イタリアで発布された最初のGDPRに基づく罰金命令

　イタリアのデータ保護庁（Garante）は、GDPRの下での適切なセキュリティ対策の実施を欠如したプラットフォーム事業者に対し罰金5万ユーロ(約620万円)命令をもって挑戦した 。

　最初のEU「一般データ保護規則(GDPR)」にもとづく”Garante”の罰金命令は、Movimento 5 Stelle Webサイトを運営しているいわゆる「ルソー・プラットフォーム(Rousseau platform)(以下、「ルソー」という)」でのデータ漏洩によるプライバシー保護措置の実施策の欠如を理由に、”Garante”によって発布された。 

　これまでの”Garante”の罰金命令について、筆者は2019.2.8 ブログ「イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す」で詳しく解説したところであるが、今回の罰金はその10分の１以下であり、その差が法の違法性判断か、具体的にどのように出てきたかを検証したいと考えた。

　まず、初めに”Garante”のウェブサイトからチェックしたが、リリース文はすぐに見つかったもののイタリア語が不得意な筆者にとって、その仮訳はかなりの困難を伴うものであった。したがって簡便な手法ではあるが、イタリアの弁護士ジュリオ・コラージョ(Giulio Coraggio)の解説サイト「イタリアで発行された最初のGDPRに基づく罰金」を引用、以下のとおり仮訳することとした。

　なお、政党の活動や電子投票におけるウェブサイトのセキュリティ対策の徹底についても、”Garante”のリリース文は重要な内容を含んでいることは間違いない。大部ではあるが、機会を改めて執筆する予定である。 

１．ルソー・プラットフォームに関連する事件の事実関係 

　イタリアの政党「5つ星運動(Movimento 5 Stelle)」(筆者注1)に加入している多数のウェブサイトが、「ルソー(Rousseau)」という名前のプラットフォームを介して、データ・プロセッサによって運営されている。このプラットフォームは、2017年夏の間に起きたデータ漏えい事件を受け、透明性を高めるためにプライバシー情報の通知を更新する義務に加えて、イタリアのデータ保護当局である”Garante”は、実行されたデータ処理活動に、いくつかのセキュリティ対策の実施を命じた。 

２．プライバシー関連のセキュリティ対策の欠如が原因 

 　ルソーはプライバシー情報通知の更新をタイムリーに完了した一方で、イタリアの”Garante”は、以下のGDPR関連のセキュリティ対策のいくつかがルソー・プラットフォームに実装されていないことについて懸念を表明した。 

(1) 脆弱性評価(vulnerability assessment) (筆者注2)は定期的に繰り返すべきであったが、”Garante”によれば、ルソーはパッチの実装を非常に複雑で時間のかかるものにした供給元によってもはや更新されない古いプラットフォームの使用状態を放置するという問題を残した。 

(2) アカウントの作成に使用され、プラットフォームで採用された「ブルートフォース攻撃」(筆者注3)のリスクを回避するためのパスワードの強化を目的としたシステム。

(3) 転送中のデータを保護し、ルソーのプラットフォームに導入された対策である偽のサイトにユーザーが魅了されるリスクを軽減するための、安全なプロトコルとデジタル証明書の欠如。 

(4) 大半のユーザーに関連して分類された「脆弱な暗号アルゴリズム」により、パスワードの保管のセキュリティレベルを高めることを目的としたソリューションの欠落。

(5) データの完全性と少なくとも実行された活動の事後管理を保証するために、ルソー・システムのデータベースにアクセスと操作の完了（いわゆるログ）の記録を保持する義務のある監査手段が完全に実装されていないシステム。 

　特に、この問題の主な原因は、ログファイルの保存に関連する措置が採用されていないことである。実行された操作の記録が行われていない間に、一部のページを追跡できた。

　さらに、”Garante”は、プラットフォームの運用において、共有アカウントが非常に大きな特権を持つシステム管理者によって使用されることを調査した。 これは、このようなシステム管理者が政治的意見を含むような特別なカテゴリの個人データにアクセスする可能性を考慮すると、大きな問題であった。 

　最後に、電子投票システムによって実行された活動を匿名化することを目的としたセキュリティ対策も適切ではないと考えられた。 

３．イタリアで発布された最初のGDPRにもとづく罰金命令

　前記の各問題により、ルソーのプラットフォーム上で適切な技術的および組織的な対策が欠如していることがGDPRの第32条に違反するとされ、5万ユーロの罰金が科せられた。(第83条第4項参照) 

　興味深いことに、 この罰金は プラットフォームのデータ管理者である「政党：5つ星運動(Movimento 5 Stelle)」 に対してではなく 、データ処理者であるRousseau協会に対して科された点である。 データ保護当局(Garante)は、データ管理者がデータ処理者によって実行されたことすべてに責任を負うとは考えず、データ管理者の責任なしにデータ処理者の責任がある可能性があることを認識した点で、これは非常に興味深い点である。

　これはGDPRによって導入された大きな変更点であり、筆者のトピック記事「 GDPRは技術サプライヤーにとっての新たなリスクを生むか？(New risks for tech suppliers with the GDPR?)」および「GDPRの下では、プライバシーの罰金は本当に高額となるのか？(Are privacy fines really massive under the GDPR?”)」で読むことができる。 

　また、この”Garante”の決定は、プラットフォーム処理による大量の個人データに関して、プライバシー保護当局が適切に整備することを期待しているセキュリティ対策をより明確に理解できるため、興味深いものである。 確かに、イタリアのプライバシーコードは、導入されるべき最低限のセキュリティ対策にかなり具体的であるが、GDPRは説明責任の原則に照らしてデータ管理者によって採用されたセキュリティ対策の妥当性に関して評価を要求する。 

　最後に、”Garante”の調査は2018年5月以前に開始されたが、ルソー・プラットフォームは2018年5月25日以降に発せられたGaranteの命令によって要求される安全保障措置を採用しなかったので、イタリアのデータ保護当局はGDPRの下で罰金を発行したことを言及する価値がある。このことは、これら”Garante”の係属中の手続きもGDPRのもとでの罰金のフォローアップにどのようにつながるかを示している。 

***************************************************************************

(筆者注1) 「五つ星運動（Movimento 5 Stelle）」は、イタリアの政党。2009年10月4日に人気コメディアンのベッペ・グリッロ（ジュゼッペ・ピエーロ・グリッロ）と、企業家・政治運動家のジャンロベルト・カザレッジョによって結党された。大衆の不満に率直な賛同を示す人民主義政党（ポピュリズム）として行動し、近年の欧州経済危機とそれに伴うマリオ・モンティ政権の経済改革により、雇用不安や増税を背負わされた国民の中流層・下流層から急速に支持を集めている。

党名の由来であり、シンボルでもある五つの星は社会が守り抜くべき概念（発展・水資源・持続可能性のある交通・環境主義・インターネット社会）を指している。 (Wikipediaから一部抜粋。)

(筆者注2) 脆弱性評価(vulnerability assessment)問題を公開ウェブサイトの重要課題と位置づけて解説しているものとしては「Symantec:「White Paper：公開ウェブサイトに安心感を！脆弱性診断のススメ」等が参考となろう。また、脆弱性評価の流れ図として情報処理推進機構(IPA)の図を以下、引用する。

IPA「開発者のためのセキュア解説書(脆弱性評価編)」　7頁から引用。

(筆者注3)  総当たり攻撃(brute force attack )とは、暗号の解読やパスワードの割り出しなどに用いられる手法の一つで、割り出したい秘密の情報について、考えられるすべてのパターンをリストアップし、片っ端から検証する方式。(IT用語辞典から引用)

***************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

ワシントン州のプライバシー保護法案が上院で可決したが下院での修正審議で時間切れか？

　3月6日、ワシントン州の「プライバシー保護法案(SB 5376)(以下「WPA」という)」は、賛成46、反対 1の投票でワシントン議会上院を通過した（2人の議員は退席、棄権）。その通過に先立って、上院は、法律のいくつかのより厄介な規定から企業にとって重要な救済を提供するであろう重要な法案改訂と明確化をふまえ採択した。

　テクノロジー業界からの支援およびこのような上院議会でのほぼ全会一致の支援にもかかわらず、”SB 5367”は、現在の立法会議である4月17日の期限までにワシントン議会を通過できなかったために消滅した。ワシントン州政府の完全な民主的統制に照らして確かなことだと多くの人が考えているこの法案は、顔認識(facial recognition)に関する保護義務の強化を含む消費者のプライバシーの向上を目的とした大幅な改正が下院で提案された後、先に進めなくなった。

　このような書き出しのブログ「ワシントン州のプライバシー保護法が上院をクリア」および「ワシントン州議会はプライバシー法の制定に失敗 」という2つのブログを読んで筆者はより本格的なブログを探した。しかし、5本位のブログを見出したが、その内容は一長一短であったため、筆者独自にそれらを統合した独自の原稿を作成すべく挑戦を試みた。

　いずれにしても、(1)法案の検討推移(下院での審議の渋滞理由)、(2)法案の詳細情報、(3)GDPRとの比較、(4)カリフォルニア州やイリノイ州など他州の既存および最近時に出されている法案との比較など検討課題をすべて網羅してはいないとは思えるが、筆者が今後取組みたいと考えている米国の州立法の研究の一環として取りまとめてみた。

１.法案の概要

(1)WPAの下での事業者の義務

　WPAはGDPRから管理者および処理者のて定義を借用し、これらの各役割の義務を識別する。すなわち 「管理者」は個人データの処理の目的と手段を決定し、また「処理者」は管理者に代わって個人データを収集、使用、保存、開示、分析、削除、または修正すると定める。

　同法案が可決、署名、成立した場合、WPAは管理者に対して以下のことを確認すべき要求を円滑に進めるよう要求することになる。

① 消費者の個人データが処理されているかどうかを確認し、そのような個人データへの主体のアクセス権を提供する。

② 不正確な消費者の個人データを修正する。

③ 例外が適用されない場合は、消費者の個人データを削除する。

④ 個人データの処理目的を制限する。

⑤ 機種やOSに関係なく、どのパソコンでも読める文書閲覧ファイル・フォーマットで消費者に彼らの個人データを提供する。

(3) WPAは顔認識技術の特定の用途に追加の制限を課す。

　顔認識サービスを提供する処理者は、個人または消費者グループを違法に差別するために、管理者がそのようなサービスを使用することを契約上禁止する必要がある。さらに、管理者は、一般に公開されている施設内に顔認識技術を展開する前に、消費者の「同意」を得なければならない。管理者がこれらの施設内に目立つ通知を投稿した場合、「同意」が暗示したとされる可能性がある。

(4)WPAの適用範囲と実施 

　WPAは、ワシントンで事業を営む企業、またはワシントンの居住者を対象とした製品またはサービスを生産する企業で以下のいずれかの条件に合う企業に適用される。

① 少なくとも10万人のワシントンの消費者の個人データを処理または管理する企業。

② 総収入の50パーセントを個人データの販売から得る企業で、少なくとも25,000人のワシントンの消費者の個人データを処理または管理する企業。

　そこにいう「個人データ」とは、識別されていないデータおよび連邦、州、または地方自治体の記録から公的に入手可能な情報を除いて、識別された、または識別可能な自然人に関するあらゆる情報を意味する。そして、カリフォルニア州の消費者個人データ保護法（「CCPA」）と同様に、WPAの下の「消費者」には、州の居住者である自然人が含まれる。しかし、CCPAとは異なり、WPAは商業的または雇用的状況で行動する自然人を明確に除外する。

(5) 公訴権と罰金額

　WPAは個人消費者のために私的な公訴権を認めるのではなく、州司法長官に影響を受けたワシントン州民の名義で訴訟を起こす権利を与える。 この法律に違反した企業は、違反を矯正するために30日間の猶予期間を与え、また1違反ごとに2500ドル(約278,000円)の民事罰、または意図的であると判明した1違反ごとに7,500ドル(約833,000円)の民事罰が科せられる。 

２．州議会上院での法案修正の概要

　改訂された法案は、消費者の権利とリスク評価(risk assessments)の両方の想定される要件に重要な制限と明確化を課している。要するに、「業務目的」のために処理されたデータは削除の対象から除外され、そのような処理活動は推定上許容される。 重要な点は、修正された法案は依然として私的な公訴権を認めておらず、州司法長官に違反の疑いがあることを通知し、企業に法執行措置をとる前に是正を命じる機会を与えることを要求している。 

(1) 削除要求の例外となる「ビジネス目的」の定義

　ワシントン州プライバシー法案が最初に提案された段階では、消費者の権利とGDPRに含まれるものと同様の例外を規定していた。しかし、 改訂された法案では、データが特定のビジネス目的で処理される場合、事業者に対する「削除」要件に追加の例外が導入されている。主にCCPA(筆者注1)から内容を借りて、同法案は次のように「ビジネス目的」を定義する。 

 「ビジネス目的」とは、個人データの処理が合理的に必要かつ個人データが収集された業務目的を達成するために比例している必要がある場合を除き、コントローラーまたはそのプロセッサの業務上の目的またはその他の通知目的での個人データが収集された状況と互換性のある処理済みまたはその他の運用目的のため個人データの処理を意味する。 その「ビジネス目的」とは次のとおりである。

（a）広告インプレッション(ad imipressions) (筆者注2) のカウント、広告インプレッションのポジショニングおよび品質の検証、ならびにこの仕様および他の規格への準拠の監査を含むがこれらに限定されない、消費者との現在のやり取りおよび同時トランザクション(concurrent transactions)に関連する監査を行う場合。

（b）セキュリティ・インシデントを検出し、悪意のある、詐欺的、詐欺的、または違法な活動から保護し、その活動の責任者を起訴する場合。 

（c）既存の機能または意図された機能を損なうエラーを識別して修復する場合。  

（d）個人データが他の第三者に開示されず、消費者に関するプロファイルを作成したり、その他の方法で現在のやりとり以外で個人の消費者の経験を変更したりするために使用されない場合で、同じ特性付けの一部として表示される広告の状況に応じたカスタマイズ化時に限定されない。 

（e）アカウントの保守または提供、顧客サービスの提供、注文および取引の処理または履行、顧客情報の確認、支払いの処理、または資金提供する場合。

（f）技術開発のための内部調査を実施する場合。

（g）消費者の身元を認証する場合。 

(2) 事業者(ビジネス)がデータを保持し処理するというビジネス目的を持っている場合の継続処理および削除義務

　改訂された法案は様々な状況下で消費者データを削除する義務から事業者を免除することになろう。例えば、当該処理が「同意」を必要とし、消費者が「同意」を撤回する場合、その事業にその目的があるのであれば、事業はそのデータを処理し続けることができる。 同様に、消費者が処理に異議を唱えた場合、「（A）管理者、個人データを処理している消費者または処理が必要な公衆のために個人データを処理するビジネス上の目的がない場合、 または（B）ターゲット広告向けの処理として処理につき事業者はデータを削除しなければならない。 

(3) 事業者によるリスク・アセスメントの重要性

　事業者が事業目的でデータを処理しているかどうかは、リスクアセスメントが実施されるときの処理の許容性の評価において重要な役割を果たすであろう。 ワシントン州プライバシー法の下では、企業は、評価が以前に実施されていなかった処理活動、および処理活動が「消費者に対するリスクを大幅に増大させる」ように変化した場合に、リスク評価を実施しなければならない。この評価は、「消費者に対するプライバシーへの危害の潜在的なリスクが大きく、管理者の利益を上回る」と判断した場合、消費者の同意がある場合、または免除（契約を履行するための処理など）の場合にのみ許可される。。消費者の重大な利益を保護するため、またはセキュリティ・インシデントを検出して対応するために、消費者が適用されます。 改訂法案の下では、事業目的の処理は、以下の場合を除き、推定上許容される。

①この処理には、人種または民族の血統、宗教的信条、精神的または身体的健康状態または診断結果、性生活または性的指向、遺伝またはバイオメトリックデータ、または子供に関するデータを明らかにする個人データとして定義される機密データが含まれる。  

② 適切な管理上および技術上の保護手段を使用しても、処理のリスクを軽減することはできない.場合

(4) プロファイリング の開示義務

　最初に提案された法案では、処理が消費者との契約の実行に必要で、法律の下で許容される場合または消費者の同意に基づく場合を除き、プロファイリングに基づいて消費者に関する重要な決定を下すことができないとされていた。 さらに、当初の法案では、企業がデータの取得と同時に、またはデータを取得する前に、プロファイリングに関する開示を行うことを義務付けていた。GDPRと同様に、当初の法案では、そのような通知に「関連するロジック、およびプロファイリングの重要性と想定される結果に関する意味のある情報」を含めることが義務付けられていた。 

(4) 2019年3月19日時点でのワシントン州法案の動向と見通し 

　Baker & Hostetler LLPのアソシエイト弁護士 Shea M. Leitchの見解 Blog

 

 Shea M. Leitch

　上院での立法の道筋が下院でのその潜在的な成功に関する何らかの見識を提供する場合、ワシントン州「プライバシー法は通過への迅速なルートをたどるかもしれない。もともと2019年1月18日に上程された法案は2ヶ月以内に上院でほぼ全会一致の承認を得た。 上院がより遅く、より審議的な組織になるように設計されていることを考えると、立法が可決したスピードは、立法府が有意義なプライバシー法を可決するよう動機付けられていることを示していう。 ワシントン州知事であり、2020年大統領候補であるJay Insleeもまた、より堅固なプライバシー法の支持を表明している。 全国地で同様の法律が制定されていることを受けて、すべての兆候がワシントンのプライバシー保護法の円滑な航海を示している。

３．ワシントン州法案(WPA)とCCPAの主な相違点

　ワシントン州が州によって義務付けられた消費者のプライバシー保護を強化する動きの背景には、2020年1月1日に施行される2018年のカリフォルニア州消費者プライバシー法（CCPA）の成立を受けて行われた。(筆者注3)

(1) CCPAは収集および共有された個人情報、およびその個人情報に関する消費者の権利の通知義務、 特に、CCPAには、従業員や取引先を含む、消費者という用語の幅広い、一見したところ包括的な定義が含まれている。

(2) WPAとは異なり、CCPAには、最近導入された法律（ SB 561 ）の下で拡大される可能性のあるデータ主体による私的な公訴権が含まれており、違反の疑いの通知を受けた企業の30日間の矯正期間も削除されている。

　なお、この２点に関し詳しくはブログ「CCPA Update: CA AG Backs Bill to Expand Private Right of Action and Remove Cure Period 」を参照されたい。

***********************************************

(筆者注1) わが国でもカリフォルニア州「消費者データ保護法CCPA」の詳しい解説は多い。たとえば、 影島 広泰 弁護士「2018年6月成立、米国カリフォルニア州消費者プライバシー法の概要と日本企業に求められる対応」、石川 智也弁護士「カリフォルニア州消費者プライバシー法制定と日本企業の実務対応」、等である。

(筆者注2) アド・インプレッションは1回の広告呼び出しの成功を意味する。  Webページに1回ロードされる広告は1回のアド・インプレッションです。 これは、インプレッションという言葉が使用されるとき（CPMを計算するときを含む）のほとんどの時間を意味しますが、Webページ自体が読み込まれるときを指すページ・インプレッションと区別することが重要であり、たとえば、1つのWebページに3つの広告がある場合、ページ全体が正常に読み込まれると、1ページのインプレッションとして3つのアド・インプレッションとしてカウントされる。

(筆者注3) 余談であるが、筆者が以前からメール交換しているかるフォルニア州の司法長官ハビア・べセラ(Xavier Becerra)氏から4月19日付で以下の興味深いメールが届いた。

 

 

　その内容は以下のとおりで仮訳するが、司法長官から直接５ドルの寄付を要請されるとは想像できなかった。

「わがチーム各位

それはWatergateのような匂いがする。

ホワイトハウスがミューラー・レポートを政治的に偏ったさせる努力と今朝のウィリアム・バー連邦司法長官による複雑な行動の一方で、トランプはかつら(rug)の下でミューラーの調査結果を一掃するために可能なすべてのことを行っています。

しかし大統領は法廷に隠れることはできません。

バーが報告を発表してから数時間後に、連邦裁判所はカリフォルニアにトランプに対するもう一つの勝利を与えました。 私たちの移民保護と公安法を支持しました。これは私たちのコミュニティ、公共の安全、そして州の権利にとって大きな勝利です。

私はこの管理を説明責任とし、私たちの価値観を守るために全力を尽くしています。あなたが私と一緒にいることを示すために、今すぐ5ドルを寄付しませんか。

トランプ政権が疑わしい卑劣な態度で私たちをそらすことを試みる間、事実は大統領が法廷でカリフォルニア州に負けているということです - 今日のように少なくとも32回です。

法の支配を守り、私たちの価値を守るために、私たちはこの政権を他のどの州よりも訴えています。そして私たちの戦いはまだ終わっていません。

トランプ大統領に説明責任を持たせるために戦い続けるために、今5ドルをチップしてください。

それで、ホワイトハウスがアメリカの人々をそらすことを試みる間、カリフォルニアがこの大統領を説明責任にしていることを思い出してください。そして私たちは勝っています。

ありがとうございます。

べセラ」 

***************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

英国の情報保護コミッショナー(ICO)が違法な個人情報の収集と共有についてバウンティに40万ポンドの民事制裁金を科す

　4月18日に筆者の手元にローファーム”Hunton Andrews Kurth LLP”のブログが届いた。その内容は、4月9日、英国情報保護コミッショナー（以下、”ICO”という）は、1998年のデータ保護法（「DPA」）に基づく最も重要な罰金処分の1つを妊娠および子育てクラブ会社「Bounty（UK）Limited（以下、「バウンティ」という）」に対する40万ポンド(約5,800万円)の民事制裁金(CMP)を科した、というものである。

　筆者は、念のためICOサイトで法解釈を含め、事実関係を確認した。その結果は、同ローファームのレポートは100%正確であり、本ブログでは(1)その内容を注書を含めながら仮訳し、(2)ICOの解説文のうちICO独自の追加解説文を仮訳することとした。

１．ICOのバウンティに対する違法性調査結果

(1) バウンティの事業内容

　バウンティは、新しくて妊婦の母親に商品やサービスの情報やオファーを提供し、個人データをオンラインで、アプリを介して、ハード・コピー・カードを介してオフラインでも収集していた。また、同社はデータ・ブローカー・サービス(data broking service)(筆者注1)にも提供していた。

バウンティのHP(サービスメニューを確認されたい:なお、データ・ブローカー・サービスまでは読み取れない)

　バウンティは、ICOがデータ仲介業界を幅広く継続的に調査している状況で、個人データの「重要な供給者」としてICOの注目を集めた。 

　ICOは、電子マーケティングの目的で、バウンティが1,400万人を超える個人、その大多数の妊産婦または新しい母親とその子供に関する個人データを第三者と共有していることを明らかにした。1年間に17回まで共有されたレコードがあるため、合計3,500万を超える個人データレコードが開示された。ICOはこれを「非常に高い」数とみなし、これが「データ・ブローカー事業体に対するICOの調査の歴史の中でこれまでにない数の影響を受けたデータ主体」であることを表しているとコメントした。

(2) ICOが調べたバウンティの情報提供活動と法違反の内容

　全部で39社がバウンティから個人データを受け取った。ICOの調査の主な焦点となる企業は、①マーケティング・エージェンシーの”Indicia”(筆者注2)、マーケティングおよびプロファイリングの会社”Acxiom”、消費者信用情報機関”Equifax”および電気通信会社”Sky Ltd”(筆者注3)の4社であった。

　調査の結果、ICOは、バウンティが最初のデータ保護原則（現在ではEU一般データ保護規則（GDPR）の第5条第1項に違反し、個人データを公正かつ合法的に処理することを求めていると結論付けた。具体的には、ICOは以下のとおり決定した。 

① バウンティがデータを共有する組織・団体名をデータ主体に開示できなかったため、そのデータ共有は不公平であった。バウンティのプライバシー・ポリシー(筆者注4)では、個人データは特に指定されていない「特定の第三者」と共有される可能性があると述べているだけであった。

② 信用情報機関、マーケティングおよびプロファイリング組織・団体と個人データを共有することも、公正であるという要件を満たすことができていなかった。この点で、ICOはバウンティが経済的利益に動機付けられていると考えた。

③ バウンティはデータ共有のための適切な法的根拠を確立することに失敗した。 バウンティは合法的な根拠として「同意」に頼ろうとしたが、ICOは、データを共有する組織・団体名がプライバシー・ポリシーで指定されていないため、いかなる「同意」も特定と見なすことも通知することもできないと判断した。またICOは、合法的な利益条件が満たされていないことも明らかにした。商品パックの請求カードおよびオフライン登録方法のいずれにも、マーケティング目的でのオプトイン手続きはなかった。 

(3) 民事制裁金の適用の判断　

　金銭罰(行政上の金銭的不利益処分である制裁金 ：monetary penalty)を科すべきかどうかを判断するにあたり、ICOはさまざまな要因を考慮した。その主な考慮事項は次のとおりである。

（1）影響を受けたデータ主体の「異常に多い」人数。

（2）個人のデータが複数の組織・団体で複数の機会において共有されていたという事実。

（3）違法行為の持続期間と長期期間であった事実。データ主体に対する権利行使面の潜在的な脆弱性 。

（4）開示が個人情報保護方針の条項に反するものであり、かつ個人の合理的な期待する範囲外である可能性が高いという事実。

（5）該当する個人データの性質。

（7）個人がデータに対する管理上の重大な損失を受けたという事実。

　さらにICOは、その違反が重大な損害または苦痛を引き起こす可能性がある種類のものであるかどうかを具体的に検討した。重大な苦痛のしきい値を超えたとICOが判断した要因には、次のようなものがあった。

（1）プライバシー通知(privacy notice)において個人情報が最も頻繁に共有されている4社についてまったく言及していないこと。

（2）バウンティの透明性の欠如が（組織がどのようにして個人データを入手し、それらを標的にすることができるかについて個人が自信を持っていなかったとき）苦痛をもたらしたかもしれないこと。 

（3）個人の知らないうちに共有されていたデータに対する制御可能性の喪失が知覚されたことによって引き起こされた苦痛の可能性。 

（4）データが複数の組織・団体と何度も共有されたという事実。

（5）影響を受けたデータ主体のきわめて多い人数。 

　ICOは、データを共有する上でのバウンティの行動は意図的なものであったという見解を形成した。それは、法令違反が発生する危険性があり、それが相当な損害または苦痛を引き起こす可能性が高い種類であることを知っているべきであったが、それでもなお違反を防ぐための措置を講じていなかった。

　バウンティは、データ主体の苦情がほとんどなかったこと、およびデータ保護者がプライバシーポリシーを読んだことがほとんどないことを理由に、自分自身を弁護した。

　また、バウンティはデータ主体が苦痛を被ったという証拠はないと主張した。しかし、ICOは、これは主にデータ主体が自分たちのデータがどのように使用されているのかを認識していなかったためであると反論した。

　金銭罰を科すにあたり、ICOは(1)バウンティの財務状態、(2)自社の活動を自発的に中止したこと、そして(3)その後「GDPR」および英国ICOの「プライバシーおよび電気通信規則(Privacy and Electronic Communications Regulations.:PECR)」(筆者注5)に準拠するために自社のデータ実務慣行を大幅に変更した点を考慮した。 

２． ＩＣＯの今回のプレスリリース時の編集者へのメモの仮訳

(1) ICOは、データ保護および情報公開の権利法の観点から、公共の利益のために情報権を支持し、公共団体による情報の公開性の促進および個人のデータ・プライバシーを保護するための英国の独立した規制機関である。

(2) ICOは、「2018年データ保護法（以下、DPA2018）」、「2000年情報公開法the Freedom of Information Act 2000 (FOIA)」(筆者注6)、EU一般データ保護規則（GDPR)、「2004年公的機関の保有する環境情報の公開規則（EIA）」(筆者注7)、および「2003年プライバシーおよび電気通信規則（PECR）」に定められた特定の責任を負う。

(3) この調査の対象時期のために、民事制裁金は旧保護法である「1998年データ保護法」に基づいて発布された。この旧法の下での民事制裁金の最高罰金額は50万ポンド(約1億4,600万円)である。

(4) 過去および現在の保護法の下で、ICOは個人情報を収集し、使用しおよび保持する組織・団体および個人の行動を変えるための行動をとることができる。これには、刑事訴追、非刑事法執行および監査が含まれる。

(5) GDPRとDPA2018はICOに新たな強化された執行力を与えた。 2018年5月25日以降、ICOはデータ管理者に最大1,700万ポンド（約24億6,500万円）または世界的な売上高の4％の民事制裁金（Civil Money Penalty：CMP）を科す権限を持っている。

(6) GDPRのデータ保護の原則は、旧保護法から発展し、組織の主な責務を明確にしている。GDPRの第5条は、個人データが以下のとおり扱われることを要求している。

① そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。（「適法性、公正性及び透明性」）

② 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。（「目的の限定」）

③ その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。（「データの最小化」）

④ 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。（「正確性」）

⑤ その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。（「記録保存の制限」）

⑥ 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。（「完全性及び機密性」）

  第5条第2項は、「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。（「アカウンタビリティ」） 

　 過去および現在の法律に基づく民事制裁金（Civil Monetary Penalties：CMP）は、制裁金が科されること、または通知された制裁金の額に対して、第一層審判所(First-tier Tribunal)の特定分野に係る不服申立事案を管轄する「総合的規制室(General Regulatory Chamber)」に不服を申し立てる権利がある。

*********************************************************************

(筆者注1)パーソナル・データを保有する事業者等からデータを購入したり、インターネット上に掲載されている個人情報を収集したりして蓄積・解析し、主にマーケティング活動用に事業者へデータを販売している事業者のことである。

　このデータブローカーは、日本では、いわゆる「名簿屋」に相当し、主に中小・零細事業者が担っているが、米国では、これを上場企業やベンチャー企業が法令遵守に留意しつつ、巨大な資本を投下して大規模に行っているところに大きな違いがある。(小林慎太郎「EnterpriseZine」2013年6月28日号から一部抜粋)

(筆者注2) 2015.1.15 コニカミノルタ㈱リのリース「コニカミノルタグループの英国Charterhouse社が英国Indicia社を買収～データ分析とクロスメディアを駆使し、顧客エンゲージメントの獲得に向けたサービスを提供～」を以下一部抜粋する。

コニカミノルタ株式会社（本社：東京都千代田区、社長：山名 昌衛、以下　コニカミノルタ）は、新たなサービスの提供を図るため、グループ会社である英国Charterhouse PM Limited（本社：英国 Hertfordshire州、以下CH社）を通じて、英国Indicia Group Limited（本社：英国　Bristol　以下　Indicia社）を買収しましたのでお知らせいたします。

(筆者注3) ”Sky Ltd”は、イギリスのメディア関連企業。衛星放送・ストリーミング放送の運営などを行い、ヨーロッパ最大の有料放送事業者である。

(筆者注4) プライバシー・ポリシー(privacy policy)：組織または団体の個人情報の取り扱い慣行を規定する内部声明。 個人情報の利用者を対象としています。 プライバシーポリシーは、データの収集および使用方法、ならびにデータ主体が持つ可能性のある特定の権利について従業員に指示します。

プライバシーに関する通知(privacy notice)：組織が個人情報を収集、使用、保持、および開示する方法を説明するデータ主体に対する声明。 プライバシー通知は、プライバシー声明、公正な処理声明、またはプライバシー・ポリシーと呼ばれることがある。 米国のGLBAやCOPPAなどの特定の法律では、特別なプライバシーに関する通知が義務付けられている。(CSOの解説から引用、仮訳した)

(筆者注5) 英国ICOの「プライバシーおよび電子通信規則(Privacy and Electronic Communications Regulations.:PECR)」ガイド・サイトは、電子マーケティング・メッセージ（電話、ファックス、電子メールまたはテキストによる）の送信、クッキーの使用、または一般人向けの電子通信サービスの提供を意図、希望する組織・団体を対象として作成したもの。 

(筆者注6) 英国の「2000年情報公開法( Freedom of Information Act 2000 (FOIA))につき、わが国の訳語をみると100%が「2000年情報自由法」と訳している。国立国会図書館、国立公文書館、JETRO、自治体国際化協会等がいずれもそうである。しかし、果たして同法の内容から見てそのような訳語は適正といえようか。

　例えば、（財）自治体国際化協会の解説を読むと「英国では2000 年11 月に2000 年情報自由法（Freedom of Information Act 2000）が制定され、2005 年１月に個人の開示請求権を含む全規定が施行されました。英国における情報公開制度は施行されてから間もないですが、同法は地方自治体にとって記録管理や住民に対する説明責任の重要性を認識させ、さらには職員の意識改革をもたらしています。以下。略す)

　その解説内容は正しいが、訳語はいただけない。

(筆者注7) 「2004年公的機関の保有する環境情報の公開規則」は、公的機関が保有する環境情報への一般人からのアクセス権を規定する。同規則はこれを2つの方法で行う。

① 公的機関は環境情報を積極的に利用可能にしなければならない。

② 一般の人々は公的機関に環境情報を要求する権利がある。

　この規則は、イングランド、ウェールズおよび北アイルランドの公的機関によって保持されている記録された情報すべてを対象とし、スコットランドの公的機関が保有する環境情報は、「環境情報（スコットランド）規則2004」によってカバーされる。

　その公的機関には、政府部門、地方自治体、NHS(筆者注8)、警察、大学などがあり、また規則は、環境に影響を与える公共事業を行う他のいくつかの機関も対象としている。。簡潔にするために、このガイドでは規制の対象となるすべての組織を「公的機関」と呼ぶ。

　この規則は、公的機関が保有する環境情報にのみ適用され、「2000年情報公開法(Freedom of Information Act 2000 (FOIA)」により、公的機関が保有する他のほとんどの種類の情報に一般の人々がアクセスできるようになっている。(ICOの同規則の解説ガイドサイトがある.)(以上は、ICOガイドを引用し、仮訳した)

　なお、筆者はわが国での同法の訳語につき100%が「環境情報規則」としている点も納得できない(法律の内容が全く読みとれない)。「2000年情報公開法」と同様に意訳すべきであり、本注で筆者が使った「2004年公的機関の保有する環境情報の公開に関する規則」という訳語を使用すべきと考えるが、いかがであろうか。 

(筆者注8) NHSとは1948年からUKで実施されている医療費原則無料の国営医療保険制度です。16歳から年金受給年齢（女60歳・男65歳）まで強制加入、所得に応じて保険料を払う。当初は旅行者まで無料でサービスを受けられましたが、現在はUKに1年以上滞在予定の人が対象になります。(UK国営医療制度　NHS (National Health Service)から一部抜粋)

　NHSの基本精神は「万人への普遍的な医療サービスの提供」であり「患者の医療ニーズに応じて公平なサービスを公的予算で提供」しています。「万人」というからには留学生や移民、外国人観光客たりとも例外ではありません。病気になったり怪我をしたりしたら普通のイギリス人と同様に必要な医療を受けることができます。この医療費というのは予防医療、入院費、リハビリなどすべて含めた費用です。(2018.02.09 「イギリスNHS国民医療制度：移民も外国人旅行者も医療費が無料ってホント？」から一部抜粋)

*********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

英国政府の公開諮問「オンラインを介した加害行為からのユーザ保護に関する政府の対策白書」等を検証する

　Last Updated ：April 11,2019

　筆者は別のブログで、①4月8日に英国政府(担当省は「デジタル・文化・メディア・スポーツ省と内務省)からの通知を受信した点、②その表題は「Open consultation：Online Harms White Paper(意見公募「オンラインを介した加害行為に関する政府の対策白書」)」であり、提出期限は本年7月1日である点、③白書本文(PDFで102頁)および主要論点整理(Executive Summary)へのリンクが可能であるが、白書の内容は多岐にわたりかつその本文のボリューム(PDFで102頁)であることから、筆者はその解析を行ったうえで改めてブログに投稿する予定である旨書いた。

　今回のブログは、(1)英国政府のオンラインサイトの諮問の告示内容、(2)デジタル、文化、メディア＆スポーツ省と内務省の共管によるプレスリリースを仮訳する。なお、「白書の主要論点整理( Executive summary」についても仮訳する予定でいたが、(1)(2)と重複するので略す。

  なお、大手ローファームLatham & Watkins LLPの解説ブログ「UK’s Proposed “Online Harms” Compliance and Enforcement Regime Will Target Platforms」を参照されたい。

１．2019.4.8 英国政府オンライン・サイトから受信内容

　英国政府の公開諮問「オンラインを介した加害行為からのユーザ保護に関する政府の対策白書」を以下、仮訳する。

　なお、今回の諮問は「デジタル・文化・メディア＆スポーツ省」および「 内務省」の共管であり、内務大臣(Rt Hon Sajid Javid MP )

 

および「デジタル、文化、メディア＆スポーツ大臣( Rt Hon Jeremy Wright MP) 

 がそれぞれコメントを寄せている。

【公開諮問の趣旨説明】

　「オンラインを介した加害行為からのユーザ保護に関する英国政府の対策白書（Online Harms White Paper )」は、革新と繁栄するデジタル経済をも支援する、世界をリードするオンライン安全対策のパッケージに関する政府の計画を示している。このパッケージは、(1)立法措置、(2)非立法措置から構成されており、特に企業における、特に子供やその他の脆弱なグループのユーザーに対して、オンラインでの安全性に対する責任をより高めることを意図している。

　本白書は、独立性を持った新たな規制当局によって監督される、利用者に対する新しい注意義務を法律で確立することを提案している。違法な活動やコンテンツに関し、有害ではあるが必ずしも違法ではない行動に至るまで、包括的な一連のオンライン加害行為に取り組むために企業は説明を受けることになろう。

　この諮問は、(1)政府による規制、および(2)オンラインでの加害行為への取り組みに関する計画につき、以下のさまざまな側面に関する意見を集めることを目的としている。

① 規制の枠組みの範囲内に含まれるオンラインサービスの定義

② 新しい規制の枠組みを実施、監督、執行するための独立した規制機関を任命するための選択肢(新規機関の設置または既存機関か)。

③ 独立した規制機関の法執行力

④ オンラインユーザーのための潜在的な救済メカニズム

⑤ 規制を確実にするための措置は、産業界に的を絞っており、かつ比例的である。

 　これは公開諮問であり、私たちは、関連する見解、洞察、または証拠を持った組織、企業、その他からの意見提示を特に奨励する。

 　なお、この諮問は2019年7月1日23時59分に終了する。

【添付Documents】

 ①主要論点整理： Online Harms White Paper:Executive summary　HTML

 ②Online Harms White Paperの本文PDF, 968KB, 102 pages 

２．英国政府のプレスリリース

  プレスリリース「世界初のオンライン安全法を導入する英国：政府は本日、英国がオンラインで世界で最も安全な場所であることを保証するための厳しい新しい対策を発表した」を以下、仮訳する。なお、リリースの中身としてテレサ・メイ首相はじめ関係大臣、利害関係者等のコメントが引用されているが、あえて今回のブログでは略す。

(1) 対策白書の要旨

① 独立性を持った規制当局が、厳格な新しい基準を実施するために任命される。

② ソーシャルメディア会社等はユーザーを保護するために義務的な「注意義務」を遵守しなければならず、彼らが配信に失敗した場合、重い罰金に直面する可能性がある。

③ 今回の英国の進める対策は、インターネット世界をより安全な場所にするための戦いにおいて、世界で最初のものである。

　この種類の世界で最初となるオンライン安全法では、ソーシャルメディア会社やハイテク会社は彼らのユーザーを保護するために合法的に要求され、彼らが遵守しない場合、厳しい罰則に直面することになろう。

　デジタル・文化・メディア&スポーツ省および内務省の共同提案である「オンラインを介した加害行為からのユーザ保護に関する政府の対策白書」の一部として、企業が彼らの責任を果たすことを保証するために新しい独立した規制・監督機関が導入されることになろう。

　これには、ソーシャルメディア会社やハイテク会社に対する義務的な「注意義務」が含まれる。これにより、これら企業はユーザーを安全に保ち、サービスに対する違法で有害な活動に取り組むための合理的な措置を講じることが求められる。 規制当局には効果的な法執行ツールがあり、1)相当な罰金を科し、2)サイトへのアクセスを阻止し、3)上級管理職の個々の職員等にも責任を課す可能性があることについて、我々は諮問を行う。 

(2) 具体的な取組み

　新しい枠組みを執行するために規制当局が任命される。政府は現在、その規制当局が新規機関と既存機関のどちらであるべきかについて協議している。規制当局は中期的に産業界から資金提供を受けることになり、政府はそれを持続可能な基盤の上に置くための産業賦課金などの選択肢を模索している。

　我々の提案に関する12週間の諮問が本日開始された。 これが終わったら、その次に我々が立法案の最終案を作成する際に取るであろう行動計画を策定する。 

　本白書に記載されている厳しくかつ新しい対策項目は次のとおりである。

　なお、テレサ・メイ首相のコメントを追記する。

　「新しく提案された法案は、ユーザーがユーザーが作成したコンテンツを共有または発見したり、オンラインで相互作用したりすることを許可する会社に適用される。つまり、「ソーシャル・メディア・プラットフォーム」(筆者注1)、ファイル・ホスティング・サイト(筆者注2)、公開ディスカッションフォーラム、メッセージング・サービス、検索エンジンなど、あらゆる規模の幅広い企業が対象となっている。」

① ソーシャルメディア会社等がユーザーの安全に対してより多くの責任を負うようにし、サービスの内容または活動によって引き起こされる損害に取り組むようにするための新しい法律上の「注意義務」を明記する。

② 子供の虐待やテロリストのコンテンツを確保するため、ハイテク企業に拡散型オンラインを認めないというさらなる厳格な要求を明記する。

③ 規制当局に、ソーシャルメディアプラットフォームやその他のプラットフォームに、自社のプラットフォーム上の有害なコンテンツの量と、これに対処するために行っていることに関する透明性を持ったレポートを発行を命じる強制的な権限を与える。

④ 企業にユーザーの苦情に対応し、迅速に対処するよう行動させる。

⑤ 特に選挙期間中の専任の「ファクト・チェッカー(fact checkers)」(筆者注3)による誤解を招く有害な誤報の拡大を最小限に抑えるための要件などの措置を含む規制当局によって発行する実務規範を策定する。

⑥ 最初からオンラインの安全機能を新しいアプリやプラットフォームに組み込めるようにするための新しい "Safety by Design"フレームワークを制定する。 

⑦ キャットフィッシング(catfishing) (筆者注4)、グルーミング(grooming) (筆者注5)、暴力的過激主義(extremism) (筆者注6)など、さまざまな詐欺的で悪意のある行動をオンラインで認識して対処するための知識を人々に提供するためのメディア・リテラシー戦略(筆者注7)を策定する。 

　英国は、自由でオープンで安全なインターネットを引き続き約束する。規制当局は、イノベーションを尊重し、オンラインでユーザーの権利を保護する法的義務を負うことになる。特にプライバシーと表現の自由を侵害しないように注意する必要がある。

(3) メディアの編集者への注記(筆者注8)

　本日、我々は白書とともに、最新の「デジタル憲章(Digital Charter)」(筆者注9)を発行した。 デジタル憲章を通じて、私たちは市民を保護し、新しい技術に対する国民の信頼を高め、デジタル経済と社会が成功するための最善の基盤を築く。

【白書の範囲内でのオンラインを介した加害行為の例示】

　以下の表は、個人および社会への影響とその流行(prevalence)の評価に基づいた、白書の範囲内でのオンラインの有害なコンテンツまたは活動の初期リストを示している。このリストは、設計上、網羅的なものでも修正されたものでもない。このような静的リストは、新しい形態のオンラインの加害、新しい技術およびオンラインの活動に対処するための迅速な規制措置を妨げる可能性がある。

*******************************************************************

(筆者注1)ソーシャル・メディア・プラットフォームの例としては、Line、 Twitter 、Facebook、 Instagram、Youtube等があげられよう。

(筆者注2) ”file hosting service”は「オンライン・ストレージ・サービス」ともいい、「各種データを保存するためのディスクの空き領域をインターネットを通じて貸し出すサービス。有料のものと無料のものがあり、後者では利用時に広告を表示したり、利用できる容量に制限があったりする。自宅・職場・外出先で同じファイルを利用できるほか、複数の利用者によるデータの共有も可能。」(「コトバンク」から引用)

(筆者注3) 「ファクト・チェック」とは選挙や議会での発言等において事実かどう疑わしいさまざまな言説・・情報の真偽を検証することである。政治家等公人の発言、Twitter等ウェブ上でアップされたコンテンツ、メデイアの報道、SNSやソーシャル・メディア・プラットフォーム上のデマ等、社会に影響を与える様々な言説が対象となる。(NPO法人：FactChek Initiative Japanサイト「2017年総選挙ファクト・チェック・プロジェクトについて」等から一部引用)

(筆者注4) なりすまし。SNSなどで、自分の個人情報を偽って他人とネット上で交流すること。

(筆者注5) SNS上などで相手の警戒心を解き信頼を得ようとすること(例：child grooming ; sexual grooming)

(筆者注6) 暴力的過激主義とSNSとの関係につき国連のブログでも正面から取り上げられている。

2016.1.19国連広報センター 国連広報センター ブログ『国連の「暴⼒過激主義防⽌の⾏動計画　(Plan of Action to Prevent Violent Extremism)」に、メディアも参画を』

近年、ISIL、アルカイダ、ボコハラムなどのテロ集団が標榜する暴⼒的過激主義が世界に 蔓延し、この脅威にいかに対処するかについて議論が展開されています。それらテロ集団 の宗教的、⽂化的、社会的な不寛容さや、SNSの活⽤は、私たちの共通の価値である平 和、正義、⼈間の尊厳をおびやかしています。・・・・・

　なお、過激主義を広くとらえると、宗教、人種、政治的過激・急進主義、極右・極左組織等のついてもSNSなどと深くかかわる点は重要な意味があり、英国の現状分析分論文としては早稲田大学 樽本英樹「英国における移民と排外主義」等が参考になろう。 

(筆者7) 民主主義社会におけるメディアの機能を理解するとともに、あらゆる形態のメディア・メッセージへアクセスし、批判的に分析評価し、創造的に自己表現し、それによって市民社会に参加し、異文化を超えて対話し、行動する能力である。(Wikipediaから一部引用)

(筆者注8) 英国政府のリリース文の表現のみでは必ずしも正確な理解に結びつかない。仮訳にあたり筆者の責任で補足した。

(筆者注9) デジタル・文化・メディア・スポーツ省のPolicy paper「デジタル憲章Digital Charter」は2018年1月25日に公布され、2019年4月8日の更新された。

　その趣旨を同省のサイトから引用、仮訳する。

　我々は、インターネットを、市民、企業そして社会全体のために、すべての人のために機能させたいと考えている。我々は、英国が技術部門を奨励し、企業に安定性を提供する革新的な規制で世界をリードするべきであると確信している。この取り組みを通じて、我々は市民を保護し、新しい技術に対する国民の信頼を高め、デジタル経済と社会が成功するための最良の基盤を築く。

　このデジタル憲章は、オンラインの世界の規範や規則に同意し、それらを実践するための作業のローリングプログラムである。ある場合は、これは行動への期待を変えることになろうし、ある場合は、新しい規格に同意する必要があるであろう。また、他の場合では、我々の法律や規則を更新する必要があるかもしれない。我々の出発点は、私たちがオフラインで行うのと同じ権利を持ち、同じ行動をオンラインで期待するということである。

【憲章の内容】

(1) 担当省が守るべき6つの原則

(2) 担当省の行動プログラムWork programme

(3) 担当省の具体的に取組むべき課題

****************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida )．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

EU加盟国におけるGDPR実施後10カ月を踏まえた企業への罰則強化や法整備の最新動向とその理論づけを探る(その1)

　筆者は、さる1月29日付けブログ前文でこの問題につき主要な事案を簡単に紹介し、詳しい内容は別途まとめる旨予告した。

　筆者は現在デンマークの罰則事案の解説原稿を執筆中であるが、その途上で各国の詳しい法執行内容の解説サイト”GDPR Enforcement Tracker”を見出したので取り急ぎ公表する。なお、同サイトは各加盟国の監督機関の公式サイトにリンクされている。また、以下の注記がある。

「このウェブサイトには、EU内のデータ保護当局がEU一般データ保護規則（GDPR、DSGVO）に基づいて科した罰金額および事案概要が含まれている。我々の目的は、このリストをできるだけ最新に保つことであるが、すべての罰金処分が公表されているわけではないので、このリストはもちろん完全なものになることはない」

１．GDPR Enforcement Trackerの一覧項目

①国名、②監督当局名、③処分の公表日、④罰金額、⑤被告名、⑥GDPRの根拠規定、⑦事案の概要、⑧監督機関へのリンク、である。

２．被告の範囲

　これまでの筆者の認識ではデジタル・マーケテイング企業、Google等IT大手、タクシー会社等で顧客数も大規模なものが中心であると考えていた。

　しかし、このサイトで見ると、1)レストランに設置したデータ主体の同意を得ていないCCTV録画の事例、2)市長室(Mayer’s Office)が公益通報者の個人情報を違法に開示した事例、3)データ主体からの個人情報の削除要求を無視した債権回収業者の事例、4)公有地活用局が10GB以上の大量の個人情報についてGoogleでもって簡単に閲覧可な状態を放置した事例、5)誤ってクレジットカード債務に関するSMSメッセージを他の人に電話番号を送信した金融機関の事例、6)私人が2カ月間、200弱の個人のメールアドレスをすべての受信者が閲覧可能状態を放置した事例(罰金額は2,000ユーロ(約250,000円)等きわめて多様である。

　これらの事例の背景にはデンマークの場合を除くとEU加盟国の監督機関の独自の行政処罰権に基づく法運用の曖昧さがあるとも思われる。

　次回以降で、GDPR Enforcement Trackerのサイトの内容の仮訳をはじめ、ここで挙げたGDPRの法執行等運用面の今後の課題等について論じてみたい。

****************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.