Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。


イタリア個人情報保証機関(del Garante per la protezione dei dati personali :GPDP)の最近のトピックスを読む(その2完)

2018-07-14 18:04:07 | 個人情報保護法制

2.イタリアGPDPの概要

 イタリアの個人情報保護保証機関(GPDP)の任務を概観する:GPDPいかなる機関か? 

いうまでもなく“GPDP”(以下“Garante”という)は個人データの処理に関連して基本的な権利と自由を守り、個人の尊厳を尊重するために設立された独立機関であり、旧データ保護法が施行された1997年に設立された。 

決定機関である委員会は4人の対等の権限を持つ委員による組織で、議会により各7年間の任期で選出される。 当機関はローマに事務局があり、現在、事務局長以下約125人のスタッフがいる。 

イタリアGaranteの対等の権限をもつ委員会は、現在以下の4名で構成されている。

     アントネッロ・ソーロ(Antonello Soro) :委員長

    アウグスタ・イアンニーニ(Augusta Iannini ): 副委員長

    ジョヴァンナ・ビアンキ・クレリリ:委員

    リーチア・カリファーノ(Licia Califano ) :委員  

その他、ジョゼッペ・ブージア(Giuseppe Busia)は現在、DPAの事務局長である。 

(1)Garanteの任務と法的根拠 

 Garanteの任務は、「個人情報保護法典(法令第196/2003(Personal Data Protection Code - Legislat. Decree no.196 of 30 June 2003)」ならびに他の国内およびEUの規制手段に定める。 (筆者注4) 

 イタリアの個人情報保護法典の適用範囲:法典は国およびその領土内のすべての処理に適用される。 また、イタリア国内にあるPCおよびその他のコンピュータベースのシステム機器を使用する外部組織にも影響を及ぼす。(法典第5条(Section 5 (Subject-Matter and Scope of Application))を参照)。 EU域外の本拠地を置く団体、組織がイタリア領土に関する個人情報を処理している場合、イタリア法典の適用についてはイタリアでの代理人を任命しなければならない。(通知が必要な場合は、Garanteに通知し、かつ情報主体に当該情報の通知を提供する必要がある) 。 

 Garanteは、すべての公共および民間セクターにおいて、法律の要求に従ってデータが処理され、個人データが処理されるたびに個人の権利が尊重されることを保証するように努めている。 

 Garanteの仕事には以下のものが含まれるが、これに限定されるものではない。

(1) Garanteは、個人データが法令に基づいて処理されていることを確認し、必要に応じて、ルールに従ってデータを処理するためにデータ・コントローラーとデータ・プロセッサーに特別な措置を講じるよう指示する。

(2) Garanteは苦情を処理する。

(3) Garanteは、そのようなデータの性質または処理のメカニズムまたは効果がデータ主体に実質的に影響を及ぼし得る場合、個人データの処理の制限を全面的または部分的に禁止することができる。

(4) データ保護の法律で想定されている対策を講じる。

(5) 適切な場合には、様々な生活の中で特定の法律や規則を通過する必要性につき政府と議会の注目を集める。

(6) Garanteは、議会の前の公聴会を通じて、法律作成活動に関する議論に参加する。

(7) Garanteは、独自に意見を出すことができる。

(8) Garanteは、私たちの活動と現在行われているプライバシー法の施行の年次報告書を作成し、議会と政府に提出する。

(9) EUおよび国際レベルでのデータ保護関連活動に参加し、欧州警察機構(Europol)、Schengen VIS (筆者注5)および同様の情報システムに関する監督および支援活動を実施する。

(10)  Garanteは市民の個人情報保護問題とデータセキュリティ対策の意識を高めさせる。

(11) 市民とステークホルダーの関与を、一般的な申請措置の策定に際して調査結果が考慮されたパブリック・コンサルテーションを通じて求める。 

*************************************************************

(筆者注4) Garanteの法典の概要部分をGaranteサイトから抜粋し、仮訳する。

*イタリアの統合法典たる個人情報保護法典は、2004年1月1日に発効した。この法典は、1996年以来、データ保護に関連するさまざまな法律、規範および規則をまとめたもので、特に、1997年5月に施行された1996年データ保護法(No. 675/1996)に取って代わるものである。

この法典の背後には、第2章で概説する次の3つの主要指針(1)単純化,2)調和性および3)効率性)がある。 

法典は次の3つの部に分かれる。

第1部は、すべての団体、組織等に適用される一般的なデータ保護の原則を示す。

第2部は、医療、電気通信、銀行や金融、人材等特定の分野の組織が実施する必要がある追加的措置を提供している。第3部は保護違反に対する制裁と救済に関する定めを置く。 セクターコードの導入により、法典の第2部がさらに発展することが期待されている。 

(筆者注5) シェンゲン・ビザの名は 1990 年より続くシェンゲン条約(Schengen Agreement)に由来します。シェンゲン条約は「シェンゲン協定(Schengen Agreement)」の元となり、それが転じて 5 年後の1995年に「シェンゲン圏(Schengen Area)」が定められました。 シェンゲン圏はシェンゲン協定に属する 26 のヨーロッパ諸国からなる区域で、互いに接する国境の警備隊を撤廃することに合意したものです。これは圏内における国境警備を緩和するだけでなく、シェンゲン圏外の国境に対する警備の強化も可能としています。 現在協定に加盟しているか国にはノルウェー、アイスランド、スイス、リヒテンシュタ インら 4 つの非EU加盟国も含まれる。一方、アイルランド、イギリスの二ヵ国は自国の国境警備維持と共通旅行区域(CTA)制度の国境警備方針を他の EU 諸国と共有するために協定から脱退しました。ブルガリア、クロアチア、キプロス、ルーマニアらはじきにシェンゲン協定に加盟する予定です。(European Travel Information and Authorisation Systemの日本語解説から抜粋)

******************************************************

 Copyright © 2006-2018 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

  

コメント

イタリア個人情報保証機関(del Garante per la protezione dei dati personali :GPDP)の最近のトピックスを読む(その1)

2018-07-14 17:40:34 | 個人情報保護法制

 筆者の手元にGPDPから新しいニュースが届いた。筆者のつたない語学力でどこまで正確に仮訳できるか自信はないが、あえてこの機会にEU加盟国でフランスやドイツと異なるイタリアが抱える3つの現下の情報保護面の課題を取り上げる。

 なお、わが国ではGPDPについての詳しい解説は残念ながら皆無に等しい。本ブログの最後にGPDPサイトを参考としてその概要を仮訳、解説しておく。

  なお、2回に分けて掲載する。

1.GPDPの最新トピックス

 6月21日GPDPニュースを引用、仮訳する。なお、GPDPの解説には個別に源データへのリンクが張られているが、本ブログでは略す。 

(1) GPDPはイタリア移動体通信事業者の合併時の迷惑テレマーケティングの在り方 :データ主体の同意なしにデータの処理を禁止する 

  イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者(MNO〔mobile network operator〕「 Wind Tre」 (筆者注1)は、迷惑ビジネス通知を止めさせるべく、電話や販売促進目的のSMS(promotional sms)を管理するうえでの合併後の手順を見直す必要がある。この措置に伴い、自由意思によりかつ有効な同意を表明していない主体の個人データをマーケティング目的で使用することはできない。これが、企業の商用ネットワークによって引き起こされた攪乱に対して抗議した多数のユーザーの報告書から引用することによって開始したGPDPの検査の終了時に、GPDPが採用した決定である。 

 GPDPが、イタリア財務警察( Guardia di Finanza)  (筆者注2)の協力を得て2016年に開始した調査では、異議を申し立てる権利の行使よりも遅れてビジネスコンタクトを受け取るなど、複数の法違反があることが確認された。ユーザーからの苦情に直面して、移動体通信会社は特定できない技術的問題を引用することによってしばしば当該行為を正当化してきた。  

 移動体通信事業者が行うデータ保護主体のプロファイル(筆者注3)に関して、特に商用ネットワークに関してガバナンスを構築しているという形で重大な欠点も出てきている。”H3G”は、パートナーが連絡を取った顧客のデータ管理者であるにもかかわらず、販売店の大部分を独立した所有者として誤認していた。また”H3G” は、マーケティング目的で既にデータの処理に反対していた人々の販売促進キャンペーンにパートナーが数字を挿入するのを防ぐ除外リスト(いわゆるブラックリスト)を設定していない。  

  GPDPは、検出された不正性に照らして、ユーザが自身の表現にもとづく有効かつ予防的同意がない場合、”Wind Tre”がマーケティング目的で個人データをさらに処理することを禁止している。また、プライバシーに関する法律、特に設計による公平性とプライバシーの原則に完全に準拠するための重要な技術的および組織的措置の採択を規定している。

  したがって、移動体通信事業会社は、ビジネスパートナーが宣伝連絡先を進める前に相談しなければならない除外リストを作成する必要がある。 これらのリストは、販売促進キャンペーンに参加しているパートナーと即座に更新し、毎日共有する必要がある。 電話や宣伝用のSMSに異議をとなえるユーザーは、苦情申し立ての際に使用できるユニークな確認コードを通知される必要がある。利害関係者に対するより面倒な権利行使を制限するか、またはそれを必然的に伴う行為は、排除されねばならない。  

 GPDPは、既に明白となった行政違反に挑戦するために、自主的な制裁手続を立ち上げた。  

(2) 列車内等でのボディ・カメラの装備使用:はい、撮影された人のプライバシー権は尊重されねばならない 

 公共輸送会社は、警備員や船長等に身体装填式カメラを装備して、近年増加している盗難や破壊を防ぐことができる。しかし、プライバシーが失われた人々のプライバシーを守るための適格な措置が講じられなければならない。  

 実験プロジェクトに認可を与えるために、プライバシー監督機関は、1)古い時期に建設された列車にカメラを設置する技術的な不可能性、2)多数のサービス利用者に対する特定のセキュリティ目的、3)企業資産の保護の目的等を考慮した。 しかし、監督当局は従業員とユーザーを保証するための一連の予防措置を定めている。  カメラは常にスイッチ・オンになるわけではなく、人や物に対し真に危険がある場合にのみキャプテンやセキュリティスタッフによって起動される。この場合、カメラの赤色のLEDが点灯する。  

 カメラ装置はリアルタイムで指令室に画像を送信する。撮影者は、それらを修正したり、削除したり、複製することはできない。明確に許可された異なる撮影者だけが、収集された画像が真に危険な事実に関係することを確認した場合のみ、可能な抽出を廃棄処分することができる。 これら一連の活動は追跡する必要がある。  

 また、公共運送会社はビデオ撮影されることに「弱者」たるデータ主体(目撃者、犯罪の被害者、未成年者など)が関与する場合には、装置の起動方法や装置の起動を正当化する特定の条件を規制する、あるいは特定の秘密保持の期待を持つ場所(トイレなど)では再開させることができる。  

 許可された一定の当事者のみがアクセスできる収集された画像は、暗号化された形式で保存され、司法機関による調査と評価が必要な場合は、1週間の予定期間が経過すると自動的かつ不可逆的に削除する必要がある。  

 公共運送会社は必要としないオーディオ機能を無効にしなければならず、保険会社へ撮影の通信する場合、関与していない人々のイメージ画像をぼかさなければならない。  

  また、モバイル・ビデオ監視システムとその機能の存在をユーザーに警告するために、車に搭載された適切なコミュニケーションツールが必要となる。  

 さらに公共運送会社はボディ・カメラの使用について従業員に適切な情報を提供しなければならないし、また、労働者への遠隔制御の禁止規定を尊重し、労働組合との特別協定に署名することに尽力せねばならない。  

(3) マーケティング:同意を含むポップアップを停止  

 イタリア情報保護庁(GPDP)は、ウェブサイト(住宅ローン、保険、光、ガス、電話)上で比較サービスを提供する会社が、マーケティングおよび販売目的で、他の企業に、ポップアップで収集されたデータをユーザーからの必要な同意を得ずに行うことを禁止する。GPDPの介入は、具体的ケースすなわち、エネルギーや通信会社が同じ会社が電話または電子メールで受け取った必要としない販売促進・コミュニケーション、またはセクター内の企業に代わって行われた固定電話およびモバイル・ユーザーの欲しない迷惑宣伝行為に直接介入する。 

 イタリア財務警察のプライバシー保護特別ユニットの助けを借りてGPDPが実施した査察では、ユーザーが1つの同意をもってサービスを受け入れなかった場合、ポップアップが提供されるサービスへのアクセスを許可していないことが確認された異なる目的(マーケティングまたは第三者とのデータ通信を含む)のためのデータの存在が判明した。 

   データ主体の同意を欠くテキストボックスに入力する場合、ウェブサイトは入力されたデータを取得せず、要求を処理することを許されなかった。したがって、たとえ開示がデータ処理のさまざまな目的を言及したとしても、ユーザーは法律で要求されるように、特定の差別化された同意を表明することができなかった。 ポップアップは、販売促進目的(または他の目的)のためにデータを収集するためになお使用したい場合、ユーザーが許可するかどうか、および許可する目的を自由に選択できるようにする必要がある。  

  禁止措置を取る際に、GPDPは、インフォームド・コンセントの義務に違反して行われた個人データの繰り返しの収集および/または保管は、それ以降の使用の有無にかかわらずデータの不正な取り扱いを示すこととなり、ポップアップで収集されたデータはユーザの要求の実行にのみ使用できる。 

  GPDPは、他の企業が取得したリストから取得したデータの処理も禁止しており、企業はマーケティングや目的のために他の当事者とのコミュニケーションのために自由なデモンストレーションや販売推進につき具体的な同意を示すことができなかった場合の通信を禁じる。  

  さらに、GPDPは、会社に、個人データのリストを転送したすべてのユーザーに、活動に必要な同意を得ずに使用できないことを通知するよう命じた。  

  あきらかとなった違反に対して、会社はすでにイタリア財務警察特別プライバシ―ユニットによって争われている行政上の制裁に対する異議を放棄した。 

   「餌食となった」データの流通や、本人が欲しないテレマーケティングなどの可能性のある不正行為に対抗するため、GPDPは当該企業の商業パートナーをも調査する権利を留保している。  

*************************************************************

 (筆者注1) イタリアでは、香港の大手コングロマリット「長江和記實業有限公司(Cheung Kong (Holdings) Limited/CK Hutchison Holdings Ltd./CKハチソン・ホールディングス/長和:H3G)(CK Hutchison Holdings Limited (CK Hutchison) is a renowned multinational conglomerate committed to innovation and technology. Our diverse businesses employ over 300,000 people in over 50 countries across the world).は、CK Hutchison Holdingsが「3 (Tre)ブランド」を展開するH3Gを通じて、またオランダVEONが「Windブランド」を展開するWind Telecomunicazioniを通じて移動体通信事業を手掛けていたが、2016年12月31日を効力発生日としてH3GとWind Telecomunicazioniの事業を統合し、CK Hutchison HoldingsとVEONの折半出資合弁会社であるWind Treを通じてイタリアで移動体通信事業を展開していた。しかし、CK Hutchison Holdingsは24億5,000万ユーロ(約3,152億円)でVEONが保有するWind Treの株式をすべて取得することでオランダVEONと合意した。

 取引が完了すれば、CK Hutchison HoldingsによるWind Treの持分比率は50%から100%となり、すなわちCK Hutchison HoldingsがWind Treを完全子会社化する。 

(筆者注2) イタリア財務警察 (Guardia di Finanza) は経済財務省の所属であり、脱税、密輸から麻薬取引などを中心に捜査している。人員は約6万8千名。1774年10月5日にサルデーニャ王国で設立された国境警備部隊が前身となっている。経済犯罪、脱税事案、知的財産権事案、組織犯罪、税関任務、国境警備、不法移民事案を行う。国境警備隊・沿岸警備隊としての側面もあり、準軍事組織となっている。そのため、第一次世界大戦および第二次世界大戦にも参加している。約80機の航空機と300隻以上の船舶を有する. (Wikipediaから抜粋)

 (筆者注3) わが国の情報保護専門家のレポートでは以外に「プロファイル」とプライバシー侵害リスクを論じているものは少ない。他方、欧米先進IT企業「adobeサイト」の問題意識を見ておこう。

「・・また、PII に関連付ける閲覧情報の種類と、閲覧情報を PII に関連付ける状況について、プライバシーポリシーに明記することをお勧めします。最後に、顧客に提示するオプトアウトの選択肢では、消費者が未認証のプロファイル情報投稿をオプトアウトできるかどうかと、その方法を明確に示すようにすることを強くお勧めします。 」

 

*******************************************************************

 Copyright © 2006-2018 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント

米国連邦最高裁の新判決の持つ合衆国憲法修正第4の意義と連邦議会の関係法案の意義(その2完)

2018-06-26 09:56:28 | 個人情報保護法制

   第III節では、実際にはそうでないにしても、「人物」、「住宅」、および「効果」という文章での均等な請求を楽しむ、私の「論文」のプライバシーを中心とした新しい補足的な第4修正分析を提案している。 最高裁判所は、第4改正案が家庭や事務所のような「憲法上保護された区域」における身体的位置とは無関係に「書類」にどのように適用されるべきかを明確に述べていない。 しかし、修正第4の歴史と目的に照らして、形式や作成方法、場所などにかかわらず、表現や連想データを保護するためには、私の「論文」を読むべきである。 修正第4に関する「論文」では、パンフレットやハードコピーの手紙でもよいし、携帯電話に保存されたデジタルファイルでも、「クラウド」でホストされていても、第三者によって生成されたデジタルファイルであってもよい。

 もちろん、すべての第三者のレコードが重要な表現力や関連性を持っているわけではない。 政治的または宗教的な解説をオンラインで検索した後に、憲法修正第1の価値が全くないものが続く。 おそらく、恥ずかしい。 しかし、実際にフレーマーが革命を守るために戦ったスピーチのようなものであろうか? 真実は誰も目の前に話し始めることができないということである。それはまさに問題です。 したがって、そのようなデータのカテゴリを検索または押収するための憲法上の不履行は、憲法修正第4による保護、すなわち、考えられる原因に基づく令状でなければならない。 

  第IV節は、第三者ドクトリンに戻り、第III節で提案されたテストを使用して、2つの一般的な第三者データのカテゴリを分析する。私は、既存のアプローチの落とし穴を避けようとしながら、クラウドに格納されたデータと通信データにどのように理論が適用されるかを明確にした。 私は、修正第4の下で、両方のタイプのデータおよび関連するメタデータを保護しなければならず、法執行機関はそれらを検索または押収する前に令状を取得する必要があると結論付けている。 

 最後に、私はこのアプローチの潜在的な限界について議論する。 私たちが直観的に私的であると信じている特定の種類の第三者の記録(医療記録や財務記録など)は、必ずしも憲法修正第1の価値が明らかであるとは限らない。同時に、実際に憲法修正第1があるシナリオを想像するのは難しくはない。 したがって、憲法修正第1の可能性を認め、コンテンツの事前決定ができないということは、デフォルトがプライバシーに設定されるべきであることを認識しなければならない。 

2.7年前に上程されている連邦議会の関係法案の概要と意義 

 2011.9.15 White& Case LLPレポート「米国の連邦レベルにおける地理位置情報(Geolocation Information)に関する新たなプライバシー立法の動向」を以下、仮訳しておく。

 米国において顧客のモバイルデバイスから取得したユーザーの「経度・緯度地理位置情報(Geologation Information)」の収集、使用および開示は、携帯電話プロバイダーと第三者アプリケーション開発者の間では一般的になっている。 (筆者注5) Geolocation Information”は、デバイスを使用する個人の位置を識別し、消費者に位置情報、広告およびサービスを提供するためによく使用される。 現行の連邦法では、、企業は顧客からの同意を得ることなく、第三者とこの情報を収集し、共有することができる。この実務慣行は、ここ数ヶ月で重要なメディアの関心を集め、消費者の間でプライバシーの懸念を提起している。 

 これらのプライバシー問題に対応して、2つの連邦法案、「ロケーション・プライバシー保護法案(Location Privacy Protection Act ("LPPA"))、地理的プライバシー保護法( Geolocational Privacy and Surveillance Act ("GPS Act"))が7年前に上程された。 この法律が制定されれば、消費者の同意なしにモバイル機器によって収集された地理位置情報の非政府機関(LPPAの場合のみ、法執行機関を含む政府機関)による収集と使用が制限される。 

LPPA2011616日にAl FrankenD-Minn)Richard BlumenthalD-Conn)上院議員によって上程され、GPS法はRon Wyden上院議員(D-Ore)とJason Chaffetz (RUtah)を2011615日に締結した。 

なお、”LPPA”法案は第113セッションの議会 (113th Congress (2013-2014))S.2171 - Location Privacy Protection Act of 2014として再上程されて、2014.6.4に上院・司法委員会で審議されている。 

(1)位置情報のプライバシー保護法案(Location Privacy Protection Act ("LPPA"))

  LPPAの下では、電子通信機器にサービスを提供する事業に携わる民間の個人または団体を含む非政府の個人または団体は、故意に、その装置を使用する個人の明示的な許可なしに「電子通信装置」から地理的位置情報を収集、受信、記録、取得または開示することは認められない LPPAは、「電子通信装置」の定義につき「電子通信または地理位置情報システムまたはサービスへのアクセスを可能にする任意のデバイスまたはを含むように広義にしており、個人によって運ばれるように設計または意図されている手段をいう」と広ク定める。この定義は、携帯電話、スマートフォン、Wi-Fi搭載のラップトップ、GPSナビゲーション・ユニット、またはデバイスの位置に関する情報を提供する他のモバイルデバイスなどのモバイルデバイスをカバーする。 LPPAは、緊急時または法令、規則、または適切な裁判手続によって要求される場合には、地理位置情報の収集および使用に関する例外を認める 

 LPPAに基づき、装置の所有者の明示的な承認(authorization)を得るには、エンドユーザーの使用許諾契約、プライバシー・ポリシーまたはその他の同様の文書とは別に、どのような地理情報が収集されるかまた誰に開示されるかにつき装置上に表示される明確かつ明確な通知に続く肯定的な「同意」が必要である。 情報が他の個人に開示されている場合、最初の承認日から1週間以内に(しかし、24時間以内に)第2の通知を個人に提供しなければならない この第2の通知では、装置の使用によって他の個人に地理位置情報が開示されていることを個人に通知しなければならない。  

 さらに、この第2の通知には、ユーザーがユーザーの地理位置情報を収集して使用するプロバイダーに以前に与えられた同意を取り消す方法に関する指示も含まれていなければならない。LPPAは、「1934年通信法」の§§222または63147 USC§§222および551)に従う範囲で、通信事業者またはCATV事業者の活動には適用されない。 しかしながら、LPPAは、LPPAによって禁止される地理位置情報の収集と使用を認める州法または地域限定の法律には優先する。  

 また、LPPAは、米国連邦司法長官、州司法長官および民間人が、LPPAに違反した事業体に対し同時に告訴の訴因とすることは認めていないが、LPPAに違反する団体に対して訴訟の訴因を提出することは認める。例えば、米国司法長官が訴訟を提起した場合、州司法長官および個人は、連邦訴訟訴因が提起されている間、同じ違反行為を主張することができなくなる。 

  連邦政府が法執行の優先権を与えている同様の仕組みが、以前のプライバシー法開発の記事で議論されたジョン・ケリー上院議員とジョン・マケイン上院議員が超党派で上程した「商業活動におけるプライバシー権利法() (筆者注6)の法律など、 州司法長官の行動は、同様に、個人が裁判の訴因を引き起こすことを妨げる。 LPPAの下では、裁判所はLPPAの違反に対して少なくとも2,500ドルの実際の損害賠償、懲罰的損害賠償および合理的な弁護士報酬の支払を課すことが認められている。  

 (2)「ジオロケーションのプライバシー保護と監視法案( Geolocational Privacy and Surveillance Act ("GPS Act)

  GPS案は、LPPAと同様に、本人の同意なしに、他人のジオロケーション情報の使用、開示、または傍受を禁止する。 しかし、LPPA案とは異なり、GPS法は政府機関と非政府機関の両方に適用され、個人からどのように「同意」を得るるかに関する規定は含んでいない。 

  提案されたアプリケーションがLPPAよりも広いので、GPS案では、(1)通常の事業過程における地理位置情報サービスの提供者による地理情報のアクセス、使用、および公開。プロバイダーが関与しない限り機械的またはサービス品質管理チェック以外のランダムな監視。(2)親または法定保護者(または親または法定後見人によって許可された他の者)による未成年者の地理情報の傍受;  3)個人または緊急事態を支援するために使用される法執行機関または緊急対応者による地理情報の傍受またはアクセス;(4)外国監視法(50 USC 1801以下)によって認可された電子的な監視、;(5)一般市民が容易に情報にアクセスできるように構成されたシステムを介して他人の地理情報をアクセスすること。;(6)令状を取得した政府機関による地理情報の傍受、を明示する。 

  GPS法に基づく違反者は、罰金が科され、かつ/または最高5年間の拘禁刑が科される。 さらに、GPS法に違反して取得または開示された地理的情報は、裁判所、立法委員会、行政機関またはその他の連邦、州または地方自治体のあらゆる裁判、聴聞会、その他の手続において証拠として使用することはできない。 この興味深い証拠能力条項は、他の係属中のプライバシー法には含まれていない。GPS法は、法律に違反して地理位置情報を違法に取得、使用、または開示した米国以外の事業体に対する民間の訴訟原因も生成する。 ジオロケーション情報が不法に使用された個人は、懲罰的損害賠償に加えて、実際に被った損害額と違反の結果として違反者が行った利益の合計額の大きい方、または法定損害額が100ドル違反の日ごとに1日または10,000ドルの損害金を科しうる。  

 (3) 2法案に対するローファームとしての結論 ・勧奨事項

 地理的位置情報の使用に関する提案された制限と消費者のプライバシーに関する一般の懸念を両当事者が支持していることを考えると、企業は消費者のジオロケーション情報、具体的には収集と使用プロトコルに関するポリシーの見直しを開始することを強く勧める。 他のプライバシー関連のポリシーの場合と同様に、企業は、まだ問題がない場合には、企業がこの問題に関する新しい法律や規制を迅速に遵守するために、消費者に明白かつ顕著な同意メカニズムを提供する手順を開発する必要がある。審議中のプライバシー法のすべての傾向は、企業に特定の「同意」を得るよう要求する点である。したがって、収集または使用されている個人消費者情報の種類にかかわらず、企業は消費者にどのように通知し、インフォームドコンセントを得るかを研究しておく必要がある。 

3.わが国の研究課題

 問題点の概略は前文で述べたとおりであり、筆者としてもあらためて詳しく論じるつもりである。 

***************************************************************************:

(筆者注5) geolocation informationの活用例としてGoogle Maps Geolocation API があげられよう。 

(筆者注6) 同法案については2011.4.11 John McCain上院議員のHPKERRY, McCAIN INTRODUCE COMMERCIAL PRIVACY BILL OF RIGHTS Bi-Partisan Legislation Would Enhance Protection and Control of Personal Information参照。

****************************************************************************

Copyright © 2006-2018 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

コメント

米国連邦最高裁の新判決の持つ合衆国憲法修正第4の意義と連邦議会の関係法案の意義(その1)

2018-06-26 08:49:09 | 個人情報保護法制

  筆者の手元に本ブログでしばしば引用するブログ”KrebsonSecurity”の6月22日のブログが届いた。

 その概要を仮訳すると、「米連邦最高裁は、本日、携帯端末のユーザーの位置情報を収集するために、裁判所命令の令状を取得する必要があるという判決を5対4で下した。この決定はプライバシー権の主要な発展といえるが、これに関し、この分野の専門家は、今後、無線通信事業者による第三者企業へのリアルタイムでの顧客所在地データの販売が限定されると述べた。 

 この判決は、40年以上前の「第三者の情報提供と合衆国憲法修正第4の解釈ドクトリン(third -party doctrine)(以下「第三者ドクトリン」という)」として知られる最高裁が提唱した法推定理論に被告や擁護NPO団体等が異議を唱えた「Carpenter v.United States事件」の最高裁判決である。このドクトリンは、自発的に第三者に情報を提供する人々、すなわち銀行、電話会社、電子メールプロバイダー、またはインターネット・サービス・プロバイダー(ISP)は、「プライバシーへの合理的な期待はありえない」としたものである。 

 近年、第三者ドクトリンの法解釈の枠組みは、警察や連邦捜査官が令状なしで第三者からの情報(モバイルの位置情報など)を入手できるように解釈・運用されている。しかし、今般、最高裁判所はドクトリンに直面した多数意見5対4の判決で、「デジタル技術における劇的変化」を挙げて、無線通信事業者が、モバイルユーザの情報を「深いところで明らかにする」ことは米国憲法修正第4により保護されるべきで、すなわち、政府による不当な捜査や差押えからアメリカ人を守るためのものであると結論付けた。」

 筆者は、あらためて合衆国憲法修正第4と「第三者ドクトリン」ン関係についての専門家の論文をフォローした。

 そこから出てきたポイントは、連邦議会議員の新立法に向けた法案の上程状況とIT法の専門家から見た課題、法学術的な課題などである。 

 なお、わが国において「第三者ドクトリン」に関する解説論文は、2015.12 中山代志子(早稲田大学・法学学術院・助教)「政府による間接的情報収集,特に第三者を通じた情報収集に関する米国法理─第三者理論(Third Party Doctrine)と電子的監視をめぐって─」(比較法学49巻2号)や海野敦史(国土交通省・道路局路政課道路利用調整室 室長 )「Jstage Vol.32 No.2 (2014)37 「憲法上の通信の「秘密」の意義とその射程」 (筆者注1) 、さらに2013年6月情報セキュリティ大学院大学「インターネットと通信の秘密」研究会「インターネット時代の「通信の秘密」再考Rethinking‘Secrecy of Communications’ in the Internet Age 」等において論点整理が行われている。

  しかし、筆者の見方からいうとこれらの議論は決して捜査機関の運用解釈と整合性が取れているとは言えず、「犯罪捜査のための通信傍受に関する法律」(平成十一年法律第百三十七号)、「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律(平成十三年法律第百三十七号:いわゆるプロバイダー責任制限法)等関係法の関係やわが国独自の立法論の検討に寄与させる意味で本ブログをまとめた。

  なお、2回に分けて掲載する。 

1.米国連邦最高裁の新判決の持つ合衆国憲法修正第4の解釈上の意義

(1)連邦最高裁のサイトであるSCOTUS「Timothy Carpenter事件の判決の解説サイト」2018.6.22判決の解説を仮訳、引用する。(現最高裁判事9名のプロファイル 参照)。

 最終判決(Holding):政府(捜査当局)がティモシー・カーペンター(Timothy Carpenter)の利用する無線通信事業者からのセルサイト記録を取得したのは合衆国憲法修正第4 (筆者注2)の対象となる捜査であった。政府(捜査当局)は、これらの記録を取得する前に、考えられる原因で支持されるべき令状を入手しなかった。 

 判決:2018年6月22日、ジョン・G・ロバーツ長官の意見等多数意見で、5対4で上告(2016.10.28 第6巡回控訴裁判所判決に対する上告)ON PETITION FOR A  WRIT OF CERTIORARI TO THE UNITED STATES

COURT OF APPEALS FOR THE SIXTH CIRCUIT9.)を認め、同控訴裁判所に移送を命じた。他方、最高裁のケネディ(Anthony Kennedy,)判事、トーマス(Clarence Thomas,)判事、アリート( Samuel Alito, )判事、ゴルサッシュ(Neil Gorsuch)判事が反対意見を提出した。

 しかし、これだけでは憲法上の重要問題の解説としては不十分であり、また実際、多くの米国の人権擁護団体、研究者、ローファーム等は多くの視点から今回の最高裁判決の内容を報じるとともに、各種の新たな課題を論じている。

 これら網羅するには時間的な制約があり、また筆者の知識も不足することから、とりあえず代表的レポートを仮訳する。 

 なお、最高裁自体622日付けでsyllabus (判決要旨)および判決文opinion公表している。判決文自体全部で119頁にわたる大部なものであり、はじめにその構成を以下、整理しておく。

1) p.1p.4 syllabus (判決要旨):なお、Syllabusは判決文の本文とは別物である。

2) p.5p.27 ロバーツ長官他の判決文多数意見   

3) p.28p.49 ケネデイ判事の反対意見(判決文付属書:APPENDIX)

4) p.56p.71トマス判事の反対意見()

5) p.72p.98 アリ―ト判事の反対意見()

6)p.99p.119 ゴルサッシュ判事の反対意見() 

 多数意見の最後に「連邦控訴裁判所の判決は取り消され、この判決に基づく更なる手続きのために本事案が差し替えられる」と記されている。 

(2) 2018.6.22 NewYork Times 専門弁護士によるopinionThe Supreme Court Takes On the Police Use of Cellphone Recordsが主な争点を明確に解説している。以下で、仮訳する。

622日、連邦最高裁判所は、デジタル時代の最も重要なプライバシー事件であるかもしれないことを伝え、政府は携帯電話サービスプロバイダーに、令状を最初に入手することなく、ユーザーの位置情報をかなりの期間にわたって引き渡すよう強制することはできないと判示した。今回の判決は、過去20年間にわたり最高裁判所が定常的に棄権した最新のものであり、絶え間なく進化する技術の世界におけるプライバシーの憲法修正第4とのかかわりを徐々に定義してきている。 

 この事件は、ミシガン南東部とオハイオ州北西部の一連の武装強盗事件の捜査から始まった。警察はティモシー・カーペンター(Timothy Carpenter )という男を疑い、携帯電話のサービス提供業者(cellphon service provider)に対し、カーペンター氏の行動を明らかにするすべてのデータを引き渡すよう命じた。警察に令状がないにもかかわらず、サービス提供業者は要求に応じて、容疑者の動きを127日間にわたって警察に示すデータを提供した。その情報には、その期間中に行ったすべての通話のリストと、それぞれの通話の開始時と終了時の地理的位置情報が含まれていた。

  この裁判の争点は信じられないほど簡単であった。警察は令状なしで数日間携帯電話の位置情報を収集できるか?最高裁判所の判決は多数意見5名・反対意見4名で「できない」と判示した。しかし、それが「狭い」結論として特徴づけられたものに到達したとしても、裁判所は現代における憲法上の権利を形成する重要な一歩を踏み出したといえる。 

 特に最高裁判所は、1970年代と80年代の最高裁判所が積極的に取り上げた法的推定(legal presumption)である「第三者ドクトリン(Third Party Doctrine)」の適用範囲を縮小し、もし第三者と情報を共有すると、その情報に関するプライバシー権が剥奪されるとした。これは、「第三ドクトリン」はあなたが通りに出したゴミ、あなたの電話記録、あなたの銀行口座への警察の令状のないアクセスを正当化するために使用される論理的根拠である。 

(3) 第三者ドクトリンの意義とプライバシー権とのかかわり

 わが国では前文で述べたとおり、「ドクトリン(Third Party Doctrine)(筆者注3)につき、詳細に解析した論文は極めて少ない。この法的推定理論が我が国においてほとんど論じられていない一方で、実態としては捜査において、通信事業者に対する法執行機関からの情報提供に要請は頻繁に行われているというのが本音であろう。 

 他方、米国では「第三者ドクトリン(Third Party Doctrine)に関する批判的な法律学の論文や判決での引用は数限りなくある。代表的な例では、2015.6.29 ニューヨーク大学ロースクール「Brennan Center for Justice」サイト記事:首席弁護士マイケル・プライス(Michel Price) 「プライバシーを考え直す:合衆国憲法修正第4に関する「論文」と「第三者ドクトリン」問題」があげられよう。ただし、法解釈論文としてはやや物足りなさを感じるが、今日の最高裁判決を導いたような着眼点はユニークであり、また立法責任者たる議員の専門性の欠如批判もある意味で適格と思われる。 

 以下、要旨部分のみ仮訳する。なお、興味のある読者は必ず原典(ARTICLESRethinking Privacy: Fourth Amendment Papersand the Third-Party Doctrine Michael W. Price:全54)に当たられたい。 

*この分析では、著者マイケル・プライスは合衆国憲法第4の歴史をレビューし、アメリカ合衆国のデジタル保存データを保護するための新しい法的枠組みを作り上げることを連邦議会と最高裁判所を求める。 

 今日のプライバシーの問題は世代的でなく教義的であるとジョージタウン大学の法律専門雑誌「National Security LawPolicy」ジャーナルに掲載された新しい分析でマイケル・プライスは主張している。 現在の米国の法律は、個人の自由と堅牢な民主主義に欠かせない合衆国憲法修正第1および修正第4の保護手段機能を損なうデジタル通信に関する情報に対するプライバシー保護をほとんど提供していない。

 この分析では、プライスは修正第4に関する法律学の歴史をレビューして、現在のプライバシーのギャップを招いた「第三者ドクトリン」の失敗点を特定し、連邦議会と最高裁判所に第三者ドクトリンを放棄し、アメリカ人のデジタルで保管された情報のための新たな枠組みを作り上げるよう求める。 

はじめに:

 ほとんどのアメリカ人は、ほぼすべての電話やオンラインをクリックすると、私的生活の親密な肖像画を明らかにするために、保存、検索、貼り合わせが可能なデジタル・トレイル(digital trail)が残る世界に住んでいる。 しかし現在の法律は、個人の自由と堅固な民主主義に欠かせない憲法修正第一と修正第四の保護手段を損なうこれらの活動に関する情報に対するプライバシー保護をほとんど提供していない。 いわゆる「第三者ドクトリン」は、「クラウド」に保存された通信情報やデータなど、第三者によって処理された表現データや連想データに対する修正第4による保護を拒否することによって、プライバシーにおける格差を生み出している。情報技術の急速な進歩と第三者記録範囲の拡散により、プライバシーの対象となる湾岸は拡大し続けている。 

 議会は、この無効を満たすために前に歩んでいない。 現行のオンラインプライバシーを管理する法律はWorld Wide Webよりも古いものである。 現代の情報技術のための規則を作る多くの人々が、電子メールの使用、テキストの送信、またはブログの読解をほとんど経験しなかったことは、アメリカの法制度に対する頻繁で完全に批判された点といえる。また、連邦裁判所は、最近の2つの連邦最高裁判決を除いて、電子監視の規制業務を掘り下げることに消極的である。

  行政機関(法執行機関)は、部分的にこの法的な混乱に付け込んでいる。私たちが今知っているように、9/11の後、国家安全保障局(National Security Agency)は電話記録とオンラインメタデータを一括して収集し始めた。スミス対メリーランド事件 - 1979年最高裁判で1件の犯罪と1件の容疑者の電話記録が関係していた。 電子通信に関する一貫性のない非論理的な保護のパッチワークを与える数十年にわたる法律を更新する議会では、超党派的圧力があるが、改革パッケージ法案が法律になるかどうかはまだ分からない。 

 コンピュータやインターネットを使って育ったいわゆる生まれた時からのデジタルに慣れ親しんだ「デジタル・ネイティブ」と大人(または高齢)になってからデジタル技術が普及したために、コンピューターなどのデジタル機器の操作が不慣れであり、使いこなせるようになろうと努力している「デジタル移民(digital immigrants)との間の分裂には、現在のプライバシー・ギャップがあることを強く誘惑されている。もちろん、保護規則ルールを作るのは古い世代のデジタル移民です(少なくとも現時点では)。 おそらく、技術に精通した裁判官や政治家の新しい作物は、物事をまっすぐにするだろうか? これは、未だ発明されていない技術と、異なる人々がそれらをどのように使用するかということを大いに前提としている。 また、将来的に世代間格差が存在しないことを前提としている。 

 今日のプライバシーの問題は世代的ではなく教義的( generational.)なものである。 最高裁判所が電子的に保管された個人データに対するプライバシー保護をより高めることを意図しているとすれば、その仕事のための新しい分析枠組みを検討することが望ましいかもしれない。既存の憲法修正第4は、デジタル長距離問題には適していない。  

 この論文では、憲法修正第4の歴史とテキストに基づいたデータ・プライバシーに関する補足的なアプローチを示し、すべての法律家(情報技術の学位を欠いている者をも含む)によって簡単に適用されることを仮定する。 この枠組みは、既存の修正第4の規定と互換性がある。それらを完全に置き換える必要はない。しかし、高度に個人的な第三者データの普及は、社会におけるその役割を認識している修正第4の分析の道筋を必要とする。 この枠組みは、既存の修正第4の規定と互換性がある。それらを完全に置き換える必要はない。しかし、高度に個人的な第三者データの普及は、社会におけるその役割を認識している修正第4の分析の道筋を必要とする。

 第Ⅰ節は、修正第4の簡単な歴史であり、捜索と押収に関する法律の発展における修正第1との関連に焦点を当てている。 それは、財産権と侵害の法律に焦点を当てた裁判所のドクトリンの進化の話を、「カッツ(Katz) v.United States事件」 (筆者注4)で開発された「プライバシーへの合理的な期待(reasonable expectation of privacy)」テストに伝えている。 不正侵入のアプローチは十分に確立されており、家の捜索が憲法上のものであるかどうかを判断するのに適している。 同様に、 カッツテストは、問題が人の検索や医療記録へのアクセスを含む場合に最も適切かもしれません。 しかし、これらのアプローチのどちらも、第三者が保有する表現力豊かなデータや連想データに対するプライバシーの関心を評価するための適切な修正第4の枠組みを提供していない。 第三の方法は、21世紀の「論文」を説明するために必要であるかもしれない。 

  第Ⅱ節では、「第三者ドクトリン」を解析している。これは、前述の「カッツ・テスト」がどのように情報プライバシーに関する裁判所としての道の逸脱を導いたかの主要な例といえる。私はそのドクトリンの起源を解体し、技術の急速な変化と第三者による記録の拡散によるデジタル・プライバシーの破壊的な現代的結果について議論する。「第三者ドクトリン」は40年ほど前の誤りであったが、その完全な効果は急激に緩和され、コースの修正が必要となった。 

 チャールズ・カッツ(Charles Katz )はロサンゼルスに住み、1960年代には国内でも有数の賭けバスケットボール・ハンディキャップ業者の1つであった。彼は州間のギャンブラーに賭け金を払い、賞金の分担を維持してお金を稼いだ。しかし、州間賭博は連邦法の下では違法であったため、検出と刑務所を避けるためサンセット大通り沿いの公衆電話ブースを使用して事業を行った。 

 残念なことにカッツのために、連邦捜査局は19652月に彼の活動に巻き込まれ、すぐに証拠を収集するよう動いた。 FBIは、カッツが定期的に使用していた3つの公衆電話ブースを特定し、電話会社と協力してサービスを停止しました。他のブースは盗聴され、エージェントはカッツの近くのアパートの外に駐留した。記録された会話に基づいて Duquesneからニッケルを7つマイナスしてください!」 - FBIはカッツを逮捕し、彼に8件の起訴を行った。 

 カッツに対する報酬は積み重ねられた。結局のところ、その証拠はカッツの悪事を証明するものであった。彼のコード化された言葉は、完璧なギャンブラーのおしゃべりとして容易に識別できた。したがって、有罪を避けるのは難しいであろう。 FBIの公衆電話ボックスの監視が違憲であったする彼の別の主張は、何十年もの最高裁判所の先判例、特に著名な「Olmstead v.合衆国事件」において駆け上がってきた。

 この有名なケースでは、野心的な酒の密輸業者(bootlegger)であるレイ・オルムステッド(Ray Olmstead)は、電話盗聴システムを使用して数カ月間の電話を追跡する連邦政府の捜査によって倒された。 192864日、ウィリアム・ハワード・タフト最高裁判判事が率いる54の多数意見で、盗聴は容認できるという判決を下した。裁判所が決定したプライベート・テレコミュニケーションは、公共の場所で耳にしたカジュアルな会話と変わらなかった。さらに、盗聴には私的財産の物理的侵入や押収は含まれていなかった。したがって、憲法修正第4は単純に適用されなかった。 

 その約40年後、カッツは、控訴裁判所でより受け入れやすい裁判官を見つけた。同裁判所の71の多数意見は、オルムステッド事件で確立された「不法侵入ドクトリン(trespass doctrine)」を覆した。憲法修正第は「人々を保護するものであり、場所を保護するものではなく、物的空間への侵入に依存しない」とPotter Stewart判事は書いた。同裁判所はまた、憲法修正第4は、感知できる目的物と同様に、口頭での陳述にも適用されると述べた。 

 ***************************************************************************:

(筆者注1) 海野敦史(国土交通省・道路局路政課道路利用調整室 室長 )Jstage Vol.32  No.2  (2014)37 「憲法上の通信の「秘密」の意義とその射程」から関係個所を抜粋、引用する。

「・・・ここでやや参考になると思われるのが、アメリカ合衆国(米国)の判例法理におけるプライバシーの保護法益をめぐる議論である。すなわち、1967年の連邦最高裁判所によるキャッツ(Katz)事件判決の判例以来、不合理な捜索及び押収を受けない権利を保障する米国憲法修正4条の保護法益には「プライバシーの合理的な期待(reasonable expectation of privacy)」が含まれるという旨が示されてきたところ、プライバシー自体が保護されるのではなく、その「合理的な期待」が保護されるものと解されてい」くらいであろう。ることが特徴的である。ここでいう「合理的な期待」については、当事者が現に有する主観的な期待とそれが社会にとって合理的と認められることに対する客観的な期待との双方が含まれるものとされている。これらのうち、当事者の主観的な期待については、プライバシーの場合と異なり、主観的要素に関わりなく成立すると解される「秘密」の観念には符合しない。これに対し、客観的な期待については、前述の「秘密」の客観性に極めて適合的である。「プライバシーの合理的な期待」自体がいかにして成立するかということについては、本稿の追究対象ではなく、米国においても複数のアプローチの方法があるという旨が指摘されている。ここで着目したいのは、「合理的な期待」を形成する一要素としての「客観的な期待」がどのように認められるのかということである。この点に関して、少なくともキャッツ事件判決以降の主な米国の判例において、当事者の行為(conduct)により決せられる「主観的な期待」を社会が合理的なものとして認識し得るか否かにより判断されるものと説かれていることは特記に値する。これによれば、「客観的な期待」の有無を決する源泉は、当事者の行為の態様にあるということになる。米国の学説においても、当該期待について、当事者の積極的な措置(affirmative step)や合理的な努力(reasonable efforts)に基づいて発現するものと解する考え方が有力である。すなわち、「客観的な期待」とは、当事者が能動的に形成する行為の態様が客観的に評価されることにより生成されるものと考えられる。(以下、略す) 

(筆者注2) 合衆国憲法修正第4は、裁判所の令状に記載された相当な合理的理由がない限り、アメリカ国民は不当な捜索・逮捕・押収を受けない権利を保有している。アメリカの刑事司法・事件捜査における『令状主義』を明文化した憲法の条文であり、その令状には『捜索すべき場所・逮捕すべき人物・押収すべき物件』のすべてが明記されていなければならず、その令状がなければ強引な捜索や逮捕などを拒否することができると定める。 

(筆者注3)third-party doctrine2013.12.30 The Atlantic What You Need to Know about the Third-Party Doctrine

「第三者ドクトリンとは、銀行、電話会社、インターネットサービスプロバイダ(ISP)、電子メールサーバなどの第三者に自発的に情報を提供る人々は「プライバシーを守ることは合理的に期待されない。このドクトリンにもとづくプライバシー保護の欠如は、合衆国政府が法的令状なしで第三者から情報を入手することを可能にし、そうでなければ、憲法修正第4訴訟の可能性のある原因と捜査等令状なしの捜査および押収の禁止に従わない。 自由主義者は、通常、このドクトリンを背景とするこの政府の活動を「不当なスパイ」または「個人およびプライバシーの権利の侵害」と呼んでいる。(Wikipdiaから抜粋を仮訳) 

(筆者注4) 連邦最高裁判所は、19671218日、米国のカッツ対合衆国裁判で判決を下し、電子盗聴問題をカバーするための「不合理な捜索と押収」に対する修正第4の保護を拡大させた。 

***************************************************************************

Copyright © 2006-2018 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント

移動体通信事業者の顧客のトラッキング専門会社サイトで主要な米国の移動体通信事業者のすべての顧客はリアルタイムで他のユーザーの同意なしに閲覧可能となったのか?(その1)

2018-06-13 14:04:45 | 消費者保護法制・法執行

 

  さる5月18日に筆者の手元に米国のサイバー問題で最も専門性が高くかつ取組みが具体的なBlogサイト”KrebsonSecurity”(セキュリティ専門・調査報道が中心)の主幹であるブライアン・クレブズ(Brian krebs)氏から「移動体通信事業者の顧客のトラッキング専門会社”LocationSmart”サイトで、主要な米国の移動体通信事業者のすべての顧客は、リアルタイムで他のユーザーの同意なしに閲覧化可能となったのか?」 (後続の記事参照)と題する記事が届いた。それと前後して、ZDnet 、NewYork Times等のメディアも米国の他のトラッキング専門会社が本人の同意なしに法執行機関にトラッキング情報を譲渡あるいは売却していたなどのリーク記事が公表された。 

 この問題につき、筆者の関心は次の点に集約できると考えた。

①マーケティング支援ビジネストしてトラッキング専門会社の情報保護法等関係法から見た有効性、②トラッキング専門会社のシステムの脆弱性の中身と漏えい時のシステムのリカバリー体制、③電気通信事業者のこの問題の見方と取り組み、④連邦通信委員会(FCC)や連邦取引委員会(FTC)等監督機関の従来の取り上げ方や今後の調査の動向、⑤トラッキング・ビジネス規制にかかる連邦および州法の立法動向、⑥このビジネスに関する連邦議会の関係議員の見解と対処、⑥わが国で同様の問題はないと言えるのか等である。 

 かなり広範囲の問題であり、またそれぞれが専門性も高いテーマである。今回は第1回目として、KrebsonSecurity Blogにもとづき「事実関係」と①、③、⑤を中心にまとめた。できるだけ補足しながら解説をしたいと考えたが、時間も限られることから、やや正確性を欠く点は覚悟でまとめてみた。 

1.事実関係及び関係者の取組内容の概観

 はじめに、KrebsonSecurity Blogの内容が最も関係する問題を網羅しているので主要な部分を仮訳する。なお、時間の関係で同Blogは関係サイトとのリンクは十分には張られていない。このため、筆者の責任で追加的にリンクを張った。 

(1) ”LocationSmart”のユーザーの正確な位置情報がパスワードや認証なしに誰でも見れる状態が発覚 

 携帯電話事業者のユーザーの正確な位置情報に関するリアルタイム・データを集約する米国企業である”LocationSmartは、 パスワードや認証または認可を必要とせずに、同社のWebサイトのバグを原因とするコンポーネントを介して誰にでもこの情報を漏らしていることを”KrebsonSecurity”は検知した。”LocationSmart”は”KrebsonSecurity”からの連絡を受けて、5月17日(木)午後の早い段階でこの脆弱なサービスを遮断した。”LocationSmart”は、米国内のAT&T 、 Sprint 、 T-Mobile  、 Verizonの電話発信位置情報を数100ヤードの範囲で捕捉するサービスである。  

 5月10日(木)、 ”New York Times” は、 ”Securus Technologies” と呼ばれる別の携帯電話ロケーション追跡会社が、事実上すべての主要なモバイル・ネットワーク・プロバイダの顧客に関するロケーション・データをミズーリ―州ミシシッピー郡保安官事務所に売却または譲渡したというニュースを報じた。 

 5月15日(火)、 ZDnet.com  は、 Securusがカリフォルニア州のカールスバッドにある仲介業者”Location Smart”を通じてデータを取得しているという記事を掲載した。 

5月16日(水)午後、米国メディア「マザーボード(MOTHERBOARD)」は、もう1つの爆弾情報を公開した。ハッカーがSecurusのサーバーに侵入し、Securusが認定したユーザーのユーザー名、電子メールアドレス、電話番号、パスワードをハッキングした。 伝えられるところによると、盗難された認証情報のほとんどは、全米の法執行官がログオンに使うもので、その対象期間は2011年から2018年までである。

  ”KrebsonSecurityは、前述のマザーボードの記事が出る数時間前にカーネギー・メロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」に在籍する博士論文提出資格者である研究者ロバート・シャオ(Robert Xiao) (筆者注1)は”Securusと”LocationSmart”の報道を知って、”LocationSmartが潜在的な可能性についてWebサイトで公開しているデモ・ツールを覗いた顧客が行いうるモバイルロケーション・テクノロジーをテストしたと述べた。 

LocationSmartのデモ・ツール(デモ・サイト:https://www.locationsmart.com/try/は、すでに閉鎖されている)は、氏名、電子メールアドレス、電話番号をサイトのフォーム(My Mobile)を選択、POST要求を入力するだけで、誰でも自分の携帯電話のおおよその位置を見ることができる無料のサービスである。 ”LocationSmart は、ユーザから提供された電話番号をテキスト化し、そのデバイスの最も近い基地局のタワーにネットワーク接続許可を要求するのである。 

2018.5.27 https://www.locationsmart.com/platform/location

World's Largest Location-as-a-Service Company

https://www.locationsmart.com/

 その同意が得られると、”LocationSmart”は加入者に彼らのおおよその経度と緯度をテキスト化し、Google Street Viewマップ上に座標をプロットする。このことは、潜在的にあなたのモバイル・デバイスに関する多くの技術データを収集して保存する。たとえば、情報には「デバイスの緯度/経度、精度、見出し、速度、標高、基地局(cell tower)、Wi-Fiアクセスポイント、またはIPアドレス情報が含まれるが、これらに限定されない。 

 しかし、 カーネギー大学のシャオ氏によると、この同じサービスは、匿名の照会や不正照会を防ぐための基本的なチェックを実行することができなかった。つまり、Webサイトの仕組みに関する知識が少ない人でも、”LocationSmart”のデモサイトを悪用して、パスワードやその他のアクセスの資格情報を入力する必要がなく 、携帯電話の番号検索を行う方法を見つけ出す可能性がある。 

 シャオ氏は「私はほとんど偶然にこのような事件に遭遇したが、手順はそれほど難しいことではなかった、これは最小限の労力で誰でも発見できる。そして、その要点は、ほとんどの人の携帯電話を彼らの同意なしに追跡することができるということである」と述べた。  

 また、加入者の携帯端末に最も近い携帯電話の無線基地局に接続確認するために”LocationSmartのサービスに確実に問い合わせることができたことを示した。シャオ氏は、友人がアクセスしている数分間に何度も友人の携帯電話番号を確認しえた。 友人のモバイルネットワークに数分かけて何度も接続確認ることで、彼は座標をGoogleマップに差し込み、友人の携帯電話指向性の動きを追跡することができた。  

  シャオ氏は「これは本当に怖いものだ。また、ボランティアがカナダのあるTelus Mobilityのモバイル顧客に対して脆弱なサービスをテストし、追跡に成功した」と述べた。  

 ”LocationSmart”のデモ・サイトが本日オフライン(遮断される)になる前に、KrebsonSecurityは5人の異なる信頼できる情報源に接続確認を行い、5人すべてがシャオ氏が自分の携帯電話の所在を特定することに同意した。シャオ氏は、「公共のLocationSmartサービスに、私の5つのソースすべてに属する携帯電話のほぼ正確な位置を問い合わせることを数秒で決定づけることができた。」と語った。  

(2) LocationSmartのデモページへのシャオ氏と協力者の検証の結果 

 これらのデモテストの情報源の1人は、シャオ氏のデモサイトへの質問によって返ってきた経度と緯度は、 現在の自分の現在位置から100ヤード以内に位置したと語った。別の筋によると、シャオ氏が見つけた場所は、正しい現在地から1.5マイル離れていたという。 残りの3人の関係者は、携帯電話で返される場所は、当時約1/5〜1/3マイルの距離にあったと述べた。  

 LocationSmartの創設者兼CEOである マリオ・プロリッティ(Mario Proietti )氏は、電話でコメントを求められたが、「同社は調査中だと語り、また、私たちはデータをあきらめていない。正当で許可された目的で利用できるようにする。これは、合意に基づいてのみ行われる、正当で認可されたロケーションデータの使用に基づいている。我々は、プライバシーを真剣に受け止め、すべての事実を見直して調査する」と述べた。 

 ”LocationSmartのホームページには、米国の主要なワイヤレス・プロバイダー4である Google 、 Neustar (筆者注2)、 ThreatMetrix (筆者注3) 、 US Cellular (筆者注4)などの企業の企業ロゴが含まれている。 同社は、同社の技術が企業の遠隔の従業員や企業資産を把握するのに役立ち、モバイル広告主やマーケティング担当者が消費者に「地理に関連した宣伝」を提供するのを助けると語っている。  

 また、”LocationSmart”のホームページには多くのパートナーが掲載されている。 

  LocationSmartがデモサービスを提供された期間や同サービスがどれほど長い間許容されていたかは明確でない。 Archive.org からのこのリンクは 、少なくとも2017年1月にさかのぼりうることを示唆している。The Internet Archiveのこのリンクは、2011年中頃からサービスが別の会社名 - loc-aid.comの下に存在していた可能性があると示唆している。サービスは同じコードを使用していた。  Domaintools.com によると、 Loc-aid.comは、locationsmart.comと同じサーバーでホストされている4つの他のサイトの1つである。  

 ”LocationSmartのプライバシーポリシーによると、同社にはセキュリティ対策が講じられているとのことである。「当社が収集した情報の紛失や誤用からサイトを守るため、当社のサーバーはファイアウォールによって保護されており、セキュリティをさらに強化するために物理的に安全なデータ設備に配置されている。 外部の攻撃から100%安全なコンピュータはありませんが、個人情報を保護するために取った手順は、情報の種類に適したセキュリティ問題の可能性を大幅に低下させると考えている」 

 しかし、これらの保証はいつでも彼らの物理的な場所を明らかにすることを心配している携帯電話を持っている誰にでも中空になるかもしれない。 モバイル・ロケーションデータをルックアップするために悪用される可能性のあるLocationSmartのWebサイトのコンポーネントは、Webサイト訪問者による特定のクエリに応答してデータを表示するように設計された、安全でないアプリケーションプログラミングインターフェイスまたはAPIである。 

 ”LocationSmartのデモ・ページでは、ユーザーが携帯電話をサービスに配置することに「同意」する必要があったが、実際”LocationSmartは明らかにAPI自体との直接的なやりとりを防止または認証を行わなかった。 

  API認証の弱点は珍しいことではないが、短期間で多くの人に機密データを公開する可能性がある。2018年4月2日、KrebsOnSecurity は、 Fast-casualベーカリーチェーンPaneraBread.comのWebサイトで食品をオンラインで注文するためにPaneraBreadのアカウントにサインアップした者が、数千万の顧客のために名前、電子メールアドレス、物理アドレス、誕生日、クレジットカードの最後の4桁を公開したAPI の話を取り上げた。 

  ロン・ワイデン(Ron Wyden 民主党、オレゴン州選出)上院議員(財政委員会のランキング・メンバー)は、 Securusリスク暴露記事を受けて、全米トップ4つの無線通信会社と米国連邦通信委員会に送った5月9日付けの手紙で、すべての当事者に対し、非公開の顧客データの無制限の開示と潜在的な濫用問題につき先を見越した手順をとるよう強く求めた。  

 ワイデン議員は、「Securusは、AT&Tの顧客のリアルタイムの位置情報を主要な無線通信事業者との商業的関係を持つ第三者ロケーション・アグリゲータを通じて購入し、政府の顧客と定期的に情報を共有することを私のオフィスに通知してきた。この実務では、無線通信事業者の法的義務が、政府がアメリカの電話記録の監視を行い、何百万人ものアメリカ人を政府の潜在的な虐待と未確認の監視にさらす唯一の道筋になるといえる」 

 ”Securus”は、LocationSmartから携帯電話の位置情報を入手したと報じられているが、ニューヨークタイムズに対し、顧客が令状や宣誓供述書などの法的文書をアップロードし、その活動が承認されたことを証明するよう要求している。 しかし、ワイデン議員は自身の手紙で、「Securusの上級幹部は、実際に裁判所命令であるかどうかを判断するためにアップロードされた文書の合法性を決して確認せず、そうする義務があるという提案を却下していた」と述べている。  

  ”SecurusはBrian Krebsからのコメントの要求に応答しなかった。  

(3) 電子通信事業者の反応 

  ATTSprintT-MobileVerizonこの問題につきどう対処しようとしているかは不明である。 顧客の位置情報を漏らしているサードパーティ企業(位置情報追跡企業)は、各モバイルプロバイダーのプライバシー・ポリシーに違反するだけでなく、リアルタイムでこのデータを公開すると、米国内のすべてのモバイル・ユーザーにプライバシーとセキュリティのリスクが深刻な影響を及ぼす。 

 ”LocationSmartWebサイトのコーポレート・ロゴによってそれぞれリストしているにもかかわらず、大手通信事業者の中には”LocationSmartとの正式なビジネス関係を確認または拒否するものはない。 

 AT&Tのスポークスマン、 ジム・グリア(Jim Greer)氏は、「AT&Tは『顧客の同意』または『法執行機関の要請』がなければ、ロケーション情報の共有を許可しない。第三者たるベンダーが当社のポリシーを遵守していないことを知った場合は適切な措置を講じる」と述べた。  

 T-MobileBrian Krebsに対し、無線通信業界の国際協会であるCTIAが定めた「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services )」に準拠した自社のプライバシー・ポリシーに言及した。  

 また、”T-Mobile” の広報担当者は、「ワイデン上院議員の手紙を受け取った後、”Securus”と”LocationSmart”への顧客のロケーションデータの取引を直ちに停止する。また、顧客のデータのプライバシーとセキュリティを非常に真摯に受け止めている。SecurusとLocationSmartで確認された問題を解決し、そのような問題が解決され、お客様の情報が保護されるようにした。また、 我々はこの問題につき調査し続けている」と述べた。  

 ”VerizonはKrebsに対し自社のプライバシー・ポリシーに言及した。  

”Sprint”の責任者は、以下の声明を発表した。 

 「お客様のプライバシーとセキュリティを守ることが最優先事項であり、私たちはプライバシー・ポリシーでその点を明確にしている。 念のため明らかいうと、当社は、消費者の機密情報を第三者に共有または売却することはない。 私たちは、個人的に識別可能な地理的位置情報を顧客の「同意を得て」、または「法執行機関からの有効な裁判所命令」などの合法的な要求に応じて共有する。  

 「私たちは、ワイデン上院議員から手紙で提出された質問に対し、適切なチャネルを通じて直接答えた。ただし、SprintとSecurusの関係にはデータ共有は含まれていないことに注意することが重要であり、刑務所携帯電話の不正使用を矯正施設で阻止する努力を支援する目的に限定されている。」 

************************************************************************** 

(筆者注1)  ロバート・シャオ(Robert Xiao):カーネギーメロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」 に在籍する博士論文提出資格者で、201811月のブリテッシュコロンビア大学の助教に就任予定。

なお、HCIについて補足しておく。「ヒューマンコンピュータインタラクション(HCI: Human-Computer Interaction)は,人とコンピュータとのインタラクション(相互作用)に関する学際的な研究領域です.人とコンピュータとのインタラクションのみならず,人とロボットを代表とするような機械とのインタラクション,人と人とのインタラクション(あるいはコミュニケーション)も研究の対象となります.ユビキタス社会,知識協創社会の実現へ向けて,ヒューマンコンピュータインタラクションに関する研究は今後ますます重要になると考えられています. 

ヒューマンコンピュータインタラクションの研究では,より良いインタラクションを実現するコンピュータシステムのデザイン,実装,評価をおこなうために,コンピュータシステムを利用する人間(ユーザ)への理解を深く追求することが必要となります.我々の研究グループでは,計算機科学をベースとして,認知科学,心理学,文化人類学,社会学,言語学,学習理論,デザイン理論,色彩理論などの分野で確立された知見を応用し,現在下記の研究テーマに取り組んでいます」( 国立大学法人・奈良先端科学技術大学院大学サイトから引用) 

(筆者注2) NeustarInc..は、インターネット、テレコミュニケーション、エンターテイメント、マーケティング業界向けのリアルタイムの情報と分析を提供する米国のテクノロジー企業であり、グローバルコミュニケーションやインターネット業界に情報センターとディレクトリサービスも提供している。(Wikipedeiaを仮訳) 

(筆者注3) Threatmatrixを一言でいう高度の技術をもって各種ビジネスや個人活動を支援するデジタル・アイデンティティ・カンパニーである。日本語解説サイト(https://www.threatmetrix.com/ja/cyber-security-solutions/payment-processing/)を参照されたい。 

(筆者注4) US Cellular Corporationは、米国内で5番目に大きな無線通信ネットワークを所有し、運営する地域通信事業者であり、2017年第1四半期時点で米国23426市場で500万の顧客にサービスを提供している。 同社はイリノイ州シカゴに本社を構えている。(Wikipedia から一部引用、仮訳)

***************************************************************************

Copyright © 2006-2018 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

移動体通信事業者の顧客のトラッキング専門会社サイトで主要な米国の移動体通信事業者のすべての顧客はリアルタイムで他のユーザーの同意なしに閲覧可能となったのか?(その2完)

2018-06-13 13:17:17 | 消費者保護法制・法執行

 (4) 今何が問題か? 

 米国人権擁護NPOの「電子フロンティア財団(Electronic Frontier Foundation:EEF)」のスタッフ弁護士であるステファニー:ラカンブラ(Stephanie Lacambra)は、米国内の無線通信の顧客は、自分の携帯電話会社による位置情報の追跡をオプトアウトできないと述べた。すなわち、まず通信事業会社は、この情報を使用して、より信頼性の高いサービスを顧客に提供する。また法律では、無線会社は「緊急の911規制」 (筆者注5)に準拠するために、いつでも顧客の携帯電話のおおよその位置を確認できる必要がある。

 「しかし、議会や連邦規制当局が、顧客の位置情報を第三者と共有する方法をより明確にしない限り、モバイル・デバイスの顧客は、サードパーティの企業によって潜在的にその位置情報を公開される可能性がある。これが、私たちが位置情報のための堅牢なプライバシー保護のために懸命に働いた理由である。法的執行機関がこのような令状を得るために必要とされるのは本当に唯一のものでなければならない。それが我々が推進しようとしてきたルールである」と彼女は述べた。 

 また、ワシントンDCの政策シンクタンクである「デモクラシー・テクノロジー・センター(Center for Democracy & Technology)」の政策担当部長、クリス・カラブレース(Chris Calabrese)氏は、次のとおり述べた。「モバイル加入者の位置情報に関する現行の取扱規則は1986年に制定された「電子通信プライバシー法(Electronic Communications Privacy ActECPA)であり、それ以来、実質的に改正されていない。  

 「この法律(ECPA)は実際に古くなっている。しかし、法執行や法執行の要求であることを確認していない第三者への関与や、その要求の背後にある証拠が正当なものかどうかを確認しないプロセスには、大きな問題があり、かつ重大なプライバシー違反である。  

 「移動体通信事業者が位置情報を機微的に扱わなければならないと思っても驚かれるだろうし、この情報を一般に公開したくないと確信している。私の推測では、移動体通信事業者は、これが最悪の悪夢のようなものだからこそ、厳しく対応するであろう。我々すべては、携帯電話はポータブル・トラッキング・デバイスであることを知っている。また我々はそこから多くの利益を得ることができるので、私たちはそれをOKとするが、同時に我々は、この情報が十分に保護されるべきだという何らかの暗黙的な取引がある。しかし、私はもしその保護策がそうでないときは大きな問題を抱えることになり、非常に迅速に修正されなければ、これらの事故例はある種の立法介入を拍車することになると思う」とカラブレース氏は続けた。 

 他方、シャオ氏は、「移動体通信事業者が第三者企業に顧客のロケーション情報へのアクセスを提供している限り、SecurusやLocationSmartなどのロケーション・トラッキング企業からの情報のリークが多くなる可能性が高い。また、このようなデータへのアクセスがはるかに厳密に管理できるようになるまで、このような違反が起きるのを引き続き注視していく必要がある」と述べた。 

 実際、ワイデン上院議員は、この話に応じて、518()に次の声明を発表した。

 「 Securus甘いセキュリティが公開されてから、わずか数日後に起こったこのロケーションデータのリークは、ワイヤレス・エコシステム全体のどのような企業がアメリカ国民のセキュリティをいかに低く評価しているかを示している。 それはプライバシーだけでなく、すべてのアメリカ家庭の財政的および個人的な安全にも、明らかでかつ現在の危険を表している。 ワイヤレス通信事業者や”LocationSmartは、携帯電話でアメリカ人のロケーション情報を追跡するために、ウェブサイトに関する基本知識を持つハッカーをほとんど容認しているようである。さらに、アメリカ人の安全に対する脅威は深刻である。ハッカーがこのサイトを使ってあなたが家にいる時間を知って、いつ盗みに入れるかを知ることができた。また、誘拐犯はあなたの子供の携帯電話を追跡して、彼らが一人であることを知ることができた。”LocationSmart”や他の企業活動の危険性は無限であるう。FCCがこの漏えい事件後に対処すべき行動を拒否すれば、アメリカ人に対する将来の犯罪がFCCの委員長になるだろう」  

   マーク・ワーナー(Mark Warner)上院議員(ヴァージニア州選出 民主党)も次の声明を発表した。  

「これは昨年の多くの開発のうちの1つで、消費者が実際にデータを収集し使用する方法について暗闇にいることを示している。データを使用する方法については、ユーザーを運転席に置く21世紀の新ルールが必要という証拠だ」  

 518(金)にKrebsOnSecurityの記事に対する声明において、「”LocationSmar”は基本的知識を持つハッカーをほとんど容認しているようである。”LocationSmart”は、企業顧客(enterprise customer)に安全な運用効率をもたらすために努力するエンタープライズ・モビリティ・プラットフォーム(筆者注6)を提供する。 ”LocationSmartのプラットフォームを介したロケーション・データの開示は、個々の加入者から最初に受け取った「同意」に依存している。サイバーセキュリティの研究者であるシャオ氏がオンラインデモで最近確認した同意メカニズムの脆弱性は解決され、”LocationSmart”の試行デモ・サイトは現在無効になっている。 さらに、この脆弱性が5月16日より前に悪用されておらず、許可なく得られた顧客情報が実際リークされていないことを確認した。 

 しかし、516日、シャオ氏は”Location Smart”プラットホームの脆弱性を悪用して24人もの加入者を見つけた。シャオ氏の公開声明に基づき、Krebsグループは、シャオ氏が個人的に同意を得た後にのみ加入者であると理解している。”LocationSmart は、単一の加入者の所在地が同意なしにアクセスされたのではなく、他の脆弱性が存在しないことを確認する努力を続けている。”LocationSmartは、情報のプライバシーとセキュリティ対策を継続的に改善することを約束し、この事件から学んだことをそのプロセスに組み込んでいる。  

 この文脈において、”LocationSmart”が誰が許可なく得た顧客情報を引き出された「顧客」に当たるかは明らかでない。したがって、サービスの「バグが多いアプリケーション・プログラミング・インターフェース(vuggy API)」を悪用して検索された人は、明らかにすべてが「顧客」とはみなされない。 

2.米国における電気通信事業者の法規制の内容

 わが国の総務省が平成26(2014)7月に取りまとめた報告書「緊急時等における位置情報の取扱いに関する検討会 報告書 :位置情報プライバシーレポート ~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて」16頁以下から、一部抜粋する。ただし、この資料は必ずしも十分かつ正確なものとはいい難い。適宜、筆者が補足(下線部が筆者の追加箇所)して引用する。また、必要に応じ筆者の責任で関係先にリンクを張った。 

 「米国においては、個人情報・プライバシーに関する分野横断的な法律は存在せず、分野毎の個別法と自主規制が基本となっている。電気通信分野においては、1934通信法(Communications Act)第222(§ 222. Privacy of customer information)で顧客情報のプライバシーを規定しており、電気通信事業者は、電気通信サービス加入者の通信パターン、請求記録等の消費者固有のネットワーク情報(CPNI)に関して、集計顧客情報(集計データで、個人顧客の身元及び特徴が除去されているもの)については、通信目的外での利用や公開を許容されている。(本報告の後ではあるが米国の取組みとして、2016年10月27日、FCCは「ブロードバンド顧客プライバシー保護規則」を最終決定した。この規則については筆者のBlog 小向教授の論文が詳しい。 

 自主規制としては、携帯電話に代表される移動体通信や無線インターネットなど無線通信に関する国際的な業界団体であるCTIA、「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services (10)を平成22年3月に設けている。その二大原則として、位置情報サービス提供者は、位置情報がどのように利用・開示・保護されるかについてユーザーに通知し、その利用・開示について「同意」を求めることとされている。なお、集計データ及び匿名データはガイドラインの対象外となっている。

 加えて、 連邦取引委員会(FTC)はモバイル端末上の利用者情報の取扱いについて、スタッフレポートとして「モバイルプライバシーディスクロージャーズ:透明性の確保による信頼の構築(FTC Staff Report | February 2013:Mobile Privacy Disclosures:Building Trust Through Transparency)」を平成25年2月に公表しており、この中では、OS事業者、アプリ開発者双方に対し、位置情報についてはセンシティブ情報として、取得前に消費者に通知し、明白な同意をとることが提言されている。」以下、略す。 

**********************************************************************

((筆者注5) クレブズ氏のBlogには詳しく説明されていないので、以下の解説文を補足する。

「連邦通信委員会(FCCは、20119月、次世代緊急通報(Next Generation 911)の構築に向けた規則策定を開始した。次世代緊急通報とは、従来の音声通話による緊急通報の付加機能として、IPベースでのテキスト・メッセージによる通報(Te x t-to-911)や、画像、動画の受付も可能にしようとするものである。なお、米国で導入が検討されているのは、全国ベースでの位置情報を付加したテキスト・メッセージによる緊急通報機能であり、障害者の利用や緊急時に音声通話ができない場合を想定している。また、FCCは、201212月には、Te x t-to-911を全国的に導入することで大手移動体通信事業者と合意した。(以下、略す)(一般財団法人マルチメディア振興センター 情報通信研究部 副主席研究員 田中絵麻「米国における次世代緊急通報「Text-to-911」の導入動向」 

 なお、平成19年4月1日より実施されている、わが国の携帯電話やIP電話につきdocomo等キャリアが提供する緊急通報位置通知(携帯電話からの緊急通報(110番、118番、119番)を発信した際、通話が接続された緊急通報受理機関に対して、発信された場所に関する情報を自動的に通知)も類似のシステムといえよう。 

(筆者注6) エンタープライズ・モビリティ・プラットフォーム(企業のモバイル管理戦略;)は、以下で例示するようにIT戦略企業の共通テーマとして多くが取り上げられている。しかし、筆者なりに考えると、”LocationSmart”が提供しているリティール事業者、メーカーなどに向けたマーケティング情報とは目的が異なるように思える。モバイル主体の「同意」の意義も変わってくるため、これらを混同しないことがまず大前提となろう。

1)ORACLE Mobile(https://www.oracle.com/jp/solutions/mobile/index.html)

2)CITRIX(https://www.citrix.co.jp/enterprise-mobility-management/)

3)FUJITSU EMS(Enterprise Mobility + Security)  (http://www.fujitsu.com/jp/services/application-services/application-development-integration/ms-solutions/services/ems/)

 

*******************************************************

 Copyright © 2006-2016 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

米国SECが詐欺的仮想通貨ICO業者に対する予備的差止命令、資産凍結命令等を得た

2018-06-11 08:16:09 | 電子マネー

 

 米国・証券取引委員会(以下、”SEC”という)は、2018年5月22日にカリフォルニア州中央地区連邦地方裁判所に詐欺的仮想通貨業者に対する正式訴状を提出し、5月30日に、同裁判所は、1)予備的差止命令(preliminary injunction)(筆者注1) を発令、2)被告会社の資産凍結を命令、3)米国内外の投資家に対する2,100万ドル(約22億8900万円)にのぼる「イニシャル・コイン・オファリング(ICO(筆者注2)を含む救済を命じた旨公表した。また同裁判所は、告訴されている計画の背後にあるとされる被告会社である”Titanium Blockchain Infrastructure Services Inc.”(以下、”Titanium”という) (筆者注3)の恒久的管財人(permanent receiver)を任命した。予備的差止命令は、被告の同意を得て行われた。

 SECは、5月30日の前記リリースに続き6月7日付けリリースでSECの告訴状の詳細、根拠法の規定、SECの担当部署・担当者等、詳しい内容を報じている。 

 ブロックチェーン自体、多くの法的・技術的課題、コンプライアンス問題等を残したまま見切り発車しているわが国の実態を見るにつけ、早めの警告という意味で本ブログで取り上げた。

 なお、わが国の金融庁もいわゆる仮想通貨業者の登録につき厳しい姿勢(筆者注4)を取り始めているが、一方で投機対象としてのICO勧誘サイトは野放しである点は否定しがたい。 (筆者注5)  

 今回のブログでは、SECのリリース内容を統合のうえ仮訳を中心に述べるが、従来のブログと同様に補足説明と必要に応じリンクを張った。 

 いわゆる仮想通貨の法規制、罰則の在り方特に詐欺的投資勧誘を予防する法的手段としてSECの既存の証券関係の法令を駆使する方法は現実問題として、わが国でも監督、規制策を考える上で参考となりうると考えられよう。

1.2018年5月22日に提出されたSECの正式訴状及び連邦地裁が下した各種命令の概要

 Titanuumのオーナーで自称「ブロックチェーンの伝道者(blockchain evangelist)」と名乗るマイケル・アラン・ストーラー(Michael Alan Stollery:別名Michael Stollaire)は、連邦準備制度理事会やPayPalVerizon、ボーイング、ウォルト・ディズニー・カンパニーなどとのビジネス関係を構築していると唱えていた。 (筆者注6)

 

Michael Alan Stoller のツイートの写真。201510月登録 :Thechnology Consultancy Owner, Senior Enterprise Management and Security Expert, Blockchain Evangelist, Patriot, and at times, a Singer/Songwriter.と自己紹介している。

  訴状には、Titaniumのウェブサイトに法人顧客からの声明が掲載されており、 Stollaire”は公然とかつ不正に 多くの法人顧客との関係を持っていると偽りの主張を行った。また訴状では、 ”Stollaire”がビデオやソーシャルメディアを通してICOを宣伝し、それを「IntelまたはGoogle」への投資と比較したと主張している。連邦地方裁判所は、SECが一時的な差止命令を申請し、523日に凍結資産およびその他の緊急救済を命じた。訴状および一時的差止命令は、529日に公式に発令された。 

2.SEC法執行幹部の法執行に関するコメント 

 SECの法執行部のサイバー・ユニット(Cyber Unit)のロバート・A・コーエン(Robert A. Cohen)チーフは、「このICOは、ビジネスの見通しを純粋に架空の主張で投資家に騙したとされるソーシャルメディア・マーケティングの成果に基づいていた。不正なICOと関連した複数の訴訟を提起したため、これらを投資とみなす際に投資家が特に慎重になるよう、再度奨励する」と述べた。  

 SEC投資家教育・擁護局(Office of Investor Education and Advocacy )は、イニシャル・コイン・オファリングに関する投資家向け啓蒙情報や「偽のICOウェブサイト」を見極める掲示板を発行した。 ICOに関する追加情報は、Investor.gov およびSEC.gov / ICOサイトにある。 犠牲者である可能性があると考えられるTitanium ICOの投資家は、www.SEC.gov/tcrを通じてSECに連絡し、あわせて「SEC対チタニウム・ブロックチェーン・インフラサービス、その他事件」(カリフォルニア州中央地区ロスアンゼルス連邦地方裁判所:民事訴訟(Civil Action)18-4315)を参照。  

 カリフォルニア州中央地区ロサンゼルス連邦地方裁判所に522日付けで提出されたSECの訴状は、個人であるStollaireと法人”Titanium”に対し、連邦証券法の詐欺不正行為および登録規定に違反したことを理由に告訴している。また訴状では、Stollaireが保有する別会社「EHIインターネットワーク・アンド・システムズ・マネジメント(IHI Internetwork and Systems Management Inc.)」に対し、詐欺不正防止規定に違反した旨請求している。 同訴状は、予備的および恒久的的な差止め命令、不当利得や利益の返還ならびに罰金、および将来的にStollaireにデジタル証券の募集に参加することを禁じることを求めている。 同裁判所が予備的差止命令束を発動した後、Stollaireとその会社は予備的差止命令の登録力とTitaniumに対する恒久管財人の任命に同意した。  

 SECの調査は、なお継続中であり、David S. Brownの指揮およびMarket Abuse Unit Joseph G. SansoneDiana K. TaniおよびSteven A. Cohen SEC 委員長の共同監督下で行われている。この調査を支援するのは、SEC法執行部Cyber UnitMorgan Ward DoranLos Angeles Regional OfficeRoberto Grassoである。本訴訟は、SEC法執行部のDavid VanHavermaatならびにSECLos Angeles Regional OfficeAmy Jane Longoの監督下で行われている。 

3.SEC告訴の法的根拠 

 今回のStollaire Titaniumuに対するSECの訴えは、1933年証券法第5条(a)項、第5条(c、および同法第17条(aおよび1934年証券取引法第10条(b)およびSEC規則10b-5a)、10b-5c違反の基づくものである(筆者注7) 

***************************************************************** 

(筆者注1) preliminary injunction :,予備的差止命令と仮制止命令は,中間的・暫定的に発令されるものであり,講学上の整理概念として,中間的差止命令(interlocutory injunction)と呼ばれる(1)。連邦民事訴訟規則は,中間的差止命令として,予備的差止命令(65条⒜項)と仮制止命令(65条⒝項)の2つを規定している(2)。各州においても,連邦裁判所の中間的差止命令に相当する差止処分を利用することができるが,その要件,手続は連邦及び州間において異なる。(吉垣実「アメリカ連邦裁判所における予備的差止命令と仮制止命令の発令手続 ⑴──わが国の仮処分命令手続への示唆」から一部抜粋  

(筆者注2) ICOとは、投資家からビットコインやイーサなど既存の有力な仮想通貨の払い込みを受けて、トークンと呼ばれる独自の電子的な証票(あるいは仮想通貨)を発行して資金調達(クラウドファンディング)を行うこと。 

(筆者注3) 筆者はためしに”Titanium Blockchain Infrastructure Services Inc.”にアクセスしてみた。違法サイト表示がなされる。  

(筆者注4) 金融庁「仮想通貨交換業者の新規登録の審査内容等 」2018.6.7 ロイター記事「金融庁、仮想通貨みなし業者1社の登録を拒否」 参照。

(筆者注5) Titanium Blockchainで大儲けしたと題するツイッターの例を見ておく。

(筆者注6) ここでいうビジネス関係とTitanium サイトの以下のロゴ表示の関係は、不明である。しかし、古今東西をとわず詐欺師がもっとも利用する権威づけの手口であることは間違いない。

 

(筆者注7) Secutities Exchange act 1934の第10(b)SEC規則10b-5との関係についてInvestpedia が簡単に解説しているので、以下、仮訳する。 

SEC規則10b-5は、1934年証券取引所法の下で作成された、端末・手段を用いて操る又は欺く欺瞞的な証券取引慣行の採用の禁止を定めた規則として正式に知られているものである。この規則は、誰かが直接的または間接的に詐欺行為、虚偽記載の措置を用いることは違法であると見なす。 関連する情報を省略するか、または株式その他の有価証券に関する取引を行うことに関して他人を欺く事業の運営を行うことも同様に違法とする」 

コーネル大学ロースクールサイトから原文を以下、引用する。 

§ 240.10b-5 Employment of manipulative and deceptive devices. 

 It shall be unlawful for any person, directly or indirectly, by the use of any means or instrumentality of interstate commerce, or of the mails or of any facility of any national securities exchange,

  (a) To employ any device, scheme, or artifice to defraud,

  (b) To make any untrue statement of a material fact or to omit to state a material fact necessary in order to make the statements made, in the light of the circumstances under which they were made, not misleading, or

  (c) To engage in any act, practice, or course of business which operates or would operate as a fraud or deceit upon any person,in connection with the purchase or sale of any security. 

 

************************************************************************

  Copyright © 2006-2018 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

コメント

EUデータ保護指令第29条専門家会議(Article 29 Working Party)が「一般データ保護規則(GDPR)に関する新たなガイドライン草案」を公表(その2完)

2017-11-05 17:44:16 | 個人情報保護法制

2.行動ターゲット広告、プロファイリング、自動化された意思決定に関する主要なWP29のGDPRの解釈ガイダンス 草案 

   20171024日、米国ローファームPrivacy & Security MattersKey GDPR Guidance on Behavioral Advertising, Profiling and Automated Decision-Making」の解説文を仮訳する。 

 間もなくより透明性の高いかつ非常に強力な権限を持った「欧州データ保護委員会(European Data Protection Board (EDPB)になる「EU指令第29条専門家会議WP29:欧州委員会の諮問グループ)は、EU加盟国のデータ保護当局が「一般データ保護規制(GDPR」の様々な要求要件をどのように解釈するのかを組織、団体等が理解する助けとなるガイダンスを作成した。すなわち、”WP29”は最近、これらの活動を行うすべての組織・団体にとって重要となる「自動化された意思決定とプロファイリングに関するガイダンス草案」を発行した。このガイダンスの草案は、20171128日までのコメントのために公開されている。本記事は、このガイドラインの特に興味深い点を要約している (ここでは「採択済のガイドライン」セクションに列記された項目までスクロールしている) 。

 (1)まず、GDPRに基づく「自動化された意思決定」とは何か?また「プロファイリング」とは何か? 

  「自動化された意思決定」はGDPRは明示的に定義されていないが、WP29ガイダンスが確認しているとおり、それはあなたが考えるもの、すなわち人間の意思決定者からの実質的なインプットなしに技術的手段を使用して個人についての決定を行うことをいう。例えば、クレジットカード会社は、アルゴリズムを適用し、イエスまたはノーの決定を生成するソフトウェア・アプリケーションを介してクレジットカードの申込を受付・実行することができる。自動化された意思決定は、当該申込人のプロファイルに基づいている可能性があるが、必ずしもそうである必要はない。  

  GDPR第4(4)は、プロファイリングを「自然人に関するある一定の個人的な側面を評価するために、特に、自然人の業務実績、経済状況、健康、個人的嗜好、興味、信頼、行動、所在又は移動に関連する側面の分析又は予測をするためになされる、個人データの利用から成る個人データのあらゆる形態の自動的な処理をいう」と定義する。 

  プロファイリングは、典型的にはウェブサイトやアプリで使用される非常に一般的な広告「行動ターゲッテイング広告(behavioral advertising)」と関連する。これは、たとえば、背部痛の治療法をオンラインで検索していたとき、突然、人間工学的なデスクチェアの広告が表示される事実上すべてのあなたが訪問したウェブサイト、お気に入りのソーシャルメディアのニュースフィード、天気予報、交通アプリなどが出てくる.。このプロファイリングには、必然的に「自動化された意思決定」が必要である。  

 ”GDPRは、自動化された意思決定またはプロファイリングを一切禁止するものではないことを認識することが重要である。代わりに、GDPR第22(1)は、データ主体に少数の例外を除いて( 彼または彼女に法的効果をもたらすか、同様に彼または彼女に同様に重大な影響を及ぼすプロファイリングを含む、自動化された処理のみに基づく決定の対象とならない権利を与える。その人の法的地位または権利に影響を与える自動化された意思決定、またはその影響において「同様に重要な」意思決定のみが禁止されている。つまり、ダイレクト・マーケティングのためにプロファイリングに意義を唱える別個の権利がある。この点は詳しくは後述する)。

 一部の企業は、「法的効果」の資質を金銭的に言えば、インターネットを動かすプロファイリング/広告エコシステムの一部である企業に幅広い寛容度を与えると解釈していた。しかし、”WP29”ガイダンス草案はその考えに冷たい水を投じた。 

  ”WP29”は、データ処理が誰かに重大な影響を及ぼすためには、処理の効果は、注目に値するほど十分に大きくなければならない。言い換えれば、「意思決定」は、関係する個人の状況、行動または選択に大きく影響する可能性を持たなければならない。最も極端な場合、その決定は個人の排除または差別につながる可能性がある。この点が17/EN WP251、10頁で強調され追加された。  

 したがって、重要な疑問は、意思決定(プロファイリングを含む)が、関係する個人の状況、行動または選択に大きく影響する可能性があるかどうかである。そして、この点がガイダンス草案が行動ターゲテイング指向の広告業界にとって非常に興味深いものである背景である。

 多くの典型的なケースでは、単純化された人口統計プロファイル「ブリュッセル地域の女性」に基づく主流のオンラインファッション店の広告など、ターゲットを絞った広告は個人のプライバシーに大きな影響を与えない。 

 しかし、具体的ケースにおいては特性に応じて、次のようなことが起こる可能性がある(17/EN WP 251, p. 11)点でガイダンスに追加された。 

① プロファイリング・プロセスの押しつけがましさ 

② 関係者の期待と希望 

③ 広告が配信される方法 

④ 対象となるデータ主体が有する特定の脆弱性 

 言い換えれば、主観的要因は、制限されていないプロファイリング活動を制限されたカテゴリに移動することができる。”WP29は、私たちの大部分が経験しているウェブ上の広告によって「ストーカー」されているという過度といえるプロファイリングが、プロファイリングと自動化された意思決定の完全な制限を引き起こすことを暗示しているようである。それが事実”WP29の意図であれば、そのガイダンスの最終版で事例をより明確に述べるほうがよいであろう。  

 さらに、最後の箇条書きを詳述するために、 対象とされている人物の識別可能な特徴によって 、プロファイリングが限定的なカテゴリーに持ち込まれる可能性がある。  

 個人にほとんど影響を及ぼさない処理でも、実際にはマイノリティ・グループや脆弱性を持った大人(筆者注5)のような特定の社会グループの人々に実際に大きな影響を与える可能性がある。例えば、定期的にオンライン・ギャンブルの広告を表示する財政難の人は、これらのオファーにサインアップし、潜在的にさらなる債務を負う可能性がある。 

 では、いったいこれはどういう意味か?「行動ターゲッテイング広告(behavioral advertising)GDPR 第 22条(1)の「同様に大きな影響」を引き起こした場合、広告(および関連するプロファイリング)は、次の要件に基づきプロファイリングと自動化された意思決定が行われている場合にのみ実行できる。  

① データ主体ととデータ管理者の間の契約の締結または履行の実行に必要性があること 。 

② EU加盟国の法律がデータ主体の権利と自由と正当な利益を保護するための適切な措置を定めていること。 

③ データ主体の明示的同意に基づいていること。 

 これらの条件のいずれも、一般に宣伝(契約を実行しない)に使用され、当該国の法律の下で特別な配慮を得ることはほとんどなく、「背後にある」ことに根ざしている行動ターゲッテイング広告の文脈では、プロファイルを作成して広告を展開する企業に対し厳格な同意を得させることができる。  

 オンライン広告業界が”WP29”に対しコメントを提供しているかどうか、そしてガイダンスが結果として変化するかどうかを確認することは興味深いであろう。その一方で、WP29ガイダンス草案は、プロファイリングまたは他の形態の自動化された意思決定を使用するすべての企業にとって必須のものといえる。 

************************************************************

 (筆者注5) 欧米でいう「脆弱な大人(vulnerable adult)」とはいかなる概念を指すのか。以下の筆者が訳した説明文を参照されたい。

「脆弱な大人」は、最も基本的な(中間レベルまたは典型的なレベルとは異なる)絶対的に人間生活を過ごすスキルを欠いている人である。脆弱な大人は、これらのスキルを適切に学んだり、適切に維持することができず、また、家族、友人、知人、その他の援助者を完全に雇用することができない大人である。 脆弱性として分類されるためには、より典型的な大人の直接の助けなしに、成人の状況を成人自身の個別の行動によって変更または改善できないようでなければならない。援助が提供されなければ、脆弱な大人は、ある程度の重要なレベルで、自分自身のリスクが示されなければならない。

*****************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

コメント

EUデータ保護指令第29条専門家会議(Article 29 Working Party)が「一般データ保護規則(GDPR)に関する新たなガイドライン草案」を公表 (その1)

2017-11-05 17:16:22 | 個人情報保護法制

 2018年5月25日に全面施行されるEUの「一般データ保護規則(GDPR)」に基づく関係者の各種義務の一部明確化が進んでいる。

  すなわち、EU情報保護指令第29条専門家会議 (筆者注1)は、10月3日に「一般データ保護規則2016/679 (以下、”GDPR”という)」に基づく「個人データ漏えい時の通知に関するガイダンス草案(WP250)」および”GDPR”の目的のための「自動化された個人意思決定およびプロファイリングに関するガイダンス草案(WP251)」を公表した。これらは、11月28日までにコメント期限として発行され、法解釈の技術的なガイドライン草案である。  

(1) 情報漏えい通知に関する新しいガイドラインは、”GDPR”の漏えい事故時の関係者への通知とコミュニケーション上の要件、およびデータ管理者と処理者がこれらの新しい義務を果たすために取ることができるいくつかの手順を説明している。また、さまざまな種類の情報漏えいの例や、通知を受ける必要がある人についてのさまざまなシナリオも含まれる。  

(2) 自動化された意思決定とプロファイリングに関する新しい文書の各章のタイトルは次のとおりである。   

① 「プロファイリング」と「自動化された意思決定」の定義および”GDPR”の一般的なアプローチ 

② GDPR第22条に定義されている自動化された意思決定に関する具体的な規定内容 

③ 「プロファイリング」と「自動化された意思決定」に関する一般規定 

④ 子供とプロファイリング 

⑤ データ保護の観点からの影響評価 (impact assessments) 

 また、29頁以下のガイダンス草案の付属書(Annexes)は「最善の実務慣行内容」を提供する。 

 本ブログは,解釈上多くの疑問点を残すGDPR規定内容を補完すべく策定された”WP29”のガイダンス、特に”WP251”についての主要ローファームのレポートを仮訳しつつ、残された課題などを論じるものである。 

 なお、”WP29”は10月4日、C-ITS:Cooperative-Intelligent Transport Systems  (協調高度道路交通システム:先端の情報通信技術を用い、人と道路と車両をネットワーク化し交通システムの安全性、効率性、環境性、快適性等の問題解決に大きく貢献する協調ITS(以下、”C-ITS”という)に関する情報保護面から見た問題指摘の意見書を公表した。イタリア情報保護庁(del Garante per la protezione dei dati person ali (以下「GPDP)のニュースで確認したが、その内容は別途本ブログで取り上げることとする。 (筆者注2) 

 2回に分けて掲載する。

1.「GDPRに基づく「意思決定の自動化」  データ主体個人の権利またはデータ管理者に対する禁止規定の解釈問題?」

  Hogan Lovells LLP標記ブログを以下のとおり、仮訳する。 

 EU「一般データ保護規則(GDPR」の内容の複雑さ問題は、法律上のゴシック文字や確実性を歓迎する実務的解釈に貢献する規制当局のガイダンスによりしばしば緩和される。しかし、自動化された意思決定に関するEU保護指令29専門家会議(以下、”WP29”という)が発行した最新のガイドライン草案は、さらなる調査を行うべき特定の問題につきカーブボールを投げた。すなわち、これはGDPR22条(1)がデータ主体に利用可能な権利としてか、またはデータ管理者に対する直接的な禁止行為として読み取るべきかどうかに関係する問題である。 

 第22条(1)は、「 データ主体は、プロファイリングを含む自動化された処理のみに基づく法的効果または同様に著しい影響を及ぼす決定の対象とならない権利がある」 (筆者注3)と明記している。”WP29”のガイダンス草案は、原則として、第22条に基づき、法的または同様に重要な効果を有するプロファイリングを含む、完全に自動化された個人の意思決定の禁止を明記している。 

 これは、完全に自動化され、十分に重要な方法で個人に影響を及ぼす意思決定につながる処理活動は、もちろん、そのような処理が第22条(2)の例外として定められた3つの根拠のいずれかにより正当化されない限り、禁止されることを意味する。すなわち、「契約の締結・履行時」、「法律上の許可に基づく場合」、または「明示的なデータ主体の同意」は重要な法的ポイントではない。 禁止事項として第22条(1)を解釈することは、潜在的に幅広い解釈の結果をもたらす可能性があるといえる。  

 この解釈が与えられれば、法的効果を生み出すか、同様に個人に著しく影響を及ぼす決定と見なされるものかが真に重要なキーとなる。ガイドラインでは、”WP29”は、適格とするためには、意思決定が個人の状況、行動または選択に大きく影響する可能性があると考えている。”WP29”は、例をあげて、事例の状況や、次のような属性を考慮して、ターゲット広告が個人の権利に重大な影響を及ぼす可能性があるとコメントしている。 

• プロファイリング手順の押しつけがましさ(intrusiveness) 

• 関係する個人の期待と希望、 

• 広告が配信される方法、

• ターゲットとなるデータ主体たる個人の脆弱性。  

 同ガイドラインのこの解釈が実際に意味することは、オンライン広告活動の背後にあるデータ処理が個人に大きな影響を及ぼす旨の決定を下す場合、この処理は無効となり、禁止されることである。その後のオンライン広告活動に携わる者は、合法的にデータを使用するためには、明示的な本人の同意を得ることになる。(既に非常に厳しい高い基準に注意されたい)。 

 WP29は、ガイドライン全体を通じてこの解釈に固執しているが、その処理が第22条(1項に該当する場合、データ管理者の正当な利益がプロファイリングを合法化することができない旨脚注ではっきりと述べている。問題は、第22条(1項の規定は実際プロファイルを禁止しているのか、またはWP29はGDPRを誤解しているかである。 

 この問題を比較するため、”GDPR”が第9条(1(筆者注4)のとおり特別なデータ・カテゴリの処理に関するの別の禁止形態を定める場合、その草案は特別な個人データの処理が「禁止される」と明記している。禁止される旨の文言は明らかに第22条(1)には含まれていない。実際、第22条(1項の文言は、1995年データ保護指令の第15条(1)から最も明確に引き出されている。20121月からの”GDPR”の元となる欧州委員会の提案を振り返ってみると、プロファイリングに関する条項の文言(第20条(1))項は、1995指令第15条の文言を反映している。 

  しかし、重要な点は、当初の欧州委員会のGDPR草案には、最終的なGDPRの文言に欠けている言葉が含まれていた。すなわち、委員会原案では、「 本規則の他の規定に準拠することを条件として、取扱者は第20条(1)項において定める一定の種類の措置の処理が「契約の履行」や「法律上の許可がある場合」または「明示的な同意」に基づく場合のみ従うとあった。同じアプローチが欧州議会のLIBE委員会の報告書で立法プロセスの途中で引用されたが、この文言は同条項の最終版には含まれなかった。 

 したがって、もし”GDPRの最終版が、限定された例外を伴う法的または同様の重要な効果を有するプロファイリングを含む、完全に自動化された個人意思決定の禁止を意図していたとすれば、第22条(1項は、そのような処理が禁止されていることを示すか、またはそのような処理が特定の状況でのみ生じることを強調すべきであった。しかし、第22条(1項の文言はこれを明記していない。

 さらに、データ管理者が実行することができる個人データの処理が原則禁止されている場合、法論理的には、この条項は(1)原則を明記する章(刑事有罪判決の個人情報が第10条で扱われる方法と同様に)または(2)管理者および処理者の義務に関する章に明記されるべきである。その代わりに、”GDPR”では自動化された意思決定に関する規定は、データ主体の権利に関する章に含まれている。言い換えれば、”GDPR”の考えは、このような自動化された意思決定を行わない管理者に対する履行禁止ではなく、個人が特定の「決定」を受けないように保護される権利があるという考えのようにも見える。 

 その結果、EU加盟国等のデータ保護当局が”WP29”のガイドライン案のこの条項を遵守した立場は、かなりの法的な不確実性を生む。しかしながら、明かな点は、”WP29のガイダンス草案に示された解釈が優先事項とされた場合、”GDPRの採択時に必ずしも予見されなかったあらゆるタイプの事業者の取組み方に重大な影響を及ぼすことである。  

************************************************************

 (筆者注1) 新しい一般データ保護法(GDPR)は、EU域内での同法の適用を保障するため、「欧州データ保護会議(European Data Protection BoardEDPB)」(各加盟国での個人データ保護法やGDPR等の法令の適正運用を確保する目的を持つ)という法的資格を有するEU機関を設立する(第64条)

 より具体的な機能、権限を見ると、現第29条専門家会議はEU加盟国のメンバー監督当局、欧州データ保護管理者(EDPS)および欧州委員会は、同様の会員資格を有するが、独立した事務局である「欧州データ保護会議」(「EDPB」)に変容する。EDPBは、法律上の人格を持つEU機関としての地位を有し、欧州委員会の法的諮問機関であり、また加盟国の国家監督当局間の紛争を決定し、助言と指導を行い、EU全体の規範と認証を承認する強力な権限を有する。 

(以下のGDPRの訳文は、JIPDEC(一般財団法人日本情報経済社会推進協会)が平成23年度に急遽仮訳したものであるが、主要部のみ抜粋する)

第64条:EDPBの組織

第65条:欧州委員会などからの任務の独立性

第66条:欧州データ保護委員会のタスク

1. 欧州データ保護委員会は、本規則の一貫した適用を確実なものとするものとする。この趣旨の下、欧州データ保護委員会は自らの主導もしくは欧州委員会からの要請にて、特に以下を成すべきものとする。

(a) 連合内の個人データの保護におけるあらゆる課題に対して欧州委員会に助言を行う。その課題には、本規則に対する改定提案等が含まれる。

(b) 自発的に、メンバーからの要請で、もしくは欧州委員会からの要請にて、本規則の適用に纏わる疑問を精査し、本規則の一貫した適用を促進するために、監督機関に対し湯腰部(c) (b)号のガイドライン、提言、および最良事例の実際的な適用を評価し、これらについて定期的に欧州委員会に報告する。

(d) 57条の整合性機構に従い、監督機関の決定案に対して見解を述べる。

(e) 監督機関間の、二者間もしくは複数機関間の協力並びに効果的な情報および実務例の交換を推進する。

(f) 監督機関間の、また適切な場合には第三国もしくは国際機関との、共通の訓練計画を推進し人材交流を促進する。

(g) 世界中のデータ保護監督機関との間の、データ保護に関する法律や実務例に関する知識及び文書の交換を推進する。

2. 欧州委員会が欧州データ保護委員会からの助言を求める場合、その事例の緊急性を検討した上で、その助言に回答期限を定めることができる。

3. 欧州データ保護委員会は欧州委員会および第87条の委員会に対し、自らの見解、ガイドライン、提言、および最良事例を送付し、公開すべきものとする。

4. 欧州委員会は、欧州データ保護委員会により出された見解、ガイドライン、提言、および最良事例に基づいて取った対応を、欧州データ保護委員会に通知するものとする。

67条 欧州委員会への報告

1. 欧州データ保護委員会は定期的かつ適時に、欧州委員会に対し自らの活動結果を報告するものとする。欧州連合および第三国における、自然人の保護および個人データの処理に関する状況についての年次報告書を策定するべきものとする。その報告書には、第66(1)(c)号のガイドライン、提言、および最良事例の実用的な適用に関する報告を含むものとする。

2. 報告は公開の上、欧州議会、欧州理事会および欧州委員会に伝達されるものとする。

68条議事の手順

1. 欧州データ保護委員会はその構成員の単純多数によって議事を決するものとする。 

.2. 欧州データ保護委員会は手順に関する独自の規則を採択し、自らの運用協定を編成するものとする。特に、構成員の任期が切れた場合、もしくは構成員が辞任した場合の職務継続的遂行、特定の課題またはセクターに関するサブグループの設立、および第

57条の整合性機構に関連する手順を提供するものとする。

69条 委員長

70条 委員長の職務

71条 事務局

1. 欧州データ保護委員会は事務局を有するものとする。欧州データ保護監督者がその事務局を提供するものとする。

2. 事務局は委員長の指示の下、欧州データ保護委員会に分析的、運営管理的および後方業務的な支援を提供するものとする。

72条 委員会の守秘義務 

 なお、現行の”Article 29 Working Party(WP29)は、加盟各国の監督機関の代表、欧州委員会司法総局データ保護課の代表、欧州データ保護監察局(EDPS)の代表によって構成される機関であり、欧州委員会の諮問機関として特定の問題に関して共通の解釈と分析を提供することにより、EU 加盟国のデータ保護法の解釈にある程度の調和をもたらす機能を有している。これに関し、わが国の官民学ともにWP29の訳語がほぼ100%「作業部会」と訳しているが、いかにも直訳過ぎて筆者は理解できない。WP29の現機能の引き継ぎ機関がEDPBという点からみても筆者がこれまで使ってきた「EUデータ保護指令第29条専門家会議」の訳語の方が適正であると考えるが、あくまで少数意見であろうか。 

(筆者注2) わが国の「C-ITSCooperative-Intelligent Transport Systems: 協調高度道路交通システム」について論じたレポートとしては、①ITS規格化 S13-1 経済産業省委託 平成25年度工業標準化推進事業 戦略的国際標準化加速事業:I T Sの規格化事業 ITS協調 システムの情報項目の標準化に関する分析・検証報告書、②一般財団法人日本自動車研究所・ITS研究部「欧米の協調ITSシステムと自動運転の最新動向」、③豊田中央研究所 R&D レビュー Vol. 33 No. 3 ( 1998. 9 )ITS ( 高度道路交通システム )の国内外の動向」がある。 

(筆者注3) 一般財団法人日本情報経済社会推進協会のGDPR”の仮訳(2016 )から一部抜粋する。

21 条 異議を唱える権利

1. データ主体は、当該データ主体のそれぞれの状況に関する理由を根拠として、第条第(e)号又は(f)号に基づくプロファイリングを含む当該条項を根拠とした自己に関する個人データの取扱いに対して、いつでも異議を唱える権利を有する。管理者は、データ主体の利益、権利及び自由に優先する取扱いのための、又は法的主張時の立証、行使若しくは抗弁のための差し迫った正当な根拠であることを示さない限り、もはや個人データを取り扱ってはならない。 

2. 個人データがダイレクトマーケティングのために取り扱われるならば、データ主体は、当該マーケティングのための当該データ主体に関する個人データの取扱いに対して、いつでも異議を唱える権利を持つ。当該ダイレクトマーケティング範囲内のプロファイリングを含む。

(以下略す)

22 条 プロファイリングを含む自動化された個人意思決定

1.データ主体は、当該データ主体に関する法的効果をもたらすか又は当該データ主体に同様の重大な影響をもたらすプロファイリングなどの自動化された取扱いのみに基づいた決定に服しない権利を持つ。 

2. 項は次に掲げるいずれかの決定には適用されない。

(a) データ主体とデータ管理者間の契約締結、又は履行に必要な決定。

(b) データ主体の権利及び自由並びに正当な利益を保護するための適切な対策が定められた管理者が従うEU 法又は加盟国の国内法によって認められた決定。

(c) データ主体の明示的な同意に基づく決定。 

  1. (a)号及び(c)号で定める状況に関して、データ管理者は、データ主体の権利及び自由並びに正当な利益を保護するための適切な対策を実施し、少なくとも管理者側で人を介在させる権利、当該データ主体の観点を表明する権利、及び決定に同意する権利を実施するものとする。 

(筆者注4) GDPR9(1) 特別な種類の個人データの取扱い

人種若しくは民族的素性、政治的思想、宗教的若しくは哲学的信条、又は労働組合員資格に関する個人データの取扱い、及び遺伝データ、自然人の一意な識別を目的とした生体データ、健康に関するデータ又は自然人の性生活若しくは性的指向に関するデータの取扱いは禁止する。 

*****************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

コメント

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その5 完)

2017-10-11 10:47:44 | 個人情報保護法制

(H) 情報保護コミッショナーの法執行権と刑事罰

 48 英国の情報保護コミッショナー(ICO)は、英国の情報保護監督当局の責任者である。コミッショナーは、もともと「1984年データ保護法(Data Protection Act 1984)」によって提供されていた情報保護登録機関であった。1998年法では、情報保護コミッショナーに改称され、2000年法によってコミッショナーの現在のタイトルが確立された。本法案は1998年法を廃止し、GDPRは監督当局の存続を規定しているが、1998年法には引き継がれる必要がある事項がいくつか存在するため、法案は関連する条項を含む。  

 49 個人情報を含むすべての種類のデータは、30年前とは劇的に異なる方法でアクセス、分析、送信、保存されるため、責任者を調査し、制裁する権限は時間とともに変化し、成長した。1998年法の下では、ICO監督者は執行通知のみを提出することができ、罰金を科す権限は「2008年刑事司法および移民法」にのみ当てはまり、コミッショナーは最も重大な違反行為に最高50万ポンドを科すことができた。GDPRはこれを拡大して、コミッショナーは最も重大な場合に最大の罰金18百万ポンド(2,000万ユーロ)または総売上高の4%を課すことができるようにした。本法案は、告発の形態、控訴権および控訴権の行使方法に関する情報を含む、一定の保障措置が課されることを裁判官に罰金を科す権限があることを保証する。 

50 英国の情報保護法には、情報管理者の同意なしに個人情報を取得、開示、販売することに関する犯罪行為や、令状の遵守や一般市民の不正行為に関する一般的な犯罪が含まれている。 大半の訴追は、データ管理者の同意なしに個人情報を故意または無謀に入手または開示または調達に関する1998年法第55条に基づいている。最大の刑罰は金額無制限の罰金刑である。法案は、1998年法の刑事犯罪の多くを再現し、”GDPR”によってもたらされた法的枠組みの変更を説明するための変更を加え、新たな脅威に対処するための新たな犯罪を導入する。  

 51 2016年6月、英国の「市民の健康・保健機密情報の安全性と適正化にかかる諮問・監視機構(National Data Guardian:NDG:(トップは Dame Fiona Caldicott)」は、保健省とともに、個人情報が匿名化されたデータに含まれている個人の意図的な再認証を犯罪行為とすべきとする勧告を内容とする「データセキュリティ同意(Data Security Consent)」および「オプト・アウト(Opt-Outs)」に関するレビュー」を発表した。

  2017年3月1日、政府は政策方針書「英国デジタル戦略(UK Digital Strategy)」を公表し、NDG勧告に沿って新たな犯罪を創出することを約束した。本法案はそのような犯罪を規定している。  

3.EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説

 これまでの解説内容と一部重複するが、EU指令EU2016 / 680(EU法施行指令)に関する英国ICOの解説を、以下、仮訳する。

  本指令は、犯罪防止のための個人情報の処理とそのようなデータの自由な移転を対象としている。 

(1) それはなんのための指令か? 

 本指令は、個人情報が、刑事犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)、訴追(prosecution)、または刑事罰の執行の目的で当局によって処理された場合に、個人を保護するものである。 

 新しい指令の下では、犯罪防止と取り調べを取り巻く活動に関連して、特定の目的のためにのみ、すべての個人情報を妥当かつ公正に処理する必要がある。 

 この指令は、これらの文脈におけるEU全体の個人情報処理が合法性、均整がとれてかつ必要性原則に従うことを保証するものである。また、国家のデータ保護当局による独立した監督および効果的な司法救済をも保証する。 

(2) この指令は誰がいつまでに遵守しなければならないのか? 

 この指令は、2018年5月6日までに国内法に移行する必要があるEU加盟国(英国を含む)に適用される。 

 英国政府は、この遵守期限を守るために英国での指令効果を与えるための措置に取り組んでいる。英国の指令の範囲内で個人情報を処理する影響を受ける機関は、その日以降のこれらの条項を遵守しなければならない。 

4.ICOのGDPRに基づく情報管理者と処理者間の契約に関するGDPR契約および法的責任に関するガイダンス草案の概要

 9月18日のHunton & Williams LLPの解説「GDPR Contracts and Liabilities Between Controllers and Processors」の内容を以下、仮訳する。 

 9月13日、英国情報コミッショナー事務局(ICO)は、「GDPRに基づく情報管理者と情報処理者間の契約に関するGDPR契約および責任に関するガイダンス(草案)(以下、「ガイダンス」という:28頁)」諮問文書(Consultation)(7頁)を発表した。ICOは10月10日までガイダンスの意見公募を行っている。 

 以下が、ガイダンスの主な内容である。 (筆者注19)

 (1) GDPR契約

 ”GDPR”の下では、情報管理者が処理者を使用するときは常に書面による契約が必要である。これは、当事者が役割責任と法的責任を理解するための重要事項である。 データ処理契約の必須要件は、GDPR第28条に定められている。すなわち、 GDPRが定める要件は、(i)取扱者が処理者の指示に従ってのみ活動し、(ii)個人データを安全に保つための適切な措置を講じるという、データ保護指令の一般要件に基づいている。 2018年5月25日以降のこれら契約は新しい”GDPR”要件を満たさなければならず、ICOは既存のこれら契約やひな形の条件を見直し、”GDPR”に準拠するよう改定することを推奨する。 

 データ処理契約の文言・条件に関して”GDPR”が定める主な要件は次のとおりである。 

(ⅰ)処理者(管理者または処理者が補助処理者を任命する場合を含む))を任命する際に書面による契約を行うこと。

(以下の事項につき契約を締結する必要がある。

  ① 処理の主題および処理の持続時間;(the subject matter and duration of the processing)

  ② 処理の性質と処理目的(the nature and purpose of the processing)

  ③ 個人情報の種類と情報主体のカテゴリー(the type of personal data and categories of data subject;  

  ④情報管理者の義務と権利( the obligations and rights of the controller.)  

() 契約には、処理者に関して次の最小の条件が含まれていなければならない。

  ① 管理者の書面による指示にのみに従う。(only act on the written instructions of the controller;)

  ② データを理扱う人々につき信頼の義務を負うことを保証する。( ensure that people processing the data are subject to a duty of confidence;)

  ③ 処理の安全を確保するため適切な措置を取る。(take appropriate measures to ensure the security of processing;)

  ④ 書面による契約の下でのみ、管理者の事前の同意を得て補助処理者に従事させる。(only engage sub-processors with the prior consent of the controller and under a written contract;)

  ⑤ 管理者が対象アクセスを提供し、情報主体が”GDPR”の下で権利を行使できるよう支援する。(assist the controller in providing subject access and allowing data subjects to exercise their rights under the GDPR;)

  ⑥ 管理者が処理のセキュリティ、個人情報の漏えい時およびデータ保護影響評価の通知に関して”GDPR”上の義務を果たすことを支援する。(assist the controller in meeting its GDPR obligations in relation to the security of processing, the notification of personal data breaches and data protection impact assessments;)

  ⑦ 契約の終了時に要求された通り、すべての個人情報を削除または返却する。( delete or return all personal data to the controller as requested at the end of the contract; and)

  ⑧ 監査および検査に服従し、もし”GDPR”またはEU加盟国の他のデータ保護法を侵害しているときは、第28条義務を遂行していることを確認するために必要な情報を管理者に提供する。( submit to audits and inspections, provide the controller with whatever information it needs to ensure that they are both meeting their Article 28 obligations, and tell the controller immediately if it is asked to do something infringing the GDPR or other data protection law of the EU or a Member State.)

  上記のICOのガイダンスの多くは”GDPR”自体を反映しており、管理者および処理者はICOのが定める次の事項に注意する必要がある。

① ICOは、管理者が上記の2番目の項目(ⅱ)に記載されている処理の詳細を当初から非常に明確にする必要があり、一般的な汎用的用語に頼ることはできないことに留意して、明確に設定することを推奨する。このアプローチは、処理の性質がサービスの性質から自明である場合には、やや厳格なもの(heavy handed)であると見られる。 

処理者の個人データを機密とする義務は、すべての従業員、パートタイム労働者(temporary workers)、派遣労働者(agency workers)に適用される。 

GDPR第32条 に基づく適切なセキュリティを確保するための処理者の義務は、セキュリティ上の問題に関する個別の指針の対象となり、現在はデータ保護法に基づくICOの既存の指針で十分である。 

    第28条(3)(f) (筆者注20)に基づいて管理者を援助する処理者の義務は、「無限ではなく」、処理内容の性質と管理者が利用可能な情報を考慮して制限される。  

 ICOは、GDPRに準拠したデータ処理条項の交渉中にしばしば論争になる以下の事項に関する重要なガイダンスを提供していない。

 ①下請け業者の変更に異議を申し立てる権利はどのように明示すべきか? 契約を終了させるしかないか?

 ②データ処理者を監査する管理者の権利を制限することは可能か? 

 処理者がこの要件に準拠するためにどのような実用的なコントロールを使用できるか(例えば、監査の期間と範囲の制限、第三者の認定が第三者の認定の代用となるかどうかなど) ICOのガイダンスは、処理者が第28条(3)(h)の要件を満たすために情報を提供したり監査に提出できることを示唆しているようである。  

 ”GDPR”は、欧州委員会または監督当局(ICOなど)が発行した情報処理に「標準契約条項(standard contractual clauses )」を使用することを認めているが、まだ同条項は発行されていない。 (筆者注21)

 (2) 情報管理者の責任と法的責任

 ”GDPR”の下では、管理者は”GDPR”の要件を満たすことを十分に保証している処理者のみを使用することができる。すなわち、そのような保証は、通常、契約によって行われる。そこでの「承認された行動規範(approved code of conduct)」または「認証スキーム(certification scheme」の明記は、”GDPR”に従って個人データを処理する十分な保証を提供する処理者を選択したことを管理者が証明していることを示すために利用可能であるといえる。

 本ガイダンスは、”GDPR”に従って個人データが処理されることを保証するために管理者が最終的に責任を負うことを指摘している。すなわち、管理者が「損害を引き起こす事象に責任を負わない」ことを管理者自身が証明できる場合を除き、情報主体が効果的な補償を受けることを保証するために、契約の非遵守処理によって生じた損害については完全に責任を負う。 

 重ねて言うが、本ガイダンスは、”GDPR”に基づく共同賠償責任および個別賠償責任に関連するリスク配分規定を適用し、以下のように困難な側面のいくつかを回避している。

 ① 責任と法的責任の制限や排除が、共同責任および個別責任制度の下での当事者の損失につき権利を取り戻すことを防止することができるかどうか。 

 ② ”GDPR”の下で、どのような防衛および関連する規定が許されるのか?  

(3) 取扱者の責任と法的責任

 本ガイダンスは、処理者の責任と法的責任の概要を説明する。 

(ⅰ) 処理者は、文書化された管理者の指示にのみ従わなければならない。 

(ⅱ) 処理者が(管理者の命令にのみ作用するのではなく)処理の目的と手段を決定する場合、処理者は管理者とみなされ、管理者と同じ責任を負うことになる。

(ⅲ) 管理者に対する契約上の義務に加えて、GDPRの下では、処理者は次のような直接的責任も有する。 

  ① データ管理者の事前の書面による許可なしに補助処理者を使用しないこと。

  ② 情報保護監督当局(ICOなど)に協力すること。( to co-operate with supervisory authorities (such as the ICO);)

  ③ その処理のセキュリティを確保すること。( to ensure the security of its processing;)

  ④ 処理活動の記録を保持すること。(to keep records of processing activities;)

  ⑤ 個人データの漏えい違反等をデータ管理者に通知すること。( to notify any personal data breaches to the data controller)

  ⑥ データ保護担当役員を採用すること。

  ⑦ 必要に応じて、EU内の代理人を書面で指定すること。  

(ⅴ) もし、処理者がこれらの義務のいずれかを満たしていないか、または管理者の指示に従わずに行動した場合は、訴訟手続に損害を与えたり、罰金またはその他の罰金または是正措置を受ける可能性がある。 

(ⅵ) 処理者が補助取扱者を使用する場合、本来の処理者として、補助処理者の義務の実行のために管理者に直接責任を負う。 

  契約上の責任については、ICOは次のことを指摘している。

(ⅰ) 契約ではデータ処理に関する特別な賠償責任を指定することができ、この時点で専門的な助言を得るべきである。 

(ⅱ) 契約の下で、処理者は、管理者との関連契約の条件を満たしていない場合は直接的な責任を負うことがある。 

(ⅲ) 補助処理者が使用される場合、データ主体に向かって、GDPRの下で3つの当事者(管理者、処理者、補助処理者)が潜在的に責任を負う可能性がある。 

 上記は有用な出発点であるが、データ管理者および処理者は、データ処理条件が、表現、保証、補償、制限、免責除外および保険を含む契約においてより広いリスク配分の枠組み内でどのように適合するかを評価する必要がある。 

*****************************************************************************

(筆者注19) EUGDPRSCCSCC(Standard Contractual Clauses:標準契約条項)に関する訳語についてはIIJ(Internet Initiative Japan)解説サイトの訳語等を参照した。 

(筆者注20) 第28(3)f.を以下、仮訳する。

 処理者の処理は、EU加盟国の法律のもとでその契約またはその他の法律上の行為により規制される、すなわち管理者に関する処理者に拘束力を持ち、処理の主体および処理期間、処理の性質と目的、個人データの種類(type)、データ主体のカテゴリー、管理者の義務と権利を含む内容を明らかにされねばならない。特にその契約またはその他の法律上の行為は次のとおり明記されなければならない。

(f) 処理の性質および管理者が利用可能な情報を考慮して、管理者が第32条から第36条に基づく義務の遵守を確保するのを支援する。 

(筆者注21) GDPRにおける「標準的なデータ保護契約条項」の解説を仮訳する。

 標準データ保護契約条項の要件の変更により、管理上の負担が軽減される。 GDPRの下では、これらの条項は、監督当局の事前の承認を必要とせず、そのような条項は、欧州委員会および国家監督当局によって採択されることができる。 既存の標準契約条項は有効なままであるが、GDPRは廃止の可能性を残す。

 暫定的な契約条項は、GDPR遵守のためにも使用されるかもしれないが、監督当局の事前承認を受けなければならないため、管理者にとっては魅力的ではない可能性がある。 

**************************************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その4)

2017-10-11 10:00:04 | 個人情報保護法制

(G) 英国の情報機関の情報処理とGDPRとの関係

 43 英国の情報局保安部(Security service:MI5)情報局秘密情報部(Secret Intelligence Service:SIS :MI6)、および政府通信本部(Government Communications Headquarters)からなる情報サービスによる個人データの国内処理は、現在、1998年法によって規制されている。 国家安全保障は各加盟国の唯一の責任であると述べる欧州連合条約第4条(2)(筆者注10)により、国家安全保障はEU法の範囲外である。したがって、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、”GDPR”の範囲内ではない。その結果、”GDPR”の規定は加盟国の情報機関の特別な性質がゆえに適用されない。したがって、法案の第4編は、欧州評議会に基づく情報サービスによる個人データの処理のためのデータ保護体制規定を置く。  

 44 1998年法は現在のEU条約108(Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (“Convention 108”))と合致している。この法案の第4編は、現代化された「条約第108号」を採用し、情報サービスによって実施される個人情報の処理が将来の予測される国際基準と整合することを目指して、既存の体制を構築するものである。英国の諜報機関が既存の新興国家の安全保障上の脅威に対処できるようにする一方で、国家安全保障の背景において個人情報を処理するための規則を規定している。 

45 現在、1998年法に基づいており、かつ同法と整合的をとって、法案第4編の体系は、国家安全保障を確保するために必要なときにのみ適用できる、適切かつ比例した手続の適用除外規定を置く。また、1998年法と合致して、国家安全保障を目的とした特定の要件の適用除外がその事実の決定的証拠となることを証明する、国王が任命する大臣の署名した証明書を必要とする規定がある。  

46 英国の情報機関は従来から情報処理義務を遵守している。これらは2016年11月26日に施行された「調査権限法(Investigatory Powers Act 2016 )」 (筆者注10-2)に基づき、「法執行および情報機関監督コミッショナー(Investigatory Powers Commissioner )」 (筆者注11)により監督され、また内閣府改革政府安全保障審査に合わせた物理的、技術的および手続的統制によって支えられる。これには、人事面の吟味、データの分類に基づく制限の処理、内部ITのファイアウォールとエアギャップ(筆者注12)、アクセス制限などが含まれる。  

 47 英国の情報機関に適用される規制の構造は、他の立法にも見られるようになっており、データ処理の実践に関わるものを含め、すでにその活動に制限を課している。これには、 「1989年国家安全保障法(Security Service Act )」、「1994年諜報機関法(Intelligence Services Act 1994)」 「2000年調査権限規制法(Regulatory of Investigatory Powers Act 2000)」 (筆者注13)、および「2016年調査権限法」(以下、「2016年法」という)が含まれる。たとえば、2016年法の第7編では、情報機関がバルク個人情報のかたまり(datasets)をどのように保持、使用するかに関係する機関固有の令状を用意している。また、法律の権限を使用して取得したデータを誤って使用または公開した場合は、2016年法は多数の犯罪を作り出すと定める。 

【筆者の追加解説】

 議会上院事務局の法案注釈と一部重複するが、わが国ではほとんど正確に触れたものが少ない点でもあるので、筆者が当局のサイトをもとに行った追加的仮訳で補足する。 

 英国議会「国家情報・安全保障委員会(Intelligence and Security Committee of Parliament (以下、ISCという))」、「1994年情報サービス法(Intelligence Services Act 1994 )」にもとづき、情報保安部(MI5)、情報局秘密情報部(SIS)、および政府通信本部(GCHQ)の政策、管理、支出を調査するために初めて設立された。

 「2013年司法および安全保障法((Justice and Security Act 2013)」は、ISCを次の点で改革した。①議会の委員会にする。②より大きな権限を持たせる、③業務活動の監督、政府のより広範な情報およびセキュリティ活動を含む)委員会への付託権限を含む。

 ISCは、これら3つの情報機関と治安当局以外に、④内閣の合同情報委員会(Joint Intelligence Committee :JIC) (筆者注15) の「評価スタッフ(Assessments Staff)」や「国家安全保障事務局(National Security Secretariat)」といった内閣府の情報関連業務を検証している。さらにJICは、国防省の国防情報参謀部(Defence Intelligence Staff)9/17(107) (筆者注16) (筆者注17)や内務省の安全保障及び対テロリズム局(Security and Counter-Terrorism in the Home Office:OSCT) (筆者注18) の情報活動も監視している。 

 ISCのメンバーは議会によって任命され、委員会は議会に直接報告する。また、委員会は、国家安全保障上の問題について、英国首相に報告することができる。  

 ISCのメンバーは1989年公務情報機密法(Official Secrets Act 1989) 第1条(1)(b)の対象となり、職務を遂行する際に高度に分類された資料にアクセスすることができる。ISCは、内閣閣僚および高官からの証拠を入手し、そのすべてが報告書を作成するために使用される。 

 *****************************************************************************

(筆者注10) EU条約(TEU:マーストリヒト条約(THE MAASTRICHT AND AMSTERDAM TREATIES)42(いわゆる加盟国の主権にかかる条項である)の原文を引用する。

  1. The Union shall respect the equality of Member States before the Treaties as well as their national identities, inherent in their fundamental structures, political and constitutional, inclusive of regional and local self-government. It shall respect their essential State functions, including ensuring the territorial integrity of the State, maintaining law and order and safeguarding national security. In particular, national security remains the sole responsibility of each Member State.

 (筆者注10-2) 国会図書館「外国の立法2142002.11)」横山潔「イギリス『調査権限規制法』の成立―情報機関等による通信傍受・通信データの取得等の規制―」参照。 

(筆者注11) 

1.201733日テレサ・メイ首相は、調査権限法第227条にもとづきエイドリアン・フルフォード高等法院判事に任期3年の初代「法執行および調査機関監督コミッショナー(Investigatory Power Commissioner)(以下「コミッショナー」という)に任命した。同判事の任命は直ちに発効する予定である。 

 テレサ・メイ首相は、次のとおり述べた

「フルフォード判事の指名を最初の調査監督官として発表することを嬉しく思う。 彼は、世界的な監督体制の一環として、捜査権限の使用を精査する重要な役割を担う重要な法律問題につき司法と専門知識について豊富な経験を持っている。」 

【エイドリアン・フルフォード判事の略歴 】

エイドリアン・フルフォード判事( Rt Hon Sir Adrian Fulford)は、1978年に弁護士として資格を得て、1994年に勅選弁護人に就任、1995年に刑事裁判所(Crown Court)のレコーダーに任命された。20021121日に高等法院女王座部Queen's Bench Divisionの裁判官に任命された。 2003311日に国際刑事裁判所の18人の裁判官のうち1人として就任、9年間の任期を務め、審理部に任命された。彼は2013510日に高等法院判事に任命された。 

 201511日から、エイドリアン卿はイングランドとウェールズの高等法院の副上級裁判長を務め、201611日に上級裁判長に就任した。 現在はIT担当裁判官であり、また「王立裁判所・審判所サービス(Her Majesty s Courts and Tribunals Service) 」改革についての司法当局の指導者である。 

 なお、コミッショナーの任命を維持する一方で、フルフォード卿は控訴院判事のポストにもとどまる。 

2.英国内務省と初代ICPO(Investigatory Powers Commissioner ‘s Office)コミッショナ―に任命されたフルフォード判事は共同で次のリリースを行った。

201791日から、エイドリアン・フルフォード(Sir Adrian Bruce Fulford) 控訴院裁判官は、捜査権の使用を監督する新しい役割を開始した。

 フォルフォード・コミッショナーは、警察、法執行機関、諜報機関の捜査権限の使用を監督する上で新たな役割を開始した。

これは、2016年に国王の裁可(Royal Assent)により与えられた「調査権限法(Investigatory Powers Act)」に定め強力な監督体制を確立する際の大きな道しるべとなった。その役割は、単一の独立した機関で検査と監督の両機能を確立することによって、以前は「チーフ・サーベイランス・通信傍受および情報サービス監視委員(Chief Surveillance, Interception of Communications, and Intelligence Services Commissioners) によって行われた法執行や情報機関への監視の役割を置き換えたことになる。

・フォルフォード・コミッショナーは、「調査権限法は、犯罪を調査し、国民を守るために警備諜報機関や法執行機関が責任を持って比例的に使用する権限を確実にするための世界的な監督体制を提供している。

・フォルフォード・コミッショナーは、監督責任を開始する際に、私たちが法律で定めた

本日から、IPCOは、以前のコミッショナー事務局が実施した監督機能を引き継ぎ、1997年警察法の下で許可された特定の警察活動の事前承認の責任を負う。

さらに、法務委員たるコミッショナー (筆者注13)の承認を得るために国務長官が発行する令状を必要とする司法の「ダブルロック」を含むコミッショナーのさらなる権限が、正式に導入される予定である。 

詳細な情報は、 「法執行および情報機関監督コミッショナー事務局(Investigatory Powers Commissioner’s office)のウェブサイトで入手できる。  

3.英国メディアDaily Mail Onlineは、2014.3.8の記事で「高等法院の裁判官であり女王の法律顧問フォルフォード判事が、かつて犯罪者を刑務所から守るための「児童性愛情報交換センター(Paedophile Information Exchange)」の創設・支援者であった」と報じている。

 筆者としては、事実関係は確認できないし、本ブログとは直接関係ないので簡単に記事内容のみ引用する。(わが国でも、最近、児童ポルノ問題が社会問題化してきていることは事実であるが、この問題は別途取り上げたい)

   •  フォルフォード大統領は昨年、女王の顧問に任命された 

 •  彼は、悪名高い児童性愛情報交換センター(Paedophile Information Exchange)Pedophile 

  Information Exchange の創設メンバーであった。

•  警察は、「産業規模」で子供の虐待グループを注視している。 

•  彼はPIEを擁護するキャンペーンの創設メンバーとして表明している。 

•  当時、「同意」年齢はわずか4歳に引き下げることを要求した。 

英国で最も上級の裁判官の 1人 は子供たちとセックスを合法化しようとする卑劣な小児性愛者グループを積極的に支援するキャンペーンを行っていた。 

2013年、女王の法律顧問として指名されたフォルフォード判事は、警察が子供を「産業規模」で虐待していると推測している悪名高い児童性愛情報交換センター(PIE)の重要な支持者であった。

 ”Mail on Sunday”の調査によると、フォルフォード判事はPIEを擁護するキャンペーンの創設メンバーであり、公然と幼児の同意の年齢がわずか4歳に引き下げる必要があると主張していたことが判明している。  

 なお、1977年に英国で「児童性愛情報交換センター」Paedophile Information Exchange が設立されたが、1984年に解体された。詳しくはブログ「2017.7.25 cathy fox blog on child abuse 英国の児童虐待人権擁護NPOサイト「Judge Adrian Fulford-Can we trust him?Wikipedeia 参照。なお、世界的人権擁護団体である”Human Rights Watch”は、922日付けで「国連:子どもの性的虐待を止めるよう北朝鮮に圧力を:政府は子どものレイプや性的虐待を否定」を報じている。この問題は世界的かつ重大な人権問題となることは間違いない。

 (筆者注12) エアー・ギャップ環境とは、パブリック・インターネットや非セキュア・ローカル・エリア・ネットワークなどのセキュアではないネットワークからセキュアなネットワークが物理的に分離され、エアー・ギャップの反対側にあるコンピューター同士は通信できない環境をいう。IBM Knowledge Centerの解説から一部抜粋

 (筆者注13) 調査権限法案の中身で重要な任務規定がある。「令状の発行時の承認権限の二重化」である。議会サイトの説明に基づき、その内容を以下、仮訳する。 

4.この法案(調査権限法案)の規定では、「司法コミッショナー(Judicial Commissioner)」(「法執行および情報機関監督コミッショナー(Investigatory commissioner)」およびその他の(通常の)「司法コミッショナー」を総称する)は、首相によって任命され、司法コミッショナーは、法案の下で2つの主要な機能を有するであろう。第1に、令状(warrant)は「二重ロック」プロセスの下で発行され、国務長官と司法コミッショナーの両者の承認が必要となることを意味する。第2に、法執行および情報機関監督コミッショナーは、他の司法コミッショナーとともに、捜査権制度の監督に関して広範な任務を負うことになる。 

5.司法コミッショナーの役割は、「司法」とみなすことができる。なぜなら、それを説明するにあたって「司法」という用語を使用するだけでなく、司法コミッショナーの役割は(とりわけ)司法審査手続に適用される原則を参照して、国務長官の決定を支持する点にある。 「司法コミッショナー」として扱われ、司法審査の原則を参照して法執行上の決定を審査することを義務づけられた裁判官または裁判官は、司法機能の排除以外のものを必要とすると主張することは、したがって、憲法上の問題は、法律家がその役割の司法性に合致する形で司法コミッショナーを扱うかどうかである。 

(筆者注14)横山潔「イギリス『調査権限規制法』の成立―情報機関等による通信傍受・通信データの取得等の規制―」 国会図書館「外国の立法2142002.11)参照。 

(筆者注15) JICは内閣府や各情報機関、また関連省庁の幹部で構成される委員会であるが、イギリスの「国家情報機関」(National Intelligence Machinery)と位置づけられている。JICは各省庁からインテリジェンスを集めて分析し、政府としての短期、長期の情報評価報告書を提供することで政治家を補佐する。またJICはイギリスの各情報機関を指示、監督する総元締めとしての役割を持っている。 

 JICは、情報機関の活動(情報収集、分析、評価)を指示、監督するほか、情報活動の計画を立案し、優先順位を決定して情報要求を行う。活動計画は、形式的にはJICで検討されたのちに関連省庁の長からなる「情報機関に関する事務次官委員会」のチェックを経て首相が議長を務める「情報機関に関する内閣委員会」で最終的に承認されるしくみとなっている。また、JICは情報機関の運営計画や予算の検討も行っている。 

 JICは内閣府の「情報・保安・回復担当内閣府事務次官」の元に管理されている。この情報・保安・回復担当内閣府事務次官はJICの議長も兼ねており、JICの意見は内閣に直接届く仕組みになっている。 

 JICのメンバーは外務・英連邦省、国防省、内務省、通産省、大蔵省、国際開発省、内閣府の幹部、各情報機関の長、評価スタッフ(Assessment Staf,事務局長(National Security Secretariat.)で構成され、場合によっては他の省庁からも召集される。 

JICには評価スタッフという20名から40名ほどの専属スタッフが存在する。評価スタッフは各機関から派遣された精鋭の分析官からなり、各機関から情報を集めて分析して情報評価報告書の下書きを作る。そのため、評価スタッフには法的に各情報機関から情報にアクセスする権限が与えられている。下書きは専門家からなる「現況情報グループ」とJIC上層部のチェックを経た後で情報評価報告書として政治家に提供される。(Wikipedia から一部抜粋

(筆者注16) 国防情報参謀部(Defence Intelligence Staffは、国防省(MOD)および省と軍隊に対する戦略防衛情報の主要提供者として不可欠な部門であり、約4千人からなる大組織である。それは、①政策決定や軍隊のコ取組みと雇用を導く、②各種防衛情報にかかる研究および情報機器にかかるプログラム、③軍事作戦等の支援にかかる情報を提供する等、タイムリーな情報収集製品、評価や助言を行う。 

 「国防情報局長(Chief of Defence Intelligence CDI)を筆頭に、Defence Intelligence Staffは次の責任を負っている。

  ① 諜報目的の機器(Intelligence products) (筆者注22)の提供、政策の展開、研究の決定やアドバイスを提供する。

  ② 英国の中央情報システム、その他の政府機関および関係機関に寄与する。

 ③ 他の政府部門、同盟国、EUおよびNATOを支援する 

(筆者注17) CDI等につき補足する。

3-star中将クラスが務める「国防情報局長(Chief of Defence Intelligence CDI)」9/17(109)は、各軍隊全体の防衛情報と統合司令部の全体的な調整を担当する。CDIは国防参謀総長(Chief of the Defence Staff)と国防省事務次官(Permanent Secretary of the MOD)に報告し、民間人1名と軍人1人の計2人の代理人によってその任務が支援される。

また、副局長(Deputy Chief of Defence Intelligence DCDI)2-star事務次官クラスが務め、国防情報の分析と報告作成に責任を負い、また2-starクラスの軍人からなる諜報能力を有する国防情報補佐官(Assistant Chief of the Defence Staff (Intelligence Capabilities)ACDS(IC))は、情報の収集と解析および情報訓練につき責任を負う。 

(筆者18) 20073月、首相は国内外のテロの脅威に対する安全保障の責任を、すべて内相に委ねることとし、これを支援するために内務省内に安全保障及び対テロリズム局(Office for Security and Counter-Terrorism、以下「OSCT」という。)を設置した。OSCTCONTESTの管轄、情報部に対する監督等の業務を担い、内相に対して説明責任を負う。つまりCONTESTについては、内相が責任大臣であり、OSCT局長が上級管理責任者となる。

国立国会図書館調査及び立法考査局(外国の立法2412009.9)岡久 慶英国の対国際テロリズム戦略:CONTESTから一部抜粋。

 **************************************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その3)

2017-10-11 09:44:42 | 個人情報保護法制

(E) 一般的な処理 (General Processing)

 法案第2部第2章は、GDPR内で利用可能ないくつかの適用除外(derogations)を実行している。2017年4月12日、政府は「EUの一般データ保護規則の適用除外に関する意見募集(Call for views on the General Data Protection Regulation derogations)」を公表し、2017年8月7日には、受け取った各意見への回答を政府の声明と共に発表した。 

① 定義 

 21 GDPRに使用されている主要用語は1998年法とほぼ一致しているが、法案はさらなる一貫性を達成することが可能な場合には例外規定を利用している。GDPR第4条(7)は、個人データの処理の目的と手段を決定する法人または自然人としての「管理者」が何を意味するのかを定義する。これは1998年法と内容が類似しているが、1998年法の第1条(4)は、制定法のもとで処理が要求される場合に、誰が管理者であるかを明確にすることによってさらに進んでいる。この法案は、1998年法第1条(4)の明瞭さが保持されることを保証する。 

 22 「公的機関」という用語はGDPRに定義されていない。このため法案の明確さと法的確実性のため、この法案は「2000年情報自由法(Freedom of Information Act 2000)」「2002年スコットランド情報自由法」の定義を採用している。 

② 処理の合法性  

 この法案は、”GDPR”が提供する強化された権利を前提として、既存のデータ処理を原則継続できるようにするために起草されたものである。  

 24 両親や後見人という個人情報の処理に同意する者は、情報社会サービスを利用する子供のために個人情報処理に同意しなければならないと”DGPR”が規定している理由を、ある程度理解する必要がある。GDPRにより、英国は、13歳から16歳までの任意の年齢の子供にこのようなデータ処理に同意できる最小年齢の閾値を設定することができる。1998年法はこの問題につき言及していないが、ICO委員会のガイダンス は、「12歳未満の子供から個人情報を収集する前に、ある種の親の同意が必要となる」と提案している。この法案では、起草されたとおり、13歳以上の子供が情報社会サービスの提供者によって処理される個人データに同意することを認めている。  

 明示的な主体の同意が得られない限り、個人情報のうち特別なカテゴリー(前記の人種、政治的意見、健康などに関するデータ)の処理は、一般的に禁止されている。しかし、”GDPR”は、特定の状況において処理を同意せずに行うことを可能にし、場合によっては国内法がこの処理を条件として保護を規定することを可能にする。  個人データの最も慎重な個人情報を確実に保護するための適切な保護手段を使用して、情報の特別なカテゴリおよび刑事告発および犯罪データの処理を行う必要がある。この種のデータとしては、金融サービスにおけるリスクのプライシングやスポーツにおけるアンチドーピングプログラムの運用など、正当に使用される多くの状況がある。  

 この法案は、この種の情報の処理を可能にする1998年法における現行規定を複製している。この法案は、組織が個人の権利間のバランスを達成しながら情報を合法的に処理し続けることを確実にするために、「実質的な公益」目的のための継続的な処理を可能にするために、この法案は、附則2および附則3の第5項において1998年法ならびに「データ保護(機密データの処理)命令2000(SI 2000/417)」の効果を大部分を維持することを目指している。  

 個人の明示的な同意なしにこれらの特に機密データの処理を正当化する将来の状況がどのようになるかを予測することは不可能である。例えば、2009年に当時の内務省長官は、1989年4月15日に発生した災害を調査するためヒルズボロー独立委員会(Hillsborough Independent Panel) (筆者注6) (筆者注7)を設立した。ヒルズボローの開示措置の範囲内で公的機関が保有する情報には機密データが含まれていたため、個人または団体がそのようなデータを開示することが適切な場合に可能であることを疑う余地がないことを確実にするために、「2012年データ保護(機密データの処理)命令(SI 2012/1978)」を発布した。今回の法案は、この種の予見できない状況を管理するために必要な権限を国務大臣に与える。  

 27 ”GDPR”は、個人が、自動化された処理のみに基づいて行われた決定に異議を唱える権利を与えた。これらの決定には、法的またはその他の重大な影響がある。これには、人間の介入がない場合の処理、例えば、個人の金融資産についてデータを収集した後、当該個人の信用力を計算する処理などが含まれる。GDPRは、消費者を不正確な処理から保護し、国内法で提供するための追加のセーフガードを可能にする。本法案は、1998年法の第12(2)項に規定されている追加的な保障措置を適用し続けるべきであり、本法案は適切な規定をコピーし,取り込んでいる。 

③個人の権利 

  個人が個人情報に関連する通常の権利を例外とすることが適切である限られた状況がいくつかありうる。健康、社会保障、教育という文脈では、人に開示されていないという条件でのみ提供される情報が記録されることもある。すべての情報が開示されていれば、情報は提供されず、これにより懸念が払拭される、。1998年法および同法の権限に基づく様々な命令は、個人の権利に対する免除を規定している。例えば、 「データ保護(Subject Access Modification)(Health )Order 2000(SI 2000/413)」は、個人の身体的または精神的健康または状態に関する情報からなる個人データに適用される。これは、裁判所の手続きをカバーし、子供の世話に関係する手続において裁判所に提出された特定の報告書の機密性を本質的に保持するものである。今回の法案は、この種の免除が引き続き適用されることを保証している。  

 29 1998年法には、無能力(incompetence)、過誤(malpractice)、不正(dishonesty )または著しい不適切(improper)な行為から人々を守る機能を果たす監視機関や慈善団体、ビジネスにおける公正な競争健康安全のための監視機関などが、規制機関が保有する個人情報に関する個人の権利を奪うための例外も含まれる。適切な例外規定がなければ、汚職公務員につき、彼または彼女の汚職がどのように露呈しているかを知ることができないかもしれない。同様に、政府は、司法が彼らの仕事を行うための「安全な空間」を確保するために、裁判官が判断に至るまでそのような記録を自由に作成することができるよう、例外が存在し続けなければならないと考えている(注釈や記録された議論など)は、議事の当事者によって調査されたり、挑戦されたりすることがある。この法案は、この種の例外が利用可能であることを保証している。 

 30 場合によっては、現在進行中の調査が行われている場合に個人の権利を制限する公共政策という理由もある。法執行機関による調査は”GDPR”の対象外であり、法案は別途規定(下記参照)を置くが、個別の権利を適用する要件の例外から他の調査が利益を受ける場合もある。例えば、1998年法第29条(1)は、歳入関税庁(HMRC)に特定の犯罪や課税の目的を損なう可能性があり、特定の個人データを提供する場合に、主体のアクセス要求を提出する個々の顧客から、特定の個人データをケースバイケースで差し控えることを認めている。また、HMRCは、継続的な税務調査について顧客に謝罪を求める場合に、第三者から個人情報を取得する際に、個々の顧客に特定のプライバシー通知を送信する義務がないことを定める。本法案は同等の条項を定めている。 

 31 1998年法では、研究、歴史的または統計的目的でのみ処理される個人データは、情報主体のアクセス要求から適用除外されている。本法案は、”GDPR”の第89条(2)および(3)のすべての適用除外を行使して、研究機関および保管サービスはデータ主体のアクセス要求が著しく害するもの又はその目的を阻害するときは対応は不要とする。さらに、法案には、研究機関が是正措置の権利を遵守する必要がなくなり、さらなる処理と処理の妨げとなることがなくなり、作業を完了する能力を著しく阻害するような適用除外を行使するための規定が含まれており、適切な組織の安全対策データを安全に保つために配置されている。 事実、これらの適用除外(例外規定)は現状を維持するものである。 

 将来的にどのような問題が保護に値する一般公衆の重要な目的と考えられるかを予測することは困難であるため、これらの目的を保護するためにどのような権利と義務を制限する必要があるかを予測することも困難である。したがって、本法案は国務大臣に今後さらに例外を定める権限を与える。 

④その他の一般的な処理 

 ”GDPR”の第2条(2)は、EU法の対象外にあるにある活動の過程で個人データの処理につき適用しないと規定している。EU法の範囲内であるか外れているかの評価を情報管理者が行わないようにするため、法案は”GDPR”基準をデータ処理に拡張する条項を含む。情報管理者と処理者が単一の標準を適用できる単純なフレームワークを作成することができる。  

 34 本法案は、”GDPR”の関連条項を、附則6(適用されているGDPRスキーム)に定められているEU法の範囲外の一般データに適用することによって、これを達成する。  法案は、”GDPR”の条項を適用する際に、EU法が適用されない文脈に関連するように、いくつかの変更を同時に行った。関連する権利と同様にデータ処理に関する制限と保護手段を適用することが適切であるが、EU加盟国とEU機関への言及は関連性がなく、削除されている。 

 35 英国がEUを離脱するとき、EU法の範囲外と英国内の一般的なデータとは区別されなくなる。政府の意図は、”GDPR”の基準が法案第2編の英国内のデータ処理に引き続き適用されることである。”DGPR”が英国の国内法に導入された場合、欧州連合(撤回)法案の権限を使用して、政府は GDPRのデータ処理基準を適用する国内の法的根拠を単一のものにすることができる。  

 36 ”GDPR”は国家安全保障データ処理には適用されず、法案はEU法の範囲外のデータ処理に対する国家安全保障への適用除外を提供する。  

(F) 国家安全保障や法執行処理時の保護法の適用除外 

 37 国家安全保障はEU法の範囲外である。その結果、国家安全保障活動に関連する個人データの処理および国家安全保障問題に対処する機関または機関による処理は、GDPRまたは法執行指令の対象外である。

 法執行のための個人データの国内処理は、現在、1998年法によって規制されている。欧州経済領域(EEA)の加盟国間における法執行のための個人データの送信は、「2014年刑事司法およびデータ保護(第36号プロトコル)規則(Criminal Justice and Data Protection (Protocol No. 36) Regulations 2014)(SI 2014/3141)(「2014年規則」という)」の第4編の規定に従うものであり、、刑事事件における警察と司法協力の枠組みの中で処理される個人データの保護については、2008年11月27日に英国の「法改革委員会の枠組み決定(2008/977 / JHA 1)」に移行した。2014年規制の第4編は、刑事犯罪の防止、捜査、犯罪刑の執行または刑事罰の執行について、他のEEA諸国の管轄当局に利用可能な個人情報を送信または提供する際に、EEA諸国の管轄当局に適用される法的枠組みを確立した。そのような場合には、その部分によって規定されている場合を除き、1998年法の代わりに2014年規則の第4編が適用される。  

 38 ”GDPR”は、刑事犯罪の予防、捜査、取り調べ、起訴、または刑事罰の執行の目的で、管轄当局(広範には警察およびその他の刑事司法機関を含む)による個人情報の処理には適用されない。(GDPR第2条(2)(d)を参照)。代わりに、”GDPR”と並行して、欧州議会と欧州連合理事会は、「予防、捜査のために管轄当局による個人情報の処理に関して自然人の保護、刑事罰の執行または刑事罰の執行、そのようなデータの自由な移動、およびCouncil Framework Decision 2008/977 / JHAの廃止に関する法執行指令(Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA)」(EU:2016/680 )を採択した。 

 39 ”GDPR”とは異なり、この法執行指令(LED)はEU法に直接適用されるものではない。したがって、法案第3編(”GDPR”、”LED”および情報サービス制度に適用される第5編から第7編までの規定とともに)は、”LED”の規定を英国の法律に転用する。  

 40 LEDの適用範囲は、その第1条(筆者注8)に規定されており、法執行の目的で管轄当局による個人情報の処理に関係している。この管轄機関とは、公安に対する脅威の防止と防止を含む刑事罰の執行、捜査、起訴、取り調べ、刑事罰の執行を管轄する公的機関を指す。さらに、所管機関は、EU加盟国の法律によって、刑事犯罪の予防、捜査、刑事罰の執行または保護の目的で公的権限と公的権限を行使することを委任された他のいかなる団体または団体公安に対する脅威の防止と阻止を目的としている。この定義には、英国のすべての警察官、検察官、その他の刑事司法機関だけでなく、HMRC、安全衛生庁(Health and Safety Executive :HSE) (筆者注9)、ICOなどの法執行機能を持つ組織も含まれる。 

 41 法令執行上の目的で個人情報の越境処理(パラグラフ57参照)に関してのみLEDが適用されるが、第3条は、そのような目的のための個人情報の国内処理にも適用されると定める。これにより、法執行部門全体の法執行目的で個人データを処理するための単一の国内および国境を越えた体制が確保される。 ”GDPR”の規定は、法案の第2編第2章に記載されている細分化と併せて、社内の人事管理/人事目的など、法執行上の目的以外の目的で法執行機関による個人データの処理にも適用される。 

 42 EU 加盟国は、2018年5月6日までに”LED”に影響を及ぼす国内法の制定、適用することが義務づけられている。  

*****************************************************************************

 (筆者注6) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告に関する下記の解説例を参照されたい。

 「ヒルズボロの悲劇(Hillsborough disaster)とは、1989415日にイングランド・シェフィールドのヒルズボロ・スタジアムで行われた、サッカー・FAカップ準決勝のリヴァプール対ノッティンガム・フォレスト戦において発生した群集事故である。

 「テラス」と呼ばれるゴール裏の立見席に収容能力を上回る大勢のサポーターが押し寄せ死者96人、重軽傷者766人を出す惨事となったことからイギリスのスポーツ史上最悪の事故と評されている。事故原因について当初はフーリガニズムとの関連性が指摘されたが、同年8月と19901月に公表されたテイラー・レポートは警備側の観客誘導の不備にあったと結論付けた。同レポートを基にスタジアム観戦のための新たな施策が導入され、イングランドサッカー界を取り巻く環境を一変させたが、その一方で責任を負う立場にある個人や団体に対する追及が積極的に行われることはなかった。

 事故から20周年を迎えるにあたり全記録文書の開示を求める機運が高まると同書の調査を目的とした「ヒルズボロ独立調査委員会」が設立され、2012912日に公表された報告書により観客誘導の不備のほか、緊急サービスの遅延や不十分な医療措置、警察関係者により捜査資料の改ざんや意図的な情報誘導が行われたことが明らかとなった。同年1219日、高等法院は死因審問の評決を破棄し審理のやり直しを命じると、2016426日に警備責任者の過失を認め、犠牲者は不当に亡くなったとする評決を下した。(Wikipediaから抜粋、引用

(筆者注7) ヒルズボロー独立委員会(Hillsborough Independent Panel)報告が提起した問題は、公文書管理にかかる内閣など行政の透明性、説明責任等に関し、各国共通の課題を投げかけた。

実際、わが国でも平成24730日から241010日の間に内閣官房を中心とする「閣議議事録等作成・公開制度検討チーム」と「同チーム・作業チーム」による検討が行われた。その最後の会合で以下のとりまとめ文が出されているが、その後の検討はどうなったのか。また、最終回で提出された資料のうち資料2「閣議の議事録等の作成・一定期間経過後公開ルール」に関する海外現地調査について」でヒルズボロー独立委員会の実地調査結果を詳しく紹介している。 

*閣議議事録等作成・公開制度検討チーム 作業チーム 「閣議等議事録の作成・公開制度の方向性について(修正案)」

閣議の議事録等については、閣僚同士の議論は自由に忌憚なく行われる必要があること、また、内閣の連帯責任の帰結として、対外的な一体性、統一性の確保が要請されていることから、これを作成し公開することは適当でないとされてきた。

昨年4月に施行された公文書等の管理に関する法律(平成21年法律第66号。以下「公文書理法」という。)は、閣議等の政府の重要な会議について一律に議事録等の作成を義務付けるものではない。しかし、原子力災害対策本部を始め東日本大震災に対応するために設

置された会議において議事録等が作成されていなかった問題を契機として、政府の重要な意思決定にかかわる会議については、「行政が適正かつ効率的に運営されるようにする」とともに、「現在及び将来の国民に説明する責務が全うされるようにする」という同法第1条に掲げられた公文書管理制度の目的に照らし、議事録等を作成し、保存していくことが望ましいのではないかと考えられるようになってきている。

なかでも閣議は、内閣の最高かつ最終的な意思決定の場であるため議事録等を作成することが望ましいと考えられるが、その一方で、議事録等が比較的短期間のうちに公開されれば、憲法上の連帯責任を負う内閣の一体性、統一性を確保しつつ自由な意見交換を行うことができなくなるという問題がある。

この点について、我が国と同様に議院内閣制を採用するイギリスやドイツにおいては、記録の作成・保存と公開は分けて考え、閣議の議事録等を作成・保存した上で、一定期間は原則非公開とすることにより、このような問題を回避している。

このため、当作業チームとしては、このような制度を参考にしつつ、以下の方向性により、閣議の議事録を作成し一定期間後に公開する仕組みを制度化することとし、公文書管理法を改正して所要の規定を置くことを提案する。 

(筆者注8) LEDの第1(Subject-matter and objectives)の原文を引用しておく。

1. This Directive lays down the rules relating to the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security.

2. In accordance with this Directive, Member States shall:

(a) protect the fundamental rights and freedoms of natural persons and in particular their right to the protection of personal data; and

(b) ensure that the exchange of personal data by competent authorities within the Union, where such exchange is required by Union or Member State law, is neither restricted nor prohibited for reasons connected with the protection of natural persons with regard to the processing of personal data.

3. This Directive shall not preclude Member States from providing higher safeguards than those established in this Directive for the protection of the rights and freedoms of the data subject with regard to the processing of personal data by competent authorities.

 (筆者注9) HSEは新しい安全衛生法や基準を作り、国際的な舞台、特に欧州連合の中で活動しています。 特に次のような仕事に従事しています。

•作業場の監督

•事故や職業病事例の調査

•正しい基準の執行。

そのために普段は法律の順守を人々に助言しますが、改善を命令したり、 必要な場合には訴追などの手段も取ります。

•指針や勧告の公表(publish)

•情報サービスの提供

•研究の実施

•核施設の認可や沖合い施設の安全の認可など、各種の活動

(国際安全衛生センター資料から一部抜粋

**************************************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その2)

2017-10-11 08:12:38 | 個人情報保護法制

 5この法案は、2017年6月21日の英国女王の演説(Qeen’s Speech)で発表された。それは、2017年保守党宣言(2017 Conservative Manifesto)で作成された1998年法を更新する約束を実行に移すものである。法案は、ますますデジタル化された経済と社会のニーズを満たすために、英国の情報保護法を近代化している。2017年8月24日、政府は「今後の英国の個人データの交換と保護(The exchange and protection of personal data – a future partnership paper)」を発表した。これは将来の取引関係において英国にとってデータの自由な流れがなぜ不可欠であるかを説明する将来の政策方針書である。  

 6 現在、英国はEU加盟国のままであり、EU加盟国の権利と義務はすべて引き続き有効である。英国がEUを離脱するとき、”GDPR”は議会の前に現在の欧州連合(離脱)法案の下で英国の国内法に組み込まれことになろう。 

7 個人情報は、ますますインターネットや国際的な環境のもとで保存、処理、交換されている。したがって、情報保護基準が国際レベルで一貫していることが必要である。欧州評議会(Council of Europe)は、1981年5月14日に英国が署名した「個人情報の自動処理に関する条約(Council of Europe Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data )(「条約第108号」)」を締結した。同条約には、欧州評議会の加盟国以外の国々へも開かれており、2017年11月1日、チュニジアは同条約の第51番目の参加国になる。欧州評議会は、「個人情報の処理に関する個人の保護に関する近代化条約(modernised Convention for the Protection of Individuals with Regard to the Processing of Personal Data)(「近代化条約第108号」)」を準備中である。  

8 したがって、英国の情報保護法は、国際的なデータ保護の取り決めと連動する必要がある。1998年法は、「EUデータ保護指令(指令95/46 / EC)」を適用した。2018年5月25日に”GDPR”が完全適用される場合、同指令は置き換えられることになる。  

 9 法案は全7編で構成されている。第1編には予備事項が含まれている。第2編には、法執行と情報サービスによる処理を除いて、”GDPR”基準をEUの能力外の分野(「適用されたGDPR」制度)にまで拡大する規定が含まれている。法案および”GDPR”は、明確かつ一貫したデータ保護体制を構築するために、英国における大部分の情報処理に実質的に同じ基準を適用している。また、”GDPR”の例外を規定するいくつかの例外規定(derogations)を明らかにする。第3編には法執行での情報処理の規定が含まれ、第4編には同様に英国の情報機関(intelligence services)による情報処理のための機能を定める。残りの部分は、第6編は英国情報保護コミッショナー(以下、「コミッショナー」という)制度の継続、第5編は法執行、その他の編は犯罪取り締り、罰則、および補足規定を定める。 

(2) EU一般データ保護規制 (GDPR)と法案の比較

 10 この法案に見られるような政府の立法意図を完全に理解するためには、”GDPR”の制定の背景をより広く理解する必要がある。  

(A) 情報保護の新たな定義と範囲 (Definitions and scope) 11 ”GDPR”は、情報保護法の範囲を定める定義のいくつかを変更する。1998年法と同様に、”GDPR”は「個人情報(personal data)」に適用される。”GDPR”の定義はより詳細であり、コンピュータのIPアドレスなどのオンライン識別子などの情報も個人情報になる可能性があることが明らかにしている。より広範な定義は、個人情報を構成するための幅広い個人識別情報を明示的に提供し、技術の変化や組織が人々に関する情報を収集する方法を反映している。また、仮名・匿名化された( pseudonymised)個人情報(例えば、キーコード化データ)は、仮名を特定の個人に帰属させることがどれほど困難であるかに応じて、”GDPR”の範囲内に収まる可能性がある。 

  1998年法は、人種、政治的意見、労働組合の会員の地位、健康、性生活および犯罪記録に関する個人情報を含む「機密データ」に関する追加のセーフガードを提供している。”GDPR”は、機密性の高い個人データを「個人情報の特別なカテゴリー」と言い及ぶ。これにより、遺伝学的データと個体を一意に識別するために処理されるバイオメトリックデータを具体的に含めるための追加的な保護手段が拡張される。刑事犯罪に関する個人情報などは含まれていないが、公的機関の管理外のこの情報の処理は、保護措置を規定する国内法によって許可されなければならない。  

(B) データ保護の原則 (Data Protection Principles) 

 13 1998年法は8つのデータ保護原則を定めており、これは主に以下の比較表に示したように”GDPR”にも引き継がれている。また”GDPR”は1998年法にない「説明責任原則」を新たに定めた。いずれにしても、わが国でも両者の比較は今後の法規制を検討するうえで参考となろう。

 なお、GDPRの諸原則欄の文言はGDPRの原文のままではない。英国議会立法事務局が比較する観点から改めてまとめたものである。

 

 

 

 

 (C) 処理の合法性(Lawfulness of processing) 

  1. GDPRの下で個人情報を処理するための合法的な基礎を得るための主な手段は、データが関係する個人の「同意」を得ることである。”GDPR”の下での「同意」は、個人の希望を自由に与え、具体的で、情報に基づいて明確に示したものでなければならない。明確に肯定的な行動が必要である。この「同意」は、無言(silence)、「あらかじめ選択されたボックス」または「非活性化から推論すること」は該当しない。この「同意」はまた他の利用規約とは別に行わねばならず、さらに「同意」を取り消すための簡単な方法も提供することが要件となる。 

 15 「同意」を与えうる人は、なぜ”GDPR”が親または保護者が情報社会サービスを使用して、若い子供たちに代わって個人データ処理に同意を与える必要があることの理由を尋ねられているかを理解できる一定のレベルを持つ必要がある。この「情報社会サービス」には、一般に商用サイトが含まれるが、この用語は、通常、遠隔地で、電子的手段により、かつサービスの受手の個々の要求で報酬のために提供されるサービスとして定義される (EU 指令 2015/1535 第1条(1)(b)参照)。 

 16 個人情報の処理を可能にする唯一の方法は、「同意」だけではない。また、契約上またはその他の法的義務がある時は、明示的な「同意」なしにデータを処理することができる。 個人情報は、公共の利益のために実行された任務の実行または管理者に与えられた公的権限の行使のために、必要な場合には同意なしに処理することができる。  

 17 1998年法と同様に、もはや公的機関に依存することはできないが、個人情報は「正当な利益」があるところでは処理しうる可能性がある。「正当な利益」としては、直接的なマーケティング目的のための処理や不正行為の防止の場合がある。ネットワークと情報のセキュリティを確保し、公的機関への公安に対する犯罪行為や脅威の報告を目的としたクライアントや従業員のデータ処理を含む、内部管理目的のための一連の事業体内での個人データの送信などである。 

 18 情報主体の明示的同意が得られない場合、個人情報および犯罪データの特別なカテゴリーに対してデータが合法的に処理される場合には、さらに限定的な制限がある。  

(D) 個人の諸権利 

 19 1998年法における個人のデータに対する権利は”GDPR”に引き継がれたが、場合によってはこれらがさらに強化され、以下の表に記載されているように追加された。GDPR第3章が当該規定を置く。なお、下記表の”GDPR”の各条文は筆者が補足した。

**************************************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント

英国政府のEUのGDPR等の国内法化に向けた新情報保護法案の公表およびICOの契約ガイダンス(案)の意見公募等保護法制強化の動向(その1)

2017-10-10 15:36:52 | 消費者保護法制・法執行

 筆者は、2016年8月13日のブログで、「EU議会が『一般データ保護規則(正式には「EU General Data Protection Regulation (EU)2016/679」』(以下、”GDPR”という)」および「法執行・司法部門の情報保護指令(Directive(EU)2016/680」(以下「法執行指令(Law Enforcement Directive:(以下、”LED”という)」を採択した旨ならびにその内容について関係するローファームの解説サイト等を引用し、詳しく論じた。 (筆者注1) 

 一方、2017年9月14日、英国政府は「新しいデータ保護法案(Data Protection Bill)(以下、「法案」(Bill)という)」を議会に提出した。この法案は、英国の既存の「データ保護法(Data Protection Act 1998)(以下、「1998年法」という)」に代わるものであり、英国の欧州連合(EU)離脱(Brexit)に併せ、英国の国内法律にEUの”GDPR”を適用させることになる。”GDPR”により、EU加盟国は、法案が実施しようとしている”GDPR”の様々な条項を加盟国の法律により制定することができる。 

 この法案は、英国法に”GDPR”を具体的に取り込むことに加えて、同時に欧州議会で採択された「犯罪の予防(prevention)、捜査(investigation)、取り調べ(detection)および訴追(prosecution)の目的での政府当局による個人情報の処理に関するEUの「法執行指令(Law Enforcement Directive)」 (筆者注2)を取り込んだ規定を含む。 

 また、英国の情報保護機関である情報保護コミッショナー事務局(以下、「ICO」という)は、9月13日に「”GDPR”に基づいて情報管理者と処理者の間の契約に関するGDPR契約および責任に関するガイダンス草案(全28頁)」を公表した(以下、「ガイダンス」という)。ICOは10月10日まで同ガイダンスの意見公募を行っている。 

 今回のブログは、(1)英国政府の法案担当省であるデジタル・文化・メディア&スポーツ省の法案概要の解説内容、(2)議会上院(HL)の公式注釈の内容(EU離脱宣言の一方でEUの”GDPR”や法執行指令との整合性をかなり意識した内容である)を仮訳し、また(3)EU指令EU2016 / 680(法執行指令)に関する英国ICOの解説を述べ、最後に(4)ICOの”GDPR”に基づいて情報管理者と処理者の間の契約に関するGDPR契約および法的責任(liabilities)に関するガイダンス草案の概要を整理するものである。 

 なお、筆者が前記ブログでもとりあげた欧州委員会が実施した立法にあたっての「法案影響度評価(Impact Assessments)」は、英国ほかEUで法案策定にあたり当然行われるものであり、今回も厳格に行われているため、極力その内容についても具体的解説を試みた。また、後述の総務省報告書で言及されている通り、わが国でも平成27年度から政策評価審議会が発足し、その下部組織として、有識者による規制評価ワーキング・グループ(以下「規制評価WG」という。)が設置されたことから、規制評価WGと綿密に連携の上、調査を実施している。その検討結果は広く国民、企業活動等に大きな影響を持つ問題でありながら、その内容が広く国民、企業等には浸透していないことも事実である。今回はあえて詳しく言及しないが、機会を改めて論じたい。 

 今回は5回に分けて掲載する。

1.Data Protection Bill法案の概要

 政府の法案の正式な注釈解説「 Data Protection Bill [HL] EXPLANATORY NOTESExplanatory notes to the Bill, prepared by the Department for Digital, Culture, Media and Sport and the Home Office, are published separately as HL Bill 66EN. は全218頁にわたる大部なものである。 

 このため、政府「デジタル・文化・メディア&スポーツ省」のサイトでは法案概要の説明用に「Data Protection Bill:Overview Factsheetおよび「法案影響度調査(Impact Assessments)結果」を用意している。今回のブログでは、その仮訳を行うが、はっきり言って法案解説としては概案すぎて法案解説としてはあまり有益なものは思えないというのが本音である。 

(1) 情報保護法(Data Protection Bill)の改正案の概要(Factsheet – Overview) 

()政府は法案により何を行おうとしているのか?

① 現代はますます多くの個人データが処理されており、英国のデータ保護に関する法律をこのデジタル時代に適合させる。

② 個人が自身の個人データを主体的に管理できるようにする。

③ 法改正を通じて国際化を通じ、英国の企業や団体を支援する。

④ EU離脱後の英国が将来のために準備していることを確認する。 

(政府は法改正により何をどうしたいのか?

① 1998年情報保護法を、英国における情報保護のための包括的で現代的な枠組みを提供する新しい法律で置き換え、違法行為に対する制裁を強化する。

② ”GDPR”に基づいて一般データを保護するための新しい基準を設定し、情報の使用をより詳細に管理し、個人データの移動または削除に関する新しい主体の権利を提供する。 

③ 英国の企業や組織が世界をリードする研究、金融サービス、ジャーナリズムや法律サービス分野を継続的にサポートできるように、情報保護法でうまく機能している既存の適合した例外は保持し、新しい法律に引き継ぐ。 

④ 英国が直面している世界的な脅威の変化する性質に対応できるようにしつつ、犠牲者、証人、容疑者の権利を守るため、刑事司法機関や諜報機関を含む国家安全保障機関のニーズに合わせた個別の枠組みを提供する。 

(ⅲ) 法改正の背景

 データ保護法案2017621日の女王の演説(Qeens Speech:イギリスをはじめとする王国(君主国)において、国王が議会の開会式で全議員を集め、今後の政府の方針を演説する儀式である。この場合、朗読するのは国王であるが、その原稿は時の政府がその方針のもとに作成したもので、国王は代読する形になる。 国王演説後には、議会は国王が演説した政府の施政方針の内容について審議し、採決する)で発表された。 

 情報保護法の改正に関する政府の約束を実行するものである。

 1998年法はわれわれを満足させ、英国を世界的なデータ保護基準の前に置いた。この法案は、ますますデジタル化された経済と社会の目的に適合させるため、英国の情報保護法を近代化している。この法案の一環として、”Brexit”のために英国を準備するEUGDPR基準を適用する予定である。 強力なデータ保護法と適切な保護措置を導入することで、企業は国際的な国境を越えて事業を展開することができる。これは最終的に世界貿易を支え、意欲的な貿易相手国としての独自の道を築くためには、妨げられないデータ・フローを持つことは英国にとって不可欠である。我々は、現代的で革新的な個人情報の使用を継続しながら、個人情報に対する管理と保護を強化することを保証する。 

 法案の主な要素一般的なデータ処理は次のとおりである。

① 一般的なデータ処理全体にわたってGDPR標準を実装する。

② 英国の現在の状況下にあった”GDPR”の定義を明確にする。

③ 機微性の高い健康、社会福祉、教育のデータを継続的に処理して、健康の継続的な機密性を確保し、安全な保護の状況を維持できるようにする。

③ 国家安全保障上の目的を含む、強力な公共政策立案が行う場合には現在進行中の特定の処理を可能にするため個人情報のアクセスおよび削除の権利に適切な制限を設ける。

④ オンラインで個人情報を処理するために、親権者の同意が不要な年齢を13歳に設定する。 

(法執行手続き

① 法執行の目的で、警察、検察、その他の刑事司法機関による個人情報の処理のための特別なオーダーメイドな制度(bespoke regime)を提供する。

② 個人情報を保護するための保護手段を提供する一方で、国際的な個人情報の移動、流れを妨げないようにする。 

(ⅴ) 英国の国家安全保障機関の個人情報の適切な処理

 国家情報機関による個人情報の処理を規制する法律が、現存する最新の国家安全保障上の脅威に諜報機関が引き続き取り組むことができる適切な保障措置を含め、最新の国際基準に沿った最新のものであることを保証する。 

(法規制と法施行

① 情報保護法の規制と施行を継続的に行う情報保護コミッショナー(ICO)の追加権限を立法で規定する。

② ”ICO”に最も重大な個人データ漏えいの場合、データ管理者および処理者に対するより高額の行政罰金を課すことができることとするとともに、最も重大な法違反者に対しては最高17百万ポンド(2,000万ユーロ:約266,000万円)または対象者の全世界での総売上高の4%の罰金額を課すことができる。

③ ”ICO”に、データ管理者または処理者が、情報主体のアクセス要求に続く開示を阻止する目的で記録を改ざんしようとする犯罪に対して刑事訴訟を提起する権限を付与する。 

(2) Assessment(影響度評価)

 201797日、デジタル・文化・メディア&スポーツ省(関係省庁は内務省)法案最終インパクト・アセスメント(Data Protection Bill: Summary assessment)の要旨部分のみを仮訳する。

 なお、英国の法案のインパクト・アセスメントの事前の理解が必須である。これに関し、わが国で参考になるものとしてあげられるものは「英国における規制の政策評価に関する調査研究報告書(平成283月)(総務省委託研究)国土交通省国土技術政策総合研究所「規制インパクト評価 と わが国の規制評価の動き」筆者ブログ「欧州司法裁判所AGGoogleを巡るEUデータ保護指令(95/46/EC)等の解釈をスペイン裁判所に意見書(その3)などである。 

A.法案Data Protection Bill: 影響評価書の要旨(仮訳)

 

 B.英国における影響評価書のフォーマットと記載内容

 前述の「英国における規制の政策評価に関する調査研究報告書(平成283月)(総務省委託研究)」8頁で.確認されたい。

   

 「英国における規制の政策評価に関する調査研究報告書」8「図表4:英国における影響評価書のフォーマットと記載内容」から引用 

(3) Hunton & Williams LLPのブログ「UK Government Introduces Draft Data Protection Bill to Parliament」が法案の重要点をまとめているので、以下、仮訳する。

 A.Billは以下の編のとおり構成され、”GDPR”や法執行指令に即して主要な条項を含んでいる。 

• 法案第2編では、”GDPR”を英国の法律に適合させた。 

• 法案第3編では、英国の法執行機関による個人情報の処理に関連する限り、法執行指令を英国の法律に適合させた。  

• 法案第4編では、英国の諜報機関や関係機関による個人情報の処理に関連する限りにおいて、法執行指令を英国の法律に適合させた。 

• 法案第5編では、本法案に規定された英国の新しいデータ保護制度に基づく英国”ICO”の役割に関する規定が含まれている。特に、この編では、”GDPR”に規定された調査、認可および勧告権限をICOに付与する旨明記した。 

• 法案第6編は、”ICO”による執行措置に関する規定を含む。この編では、”ICO”に、年間2,000万ユーロ(約26億円)または年間売上高の4%、あるいは1,000万ユーロまたは年間売上高の2%を超える法律違反に対する罰金を課す権限を”ICO”に付与した。  

B.【 附則1】では、”GDPR”に規定されているように、科学的または歴史的研究目的や統計的目的など、データ管理者に機密個人情報を処理できる追加の法的根拠を記載した。 

• 【附則2】と【附則3】は、”GDPR”で認められた情報主体に対するプライバシー通知を提供すること、ならびに、”GDPR”で認められた犯罪の取り調べや防止目的で個人情報が処理される際の情報主体の権利を維持するための要件に関して、追加的適用除外を定める。 

C. 国王の裁可により法案が正式に法律になる前に、法案は、英国議会の下院と下院の両方で承認されなければならない。国王の裁可(Royal Assent)の確定日はまだ規定化されてていないが、この法案は”GDPR”の2018年5月25日の効力発生日より前に施行する予定である。 

2.英国議会上院の2017年「情報保護法案(Data Protection Bill)」の公式注釈

 海外のローファームなども第1節で説明した英国政府の法案担当省であるデジタル・文化・メディア&スポーツ省の法案概要の解説のみでは法案解説としてきわめて不十分と考え、あえて英国議会上院事務局がまとめた公式注釈(Explanatory Notes)全文を仮訳する。なお、法案の解説なのでパラグラフ番号もあえて併記した。 

(1) 法案政策の背景 (Policy background)

 3 その情報から特定できる生存する個人に関連するデータからなる「個人情報」を保護するためには、情報保護法規制が必要である。個人情報保護に関する現在の英国の法律は、個人情報の処理を規制する「1998年情報保護法(Data Protection Act(以下、「1998年法」という)」である。1998年法は、情報が対象とする個人の権利を保護している。2017年保護法案は、これらの権利を更新するとともに、その権利行使をより簡単にし、かつ今日の技術のより高度なデータ処理の出現に関連して継続適用できることを確実にする。

  4 2017年情報保護法案(Data Protection Bill: 以下、「法案」(Bill)という)(筆者注5)は、1998年法に代わって英国における情報保護の包括的な法的枠組みを提供し、英国が正式にEUを離脱するまで「一般データ保護規制(EU General Data Protection Regulation2016/679 (以下、「GDPR」という)」で補完される。  

 *****************************************************************************

(筆者注1) 本ブログの原稿を執筆中に104日付けの法解説ブログInside PrivacyUK Government Publishes New Data Protection Bill を読んだ。筆者が調べた範囲外の解説内容もあり、改めて確認したい点もあったが、筆者のブログへのアップのタイミングがさらに遅れるので今回は省略する。 

(筆者注2) 英国議会の「国家情報保安委員会(Intelligence and Security Committee of ParliamentISC)は、1994 年制定のインテリジェンス・サービス法により設立された英国議会の機関で、政府合同情報委員会(JIC)を含む首相府のインテリジェンス関連業務を調査するほか、国防省の国防インテリジェンス部門と内務省の安全保障・カウンターテロリズム部門を監督する。委員会はこれら活動内容を議会に報告することになっているが、機微な国家安全保障案件について首相に直接報告することができる。委員は、2015年から2017年の委員数は9名である。(出所)同委員会HPhttp://isc.independent.gov.uk〉 (衆議院調査局調査員二見 輝 「英国議会におけるシリア軍事介入決議案否決の要因」17を抜粋。

  なお、 2013年司法および安全保障法(Justice and Security Act 2013)は、議会情報安全保障委員会に対し、下院議員と上院議員の両方から召集された9人のメンバーを所属させることを規定している。これら委員は、議会下院によって指名され、野党指導者と協議のうえ、首相の指名を最初に確保される。(筆者が追加仮訳) 

(筆者注3) One-In,Three-Out(OITO) :ある規制を導入する場合に、その企業への費用増分の3倍の費用削減を伴う規制緩和を行う考え方の範囲内又は範囲外かを判断する。範囲内であれば企業活動へ影響を及ぼすことになる。 

(筆者注4) EUの要求条件の最小基準とは具体的に何を指すのかが不明である。GDPBであるとすれば、注釈文で述べたとおり、法案はクリア(Yes)してなければならない。エビデンスを確認の上、改めて担当省に確認したい。 

(筆者注5) 2017年10月4日現在のData Protection Billの議会での審議経緯は以下のとおり。同一覧は議会専門サイトを参照。 

 **************************************************************************************

Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

「スペインの個人情報保護庁(AEPD)のFacebookに総額120万ユーロ(約1億5,600万円)の罰金刑とEU加盟国の新たな規制強化の動向(その2完)」

2017-09-16 17:29:28 | 個人情報保護法制

(2) 各国の手続の結果

 (ⅰ)フランス

 CNIL制裁小委員会(筆者注2)が、”Facebook Incと”Facebook Ireland Limited”に対して、15万ユーロ(1,950万円)の公的制裁金を宣告した。制裁小委員会は、Facebookグループが、それが口座保有者に持っているすべての情報を合算してターゲット広告を表示するための法的根拠を持っていないことを明らかにした。 また、Facebookグループがインターネット・ユーザーのCookieデータを介して違法な追跡に従事していることが判明した。Facebookの「クッキー・バナー」 (筆者注3)および「Facebook内外」で収集された情報への言及は、ソーシャルプラグインを含むサードパーティのウェブサイト上をナビゲートすると、個人的なデータが体系的に収集されたことを明確に理解することはできない内容であった。 (筆者注4)(筆者注5)

(ⅱ) ベルギー

 ベルギーのプライバシー委員会は、ベルギーの個人情報保護委員会が本日、プライバシー委員会の最初の発足後(筆者注6)20159月と20165月のFacebookポリシーの改定に伴い、クッキー、ソーシャル・プラグイン、およびピクセルによるFacebookのユーザーと非ユーザーの追跡について、 ベルギー・プライバシー委員会は、Facebookがクッキー、ソーシャルプラグイン、およびピクセルを通じてFacebookのユーザーと非ユーザーの両方のトラッキングに関するベルギーと米国のデータ保護法違反で引き続き行動することを考慮している。 特に、Facebookがデータ主体と通信する情報の欠如やFacebookがデータ主体に提供する選択肢の不備のために、「同意」、「公平」、「透明性」および「比例性」に関する法的要件は満たされていないとした。 

 また、ベルギー・プライバシー委員会は、Cookie、ソーシャルプラグイン、およびピクセルを使用するFacebookによる個人データの収集がいくつかの状況で過度であると考えている。 プライバシー委員会は、EU(ブリュッセル)第一審裁判所(Court of First Instance of Brussels)での勧告の司法執行を求めており、口頭弁論は、20171012-~13日に行われる予定である。 

(ⅲ) オランダ

 オランダでは、Facebook Groupはオランダの「個人情報保護法(Wet Bescherming Persoonsgegevens (WBP))の英語訳)に違反している。これは、オランダの960万人のFacebookユーザーの個人データの処理に関する調査の結果、オランダの個人情報保護監督委員会(Autoriteit Persoonsgegevens;以下、DPA)が下した結論である。 同社は、オランダのデータ保護法に違反しており、これには、ユーザーに個人情報の使用に関する不十分な情報を提供することが含まれる。 オランダのDPAはまた、Facebook Groupがユーザーからの慎重な同意なしに機密データを使用していることを見出した。 例えば、性的嗜好に関連するデータを用いて、ターゲット広告を送った。 Facebookグループはこの後者の目的でこの種のデータの使用を変更した。 オランダのDPAは現在、他の違反が停止しているかどうかを評価している。もし そうでない場合は、オランダのDPA罰金制裁を決定する可能性がある。 

(ⅳ) ドイツ(ハンブルグ)

 ドイツ(ハンブルク)(ドイツFacebookの本部がある)では、ハンブルグのDPAがFacebook Groupに関する2つの異なる命令を出した。第一の裁判では仮名・ペンネームの使用を中心としていた。 Facebook命令に対してハンブルグ高等行政裁判所(Hamburgischen Oberverwaltungsgerichts) に訴えた。同裁判所は、ハンブルクDPAに管轄権があるかどうかの決定をしないで、仮名・ペンネームの使用を許可するDPA命令を解除した。 (筆者注7) (筆者注8) その代わりに同裁判所は 欧州司法裁判所において、ECCJ事件(C-210/16)の適用法について意見を求めた。第二番目の裁判手続きでは、ハンブルグDPAは、Facebookグルーに、事前の同意なしにWhatsAppユーザーからの個人データの結合を停止するよう命じた。2017425日、第一審のハンブルグ行政裁判所(Verwaltungsgericht Hamburg)は適用法を決定することなく、この命令の有効性を認めた。 (筆者注9) 

(ⅴ) スペイン

 スペインでは、FBのプライバシーポリシーと利用規約に関する予備調査が行われた後、スペインDPA2つの侵害手続きを開始した。 調査の結果を考慮した手続きにもとづき、スペインのデータ保護法の規定違反と判示した。 

***********************************************************

(筆者注3) 「クッキー・バナー」: Cookieを利用した「行動ターゲティング」

インターネットでサイトを巡回しているユーザーの行動履歴をもとに、興味・関心のある広告を配信する。行動履歴は主にCookieから取得する。

⇒特定の事柄に確実に興味・関心を持っているユーザーに対して広告を配信することができる。しかし、特定の事柄で限定するため、広告表示のターゲットとなる絶対的な母数は少なくなる。そのため浅く広くというよりも深く狭い範囲で、特定のユーザーに広告を訴求したい場合に役に立つ。また、ユーザーの行動履歴を基に広告配信を行うため、ユーザーの承認を得る必要がある点に注意する(オプトイン・オプトアウトの設定)。

 より詳しくは、FacebookCookieおよびその他のストレージ技術:広告表示を目的としたFacebookによるCookieの使用を管理する方法」(最終更新日: 2017320参照。 

(筆者注4) CNILの制裁小委員会の構成等についてはフランス情報保護法である「情報処理、情報ファイル及び自由に関する197816日法律第 7817 号:ACT N78-17 OF 6JANUARY 1978 ON INFORMATION TECHNOLOGY,DATA FILES AND CIVIL LIBERTIES)(英語版) 12(14頁以下)に定める。原文を抜粋、引用する。

・・・・The Formation restreinte” (Restricted Committee) of the Commission shall be composed of a Chair, and five other members elected by the Commission among its members. Bureau officers are not eligible to sit on theformation restreinte” 

(筆者注5)

〇 20101110La Revue記事Power of data protection authorities: lessons to be learned from FranceCNILの罰金刑の上限金額の引上げ(現行の15万ユーロ~30万ユーロから30万ユーロ~60万ユーロへの引き上げほか権限強化策を引用している。以下が、記事原文の該当箇所である。 

The French Senate submitted a new "Draft Law to Reinforce the Right to Privacy in the Digital Age" ("proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique") to the French Parliament in March 2010 which contains several amendments to the French data protection laws.

The enactment of the law would, inter alia, increase the CNILs enforcement powers as follows: 

① It is expressively provided that the person responsible of premises be informed of their right to object to the on site investigation. But in case of urgency or material breach or to prevent destruction of evidence, the CNIL may directly require an authorisation by the court.

② Fines imposed by the CNIL for violations of the law would be increased to a maximum of 300,000 and 600,000 (instead of the current 150,000 and 300,000).

③ Hearings of the restricted committee of the CNIL would be public hearings (drawing on the decision of the Conseil dEtat that the CNIL is a tribunal).

④ The CNILs decisions to sanction data controllers would be published even where the data controller has not acted in bad faith.

⑤ The CNIL would have the right to produce written observations or to be heard in any civil, criminal or administrative court hearing upon its own volition or at the request of the parties, whereas to date it can only do so at the request of the court itself (or refer an alleged breach to the public prosecutor).

 〇201671日 Privacy & Information Security Law BlogFrench Parliament Rejects Data Localization Amendmentを仮訳する。

 特に、合同委員会が採択した「デジタル・リパブリック法案(Loi n°2016-1321 pour une République numérique)は、フランスのデータ保護法違反に対する最大の罰金額を大幅に引き上げている。現在、フランスのデータ保護当局(「CNIL」)は、最初の侵害については最大15万ユーロ、繰り返しの侵害については最大30万ユーロの罰金を課す可能性がある。新しい改正案が合同委員会の承認を得て、CNILは、GDPRが適用可能になると、300万ユーロ(39,000万円)の罰金を直ちに課すことができる。この点に関し、共同委員会は、2018525日現在、CNILGDPRで定められた罰金(すなわち、場合によっては(11,000万ユーロ(13億円)を課すことを確認する新しい規定を導入したデータ処理がGDPRの範囲内に収まる範囲で、(22,000万ユーロまたは年間売上高の4%を占める。 GDPRの対象とならないデータ処理活動の場合、CNILは最高300万ユーロの罰金を科す可能性がある。この点で、フランス政府は、2017630日までにGDPRの発効により必要とされるフランスのデータ保護法の改正に関する報告書をフランス議会に提出する。

 〇 この法案等に関し、 2016104日 Privacy Law Blog France Adopts Digital Republic Lawも参考になる。 

(筆者注6) 2015年5月13日 ベルギー・プライバシー委員会勧告「Re:Own-initiative  recommendation  relating  to 1)  Facebook,  2) Internet  and/or  Facebook  users  as well as3) users and providers of Facebook services, particularly plug-ins 1(CO-AR-2015-003)」も参照されたい。 

(筆者注7) 2016821日 筆者ブログわが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベス ト・プラクティスを保証する内容といえるか?」(その2) で、ドイツ・ハンブルグ州の情報保護機関(HmbBfDI)のフェイスブック顔認識ソフトウェアならびに 「仮名・ペンネーム化(pseudonyms)問題」に関する具体的取り組み内容・論点を整理している。 

(筆者注8) 2016428German IT Law「連邦行政裁判所はECJに尋ねる:Facebook Fanpagesのデータ処理の責任者は誰か?裁判」を以下、仮訳する。 

 ドイツ連邦行政裁判所は、欧州司法裁判所(ECJ)へFacebookFanpagesの運営に関連するいくつかの面白いデータ保護問題を提起した(2016225日の決定)。( ECJのケース番号はC-210/16)原告は仕事関連の教育と訓練の提供者であり、被告「シュレスヴィッヒーホルシュタイン情報保護センター(Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein)」は、201111月に原告にこのFanpageの無効化を命じた。訪問者の使用データは、Fanpageのクッキーを介してFacebookによって収集される。このデータは、とりわけ広告目的でFacebookによって使用され、ユーザーに十分な情報が提供され、この使用に同意していないユーザー統計情報を申請者に提供する。第一審の行政裁判所は、訴状を支持した。その後、ドイツ高等行政裁判所は、原告がEU指令2dの意味において「データ管理者」として行動していないため、この上訴を棄却した。(Facebookによって収集されたデータに関しては、連邦データ保護法第3条第7((7) Controller” means any person or body collecting, processing or using personal data on his or its own behalf or 

commissioning others to do the same.)(EU指令95/46 / ECの第2と比較)を参照。 

(筆者注9) 第一審のハンブルグ行政裁判所の2017425決定(Beschluss)原文を仮訳する。

「ハンブルクの行政裁判所は次のように決定した。将来的にFacebookは、ドイツのデータ保護法に同意した場合にのみ、ドイツのWhatsAppユーザーの個人データを使用することがありうる。」 

**********************************************************

 Copyright © 2006-2017 福田平冶(Heiji Fukuda)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント