置 やシステム,データを保護する技術が知られている…。」 ウ 発明が解決しようとする課題 「【0004】 しかしながら,そのような不正行為からの保護を行う装置等において, すべてのアプリケーションに関して同じ保護を行うと,安全性は高くな るが,利便性が低下するという問題が生じる。例えば,情報の漏洩を防 止するために,すべてのアプリケーションに関して送信を制限すると, 情報の漏洩を防止できたとしても,ユーザの利便性は著しく低下するこ とになる。
【0005】 本発明は,上記課題を解決するためになされたものであり,安全性を 維持しながら,利便性も確保することができる機密管理装置等を提供す ることを目的とする。」 エ 課題を解決するための手段 34 「【0006】 上記目的を達成するため,本発明による機密管理装置は,機密事項を 扱うアプリケーションを識別する機密識別子が記憶される機密識別子記 憶部と,機密識別子記憶部で記憶されている機密識別子で識別されるア プリケーションを実行部が実行中に,実行部が送信を行う場合であって, 送信先がローカル以外である場合に,送信を阻止するように制御する送 信制御部と,を備えたものである。
【0007】 このような構成により,機密識別子によって識別されるアプリケーシ ョンにおいて,送信先がローカル以外である場合の送信が阻止されるこ とになり,機密事項を含むファイル等が送信によって漏洩することを防 止することができ,安全性が維持されることになる。一方,機密識別子 で識別されるアプリケーション以外のアプリケーションについては,自 由に送信をすることができ,ユーザの利便性も確保することができる。」オ 発明の効果「【0010】 本発明による機密管理装置等によれば,アプリケーションに応じて送 信を制御することができ,安全性の維持と,利便性の確保とを実現する ことができる。」カ 発明を実施するための形態「【0020】 機密管理装置2は,機密識別子記憶部21と,送信制御部22とを備 える。
機密識別子記憶部21では,一または二以上の機密識別子が記憶され る。機密識別子は,機密事項を扱うアプリケーションを識別する情報で ある。機密識別子は,アプリケーションを識別できる情報であれば,そ 35 の内容を問わない。例えば,機密識別子は,アプリケーションの名称や,アプリケーションのID等であってもよい。また,この機密識別子記憶部21で記憶されている機密識別子で識別されるアプリケーションは,後述するように,そのアプリケーションにおける送信が制限されるアプリケーションとなる。したがって,機密事項を扱うと考えられるアプリケーションを識別する機密識別子を,機密識別子記憶部21に蓄積しておくことになる。
【0022】 送信制御部22は,機密識別子記憶部21で記憶されている機密識別子で識別されるアプリケーション(…「機密アプリケーション」…)を実行部14が実行中に,実行部14が送信を行う場合であって,送信先がローカル以外である場合に,送信を阻止するように制御する。機密アプリケーションの実行中に実行部14が行う送信とは,その機密アプリケーションにおける送信である。例えば,機密アプリケーションにおけるデータやファイル等の送信であってもよい。ローカルの送信先とは,情報処理装置3と同じローカルのネットワークに属する送信先である。…ローカルでない送信先は,グローバルなネットワークに属する送信先であってもよく,情報処理装置3とは異なるローカルのネットワークに属する送信先であってもよい。なお,送信制御部22は,結果として,機密アプリケーションにおいて,ローカル以外の送信先への送信を阻止するように制御できるのであれば,その阻止の方法は問わない。…【0023】 送信を阻止するように制御するとは,結果としてその送信が行われないようにすることであれば,その方法を問わない。例えば,送信制御部22は,機密アプリケーションからOSに渡されるシステムコールをフックし,送信阻止の対象でないシステムコールであれば,そのフックし 36 たシステムコールを開放して送信が行われるようにし,一方,送信阻止の対象となるシステムコールであれば,そのフックしたシステムコールを破棄して送信を阻止してもよい。…【0034】 まず,ユーザが,アプリケーション「フォトビュアーAAA」を起動し,そのアプリケーションでファイル「photo2009」をオープンする指示を出したとする。すると,…その指示に応じて,…その実行中のアプリケーション「フォトビュアーAAA」において,ファイル記憶部11で記憶されているファイル「photo2009」をオープンする処理を行う。その後,ユーザが,そのファイル「photo2009」に含まれる写真を選択し,写真共有サイトのサーバに送信するためのボタンを選択する操作を行ったとする。すると,その操作に応じて実行部14は,選択された写真のデータをあらかじめ設定されているドメイン名のサイトに送信する処理を行う。そして,送信制御部22は,システムコールの監視において,その写真のデータの送信に対応するシステムコールをフックし,そのアプリケーションの名称「フォトビュアーAAA」と,送信先のドメイン名「photosharing...com」を取得する(ステップS101)。また,送信制御部22は,その取得したアプリケーションの名称が,図3で示される機密識別子に含まれるかどうか判断する。この場合には,含まれなかったとする。すると,送信制御部22は,送信を行ったアプリケーションが機密アプリケーションでないと判断し(ステップS102),そのフックしたシステムコールを開放する。その結果,その写真のデータが送信部16によって写真共有サイトのサーバに送信されることになる。
【0035】 次に,ユーザが,アプリケーション「会計ソフトDDD」を起動する 37 操作を行ったとする。すると,その操作に応じて実行部14は,アプリケーションを起動する。そして,ユーザが,アプリケーション「会計ソフトDDD」において,新規ファイルを作成する操作を行い,その後にそのファイル「data2010」を保存する操作を行ったとする。すると,その操作に応じて,実行部14は,ファイル「data2010」をファイル記憶部11に蓄積する処理を行う。また,ユーザは,そのファイル「data2010」をファイルサーバに送信するためのボタンを選択する操作を行ったとする。すると,その操作に応じて実行部14は,そのファイルをあらかじめ設定されているドメイン名のサイトに送信する処理を行う。そして,送信制御部22は,システムコールの監視において,そのファイルの送信に対応するシステムコールをフックし,そのアプリケーションの名称「会計ソフトDDD」と,送信先のドメイン名「accounting...com」を取得する(ステップS101)。
また,送信制御部22は,その取得したアプリケーションの名称が,図3で示される機密識別子に含まれるかどうか判断する。この場合には含まれるため,送信制御部22は,ファイルを送信するアプリケーションが機密アプリケーションであると判断する(ステップS102)。また,送信制御部22は,その取得したドメイン名が,記憶されているドメイン名「abc...com」と異なるため,送信先がローカル以外であると判断する(ステップS103)。そのため,送信制御部22は,そのフックしたシステムコールを破棄することによって,その送信を阻止する(ステップS104)。その結果,ファイル「data2010」の送信は行われないことになる。
【0036】 なお,そのアプリケーション「会計ソフトDDD」における送信において,送信先のドメイン名が「abc...com」である場合には,送信制 38 御部22は,そのドメイン名が記憶されているものと同じであるため, 送信先がローカルであると判断する(ステップS103)。その結果, ローカルの送信先への送信が行われることになる。
(3) 本願発明の特徴 ア 技術分野 本発明は,アプリケーションにおける送信の制御を行う機密管理装置 等に関する。(【0001】) イ 本願発明が解決しようとする課題 従来,情報処理装置や情報処理システムにおいて,不正行為から装置 やシステム,データを保護する技術が知られている。しかし,そのよう な不正行為からの保護を行う装置等において,全てのアプリケーション に関して同じ保護を行うと,安全性は高くなるが,利便性が低下すると いう問題が生じる。例えば,情報の漏洩を防止するために,全てのアプ リケーションに関して送信を制限すると,情報の漏洩を防止できたとし ても,ユーザの利便性は著しく低下することになる。(【0002】, 【0004】) 本願発明は,上記課題を解決するためになされたものであり,安全性 を維持しながら,利便性も確保することができる機密管理装置等を提供 することを目的とする。(【0005】) ウ 課題解決手段 上記目的を達成するため,本願発明による機密管理装置は,機密事項 を扱うアプリケーションを識別する機密識別子が記憶される機密識別子 記憶部と,機密識別子記憶部で記憶されている機密識別子で識別される アプリケーションを実行部が実行中に,実行部が送信を行う場合であっ て,送信先がローカル以外である場合に,送信を阻止するように制御す る送信制御部と,を備えたものである。(【0006】) 39 エ 効果 上記の構成により,機密識別子によって識別されるアプリケーション (機密アプリケーション)において,送信先がローカル以外である場合 の送信が阻止されることになり,機密事項を含むファイル等が送信によ って漏洩することを防止することができ,安全性が維持されることにな る。一方,機密アプリケーション以外のアプリケーションについては, 自由に送信をすることができ,ユーザの利便性も確保することができる。
(【0007】,【0010】)オ 実施の形態 (ア) 機密管理装置2は,機密識別子記憶部21と,送信制御部22とを 備える。(【0020】) (イ) 機密識別子記憶部21では,機密識別子が記憶される。
機密識別子は,機密事項を扱うアプリケーションを識別する情報であ る。機密識別子は,アプリケーションを識別できる情報であれば,その 内容を問わない。例えば,機密識別子は,アプリケーションの名称や, アプリケーションのID等であってもよい。
また,この機密識別子記憶部21で記憶されている機密アプリケーシ ョンは,後述するように,そのアプリケーションにおける送信が制限さ れるアプリケーションとなる。したがって,機密事項を扱うと考えられ るアプリケーションを識別する機密識別子を,機密識別子記憶部21に 蓄積しておくことになる。(以上,【0020】) (ウ) 送信制御部22は,機密アプリケーションを実行部14が実行中に, 実行部14が送信を行う場合であって,送信先がローカル以外である 場合に,送信を阻止するように制御する。
機密アプリケーションの実行中に実行部14が行う送信とは,その機 密アプリケーションにおける送信である。例えば,機密アプリケーショ 40 ンにおけるデータやファイル等の送信であってもよい。
ローカルの送信先とは,情報処理装置3と同じローカルのネットワー クに属する送信先である。(以上,【0022】) 送信を阻止するように制御するとは,結果としてその送信が行われな いようにすることであれば,その方法を問わない。例えば,送信制御部 22は,機密アプリケーションからOSに渡されるシステムコールをフ ックし,送信阻止の対象でないシステムコールであれば,そのフックし たシステムコールを開放して送信が行われるようにし,一方,送信阻止 の対象となるシステムコールであれば,そのフックしたシステムコール を破棄して送信を阻止してもよい。(【0023】)(エ) 具体例 a ユーザが,アプリケーション「フォトビュアーAAA」を起動し, 写真を選択し,写真共有サイトのサーバに送信するためのボタンを選 択する操作を行うと,その操作に応じて実行部14は,選択された写 真のデータをあらかじめ設定されているドメイン名のサイトに送信す る処理を行う。
送信制御部22は,システムコールの監視において,その写真の データの送信に対応するシステムコールをフックし,そのアプリケー ションの名称「フォトビュアーAAA」と,送信先のドメイン名「p hotosharing...com」を取得する。また,送信制御部2 2は,その取得したアプリケーションの名称が,機密識別子に含まれ るかどうか判断する。この場合には,含まれなかったとする。すると, 送信制御部22は,送信を行ったアプリケーションが機密アプリケー ションでないと判断し,そのフックしたシステムコールを開放する。
その結果,その写真のデータが送信部16によって写真共有サイ トのサーバに送信されることになる。(以上,【0034】) 41 b ユーザが,アプリケーション「会計ソフトDDD」を起動し,同ア プリケーションにより作成,保存したファイル「data2010」 をファイルサーバに送信するためのボタンを選択する操作を行ったと する。すると,その操作に応じて実行部14は,そのファイルをあら かじめ設定されているドメイン名のサイトに送信する処理を行う。
送信制御部22は,システムコールの監視において,そのファイ ルの送信に対応するシステムコールをフックし,そのアプリケーショ ンの名称「会計ソフトDDD」と,送信先のドメイン名「accou nting...com」を取得する。また,送信制御部22は,その取 得したアプリケーションの名称が機密識別子に含まれるかどうか判断 する。この場合には含まれるため,送信制御部22は,ファイルを送 信するアプリケーションが機密アプリケーションであると判断する。
さらに,送信制御部22は,その取得したドメイン名が,記憶されて いるドメイン名「abc...com」と異なるため,送信先がローカル 以外であると判断する。そのため,送信制御部22は,そのフックし たシステムコールを破棄することによって,その送信を阻止する(ス テップS104)。
その結果,ファイル「data2010」の送信は行われないこ とになる。(以上,【0035】) 他方,「会計ソフトDDD」における送信において,送信先のド メイン名が「abc...com」である場合には,送信制御部22は, そのドメイン名が記憶されているものと同じであるため,送信先がロ ーカルであると判断する。その結果,ローカルの送信先への送信が行 われることになる。(【0036】)2 取消事由1(引用発明の認定の誤り)について (1) 引用発明 42 引用例1には,以下の記載がある。
ア 技術分野「【0001】 本発明は,ファイル管理プログラム及びファイル管理装置に関する。」イ 背景技術「【0002】 コンピュータシステムにおいてデータを保護するための技術が知られ ている。
【0003】 例えば,保護対象となるリソースに対してアクセス可能なプログラム の識別情報をアクセス許可管理テーブルに登録しておき,保護対象とな るリソースに対するアクセス要求があると,アクセス要求したプログラ ムの識別情報を取得してアクセス許可管理テーブルにその識別情報が登 録されているか否かにより,リソースへのアクセスの許否を判定する技 術が開示されている…。
【0004】 また,保護領域にアプリケーションがアクセスするとアプリケーショ ンの識別情報を取得し,識別情報がテーブルに登録されているか否かを 判定し,登録されていなければアクセスを許可し,テーブルに識別情報 が登録されていればアクセス先を検出し,アクセス先が保護領域であれ ばアクセスを許可し,保護領域でなければアクセスを禁止する技術が開 示されている…。
【0005】 また,ハードディスク等のデバイスドライバを制御するための制御関 数を取得し,暗号領域内の暗号化ファイルが非暗号領域への移動又は複 製されることを検知すると制御関数を用いて暗号化ファイルを開き,制 43 御関数を用いてオープンした暗号化ファイルを読み出して復号し,移動 先又は複製先にて制御関数を用いて復号化されたファイルを書き込む技 術が開示されている…。」ウ 発明が解決しようとする課題「【0007】 ファイルやリソースへのアクセスの許可・不許可を行うことによりデ ータを保護する方法やデータの暗号化・復号化を行うことによりデータ を保護する方法は知られている。
【0008】 しかしながら,オペレーションシステム(OS)に対する処理要求の 内容に応じてデータの保護方法を変更する技術は知られていない。した がって,データの取得先や出力先に応じてデータの保護方法を変更した り,データを使用するアプリケーション毎にデータの保護方法を変更し たりして,柔軟にデータを保護することができなかった。」エ 課題を解決するための手段「【0009】 本発明の1つは,コンピュータに,処理対象となるデータに対する処 理の指令を取得する第1のステップと,前記第1のステップで取得され た指令で特定される処理の内容に応じて前記処理の内容に応じたデータ の保護方法を求め,その保護方法により前記処理対象となるデータの保 護処理を行う第2のステップと,を含む処理を実行させることを特徴と するファイル管理プログラムである。
【0010】 また,本発明の1つは,処理対象となるデータに対する処理の指令を 取得する第1の手段と,前記第1の手段で取得された指令で特定される 処理の内容に応じて前記処理の内容に応じたデータの保護方法を求め, 44 その保護方法により前記処理対象となるデータの保護処理を行う第2の 手段と,…を備えることを特徴とするファイル管理装置である。
【0012】 また,前記第2のステップ又は手段は,前記第1のステップ又は手段 で取得された指令で特定される処理におけるデータの取得元又は出力先 に応じてデータの保護方法を求め,その保護方法により前記処理対象と なるデータの保護処理を行うものとしてもよい。
【0014】 また,前記第1のステップ又は手段で取得された指令に関するアプリ ケーション又は前記第1のステップ又は手段で取得された命令の入力手 段と,前記処理対象となるデータに対する処理を行うオペレーションシ ステムと,の間において前記第1のステップ又は手段及び前記第2のス テップ又は手段を行うものとしてもよい。
【0015】 また,前記第2のステップ又は手段は,前記第1のステップ又は手段 で取得された指令で特定される処理に応じて,前記処理対象となるデー タ処理の前又は前記処理対象となるデータ処理の後を切り替えて前記処 理対象となるデータの保護処理を行うものとしてもよい。」オ 発明の効果「【0016】 請求項1及び7の発明によれば,データの処理の内容に応じた保護方 法でデータを保護することができる。
【0018】 請求項3の発明によれば,処理対象となるデータの取得元,出力先等 となる処理のアクセス先に応じた保護方法でデータを保護することがで きる。
45 【0020】 請求項5の発明によれば,従来から使用してきたオペレーションシス テム及びオペレーションシステム上で動作するアプリケーションを変更 することなく柔軟にデータを保護することができる。
【0021】 請求項6の発明によれば,処理の内容に応じて,データに対する処理 の前又はデータに対する処理の後の適切なタイミングでデータに保護を 施すことができる。」カ 発明を実施するための最良の形態「【0022】 本発明の実施の形態におけるファイル管理装置100は,…中央処理部 10,記憶部12,入力部14,表示部16及びインターフェース部1 8を含んで構成される。これらの構成部は,バスやネットワーク等の情 報伝達手段によって相互に情報伝達可能に接続される。
【0029】 ファイル管理装置100は,…ファイル操作命令手段20,アプリケー ション処理手段22,ファイル操作命令取得手段24,ファイル保護手 段26,データ位置特定手段28,保護方法データベース記憶手段30 及びオペレーティングシステム処理手段32を含む装置として機能する。
【0031】 ステップS10では,データ(ファイル)に対する処理を特定する命 令を取得する。中央処理部10は,データに対する処理の命令を取得す る。このステップの処理がファイル操作命令取得手段24に相当する。
取得された処理内容はファイル保護手段26へ送られる。
【0035】 例 え ば , フ ァ イ ル の 複 写 ( c o p y ) の 指 示 に は , "copy 46 c:\work\test.txt c:\share"のように複写命令のコマンド"copy",複写元の記憶領域"c:\work",複写先の記憶領域"c:\share"及びファイル名"test.txt"が含まれる。
【0036】 ま た , フ ァ イ ル の 書 き 込 み ( w r i t e ) の 指 示 に は , "write datac:\share\test.txt"のように,書き込み命令のコマンド"write",書き込み対象となるデータ"data",書き込み先の記憶領域"c:\share"及び書き込みデータのファイル名"test.txt"が含まれる。
【0037】 また,アプリケーションからのファイルの読み出し(read)の指示には,対象となるファイルを特定する情報とアプリケーションを特定する識別子(アプリケーション名,プロセス名等)とが含まれる。具体的には,"read c:\work\test.txt ‘Mail Tool’"のように,読み出し命令のコマンド"read",処理対象となるファイルの記憶領域"c:\work",電子メールとして処理することを示す"Mail Tool"及びファイル名"test.txt"が含まれる。また,"read c:\work\test.txt ‘文書 Viewer’"のように,電子メールとして処理することを示す"Mail Tool"の代りに,ファイルの内容を表示してユーザに呈示する"文書 Viewer"を指定したり,プリンタによる画像形成をするためにプリンタ"printer A"を指定したりしてもよい。
【0038】 ステップS12では,処理内容から出力先の記憶領域または識別子を抽出する。ここでの処理はファイル保護手段26及びデータ位置特定手段28に相当する。なお,記憶領域または識別子は処理内容に直接含まれている場合と処理内容に含まれる情報から間接的に取得される場合がある。例えば,"read c:\work\test.txt HANDLE"のような処理内容があり,HANDLE が読み先のメモリ領域を示す情報である場合,HANDLE から読 47 み込み先のプロセスを特定する。あるいは処理命令の指示元のプロセスを読み込み先としてもよい。
【0040】 ステップS14では,処理内容に応じたデータ(ファイル)の保護方法を決定する。中央処理部10は,記憶部12に予め格納されている保護方法データベースを参照し,ステップS10で取得した処理内容に応じてデータ(ファイル)の保護方法を決定する。ここでの処理はファイル保護手段26及び保護方法データベース記憶手段30に相当する。
【0041】 保護方法データベースは,記憶領域又はアプリケーションを特定する識別子に保護方法を関連付けたデータベースである。保護方法データベースが格納及び保持された記憶部10が保護方法データベース記憶手段30に相当する。
【0042】 例えば,図4に例示するように,記憶領域"c:\share"に安全性"1",記憶領 域 "c:\Documents and Setting\userA\desktop" に 安 全 性 "2" , 記 憶 領 域"\\server1\confidential"に安全性"3",記憶領域"ごみ箱"に安全性"1"が関連付けられる。また,アプリケーションを特定する識別子"文書 viewer"に安全性"3",識別子"Mail Tool"に安全性"1",識別子"printer A"に安全性"2",識別子"printer B"に安全性"1"が関連付けられる。
【0043】 ここで,図5に例示するように,安全性"0"とはファイル操作禁止による保護を意味し,安全性"1"はDRM(Digital Rights Management)による保護を意味し,安全性"2"はファイル操作の履歴(ログ)の保存を意味し,安全性"3"は平文による処理(OSによる通常のファイル操作)を許可することを意味する。
48 【0044】 ここで,安全性は 0〜3 としたが,これらは保護の安全性の順序やレベルを示す必要はなく,処理対象となるデータ(ファイル)にどのような保護を適用するか特定できるものであればよい。
【0047】 ステップS16では,処理内容毎に,処理前(オペレーションシステムに渡す前)にデータ(ファイル)に保護を施すか,処理後(オペレーションシステムから戻ってきた後)にデータ(ファイル)に保護を施すかを判断する。
【0048】 データ(ファイル)に保護を施すタイミングは,処理の内容に応じて変更される。図6に例示するように,…ファイルの書き込み(write),ファイルの送信(send)については,データ(ファイル)に対する処理前に保護を施す。この場合,ステップS18に処理を移行させる。一方,データ(ファイル)に対する処理が…ファイルの読み出し(read)…については,データ(ファイル)に対する処理後に保護を施す。この場合,ステップS20に処理を移行させる。
【0049】 ステップS18では,決定された保護方法でデータ(ファイル)に保護を施す。中央処理部10は,ステップS10で指定されたデータ(ファイル)に対して取得して処理命令で特定される処理を施す前にステップS14で決定した保護方法を施す。ここでの処理は,ファイル保護手段26及びオペレーティングシステム処理手段32で行われる。
【0050】 例えば,ファイルの書き込み(write)の指示として"write datac:\share\test.txt"という処理内容が取得された場合,ファイルに対する書 49 き込み処理前に保護処理を施す。中央処理部10は,取得したファイルに対して保護を施した後,オペレーションシステムに書き込み対象となる デ ー タ "data" を 渡 し , 書 き 込 み 先 の 記 憶 領 域 "c:\share" に フ ァ イ ル 名"test.txt"としてデータ"data"を格納する。図4の保護方法データベースの例では書き込み先の記憶領域"c:\share"は安全性"1"に指定されているので,オペレーションシステムにファイルを引き渡す前にデータ"data"に DRM による保護を施す。
【0053】 …送信(send)についても同様にファイル操作前に保護を施す。
【0056】 また,アプリケーションからのファイルの読み出し(read)の指示として"read c:\work\test.txt ‘Mail Tool’"という処理内容が取得された場合,ファイルに対する読み出し処理後に保護処理を施す。中央処理部10は,対象となるファイルの記憶領域"c:\work"からファイル名"test.txt"で特定されるファイルを読み出し,そのファイルに保護を施した後,電子メールのメールツールである"Mail Tool"へファイルの出力を行う。保護方法データベースでは,読み出し先のプロセス"Mail Tool"は安全性"1"に指定されているので,読み出し処理後にプロセス"Mail Tool"に出力される前にファイル名"test.txt"のファイルに DRM による保護を施す。
【0057】 同様に,"read c:\work\test.txt ‘文書 Viewer’"のようにファイルの内容を表示してユーザに呈示する"文書 Viewer"が指定された場合,ファイルに対する読み出し処理後に保護処理を施す。中央処理部10はオペレーションシステムを呼び出し,処理対象となるファイルの記憶領域" c:\work"からファイル名"test.txt"で特定されるファイルを読み出し,文書ビューアであるアプリケーションにファイルの出力を行う。保護方法データベースで 50 は,読み出し先のプロセス"文書 Viewer"は安全性"3"に指定されているので, 読み出し処理後にファイル名"test.txt"のファイルが平文であればそのまま 文書ビューアであるアプリケーションにファイルを出力する。一方,フ ァイル名"test.txt"のファイルが平文でなければ,ファイルを平文に戻す処 理を施して文書ビューアであるアプリケーションにファイルを出力する。
【0077】 <変形例3> 上記の実施の形態では,出力先の安全性に応じて保護方法を決定した が,処理内容から入力元の記憶領域または識別子と出力先の記憶領域ま たは識別子とを抽出し,入力元の安全性と出力先の安全性から,処理方 法を決定するようにしてもよい。例えば,図4の保護方法データベース を持つ時に"copy c:\share\doc1.txt c:\share\doc2.txt" という処理内容を実行 する場合,入力元と出力先は同じ安全性なので,再度保護処理を行わず そのままファイルの複写を行うようにしてもよい。また,入力元よりも 出力先の安全性が低い場合は処理を禁止するようにしてもよいし,逆に 入力元よりも出力先の安全性が高い場合には入力元の安全性に従った保 護処理を施し元の保護よりも弱い保護にはしないようにしてもよい。」(2) 引用発明の特徴 ア 技術分野 引用発明は,ファイル管理プログラム及びファイル管理装置に関する。
(【0001】) イ 引用発明が解決しようとする課題 従来より,コンピュータシステムにおいてデータを保護するための技 術として,ファイルやリソースへのアクセスの許可・不許可を行うこと によりデータを保護する方法やデータの暗号化・復号化を行うことによ りデータを保護する方法は知られている 。(【0002】,【000 51 7】) しかし,オペレーションシステム(OS)に対する処理要求の内容に 応じてデータの保護方法を変更する技術は知られておらず,データの取 得先や出力先に応じてデータの保護方法を変更したり,データを使用す るアプリケーション毎にデータの保護方法を変更したりして,柔軟にデ ータを保護することができなかった。(【0008】)ウ 課題解決手段 引用発明は,処理対象となるデータに対する処理の指令を取得する第 1の手段と,前記第1の手段で取得された指令で特定される処理の内容 に応じて前記処理の内容に応じたデータの保護方法を求め,その保護方 法により前記処理対象となるデータの保護処理を行う第2の手段とを備 えるファイル管理装置であって,(【0010】) 前記第2の手段は,前記第1の手段で取得された指令で特定される処 理におけるデータの取得元及び出力先の安全性に応じて,入力元よりも 出力先の安全性が低い場合は処理を禁止するようにデータの保護方法を 求め,(【0012】,【0077】) 前記第2の手段は,前記第1の手段で取得された指令で特定される処 理に応じて,前記処理対象となるデータ処理の前又は前記処理対象とな るデータ処理の後を切り替えて前記処理対象となるデータの保護処理を 行うものである。(【0015】)エ 効果 引用発明によれば,データの処理の内容に応じた保護方法,特に,処 理対象となるデータの取得元,出力先等となる処理のアクセス先に応じ た保護方法でデータを保護することができ (【0016】,【001 8】),処理の内容に応じて,データに対する処理の前又はデータに対 する処理の後の適切なタイミングでデータに保護を施すことができる。
52 (【0021】)オ 実施の形態(変形例3) ファイル管理装置100は,ファイル操作命令手段20,アプリケー ション処理手段22,ファイル操作命令取得手段24,ファイル保護手 段26,データ位置特定手段28,保護方法データベース記憶手段30 及びオペレーティングシステム処理手段32を含む装置として機能する。
(【0029】) ステップS10(ファイル操作命令取得手段24に相当)では,中央 処理部10は,データ(ファイル)に対する処理を特定する命令を取得 する。取得された処理内容はファイル保護手段26へ送られる。(【0 031】) ステップS12(ファイル保護手段26及びデータ位置特定手段28 に相当)では,処理命令の指示元のプロセスを読み込み先とし,又は, 処理内容から入力元の記憶領域若しくは識別子を抽出し,かつ,処理内 容から出力先の記憶領域または識別子を抽出する。なお,記憶領域また は識別子は処理内容に直接含まれている場合と処理内容に含まれる情報 から間接的に取得される場合がある。(【0038】,【0077】) ステップS14(ファイル保護手段26及び保護方法データベース記 憶手段30に相当)では,中央処理部10は,記憶部12に予め格納さ れている保護方法データベースを参照し,入力元よりも出力先の安全性 が低い場合は処理を禁止するように,処理内容に応じたデータ(ファイ ル)の保護方法を決定する。(【0040】,【0077】) 保護方法データベースは,記憶領域又はアプリケーションを特定する 識別子に安全性を関連付けたデータベースである。保護方法データベー スが格納及び保持された記憶部10が保護方法データベース記憶手段3 0に相当する。(【0041】〜【0044】,【0077】) 53 ステップS16では,処理内容毎に,処理前(オペレーションシステ ムに渡す前)にデータ(ファイル)に保護を施すか,処理後(オペレー ションシステムから戻ってきた後)にデータ(ファイル)に保護を施す かを判断する。ファイルの送信(send)については,データ(ファ イル)に対する処理前に保護を施す。この場合,ステップS18に処理 を移行させる。(【0047】,【0048】) ステップS18では,決定された保護方法でデータ(ファイル)に保 護を施す。中央処理部10は,ステップS10で指定されたデータ(フ ァイル)に対して取得して処理命令で特定される処理を施す前にステッ プS14で決定した保護方法を施す。ここでの処理は,ファイル保護手 段26及びオペレーティングシステム処理手段32で行われる。(【0 049】)(3) 取消事由1-1(送信の指令に関する引用発明の認定の誤り)について ア 原告は,引用発明においては,取得されたファイルの送信の指令から入 力元のアプリケーションの識別子を抽出することはできないところ,本 件審決はその抽出ができるとした点で誤りがある旨主張する。
イ この点につき,引用発明の実施の形態である変形例3を記載した引用例 1の【0077】には,入力元のアプリケーションの識別子の取得に関 して,単に「処理内容から入力元の記憶領域または識別子と出力先の記 憶領域または識別子とを抽出し」との記載があるのみであり,また,処 理内容の例を見ると,処理の命令が read の場合に"Mail Tool"及び"文書 Viewer"というアプリケーションの識別子を出力先に指定した例が記載さ れているが(【0037】,【0056】及び【0057】),入力元 にアプリケーションの識別子を直接指定した例は見当たらない。間接的 に識別子を取得する例も,前記【0038】の HANDLE の例のみである。
これらの事情等を踏まえると,引用例1には,入力元のアプリケーシ 54 ョンの識別子を取得する具体的手法についての記載はなく,【0077】 に抽象的に「処理内容から入力元の…識別子…を抽出し」と記載されてい るにとどまることになる。
しかし,他方で,引用例1には,入力元にアプリケーションの識別子 を 直 接 指 定 す る こ と が で き な い 旨 , 入 力 元 に HANDLE を 指 定 し て HANDLE から入力元のアプリケーションを特定する手法を取り得ない旨, 及び,処理命令の指示元のプロセスを入力元とすることができない旨に ついての記載もない。
加えて,引用発明が既存の特定のOSを前提とするものであり,当該 OSの仕様によって入力元のアプリケーションの識別子を取得すること ができないとする理由もない。そもそも,引用例1には,処理内容が特 定のOSのシステムコール又はAPIに準拠していることをうかがわせ る記載はない。
さらに,処理命令の入力元をアプリケーションとすることも考えられ ないではなく,それが必ずしも非現実的とまではいえない。
以上より,引用例1は,入力元のアプリケーションの識別子を取得す る具体的手法を明らかにはしていないものの,その取得が不可能とまで いうことはできない。
ウ したがって,取消事由1-1は理由がない。この点に関する原告の主張 は採用し得ない。
(4) 取消事由1-2(保護方法に関する引用発明の認定の誤り)について ア 前記のとおり,変形例3には,入力元よりも出力先の安全性が低い場合 には処理を禁止するように,処理内容に応じたデータ(ファイル)の保 護方法を決定することが記載されている。そうである以上,本件審決が 引用発明の保護方法につき「その保護方法は,ファイルの出力先となる 記憶領域の安全性が低い場合は処理を禁止することを含む」と認定した 55 ことに誤りはない。
したがって,取消事由1-2は理由がないというべきである。
イ これに対し,原告は,引用発明の認定は変形例3の態様Aのみでなく態 様Bも含めて行われるべきである旨主張する。
しかし,変形例3の態様@〜Bは,それぞれ「してもよい」という選 択肢を示す記載により結ばれており,いずれも選択的に採用され得るも のにすぎないことは明らかである。また,これらの全部又は一部を組み 合わせた処理方法を採用すべき旨の記載も見当たらない。
その他原告がるる指摘する点を考慮しても,この点に関する原告の主 張は採用し得ないというべきである。
3 取消事由2(一致点の認定の誤り及び相違点の看過)について (1) 取消事由2につき,原告は,本件審決の理解に応じて取消事由2-1及 び2-2の2つの場合を分けて論じつつ,これらに共通する趣旨は,本件審 決は,本願発明の機密識別子の作用ないし機能と引用発明の識別子の作用な いし機能が相違すること,すなわち,本願発明の「機密識別子」は「機密事 項を扱うアプリケーションを識別する」ものであるのに対し,引用発明にお ける「アプリケーションの識別子」は必ずしも機密事項を扱うアプリケーシ ョンを識別するものではなく,ファイルの保護方法を求める上で必要となる 安全性の程度(例えば,数値)を得る前提として,入力元のアプリケーショ ンを識別するものであることを看過したというものである旨主張する。
そこで,以下では,上記相違点に係る取消事由を取消事由2-1及び2 -2を包摂するものとして「取消事由2」とし,その理由の有無について検 討する。
(2)ア 本件審決は,「保護方法データベース」に記憶された「入力元のアプ リケーション」が保護対象データである「ファイル」を処理するのは自明 であり,機密事項を保護対象データとして扱うことは当該技術分野の技術 56 常識であることから,引用発明の「入力元のアプリケーション」,「識別 子」はそれぞれ,本願発明の「機密事項を扱うアプリケーション」,「機 密識別子」に相当し,また,引用発明の「保護方法データベース」に「入 力元のアプリケーション」の「識別子」が記憶されていることは明らかで あるから,引用発明の「保護方法データベース」は本願発明の「機密事項 を扱うアプリケーションを識別する機密識別子が記憶される機密識別子記 憶部」に相当する旨認定・判断した。
イ(ア) しかし,前記認定に係る本願明細書及び引用例1の記載によれば, 本願発明における「機密識別子」は「機密事項を扱うアプリケーション を識別する」ものとして定義されている(本願明細書【0006】等) のに対し,引用発明におけるアプリケーションの「識別子」は,アプリ ケーションを特定する要素(アプリケーション名,プロセス名等)とし て位置付けられるものであって(引用例1【0037】等),必ずしも 直接的ないし一次的に機密事項を扱うアプリケーションを識別するもの とはされていない。
(イ) また,本願発明は,「すべてのアプリケーションに関して同じ保護 を行うと,安全性は高くなるが,利便性が低下するという問題が生じ る」(本願明細書【0004】)という課題を解決するために,「当 該アプリケーションが,前記機密識別子記憶部で記憶されている機密 識別子で識別されるアプリケーションであり,送信先がローカル以外 である場合に」「送信を阻止」するという構成を採用したものである。
このような構成を採用することによって,「機密事項を含むファイル 等が送信によって漏洩することを防止することができ」,かつ,「機 密識別子で識別されるアプリケーション以外のアプリケーションにつ いては,自由に送信をすることができ,ユーザの利便性も確保するこ とができる」という効果が奏せられ(本願明細書【0007】),前 57 記課題が解決され得る。このことに鑑みると,本願発明の根幹をなす技術的思想は,アプリケーションが機密事項を扱うか否かによって送信の可否を異にすることにあるといってよい。
他方,引用発明において,アプリケーションは,機密事項を扱うか否かによって区別されていない。すなわち,そもそも,引用例1には機密事項の保護という観点からの記載が存在しない。また,引用発明は,柔軟なデータ保護をその解決すべき課題とするところ(【0008】),保護対象とされるデータの保護されるべき理由は機密性のほかにも考え得る。このため,機密事項を保護対象データとして取り扱うことは技術常識であったとしても,引用発明における保護対象データが必ず機密事項であるとは限らない。しかも,引用発明は,入力元のアプリケーションと出力先の記憶領域とにそれぞれ安全性を設定し,それらの安全性を比較してファイルに保護を施すか否かの判断を行うものである。このため,同じファイルであっても,入力元と出力先との安全性に応じて,保護される場合と保護されない場合とがあり得る。
これらの点に鑑みると,引用発明の技術的思想は,入力元のアプリケーションと出力先の記憶領域とにそれぞれ設定された安全性を比較することにより,ファイルを保護対象とすべきか否かの判断を相対的かつ柔軟に行うことにあると思われる。かつ,ここで,「入力元のアプリケーションの識別子」は,それ自体として直接的ないし一次的に「機密事項を扱うアプリケーション」を識別する作用ないし機能は有しておらず,上記のようにファイルの保護方法を求める上で比較のため必要となる「入力元のアプリケーション」の安全性の程度(例えば,その程度を示す数値)を得る前提として,入力元のアプリケーションを識別するものとして作用ないし機能するものと理解される。
そうすると,本願発明と引用発明とは,その技術的思想を異にするも 58 のというべきであり,また,本願発明の「機密識別子」は「機密事項を 扱うアプリケーションを識別する」ものであるのに対し,引用発明の 「アプリケーションの識別子」は必ずしも機密事項を扱うアプリケーシ ョンを識別するものではなく,ファイルの保護方法を求める上で必要と なる安全性の程度(例えば,数値)を得る前提として,入力元のアプリ ケーションを識別するものであり,両者はその作用ないし機能を異にす るものと理解するのが適当である。
(ウ) このように,本願発明の「機密識別子」と引用発明の「識別子」が 相違するものであるならば,それぞれを記憶した本願発明の「機密識 別子記憶部」と引用発明の「保護方法データベース」も相違すること になる。
ウ 以上より,この点に関する本件審決の前記認定・判断は,上記各相違点 を看過したものというべきであり,誤りがある。
エ これに対し,被告は,引用発明における最高レベルの安全性が対応付け られたアプリケーション(最安全アプリケーション)の「識別子」が本 願発明の「機密識別子」に相当する(したがって,そのようなアプリケ ーションの「識別子」が記憶される「保護方法データベース」が,本願 発明の「機密識別子記憶部」に相当する)などと主張する。
確かに,引用発明における最安全アプリケーションは,それ未満の安 全性を対応付けられた記憶領域へのファイルの送信が阻止されることか ら,本願発明の「機密アプリケーション」とその作用ないし機能におい て類似する。
しかし,これは入力元と出力先との安全性の比較という引用発明独自 の保護方法を適用したことにより,結果的に類似する作用ないし機能が 生じたというにすぎず,最安全アプリケーションの場合といえども,引 用発明において,アプリケーションが,「機密事項を扱う」か否かの観 59 点からではなく,関連付けられている安全性の程度を得る観点から区別 されていることに変わりはない。このことは,上記安全性の程度が2値 を採るか3値以上の値を採るかにより異ならない。
また,引用発明の「入力元のアプリケーション」は機密事項を扱うか 否かで区別されていない以上,その識別子が本願発明の「機密識別子」 に相当することはない。そうである以上,引用発明の「入力元のアプリ ケーション」を最安全アプリケーションとそうでないアプリケーション とに分けて論じたところで,これによって本願発明における「機密識別 子」が引用発明においても存在することが論証されるわけではないとい うべきである。
以上より,この点に関する被告の主張は採用し得ない。
(3)ア そうすると,本件審決につき,引用発明の保護方法データベースに含 まれる各アプリケーションの識別子が,本願発明の機密識別子記憶部で記 憶されている機密識別子に相当する旨認定したものと理解した場合(取消 事由2-1の場合)は,相違点A(ただし,上記(2)に鑑みると,「本願 発明の機密識別子記憶部では,機密事項を扱うアプリケーションを識別す る機密識別子が記憶されるのに対し,引用発明の保護方法データベースで は,アプリケーションの識別子が記憶されるものの,当該識別子によって は,当該アプリケーションが機密事項を扱うものであるか否かは特定し得 ない」とするのがより正確である。)が存在するものと認められる。すな わち,本件審決は,一致点の認定を誤り,相違点Aを看過したものという べきである。
そして,相違点Aにつき,引用発明から本願発明の構成に至るために は,引用発明の保護方法データベースにおいて,同データベースで管理 するアプリケーションの識別子を機密事項を扱うアプリケーションの識 別子に限定する代わりに,同アプリケーションが扱うファイルについて 60 は,外部への送信等を絶対的に禁止するなど,入力元と出力先との安全 性の比較の余地を排するものとする必要があることとなる。しかし,前 記のとおり,引用発明の技術的思想は,入力元と出力先とにそれぞれ設 定された安全性を比較することにより,ファイルを保護対象とすべきか 否かの判断を相対的かつ柔軟に行うことにあるところ,上記のように引 用発明の構成を変更することがその技術的思想に相反することは明らか である。その意味で,そのような構成を採ることには阻害事由がある。
そうである以上,相違点Aにつき,引用発明から出発して本願発明の 構成に至ることは容易に想到可能であるということはできない。すなわ ち,本件審決における一致点の認定の誤り及び相違点Aの看過は,審決 の結論に影響を及ぼすものであるから,取消事由2-1には理由がある。
イ 他方,本件審決につき,引用発明の保護方法データベースに含まれる最 安全アプリケーションの識別子が,本願発明の機密識別子記憶部で記憶 されている機密識別子に相当する旨認定したものと理解した場合(取消 事由2-2の場合)は,相違点Bが存在するものと認められる。すなわ ち,本件審決は,一致点の認定を誤り,相違点Bを看過したものという べきである。
そして,相違点Bにつき,引用発明から本願発明の構成に至ることが 引用発明の技術的思想に相反し,そのような構成を採ることに阻害事由 があるため,容易に想到可能とはいえないことは,上記アと同様である。
したがって,本件審決における一致点の認定の誤り及び相違点Bの看 過は,審決の結論に影響を及ぼすものであるから,取消事由2-2には 理由がある。
なお,原告は,相違点Bの存在を主張するに当たり,引用発明におい て安全性は3段階以上存在することに言及するところ,引用発明につい てのこのような理解は失当というべきである。もっとも,安全性を2段 61 階とすることにより引用発明のアプリケーションが機密事項を扱うか否 かによる区別されるものとなるわけでないことは前記((2)エ)のとおり であるから,この点は結論に影響しない。
ウ 以上より,本件審決につきいかに理解するのであれ,取消事由2-1及 び2-2を包摂する取消事由2は理由があるということができる。
エ これに対し,被告は,相違点AないしBの看過を争うとともに,仮に相 違点Bが存在するとしても,その点については,本件審決の相違点1に 関する判断において事実上判断されている旨主張する。
このうち,相違点AないしBの看過については,上記ア及びイのとお りである。
また,本件審決の判断は,@引用例2に記載されるように,ファイル を含むパケットについて,内部ネットワークから外部ネットワークへの 持ち出しを判断し,送信先に応じて許可/不許可を判定すること,すな わち,内部ネットワーク(ローカル)以外への送信の安全性が低いとし てセキュリティ対策を施すことは,本願出願前には当該技術分野の周知 の事項であったこと,A参考文献に記載されるように,機密ファイルを あるアプリケーションプログラムが開いた後は,電子メール等によって 当該アプリケーションプログラムにより当該ファイルが機密情報保存用 フォルダ(ローカル)以外に出力されることがないようにすることも, 本願出願前には当該技術分野の周知技術であったことをそれぞれ踏まえ て行われたものである。
しかし,@に関しては,本件審決の引用する引用例2には,送信の許 可/禁止の判定は送信元及び送信先の各IPアドレスに基づいて行われ ることが記載されており(【0030】),アプリケーションの識別子 に関する記載は見当たらない。また,前記のとおり,引用発明における 識別子は,アプリケーションが機密事項を扱うものか否かを識別する作 62 用ないし機能を有するものではない。
Aに関しては,参考文献記載の技術は,機密情報保存用フォルダ内のファイルが当該フォルダの外部に移動されることを禁止するものであるところ(【0011】),その実施の形態として,機密情報保存用フォルダ(機密フォルダ15A)の設定につき,「システム管理者は,各ユーザが使用するコンピュータ10内の補助記憶装置15内に特定の機密ファイルを保存するための機密フォルダ15Aを設定し,ユーザが業務で使用する複数の機密ファイルを機密フォルダ15A内に保存する。」(同【0018】)との記載はあるものの,起動されたアプリケーションプログラムが機密事項を扱うものであるか否かという点に直接的に着目し,これを識別する標識として本願発明の機密識別子に相当するものを用いることをうかがわせる記載は見当たらない(本件審決は,参考文献の記載(【0008】,【0009】,【0064】)に言及するものの,そこでの着目点は機密ファイルをあるアプリケーションプログラムが開いた後の取扱いであって,その前段階として機密ファイルを定める要素ないし方法に言及するものではない。)。このように,当該周知技術においては,アプリケーションが機密事項を扱うものであるか否かを識別する機密識別子に相当するものが用いられているとはいえない。
なお,参考文献の記載(【0032】等)によれば,アプリケーションプログラムのハンドル名がアプリケーションの識別子として作用することがうかがわれるが,参考文献記載の技術は,アプリケーションが実際に機密ファイルをオープンしたか否かによって当該アプリケーションによるファイルの外部への格納の可否が判断されるものであり,入力元と出力先との安全性の比較により処理の可否を判断する引用発明とは処理の可否の判断の原理を異にする。また,扱うファイルそのものの機密性に着目して機密ファイルを外部に出すことを阻止することを目的とす 63 る点で,扱うファイルそのものの機密性には着目していない引用発明と は目的をも異にする。このため,引用発明に対し参考文献記載の技術を 適用することには,動機付けが存在しないというべきである。
そうすると,相違点Bにつき,引用発明に,引用例2に記載 の上記周 知の事項を適用しても,本願発明の「機密識別子」には容易に想到し得 ないというべきであるし,参考文献記載の周知技術はそもそも引用発明 に適用し得ないものであり,また,仮に適用し得たとしても,本願発明 の「機密識別子」に想到し得るものではない。そうである以上,相違点 Bにつき,本件審決における相違点1の判断において事実上判断されて いるとはいえない。
したがって,この点に関する被告の主張は採用し得ない。
4 取消事由3(相違点の認定の誤り及び相違点に係る容易想到性判断の誤り) について (1) 上記3のとおり,本件審決は,本願発明の「機密識別子」及び「機密識 別子記憶部」と引用発明の「識別子」及び「保護方法データベース」とに係 る相違点を看過したものであり,この点は審決の結論に影響を及ぼす。
しかし,更に進んで,仮にこの相違点の看過がなかったとしても,本件 審決は相違点Cを看過したものであり,この点は審決の結論に影響を及ぼす というべきである。その理由は,以下のとおりである。
(2)ア 本願発明における送信の可否の動作は,「当該アプリケーションが, 前記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケ ーションであり,送信先がローカル以外である場合に,当該フックしたシ ステムコールを破棄することによって当該送信を阻止し,そうでない場合 に,当該フックしたシステムコールを開放する」(請求項1)との記載に より規定されている。
ここでいう「そうでない場合」とは,その記載に先立つ「当該アプリ 64 ケーションが,前記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションであり,送信先がローカル以外である場合」との記載と対をな すもの と 理解するのが合理的であ る。 そうすると ,「そうでない場合」とは,『「当該アプリケーションが,前記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションであり,送信先がローカル以外である場合」でない場合』を意味することとなる。これは,すなわち,「当該アプリケーションが,機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションでないか,又は,送信先がローカルである場合」にほかならない。
他方,「システムコールを開放する」との動作は,本願明細書の「システムコールを開放して送信が行われるようにし」(【0023】)及び「システムコールを開放する。その結果,その写真のデータが送信部16によって写真共有サイトのサーバに送信されることになる。」(【0034】)との記載から,送信を実行するための動作であると認められる。
以上より,本願発明は,「当該アプリケーションが,前記機密識別子記憶部で記憶されている機密識別子で識別されるアプリケーションであり,送信先がローカル以外である場合に,当該フックしたシステムコールを破棄することによって当該送信を阻止する一方,当該アプリケーションが,機密識別子で識別されるアプリケーションでないか,又は,送信先がローカルである場合に,当該フックしたシステムコールを開放することによって当該送信を実行する」ものであると解される。このように解することは,本願発明の課題及び効果(前記1(3)イ,エ)とも整合する。
そうすると,本願発明と引用発明との一致点及び相違点の認定に当たっては,ファイル送信の阻止の条件とともにファイル送信を阻止しない 65 条件についても対象とすべきところ,本件審決は,ファイル送信の阻止 の条件を相違点1として認定するにとどまり,ファイル送信を阻止しな い条件に関する対比及び認定が欠落しているというべきである。
そして,引用発明においてファイル送信を阻止しない条件は,入力元 のアプリケーションの識別子の安全性よりも出力先の記憶領域の安全性 の方が低くないことであり,この点は,本願発明のファイル送信を阻止 しない条件とは相違する。
以上より,本願発明と引用発明とは,本願発明においては,「当該ア プリケーションが,機密識別子で識別されるアプリケーションでないか, 又は,送信先がローカルである場合に,当該フックしたシステムコール を開放することによって当該送信を実行する」のに対し,引用発明にお いては,「入力元のアプリケーションの識別子の安全性よりも出力先の 記憶領域の安全性の方が低くない場合に,ファイル送信を実行する」点 でも相違すると見るのが適当である(これと相違点1とを合わせると, 相違点Cとなる。以下では,正しくは相違点1ではなく相違点Cが認定 されるべきであったものとして論ずる。)。このような相違点Cを看過 した点で,本件審決における本願発明と引用発明との一致点及び相違点 の認定は誤りがある。
イ これに対し,被告は,本願発明におけるファイル送信が阻止されない条 件は,「そうでない場合」という包括的なもの,つまりファイル送信が 阻止される条件以外の全ての場合であって,ファイル送信が阻止される 条件に応じて反射的必然的に決定されるものであり,これが結果的にど のような条件と等価となっているかは発明特定事項ではないとし,ファ イル送信が阻止される場合でない場合という条件においては,本願発明 と引用発明は相違せず,この条件は一致点となる旨主張する。
この被告の主張の趣旨はやや判然としない部分があるが,「そうでな 66 い場合」の「そう」が「当該アプリケーションが,前記機密識別子記憶 部で記憶されている機密識別子で識別されるアプリケーションであり, 送信先がローカル以外である場合」を指すとすれば,ファイル送信が阻 止される条件が具体的に特定されていることの反面として,阻止されな い条件も「当該アプリケーションが,機密識別子で識別されるアプリケ ーションでないか,又は,送信先がローカルである場合」として具体的 に特定されると見るのが合理的であるし,本願発明の課題及び効果に鑑 みると,ファイル送信が阻止されない条件を本願発明の発明特定事項で ないとする理由もないというべきである。そして,このような本願発明 におけるファイル送信が阻止されない条件が引用発明におけるそれと相 違することは,上記アのとおりである。また,なお,「そうでない場合」 の「そう」が「当該フックしたシステムコールを破棄することによって 当該送信を阻止」を指すものと理解する余地もあるが,このような理解 は被告の前記主張とは整合しないと思われる。
したがって,この点に関する被告の主張は採用し得ない。
(3)ア 上記3のとおり,本件審決は,本願発明の「機密識別子」及び「機密 識別子記憶部」と引用発明の「識別子」及び「保護方法データベース」と に係る相違点を看過したものであり,この点は審決の結論に影響を及ぼす。
そうである以上,「機密識別子」及び「機密識別子記憶部」を含む相違点 Cの看過も,審決の結論に当然影響を及ぼすということができる。
したがって,取消事由3は理由がある。
イ この点につき,被告は,引用発明のアプリケーションや記憶領域に合理 的に安全性を設定することは当業者が適宜行うことであり,引用発明に おいて本願発明と同様の条件を実現することに阻害事由はない旨などを 主張するけれども,相違点Cにつき,引用発明から本願発明の構成に至 ることが引用発明の技術的思想に相反し,そのような構成を採ることに 67 阻害事由があるため,容易に想到可能とはいえないことは,相違点Aな いしBにつき論じたところと同様である。
以上より,この点に関する被告の主張は採用し得ない。
5 結論 以上のとおり,原告の主張に係る取消事由のうち,取消事由1は理由がない ものの,取消事由2及び3はいずれも理由があるから,本件審決は取り消され るべきである。
よって,原告の請求は理由があるからこれを認容することとし,主文のとお り判決する。
裁判長裁判官 鶴岡稔彦
裁判官 杉浦正樹
裁判官 寺田利彦