中国の国家市場監督管理総局(SAMR)はインターネット上の不正競争行為に関する規定案に関するパブリックコメントを要請(その２完)

２．中国のパブリックコメントの手順について

　前述のプレスリリースで述べたとおり、国家市場監督管理総局サイトからコメントを行う場合の手順を概観する。

ブリックコメントシステムへようこそ! あなたのサポートと参加していただきありがとうございます!

１．サインイン

ユーザー名(用户名：)：*

パスワード(密  码)：*

検証コード(验证码)：       1つ変更する 

                            パスワードをお忘れですか？ 登録する 

1.コメントや提案については、関連する法律や規制を遵守してください。

2.法案に関するコメントと提案を提供してください。あなたのコメントと提案は慎重に検討されます。

3.連絡を取りやすくし、意見を要約して分析するために、できるだけ誠実に個人情報を入力してください。 

２．匿名でサインイン

名前(姓名)：

州区分(省份)：

職業(职业)：

Eメールアドレス(电子邮箱)：

連絡先の電話番号(联系电话)：

住所(住址)：

検証コード(验证码)： 

入力する　　　　　リセットします

検証コードを空にすることはできません 

****************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

中国の国家市場監督管理総局(SAMR)はインターネット上の不正競争行為に関する規定案に関するパブリックコメントを要請(その１)

　

　筆者の手元にData Guidanceからのニュースが届いた。2021年8月17日、国家市場監督管理総局(国家市场监督管理总局：SAMR)は、インターネット上の不正競争行為の禁止に関する規定案を公表し、同じ件に関するパブリックコメントを要求すると発表したというものである。

 　一方、8月17日の日経新聞は「中国の規制当局は17日、インターネット上での不正競争行為に関する規定の草案を発表した。ネット企業が自社のサービスから競合企業を不当に排除することなどを禁止する。アリババ集団や騰訊控股（テンセント）といった巨大ネット企業が念頭にあるとみられる。違反行為を明確にし、取り締まりを強化する。

独占禁止法などを管轄する国家市場監督管理総局が同日、公表した。草案はパブリックコメント（意見募集）にかけ、年内に施行する。

　草案では、合法的な理由がなくネットサービス上で競合企業のアクセスをブロックする行為などを禁止する。ネット通販などのサービスで架空の取引実績や予約数などを提示し、消費者を欺くことなども法律違反にあたるとしている。

　違反があった場合、不正競争防止法などに基づいて処罰される。不正競争防止法はネットサービスに関する詳細な違反行為を明示しておらず、今回の草案で法律違反にあたる行為を明確にする。

　アリババやテンセントは長年、競合企業が自社のサービスにアクセスできないようブロックしてきた。自社のプラットフォームから競合を排除して高成長を実現してきた。今後は当局の取り締まり強化により、こうした手法が通用しなくなる。

　2月には動画投稿アプリ「TikTok」を運営する北京字節跳動科技（バイトダンス）がテンセントを提訴した。テンセントがバイトダンスのサービスをブロックしているのは独禁法違反にあたると主張している。テンセントやアリババによる市場の独占に競合企業も不満を募らせていた。

　アリババの張勇・会長兼最高経営責任者（CEO）は今月3日の決算会見で、「プラットフォームの垣根をなくすことは、アリババだけでなく、消費者や（取引先である）中小企業にも利益をもたらす」と強調した。当局の圧力を無視することはできず、アリババも方針を転換し、サービスの全面開放に踏み切る可能性が高くなっている」と報じている。

　ここで疑問であるが、中国政府は欧米主要国のようにGAFA等に関する反不正競争法の観点からの取締りはどのように考えているのであろうか?

 　Data Guidanceの本文に戻る。　

　特に、この規定案は、とりわけ、不公正な競争ネットワークを停止・防止し、市場秩序における公正な競争を維持し、最終的に中華人民共和国の反不正競争法および中華人民共和国の電子商取引法等に従って事業者と消費者の正当な権利と利益を保護することを目的としている。

 　具体的には、規定草案は、オペレータがデータ、アルゴリズム、およびユーザーによって選択されたその他の技術的手段を禁止すること、または交通ハイジャック、干渉、その他の行動の実施の影響を受ける他の技術的手段を含む、オペレータに対して、合法的に実行されている他の事業者が提供するネットワーキング製品およびサービスを妨害または損傷することを含む多くの禁止を提供する。さらに、規定草案は、不正競争防止法に基づく責任を含む規定に違反して見つかった事業者に対する責任を概説している。

 　パブリックコメントは、2021年9月15日まで所定の報告先に提出することができるとある。中国のパブリックコメントの手順については最後に補足する。

　  なお、わが国はビッグデータの保護に関する改正不正競争防止法の概要と保護の対象となるデータ等に取り組んでいる。(注0)

   今回は２回に分けて記載する。

 １．国家市場監督管理総局のプレスリリース

　2021.8.17 を以下「市场监管总局关于《禁止网络不正当竞争行为规定（公开征求意见稿）》征求意见的通知」、仮訳する。

　インターネット上での不公正な競争行為を阻止および防止し、市場秩序における公正な競争を維持し、事業者および消費者の正当な権利と利益を保護し、デジタル経済規制の持続可能かつ健全な発展を促進するために、「中華人民共和国独占禁止法」「中華人民共和国」電子商取引法、中華人民共和国行政罰法その他の法律、市場監督国家管理局は、インターネット（パブリックコメントのドラフト）は、コメントのために一般に公開されています。フィードバックの締め切りは2021年9月15日である。一般の人々は、次のいずれかのチャネルと方法を通じて意見を述べることができる。

① 中華人民共和国司法部の中国政府法務情報ネットワーク（http://www.moj.gov.cn http：//www.chinalaw.go）にログインする。

② 国家市場規制局のウェブサイト（URL：http：//www.samr.gov.cn）にログインし、ホームページの「対話」セクションにある「収集調査」を通じて意見を提出する。

③ 電子メールでfbzdjzc@vip.126.comに意見を送信する。電子メールの件名には、コメント用に「インターネット上での不公正な競争法の禁止に関する規定（パブリックコメントの草案）」という言葉を付ける必要がある。

④ .郵送の場合、意見は、北京市西城区三河東路8号市場監督総局価格監督競争局（郵便番号：100820）に郵送し、「不公正な競争の禁止に関する規定」と表に記入する。インターネット上（コメントの公開勧誘）封筒ドラフト）「コメントの勧誘」。  

　　添付資料：インターネット上での不公正な競争の禁止に関する規定草案(全40条）ダウンロードで入手する。

２．インターネット上での不公正な競争の禁止に関する規定草案

パブリックコメント対象のドラフトを仮訳する。

第1章 一般規定

第1条：不公正なオンライン競争を阻止および防止し、革新を奨励および支援し、市場秩序において公正な競争を維持し、事業者および消費者の正当な権利と利益を保護し、公正などのデジタル法の持続可能かつ健全な発展を促進するため、中華人民共和国の競争法（「独占禁止法(中华人民共和国反不正当竞争法)(以下、不正競争法)」 (注1)、「電子商取引法(中华人民共和国电子商务法)」(以下、電子商取引法)」 (注2)、「中華人民共和国行政罰法（以下、行政罰法）」 (注3)等の規定の明確化のために本規定を策定する。 

第一条 为了制止和预防网络不正当竞争行为，鼓励和支持创新，维护公平竞争的市场秩序，保护经营者和消费者的合法权益，促进数字经济规范持续健康发展，根据《中华人民共和国反不正当竞争法》（以下简称反不正当竞争法）《中华人民共和国电子商务法》《中华人民共和国行政处罚法》（以下简称行政处罚法）等法律，制定本规定。

第2条：インターネットおよびその他の情報ネットワーク（以下、「ネットワーク(网络)」という）を介して生産および事業活動を行う事業者は、自主性、平等、公正、誠実および倫理の原則に従い、法令及びこれらの規定を遵守し、事業を遵守するものとする。事業者は、インターネット上での不公正な競争の実施または実施を支援したり、市場競争の秩序を乱したり、市場での公正な取引に影響を与えたり、他の事業者または消費者の合法的な権利および利益を直接的または間接的に損なったりしてはならない。

第二条 经营者通过互联网等信息网络（以下简称网络）从事生产经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律法规及本规定，遵守商业道德。

经营者不得实施或者帮助实施网络不正当竞争行为，扰乱市场竞争秩序，影响市场公平交易，直接或间接损害其他经营者或者消费者的合法权益。

第3条：市場規制のための中国政府は、全国的なネットワークの反不公正な競争活動を組織し、指導し、主要なネットワークの不公正な競争事件を調査し、処理する責任がある。市場の監督および管理の責任を果たす郡レベル以上の人民政府の部門（以下、市場監督部門(市场监管部门という）は、法律に従って不公正なオンライン競争の行為を調査し、対処するものとする。

第三条 国家市场监督管理总局负责组织指导全国网络反不正当竞争工作，查处重大网络不正当竞争案件。

县级以上人民政府履行市场监督管理职责的部门（以下简称市场监管部门）依法对网络不正当竞争行为进行查处。

第4条： 県以上の人民政府の反不公正競争調整機構のメンバーユニットは、調整と協力を強化し、地域におけるオンライン競争の主要な問題を共同で研究および解決し、オンライン不公正の包括的な競争行動を管理、調整するものとする。

第四条 县级以上人民政府反不正当竞争工作协调机制各成员单位，应当加强协调配合，共同研究解决本区域内网络竞争中的重大问题，协同开展对网络不正当竞争行为的综合治理。

第5条：すべての組織および個人が不公正なオンライン競争に対して社会的監督を行うことを奨励、支援、および保護する。ユニットまたは個人は、不公正なオンライン競争の疑いのある行為を市場監督部門に報告する権利を有し、市場監督部門は、報告を受けた後、直ちに報告に対処するものとする。

　業界団体やその他の社会組織に、インターネット上での不公正な競争行動に関する分析と調査を実施し、法律や規制に準拠して競争するようにメンバーユニットを指導および規制するよう奨励する。

第五条 鼓励、支持和保护一切组织和个人对网络不正当竞争行为进行社会监督。对涉嫌网络不正当竞争的行为，任何单位和个人有权向市场监管部门举报，市场监管部门接到举报后应当依法及时处理。

鼓励行业协会等社会组织对网络不正当竞争行为开展分析、研究，引导、规范会员单位依法合规竞争。

第6条：プラットフォーム事業者(平台经营者)は、プラットフォーム事業者の競争行動に関するガイダンスと基準を提供し、プラットフォーム事業者がこれらの規則に違反していると判断した場合、法律に従って必要な処分措置を講じ、適切な処分を維持するものとする。この情報は3年以上、法律監視付きチェックに従って受け入れる。

　必要な処分措置を講じた後に、プラットフォーム事業者が引き続き違法行為を行い、有害な結果を引き起こした場合、プラットフォーム事業者は、管轄の市場監督部門に違法な手がかりを迅速に報告するものとする。

第六条 平台经营者应当对平台内经营者的竞争行为提供指导、规范，发现平台内经营者有违反本规定的，应当依法采取必要处置措施，保存有关处置信息不少于三年并依法接受监督检查。

采取必要处置措施后，平台内经营者仍继续实施违法行为并造成危害后果的，平台经营者应当及时将违法线索报告有管辖权的市场监管部门。

第II章 オンラインにおける競争行動の一般規則

第二章网络竞争行为一般规范

第7条：生産および販売活動において、事業者はインターネットを使用して人々が他人の製品であると誤解したり、他人と特定の関係を持っていると誤解したりするよう次のような紛らわしい行動をとってはならない。

第七条 经营者在生产、销售活动中，不得利用网络实施下列混淆行为，引人误认为是他人商品或者与他人存在特定联系：

（1）他者に特定の影響を与えるドメイン名、ウェブサイト名、ウェブページの主要部分など、同一または類似のロゴの不正使用。

（2）他者に一定の影響を与えるアプリケーション・ソフトウェア、オンライン・ストア、セルフ･メディア(注4)、ゲーム・インターフェースなどのページデザイン、名前、アイコン、形状などと同一または類似のロゴの不正使用。

(3)他人が持っている商品名、商号（略称、フォントサイズなどを含む）、社会組織名（略称などを含む）、名前（ペンネーム、芸名、翻訳名など）の不正な設定検索キーワードとして一定の影響力。

(4)インターネットを使用して、自分が他人の製品である、または他人と特定の関係があると人々に誤解させるその他の紛らわしい行動。

 ネットワークサービスを提供する事業者は、他の事業者が前の段落で規定された紛らわしい行動を実行するのを助けてはならない。 

第七条 经营者在生产、销售活动中，不得利用网络实施下列混淆行为，引人误认为是他人商品或者与他人存在特定联系：

（一）擅自使用他人有一定影响的域名主体部分、网站名称、网页等相同或近似的标识；

（二）擅自使用与他人有一定影响的应用软件、网店、自媒体、游戏界面等的页面设计、名称、图标、形状等相同或近似的标识；

（三）擅自将他人有一定影响的商品名称、企业名称（包括简称、字号等）、社会组织名称（包括简称等）、姓名（包括笔名、艺名、译名）等标识设置为搜索关键词。

（四）其他利用网络实施的足以引人误认为是他人商品或者与他人存在特定联系的混淆行为。

提供网络服务的经营者不得帮助其他经营者实施前款规定的混淆行为。

第8条： 事業者は、以下の方法を用いて、事業者自身またはその製品の性能、機能、品質、名誉、資格等について虚偽または誤解を招くような商業的宣伝を行い、消費者または関連する公衆を欺いたり誤解させたりしてはならない。

（1）Webサイト、セルフ･メディア、およびその他のネットワーク手段を介したテキストの表示、デモンストレーション、説明、推奨、またはマーキング。

（2）ライブ･マーケティング(注5)、トピックマーケティング、プラットフォームの推奨、オンラインコピーライティングなどを通じて、商業マーケティング活動を実施する。

（3）その他のオンライン宣伝方法。

　事業者は、他の事業者が前項の虚偽または誤解を招く商業宣伝行為を行うことを支援してはならない。

第八条 经营者不得采取下列方式，对经营者自身或者其商品的性能、功能、质量、曾获荣誉、资格资质等作虚假或者引人误解的商业宣传，欺骗、误导消费者或者相关公众：

（一）通过网站、自媒体等网络手段进行展示、演示、说明、解释、推介或者文字标注；

（二）通过直播营销、话题营销、平台推荐、网络文案等方式，实施商业营销活动；

（三）其他网络宣传方式。

经营者不得帮助其他经营者实施前款虚假或者引人误解的商业宣传行为。

第9条： 事業者は、以下の方法を用いて、販売状況、取引情報、事業データ、事業者またはその製品の利用者評価について虚偽または誤解を招くような商業的宣伝を行い、消費者または関係者を欺いたり誤解させたりしてはならない。

（1）虚偽の取引または虚偽の取引の組織化。

（2）誤ったランキングまたは誤ったランキングの編成。

（3）架空の取引量、取引量、予約量、およびその他のビジネス関連のデータ情報。

（4）架空のユーザーレビュー、コレクション、いいね、投票、フォロワー、サブスクリプション、転送、その他のトラフィックデータ。

（5）誤解を招く表現などを使用して、否定的なレビューを隠したり、否定的なレビューの前後に：肯定的なレビューを配置したり、さまざまな商品やサービスの評価を大幅に区別しないなど。

（6）クリック、注意、読み取り、リスニング、表示、再生などの架空のインタラクティブ・データ。

（7）虚偽の主張、架空の予約、虚偽のパニック買いなどによる虚偽のマーケティング。

（8）キャッシュバック、赤い封筒、カードクーポンなどは、ユーザーに指定された評価、いいね、転送、対象を絞った投票、およびその他のインタラクティブな行動をさせるのに十分なこと。

（9）その他の虚偽または誤解を招く商業宣伝活動。

　事業者は、他の事業者が前項の虚偽または誤解を招く商業宣伝行為を行うことを支援してはならない。

第九条 经营者不得采取下列方式，对经营者自身或者其商品的销售状况、交易信息、经营数据、用户评价等作虚假或者引人误解的商业宣传，欺骗、误导消费者或者相关公众：

（一）虚假交易或者组织虚假交易；

（二）虚假排名或者组织虚假排名；

（三）虚构交易额、成交量、预约量等与经营有关的数据信息；

（四）虚构用户评价、收藏量、点赞量、投票量、关注量、订阅量、转发量等流量数据；

（五）采用误导性展示等方式，隐匿差评，或者将好评前置、差评后置，或者不显著区分不同商品或者服务的评价等；

（六）虚构点击量、关注度、阅读量、收听量、观看量、播放量等互动数据；

（七）采用谎称现货、虚构预订、虚假抢购等方式进行虚假营销；

（八）以返现、红包、卡券等方式足以诱导用户作出指定评价、点赞、转发、定向投票等互动行为；

（九）其他虚假或者引人误解的商业宣传行为。

经营者不得帮助其他经营者实施前款虚假或者引人误解的商业宣传行为。

第10条 ：事業者は、取引の機会または競争上の優位性を追求するために、ネットワーク取引に影響を与えるネットワーク・プラットフォームのスタッフ、ユニット、または個人に賄賂を贈るために財産またはその他の手段を使用してはならない。

第十条 经营者不得采用财物或其他手段，贿赂网络平台工作人员、对网络交易有影响的单位或者个人，以谋取交易机会或者竞争优势。

第11条：事業者は、インターネットを使用して、競合他社の商業的評判および製品の評判を損なうために、虚偽または誤解を招く情報を作成または拡散してはならない。

　前項の「虚偽の情報」とは、内容が虚偽であり、実際の状況と一致しない情報を指す。

前項の「誤解を招く情報」とは、真実ではあるものの、事実の一部しか記載しておらず、誤った関連付けにつながる可能性のある情報を指す。

　前項で述べた「競合他社の商業的評判および製品評判への損害」とは、他の事業者のネットワークトラフィック、商業広告収入、資金調達能力などの大幅な減少ならびに予測可能な取引機会を指す。商業収入、交渉力、ブランディング価値などの潜在的な競争力が損なわれる。

第十一条 经营者不得利用网络编造、传播虚假信息或者误导性信息，损害竞争对手的商业信誉、商品声誉。

前款所称“虚假信息”，是指内容不真实、与实际情况不符的信息。

前款所称“误导性信息”，是指信息虽然真实，但是仅陈述了部分事实，容易引发错误联想的信息。

前款所称“损害竞争对手的商业信誉、商品声誉”，是指使其他经营者的网络流量、商业广告收益、融资能力等显著减少或者下降，以及交易机会、可预期商业收益、议价能力、品牌价值等潜在竞争力受到损害。

第12条：事業者は、競合他社の商業的評判および商品的評判を損なうために以下の行為を行ってはならない。

（1）消費者の名の下に競合他社の製品の悪意のある評価を行うように他者を組織し、指示する。

（2）インターネットを介して虚偽または誤解を招く情報を悪意を持って広めるように他者を使用、整理、または指示すること。

（3）インターネットを使用して、競合他社の商品に対して、虚偽または誤解を招くリスクの警告、クライアントへの通知、警告レター、弁護士宛てレターまたは内部告発レターなどを作成する。

（4）競合他社のビジネス上の評判および商品の評判を損なう、虚偽または誤解を招く情報を作成または配布するその他の行為。

　セルフメディア、コメント後のサービスプロバイダーまたはユーザー、ネットワーク海軍およびその他の組織または個人は、他のオペレーターが前の段落で述べたアクションを実装するのを支援してはならない。

第十二条 经营者不得实施下列行为，损害竞争对手的商业信誉、商品声誉：

（一）组织、指使他人以消费者名义对竞争对手的商品进行恶意评价；

（二）利用或者组织、指使他人通过网络恶意散布虚假或者误导性信息；

（三）利用网络对竞争对手的商品作出虚假或者误导性的风险提示、告客户书、警告函、律师函或举报信等；

（四）其他编造、传播虚假或误导性信息，损害竞争对手商业信誉、商品声誉的行为。

自媒体、跟帖评论服务的提供者或使用者、网络水军等组织或个人，不得帮助其他经营者实施前款行为。

第III章 干渉などの不公正な競争を妨げるために技術的手段を使用することは禁じられる

第三章 禁止利用技术手段实施妨碍干扰等不正当竞争行为

第13条：事業者は、データ、アルゴリズム、その他の技術的手段を使用して、ユーザーの選択やその他の方法に影響を与え、トラフィックのハイジャック、干渉、悪意のある非互換性などを実行して、他のオペレーターによる合法的に提供されるネットワーク製品またはサービスの通常の運用を妨害または妨害してはならない。

第十三条 经营者不得利用数据、算法等技术手段，通过影响用户选择或者其他方式，实施流量劫持、干扰、恶意不兼容等行为，妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行。

   第14条：事業者は、他の事業者の同意なしに、他の事業者が合法的に提供するネットワーク製品またはサービスにリンクを挿入したり、ターゲットのリダイレクトを強制したりするなど、次のトラフィックハイジャック行動を実行してはなりません。

（1）他の事業者が合法的に提供するネットワーク製品またはサービスに、ジャンプリンクを挿入するか、自社の製品またはサービスへのリンクを埋め込む。

（2）キーワードの関連付けやその他の機能を使用して、ユーザーを欺いたり、クリックを誤解させたりするために、独自の製品やサービスへのリンクを設定する。

（3）技術的手段によるその他のトラフィック・ハイジャック行為。 

    第十四条 未经其他经营者同意，经营者不得在其他经营者合法提供的网络产品或者服务中，实施下列插入链接或者强制进行目标跳转等流量劫持行为：

（一）在其他经营者合法提供的网络产品或者服务中，插入跳转链接、嵌入自己的产品或者服务链接；

（二）利用关键词联想等功能，设置指向自身产品或者服务的链接，欺骗或者误导用户点击；

（三）其他通过技术手段进行流量劫持的行为。

第15条：事業者は、他の事業者が合法的に提供するネットワーク製品またはサービスを妨害する以下の行為を行うために技術的手段を使用してはならない。

第十五条 经营者不得利用技术手段，实施下列干扰其他经营者合法提供的网络产品或者服务的行为：

（1）他の事業者によって合法的に提供されているネットワーク製品またはサービスの使用を、誤解を招く、欺く、またはユーザーに変更、閉鎖、アンインストール、または放棄するように強制すること。

（一）误导、欺骗、强迫用户修改、关闭、卸载、放弃使用其他经营者合法提供的网络产品或者服务；

（2）ユーザーの意向に反してアプリケーションをダウンロード、インストール、実行したり、消費者の正当な権利や利益を害したり、他のオペレーターが合法的に提供する機器、機能、その他のプログラムの通常の操作に影響を与えたりすること。

（二）违背用户意愿下载、安装、运行应用程序，损害消费者合法权益或者影响其他经营者合法提供的设备、功能或者其他程序正常运行；

（3）基本的でない機能を備えたアプリケーションにアンインストール機能を提供しない、またはアプリケーションのアンインストールに障害を設定する、消費者の正当な権利と利益を損なう、または他のオペレーターによって合法的に提供される機器、機能、またはその他のプログラムの通常の操作に影響を与える行為。

（三）对非基本功能的应用程序不提供卸载功能或者对应用程序卸载设置障碍，损害消费者合法权益或者影响其他经营者合法提供的设备、功能或者其他程序正常运行；

(4)正当な理由なしに他の事業者によって合法的に提供されたネットワーク製品またはサービスのブロック、傍受、変更、シャットダウン、およびアンインストール、それらのダウンロード、インストール、操作、アップグレード、転送、および配布などの妨害する。

（四）无正当理由，对其他经营者合法提供的网络产品或者服务实施屏蔽、拦截、修改、关闭、卸载，妨碍其下载、安装、运行、升级、转发、传播等；

（5）検索結果における他の事業者のネットワーク製品またはサービスの自然なランキング位置を調整し、悪意のあるロックインを実装する。

（五）调整其他经营者的网络产品或者服务在搜索结果中的自然排序位置，并实施恶意锁定。

（6）他の事業者が合法的に提供するネットワーク製品またはサービスを妨害または妨害するその他の行為。

（六）其他妨碍、干扰其他经营者合法提供的网络产品或者服务的行为。

第16条：事業者は、他の事業者が合法的に提供する他のネットワーク製品またはサービスとの非互換性を悪意を持って実装するために技術的手段を使用してはならない。

第十六条 经营者不得利用技术手段，恶意对其他经营者合法提供的网络产品或者服务实施不兼容。

ある事業者が他の事業者によって合法的に提供されているネットワーク製品またはサービスとの非互換性を悪意を持って実装していないかどうかを判断するには、次の要素を包括的に考慮する必要がある。

认定经营者是否恶意对其他经营者合法提供的网络产品或者服务实施不兼容，应当综合考虑以下因素：

  (1)互換性のない行動の主観的な意図。

（一）不兼容行为的主观意图；

  (2)互換性のない動作の実装の範囲。

（二）不兼容行为实施的对象范围；

（3）互換性のない行動の実施が市場競争の順序に与える影響。

（三）不兼容行为实施对市场竞争秩序的影响；

（4）他の事業者によって合法的に提供されるネットワーク製品またはサービスの通常の運用に対する互換性のない動作の影響。

（四）不兼容行为对其他经营者合法提供的网络产品或者服务正常运行的影响；

（5）相容れない行動が、消費者の正当な権利と利益および社会福祉に与える影響。

（五）不兼容行为对消费者合法权益以及社会福利的影响；

（6）互換性のない行動が、誠実、ビジネス倫理、特定の業界慣行、慣行規範、自己規律の慣習などの原則に準拠しているかどうか。

（六）不兼容行为是否符合诚信原则、商业道德、特定行业惯例、从业规范、自律公约等；

（7）互換性のない動作が正当化されるかどうか。

（七）不兼容行为是否具有正当理由。

第IV章インターネット上で他の不公正な競争行為を実施するために技術的手段を使用することは禁じられる

第17条：事業者は、プラットフォームのスワイプ(注6)防止ペナルティメカニズム(platform's anti-swiping penalty mechanism)をトリガーし、競合他社の取引を減らすために、第三者と直接、組織化、または使用して、競合他社との高頻度の取引機会を短期間で実施したり、賞賛したりしてはならない。

第十七条 经营者不得直接、组织或者通过第三方，在短期内与竞争对手发生高频次交易或者给予好评等，触发平台的反刷单惩罚机制，减少该竞争对手的交易机会。

第18条：事業者は、特定の情報サービスプロバイダーの情報コンテンツおよびページを傍受またはブロックしてはならない。ただし、ユーザーに干渉を引き起こす頻繁にポップアップする情報、および閉じる方法を提供しないフローティングウィンドウやその他の情報を除く。

第十八条 经营者不得针对特定信息服务提供商，拦截、屏蔽其信息内容及页面，频繁弹出的对用户造成干扰的信息以及不提供关闭方式的漂浮、视窗等信息除外。

 第19条：事業者は、他の事業を妨害または妨害する「２者択一(二选一)」行動を実施するために、ユーザーの選択、流れの制限、シールド、製品の除去などに影響を与えることにより、他の事業者間の取引機会を減らすための技術的手段を使用してはならない。著者によって合法的に提供されたネットワーク製品またはサービスの運用は、公正な市場競争の秩序を乱す。

第十九条 经营者不得利用技术手段，通过影响用户选择、限流、屏蔽、商品下架等方式，减少其他经营者之间的交易机会，实施“二选一”行为，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行，扰乱市场公平竞争秩序。

　事業者は、取引対象の制限、販売エリアまたは時間の制限、プロモーションへの参加の制限など、技術的手段を使用して他の事業者のビジネス選択に影響を与えること、「２者択一」行動を実施すること、相手方を妨害または破壊することは許可されない。合法的に提供されたネットワーク製品またはサービスの通常の運用は、公正な市場取引の順序を混乱させる。

经营者不得利用技术手段，通过限制交易对象、限制销售区域或时间、限制参与促销等方式，影响其他经营者的经营选择，实施“二选一”行为，妨碍、破坏具有依赖关系的交易相对方合法提供的网络产品或者服务的正常运行，扰乱市场公平交易秩序。

 第20条：事業者は、技術的手段を用いて他の事業者のデータを違法に取得または使用したり、他の事業者が合法的に提供するネットワーク製品またはサービスの主要なコンテンツまたは一部を実質的に置き換えたり、他の事業者を不当に追加したりしてはならない。。事業者が。他の事業者のユーザーデータのセキュリティ、および他の事業者によって合法的に提供されるネットワーク製品またはサービスの通常の運用を妨害または妨害することによる運用コスト削減は禁止される。

第二十条 经营者不得利用技术手段，非法抓取、使用其他经营者的数据，并对其他经营者合法提供的网络产品或者服务的主要内容或者部分内容构成实质性替代，或者不合理增加其他经营者的运营成本，减损其他经营者用户数据的安全性，妨碍、破坏其他经营者合法提供的网络产品或者服务的正常运行。

第21条：事業者は、取引相手の取引情報、閲覧の内容と頻度、取引に使用する端末機器のブランドと価値等を収集・分析するために、データ、アルゴリズム、その他の技術的手段を使用してはならない。取引条件が同じである取引相手は、不当に異なる取引情報を提供し、取引権を知り、選択し、公正な取引権を侵害し、市場における公正な取引注文を混乱させる。

　この取引情報には、取引履歴、支払い意思、消費習慣、個人の好み、支払い能力、依存度、信用状態などが含まれる。

第二十一条 经营者不得利用数据、算法等技术手段，通过收集、分析交易相对方的交易信息、浏览内容及次数、交易时使用的终端设备的品牌及价值等方式，对交易条件相同的交易相对方不合理地提供不同的交易信息，侵害交易相对方的知情权、选择权、公平交易权等，扰乱市场公平交易秩序。

交易信息包括交易历史、支付意愿、消费习惯、个体偏好、支付能力、依赖程度、信用状况等。

第22条：事業者は、他の事業者が合法的に提供するネットワーク製品またはサービスの通常の運用を妨害または妨害するその他の行為を実施するために技術的手段を使用してはならない。

第二十二条 经营者不得利用技术手段，实施其他妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。

　他の事業者が合法的に提供するネットワーク製品またはサービスの通常の運用を妨げるか妨害するかを決定するために、以下の要因を包括的に考慮することができる。

判断是否造成妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行，可以综合考虑下列因素：

  (1)他の事業者が合法的に提供するネットワーク製品またはサービスが正常に使用できないか。

（一）是否导致其他经营者合法提供的网络产品或者服务无法正常使用；

  (2)他の事業者によって合法的に提供されているネットワーク製品またはサービスが、正常なダウンロード、インストール、またはアンインストールに失敗する原因となるかどうか。

（二）是否导致其他经营者合法提供的网络产品或者服务无法正常下载、安装或者卸载；

（3）他の事業者が合法的に提供するネットワーク製品またはサービスのコストを不当に増加させたかどうか。

（三）是否导致其他经营者合法提供的网络产品或者服务成本不合理增加；

（4）他の事業者が合法的に提供するネットワーク製品またはサービスのユーザー数または訪問数の不当な減少を引き起こしたかどうか。

（四）是否导致其他经营者合法提供的网络产品或者服务的用户或者访问量不合理减少；

   (5)それが消費者体験の不当な低下または他の利益における不当な損失を引き起こしたかどうか。

（五）是否导致消费者体验不合理下降或者其他利益遭受不合理损失；

   (6)実行された行為の数と期間の長さ。

（六）行为实施的次数、持续时间的长度；

  (7)行動の影響の地理的範囲と時間的範囲。

(七）行为影响的地域范围、时间范围等；

（8）その他の要因。

（八）其他因素。

第Ⅴ章 监督检查

第五章 监督检查

第23条：不公正なオンライン競争の場合については、通常の状況下では、管轄は「市場の監督および管理のための行政処分手続に関する規則(市场监督管理行政处罚程序规定)」に従って行われるものとする。

　ウェブサイトの作成者または管理者の居住地、運営者の実際の事業所、および違法な結果が発生する市場監督部門が最初に違法性に関する手がかりを発見したり、関連する報告を受け取ったりした場合、それらに対し管轄権を行使することがある。

第二十三条 对网络不正当竞争案件，一般情况下，应当按照《市场监督管理行政处罚程序规定》进行管辖。

网站建立者或者管理者住所地、经营者实际经营地、违法结果发生地的市场监管部门先行发现违法线索或者收到相关举报的，也可以进行管辖。

第24条：市場監督部門が不公正なオンライン競争事件を調査および処理する場合、事業者、利害関係者、および調査中の他の関連団体および個人は、関連情報または情報を誠実に提供し、データおよび事件に関連する情報データを偽造または破壊してはならない。市場監督部門が法律に従って職務を遂行することを妨げてはならず、調査を拒否または妨害してはならない。

第二十四条 市场监管部门在查办网络不正当竞争案件过程中，被调查的经营者、利害关系人及其他有关单位、个人应当如实提供有关资料或者情况，不得伪造、销毁涉案数据及相关资料，不得妨害市场监管部门依法履行职责，不得拒绝、阻碍调查。

第25条：事業者がこれらの規則に違反し、不公正な競争行為を行い、状況が深刻であるか重大な影響を与える場合、市場監督部門の行政処分を受け入れた後、インターネットおよび行動の結果を排除するための措置を講じることを国民宛て書面通知すること約する。

第二十五条 经营者违反本规定实施不正当竞争行为，情节严重或者造成重大影响的，在接受市场监管部门行政处罚后，应当通过网络向社会公开承诺整改书，承诺采取消除行为后果的措施。

第26条：市場監督部門は、事件処理の必要性に基づいて、事件に関連する電子証拠を収集および修正し、財務データを監査することを第三者の専門機関に委託することができる。

第二十六条 市场监管部门基于案件办理的需要，可以委托第三方专业机构对与案件相关的电子证据进行取证、固定，对财务数据进行审计。

第27条：新規かつ困難な場合については、市場監督部門は調査を支援する専門のオブザーバーを任命することができる。

この専門家のオブザーバーは、自身の専門知識、ビジネススキル、実務経験などに基づいて、事業者の競争行動にイノベーションの促進、効率の向上、消費者の正当な権利と利益の保護などの正当な理由があるかどうかについて意見を述べることができる。

第二十七条 对于新型、疑难案件，市场监管部门可以委派专家观察员参与协助调查。

专家观察员可以依据自身专业知识、业务技能、实践经验等，对经营者的竞争行为是否有促进创新、提高效率、保护消费者合法权益等正当理由提出意见。

第28条：専門オブザーバーは、同時に以下の条件を満たすものとする。

第二十八条 专家观察员应当同时满足以下条件：

  (1)優れた道徳的性格、公正さ、誠実さ、信頼性を備えている。

（一）具备良好的道德品质，公正、诚实、守信；

（2）法律、経済学、金融、またはコンピューター･サイエンスの学士号以上を取得している。

（二）拥有法学、经济学、金融学或计算机专业学士以上学位；

（3）インターネットまたは不公正な競争規制分野での5年以上の実務経験。

（三）在互联网或者不正当竞争规制领域至少有5年以上工作经验。

第29条：専門家のオブザーバーは、以下の状況のいずれかを回避するものとする。

第二十九条 专家观察员有下列情形之一的，应当回避：

  (1) 調査中の事業に一度就任した場合。

（一）曾经在被调查经营者处任职的；

（2）調査中の事業の競合他社での勤務またはパートタイム。

（二）在被调查经营者同业竞争者处任职或兼职的；

（3）調査を支援する専門家オブザーバーの参加が、調査中の事業の事業秘密およびその他の知的財産リスクの開示を伴うことを証明する証拠がある。

（三）有证据证明专家观察员参与协助调查存在泄露被调查经营者商业秘密等知识产权风险的；

（4）不公正な調査結果につながる可能性のある他の利益がある。

（四）有其他利害关系可能导致调查结果存在不公正的。

第30条：市場監督部門とその職員、第三者専門機関、専門家オブザーバー等は、調査中に学んだ業務上の秘密を秘密に保つ義務を負う。

第三十条 市场监管部门及其工作人员、第三方专业机构、专家观察员等对参与调查过程中知悉的商业秘密负有保密义务。

第VI章 法的責任

第六章 法律责任

第31条：本規定の第7条に違反する事業者は、独占禁止法第18条の規定に従い、市場監督部門によって罰せられるものとする。

第三十一条 经营者违反本规定第七条的，由市场监管部门依据反不正当竞争法第十八条的规定处罚。

第32条：これらの規則の第8条および第9条に違反する事業者は、独占禁止法第20条の規定に従い、市場監督部門によって罰せられるものとする。

第三十二条 经营者违反本规定第八、九条的，由市场监管部门依据反不正当竞争法第二十条的规定处罚。

第33条：本規定の第10条に違反する事業者は、独占禁止法第19条の規定に従い、市場監督部門によって罰せられるものとする。

第三十三条 经营者违反本规定第十条的，由市场监管部门依据反不正当竞争法第十九条的规定处罚。

第34条：これらの規則の第11条および第12条に違反する事業者は、独占禁止法第23条の規定に従い、市場監督部門によって罰せられるものとする。 

第三十四条 经营者违反本规定第十一、十二条的，由市场监管部门依据反不正当竞争法第二十三条的规定处罚。

第35条：本規定の第13、14、15、16、17、18、19、20、21、22条に違反する事業者は、独占禁止法第24条に規定されている市場監督部門の罰則規定に基づき罰せられる。

第三十五条 经营者违反本规定第十三、十四、十五、十六、十七、十八、十九、二十、二十一、二十二条的，由市场监管部门依据反不正当竞争法第二十四条的规定处罚。

第36条：本規定の第24条に違反する事業者は、独占禁止法第28条の規定に従い、市場監督部門によって罰せられるものとする。

第三十六条 经营者违反本规定第二十四条的，由市场监管部门依据反不正当竞争法第二十八条的规定处罚。

第37条：事業者が本規定の第6条および第25条の規定に違反する場合、法令に規定がある場合は、その規定に従うものとする。法令に規定がない場合、状況の厳しさに応じて、市場監督部門が違法所得の3倍未満、3万元(約509,200円)以下の罰金を科す。違法所得の場合は、1万元(169,700円)未満の罰金が科せられる。

第三十七条 经营者违反本规定第六、二十五条规定的，法律法规有规定的，依照其规定。法律法规没有规定的，市场监管部门视其情节轻重，给予警告，或者处以违法所得额三倍以下、但不超过三万元罚款的行政处罚；没有违法所得的，处以一万元以下的罚款。

第38条：オンライン競争を通じて競争を排除または制限するために支配的な市場での地位を乱用する事業者は、中華人民共和国の独占禁止法に従って取り扱われるものとする。

第三十八条 经营者滥用市场支配地位，实施网络竞争行为排除、限制竞争的，依据《中华人民共和国反垄断法》处理。

第39条：事業者が本規定に違反し、違法な利益を得る場合、法律に従って返金されるべきものを除き、行政罰法第28条の規定に従って没収されるものとする。

第三十九条 经营者违反本规定，有违法所得的，依据行政处罚法第二十八条的规定，除依法应当退赔的外，应当予以没收。

第7章 附則

第七章 附则

第40条：本規定は、2021年に施行するものとする。

第四十条 本规定自2021年 月 日起施行。

**********************************************************************************************

(注0)IoTやAIの普及に伴い、ビッグデータをはじめとするデータの利活用のますますの活性化が期待されています。安心してデータの利活用ができる環境を整備するため、データの保護強化を目的とした不正競争防止法の改正法が、平成30年5月23日に成立し、同月30日に公布されました。

　法改正は、2つの不正競争行為に関してなされており、技術的な制限手段の保護の強化は、平成30年11月29日より施行されています。データ保護に関する新たな「不正競争行為」（限定提供データに係る不正競争行為）の導入は、令和元年7月1日に施行日を迎えました。限定提供データに係る不正競争行為については、産業構造審議会不正競争防止小委員会において、具体例を盛り込んだわかりやすいガイドラインを策定すべきとの指摘を踏まえ、「限定提供データに関する指針」（以下、「指針」といいます）が策定され、平成31年1月23日に公表されています。以下略す(服部誠「第1回 2019年7月施行、ビッグデータの保護に関する改正不正競争防止法の概要と保護の対象となるデータ」から一部抜粋)

(注1)中華人民共和国反不正競争法(中华人民共和国反不正当竞争法)の日本語訳(jetro)

同法の改正経緯をあげておく。

（1993年9月2日第8回全国人民代表大会常任委員会第3次回総会で採択；2017年11月日第12回全国人民代表大会常任委員会第30次会議で改正案採択；2019年4月23日第13回全国人民代表大会常任委員会第10次回総会で「中華人民共和国建設法を含む8法改正の決定」で修正案が採択 )

（1993年9月2日第八届全国人民代表大会常务委员会第三次会议通过　2017年11月4日第十二届全国人民代表大会常务委员会第三十次会议修订　根据2019年4月23日第十三届全国人民代表大会常务委员会第十次会议《关于修改〈中华人民共和国建筑法〉等八部法律的决定》修正）

(注2)中華人民共和国電子商取引法の日本語訳(jetro)  (2019年1月1日施行)

(注3)中華人民共和国行政処罰法の日本語訳(jetro)(1996年3月17日公布)

(注4)自分自身を表現・発信するメディアのこと。主に自分自身のブランド向上のために、ブログやツイッター、YouTubeなどのウェブソーシャルサービスを介した情報発信のことを指す。

(注5)Why you should try Live Marketingから一部抜粋、仮訳する。

ライブマーケティング、または体験型マーケティング(Experiential Marketing)は、視聴者の注目を集める方法である。創造的で記憶に残る方法で視聴者と対話することにより、健全な関係が開花させる。結局のところ、関係は常に広告よりも強力です。なぜ私はそれを試す必要があるのか？ 私たちは、人々が必要なほとんどすべてのものにすぐにアクセスできる世界に住んでいる。そしてもちろん、マーケティングの世界はこの配信の一部です。おそらく、毎日数百または数千の広告を見たり、見たり、聞いたりします。時には、自分が売り込まれていることに気付かないこともある。

①Event Marketing：イベントは最も一般的な種類のライブマーケティングである。そのため、イベントは常に混乱しており、他のマーケティングと区別することが難しい場合があります。 しかし、それらは同じではない。

②Guerrilla Marketing:ゲリラ・マーケティングは物理的に街頭に出て、創造的で聴衆を驚かせる。この場合、イベントを宣伝することはできません。 特定の場所を念頭に置く必要はなく、イベントが開催される前にチケットを販売する必要もない。

③Brand Activation:ライブマーケティングの最後のタイプはブランド・アクティベーションである。これは通常、会社が新しい製品またはサービスを立ち上げるときに使用される。あなたの会社が新しいビジネスラインを促進する必要があるときにこれを適用するのは完璧である。クールで安価な体験を使用して、販売している製品を宣伝し、ブランドを活性化指せる。

(注6) スワイプ(swipe)とは、マルチタッチインターフェースにおける操作のうち、画面に触れた状態で指を滑らせる操作のことである。

一般的に、スワイプは画面を前後に移動するといった操作に多く用いられている。例えば、スマートフォン向けアプリの画像ビューアーの多くは、画面をスワイプすることで次の画像や前の画像を表示できるようになっている。電子ブックビューアーの場合も、スワイプによって次のページへ移動できるようになっていることが多い。スワイプ操作により、あたかも書籍のページをめくるような感覚で、手早く直感的に移動することができる。(IT用語辞典バイナリから一部抜粋)

****************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

大韓民国(韓国)個人情報保護委員会(PIPC)がFacebook、Netflix、Googleに対す罰金、是正命令、改善命令等制裁措置を発布

　筆者の手元に、8月25日付けの Data Guidanceのニュース「大韓民国(韓国):PIPCは、PIPAの違反のためにNetflix KRW 223.2M(約2074万円)の罰金を科す」が届いた。

　その概要は、韓国の個人情報保護委員会(PIPC)は8月25日、Netflixに2億2,320万KRW(約162,600ユーロ)の罰金を科したと発表した。「2011年個人情報保護法違反(2020年改正)(PIPA')」特に、PIPCは、Netflixが2つのアカウントでPIPAに違反し、サービスの登録プロセスが完了する前に同意なしに個人情報を収集したとして2億2,000万TRW(約160,400ユーロ)、海外での個人情報の移転の詳細を開示しなかったことにつき320万KRW(約2,300ユーロ)に違反したと指摘した。

 　このニュースでは、PIPCのリリース(ハングル語)へのリンクが張られている。筆者はハングル語は専門外であるが、念のためリPIPCリース文、PIPC調査第一課長の記者発表、質疑応答を読んだ。その結果はかなりの部分で相違があることが判明した。

　その一方でData Guidanceの解説「South Korea - Data Protection Overview」は、韓国の大手法律事務所Lee & Ko )の所属弁護士の解説であるが、極めて有意義であることが判明した。

 　したがって、今回のブログは(1)8月25日のPIPCのリリース文、(2)PIPC調査第一課長の記者発表と質疑応答の内容, (3)韓国の情報保護法立である2法の概要、(4)韓国の情報保護関係法、ガイダンスや判例の動向等につき順次仮訳しつつ、概観する。なお、韓国大法院(わが国の最高裁)の判決の検索方法も含め一部筆者の責任で補完した

１．8月25日のPIPCの発表内容

「PIPCなどの是正措置、海外企業に対する個人情報保護法および罰金の違反 : Facebook、Netflix、Googleに対する制裁措置」

　 ユーザーの同意なしに個人を識別できる顔認識情報の作成や使用など、プライバシー法に違反する海外のオンライン・プラットフォーム事業者に対して66億KRW(約6198万円)の罰金を課す。個人情報保護委員会(ユン・ジョン・イン(Yoon Jong In)委員長、以下、PIPCという)は、8月25日(水)に第14回全会合を開催し、フェイスブック、ネットフリックス、グーグルを含む3社に対して合計66億6000万ウォン(6,254万円)の罰金と2,900万ウォン(272万円)の罰金を課し、是正命令、改善勧告、宣伝などの是正措置を採決した。

※詳細は添付HWPファイルをダウンロードして確認されたい。

２． 個人情報保護委員会(PIPC) (注1)調査1課長のパク・ヨンス(최홍석)の記者発表と質疑応答

(1)記者発表

 PIPC 調査1課長のパク・ヨンス(최홍석)です。

　 8月5日の午後14時、第14回のPIPCで議決されたFcebook,、Netflix,、Googleへの個人情報保護法違反に対する処分内容を申し上げる。

　PIPCは、2020年の国政監査の過程で「海外事業者の個人情報の収集に同意方式に問題がある」というミン・ギョンドク(Kyung-Duk Min)ソウル国立大学研究助教の指摘と市民団体の告発などによる後続措置として、今回の調査を開始した。

　これまでの調査結果をもとに、過去13回の委員会の会議で被告側の意見陳述を十分に聞いて、これをもとに本日の会議での主要な争点についての議論を経て議決した。

　調査の結果、Facebook、NetflixおよびGoogleの3つの事業者の法違反を摘発し、個人情報保護の実態が不十分である事実を確認した。

　まず、(1)Facebookの関連事項を申し上げる。

　Facebookは2018年4月から2019年9月まで約1年5ヶ月間において利用者の同意なしに顔認識テンプレートを作成・収集し、これらの違反行為に対して、64億4,000万ウォン(約6012万円）の課徴金を科した。

　また、違法な住民登録番号の収集、個人情報の処理の主催者の変更未通知、個人情報の処理委託および国外移転関連の未公開、資料未提出につき2,600万ウォン(約244万円)の課徴金を科した。

　同意のない顔認識情報収集等については是正命令を発し、カード情報などの個人情報を追加収集時の法定免責事項が不明確で、個人情報の処理の実態が不十分な点については改善を勧告した。

次に、(2)Netflixの関連事項につき申し上げる。

　Netflixは、サービス加入手続きが完了する前に同意なしに個人情報を収集し、これらの法律違反行為に対して2億2,000万ウォン(約2066万円)の課徴金の賦課と是正命令を発した。

　また、個人情報の国外移転関連の内容を公開していない行為については、320万ウォン(約30万円)の課徴金を科した。

　最後に、(3)Googleの場合は、法違反と見ることができる点は見いだせなかったが、個人情報を追加収集時の法定上の告知が不明確で、海外への個人情報の移送につき項目を具体的に明示していない行為について、これを改善するように勧告した。

　海外事業者の個人情報の収集にかかる同意方式にかかる今回の調査は、完結したものではなく、追加の事実関係確認や法令の検討などが必要な事項については、引き続き調査を続けていく予定である。

　議決に先立ち、PIPCユン・ジョン・イン(Yoon Jong In )委員長は、インターネット事業者の同意方式について深い懸念を表明した。

Yoon Jong In 氏

　その内容としては、データ時代の個人情報の利用は、企業と情報主体の両方に非常に重要であり、情報主体との情報処理事業者との間の信頼関係が基本とされなければされサービスの提供に不可欠ではない情報を必要な情報に収集の同意をするように要求した場合、個人情報の提供に同意しない場合のサービス提供自体を拒否した場合などについて、個人情報の収集に偏った技術とデザインは、情報主体の個人情報保護のための合理的期待を満たしていないことを強調し、これらの相互信頼を阻害する行為については、深い懸念を表明した。

　これに関連して、Facebookの同意のない顔認識情報の収集も、これらの基本的な内容で照らしたとき深刻に懸念される事項と述べた。

　明確ではない表現や誤解を招くことができる文言の構造などは、情報取扱者の相対的な情報優越性とサービスを提供するかどうかについての最終的な決定権などが結合するとき、情報主体にとって、本人の権利行使を大きく制約になるという点に関し、情報主体を欺くか、不当に利用したり、情報主体に危険なデザインをしていないことに注意を喚起した。

　PIPCは、今後の調査においても、これらの点を見落としていないか等を探っていく予定である。

(2)続いてメディア向けe-ブリーフィングシステム(https://ebrief.korea.kr）に入る。

<質問1>調査の結果をよく見て、今後、追加となる事実関係の確認や法令の検討が必要な場合は調査を継続する計画がある旨述べられたが、本日発表されたFacebook、NetflixやGoogleのほか、別の海外事業者を対象に、追加調査の計画があるのか、具体的に今後の計画を申し上げていただければ幸いである。

 <回答>現在、追加調査というのは事業者を追加するという意味で言っているのではなく、現在この3つの事業者が中心に調査をすることになるということである。今後の訴訟に備えての法令の検討が必要な部分がいくつかの残されているが、そのような部分に対して継続調査を行うという意味である。

 <質問2>（司会者）それでは、インターネットに入ってきた質問を以下述べる。コリア・ネット(8/26(23)の記者が質問していただていたが、この質問はこの前に課長が言われた点で、その答えと同じであるため次に移る。

　次に聯合ニュースの次長から「今回の制裁対象である3社の個人情報保護対策が不十分で、個人情報の侵害被害を受けた利用者数を聞きたい」という質問をいただいた。

 <回答>今、個人情報の違法収集数に関連して、補足すると、まず、Facebookは2018年4月19日から2019年9月2日までの1年5ヶ月間の違反行為があった期間中に韓国人の利用者の顔認識情報が収集された場合が約20万人にあたる。そして、NetFlixの場合は、2020年基準で見たときに参加を中断したり、登録を中止したが、個人情報が収集された同意なしに収集された利用者は500万に達した。

 <質問3>（司会者）は、次のコリア・ネットの記者が質問をいただいた。「

Facebookはサインアップ時に住民登録番号を収集していないことを知っているが、何らかの理由で住民登録番号の不法処理が問題となったのか説明してほしい」という質問をいただいた。

 <回答>Facebookが住民登録番号を収集したのは、サイインアップ時ではなく、アカウントを紛失したりして、それを再活性化したり、ユーザ名を再確認する過程で身元確認が必要だが、その身元確認をするための手段として、政府発行身分証明書、または非政府発行の身分証明書の両方を使用可能にはなっていた。しかし、そこに運転免許証とか、政府発行の身分証明書が上がってくるようにしており、そこを通じて住民登録番号が収集されたものである。

<質問4> Facebookは200年11月にも、個人情報保護法の違反行為で67億ウォン(約6億1062万円)の課徴金を受けており、今回も少なくない課徴金命令を受けた｡その前に、Facebookはこのような部分について、Facebookが釈明したのか？

<回答.4>フェイスブックの代理人が出席しており、私はその当時Facebook Korea )から次の答えを得た。

 例えば、住民登録番号の収集と関連して、すでに収集されている住民登録番号は、削除する過程を経たとするそれは我々が是正命令、履行点検の過程で確認すべき事項であり、その削除措置と非識別措置にするソリューションを開発する作業を開始した。それが2021年の年末までに完了目標にしているとしているが、その内容も「是正命令」、「履行点検」の過程で確認する予定である。

３．韓国の情報保護法立法である2つの法律の概要

  以下の内容は、Lee & Ko法律事務所の2人の弁護士であるKwang Bae Park氏とMinchae Kang 氏の解説「South Korea - Data Protection Overview」から抜粋し、筆者が仮訳した。(同法律事務所のメンバ‐によるより詳細な解説がある)

　なお、いうまでもないが、PIPCサイトではこのほかの活動内容が説明されている。わが国の保護委員会の報告等と比較されたい。

著者

Kwang Bae Park氏(Lee & Ko法律事務所の Technologies, Media & Telecommunications practice group.リーダー)

Minchae Kang 氏(同上)

(1) 法律

A, 主要な法律、規則、指令、法案

　一般的に、韓国のデータ保護法は、個人データの取り扱いのライフサイクル全体にわたって非常に規範的な特定の要件を提供し、事前の通知とオプトインの同意の要件、および法律で規定された比較的重い制裁のために、それらは知られている世界で最も厳格なデータ保護法の1つとしてデータ保護法は、特定の産業部門に関連する一般法といくつかの特別法で構成されている。

「一般データ保護法」

　個人データの収集と処理は、包括的な一般データ保護法である「2011年個人情報保護法(법령 제,개정목록 펼치기 Act No. 16930, Feb. 4, 2020 )（2020年に一部改正）（「PIPA」）」に準拠する。

　2020年2月4日、韓国の国会はPIPA（韓国語でのみダウンロード可能）のいくつかの修正案（「2020年修正案」）を可決し、2020年8月5日に施行した。特に2020年修正案には、とりわけ次のものが含まれる。

①偽名および匿名処理の改訂された定義。

②①に関連する要件、制限、ペナルティ。

③個人情報保護委員会（PIPC）内で個人情報保護サービスを一元化するための措置。

「特定の業界におけるデータ保護にかかる特別法」

　特定の業界における個人データの取り扱いを規制する特別な法律がある。特に、「2009年信用情報の使用と保護に関する法律（2020年改正前の英語版)、最新版は韓国語でのみ利用可能）（UPCIA）」がある。

　一方、情報通信サービス提供者およびそのような情報の受信者（「ICSP」）による個人データの処理は、以前は「情報通信ネットワーク利用促進法および情報保護法2001（2020年改正なしの英語版が利用可能）」に準拠していた。 ここ;最新バージョンは韓国語でのみ利用可能）（「ICNA」）は、2020年8月5日にICNAから関連条項が削除され、PIPAに移管された後、PIPAによって管理されるようになった。これらの条項は現在、 新しい章としてのPIPA（「ICSPの特別規定」に追加された）。

(2) 法解釈ガイドライン

　データ保護当局は、個人データの保護に関連するさまざまなガイドラインを発行している。

①行政安全部（「MOIS」）(注2)が発行したデータ保護法規制の解釈ガイド（韓国語でのみダウンロード可能、こちら。最近のPIPAの改正に伴い、更新されたガイドが発行される予定である ）;

②国務調整室(Office for Government Policy Coordination, Prime Minister's Secretariat)、MOIS、放送通信委員会（KCC)、金融サービス委員会（Financial Services Commission:FSC)､科学技術情報通信部、および厚生省の共同リーダーシップの下で行われた政府全体の発表によって発行された「個人データの再特定化可能な方式による個人情報の非特定化、匿名化に関するガイドライン(Guidelines for De-identification of Personal Data 2016)」、

③PIPCによって発行された｢個人データの仮名化のガイドライン｣。

④PIPCが発行する｢個人データの仮名化に関するガイドラインの草案(ボリューム:仮名化された個人データの組み合わせとエクスポート)｣

⑤金融セクターにおける個人データの仮名化と匿名化(Anonymization)に関するハンドブック

　このようなガイドラインには拘束力のある法的効力はない。それでも法律や規制が実際にどのように解釈される可能性があるかについての有用な参考資料として役立つ可能性がある。

(3) 判例法

　民法管轄である韓国の主な法的権限の源泉は、コモンロー管轄の判例法、特に韓国憲法の制定法および韓国政府や国会によって制定された法令とは対照的に立法である。ただし、最近、いくつかの重要な裁判所の決定が出された。これらは、データ保護法および規制が実際にどのように解釈されるかについての有用な参考資料として役立つ可能性がある。

①2017年4月7日に決定された大法院（대한민국 대법원： Supreme Court of Korea わが国の最高裁判所) 判決2016Do13263では、事業者たる被告がデータ主体が同意した内容を明確に理解することが困難な状況で個人情報を収集したとして、大法院は彼らが提供した同意が法律で規定された満足のいく手続き、すなわち通知が1mmのフォントサイズで提供された場合、データ主体から得られた同意を無効とした。

この大法院の判決の検索手順を説明する。

 大法院のHP →Supreme Court →Decisions→All を選択→事件番号(2016Do13263)を入力後検索→該当判決が表示

②2019年5月3日に決定されたソウル高等法院（「高等法院」）の決定2017Na2074963 / 2017Na2074970（統合）において、高等法院は、韓国薬品情報センターが同意なしに患者の処方データを第三者に提供することは、PIPA違反であると判断した。同時に、高等法院は、個人情報が特定の個人を特定することを不可能にする暗号化などの適切な識別解除措置を受けた場合、データ主体の同意なしに第三者にそのような識別されていないデータを提供することは、PIPAの違反とみなされるべきではないと指摘した。

*************************************************************************

(注1) PIPCの組織図を以下あげる。役割や責任が明確化していることはうらやましい。

 (注2) 行政安全部は、大韓民国の中央行政機関。行政安全部の長を行政安全部長官と称し、国務委員が任命される。諸外国の内務省、日本の総務省と警察庁に相当する。 (Wikipediaから一部抜粋 )

************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

中国、全国人民代表大会常任委員会で個人情報保護法(中华人民共和国个人信息保护法：PIPL)を可決(その３完)

３．引用される行政規則中、「オンラインでの子供の個人情報の保護に関する規定(儿童个人信息网络保护规定)」の概要の解説

「オンラインでの子供の個人情報の保護に関する規定」は、中国インターネット情報局の事務局会議で審議および承認されており、これにより発表され、2019年10月1日に施行している。

関係法令「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法(中华人民共和国未成年人保护法)」(注7)等の法令に基づき、子どもの安全を守り、子どもの健康な成長を促進するためこの規定を置く。

第１条：この規定は、児童の個人情報の安全を守り、児童の健全な育成を促進するため、中華人民共和国サイバーセキュリティ法、未成年者保護法(中华人民共和国未成年人保护法)」その他の法令に基づき定める。

第2条：この規定において「子供」とは、14歳未満の未成年者をいう。

第3条：この規定は、中華人民共和国の領土内で、インターネットを通じて児童の個人情報の収集、保存、利用、移転、開示等に従事する場合に適用される。

第4条：いかなる組織または個人も、児童の個人情報の安全を侵害する情報を作成、公開、または広めてはならない。

第5条:児童の保護者は、保護義務を正しく遂行し、児童の個人情報保護に対する意識と能力を高め、児童の個人情報の安全を保護するよう教育し、指導しなければならない。

第6条：インターネット業界団体は、児童の個人情報保護に関する業界規範及び行動規範の策定をネットワーク事業者に指導し、業界の自主規制を強化し、社会的責任を果たすよう奨励する。

第7条：ネットワーク事業者は、児童の個人情報を収集、保存、利用、転送、開示する場合、適切な必要性、インフォームドコンセント、目的の明確化、安全・安心、法律に基づく利用の原則を遵守しなければならない。

第8条：ネットワーク事業者は、児童の個人情報保護に関する特別規則及び利用者契約を定め、児童の個人情報保護に責任を負う者を任命する。

第9条:ネットワーク事業者は、児童の個人情報を収集、利用、転送、または開示する場合、児童の保護者に対し、重要かつ明確な方法で通知し、児童保護者の同意を得るものとする。

第10条：ネットワーク事業者は、児童保護者の同意を得たときは、拒否オプションも提供し、以下の事項を明示しなければならない。

 (1)お子様の個人情報の収集、保存、利用、転送、開示の目的、方法、範囲

 (ii) お子様の個人情報が保管される場所、期間、および有効期限後の処理方法

 (iii) お子様の個人情報の安全管理措置

 (iv) 拒絶の結果。

 (v) 苦情、報告のチャネルと方法

 (vi) お子様の個人情報の訂正・削除方法

 (vii) その他通知すべき事項。  

　前項の通知事項に実質的な変更が生じ生じた場合は、児童保護者の同意を得るものとする。

第11条：ネットワーク事業者は、提供するサービスに関係のない児童の個人情報を収集したり、法令、行政規則の規定、両当事者の合意に違反して児童の個人情報を収集したりしてはならない。

第12条：ネットワーク事業者は、収集・利用目的の達成に必要な期間を超えて、児童の個人情報を保管してはならない。

第13条：ネットワーク事業者は、児童の個人情報を保管し、情報の安全性を確保するため、暗号化その他の措置を講ずるものとする。

第14条：ネットワーク事業者は、児童の個人情報を利用し、法令及び行政規則の規定及び双方が合意した目的及び範囲に違反してはならない。運用上の必要性により、合意された目的または範囲を超えて使用する必要がある場合は、児童保護者の同意を得るものとする。

第15条：ネットワーク事業者は、職員に対し、最小限の権限の原則に基づき、情報へのアクセスを厳格に設定し、児童の個人情報の範囲を管理するものとする。 職員が児童の個人情報にアクセスする場合は、児童個人情報保護責任者又はその権限のある管理者の承認を得て、アクセスを記録し、児童の個人情報の違法コピー又はダウンロードを防止するための技術的措置を講ずるものとする。

第16条：ネットワーク事業者は、児童の個人情報の取扱いを第三者に委託する場合、委託先及び委託行為等について安全評価を行い、委託契約に署名し、双方の責任、取扱い事項、処理期間、処理の性質及び目的等を明確にし、委託行為が認可の範囲を超えないものとする。

 前項の委託先は、次の義務を履行しなければならない。

 (ⅰ)法令、行政規則、ネットワーク事業者の要請により、児童の個人情報を取り扱う。  

 (ii)児童保護者からの申請に応じて、ネットワーク事業者を支援する。  

 (iii)情報セキュリティ対策を講じ、児童の個人情報漏洩のセキュリティインシデントが発生した場合に、速やかにネットワーク事業者にフィードバックすること。  

 (ⅳ)委託関係が解消された場合、速やかに児童の個人情報を削除すること。  

 (v)委託を譲渡してはならない。  

(vi) その他、法律により履行すべき児童の個人情報保護義務

第17条：ネットワーク事業者が児童の個人情報を第三者に譲渡する場合、その利用者は、自己又は第三者の機関に安全評価を委託しなければならない。

第18条：ネットワーク事業者は、法令及び行政規則により開示すべき場合、又は児童保護者との合意により開示できるものを除き、児童の個人情報を開示してはならない。

第19条：児童又はその保護者は、ネットワーク事業者が収集、保管、利用、開示した児童の個人情報に誤りがあると認めた場合、ネットワーク事業者に訂正を求める権利を有する。 ネットワーク事業者は、速やかに是正措置を講ずるものとする。

第20条：児童又はその保護者が、ネットワーク事業者に対し、収集、保管、利用、開示する児童の個人情報の削除を求められた場合、ネットワーク事業者は、以下の場合を含むがこれらに限定されない速やかに削除するための措置を講ずるものとする。

 (ⅰ)ネットワーク事業者が、法令、行政規則、または両当事者の合意に違反して、お子様の個人情報を収集、保存、使用、転送、または開示すること。  

 (ii)お子様の個人情報を収集、保存、使用、転送、または開示する目的の範囲を超えて、または必要な期間、  

 (iii)児童保護者が同意を撤回すること。

 (iv)子供またはその保護者は、キャンセル等によって製品またはサービスの使用を終了する。

第21条：ネットワーク事業者は、児童の個人情報の漏えい、破壊、紛失の可能性があるときは、直ちに緊急計画を開始し、是正措置を講ずるものとする。

第22条：ネットワーク事業者は、インターネット通信部門及びその他の関連部門が法律に従って実施する監督及び検査に協力するものとする。

第23条：ネットワーク事業者は、製品又はサービスの運営を停止するときは、直ちに児童の個人情報の収集を中止し、保有する児童の個人情報を削除し、その業務停止の通知を速やかに児童保護者に通知しなければならない。

第24条組織または個人は、本規約の違反を発見した場合、ネットワーク安全情報化機関NetCIT部門およびその他の関連部門に報告することができる。

 NetChat部門及びその他の関連部門が関連報告を受けた場合、その職務に従って速やかに処理しなければならない。

第25条：ネットワーク事業者は、児童の個人情報の安全管理に対する責任が不十分であり、重大なセキュリティリスク又はセキュリティインシデントが発生した場合、ネットワーク通信部門は、その職務に応じてインタビューを行い、ネットワーク事業者は、隠れた危険を排除するために、速やかに是正措置を講ずるものとする。

第26条：この規定に違反した場合、ネットワーク通信部門及びその他の関連部門は、その職務に従い、中華人民共和国サイバーセキュリティ法、インターネット情報サービス管理措置、その他の関連法令の規定に従って処理し、犯罪を構成する者は、法律に従って刑事責任を追及されるものとする。

第27条：この規定に違反して法的責任を問われた者は、関連する法律及び行政規則の規定に従って信用記録に記録され、公表されるものとする。

第28条：コンピュータ情報システムを通じて処理情報を自動的に保持し、保持された処理された情報が子供の個人情報であることを認識できない場合、その他の関連規定に従って行われるものとする。

第29条:この規定は、2019年10月1日から施行する

***********************************************************************************

(注7)1991年9月4日中华人民共和国主席令第五十号公布:1992年１月１日施行

*******************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

中国、全国人民代表大会常任委員会で個人情報保護法(中华人民共和国个人信息保护法：PIPL)を可決(その２)

 

第5章：個人情報処理者の義務

第51条：個人情報処理者は、個人情報処理活動が、処理目的、処理方法、個人情報の種類、個人の権利と利益への影響、および起こり得るセキュリティリスクに従って、法律および行政に準拠することを保証するために、規制、および不正アクセスや個人情報の漏えい、改ざん、紛失を防止るため、以下の措置を講じるものとする。

（1）内部管理システムと運用手順を策定する。

（2）個人情報の分類管理を実施する。

（3）暗号化や匿名化などの対応するセキュリティ技術的手段を採用する。

（4）個人情報処理の運営権限を合理的に決定し、実務家向けの安全教育および訓練を定期的に実施する。

（5）個人情報セキュリティインシデントの緊急計画の実施を策定および編成する。

（6）法令等に定めるその他の措置。

第52条：国家サイバーセキュリティ情報部門が定める数量までの個人情報を処理する個人情報処理者は、個人情報処理活動および講じられた保護措置を監督する責任を負う個人情報保護の責任者を任命するものとする。

個人情報処理者は、個人情報保護担当者の連絡先情報を開示し、個人情報保護担当者の氏名及び連絡先情報を個人情報保護業務部門に提出する。

第53条：この法律の第3条の第2段落に規定されている中華人民共和国外の個人情報処理者は、人民共和国の領土内に専門機関または指定された代表者を設立するものとする。名前または代表者の名前、連絡先情報など。個人情報保護業務を行う部門に提出するものとする。

第54条：個人情報処理者は、法令及び行政規則を遵守し、個人情報の取り扱いについて定期的にコンプライアンス監査を行うものする。

第55条：以下のいずれかを行う場合、個人情報処理者は、事前に個人情報保護の影響評価(impact assessment)(注4)を実施し、処理状況を記録するものとする。

（1）機密性の高い個人情報の処理。

（2）個人情報を使用して自動化された意思決定を行う。

（3）個人情報の処理を委託し、他の個人情報処理者に個人情報を提供し、個人情報を開示すること。

（4）海外での個人情報の提供。

（5）個人の権利および利益に重大な影響を与えるその他の個人情報処理活動。

第56条：個人情報保護の影響評価には、以下の内容を含めるものとする。

（1）個人情報の処理目的および処理方法が合法であり、適切かつ必要であるかどうか。

（2）個人の権利とセキュリティリスクへの影響。

（3）採用された保護措置が合法であり、効果的であり、リスクの程度に適合しているかどうか。

個人情報保護影響評価報告書および処理記録は、少なくとも3年間保管する必要がある。

第57条：個人情報の漏えい、改ざん、または紛失が発生した場合、または発生する可能性がある場合、個人情報処理者は、直ちに是正措置を講じ、個人情報保護業務を行う部門および個人に通知するものとする。この通知には、次の項目を含める必要がある。

（1）個人情報の漏えい、改ざん、または損失の種類、理由、および考えられる危害が発生した、または発生する可能性がある。

（2）個人情報処理者が講じた是正措置および個人が危害を軽減するために講じることができる措置。

（3）個人情報処理者の連絡先。

情報の開示、改ざん、紛失により危害を及ぼすことを効果的に回避するための措置を講じる者は、個人情報を取り扱う者に通知しない場合がある。 個人情報保護の義務を遂行する部門が、それが害を及ぼす可能性があると考える場合、個人情報を取り扱う人に個人に通知するよう要求する権利を有するものとする。

第58条：重要なインターネットプラットフォームサービス、多数のユーザー、および複雑なタイプの個人情報処理を提供する者は、以下の義務を履行するものとする。

（1）国内規制に基づく個人情報保護コンプライアンス体制の構築・改善、個人情報の保護を統括する外部会員を中心とした独立組織の設置。

（2）オープン性、公平性、正義の原則に従い、プラットフォームのルールを策定し、プラットフォーム上の製品またはサービスプロバイダーによる個人情報の処理の基準と個人情報を保護する義務を明確にする。

（3）法律および行政規則に重大な違反をした個人情報を扱うプラットフォームで、製品またはサービスプロバイダーへのサービスの提供を停止する。

（4）個人情報保護に関する社会的責任報告書を定期的に発行し、社会的監督を受け入れる。

第59条：個人情報の処理の委託を受理する受託者は、本法及び関連法令及び行政規則の規定に従い、処理する個人情報の安全を確保するために必要な措置を講じ、この法律の規定義務を履行すべく情報処理者の履行を支援するものとする。

第6章：個人情報保護業務を行う行政部門

第60条：国家サイバースペース管理局は、個人情報保護および関連する監督と管理の全体的な計画と調整に責任を負う。国の議会の関連部門は、本法および関連法および行政規則の規定に従い、それぞれの職務の範囲内で個人情報の保護および監督と管理に責任を負うものとする。

郡レベル以上の地方人民政府の関連部門の個人情報の保護および監督と管理の責任は、関連する国内規制に従って決定されるものとする。

前2項に規定する部門を総称して、個人情報保護業務を行う部門という。

第61条：個人情報保護業務を行う部門は、以下の個人情報保護業務を行います。

（1）個人情報保護の宣伝および教育を実施し、個人情報処理者を指導および監督して、個人情報保護作業を実施する。

（2）個人情報の保護に関する苦情および報告の受理および処理。

（3）申請書等の個人情報保護の評価を整理し、評価結果を公表。

（4）違法な個人情報処理活動の調査および取り扱い。

（5）法令及び行政規則に定めるその他の義務。

第62条：国家サイバースペース管理局は、この法律に従って以下の個人情報保護作業を促進するために関連部門を調整するものとする。

（1）個人情報保護のための特定の規則および基準を策定する。

（2）小規模な個人情報処理業者、機密性の高い個人情報の処理、および顔認識や人工知能などの新しいテクノロジーとアプリケーションのための特別な個人情報保護規則と基準を策定する。

（3）安全で便利な電子ID認証技術の研究、開発、促進を支援し、ネットワークID認証のための公共サービスの構築を促進する。

（4）個人情報保護のための社会福祉制度の構築を促進し、関係機関が個人情報保護の評価および認証サービスを実施することを支援する。

（5）個人情報保護に関する苦情および報告の作業メカニズムを改善する。

第63条：個人情報保護業務を行う部門は、個人情報保護業務を行う際に以下の措置を講じることができる。

（1）関係者への問い合わせ、および個人情報処理活動に関連する状況の調査。

（2）当事者の契約書、記録、帳簿、および個人情報処理活動に関連するその他の関連資料を参照およびコピーする。

（3）立入検査を実施し、違法と思われる個人情報処理活動を調査する。

（4）個人情報処理活動に関連する機器および物品の検査;それらが違法な個人情報処理活動に使用されていることを証明する証拠がある場合、書面による報告書を部門の主たる責任者に提出し、承認するものとする。それらは封印または押収される可能性がある。

個人情報保護業務を行う部門は、法令に基づき業務を遂行し、関係者は、支援・協力を行い、拒否または妨害してはならない。

第64条：個人情報保護業務を行う部門は、その業務を遂行するにあたり、個人情報処理活動のリスクが高い、または個人情報セキュリティ事故が発生していると判断した場合、所定の権限と手続き本人または主たる担当者が面接を行うか、個人情報処理活動のコンプライアンス監査を専門機関に委託することを個人情報処理者に要求する。個人情報処理者は、必要に応じて是正措置を講じ、隠れた危険を排除するものとする。

個人情報保護業務を行う部署は、業務を遂行するにあたり、個人情報の違法な取り扱いが犯罪の疑いがあると判断した場合は、速やかに公安機関に転送し、法令に基づいて取り扱う。

第65条：いかなる組織または個人も、個人情報保護業務を行う部門に、違法な個人情報処理活動に関する苦情または報告を提出する権利を有する。苦情または報告を受けた部門は、法律に従って適時にそれを処理し、処理の結果を苦情または報告者に通知するものとする。

個人情報保護業務を行う部門は、苦情や報告を受け入れるための連絡先情報を公開するものとする。

第７章　法的責任

 第66条：個人情報が本法の規定に違反して処理される場合、または個人情報の処理が本法に基づく個人情報保護義務を履行しない場合、個人情報保護義務を遂行する部門は、訂正を命じ、警告を発し、没収するものとする。個人情報の利用は、サービスの提供を停止または終了するよう命じられ、訂正を拒否された場合は、100万元(約1689万円)未満の罰金が科せられる。担当者およびその他の直接責任者は、10,000元(約168000円)以上、100,000元(約168万円)以下の罰金を科されるものとする。

前項の違法行為があり、事情が深刻な場合は、省レベル以上の個人情報保護業務を行う部門が、訂正を命じ、違法な利益を没収し、5000万元(約8億4400万円)以下の罰金または前年の売上高の5％未満の罰金を科す。また、関連事業の停止または是正のための事業の停止を命じたり、関連する管轄当局に関連する事業許可を取り消すか、事業許可を取り消すように通知したり、最高10万元の罰金を科したりすることもできる。 また、一定期間、関係企業の取締役、監督者、上級管理職、個人情報保護責任者としての役割を禁止することを決定することができる。

第67条：本法に定める違法行為があった場合は、関連法及び行政規則の規定により信用ファイルに記録し、公表するものとする。

第68条：国家機関がこの法律に定める個人情報保護義務を果たさないときは、その上位機関又は個人情報保護責任を果たす部署から是正を命じられ、直接責任を負う責任者及び直接責任を負う者は、法律に従って懲戒処分を受けるものとする。

第69条：個人情報の取扱いが個人情報の権利及び利益を侵害し、その損害を被った場合、個人情報取扱者は、過失がないことを証明できない場合には、損害賠償その他の不法行為の責任を負うものとする。

前項の損害賠償責任は、個人が被った損失又は個人情報の取扱者が被った利益に基づいて決定する。 したがって、個人が被った損失および個人情報の取扱者が得る利益は決定が困難であり、実際の状況に応じて補償額が決定されます。

第70条：個人情報処理者がこの法律の規定に違反して個人情報を処理し、多くの個人の権利と利益を侵害する場合、人民検察官、法律で指定された消費者団体、および国のサイバースペース管理局によって決定された組織が法律に従った人民法院に訴訟.を起こすことができる。

第71条：この法律の規定に違反し、公安管理の違反を構成する者は、法律に従って公安管理の罰則を科されるものとし、犯罪が構成された場合、刑事責任は法律に従って調査されるものとする。

第8章　附則

第72条：この法律は、個人または家族の問題のために個人情報を取り扱う自然人には適用しない。

法律に、すべてのレベルの人民政府およびその関連部門によって組織および実施される統計およびアーカイブ管理活動における個人情報の取り扱いに関する規定がある場合、それらの規定が適用されるものとする。

第73条この法律における以下の用語の意味を定める：

（1）「個人情報処理者」とは、個人情報処理活動における処理の目的および方法を独自に決定する組織または個人を指す。

（2）「自動化された意思決定」(注5)とは、コンピュータープログラムを通じて、個人の行動習慣、趣味、または経済、健康、信用状態を自動的に分析および評価し、意思決定を行う活動を指す。

（3）「匿名化(去标识化)」とは、個人情報を処理して、追加情報に頼らずに特定の自然人を特定できないようにするプロセスを指す。

（4）「匿名化(匿名化)」とは、個人情報を特定できず、処理後に復元できないプロセスを指す。

第74条：この法律は2021年11月1日に発効する。 

２．国務院令第745号「重要な情報インフラストラクチャのセキュリティ保護に関する条例」の概要

　2021年7月30日、リー・クーチアン(李克强)首相は国務院令第745号に署名し、「重要な情報インフラストラクチャのセキュリティ保護に関する条例(关键信息基础设施安全保护条例)」（以下「条例」という）を公布した。これは2021年9月1日に施行する。

　以下で新華社通信を介したリリース文とこの数日前、法務省、中国サイバースペース管理局、工業情報化部、公安部の関係者が、「規則」に関連する問題について記者からの質問に答えた。

　両内容を仮訳する。

(1)2021年9月1日から施行される「重要情報インフラの安全保護に関する条例」(以下「条例」)を公表するリリース文 (http://www.cac.gov.cn/2021-08/17/c_1630790665977485.htm)

　党中央委員会と国務院は、重要な情報インフラのセキュリティと保護を非常に重視している。重要な情報インフラは、経済・社会運営の神経中枢であり、サイバーセキュリティの最優先事項である。 現在、重要な情報インフラストラクチャは厳しいセキュリティ状況に直面しており、サイバー攻撃の脅威は頻繁に発生している。規則を制定し、特別な保護システムを確立し、当事者の責任を明確にし、重要な情報インフラのセキュリティと保護のための法制度の更なる改善を促進するセーフガードを以下のとおり提案する。

第1は、重要な情報インフラストラクチャの範囲と保護に関する原則的な目標を明確にすることである。条例は、主要産業や分野における重要なネットワーク施設や情報システムが重要な情報インフラであり、国が重要な情報インフラを重点的に保護し、国内外のサイバーセキュリティリスクや脅威を監視、防御、処分し、重要な情報インフラを攻撃、侵入、干渉、破壊から保護し、法律に従って違法行為を処罰する措置をとることを定めている。その保護は、包括的な調整、分業責任、法律に基づく保護、重要な情報インフラ事業者の主たる責任の強化と実施、政府及び社会のあらゆる側面の役割を十分に果たし、重要な情報インフラのセキュリティを共同で保護すべきである。

第2に、監督・管理体制の明確化である。条例は、国務院の公安部門が、国家ネットワーク通信部門の調整と調整の下、重要な情報インフラの安全と保護を指導し、監督する責任を負い、規定している。 国務院の通信担当部門及びその他の関連部門は、規則及び関連法令及び行政規則の規定に従い、それぞれの責任の範囲内で重要な情報インフラの安全保護及び監督及び管理に責任を負うものとする。地方の人民政府の関連部門は、それぞれの責任に従って、重要な情報インフラの安全保護及び監督及び管理を行うものとする。

第3に、重要な情報インフラの認定メカニズムを整備する。条例は、識別作業の組織方法と手順を明確にし、業界認定規則に従って、重要な情報インフラストラクチャの識別結果を集計し、動的に調整し、重要なネットワーク施設や情報システムが保護範囲に含まれるようにする。

第4に、事業者の責任と義務を明確にする。条例は、サイバーセキュリティ責任の実施、サイバーセキュリティ保護システムの確立と改善、専門セキュリティ管理機関の設置、セキュリティ監視とリスク評価の実施、サイバーセキュリティインシデントまたはサイバーセキュリティの脅威の報告、ネットワーク製品およびサービスの調達活動の標準化など、重要な情報インフラストラクチャ事業者を規制している。

第5に、セーフガードと推進策を明確にする。 条例は、業界のセキュリティ計画の策定、情報共有メカニズムの確立、監視と早期警戒システムの確立と改善、サイバーセキュリティインシデントの緊急対応要件の明確化、セキュリティ検査と検査の組織化、技術サポートと支援の提供を規定している。

第6に、法的責任の明確化です。この条例は、重要な情報インフラ事業者が安全保護の主体としての責任を果たさなかったこと、関係当局及び職員が法律に従って職務を果たせなかった場合、罰則、懲戒処分、刑事責任の追及その他の措置を定めている。 重要な情報インフラの不法侵入、妨害、破壊を行い、その安全活動を危険にさらす組織や個人は、法律に従って処罰されるものとする。

(2)関係機関の記者会見内容 (http://www.cac.gov.cn/2021-08/17/c_1630790666071035.htm)

質問：「規則」の公布の背景を簡単に紹介してほしい。

回答：党中央委員会と国の議会は、重要な情報インフラストラクチャのセキュリティ保護を非常に重要視している。重要な情報インフラストラクチャは、経済的および社会的運用の中核であり、ネットワークセキュリティの最優先事項である。重要な情報インフラストラクチャのセキュリティを確保することは、国家のサイバースペースの主権と国家の安全を保護し、経済と社会の健全な発展を確保し、公益と市民の正当な権利と利益を保護するために非常に重要である。現在、重要な情報インフラストラクチャが直面しているサイバーセキュリティの状況はますます厳しくなっている。サイバー攻撃の脅威が高まり、隠れた危険が頻繁に発生する傾向がある。セキュリティ保護には、不完全な法規制、脆弱な作業基盤、分散したリソース、不十分な技術業界のサポートを回避すべく、特別なシステムを確立し、すべての関係者の責任を明確にし、重要な情報インフラストラクチャのセキュリティ保護機能の向上を加速することが急務である。2017年に施行された「中華人民共和国サイバーセキュリティ法(中华人民共和国网络安全法:CSL)」は、重要な情報インフラストラクチャとセキュリティ保護対策の具体的な範囲を国務院が策定することを規定している。「規則」の公布は、「中華人民共和国ネットワークセキュリティ法（中国ネット安全法：中华人民共和国网络安全法：CSL）」の関連要件を実装することを目的としており、重要な情報インフラストラクチャのセキュリティ保護の私の国の徹底的な開発に強力な法的保証を提供する。

質問：「条例」を策定する一般的な考え方は何か？

回答：全体的な考え方では、主に次の3つのポイントを把握している。まず、問題の方向性を順守する。重要な情報インフラストラクチャのセキュリティ保護の実践における顕著な問題に対応して、「中華人民共和国ネットワークセキュリティ法」の関連規定が洗練され、実践において成熟して効果的であることが証明された実践保護のための法的保護を提供するために法制度にアップグレードされる。２番目は責任をコンパクトにすることである。法律に基づく包括的な調整、分業、保護を遵守し、主要な情報インフラストラクチャ事業者の主な責任を強化および実施し、共同で重要な情報インフラストラクチャにつき政府および社会のあらゆる側面の役割を十分に発揮する。３番目は、関連する法律や行政規制とうまく連携することである。「中華人民共和国ネットワークセキュリティ法」によって確立された制度的枠組みの下で、関連する制度的措置が洗練され、関連する法律および行政規則との関係が適切に処理される。

質問：重要な情報インフラストラクチャのセキュリティ保護を実行する際の各部門の責任の分担は何か？

回答：「条例」の第3条は、国家のサイバーセキュリティおよび情報化部門の全体的な調整の下で、国家評議会の公安部門が重要な情報インフラストラクチャのセキュリティ保護を指導および監督する責任があると規定している。それぞれの責任の範囲内で、重要な情報インフラストラクチャの安全保護と監視および管理に責任を負うものとする。中国政府の関連部門は、それぞれの責任に応じて、セキュリティ保護と主要な情報インフラストラクチャの監視および管理を実装している。

質問：重要な情報インフラストラクチャを特定するにはどうすればよいか？

回答：「条例」は、中国の国家状況に基づいて、外国の慣行から借用した重要な情報インフラストラクチャの定義と識別手順を明確にした。1番目は、重要な情報インフラストラクチャの定義を明確にすることである。2番目は、主要な情報インフラストラクチャの業界および分野の管轄部門と監督および管理部門が、主要な情報インフラストラクチャのセキュリティ保護を担当する部門であることを明確にすることである。3番目は、保護作業部門が業界とこの分野の実際の状況に応じて重要な情報インフラストラクチャの識別ルールを策定し、業界とこの分野の重要な情報インフラストラクチャの識別を整理することを明確にすることである。第４番目に、重要な情報インフラの大きな変更が決定結果に影響を与える可能性がある場合、オペレーターは直ちに保護作業部門に報告し、保護作業部門は再識別しなければならないことが規定されている。

質問：保護作業部門の責任に関する「条例」の規定は何か？

回答：中華人民共和国サイバーセキュリティ法の関連規定に従い、「責任者」の原則に従い、「条例」は、保護作業部門の責任を明確にしている。業界のセキュリティ保護とこの分野の主要な情報インフラストラクチャ：第１に、主要な情報インフラストラクチャのセキュリティ計画を策定し、保護の目的、基本的な要件、作業タスク、および具体的な対策を明確にする。2番目は、健全なネットワークセキュリティ監視および早期警告システムを確立し、主要な情報インフラストラクチャの運用ステータスとセキュリティ状況をタイムリーに把握し、ネットワークセキュリティの脅威と隠れた危険を早期に警告および通知し、セキュリティ防止作業を指導することである。3番目は、サイバーセキュリティ・インシデントに対する適切な緊急計画を確立し、定期的に緊急訓練を実施することである。4番目は、サイバーセキュリティ・インシデントに対処するようにオペレーターを指導し、必要に応じて技術サポートと支援を整理して提供することである。第5番目に、ネットワークセキュリティ検査を定期的に編成および実行して、オペレーターを指導および監督し、潜在的な安全上の問題を修正し、安全対策をタイムリーに改善する。

質問：主要な情報インフラストラクチャ事業者の主な責任を強化および実施するために、条例の主な規定は何か？

回答：「条例」は、一般規定におけるオペレーターの責任の原則を定めており、オペレーターは、ネットワークセキュリティインシデントに対応し、ネットワーク攻撃や違法および犯罪行為を防止し、安全を確保し、重要な情報インフラストラクチャの安定した運用、およびデータの整合性、機密性、可用性の維持を図る。

また「条例」は、主に以下を含む、関連する義務と要件を詳述するための特別な章を設定する。第１番目に、ネットワークセキュリティ保護システムと責任システムを確立および改善し、「ファースト･イン･コマンド責任システム」(注6)を実装し、主な責任を明確にする。オペレーターの人が全体的な責任を負い、人員と財産への投資を保証する。2番目は、セキュリティ保護の責任を果たすための特別なセキュリティ管理機関を設立し、ネットワークセキュリティと情報化に関連するユニットの意思決定に参加し、機関の責任者と主要な担当者のセキュリティ背景レビューを実施することである。3番目は、重要な情報インフラストラクチャのネットワークセキュリティ検査とリスク評価を毎年実施し、問題をタイムリーに修正し、必要に応じて保護部門に状況を報告することである。第4番目に、重要な情報インフラストラクチャで重大なネットワークセキュリティインシデントが発生した場合、または主要なネットワークセキュリティの脅威が発見された場合は、規制に従って保護作業部門と公安機関に報告する必要がある。第5番目に、安全で信頼できるネットワーク製品およびサービスの購入を優先し、プロバイダーとのセキュリティおよび機密保持契約に署名する。国家安全保障に影響を与える可能性のあるものは、規制に従ってセキュリティ・レビューに合格する必要がある。

質問：重要な情報インフラストラクチャのセキュリティ保護に関して、条例ではどのような保証と促進策が指定されているか？

回答：重要な情報インフラストラクチャのセキュリティを確保するには、リソースと長所を調整し、すべての側面で保護を実装する必要がある。保護の観点から、「条例」はネットワークセキュリティ情報共有メカニズムを明確に確立し、作業中に取得した情報はネットワークセキュリティを維持するためにのみ使用でき、他人に漏えい、販売、または違法に提供されてはならないことを規定している。2番目は、関連する州の部門によって実施される安全検査の準備をすることであり、不必要な検査や重複検査の回避を要求し、検査は課金されず、検査対象のユニットは指定された製品やサービスを購入する必要はない。同時に、個人または組織は、検出やテストなどの活動を実行してはならないことが規定されている。3番目は、国家のサイバーセキュリティおよび情報化部門、州議会の電気通信部門、および公安部門が、保護作業部門のニーズに応じて技術サポートおよび支援を提供することを規定することである。4番目は、国がエネルギーや電気通信などの重要な情報インフラストラクチャの安全な運用を確保することを優先することを明確にすることである。５番目に、公安機関と国家安全保障機関は、それぞれの責任に応じて重要な情報インフラストラクチャのセキュリティを強化し、重要な情報インフラストラクチャを対象として使用する違法および犯罪行為を防止および取り締まる必要がある。6番目に、国が重要な情報インフラストラクチャのセキュリティ保護を指導および規制するためのセキュリティ基準を発行したことは明らかである。サポートとプロモーションの観点から、「条例」は、人材育成、技術革新と産業開発、ネットワークセキュリティサービス組織の構築と管理、軍と文民の統合、および表彰と報酬の観点から対応する規定を設けている。

質問：重要な情報インフラストラクチャのセキュリティを危険にさらす活動を実行する個人および組織、または承認または承認なしに重要な情報インフラストラクチャの脆弱性検出や侵入テストなどの活動を実行する個人および組織の場合、条例にはどのような規定があるのか？

回答：実際には、一部の個人や組織は、重要な情報インフラストラクチャのセキュリティに影響を与える、重要な情報インフラストラクチャの脆弱性検出や侵入テストなどのアクティビティを許可なく実行している。「規則」は、最初に、個人または組織が重要な情報インフラストラクチャに不法に侵入、干渉、または破壊したり、重要な情報インフラストラクチャのセキュリティを危険にさらしたりする活動を実行してはならないことを明確にしている。2番目は、国家のサイバーセキュリティおよび情報部門、州議会の公安部門、または保護作業部門の承認、およびオペレーターの承認なしに、個人または組織が脆弱性の検出、侵入テストを実施してはならないことを規定する。重要な情報インフラストラクチャのセキュリティに影響を与える、または危険にさらす可能性のある重要な情報インフラストラクチャや活動についてである。基本的な電気通信ネットワークでの抜け穴の検出、侵入テスト、およびその他の活動の実施は、事前に国務省の管轄の電気通信部門に報告される。３番目に、対応する罰則は、法的責任に関する章で具体的に規定されている。

質問：重要な情報インフラストラクチャで重要なデータをエクスポートするにはどうすればよいか？

回答：「中華人民共和国データセキュリティ法(DSL)」は、2021年6月10日に開催された第13回全国人民代表大会常任委員会の第29回会議で採択され、9月1日に施行される。その中で、第31条は、中華人民共和国の領域内での運用中に重要な情報インフラストラクチャの運営者によって収集および生成された重要なデータの出口セキュリティ管理は、「中華人民共和国ネットワークセキュリティ法」に準拠することを規定している。「中華人民共和国サイバーセキュリティ法」第37条は、中華人民共和国の領土内での運用中に重要な情報インフラストラクチャの運営者によって収集および生成された個人情報および重要なデータは、地域。業務上の理由により海外への提供が必要な場合は、国家サイバースペース管理部門が国務院の関連部門と連携して策定した措置に従い、法律にその他の規定がある場合は、セキュリティ評価を実施するものとしている。また行政規則については、規定に従うものとしている。

***********************************************************************************

(注4)中国に先行したわが国の保護法には影響評価に関する規定はない。この点に関し、個人情報保護委員会 事務局は以下のとおり述べているが重要な課題であると思う。

1） PIAの推奨

　PIAは欧米において先行して実施されており、GDPRにはPIAに相当するDPIAが規定されています。日本では今年1月20日にJIS X 9251:2021「情報技術—セキュリティ技術—プライバシー影響評価のためのガイドライン」が発行されました。

　委員会としては、PIAについて、有用な手段であると評価する一方で、現時点において、評価の項目や手法等を規定して義務化することは、民間の自主的な取組を阻害するおそれがあると考えています。委員会では、現在、民間の自主的な取組を促すための方策について検討しています。(個人情報本書面は、ARTICLE 29 DATA PROTECTION WORKING PARTY （第29条作業部会）により2017年10月3日に採択後、修正のうえ2018年2月6日に採択された、 “Guidelines on　Automated individual decision-making and Profiling for the purposes of Regulation” の英語版

の一部を個人情報保護委員会が翻訳したものである。

Guidelines on Automated individual decision-making and Profiling for the　purposes of Regulation

保護委員会 事務局 参事官　　片岡　秀実氏)

(注5)「自動化された個人に対する意思決定とプロファイリングに関するガイドライン」

(注6) インシデント・コマンド・システム（Incident Command System：現場指揮システム）とは、災害などのリスク発生時における組織のマネジメントのことです。

災害などのリスク発生時には多くの報告が1人の担当者に集中してしまう、混乱した状況の中で指示が乱立することで重要な指示が正しく伝わらないなどの問題が発生する場合があります。

しかし、このインシデント・コマンド・システムを実施すれば、対応を行う組織の役割や指揮の方法などを決められるため、組織の混乱を最小限に抑えながらリスクの対処に集中できるようになるのです。

インシデント・コマンド・システムは、災害や事故など多くのリスクが取り巻く企業においても活用できるので、万が一の事態に備えて平時から導入しておくと良いでしょう。(

FIRSTALERT「インシデント・コマンド・システム（ICS）とは」から一部抜粋。)

******************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

中国、全国人民代表大会常任委員会で個人情報保護法(中华人民共和国个人信息保护法：PIPL)を可決(その１)

　Last Updated:August  23,2022

　筆者は、7月10日ブログ「中華人民共和国が『データ安全保障法(データセキュリティ法)：中华人民共和国数据安全法)：DSL』を可決」で中国のビッグデータ立国を目指す重要な３つの立法のうち２つ( サイバーセキュリティ法（中国ネット安全法：中华人民共和国网络安全法：CSL）とDSL)が全国人民代表大会で可決され、残るはいわゆる個人情報保護法(PIPL)であると説明した。

　中国は、2021年8月20日に開催された第13回全国人民代表大会常任委員会の第30回会合で「個人情報保護法(中华人民共和国个人信息保护法：PIPL')」が採択され、2021年11月1日付けで施行予定であると主席令を発出した。

　やや遡るが、中国は8月20日、2021年10月1日に施行される「自動車データのセキュリティ管理に関する規定(試験実施用)」(自動車データ規制)も公表している。

　これは中国の新しいデータセキュリティ法(DSL)の傘下で発行された実装規則である。自動車業界における中国のデータおよびサイバーセキュリティ法の中核的な概念である「重要なデータ」を構成するものについて定義している。

　今回のブログは、(1)他に先行するかたちで「個人情報保護法(PIPL)」を74条全文を仮訳するとともに、適宜、補足説明を加える、(2)国務院令第745号「重要な情報インフラストラクチャのセキュリティ保護に関する条例」（以下「条例」)の概要を説明し、(3)法律で引用される行政規則中、「オンラインでの子供の個人情報の保護に関する規定」(http://www.cac.gov.cn/2019-08/23/c_1124913903.htm)の概要を解説する。

　本ブログは単に翻訳ソフトでの中国法の日本語訳にとどまらず、中国が国の絶対的権力を優先させながら、併せて欧米先進国の人権擁護につき限定的であれ国際ビジネス拡大の入口を模索している姿を垣間見ることが狙いである。

　いずれにしても、今後内外のローファーム(注0)や調査機関等からPIPLに関する詳しい解説、評価、問題点などが公表されようが、時間をみて筆者も比較法の観点からチャレンジしてみたい。8月26日付けCrowell & Morning LLPの blog「Employee Personal Information Protection in China – Are You Up to Speed?」が、PIPLが中国の職場シナリオにどのように適用されるかを具体的に強調し、多国籍企業の中国の労働および雇用業務に対するデータ・プライバシー・コンプライアンスを確保するための提案を提供している。ぜひ、読まれたい。

　また、9月9日付けSquire Patton Boggs LLPのblog「新しいPRC個人情報保護法が可決:より深い条項への飛び込み」も論点が整理されている。

　なお、2022.8.15 Internet Initiative Japan は「中国　個人情報保護法、サイバーセキュリティ法、データセキュリティ法違反でDiDiに80億人民元の制裁」と題するblogで「国家ネットワーク情報弁公室（以下「CAC」）は、2022年7月21日、個人情報保護法（中华人民共和国个人信息保护法）、データセキュリティ法（中华人民共和国数据安全法）及びサイバーセキュリティ法（中华人民共和国网络安全法）に違反したとして、ネット配車サービス大手である滴滴出行（以下「DiDi」）に対し80億2600万人民元（約11億ユーロ）、DiDiの会長兼CEOとDiDiの社長に対して各100万元の過料を課したと発表した｣と報じている。詳細は同blogを参照されたい。(2022.8.23追記)

　今回は３回に分けて掲載する。

１．「個人情報保護法(PIPL)」全74条の仮訳

第１章　総則

第1条 個人情報の権利と利益を保護し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するために、この法律は憲法に従って制定されている。

第2条 自然人の個人情報は法律で保護されており、組織や個人が自然人の個人情報の権利を侵害することはない。

第3条：この法律は、中華人民共和国の領土内の自然人の個人情報の処理に適用される。

この法律は、次のいずれかの状況下で、中華人民共和国外の中華人民共和国の領土内の自然人の個人情報の処理にも適用される。

（1）国内の自然人に製品またはサービスを提供する目的で。

（2）領土内の自然人の行動を分析および評価する。

（3）法令等に定めるその他の事情。

第4条 個人情報とは、匿名化された情報を除き、電子的またはその他の方法で記録された、識別または識別可能な自然人に関連するあらゆる種類の情報をいう。

個人情報の処理には、個人情報の収集、保管、使用、処理、送信、提供、開示、削除などが含まれる。

第5条：個人情報の取り扱いは、合法性、公正性、必要性、誠実性の原則に従い、誤解を招く、詐欺的、強制的およびその他の方法で個人情報を処理してはならない。

第6条：個人情報の処理は、明確かつ合理的な目的を持ち、処理の目的に直接関連し、個人の権利と利益への影響が最も少ない方法を採用する必要がある。

個人情報の収集は、処理を目的とした最小限の範囲に限定し、過度に収集しないものとする。

第7条：個人情報の処理は、公開性と透明性の原則に従い、個人情報処理規則を開示し、処理の目的、方法、範囲を明確に示すものとする。

第8条：個人情報の処理は、個人情報の品質を確保し、不正確かつ不完全な個人情報による個人の権利への悪影響を回避するものとする。

第9条：個人情報処理者は、個人情報処理に責任を負い、処理する個人情報の安全を確保するために必要な措置を講じるものとする。

第10条：組織または個人は、他人の個人情報を違法に収集、使用、処理、または送信することはできない。また、他人の個人情報を違法に売買、提供、または開示することはできない。また、国家安全保障や公益を危険にさらす目的で個人情報処理活動に従事してはならない。

第11条：国は、個人情報保護システムを確立および改善し、個人情報の権利および利益の侵害を防止および処罰し、個人情報保護の宣伝および教育を強化し、政府、企業、関連する社会組織および個人情報保護に参加する一般市民のための良好な環境の形成を促進するものとする。

第12条：国は、個人情報保護に関する国際規則の策定に積極的に参加し、個人情報保護における国際交流と協力を促進し、他の国、地域、および国際機関との個人情報保護規則および基準の相互承認を促進する。 

第2章 個人情報処理規則

第1節　一般規定

第13条：個人情報処理者は、以下のいずれかの状況が満たされた場合のみ個人情報を処理することができる。

（1）個人の同意を得る。

（2）個人が当事者である契約の締結および履行のために必要であるか、または法律に従って確立された労働規則および規則およびに従って署名された労働協約に従って人的資源管理を実施するために必要である。

（3）法定義務または法定義務を遂行する必要がある。

（4）公衆衛生上の緊急事態に対応すること、または緊急時に自然人の生命、健康および財産の安全を保護することが必要である。

（5）公益のために、ニュース報道、世論の監督およびその他の行為を実施し、合理的な範囲内で個人情報を取り扱うこと。

（6）本法の規定に従い、個人が開示した個人情報またはその他の法的に開示された個人情報を合理的な範囲内で処理すること。

（7）法令等に定めるその他の事情。

この法律の他の関連規定に従い、個人情報の処理については個人の同意を得るものとするが、本条の第2項から第7項に規定する状況の場合は、個人の同意は必要ない。

第14条：個人情報の取り扱いが個人の同意に基づく場合は、十分な知識を有する個人が自主的かつ明確に同意するものとする。個人情報の取り扱いについて、個人の同意または書面による同意を得ることが法律および行政規則で定められている場合は、その規定に従うものとする。

処理目的、処理方法、処理する個人情報の種類が変更になった場合は、本人の同意を再度取得するものとする。

第15条：個人情報の処理が個人の同意に基づく場合、個人は同意を取り消す権利を有する。個人情報処理者は、同意を撤回するための便利な方法を提供するものとする。

個人の同意の撤回は、撤回前の個人の同意に基づいて実施された個人情報処理活動の有効性に影響を与えない。

第16条：個人情報処理者は、製品またはサービスの提供に個人情報の処理が必要な場合を除き、個人が個人情報の処理に同意しない、または同意を撤回しないという理由で、製品またはサービスの提供を拒否してはならない。

第17条：個人情報処理者は、個人情報を処理する前に、以下の事項を誠実かつ正確かつ完全に、目立つ方法で、明確かつわかりやすい言葉で個人に通知しなければならない。

（1）個人情報処理者の氏名または氏名および連絡先情報。

（2）個人情報の処理の目的、処理方法、処理される個人情報の種類、および保存期間。

（3）個人がこの法律に基づいて権利を行使するための方法および手順。

（4）法令及び行政規則により通知すべきその他の事項。

前項の事項に変更があったときは、変更した部分を本人に通知する。

個人情報処理者が、個人情報処理規則(プライバシーポリシー？)を定めることにより、前項の事項を通知する場合は、処理規則を公表し、閲覧・保管に便利なものとする。

第18条：法律および行政規則？により機密保持が義務付けられている、または通知する必要がない状況で個人情報処理者が個人情報を取り扱う場合、前条の最初の段落で指定された事項を個人に通知することはできない。

緊急時に、自然人の生命、健康、財産の安全を守るために適時に通知することができない場合、個人情報処理者は、緊急事態が解消された後、速やかに個人に通知するものとする。

第19条：法令等に別段の定めがある場合を除き、個人情報の保持期間は、処理目的を達成するために必要な最短期間とする。

第20条：2人以上の個人情報処理者が共同で個人情報の処理の目的と方法を決定する場合、それらはそれぞれの権利と義務に同意するものとする。ただし、本契約は、本法に定める権利を行使するための個人情報処理者への個人の要求には影響しない。

個人情報処理者が共同で個人情報を処理し、個人情報の権利と利益を侵害し、損害を生じさせた場合は、法律に従い、連帯責任を負うものとする。

第21条：個人情報処理者が個人情報の処理を委託する場合は、その目的、期限、処理方法、個人情報の種類、保護措置、両当事者の権利義務等について、受託者と合意するものとし、および委託者は受託者の個人情報処理活動を監督する。

受託者は、本契約に基づき個人情報を処理し、合意された処理目的、処理方法等を超えて個人情報を処理することはない。委託契約が有効、無効、取消、または終了しない場合、受託者は個人情報を返却するものとする。個人情報処理者への情報の提供または削除、保持しないものとする。

受託者は、個人情報処理者の同意なしに、個人情報の処理を他人に再委任してはならない。

第22条：合併、分割、解散、破産等により個人情報を転送する必要がある場合は、受取人の氏名及び連絡先を個人に通知する。受領者は、引き続き個人情報処理者の義務を履行するものとする。受領当事者が当初の処理目的または処理方法を変更した場合、本法の規定に従い、個人の同意を再取得するものとする。

第23条：個人情報処理者が他の個人情報処理者が処理する個人情報を提供する場合は、受取人の氏名、連絡先、処理目的、処理方法、個人情報の種類を個人に通知し、個人の同意を得るものとする。受領者は、上記の処理目的、処理方法、個人情報の種類の範囲内で個人情報を処理するものとする。受領当事者が当初の処理目的または処理方法を変更した場合、本法の規定に従い、個人の同意を再取得するものとする。

第24条：個人情報を利用して自動化された意思決定を行う個人情報処理者は、意思決定の透明性と結果の公平性を確保し、取引価格等の取引条件において個人に不当な差別的扱いをしてはならない。

自動化された意思決定方法による個人への情報の圧力および商業的マーケティングは、個人の特性に固有ではないオプションを提供するか、個人に拒否する便利な方法を提供する必要がある。

自動化された意思決定方法を通じて個人の権利と利益に重大な影響を与える決定を行うために、個人は個人情報処理者に説明を求める権利を有し、自動化された意思決定手段を通じてのみ決定を行うことを個人情報処理者に拒否する権利を有する。

第25条個人情報処理者は、個人の同意を得ない限り、処理する個人情報を開示してはならない。

第26条：公共の場所に画像の収集および個人識別装置を設置することは、公共の安全を維持し、関連する国の規制を遵守し、目立つ注意喚起メッセージを設定することが必要である。収集された個人の画像および識別情報は、公共の安全を維持する目的でのみ使用でき、個人の同意がある場合を除き、他の目的で使用することはできない。

第27条個人情報処理者は、個人が明示的に拒否しない限り、個人が開示した個人情報または合理的な範囲内で法的に開示されたその他の個人情報を処理することができる。個人情報処理者は、個人の権利や利益に重大な影響を与える開示された個人情報を処理する場合、本法の規定に従い、個人の同意を得るものとする。

第2節　機密性の高い個人情報の取扱いに関する規則

第28条：機密性の高い個人情報とは、漏洩または違法に使用されると自然人の尊厳を侵害したり、生物測定、宗教的信念、特定の身元、医療の健康を含む個金融口座、所在などの情報、および14歳未満の未成年者の個人情報および財産の安全を害したりする可能性のある個人情報をいう。

個人情報処理者は、特定の目的と十分な必要性がある場合にのみ機密性の高い個人情報を処理し、厳格な保護措置を講じることができる。

第29条：機密性の高い個人情報の処理は、個人の同意を得るものとする。法律および行政規則により、機密性の高い個人情報の処理は書面による同意を得ることが規定されている場合は、当該規定に従うものとする。

第30条：個人情報処理者は、機密性の高い個人情報を取り扱う場合、本法第17条第1項に定める事項に加えて、機密性の高い個人情報の取り扱いの必要性および個人の権利と利益への影響についても個人に通知するものとする。

この法律に従い、法律は、個人に通知することはできないと規定している。？

第31条：個人情報処理者が14歳未満の未成年者の個人情報を取り扱う場合は、未成年者の親または他の保護者の同意を得るものとする。

14歳未満の未成年者の個人情報を処理する個人情報処理者は、特別な個人情報処理規則(プラバシーポリシー？)を策定するものとする。

第32条：法律および行政規則により、機密性の高い個人情報の処理が関連する行政免許を取得するか、その他の制限を課すことが規定されている場合、それらの規定に従うものする。

第3節　国の機関による個人情報の取り扱いに関する特別規定

第33条：この法律は、個人情報の処理における国の機関の活動に適用されるものとする。。本節に特別な規定がある場合は、本節の規定が適用されるものとする。

第34条：法定義務を遂行するために、国の機関は、法律および行政規則によって規定された権限および手順に従って個人情報を処理し、法定義務を遂行するために必要な範囲および制限を超えてはならない。

第35条：国の政府機関は、法定義務を遂行するために個人情報を処理する場合、本法第18条の最初の段落で指定された状況を除き、または通知が国の機関が法定義務を遂行するのを防ぐ。

第36条：国の機関が処理する個人情報は、中華人民共和国の領土内に保管し、本当に海外に提供する必要がある場合は、海外につきセキュリティ評価(security assessment)を実施するものとする。セキュリティ評価には、関連部門からのサポートと支援が必要になる場合がある。

第37条：法定の職務を遂行するために個人情報を処理するために公務を管理する機能を有する法律および規制によって認可された組織は、国の機関による個人情報の取り扱いにこの法律の規定を適用するものとする。

第３章：個人情報の国境を越えた提供に関する規則

第38条：個人情報処理者が、業務上の必要性から、真に中華人民共和国外に個人情報を提供する必要がある場合は、以下のいずれかの条件を満たすものとする。

（1）この法律の第40条の規定に従って、国家サイバースペース管理局(CAC)によって組織されたセキュリティ評価に合格する。(注1)

（2）国家サイバースペース行政の規則に従い、専門機関による個人情報保護認証を実施する。

（3）国家サイバースペース管理部門が策定した標準契約に従い、両当事者の権利と義務を規定した海外の受領者との契約を締結する。

（4）法律、行政規則、または国家サイバースペース管理部門によって規定されたその他の条件。

中華人民共和国が締結または参加した国際条約および協定に中華人民共和国外での個人情報の提供条件に関する規定がある場合、それらの規定に従って実施することができる。

個人情報処理者は、海外の受信者による個人情報の処理が本法に定める個人情報保護基準を確実に満たすために必要な措置を講じるものとする。

第39条：個人情報処理者が中華人民共和国以外で個人情報を提供する場合は、海外の受取人の氏名、連絡先、処理目的、処理方法、個人情報の種類、個人情報を個人に通知するものとする。本法に定める権利を行使し、個人の同意を得るための方法及び手続き。

第40条：国家サイバーセキュリティおよび情報化部門によって規定された数までの個人情報を処理した重要な情報インフラストラクチャ(注2)および個人情報処理の運営者は、中華人民共和国の領域内で収集および生成された個人情報を保存するものとする。本当に海外に提供する必要がある場合は、国のサイバーセキュリティ情報部門が主催するセキュリティ評価に合格するものとする。法律、行政規則、国のサイバーセキュリティ情報部門がセキュリティ評価を不要と規定している場合は、以下の手順、規定に従う。

第41条：中華人民共和国の所管官庁は、中華人民共和国が締結または加入した関連法および国際条約および協定に従って、または平等および互恵の原則に従って、国に保管されている個人情報を提供するための司法機関または法執行機関は外国からの要請を処理するものとする。個人情報処理者は、中華人民共和国の所管官庁の承認なし、中華人民共和国の領土に保管されている個人情報を外国の司法機関または法執行機関に提供してはならない。

第42条：外国の組織および個人が中華人民共和国の市民の個人情報の権利を侵害する、または中華人民共和国の国家安全保障および公共の利益を危険にさらす個人情報処理活動に従事する場合、国家サイバースペース監視機関（注3）は提供する個人情報の一覧を公表し、個人情報の提供を制限または禁止するなどの措置を講ずる。

第43条：いずれかの国または地域が個人情報保護の観点から中華人民共和国に対して差別的な禁止、制限、またはその他の同様の措置を採用する場合、中華人民共和国は実際の状況に基づいて国または地域に対して対応する措置を講じることができる。

第4章　個人情報処理活動における個人の権利

第44条：個人は、個人情報の処理について知り、決定する権利を有し、法律および行政規則によって別段の定めがない限り、他者による個人情報の処理を制限または拒否する権利を有する。

第45条：個人は、本法第18条第1項、第35条に規定されている場合を除き、個人情報を個人情報処理者に相談し、コピーする権利を有する。

個人が個人情報の閲覧またはコピーを要求する場合、個人情報処理者は適時にそれを提供するものとする。

指定された個人情報処理者への個人情報の転送を要求する個人および個人情報処理者は、国家のサイバーセキュリティおよび情報化部門によって指定された条件が満たされた場合に転送の手段を提供するものとする。

第46条：個人情報が不正確または不完全であることに気付いた場合、個人情報処理者に訂正または補足を求める権利を有す。

個人が個人情報の訂正または補足を要求する場合、個人情報処理者は、個人情報を確認し、適時に訂正および補足を行うものとする。

第47条：以下のいずれかの場合において、個人情報処理者は、個人情報の削除を主導するものとします。個人情報処理者が削除しなかった場合、個人は削除を要求する権利を有す。

（1）処理目的が達成されたか、達成できないか、または処理目的を達成するためにもはや必要ではない場合。

（2）個人情報処理者が商品やサービスの提供を停止した場合、または保存期間が終了した場合。

（3）個人が同意を撤回した場合。

（4）個人情報処理者が法令、行政規則に違反する、または個人情報を取り扱う契約に違反する場合。

（5）法令等に定めるその他の事情。

法令に定める保存期間が満了していない場合または個人情報の削除が技術的に困難な場合、個人情報処理者は、必要なセキュリティ保護措置の保存および採用以外の処理を停止するものとする。

第48条：個人は、個人情報処理規則を説明するように個人情報処理者に要求する権利を有す。

第49条：自然人が死亡した場合、本章では、彼の生涯の間に故人によって別段の取り決めがない限り、その近親者は、自らの合法かつ正当な利益のために、提供されたとおり、故人の関連する個人情報へのアクセス、コピー、訂正、削除などの権利を行使することができる。

第50条：個人情報処理者は、個人が権利を行使するための申請を受理し処理するための便利で便利なメカニズムを確立しなければならない。個人の権利行使の請求が却下された場合は、その理由を説明しなければならない。

個人情報処理者が個人の権利行使の請求を拒否した場合、その個人は法律に従い人民法院に訴訟を起こすことができる。

************************************************************************************************

３．引用される行政規則中、「オンラインでの子供の個人情報の保護に関する規定(儿童个人信息网络保护规定)」の概要の解説

「オンラインでの子供の個人情報の保護に関する規定」は、中国インターネット情報局の事務局会議で審議および承認されており、これにより発表され、2019年10月1日に施行している。

関係法令「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法(中华人民共和国未成年人保护法)」(注7)等の法令に基づき、子どもの安全を守り、子どもの健康な成長を促進するためこの規定を置く。

第１条：この規定は、児童の個人情報の安全を守り、児童の健全な育成を促進するため、中華人民共和国サイバーセキュリティ法、未成年者保護法(中华人民共和国未成年人保护法)」その他の法令に基づき定める。

第2条：この規定において「子供」とは、14歳未満の未成年者をいう。

第3条：この規定は、中華人民共和国の領土内で、インターネットを通じて児童の個人情報の収集、保存、利用、移転、開示等に従事する場合に適用される。

第4条：いかなる組織または個人も、児童の個人情報の安全を侵害する情報を作成、公開、または広めてはならない。

第5条:児童の保護者は、保護義務を正しく遂行し、児童の個人情報保護に対する意識と能力を高め、児童の個人情報の安全を保護するよう教育し、指導しなければならない。

第6条：インターネット業界団体は、児童の個人情報保護に関する業界規範及び行動規範の策定をネットワーク事業者に指導し、業界の自主規制を強化し、社会的責任を果たすよう奨励する。

第7条：ネットワーク事業者は、児童の個人情報を収集、保存、利用、転送、開示する場合、適切な必要性、インフォームドコンセント、目的の明確化、安全・安心、法律に基づく利用の原則を遵守しなければならない。

第8条：ネットワーク事業者は、児童の個人情報保護に関する特別規則及び利用者契約を定め、児童の個人情報保護に責任を負う者を任命する。

第9条:ネットワーク事業者は、児童の個人情報を収集、利用、転送、または開示する場合、児童の保護者に対し、重要かつ明確な方法で通知し、児童保護者の同意を得るものとする。

第10条：ネットワーク事業者は、児童保護者の同意を得たときは、拒否オプションも提供し、以下の事項を明示しなければならない。

 (1)お子様の個人情報の収集、保存、利用、転送、開示の目的、方法、範囲

 (ii) お子様の個人情報が保管される場所、期間、および有効期限後の処理方法

 (iii) お子様の個人情報の安全管理措置

 (iv) 拒絶の結果。

 (v) 苦情、報告のチャネルと方法

 (vi) お子様の個人情報の訂正・削除方法

 (vii) その他通知すべき事項。  

　前項の通知事項に実質的な変更が生じ生じた場合は、児童保護者の同意を得るものとする。

第11条：ネットワーク事業者は、提供するサービスに関係のない児童の個人情報を収集したり、法令、行政規則の規定、両当事者の合意に違反して児童の個人情報を収集したりしてはならない。

第12条：ネットワーク事業者は、収集・利用目的の達成に必要な期間を超えて、児童の個人情報を保管してはならない。

第13条：ネットワーク事業者は、児童の個人情報を保管し、情報の安全性を確保するため、暗号化その他の措置を講ずるものとする。

第14条：ネットワーク事業者は、児童の個人情報を利用し、法令及び行政規則の規定及び双方が合意した目的及び範囲に違反してはならない。運用上の必要性により、合意された目的または範囲を超えて使用する必要がある場合は、児童保護者の同意を得るものとする。

第15条：ネットワーク事業者は、職員に対し、最小限の権限の原則に基づき、情報へのアクセスを厳格に設定し、児童の個人情報の範囲を管理するものとする。 職員が児童の個人情報にアクセスする場合は、児童個人情報保護責任者又はその権限のある管理者の承認を得て、アクセスを記録し、児童の個人情報の違法コピー又はダウンロードを防止するための技術的措置を講ずるものとする。

第16条：ネットワーク事業者は、児童の個人情報の取扱いを第三者に委託する場合、委託先及び委託行為等について安全評価を行い、委託契約に署名し、双方の責任、取扱い事項、処理期間、処理の性質及び目的等を明確にし、委託行為が認可の範囲を超えないものとする。

 前項の委託先は、次の義務を履行しなければならない。

 (ⅰ)法令、行政規則、ネットワーク事業者の要請により、児童の個人情報を取り扱う。  

 (ii)児童保護者からの申請に応じて、ネットワーク事業者を支援する。  

 (iii)情報セキュリティ対策を講じ、児童の個人情報漏洩のセキュリティインシデントが発生した場合に、速やかにネットワーク事業者にフィードバックすること。  

 (ⅳ)委託関係が解消された場合、速やかに児童の個人情報を削除すること。  

 (v)委託を譲渡してはならない。  

(vi) その他、法律により履行すべき児童の個人情報保護義務

第17条：ネットワーク事業者が児童の個人情報を第三者に譲渡する場合、その利用者は、自己又は第三者の機関に安全評価を委託しなければならない。

第18条：ネットワーク事業者は、法令及び行政規則により開示すべき場合、又は児童保護者との合意により開示できるものを除き、児童の個人情報を開示してはならない。

第19条：児童又はその保護者は、ネットワーク事業者が収集、保管、利用、開示した児童の個人情報に誤りがあると認めた場合、ネットワーク事業者に訂正を求める権利を有する。 ネットワーク事業者は、速やかに是正措置を講ずるものとする。

第20条：児童又はその保護者が、ネットワーク事業者に対し、収集、保管、利用、開示する児童の個人情報の削除を求められた場合、ネットワーク事業者は、以下の場合を含むがこれらに限定されない速やかに削除するための措置を講ずるものとする。

 (ⅰ)ネットワーク事業者が、法令、行政規則、または両当事者の合意に違反して、お子様の個人情報を収集、保存、使用、転送、または開示すること。  

 (ii)お子様の個人情報を収集、保存、使用、転送、または開示する目的の範囲を超えて、または必要な期間、  

 (iii)児童保護者が同意を撤回すること。

 (iv)子供またはその保護者は、キャンセル等によって製品またはサービスの使用を終了する。

第21条：ネットワーク事業者は、児童の個人情報の漏えい、破壊、紛失の可能性があるときは、直ちに緊急計画を開始し、是正措置を講ずるものとする。

第22条：ネットワーク事業者は、インターネット通信部門及びその他の関連部門が法律に従って実施する監督及び検査に協力するものとする。

第23条：ネットワーク事業者は、製品又はサービスの運営を停止するときは、直ちに児童の個人情報の収集を中止し、保有する児童の個人情報を削除し、その業務停止の通知を速やかに児童保護者に通知しなければならない。

第24条組織または個人は、本規約の違反を発見した場合、ネットワーク安全情報化機関NetCIT部門およびその他の関連部門に報告することができる。

 NetChat部門及びその他の関連部門が関連報告を受けた場合、その職務に従って速やかに処理しなければならない。

第25条：ネットワーク事業者は、児童の個人情報の安全管理に対する責任が不十分であり、重大なセキュリティリスク又はセキュリティインシデントが発生した場合、ネットワーク通信部門は、その職務に応じてインタビューを行い、ネットワーク事業者は、隠れた危険を排除するために、速やかに是正措置を講ずるものとする。

第26条：この規定に違反した場合、ネットワーク通信部門及びその他の関連部門は、その職務に従い、中華人民共和国サイバーセキュリティ法、インターネット情報サービス管理措置、その他の関連法令の規定に従って処理し、犯罪を構成する者は、法律に従って刑事責任を追及されるものとする。

第27条：この規定に違反して法的責任を問われた者は、関連する法律及び行政規則の規定に従って信用記録に記録され、公表されるものとする。

第28条：コンピュータ情報システムを通じて処理情報を自動的に保持し、保持された処理された情報が子供の個人情報であることを認識できない場合、その他の関連規定に従って行われるものとする。

第29条:この規定は、2019年10月1日から施行する

******************************************************************************************************

(注0) 20218.24 Law Blog Commuinity: LexBlogが「PIPL: A game changer for companies in China」で要約している。参照されたい。

著者はNorton Rose Fulbright LLPのAnna Gamvros (HK)とLianying Wang

Anna Gamvros氏 (HK)

Lianying Wang　氏

PIPLの主な構成項目

(1)概要  8章74条

(2)域外効果

(3) 責任ある各当局(PI保護当局: personal information protection duties and responsibilities (PI Protection Authorities)

の定義

この部分は欧米に国家行政機関から独立した「情報保護委員会(情報保護コミッショナー)」と中国の場合はまったくことなる。以下で仮訳する。

*責任ある当局の範囲

PIPLは、当局間の責任配分をより明確にし、個人情報保護の義務と責任を果たす当局(PI保護当局)として、法律に基づく責任を負う中央および地方自治体を指す。責任配分は次のとおりである。

「国家サイバースペース管理部門(中国サイバースペース管理局またはCAC)」は、個人情報保護および関連する監督および管理業務の包括的な計画と調整を担当する。

国務院の関係省庁および部門は、個人情報保護ならびにそれぞれの見解の中での監督と管理に責任を負う。また、郡レベル以上の地方公共団体の関係部署は、国の規則に従い、個人情報保護および関連する監督管理に関して一定の責務を果たす。

(4) 処理の基礎

(5) 個人情報の国境を越えた転送

(6) 個人の権利

(7) プロセッサーの義務

(8) 罰則

(注1)「個人情報及び重要データの域外持出セキュリティ評価弁法（意見募集案）」（「評価弁法」）及び「データ域外持出セキュリティ評価ガイドライン（意見募集案）」（「ガイドライン」）を公表した。

(注2) 重要な情報インフラストラクチャは、それらの間で基本的、安全、かつ戦略的な位置を占めていると言っても過言ではない。このため、法律は重要な情報インフラストラクチャオペレーター（CIIO）に対してより高い要件も提唱している。CIIOの場合、準拠して運用する場合、最初のタスクは関連するネットワークセキュリティレビュー要件を習得することである。

1.サイバーセキュリティレビューの責任機関-CIIO

中国の「サイバーセキュリティ法」（「サイバーセキュリティ法」と呼ばれる）の第35条、および「サイバーセキュリティレビュー措置」（「レビュー措置」と呼ばれる）の第2条には、CIIOが明確に記載されてる。サイバーセキュリティレビュー責任機関。しかし、CIIOの定義に関しては、既存の法律にはあまり明確な規制がない。「審査措置」はまた、CIIOは「重要な情報施設保護部門によって認められた運営者」であると一般的に述べています。

サイバーセキュリティ法の第35条：国家安全保障に影響を与える可能性のあるネットワーク製品およびサービスを購入する重要な情報インフラストラクチャの運営者は、国家評議会の関連部門と協力して国家サイバーセキュリティおよび情報化部門によって組織された国家安全保障レビューに合格するものとします。

「サイバーセキュリティレビュー措置」の第2条：国家安全保障に影響を与える、または影響を与える可能性のあるネットワーク製品およびサービスを購入する重要な情報インフラストラクチャ事業者は、これらの措置に従ってサイバーセキュリティレビューを実施するものとします。

「サイバーセキュリティレビュー措置」の第20条：これらの措置における主要な情報インフラストラクチャ事業者は、主要な情報インフラストラクチャ保護作業部門によって承認された事業者を指します。以下。略す。

(注3) 中国の Cyberspace Administration of Chinaとは、国家互联网信息办公室：State Internet Information Office'), Office of the Central Cyberspace Affairs Commission  中央网络安全和信息化委员会办公室),をいう。

*************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

2人のラトビア人がQQAAZZ組織の一部としてサイバー犯罪者として資金洗浄の支援に関し有罪答弁および国際化・肥大化する犯罪組織に取り組む国際的な捜査協力の在り方

Last Updated:Febuary 25,2022

　8月6日、筆者の手元に連邦司法省ペンシルバニア州西部地区連邦検事局からの緊急リリースが届いた。

　2人のラトビア人被告が多国籍なマネーロンダリング組織でかつロシア語圏のオンライン・サイバー犯罪者フォーラムある”QQAAZZ”は、「銀行口座へ資金を落とすための国際的サービス」としてサービスを宣伝し、サイバー犯罪者が集まり、様々なサイバー犯罪活動に従事するために必要な専門的なスキルやサービスを提供したり、求めたりしている。世界で最も有害なマルウェア・ファミリー（例：Dridex、Trickbot、GozNymなど）の背後にある犯罪組織が、”QQAAZZ”のサービスの恩恵を受けているといわれている。

　このような国際的な組織.犯罪に厳格にかつ国際的な法執行機関の共同行為は必須な時期にあることはいうまでもない。しかし、わが国の法執行機関の国際協調化は決して順調に進んでいるとは思えない。本文で述べるとおり特に警察組織だけでなく、諜報機関との緊密なコラボレーションが欠かせない。

　その意味で、本ブログではあえてわが国ではほとんど言及されていないラトビア共和国の国際的に見た重要性も含め言及する。特に歴史的に見たバルト３国の１つである極めて小国（国土は日本の約６分の１;人口は現時点で約1,863,000人）であるラトビアが３つの諜報機関を持った背景は如何、かつてソビエト連邦共和国の１つであった同国が如何してEUやNATO加盟国として完全な独立を勝ち得たのか、わが国の北方領土交渉が全く進んでいない現実と照らし合わせると検討すべき点が多い。

　したがって、今回のブログでは米連邦司法省の公開データを公開擦るとともに、第２節でラトビアの法執行機関の現状や裁判制度について基礎情報を提供する。同時に、米国がいかにバルト海に面したEU加盟国等につき強い協力関係を築いているかが自ずと理解できよう。

１．2人のラトビア人がQQAAZZ組織の一部としてサイバー犯罪者が資金洗浄の支援に関し有罪答弁

　連邦司法省のリース文を仮訳するが、犯人グループで今回の一連のFBIの捜査を一部確認できる記事があるのでその前に(1)として引用する。

(1)2021年４月3日記事「FBI、マネロン捜査にビットコイン取引履歴を利用──ロシア人ラッパー(rapper)マクシム・ボイコ(Maksim Boiko:29歳)を逮捕」　訳文は

　また、2020.3.30 Cyber Scoop 記事「FBIは、ロシアの男がサイバー犯罪者のお金をロンダリングしたと主張」も関係解説である。以下で、仮訳する。

　2020年3月27日にぺルバニア州西部地区連邦地方裁判所に提出されたFBIの宣誓供述書によると、FBIは、国際的なサイバー犯罪集団が現金をビットコインやその他の暗号通貨に変えて資金洗浄を手伝ったとして、ロシア人マクシム・ボイコ(Maksim Boiko:29歳)を逮捕した。

　3月28日にマイアミでFBI捜査官に逮捕され、連邦政府に拘留されている。ピッツバーグ・ポスト・ガゼットによると、彼は今後数週間のうちにピッツバーグに移送される見込みである。

　宣誓供述書によると、彼がピッツバーグの連邦裁判所で起訴されると、ボイコはマネーロンダリングで起訴されるだろう。それは最高10年の拘禁刑が言い渡される。

　宣誓供述書では、FBI捜査官は、オンライン名「ガンガス(gangass)」で通っているボイコは、世界中の銀行口座へのアクセスや現金をビットコインやその他の仮想通貨に変換するなど、他の犯罪者にサービスを提供した「重要なサイバー犯罪者」であると非難している。

　宣誓供述書の文書によると、FBI捜査官は、ボイコが少なくとも2015年から活動している”QQAAZZ”と呼ばれるサイバー犯罪グループと協力したと主張している。同文書によると、FBIは、このギャングが他のサイバー犯罪者と協力して、マルウェアやその他の悪意のあるツールを使用して被害者の銀行口座から盗まれた資金洗浄を支援していると疑っている。

　2020年1月、米国連邦司法省は”QQAAZZ”の告訴の一環として、サイバー犯罪者にマネーローンダリングサービスを提供した容疑で5人のラトビア人を起訴した。今回起訴された男性の一人、アレクセイス・トロフィモビッチ(Aleksejs Trofimovics)は、2017年に法執行機関によって押収された仮想通貨交換ウェブサイトを運営していたと宣誓供述書は指摘している。

○マネーロンダリング疑惑

　宣誓供述書によると、ボイコ夫妻は2020年1月19日にマイアミで米国に入国した。この文書によると、ボイコは約20,000ドルを運んでいたが、彼は米国税関国境警備局のエージェントからインタビューを受けたとき、彼はお金がビットコインとロシアの賃貸物件への投資目的で来たと主張した。

　FBIは従来からボイコのInstagramアカウントを監視しており、FBIは最終的に彼のiCloudアカウントの捜索令状を与えられ、ボイコが相当額の米ドルと外貨でポーズをとっている写真が含まれていたと同文書は示している。

　FBI捜査官は宣誓供述書の中で、写真は「ボイコの原因不明の富の証拠であり、正当な事業運営の慣行と矛盾しており、ボイコが過去数年間にわたり重大なサイバー犯罪者と違法なマネーロンダリング活動に従事してきたという申し立てと一致している」と主張した。

　FBIは、ボイコが中国の銀行口座を通じて盗まれた資金を一部ローンダリングしていたと主張している。またFBIは、ボイコは現在廃止された暗号通貨取引プラットフォームであるBTC-e(注1)にアカウントを持ち、387,964ドル相当の預金を受け取り、約848,000ドル相当の136ビットコインを引き出したと述べている

 　ボイコは、安全でかつ暗号化されたメッセージング・プラットフォームである”Cisco Jabber for Windows”を使用して、他のサイバー犯罪者と通信していたとFBIは主張している。裁判所文書によると、ボイコはCisco Jabber 使って、他のマネーロンダリング活動について「マネーブースター(Money -Booster)」(現在この会社はない)と呼ばれるサイバー犯罪者と通信していた。

(2) 2021年４月　ピッツバーグ連邦地裁での審理開始

　2021..4.13 Pittsuburgh Post Gazette「Latvian extradited to Pittsburgh to face money-laundering count」

　マネーロンダリングの容疑で先週ピッツバーグ連邦地裁に引き渡されたラトビア人は、2021年4月12日にビデオで連邦裁判所に短時間出廷し、同年4月9日に拘留決定審理(detention hearing )が行われる予定である。

　アルトゥール・ザハレビッチ(Arturs Zaharevics)は、”QQAAZZ”と呼ばれる多国籍組織犯罪グループの一員としてサイバー犯罪者にマネーロンダリングサービスを提供したとして2019年9月に起訴された5人のラトビア人の1人である。

　その後、ロシアと東ヨーロッパからの15人の被告がピッツバーグ連邦地裁で同様の罪で起訴され、被告は合計で20人となった。

　ザハレビッチは、米国で拘留されている2人目のラトビア人である。 

(3)2021年8月

　 2人のラトビア人がサイバー犯罪資金洗浄組織QQAAZZでの役割について有罪を認めた。8月6日と7月13日、起訴された2人の被告、アルトゥール・ザハレビッチ(Arturs Zaharevics)とアレクシス・トロフィモビッチ(Aleksejs Trofimovics)は、それぞれペンシルベニア州西部地区でのマネーローンダリングの共同謀議(conspiracy)につき有罪を認めた

　”QQAAZZ”はヨーロッパに拠点を置くマネーロンダリング組織で、コンピュータ・ハッカーとその関係者に違法な現金売買(cash out)取引と暗号通貨取引を提供してきた。2020年以降、計20人の個人がこのスキームの一環として起訴されていた。

　”QQAAZZ”の犯罪共同謀議をさらに進めるため、トロフィモビッチは、彼自身の名前を使用して、正当なビジネスを行っていないポルトガルのシェル会社を登録した。その後、トロフィモビッチは、”QQAAZZ”が被害者とそのそれぞれの金融機関からサイバー犯罪者によって盗まれた資金を受け取り、ローンダリングすることを可能にする目的で、ダミー会社(shell company)の名前でポルトガルに少なくとも13の企業銀行口座を開設した。これらのポルトガルの口座のいくつかは、米国の犠牲者から盗まれた資金を受け取った、または受け取ることを意図していた。

　また、ザハレビッチに関し、米国は2021年4月にイギリスからの米国への引き渡しに成功した。”QQAAZZ”の刑事共同謀議をさらに進めるために、ザハレビッチも偽名でダミー会社を設立し、米国の犠牲者から盗まれた資金を受け取るか、または受け取ることを意図したそのダミー会社の名前で外国の銀行口座を設定した。

　ペンシルベニア州西部地区のスティーブン・R・カウフマン連邦検事代行と、マイク・ノルドウォール担当FBIピッツバーグ特別捜査官が9月6日に以下を発表した。

「QQAAZZグループのような多国籍なマネーロンダリング組織は、サイバー犯罪者が彼らの計画から利益を得るのを助ける上で重要な役割を果たしている。8月6日発表された有罪を認める答弁は、外国のパートナーとの協力を通じてこれらの悪質なグループを解体するという我々の継続的なコミットメントを反映している。有罪の答弁は、世界の他の地域でそのような犯罪者を追求し、彼らが私たちの米国の裁判所での司法に直面することを保証するという我々の取リ組みさらに示している」と、ペンシルベニア州西部地区のスティーブン・R・カウフマン連邦検事代行が述べた。

　さらにFBIピッツバーグ担当マイク・ノルドウォール特別捜査官は「これらの個人の被告は、米国および世界中の疑いを持たない犠牲者から資金を盗んだサイバー犯罪者と協力してマネーロンダリング計画を運営した。彼らの有罪答弁は、誰もコンピュータや国際的な国境の後ろに隠れることができない証拠である。FBIは、脅威の特定と情報共有の改善から、これらの脅威を混乱させ打ち負かすためのFBIの運営方法の検討に至るサイバー脅威に対抗するための多くの取り組みを行っている。

　海外の法執行機関とのパートナーシップは我々が日々行っている仕事の重要な部分であり、この捜査のグローバル・パートナーは、我々全員がツール、スキル、知識を組み合わせて、これらの犯罪者を廃業させるより強力なチームを作り出すことを可能にした」と述べた。

　この場合、2人の有罪答弁と様々な責任を証明する証拠の事実に関する根拠によると、”QQAAZZ”のメンバーは、世界中のサイバー犯罪者と協力して行動し、米国や他の場所でコンピュータ詐欺の被害者から盗まれた資金洗浄を共謀した。ラトビア、ブルガリア、英国、スペイン、イタリアで40箇所以上の家宅捜索が行われ、米国、ポルトガル、スペイン、英国で刑事訴追が開始された。最も多くの捜索と逮捕はラトビア国警察(Latvijas Valsts Policija)によってラトビアで行われ、ブルガリアではグループに関連する広範なビットコイン採掘活動が押収された。欧州刑事警察機構(Europol)とヨーロッパ各地のいくつかの法執行機関は、米国と協力して、自国のQQAAZZメンバーに対し並行捜査と起訴を行った。

　この捜査はおもにFBIによって行われた。連邦司法省国際局(The Justice Department’s Office of International Affairs )と英国とラトビアのと法執行パートナーは、海外での被告の逮捕を確実なものとした。

　この事件は、米国連邦司法省・刑事部のマネーロンダリングおよび資産回収部のマイケル・パーカー公判検事( Trial Attorney Michael Parker of the Money Laundering and Asset Recovery Section of the U.S. Department of Justice’s Criminal Division)、チャールズ・A・トッド・エバーレ連邦検事補(U.S. Department of Justice’s Criminal Division, Assistant U.S. Attorney Charles A. “Tod” Eberle)、ペンシルベニア州西部地区国家安全保障・サイバー犯罪部門のチーフ、ブライアン・チャルネッキ連邦検事補によって起訴されている。

２．米国のバルト海周辺国とりわけラトビアとの関係強化

　以下で筆者なりに調べた結果を纏める。その際、米国務省のサイトでラトビアの解説を読んだ。両国の密なる国際関係がうかがえる。

(1)　ラトビア共和国の概要

The current population of Latvia is 1,863,054 as of Wednesday, August 11, 2021,

このわが国外務省の資料は古すぎるhttps://www.mofa.go.jp/mofaj/press/pr/wakaru/topics/vol80/index.html

ちなみにグロ―バルの最新情報サイト”WorldMeter”(https://www.worldometers.info/world-population/latvia-population/)で見るとラトビアに人口のピークは1990年2,664,439人である。

(2) ラトビア共和国の以下の基本データ

EU加盟国であるラトビア共和国の以下の基本データが確認できる。

① Latvia de iure：独立と独立記念日

② Citizens：国民

③ Saeima:議会

④ President:大統領

⑤ Government:政府

⑥ The Law: 法律

⑦ Judiciary:司法制度

(3)ラトビア国警察

ラトビア国警察は、生命、健康、権利と自由、財産と利益に対する刑事およびその他の違法な脅威から国家と社会を保護するための国家中央機関である。

  州警察の中央機関は、州警察の構造単位の活動を組織化し、調整する。この中央当局には、管理部(Administrative Department)、苦情および懲戒部(Complaints and Discipline Branch)、人事および採用委員会(Personnel and Recruitment Board,)、秘密体制保証ユニット(Secret Regime Guarantee Unit)、特別対応ユニット(Special Correspondence Unit,)、計画および財務委員会(Planning and Finance Board.)が含まれる。

(4)ラトビアの国家諜報機関であるVDD,MIDD,SABについて同国の関係サイトから引用し、仮訳する。

Ａ．ラトビア国家安全保障局（ Valsts drošības dienests：VDD)）は、憲法保護局（SAB）と防衛情報セキュリティサービス（MIDD）に加えて、3つのラトビアセキュリティおよび情報サービスの1つである。 VDDは防諜および内部セキュリティサービスであり、さまざまなソースから情報を収集し、分析を実行し、国家安全保障に対して特定された脅威について高官に通知し、それらを中和するための対策を講じる。

　ラトビアのVDDの責任は、(1)防諜活動の実施、(2)国家機密の保護、(3)憲法秩序の保護、(4)経済的安全保障上の利益の保護、(5)テロ対策の調整と実施、および(6)高官の保護である。また、VDDは、ラトビアの3つの諜報機関およびセキュリティ機関のうち、裁判の前で捜査を実施する権利を持つ唯一の機関である。（刑事訴訟、刑事訴追を開始し、人を逮捕するため）。

　VDDの業務は内務大臣によって監督され、運用活動と審理前調査プロセスの正当性は検事総長によって監督されるが、VDDに対する議会の管理はラトビア議会(Saeima)の国家安全保障委員会によって行われる。

Ｂ．MIDD(Militārās izlūkošanas un drošības dienests)と略される国防諜報機関は、国防大臣の従属下にある国防諜報機関であり、国防諜報機関に関する法律、およびその他の法律や規則によって定義されている軍事防諜、諜報機関、およびその他の任務を遂行します。 2002年現在、MIDDの局長はIndulisKrēķis氏である。 

Ｃ．ラトビア憲法擁護局(Satversmes aizsardzības birojs ：SAB))は、内閣の監督下にある国家治安機関である。 SABは、1994年に議会が採択した憲法擁護局法に基づいて1995年に設立された。 憲法擁護局の主な任務には、諜報活動、防諜活動、および国家（公式）秘密の保護が含まれる。 国家安全保障局としての、SABは、NATOおよびEUの機密情報を扱う公的機関の情報の保護も保証する。SABは、国家安全保障法、国家安全保障機関法、ラトビア共和国憲法擁護局法、国家機密法、調査業務法、および以下に関連する大臣の内閣規則に従って運営されている。

(5) ラトビア共和国外務省サイト　

(6)ラトビア共和国最高裁判所

 ラトビア固有の司法制度と思われる点を以下ピックアップする。なお、以下の最高裁の主要判例解説(Case-law)も有用である。

Ａ．懲戒裁判所

○懲戒裁判所(Disciplinary Court)の権限

Authority of the Disciplinary Court

「司法権に関する法律」の第481条に従い、懲戒裁判所は2010年に最高裁判所に設立された。

以下の場合、懲戒裁判所が召集されるものとする。

①司法懲戒委員会(Judicial Disciplinary Committee)の決定の法の支配を評価するために上訴された場合。

②裁判官の専門的活動の評価の範囲内で、司法資格委員会(Judicial Qualification Committee )によって与えられた否定的な陳述の法の支配を検証する場合。

③法的関係の確立、修正、または終了に関する司法評議会の控訴された決定を検討する場合。

④懲戒処分の適用に関する検事総長の控訴された決定の法の支配を評価する場合（検察庁法(Office of the Prosecutor Law)の第4条）。

懲戒裁判所の手続きは、司法懲戒責任法(Judicial Disciplinary Liability Law.)8/7(23)に定められている。

​　司法資格委員会の控訴された声明、司法評議会の決定および検察総長の決定は、司法懲戒責任法によって確立された手順に従って、懲戒裁判所によって審理されるものとする。

 ○懲戒手続き

　裁判官は、判決を受けた日から7日以内に、懲戒処分の賦課および懲戒裁判所での彼/彼女に関するポストからの解任に関する司法懲戒委員会の決定に対して上訴することができる。

　懲戒裁判所の長官は、懲戒裁判所のメンバーの1人に、提出された苦情に関する報告書を作成するように、または司法倫理委員会に倫理基準の解釈と違反に関する声明と説明を与えるように、または追加の説明と文書を要求するように指示することができる。他の人をそのセッションに招待して説明を提供する。

懲戒裁判所に提出された上訴を検討するための手順は、司法懲戒責任法第113条に定められている。

懲戒裁判所が別の方法で決定しなかった場合、苦情は非公開のセッションで審理される。

　苦情を提出した申立人がセッションに参加する。裁判官がもっともらしい理由なしにセッションに到着しない場合、または裁判官が不在のときに苦情を聞くように求めた場合、不在のときに苦情を検討することができる。

懲戒処分を開始した者またはその代理人は、苦情を聞いたときに参加し、意見を表明することができる。

　苦情を聞く前に、申立人は懲戒裁判所に拒否を与えることができる。

 B.司法評議会(Judicial Council)の権限の基礎

　司法評議会は合議制の権威機関であり、司法制度の方針と戦略の精緻化、および法廷制度の業務の組織化に関与している。司法評議会の設立の目標は、行政権、司法権、立法権の間の関係を相殺し、法廷制度に関する問題において重要な役割を担うことである。

　司法評議会の設立は、法律の第131章「司法評議会」を含む、2010年6月3日の改正により、「司法権に関する法律(LAW ON JUDICIAL POWER )」に定められている。これらの改正は2010年8月1日に施行した。

「司法権に関する法律」の第891条に従い、司法評議会の構成は15人のメンバーで構成される。8人の常任理事（最高裁判所長官、憲法裁判所長官、法務大臣、議会司法委員会委員長（Saeima）、検事総長、ラトビア宣誓擁護者評議会議長、議長ラトビアの宣誓公証人評議会およびラトビアの宣誓保安官評議会の議長。 ）と7人の選出された裁判官(任期は４年)からなる。

.　司法評議会の活動は、2017年10月16日の議席で承認された司法評議会の規則の対象となる。司法評議会の仕事は、最高裁判所の構造単位である司法評議会の事務局によって保証されている。

**************************************************************************************

(注1) BTC-eは、2011年7月に設立され、ALWAYS EFFICIENTLLPによって運営されている暗号通貨交換および取引プラットフォームであった。 BTC-eは、さまざまな暗号通貨と米ドル、ロシアルーブル、ユーロの交換を許可した。 BTC-eは、そのミニマルなデザインと快適なユーザーエクスペリエンスで有名であった。 BTC-eは、マネーロンダリング計画に関与した罪で起訴された取引所の主要スタッフが逮捕された後、2017年7月から閉鎖された。 BTC-eはwex.nzの新しいプラットフォームとして再開された。 Wexは、マネーロンダリング防止やKYCなどのすべての法的要件を満たして機能し、現在、ユーザーに登録プロセスを実行するように求めている。 BTC-eの疑わしいオペレーターであるAlexanderVinnikはまだ押収されており、現在ギリシャで拘束されており、家族との休暇中に捕らえられた。

********************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

 

 

 

スペインAEPDは大手スーパーマーケットのメルカドーナに対し有罪判決を受けた個人を特定するために生体認証データを使用したビデオ監視システムの配備につき315万ユーロ(約4億950万円)の罰金を科す

　筆者はスペインのDPAであるAEPDの厳しい制裁措置の内容を報じてきた。例えば、2017.9.16「スペインの個人情報保護庁(AEPD)のFacebookに総額120万ユーロ(約1億5,600万円)の罰金刑とEU加盟国の新たな規制強化の動向(その1)」、「同（その2完）」である。また、本ブログでは取り上げていないが2021年2月には「スペインのデータ保護局（AEPD）は、スペインの商業銀行である「ツアイシャ・バンク（Caixabank SA」）に600万ユーロ(約7億8000万円)の罰金を科した」というニュースも入ってきている。

 　2021.8.4 GDPR Hubニュースは7月27日、スペインのDPAであるAEPDは、スペインやポルトガルに約1644店舗を持つ大手スーパーマーケット・チェーンのメルカドーナ(Mercadona)に対し、以前に店舗で強盗等の犯罪を犯し、有罪判決を受け入場を禁止された個人を特定するために生体認証データを使用したビデオ監視システムに関連して315万ユーロ(約4億950万円)(最終的に252万ユーロ(約3億2760万円)に減額)の罰金を科した旨報じた

　315万ユーロというGDPRに基づく行政罰金としてはこれまでのEU加盟国のDPAの制裁金としては高額であることはいうまでもない。

 　今回のブログはこのAEPD決定内容の詳細を紹介することにあるが、筆者が言いたいのはAEPDの制裁決定にいたる理論構成である。

　裁判所の決定プロセスに準じた内容である。また、GDPR Hubの解説(英語版)がなかったらこれだけの正確な情報は解析できなかったと思う。

 　なお、最後に2021年2月にはAEPDがスペインの商業銀行である「ツアイシャ・バンク（Caixabank SA」に600万ユーロ(約7億8000万円)の罰金を科したという欧州情報保護会議(EDPB)のニュースを要約する。

Ⅰ．AEPDはメルカドーナに対し有罪判決を受けた個人を特定するために生体認証データを使用したビデオ監視システムの配備につき315万ユーロ(約4億950万円)の罰金を科す旨決定

 １．事実関係と経緯

　AEPDは、メディアを通じて、メルカドーナに関連する強盗やその他の犯罪で有罪判決を受けた人々のスーパー施設へのアクセスを防ぐために顔認証技術を使用してビデオ監視システムを使用し、強制的に店内への入場禁止を行っていることに気付いた後、スーパーマーケット・チェーンのメルカドーナに関する調査を開始した。

　その後、「消費者協会(consumers association)」と「コンピュータ利用犯罪および問題に関する協会(association for computer enabled crimes and problems)」によって、この点で2つの苦情が寄せられた。

　メルカドーナは、AEPDが処理を停止するようにコントローラーであるメルカドーナに命令する暫定措置命令を出した後、2021年1月6日から2021年6月5日までこのシステムを使用し始めた。さらに、調査手続きは、その間に裁判所に持ち込まれ、その結果、APバルセロナのスペイン裁判所により認証処理を停止する命令(Auto 72/2021)が出された。.

　この顔認証システムは、人の1つ以上の画像から得られた「疑わしい生体認証サンプル」を、その人の1つ以上の画像を介して以前に登録された人の身元に既に関連付けられている生体認証サンプルのデータベースと比較する顔認識プロセスを使用した。この結果、「疑わしい生体認証サンプル」は、以前に確立された一致しきい値に基づいて評価されるアルゴリズム計算を使用してパターンに変換された。

　データ処理には、スーパーマーケットに入る人のキャプチャーされた生体認証画像のキャプチャー、一致、保存、断絶、そのデータ収集の0.3秒後の不一致の識別の場合　処理が含まれていた。

　コントローラーであるメルカドーナは、GDPR第6条(1)(e)により、人や物資、そしてその施設の安全を確保することを目的としているため、公共の利益に頼っていることを主張した。その特定のスペインの国内法とは「2014年データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada)」(注1)であった。

　生体認証データに関しては、コントローラーは、GDR第9条のデータの特別なカテゴリを処理しており、コントローラーが判決が提供するものを制御するために電子手段を使用することを可能にする裁判所の判決に従うためのデータを処理していたため、第9条(2)(f)の例外に依存していることを認めた(入場禁止など)。

　コントローラーであるメルカドーナには1,623の店舗と95,000人の従業員がいるため、このようなシステムの使用が実際に入場禁止を制御する唯一の適切な方法であり、そのシステムは制御を保証できない他のどのシステムよりも多くの法的保証と信頼性を提供すると主張した。

また、メルカドーナは、システムが使用されたすべての40か店で顔認証監視にかかる情報垂れ幕を掲示していた。

 ２．AEPDの判断の保持

　AEPDは、メルカドーナがGDPR第5条5(1)(c)、6(1)、9(1)、12、13、25(1)、および35 GDPRに違反したと判断した。以下で詳しく解説する。

(1)GDPR第6条、9条、5(1)(c) について

(ⅰ)データの特殊なカテゴリーの適用可能性

　AEDPは、メルカドーナによって処理されたデータが、テンプレート照合型生体認証(BIOMETRIC AUTHENTICATION)とは対照的に生体情報別認証(Biomtric Identification)の目的で使用される生体認証データであるため、GDPR第9条のデータの特別なカテゴリに含まれていることを確認することから始めた。AEDPが述べたように、顔認識システムは、権利と自由のために非常に人権侵入的な識別システムである。(注2)

　また、AEDPは処理が速く、継続的に行われ、それが自動化され、無差別かつ大量の監視につながる可能性があるため、極端なリスクに由来するパターンを作成するためにアルゴリズムを使用したと指摘した。

　したがって、コントローラーは、今回の認証システムはGDPR第9(2)からの有効な例外に依存していることを立証する必要があった。しかし、AEDPによると、コントローラーは、公益に関して、公益に関する例外規定に頼ることはできなかった。この種の処理を許可するスペインの国内法がないため、コントローラーは明示的なデータ主体の同意にしか依存できなかったのである。

　さらにAEDPは、コントローラーが認証システムを使用する正当な理由とは、有罪判決を受けた人の入場のみを制御し、防止することであったが、コントローラーであるメルカドーナは店に入ったすべての人が認証システムが使用された被験者として扱われていたと述べた。

　コントローラーの要求に応じて、システムを実装するための電子手段の使用を許可された判決がある。たとえば,

「1995年スペイン刑法(Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.)」

で認められている措置に従って、顔認識に言及する場合もある。しかし、AEPDは、このような措置は、(有罪判決を受けた)人の権利にのみ影響を及ぼす可能性があると結論付けた。

　さらに、すべての判断が顔認識について言及していない。そして、特に、AEDPは、このようなシステムの使用は、重大性、可能性、及び潜在的な害の大きさ及び権利、保証及び有罪判決を受けた者を含むすべての影響を受けた人々の自由に及ぼす結果を含む、処理につながる状況の性質と文脈を考慮に入れるべきであると指摘した。

また、そのような手段の使用を認める判断には、実装する必要かつ比例した条件と保証、実際に行わなかったこと、コントローラーの裁量に任す必要があるとした。

　この点に関して、AEPDはコントローラー(メルカドーナ)が直接、(1)裁判所に顔認証システムを使用してエントリを制御することを要求することによって、そのような処理を行うための正当性を事前に準備しようとしたこと、および(2)(極端な)リスクの分析とAEPDへの事前の協議は、彼らが行うべきであったように、データ保護影響評価(DPIA)を事前に実行せずに行われていたことも重要であると考えた 。

　これは、裁判所の許可を要求する前に行われるべきだった、リスクの受け入れられないかどうかを判断するためにコントローラーを導くべきであった。さらに、AEPDは、コントローラーが使用する電子手段は、メルカドーナの顧客および労働者などの第三者ではなく、判決が関係する有罪判決を受けた人物にのみ影響を及ばせねばならないと述べた。

(ⅱ)法的根拠

　AEPDは、コントローラーが拠りどころとするGDPR第6条に適切な基礎フォームを持っていないと述べた。AEPDがGDPR第9条(2)(g)の例外について述べたことと同様に、第6条(1)(e)の公益法的根拠は、影響を受ける利益への言及、その使用制限、制限および条件を含む法律で定められる必要がある。これは、公共権力に限界をもたらすだけでなく、法的確実性の原則を保証する。

　しかし、この場合、システムが使用するセキュリティ対策と公共の利益との間に実際の関係はない。それはコントローラーの私的な利益を追求するだけである。さらにDPAは、公共の利益に関連する活動を区別したので、社会全体に利益をもたらし、裁判官や裁判所がその比例性を評価すべき場所と、公共の利益がすべての人の大量処理を正当化するために使用される活動に対して、誰もが有罪判決を受けた人物として扱われる。

　とにかく、AEPDは、以前の判断に沿って、同社は私的利益を追求していただけなので、そのような公共の利益はないと主張した。

(ⅲ)法的根拠と例外の分析

　法的根拠と例外に関する分析において、AEPDは有罪判決を受けた人物データの処理、潜在的な顧客の処理、メルカドーナの労働者の処理の3つのタイプの処理を区別した。

有罪判決を受けた者のデータに関して、メルカドーナは、法的請求に対するデータの処理に関して、第9条(2)(f)の例外の適用を主張した。しかし、DPA は、この例外の使用が無効であると結論付けた。

　この場合、メルカドーナの法的請求はすでに行使または弁護されていた。さらに、法的請求の存在は、コントローラーがそれ以上のデータを処理する権利を与えるものではない。その他の条件を満たす必要がある。

　GDPRの補足説明(Recital 52) に従い、これは例外的に、必要な時に行われる。また、十分な保証が必要である。

　したがって、法的テキストの解釈は、制限的な方法で行う必要がある。この意味で、AEPDはこの例外を、犯罪データの処理のために公的機関の監督下にあることを要求するGDPR第10条と比較した。この場合、処理は監督されておらず、その結果に由来する潜在的な結果(判断の不遵守など)のみである。DPAはまた、例えば、処理を行う裁判所である場合、判決に含まれる措置は有罪判決を受けた人にのみ影響を及ぼす可能性があるため、有罪判決を受けた人のデータのみを処理できると述べた。したがって、裁判所ができないことは、私的な行為者が行うことを許されるべきではない。

　GDPR第6条の法的根拠に関して、DPAは、既に説明したように、第6条(1)(e)の根拠は、まず、法律で定義され、主にそのような公共の利益が存在しないことが必要であると述べた。

　潜在的な顧客のデータに関して、メルカドーナは、説明したように、第9(2)(f)からの例外にも依存しようとしたが、これは有効ではない。AEPDAは、裁判所は有罪判決を受けた人の権利に影響を与える措置を確立することしかできないと再度説明した。第三者は、その権利を侵害することはできない。この第三者には、子供、未成年者、脆弱な人々が含まれう。AEPDが述べたように、この完全に不均衡な措置は、GDPRの精神に違反している。

　AEPDは、刑事訴訟の枠組みの中で取られた措置であるGDPR第9条(2)(f)の例外が判決の影響を受ける者にのみ影響を及ぼす可能性があると結論付けた。さもなければ、それは間接的に非関連の第三者に刑事措置を科すことを意味する。これは、人々の権利と自由に非常に侵入的な大規模な顔認識システムの確立に実際に翻訳されるひねくれた効果を生み出し、容認できないリスクをもたらす。

　スペインの２つの法律、すなわち「個人データの保護とデジタル権利の保証に関する基本法(Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)(2018年12月5日(3/2018)」第22条および

「 データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada.)」第42条の両方が、ビデオ監視システムを許容していることは事実であるが、これらには顔認識システムが含まれておらず、はるかに大きなリスクをもたらし、より侵入的であり、私的利益のために使用されることを意図していない。

　メルカドーナの労働者に関して、AEPDは、彼らが特別に影響を受けた場合でも、コントローラーによって行われたDPIA(Data Protection Impact Assessment:データ保護影響評価)では考慮されていないと結論付けた。

　EU 指令第29条専門家委会議A29WP(Opinion 2/2017 on data processing at work - wp249)の意見に従って、コントローラは、この技術がもたらすリスクを概説し、比例評価を行うことによって、コントローラの正当な利益と従業員の合理的なプライバシーの期待との間の評価を行うべきであった。この顔認証技術の使用は明らかに不釣り合いであり、労働者の間接的な支配をもたらすリスクもある。

　またAEPDは、スペインの労働法で実施された新しい規定に言及し、労働者に影響を与える人工知能システムのアルゴリズム的透明性を提供し、システムの機能に関する透明性の欠如を発見した。これは、労働者のプライバシー権を定めたGDPR第5条(1)(a)、第12条、第13条、第14条および個人データの保護とデジタル権利の保証に関する基本法第89条にも関連している。

　結論として:有罪判決を受けた非常に少数の人だけに影響を与える措置は、この技術の使用を正当化しない。処理を正当化できる法的根拠も、GDPR第9条の例外規定の摘要もない。したがって、メルカドーナはGDPR第6条と第9条に違反していた。

(ⅳ)比例性評価(Proportionality assessment )

　データ処理には比例性評価が必要である。評価には、妥当性評価、必要性評価、比例性評価の3つの要件(権利と自由のバランス)が必要です。評価は、実際に処理を実行する前に、適切なタイミングで実行する必要がある。また、生体認証データを扱う際には詳細な外観が必要になり、リスクが高くなる。その結果、プライバシーの損失が予想される利益に比例するかどうかは、比較検討する必要がある。

　データ処理は、ニーズを満たすために不可欠でなければならない。これは追求された終わりを達成するためのより少ない侵入的な方法がある場合、それは従うことを意味する。したがって、処理は単に有用であるだけでなく、目的を達成するために厳密に必要性がなければならない。

　AEPDによると、セキュリティ・スタッフが対象者を知るために、あらゆる前提・方法でで有罪判決を受けた人の写真を持つなど、目的を達成するための侵入的な方法が少ないため、生体認証システムはすべての潜在的なクライアントと従業員の権利に影響を与えたため、処理は比例性がない。AEPDはまた、この場合このシステムは、例えばマスクを使用して、有罪判決を受けた人がそれを欺くことは簡単なので、有用でも効果的でもないかもしれないので、予防目的のためにさえ十分ではないかもしれないと述べた。

　これは、GDPR第5条(1)(c)および第25条(1)ともリンクされている。処理が判断によって承認されるという事実は、それを必要とするものではない。特別に、それは、説明責任の原則にも従って、コンプライアンスを担当するコントローラーによって行われるべきものであり、任意のセーフガードを提供していない。コントローラーは、データ保護ルールに準拠する必要がある。

　さらにAEPDは、コントローラーがデータの国際的な転送を含む第三者へのデータの転送を避けるために技術的な措置を採用したことも証明していないと述べた。

(ⅴ)最小化原則の遵守

　GDPR第5条に関して、AEPDはまた、最小化と目的の制限原則が尊重されるべきことを指摘した。特にGDPR第5条(1)(c)の最小化原則である。しかし、顔認証システムの独自の性質は、影響を受けるデータ主体の数が多いため、強化された保証を伴う生体認証データの大規模な処理につながる。

　また、データ処理活動は、それが十分であると主張することができるが、侵入的な選択肢が少なく、権利とリスクが適切にバランスが取れていないため、必要でも厳密にも比例していないと主張できるため、さらに比例していないといえる。したがって、この処理は練習的なものである。コントローラーは、少数の有罪判決を受けた人を制御する目的でのみ、潜在的なクライアントと従業員のデータを無差別に処理していた。

　したがって、最小化原則が侵害されたため、GDPR第5条(1)(c)に違反していた。

(ⅵ)子供の個人データ

　AEPDは、「個人データの保護とデジタル権利の保証に関する基本法第28条(2)に従い、管理者が子どもおよび脆弱者からの個人データの処理に伴うリスクを慎重に検討すべきであるという点に特に重点を置いた。

【結論】

　従って、AEPDは、GDPR第9条(2)(g)の例外に頼れる可能性はなく、第6条(1)から有効な法的根拠はなく、必要性、比例性、最小化原則が尊重されていないと結論付けた。

　したがって、GDPR第6条(1)、第9条(1)および第5(条(1)(c)に違反した。

(2) GDP第12条および第13条について

　AEPDは、コントローラーがデータ主体に十分な情報を提供していないため、メルカドーナは透明性の原則を尊重していないと結論付けた。第一に、顔認証システムについて知らせる横断幕は、有罪判決を受けた人との関係で顔認識システムの使用に言及しているだけであり、スーパーマーケットの全顧客のデータ監視には言及していないからである。

　さらに、それは実際にはコントローラーの私的利益だけを追求している場合、目的はクライアントのセキュリティであることを言及しているので、誤解を招きく。クライアントのセキュリティは、標準的なビデオ監視システムでも達成することができるからである。

　また、コントローラーは、システムが使用されている店舗を特定しないため(また、その期間と実際の目的)、クライアントが実際に使用している特定の店舗に入らないという決定能力を制限する。彼らの自動決定権、自由とプライバシーはこのように侵害されていた。

　顧客データの国際転送に関する情報は、コントローラーがそのような可能性を否定したとしても、プロセッサとのデータ処理契約に従って発生する可能性がある。

　したがって、AEPDは、GDPR第12条と第13条に違反したと結論付けた。

(3) GDPR第25条について

  AEPDはまた、顔認識システムの誤差の高い比率が設計によるデータ保護にどのように関連しているかを分析した。AEPDによると、過激化した人々、女性、子供、高齢者などの脆弱な集団からのトレーニングデータの欠如によって生み出されるアルゴリズム・バイアス(algorithmic bias)(注3)は、差別や社会的排除につながり、設計上容認できないリスクをもたらす可能性がある。また、今日では、covid19パンデミックの文脈では、マスクの使用により認証エラーのリスクが高くなっている。

　したがって、AEPDは、GRPR第25条(1)に違反があったと結論付けた。

(4) GDPR第35条について

　AEPDは、処理が高リスクと見なすことができるため、処理の前に、コントローラーが処理の前にデータ保護影響評価を行うべきであったと判断した。しかし、コントローラーは、DPIAを実行する前に顔認識システムを使用する許可を裁判所に要求した。

　設計による積極的な説明責任とプライバシーの適切な理解は、それが実行できるかどうかを個人データの処理活動の概要の最初の瞬間から評価することを意味する。したがって、裁判所の前に顔認識処理の使用を要求するという考えが、市民の権利と自由に対するリスクを評価し、検出する瞬間であったはずである。

　また、AEPDは、このような自動化処理から生じるリスクはそれ自体が高く、実際には、GDPR第9条に従って禁止されているため、初期の固有リスクを十分なレベル(残留リスク)に減らすことができないので、受け入れられないと述べた。このような処理は、人間の介入なしに、データ主体が消去および対象の権利を行使できないことを生じさせる。

コントローラーが(即席で)行ったDPIAも、とりわけ以下の点で異なるリスクを考慮に入れることができなかった。

① 顔認証は、個人データの不本意な処理を伴い、データ主体が異議を唱えることができないという事実と、非常に大量のデータを収集する.。

②さらにこれらのシステムの誤差の高い比率による差別、社会的排除、正確性原理の侵害のリスク。

③さらに有罪判決を受けた人の汚名を着せるリスク。

④すべてのクライアントを潜在的な容疑者にするリスクは、監視の対象となりうる。

⑤脆弱な集団に関する特定のリスク。

⑥プライバシーと親密さの損失するリスク。

このようなリスクの考慮の欠如は、事実上「データ保護影響評価(DPIA)」を無効にする。

　AEPDは、GPR第35条に違反したと結論付けた。

(5) 罰金の制裁と金額

　AEPDはメルカドーナに合計315ユーロの罰金を科したが、早期支払いにより20%減の252万ユーロに減らした。また、AEPDは手続きの過程で取った暫定措置に沿って、メルカドナーに問題となる顔認証処理を停止するよう命じた。

罰金の金額は次のように分割された：合計315万ユーロ

①第6条および9条GDPRの違反に対して：200万ユ―ロ

②第12条および第13条GDPRの違反に対して：10万ユーロ

③第5条(1)(c) GDPRの違反に対して：50万ユーロ。

④第25条(1)GDPRの違反に対して50万ユーロ

⑤第35条GDPRの違反に対して5万ユーロ

　AEPDは罰金額を決定するために、引き下げ要因として、常習的犯行(recidivism)と違法行為の反復性の欠如を考慮に入れた。

他方で制裁金額の悪化要因:

①罰金が効果的で、比例し、説得力を持つ必要があるという事実。この点に関しては、同社の規模(2019年の売上高は250億ユーロを超え、従業員は90,000人、店舗数は1,636店舗)が考慮された。

②処理されたデータには、特別なカテゴリのデータと、未成年者や脆弱な人物からのデータを含む処理されたデータの量が含まれることを考慮した、侵害の性質、重力、および期間。AEPDは、処理が遠隔地、大規模かつ無差別な方法で行われたと述べた。

③メルカド-ーナが、従業員および顧客の権利と自由に対する処理のリスクに関係なく、DPAに事前に協議を行わなかったという事実。

④メルカドーナは、コントローラであり、処理について決定する全責任を持っていたという事実.

⑤処理は、データの特別なカテゴリの体系的かつ徹底的な処理を伴ったという事実。

⑥AEPDがコントローラに関連しない2つの苦情を介して処理について知らなければならなかったという事実。

⑦2020年1月6日から2021年6月5日まで処理を行ったため、法侵害の連続性。

⑧コントローラーのビジネスアクティビティと個人データの処理の間のリンク。

⑨データ処理が子供の個人データにも影響を与えたという事実。

Ⅱ．スペインのデータ保護局（AEPD）は商業銀行である「ツアイシャ・バンク（Caixabank SA」）に600万ユーロ(約7億8000万円)の罰金を科す．

　2021,2,19 欧州データ保護会議(EDPB)は「スペインのデータ保護局（AEPD）は、スペインの商業銀行である「ツアイシャ・バンク（Caixabank SA」）に600万ユーロ(約7億8000万円)の罰金を科した」旨報じた。

　EDPBのリリース内容の概要を、以下のとおり仮訳する。

　スペインのデータ保護局(AEPD)は、顧客の個人データを不法に処理し、かつ個人データの処理に関する十分な情報を提供しなかったため、ツアイシャ・バンクに対し合計600万ユーロの罰金を科した。

　AEPDは、ツアイシャ・バンクの個人情報を遵守するように設計された文書には、(1)関係する個人データのカテゴリに関する十分な情報、および(2)個人データが意図されている処理の目的に関する情報、特に会社の正当な利益に基づく処理活動に関する処理の法的根拠が含まれていないと判断いた。

　その結果、AEPDは、ツアイシャ・バンクがGDPRの第13条と第14条に違反したと結論付けた。GDPR第83条(5)bに続いて、200万ユーロの罰金が科された。AEPDは行政上の罰金額を決定する際、とりわけ、侵害の性質、重大さおよび持続時間を悪化させる要因として、侵害の過失の特徴。会社の活動と個人データの処理との関係そして、会社が大企業であり、その売上高で大きいという事実を考慮に入れた。

　一方、AEPDは、ツアイシャ・バンクがデータ主体の同意を収集するメカニズムを提供していないことを見出した。データ主体の同意が有効な同意の全ての要素と一致しておらず、会社の正当な利益に基づく処理活動が十分に正当化されなかったこと、特に、会社の活動と個人データの処理との関係AEPDは、GDPR第6条の違反であると結論付け、GDPRの第83条(5)に従って、400万ユーロの行政罰金が科された。

　罰金額を決定する際に、AEPDは、とりわけ、以下の点を考慮に入れた。

①侵害の性質、重要性、およびその持続時間。

②侵害の過失の特徴。

③GDPR第25条および第32条に基づいて実施された技術的および組織的措置を考慮したコントローラの責任の程度。

④侵害から得られた利益。

⑤侵害の影響を受ける個人データのカテゴリ。

⑥会社の活動と個人データの処理との関係および銀行が大企業であり、その売上高が大きい.という事実。 

*********************************************************************************************

(注1)2014年4月4日施行　「2014年データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada.)」の概要を抜粋し、仮訳する。この様な立法例は少ないのであえて内容を詳しく紹介する。

第Ⅰ編は、常にすべての人と情報を交換することにより、公安を改善することを唯一の目的として、民間警備サービスと治安部隊および関係機関との間の調整および協力など、本法案の起草に影響を与えた重要なアイデアの1つである法的保証、およびこれまでよりもはるかに積極的でなければならないいくつかの会議機関によって決定されたコミットメントが含まれる。

第II編は、セキュリティ会社や探偵事務所の規制に関するいくつかの戒律、または民間安全保障の新しい国家レジストリで統一された両方の記録に法的地位を与える。

　また、監視する設備のために必要に応じて、企業の要求を高める、また行った活動のためにそれらを減らすために、それを可能にする柔軟なシステムが規制されている。

第III編は、1992年7月30日の「プライベートセキュリティに関する法律(23/1992)」8/5⑨以来、セキュリティ担当者の大部分の機能に関連するものなど、以前は規制に残されていた事項を規制している。

第IV編は、セキュリティ対策が初めて法的なランクの基準で調和して規制され、主要なセキュリティサービス（監視と保護、個人の保護、倉庫と輸送のセキュリティ、および民間調査）、1992年7月30日の法律(23/1992)およびその開発規則に孤立した参照（アラーム、インストールおよびメンテナンスシステムの検証と応答）のみ含まれている。または含まれていない他の重要なサービスに特異性を提供する民間警備の分野におけるビデオ監視の場合と同様に、1997年8月4日の「公共の場所での治安部隊と遺体によるビデオカメラの使用を規制する法律(4/1997)」8/5⑧に含まれる義務に準拠した規制も含まれていない。

　本編では、ビデオ監視と民間調査サービスの規制は、市民のプライバシーの分野に直接影響を与える可能性のあるサービスであるため、特に関連している。第二のケースでは、課題の正当性、調査報告書の内容、または専門的な機密性の義務などのデリケートな問題を、危機に瀕している様々な利益を調整するために取り組んでいる。

第V編には、法務本部で初めて、事業体、人員およびセキュリティ対策に関する管理および検査措置、ならびに影響を受けた人々の協力義務も含まれる。特に、警察官が取る可能性のある暫定的措置を規制する条項の組み込みであり、検査の枠組みの中で、それが絶対に必要であると考える場合には、いかなる場合も権限当局による批准の対象となる。同様に、データのプライバシーのために、警察の検査における私的捜査報告書の内容へのアクセスは、警察や司法の捜査または制裁手続きがない限り、その存在の単なる検証に限定される。

第VI編は、制裁体制に関する以前の法律の主な欠点のいくつかに解決策を提供する。したがって、民間セキュリティの事業者、人員またはユーザーによって犯される可能性のある違反は、後者と共に、現場のトレーニングセンターと共に、期限切れで考えられる。

特に、侵入防止を目的とした、セキュリティ企業、無許可の人員、重大な民間セキュリティ活動を行うサービス会社、またはユーザー自身による侵入防止を目的としたあらゆる侵害行為の規制に重点が置かれている。

(注2) WRecFacesサイトの”HAT IS BIOMETRIC AUTHENTICATION, IDENTIFICATION, AND VERIFICATION?”を仮訳する

○テンプレート照合型生体認証(BIOMETRIC AUTHENTICATION)の目的は、あなたが本来あるべき人物であることを確認することである。このようなシステムでは、コンピューターが人物をスキャンして固有の属性（顔認識テンプレートなど）を探し、個人の特性をデータベースに保存されているテンプレートと比較する。スキャンされた属性がテンプレートと一致した場合、その人はシステムに入ることができる。

○生体情報別認証(Biomtric Identification)は、デジタルおよび物理的なシナリオに適用でき、防衛、法執行、国境管理で使用されるソリューションである。 身分証明書を使用すると、膨大な数の人々の身体的特徴を含むデータベースがあります。たとえば、FBIのリポジトリには、7000万件を超える犯罪記録の身長、髪の色、体重、目の色、傷跡、入れ墨が保存されています。 認証（Autification）では、個人の機能が1つの特定のテンプレート（1：1）と比較されます。 ただし、IDを使用すると、人物の特徴がデータベース全体と照合できる。( 1：N)。 

生体ID検証(Biometric Verification)は認証（Autencication）と混同されることがよくあるが、2つのプロセスには微妙な違いがある。 認証は、人がすでにシステムにいる人と同じ生体認証機能を持っていることを示すが、検証は、オンラインIDが実際のIDにリンクされていることを最終的に証明できることをさす。 

RecFacesサイトから引用

(注3) アルゴリズム・バイアスは、ある任意のユーザーグループを他のユーザーグループよりも優先するなど、不公平な結果を生み出すコンピューターシステムの体系的で反復可能なエラーを表す。(Wikipedia ～引用)。 

***********************************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　                                                                      　 Civilian Watchdog in Japan & Financial and Social System of Information Security　代表　　　　　　　　　　                                                                                                   　　　  　

****************************************************************************************************************************:

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

中华人民共和国最高人民法院が民間の顔スキャン技術の使用と身元とプライバシーの保護に関するガイドラインを定めた「司法解釈文書」を発出

　わが国の最高裁にあたる中华人民共和国最高人民法院(注1)は7月28日に、民間の顔スキャン技術の使用と人々の身元とプライバシーの保護に関するガイドラインを定めた「司法解釈文書」を発出したというニュースが届いた。

　筆者は、この数年来、国際人権擁護団体Human Rights Watchや国際的メディアなどで、(1)中国の少数民族の迫害（少数民族からDNAサンプルを数百万人規模で採取ー公衆衛生プログラムの名の下で　警察が個人情報収集ー）、(2)「世界消費者権利デー」に合わせて3月15日に放送された中国国営テレビの番組「315晩会」では、BMW以外にもアメリカの水回り製品メーカーKOHLER（コーラー）、アパレル大手のMax Mara（マックスマーラ）の店舗で顔認証カメラが設置されていることが暴かれた。いずれも来店者の同意は得ていないという記事、等の記事やレポートを読んできた。

　今回の最高人民法院のガイダンスの発出は極めて時宜をとらえたものといえるが、中国自体、欧米先進国に遅れまいとして2017年6月に主にインターネット関連の「サイバーセキュリティ法（中国ネット安全法：中华人民共和国网络安全法：CSL)」を可決、施行した。その後、2020年7月に「データ安全保障法(データセキュリティ法)：中华人民共和国数据安全法(DSL)」の第一草案を発表、同年12月には、「個人情報保護法:中华人民共和国个人信息保护法(PIPL)」の草案を発表した。

　2021年6月10日、中国全国人民代表大会は新しい「データセキュリティ法(データ安全保障法)：中华人民共和国数据安全法(DSL)」を可決した。2021年9月1日施行である。(筆者ブログ参照)

　残るは、個人情報保護法である。

　このような環境下で、政府としても今回のガイドラインの冒頭に記載されているとおり、「中華人民共和国サイバーセキュリティ法(中华人民共和国网络安全法)」、「中華人民共和国の消費者権利保護法(中华人民共和国消费者权益保护法)」「中華人民共和国電子商法(中华人民共和国电子商务法)」、「中華人民共和国民事訴訟法(中华人民共和国民事诉讼法)」等の続く措置として今回の顔認証の利用に関するガイドラインを作成したことはうなづける。

　しかし、一方で今回の措置はいかにも抜け穴があるように思える。例えば、(1)生体認証技術の中でなぜ「顔認証」のみを取り上げたのか、(2)規制対処が「B to P」のみで「G toC」に言及していないのはなぜか、(3)後で述べるガイドライン第5条適用除外規定の存在、等である。

　今回のブログの執筆に当たり欧米の大手ロ－ファームのレポート等と比較したが、ある程逐条的な解説を行っていたものを除くと詳しい解説は皆無であった。したがって、ここでは全条を仮訳し、その問題点を明らかにしたいと思う。

１．中华人民共和国最高人民法院　英語版サイトニュースの内容

　中华人民共和国最高人民法院　英語版サイトニュースを以下、仮訳する。

　最高人民法院(院長は周强氏)は7月28日に、顔スキャン技術の使用と人々の身元とプライバシーの保護に関するガイドラインを定めた「司法解釈文書」を発出した。

周强氏

　許可を得ずに消費者のデータを収集するために顔スキャンシステムを設置している店や、ユーザーに顔情報の提供を強制するソフトウェア・オペレーターは、人々の人格権を侵害するだろうと文書は述べている。

　民事事件の人民法院の裁判官にガイダンスを提供する最高人民法院の「司法解釈第16条」(注2)は、2021年8月1日に施行される。

　人工知能の大きな特徴である顔認識は、公共交通機関やセキュリティ管理などの分野で広く利用されている。「しかし、それはまた、一部の人々を彼らのプライバシーを懸念させ、あるいはその乱用のために彼らの人格権を傷つけさえした」と最高人民法院の8名いる副院長の1人である杨万明(ヤン・ワンミン:Yang Wanming)はコメントした。

杨万明 氏

　同裁判所によると、近年、顔のスキャンシステムの乱用を伴う事件があり、人々の人格や財産権を傷つけ、社会秩序を乱している。

「たとえば、2021年3月に国内テレビ番組で放映された店舗は、顧客の顔情報を収集し、性別、年齢、気分を分析するためにカメラを設置した後、マーケティング戦略を変更した」とヤンは述べている。

　スマートフォン・アプリケーションの一部のオペレーターは、ユーザーが顔情報の送信を拒否した場合、サービスの提供を拒否した。「これは一般市民の間で大きな不満であり、消費者が自分の権利を保護したい場合にも問題になる」と最高人民法院の調査局の民亊部長であるチェン・ロンギエは述べた。

　さらに「顔の情報は機密性が高いため、情報の使用は個人の権利と利益に重大な影響を与える可能性がある。情報ハンドラーは個人から許可を得る必要がある」と同氏は述べた。

　チェン(陳)氏は、司法解釈で強調されている民法における情報の自発的提供に関する原則は、誰も顔の情報を提供することを強制できないことを明確にしていると述べた。

　 コミュニティ管理部門と建物の入り口のセキュリティを担当する部門は、居住者に身元を証明するための顔認証以外の方法を提供する必要があり、最高法院のガイドライン文書によると、居住者は顔認識システムの使用を拒否した場合でも入場を許可されるべきであると記載されている。

　ヤン副院長は、裁判所はそのような事件に対処する際に個人情報保護を優先事項と見なし、この問題についてさらに司法調査が行われると述べた。

*****************************************************************************************

【補足記事】

　最高人民法院によると、2010年7月1日から2020年12月31日まで、全国の裁判所は人格権に関する114万件の紛争を審理した。また、2016年1月から2020年12月までの5年間に1,678件のプライバシー関連の訴訟を解決した。

　近年では、電気通信詐欺や恐喝などの犯罪に関連する情報漏えいに対処し、人々の財産や個人の権利を保護するための立法措置も導入されている。

　最高人民法院によると、2017年6月から今年6月まで、全国の裁判所は個人情報の侵害を含む10,059件の刑事事件を審理し、そのうち9,743件が結論付けられた。

　21,000人以上が拘禁刑を下され、うち3,803人が3年以上の刑を言い渡された。(注3) 

２．「司法解釈文書」

　筆者の責任で仮訳するとともに、キーワードは原語を併記した。

最高人民法院

关于审理使用人脸识别技术处理个人信息

相关民事案件适用法律若干问题的规定 

 法释〔2021〕15号

（2021年6月8日最高人民法院审判委员会；第1841次会议通过，自2021年8月1日起施行） 

中華人民共和国の民法(中华人民共和国民法典)に従い、個人情報を処理し、当事者の正当な権利と利益を保護し、デジタル経済の健全な発展を促進するための顔認識技術の使用に関連する民事訴訟を正しく開く。「中華人民共和国サイバーセキュリティ法(中华人民共和国网络安全法)」、「中華人民共和国の消費者権利保護法(中华人民共和国消费者权益保护法)」「中華人民共和国電子商法(中华人民共和国电子商务法)」、「中華人民共和国民事訴訟法(中华人民共和国民事诉讼法)」およびその他の法律の規定、裁判の実践と組み合わせて、これらの規則を策定した。

第1条：これらの規則は、情報処理者が法律、行政規則、または顔認識技術を使用して顔情報を処理すること、および顔認識技術に基づいて生成された顔情報を処理することに関する当事者間の合意に違反する民事事件に適用される。

顔情報の処理には、顔情報の収集、保存、使用、処理、送信、提供、および開示が含まれる。

　これらの規則に記載されている顔情報は、民法第1034条に規定されている「生体認証情報(生物识别信息)」に属す。

第2条：情報処理者が次のいずれかの状況で顔の情報を取り扱う場合、人民法院は、それが自然人の人格権および利益を侵害する行為であると判断するものとする。

（1）ホテル、ショッピングモール、銀行、駅、空港、スタジアム、娯楽施設などの事業所、および法律や行政規則に違反する公共の場所での顔の検証、識別、または分析に顔認識技術を使用する場合。

（2）顔情報の処理に関する規則、または処理の目的、方法、範囲を開示していない場合。

（3）法律および行政規則の規定に従い、自然人またはその保護者の個人の同意なしに、または自然人またはその保護者の書面による同意なしに、個人の同意に基づいて顔の情報を処理する場合。 

（4）情報処理者が明示的または同意した顔情報の処理の目的、方法、範囲等に違反する場合。

（5）収集および保存された顔情報の安全性を確保するための技術的措置またはその他の必要な措置を講じなかったため、顔情報の漏洩、改ざん、または損失が発生した場合。

（6）法律、行政規則、または両当事者間の合意の規定に違反し、他者に顔の情報を提供すること。

（7）公序良俗に違反する顔情報の取り扱い。

（8）合法性、公正性、および必要性の原則に違反して顔の情報が取り扱われるその他の状況が合う場合。

第3条：人民法院は、情報処理者が自然人の人格権及び利益の侵害について民事責任を負うと判断するときは、民法第998条の規定を適用し、被害者が未成年者であるかどうかを総合的に検討する。事件の具体的な状況、同意の状況、および必要な情報処理の程度およびその他の要因を通知する。

第4条：次のいずれかの場合、人民法院は、自然人またはその保護者の弁護の同意を得たという理由で、情報処理者を受理してはならない。

（1）情報処理者は、製品またはサービスを提供するために必要な顔情報の処理を除き、製品またはサービスを提供する前に、自然人が顔情報を処理することに同意することを要求する。

（2）情報処理者は、自然人が他の許可と拘束することによって顔情報の処理に同意することを要求する。

（3）自然人が顔情報の処理に同意することを強制された、または偽装されたその他の状況がある場合。

第5条：情報処理者が民事責任を負わないと主張する以下の状況のいずれにおいても、人民法院は法律に従ってそれを受理するものとする。(適用除外規定)

（1）公衆衛生上の緊急事態に対応するため、または緊急時に自然人の生命、健康、財産の安全を保護するために必要な顔情報を処理する。

（2）公共の安全を維持するために、関連する国内規制に従って公共の場所で顔認識技術を使用する。

（3）公益のために、ニュース報道、世論監督などを実施し、合理的な範囲内で顔の情報を処理する場合。

（4）自然人またはその保護者の同意の範囲内での顔情報の合理的な処理を行う場合。

（5）法律および行政規則に準拠するその他の状況がある場合。

第6条： 当事者が情報処理者に民事責任を負わせなければならないときは、人民法院は、民事訴訟法第64条及び「中華人民共和国 民事訴訟法の適用に関する最高人民裁判所の解釈」第90条及び第91条に従い、民事訴訟の証拠に関する最高人民裁判所の関連規定に従って、両当事者の証明負担を決定するものとする。

第7条：複数の情報処理者が、人の顔情報を扱い、自然人の人格権及び利益を侵害し、その自然人が、その過失の程度及び損害の結果の大きさに応じて侵害の責任を負っていると主張する自然人は、法律に従って、人民法院が受理し、民法第1168条、第1169条第1項、第1170条、第1171条等に規定する対応する状況に従って、当該自然人は、複数の情報処理者が共同責任を負うことを主張しうる。

　情報処理者がインターネットサービスを利用して顔情報を処理し、自然人の人格権と利益を侵害する場合、民法第1195条、第1196条、第1197条等の規定が適用されるものとする。

第8条：情報処理者は、自然人の人格権及び利益を侵害する人物の顔情報に対する財産の損失を処理し、その自然人が民法第1182条に基づく財産損害の補償を主張する場合、人民法院は、法律に従ってその損害を受理するものとする。

　自然人が不法行為を止めるために支払う合理的な費用は、民法第1,182条に規定する財産の損失とみなすことができる。 合理的な支出には、自然人または委託代理人が違反を調査し、証拠を得るための合理的な費用が含まれる。人民法院は、当事者の要求と特定のケースに応じて、合理的な弁護士費用を補償の範囲内で計算することができる。

第八条  信息处理者处理人脸信息侵害自然人人格权益造成财产损失，该自然人依据民法典第一千一百八十二条主张财产损害赔偿的，人民法院依法予以支持。

　　自然人为制止侵权行为所支付的合理开支，可以认定为民法典第一千一百八十二条规定的财产损失。合理开支包括该自然人或者委托代理人对侵权行为进行调查、取证的合理费用。人民法院根据当事人的请求和具体案情，可以将合理的律师费用计算在赔偿范围内。

第9条：自然人は、情報処理者による顔認識技術の使用が、彼のプライバシーまたはその他の人格権を侵害する行為を現在またはこれから行うことを証明する証拠を有する。それを一定の時間内に止めないと、彼に取り返しのつかない損害を与えることになる。正当な権利と利益、および行動のために人民法院に申請する情報処理者が行動に関連する措置を停止するように命じられた場合、人民法院は、事件の特定の状況に応じて人格権の侵害に対して差止め命令(人格权侵害禁令)を出すことができる。

第九条  自然人有证据证明信息处理者使用人脸识别技术正在实施或者即将实施侵害其隐私权或者其他人格权益的行为，不及时制止将使其合法权益受到难以弥补的损害，向人民法院申请采取责令信息处理者停止有关行为的措施的，人民法院可以根据案件具体情况依法作出人格权侵害禁令。

第10条：不動産サービス会社または他のビルマネージャーは、所有者または不動産ユーザーが不動産サービスエリアに出入りするための唯一の検証方法として顔認識を使用する。。同意しない所有者または不動産ユーザーが他の合理的な検証方法を要求した場合、人民法院は法律に従って受理する。

　不動産業またはその他のビル管理者が本規則第2条に規定する状況にあり、当事者が不動産サービス業またはその他のビル管理者に不法行為責任を負うことを要求する場合、人民法院は法律に従ってそれを受理するものとする。

第11条：情報処理者は、標準的な条件を使用して自然人と契約を結び、自然人に顔情報を無期限に、取消不能に、任意に副承認して処理する権利を付与することを要求できる。自然人は、民法：標準条項が無効であることを確認するよう要請された場合、人民法院は法律に従ってそれを受理するものとする。

第12条：情報処理者が自然人の顔情報を取り扱う契約に違反し、自然人が契約違反の責任を負うことを要求した場合、人民法院は法律に従ってそれを支援するものとする。自然人が情報処理者に契約違反の責任を要求した場合、人民法院は法律に従ってそれを受理するものとする。

　情報処理者が顔情報の削除について両者が合意していないと主張した場合、人民法院はそれを受理してはならない。

第13条：同じ情報処理者が、自然人の人格権益を侵害する顔情報に関する紛争を処理し、複数の被害者が同じ人民法院にそれぞれ訴訟を起こした場合、人民法院は、当事者の同意を得て、裁判を併合することができる。

第14条 情報処理者が顔情報を処理する行為が民事訴訟法第55条、消費者の権利及び利益の保護に関する法律第47条又は民事公益訴訟に関するその他の法律の関連規定に合致し、法律で定める機関及び関係機関が民事公益訴訟を提起した場合、人民法院は、その行為を受理しなければならない。

第15条：自然人の死亡後、情報処理者は、法律、行政規則、または顔の情報を取り扱うための両当事者間の合意の規定に違反し、故人の近親者は、情報処理者に民事責任を負うよう要求する。民法第994条に従い、この規則が適用される。

第16条：これらの規則は、2021年8月1日に施行するものとする。

　情報処理者が顔認識技術を利用して顔情報を処理し、この規則の施行前に顔認識技術に基づいて生成された顔情報を処理する動作が発生した場合は、この規則は適用されない。

****************************************************************************:*******************

(注1) 中华人民共和国最高人民法院の「中国裁判制度」中国語・英語併解説（全35頁）参照。最高人民法院の組織の解説(中国語のみ)8/4⑨　副院長は8人いる。現院長は周强氏である。

(注2)中国の裁判制度全般についてオーストラリアのメルボルン大学のアジア法センター(Asian Law Cener)が概要(A Brief Introduction to the Chinese Judicial System and Court Hierarchy)説明を行っている。

　その一部が最高人民法院の司法解釈に言及しているので一部抜粋し、仮訳する。

「最高人民法院は、その裁定機能に加えて、司法解釈（司法解释）を制定するための準立法機能も備えている。裁判所による法律および規制の意味と適用の問題に対処する司法解釈は、中国のすべての裁判所を拘束する。中国の法律は一般に広範かつ一般的な用語で起草されているため、司法解釈は提供する重要な方法になっている。特定の規定の意味と法律の詳細な適用に関するガイダンスである。最高人民法院は、司法解釈の力を惜しみなく使用してきた。

　訴訟を裁定する際に裁判所によって適用される法律の特定の規定の解釈と、行政訴訟法などの法律全体の包括的な解釈の両方を提供する。一部のコメンテーターは、後者の形式の解釈は最高人民法院の権限を超えていると示唆しているが、これらの解釈は引き続き発行され、遵守されている。

　裁判所が行政上の決定を違法と判断する状況を特定するなど、解釈が他の国の機関に間接的に影響を与える裁判所にのみ技術的に拘束力を持つが、司法解釈の影響は裁判所を超えて広がる。ただし、司法解釈は二次的な法源にすぎず、全国人民代表大会と委員会の地位によって制定された法律と矛盾する場合は（理論的には）無効となる。

 司法解釈は、実際的な質問への回答を求める法律実務家にとって極めて重要な機能を果たす。

(注3) 現行中国の刑法典(英語版)の第Ⅲ章　罰(https://www.fmprc.gov.cn/ce/cgvienna/eng/dbtyw/jdwt/crimelaw/t209043.htm)を引用、仮訳する。

第III章 罰則

第1編　罰の種類

第32条  罰は、主たる罰と補足的な罰に分けられる。

第33条  主な罰の種類は次のとおりである。

 (1)公的監視( control; public surveillance) (注4)

（2）Criminal detention (拘役)：中国の法律の下で存在する2種類の投獄の1つ。もう一つは拘禁刑である)。拘役には警察署での拘禁も含まれる。それは1ヶ月から6ヶ月の期間続く可能性があり、囚人はその期間中に限られた家庭訪問を許可される。

（3）期限付き拘禁刑： fixed-term imprisonment;

（4）終身刑： life imprisonment;

（5）死刑：The death penalty.

第34条  補足的罰の種類は次のとおりである。

（1）罰金;

（2）政治的権利の剥奪

（3）財産の没収

(注4) public surveillanceとはいかなる罰則か。

　明確な定義はないようである。ただし、以下のような統計があるので保護監察(probation and parole)とは異なるものであろう。あえて訳語をあてるとすると「コミュニテイ矯正処分」といえようか。

なお、参考までに英国の社会内刑罰の一覧を以下にあげる。中国と同一か否かは不明である。

**********************************************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　                                                                 　　 Civilian Watchdog in Japan & Financial and Social System of Information Security　代表　　　　　　　                                                                                                   　　　  　

***************************************************************************************************************************:

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

イタリアDPAであるGaranteが大手食品・食料品配送会社Deliveroo Italyに対し計250万ユーロ(約3億2500万円)で制裁金と改善命令

　イタリアのDPAである”Garante(Garante per la protezione dei dati personali )” は、約8,000人のライダーの個人データを違法に取り扱ったとして、食品・食料品のデリバリー会社Deliveroo Italy(以下、Delliverooという。本部は英国) (注)に200万ユーロと50万ユーロの罰金を支払うよう命じた。同時にGarante の命令に準拠するために、Delliverooは、一定の期間内に、当局によって指示された要件に適応することによって、労働者のデータの処理を変更する必要がある旨命ぜられた。

　デジタル・プラットフォームによる食品および食料品の配送活動を行う同社の英国本社に対しても行った調査から、ヨーロッパおよび加盟国のプライバシー法、労働者保護法、およびデジタルプラットフォームで働く人々を保護する最近の法律の多数かつ重大な違反があることが明らかとなった。 

　一方、わが国では、ウーバーテクノロジー社のフードデリバリーサービスが有名であるが、当初から、労働基準法の労働者ではない、すなわち労災保険法の適用がないとされた。労災保険を利用できれば，治療費は労災保険から全額支給されるし、ケガで仕事を休まなければならなくなっても、休業期間中，約8割の給料が補償される。

　その他の問題指摘を受けて、2019年10月に「ウーバーイーツユニオン」が設立されたのは周知の事実である。同ユニオンの主張・要求は「事故やケガの補償」「運営の透明性」「適切な報酬」の三本柱である、

　特に2番目の「運営の透明性」がEU加盟国ではプライバシー侵害として大問題となり、本ブログでもこれまで取り上げてきたとおりである。

　この2番目の柱に関し、同ユニオンは「配達員は、ウーバーイーツのアプリ経由で配達の依頼を受けていますが、アカウントを一方的に停止されたり、仕事を振られなくなるようなことがあります。私たちは会社に対して、アカウントの一方的な停止をやめ、配達員の評価や、アカウントの停止手続などについて説明責任を果たした運営の透明性を求めます。」と説明しているが、EU加盟国のように保護機関による保護法違反による制裁金措置は期待していないようである。

　その背景には、わが国の情報保護委員会の法執行機能の低さがあることはいうまでもない。

 　本論に戻る。ライダー保護に関するGaranteの制裁や改善命令については、筆者は7月19日の本ブログ「イタリアの情報保護庁(Garante)はギグエコノミーのパフォーマンス管理アルゴリズムの使用をめぐりフード・デリバリー・ライダー管理会社Foodinhoに罰金260万ユーロを科す」で詳しく解説したとおりである。

　Garanteだけでなく、EU加盟国のDPAや欧州議会がライダー保護問題に極めて注目していることから、あえて再度Deliveroo Italy問題を取り上げた次第である。

１．Garanteの事実関係と親会社の具体的問題点の解説

　プライバシー当局の行動は、イタリアの食品配達プラットフォームの労働者のデータを保護し続けている。共通する最大の問題は、親会社のアルゴリズムの透過的な使用の欠如とワーカー(ライダー)・データの過剰な収集である。

　これらのDeliveroo Italyの違法行為は、とりわけ、注文の割り当てと勤務シフトの予約の両方で、ライダーの管理に使用されるアルゴリズムの透明性の欠如に関係していた。

　2020年末にシフト予約システムを今後使用しないことを宣言した同社は、注文割り当てシステムの機能に関する正確な情報をライダーに提供し、完全に可能な人間の介入を得る権利を保護するため、システムの機能を評価し、必要に応じて大幅に修正するなどの措置を特定する必要がある。

　いずれの場合も、同社は定期的にアルゴリズムの結果の正確さを検証して、歪曲または差別的な影響のリスクを最小限に抑える責任があった。

　今回のGaranteのチェックにより、Deliverooは、デバイスの継続的なジオロケーション(ユーザーの地理的位置を取得するための技術および機能)を通じて、ライダーの作業パフォーマンスについても必要以上に綿密なチェックを実行していることが明らかになった。

　これは、注文を割り当てるために必要なものをはるかに超えていた（たとえば、位置の12秒ごとの検出、保管6か月間のすべての通過点等）-そして、カスタマーケアとのコミュニケーションを含む注文の実行中に収集された大量の個人データを保存することによって。実際、システムは、推定時間（レストランからの食品からの引き出しや顧客への配達など）または事前に決定された時間（たとえば、彼がピックアップを受け入れた場所からのライダーの実際の移動時間）に関する数分の偏差に関連するデータを収集していた。

　労働者の遠隔操作も導出できる装置の使用のために、設置前に特定のニーズ(職場での安全性、会社の資産の保護)の存在、そしていずれにせよ労働組合協定の規定または労働検査官の承認を必要とする労働者法に違反するものであった。

２．Garanteの改善命令の内容

　Gatante は、今回明らかとなった違反を修正するためにDeliverooに60日、アルゴリズムへの介入のプログラム修正を完了するためにさらに90日を猶予期間を与えた。

***************************************************************************************************

(注) DeliverooはイギリスのDeliveroo社が運営するフード・デリバリー・サービス。Deliveroo社はイギリスのロンドンに本拠地を構えるベンチャー企業で、2013年に創業。現在はイギリスの他、フランス、オランダ、ドイツ、ベルギーといった欧州各国でも事業を展開している。シンガポールにも早い段階から進出しており、現在ではGrab Food、そしてドイツ発祥のfoodpandaと並んでメジャーなフード・デリバリー・サービスとなっている。

**************************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

 

米国のオハイオ州等の包括保護法の立法動向から見た法規制の在り方、法遵守や消費者保護の観点から見た容易性、理解のしやすさ等につきGDPRとの比較結果(その2完)

(ⅵ)データ主体のアクセス権

・Access Requests.

・45 days to respond.45日以内の

・No charge for information.費用負担なしの情報提供

・Justification for failure to act管理者がアクセス要求を拒否する時の説明義務

・Denial of requests　管理者のアクセス拒否権

・Right to appeal.

・Minors.データ主体が未成年者(13歳～16歳）の場合の親権者の同意

・Data Protection Assessments.以下の場合の調査義務

　以下のとおり、コロラド州が詳しい

　1. Targeted advertising where profiling presents a risk of

  a.Unfair or deceptive treatment of, or unlawful or disparate impact on

    consumers.

1. Financial or physical injury to consumers.
2. An intrusion upon a consumer’s solitude or seclusion, or the

private affairs or concerns of the consumer if such an intrusion would

be offensive to a reasonable person.

1. Other substantial injury to consumers.
2. Selling personal data.
3. Processing sensitive data.

(ⅶ)法施行権者および制裁金額

・Attorney General Investigative and　Enforcement Authority　司法長官等

　のみに法執行権を与える。

　カリフォルニア州(CCPA/CPRA)のみ私権行使権Private Right of Action.を定める。

３．プライバシー保護立法の在り方(私見)

  前述した米国の各州の適用例外規定に対し、GDPRは第9条(特別な種類の個人データの取扱い )で極めて限定した定めをおいている。

  しかし、これだけを見て米国の立法は不十分とはいえない。たとえば、具体的にGLBAやSafeguard Ruleの運用をめぐる連邦取引委員会（FTC）の最近時の取組みやEU加盟国のDPAの制裁の動向を以下で見ておく。

(1)FTCの”Vemo”GLBAおよびセーフガード規則違反の制裁告訴と和解

A.2018年2月27日FTC発表「FTCは、VenmoによるGLBAのプライバシーおよびセーフガード規則違反の申し立てに対する和解を発表 」

  連邦取引委員会（「FTC」）は、PayPal.Incが提供するVenmoピアツーピア決済サービスがプライバシーと消費者の金融口座の範囲に関して消費者を惑わしたという告発につき、同社と合意し、同時にその金融口座の安全性が確保された旨発表した。

　これは、これらの問題に対処した2017年12月20日TaxSlayer,LLCに対するFTCの措置に続く過去3か月で2番目の重要なFTCの和解であり、グラム・リーチ・ブライリー法のプライバシーおよびセーフガードルール違反に対するFTCの新たな焦点を示している。

  今回のFTCの告訴は、Venmoが3つの別々の方法でプライバシー・ルールに違反したと主張した。まず、第一にVenmoは、「通知の性質と性質の重要性に注意を喚起しなかった」という明確で目立つプライバシー通知を提供していなかった。むしろ、Venmoのモバイル・アプリケーション（「Venmoアプリ」）のプライバシーに関する通知は、Venmoユーザーには目立たない明るい灰色の背景に灰色のテキストで表示されていた。

　第二に、VenmoはVenmoがユーザーの個人情報を共有する方法を説明する正確な通知を提供していなかった。 Venmoのプライバシー通知には、ユーザーがアカウント・トランザクションを「公開」として指定した場合にのみ、ユーザーの個人情報をVenmoの「ソーシャル・ウェブ」のメンバーと共有すると記載されていた。しかし、Venmoは初期設定で、Venmoアカウントを持っていない個人を含むオンラインのすべての人とこの情報を共有していた。

　最後に、Venmoは、各顧客がそれを受け取ることが合理的に期待できる方法で最初のプライバシー通知を配信しなかった。プライバシー通知はVenmoアプリにハイパーリンクとして含まれていたが、ユーザーは「金融商品またはサービスを取得するために必要なステップとして」その受領を確認する必要はなかった、という内容であった。

B.和解内容

　FTCリリースから抜粋する。

　FTCとの和解の一環として、Venmoは、サービスの使用に関する重要な制限、プライバシー設定によって提供される制御の範囲およびVenmoが特定のレベルのセキュリティを実装または遵守する範囲を不実表示することが禁じらた。

　またVenmoは、その取引およびプライバシー慣行について消費者に特定の開示を行うことを義務付けられており、GLBAのプライバシー規則およびセーフガード規則に違反することが禁じられた。 GLBA規則の違反を含む過去の事例と同様、Venmoは、これらの規則への準拠について、隔年で第三者による評価を10年間受ける必要があるとされた。 

(2)GAFAに対する制裁方法の有効性

　他方、米国の場合、GAFAに対する規制や制裁は可能か。EU加盟国のDPAによる民亊制裁は筆者のブログ(その1)、 (その２完)で取り上げたとおり、フランスのデータ保護当局CNIL（情報処理と自由に関する国家委員会）が2019年1月21日、Google（グーグル）に対して、GDPR（EU一般データ保護規則）違反を理由に5,000万ユーロ（約62億円）の制裁金の支払いを命じた。GDPR違反による巨額制裁金が米大手企業に課された、初めてのケースである。

　では、米国のGAFAに対する規制はどちらかというと反競争法の適用が優先しているように思える。以下のレポートなどを参照されたい。この傾向はEU加盟国でも同様である。

○「欧米のデジタルプラットフォーム規制の現状（後編）米国（アメリカ）」

○「ビッグテックは持続するには大きすぎるか？ 米国とヨーロッパで進行中の反トラスト事件のリストを概観 」

4．全米各州の立法のトラッキングサイト”LegiScan”の無料利用者登録の手順と実際の使い方

”LegiScan”はiappもハイパーリンクでリンクさせている。HP画面を見ておく。

左下で州を選択、法案番号HB 376→376を入力する。

以下の画面が出る。(https://legiscan.com/OH/bill/HB376/2021)

************************************************************

(注7-2)イリノイ州は包括保護法ではないが家庭内に限った保護法を可決し、知事の署名により成立した。対象が極めて限定された保護法であり、包括保護法の範疇外であるが参考までにあげる。

Fox Rothchild LLP記事を仮訳する。「2021年8月27日、イリノイ州知事JBプリツカーは、家庭プライバシー保護法に署名した。2022年1月1日に施行される。

下院法案2553  は、イリノイ州の法執行機関が家庭の電子データを取得したり、民間の第三者から家庭用電子データを取得することを原則禁止する。

これには、パーソナル コンピュータ デバイス (パーソナル コンピュータ、携帯電話、スマートフォン、タブレットなど) およびデジタル ゲートウェイ デバイス (モデム、ルーター、ワイヤレス アクセス ポイント、ケーブル セットトップ ボックスなど)を除く、電子通信を促進できる家庭内で主に使用できるデバイスに対してユーザーが提供する情報または入力デバイスが含まれる。

　令状が取得された場合、または家庭用電子機器の所有者または実際または建設的な所持人が同意を与える場合、特定の緊急事態を含む、この禁止には例外があう。

　法執行機関が例外なくそのような情報を取得した場合、取得した情報を開示することはできない。しかし、例外があります。すなわちその機関の監督者は、他の政府機関、政府機関の従業員、またはいくつかの条件を持つ重要な証人に特定の情報を開示することができる。

　この法案に基づく法執行機関からの要請に応じて家庭の電子データを提供する個人または団体は、あらゆる法執行機関への送信中に、家庭の電子データの機密性、完全性、およびセキュリティを確保するために合理的な措置を講じるものとする。また、家庭の電子データの作成は、法執行機関の要請に応じて応答する情報に制限するものとする。

****************************************************************************************:

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　　　　　　　                                                                                                   　　　  　Civilian Watchdog in Japan　代表

***************************************************************************************************************************:

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

米国のオハイオ州等の包括保護法の立法動向から見た法規制の在り方、法遵守や消費者保護の観点から見た容易性、理解のしやすさ等につきGDPRとの比較結果(その1)

　Last Updated:September 2,2021

　筆者は,これまでカリフォルニア州やバージニア州の情報保護法の立法動向をフォローしてきたが、この問題についてはわが国でも多くのレポートがあることは言うまでもない。(注1)

　他方、わが国では全州の立法の取組動向となると一転して正確、最新かつ詳細な情報は皆無である。そのような中で最近オハイオ州の法案が上程されたというニュースが手に入った。 

　今回のブログは、まず(1)7月12日に上程されたオハイオ州の法案(H.B.376)の内容をひととおり解析し、(2)各州の立法動向を調査している”International Association of Privacy Professionals(iapp)”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”にもとづき法案内容を比較しながら、各州がいかに適格な立法を目指しているかを読んでみたい。

　なお、H.B.376の原文を読んでみると極めて難解である。(注2)一方、UniLaw 企業法務研究所​代表　浅井敏雄氏がカリフォルニア州”California Consumer Privacy Act of 2018：CCPA”および"California Privacy Rights Act of 2020 ：:CCRA"を私訳されている。補足説明を加えながらの解説であり貴重な文献である。

 同時に法律の構成、内容、理解度、わかりやすさから見て、EUの「一般データ保護規則(GDPR) 」と比較されたい。従来のような米国のような個別・分野別立法に頼るだけでなく、モデル法としての連邦包括保護法の議論も中断したままである。

　国民や事業者の保護法遵守の徹底を図るうえでこの点は見逃せない点であると思うし、今後でてくるであろう新たな州保護法案がどこまで大幅な見直しの上に出てくるかを期待したい。最後に、筆者なりにEUのGDPRを受けた加盟国のDPAの取組と米国のGLBAや規則の運用を含めた比較を行った。 

　また、参考までに、これらに関連し、iappやNSCLのレポートを調べるうえで重要となる全米各州の立法のトラッキングサイト”LegiScan”の無料利用者登録の手順と実際の使い方の解説を試みるものである。

 　言うまでもないが、今回の立法動向を正確に理解するうえで州議会の立法用語集の使い方にも言及した。この点は比較法ゼミの内容に該当するものであるが、折角の機会なので丁寧に説明することとした。

　 2回に分けて掲載する。

 １．オハイオ州OPPA(H.B.376)の概要

 JD Supra, LLCレポート「Privacy Bill Essentials: Ohio Personal Privacy Act」を抜粋、仮訳する。

 　オハイオ州では新しいデータ保護およびプライバシー法案（H.B. 376）が最近で上程された。オハイオ個人プライバシー法（Enact Ohio Personal Privacy Act：OPPA）は、カリフォルニア州、バージニア州、コロラド州での最近の立法に似ているが、3つ法律のうち、この法案はバージニア「消費者データ保護法(Consumer Data Protection Act )」に最もよく似ている。制定された場合、OPPAは州民のデータ保護権利をあらたに確立し、オハイオ州の消費者の個人データを収集する州内外の企業に複数の具体的義務を課すことになる。

(1)誰に適用されるのか？

 　OPPAは、オハイオ州で事業を行う企業、または州内の消費者を対象とする企業に適用され、次のいずれかに適用される。

①州で2,500万ドル(約27億5,000万円)を超える年間総収入がある企業。

②暦年中に100,000人以上の消費者の個人データを管理または処理する企業。

または、

③ 総収入の50％以上を個人データの販売から得て、暦年中に25,000人以上のオハイオ州の消費者の個人データを処理または管理する企業。

　一方、OPPAは以下には適用されない。

①全米連邦等の公的機関または州の下部機関。(注3)

②グラム・リーチ・ブライリー法のタイトルVに準拠する金融機関または金融機関の関連会社。

③高等教育機関。

④企業間取引(いわゆるBtoB)。

⑤オハイオ州改正法令集(Ohio Revised Code)(注4)の第3905.49節で定義されている保険会社または独立した保険代理店。

⑥保険関連の犯罪または詐欺を検出または防止するために設立された非営利団体。

⑦オハイオ州改正法令集(Ohio Revised Code)の第3937.09節および第3937.05節に記載されている諮問機関または格付け機関。

(2)どのような種類の情報をカバーするか？

　OPPAは、個人または世帯の関連でオハイオ州に居住する消費者の「個人データ」を保護する。従業員、請負業者、求職者、役員、取締役、および事業主は、事業または雇用の立場で行動する場合は消費者とは見なされない。

　個人データとは、「営利目的で企業が処理する特定または特定可能な消費者に関連する情報」と定義されている。この定義は、公的に利用可能なソースから処理されたデータ、および「仮名化(pseudonymize）)、匿名化(anonymize )、または集約されたデータ」を除く。

(3)それは消費者にどのような権利を生み出すか？

　OPPAは、次の権利を含むさまざまな消費者の権利を新たに作り出す。

 ① 消費者に関して収集されている個人データを把握する。

 ②消費者に収集された消費者の個人データへのアクセス権を与える。

 ③個人データの削除を要求する権利を与える。

 ④消費者の個人データの販売を拒否またはオプトアウトする権利を与える。

(4)それは事業者にどのような義務を課すか？

 OPPAは、対象となる事業者に対して、合理的にアクセス可能で、明確で、かつ目立つ方法で、以下を含むプライバシー・ポリシーを表示することを要求する。

① プライバシーおよびデータセキュリティに関する問い合わせのための事業者の連絡先を含む、事業者のIDおよび連絡先情報、および事業者が個人データを転送する可能性のある関連会社のID。

②ビジネス・プロセスにおける個人データのカテゴリー。

③個人データの各カテゴリの処理の目的。

④個人データを収集または販売する目的。

⑤個人データが収集されるソースのカテゴリー。

⑥事業者が個人データを開示する処理者のカテゴリー。

⑦事業者が個人データを販売するかどうか、事業者が個人データを販売する第三者のカテゴリー、および販売の目的。

⑧ 個人データに関する事業者のデータ保持実務慣行およびそのような保持の目的の説明。

⑨このポリシーに基づいて個人がどのように権利を行使できるか。

⑩ 事業者のデータ・セキュリティ実務慣行の一般的な説明。

⑪ プライバシー・ポリシーの発効日。

⑫ プライバシー・ポリシーに重要な変更を加えた場合、またはプライバシー・ポリシーと互換性のない目的で個人データを処理することを決定した場合に、企業が消費者に通知する方法の説明。

　事業者のデータ・プライバシー慣行を反映するプライバシ・ーポリシーを維持しないことは、不公正で欺瞞的な実務慣行と見なされるが、消費者に私的な訴因(民亊告訴)を与える権利はない。

　また可能であれば、改定実施の60日前に、企業のプライバシー・ポリシーに重大な変更があった場合は消費者に直接通知する必要がある。

(5)それはどのように実施されるか？

　OPPAは、州司法長官事務局（AG）に調査権限と独占的な法執行権限を付与する。 AGが、企業がOPPAに違反する行為または慣行に従事している、または従事していると信じる合理的な理由がある場合、AGは、郡裁判所に訴訟を提起し、確認判決、差止命令による救済、罰則（3倍額損害賠償(treiple damages)を含む）(注5)、および弁護士費用を含む民事訴訟を求めることができる。ただし、そうする前に、AGは訴訟の開始前に企業に対し、30日間の是正(修正)期間を提供する必要がある。

  同様の他州の制定法とは異なり、OPPAは、米国国立標準技術研究所(NIST)のプライバシー・フレームワーク(注6)に準拠する企業にセーフハーバーを提供する。

(6)法案OPPAはどこにあるか？

　OPPAは、オハイオ州知事のリチャード・マケル・デワィン(Richard Michael „Mike“ DeWine)の支援を受けて2021年7月12日に上程されたが、発効日は含まれていない。

Richard Michael DeWine知事

２．各州の立法動向を検索・調査している”iapp”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”の内容の比較

 　個別ローファームのレポートは成立済の個別立法の解説を行っているが、各州の立法動向を調査・比較している”International Association of Privacy Professionals(iapp)”の”US State Privacy Legislation Tracker Bills introduced 2021”および”National Conference of State Legislatures(NSCL)”を具体的に比較してみた。

(1)iapp

”US Sate Privacy legistlation Tracker”(2021.5.26現在)が全州の上程された全法案をトラッキングしている。なお下記の各州の状況についてのグルーピング結果(特に②、③)は定義の説明がないがゆえに正確に見るとやや疑問がある。

①知事の署名により成立したのが4州

ネバダ(2019.10.1 施行)(注7)

カリフォルニア(2本:CCPA;CPRA)、バージニア(SB 1392)、コロラド(SB 190：2021.7.7に州知事が署名済)

 ②委員会等で審議中が5州(active bills)

コネチカット(SB 893 2021.6 .9 委員会で審議終了)、イリノイ(HB3910:House Rules Committeeで継続審議)(注7-2)、マサチューセッツ(Bill S.46 :Massachusetts Information Privacy Act: Referred to Joint Committee on Advanced Information Technology, the Internet and Cybersecurity)、ニューヨーク(3法案)：

Assembly Bill(議会法案) 680(New York Privacy Act):Assembly Consumer Affairs and Protection Committee

A6042(Digital Fairness Act)

 SB 567 Senate Consumer Affairs and Protection Committee

　テキサスHouse Bill 3741 (Prior Session Legislation)委員会審議で中断

 ③上程されたが委員会等で継続審議や時間切れの州(failed bill)

アラバマ、アラスカ、アリゾナ、フロリダ(HB969:2法案）、ケンタッキー、メリーランド、ミネソタ（HB 1492;HF 36の２法案)、ミシシッピー(SB 2612)、ノースダコタ(HB 1330)、オクラホマ(HB 1602)、ユタ(SB 200 :無期休会)、ワシントン(HB 1433;SB5062の２法案)、ウェストバージニア(BS3159 :無期休会)

 計２1州

 (2)iappのカルフォルニア(CCPA,CPRA)、バージニア、コロラドの３州の計4つの保護法の内容比較

　2021.7 作成　著者はCathy Cosgrove　&　 Sarah Rippy「Comparison of Comprehensive：Data Privacy Laws in Virginia,California and Colorado」である。全18頁にわたる比較資料(あくまで公式資料にあたることと注記されている)

Cathy Cosgrove 氏

Sarah Rippy 氏

　主な比較項目について概要を説明のうえ、特徴点をあげる。なお、3州＋ネバダ州法、GDPR,Uniform Law Commission 統一法委員会のUPDPA(Uniform Personal Data Protection Act (UPDPA)につき消費者の権利を詳細に比較したレポートもある。

(ⅰ)適用となる事業者の規模(scope)

　取扱う年間個人顧客数や年間総売上高(CCRA)を定め、一定規模以下の事業者は適応除外とする。

(ⅱ)適用の例外機関

　バージニア州やコロラド州は以下の点でほぼ同じ 内容である。

：State government entities, nonprofits,institutions of higher education,

financial institutions or data subject to Title V of Gramm-Leach-Bliley Act,covered entities or business associates subject to the Health Insurance Portability and Accountability Act and the Health Information Technology for Economic Clinical Health Act(注8)

 (ⅲ)消費者の権利

以下の項目はほぼ共通しているが、CPRAは見直された方だけにより厳格内容を有している。

・Right to Know whether a controller　is processing the consumer’s personal data.

・Right to Access personal data　processed by a controller.

・Right to Correct.

・Right to Delete.

・Right to Data Portability.

・Right to Opt Out of targeted　advertising, the sale of personal data or profiling

CPRAの項目

・Right to Know what PersonalInformation is Being Collected and

・Right to Access personal information.Section 1798.110.

・Right to Know what Personal　Information is Sold or Shared and to Whom. Section 1798.115.

・Right to Correct. Section 1798.106.

・Right to Delete. Section 1798.105,　subject to certain exceptions.

・Right to Data Portability.Section 1798.130(a)(3)(B)(iii).

・Right to Opt Out of Sale or Sharing.Section 1798.120. Definition of sharing includes “cross-context　behavioral advertising,” a separately

defined term.

・Right to Limit Use and Disclosure　of Sensitive Personal Information.

Section 1798.121.

(ⅳ)事業者controller の責務 

・Data Minimization.

・Purpose Limitation.

・Reasonable Data Security

・Sensitive Data

・Privacy Notice Required. 

・No Discrimination

・Required disclosure of sale

コロラド州はDuty of Purpose Specification、Duty to avoid secondary use.

バージニア州やコロラド州はRequired disclosure of saleを入れている。

(ⅴ)処理者の任務/サービス・プロバイダー/第三者および契約上の要求(ROLE OF PROCESSOR/SERVICE PROVIDER/THIRD PARTY AND CONTRACTUAL REQUIREMENTS)

・Role of Processors

・Service Provider　and Third Party. definition

　なお、コロラド州はProcessor Obligationsにつき、規定が細かい。

*******************************************************************************************:

(注1)3州の包括保護立法内容についてはiappの個別の解説もある。

(注2)各州法の規定内容の理解のむずかしさの最大の理由は、①立法の背景、②基本的考え、③総論規定、④各論が項目が整理されていないことであろう。このような点がローファームやiapp等の解説が利用される理由であろう。

(1)ネバダ州　Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA),ただし、内容がいわゆる包括法ではないためか(?)各解説ではあえて同州は除かれていることが多い。しかし、筆者が専門解説の内容を読む限り実質的な差はないと思う。

(2－１)カリフォルニア州CCPA

CIVIL CODE - CIV

DIVISION 3. OBLIGATIONS [1427 - 3273.16]  ( Heading of Division 3 amended by Stats. 1988, Ch. 160, Sec. 14. )

PART 4. OBLIGATIONS ARISING FROM PARTICULAR TRANSACTIONS [1738 - 3273.16]  ( Part 4 enacted 1872. )

TITLE 1.81.5. California Consumer Privacy Act of 2018 [1798.100 - 1798.199.100]  

（2－２）カリフォルニア州CPRA

・ CPRA は、カリフォルニア州民法典(Civil Code)中の独立の編（Title）"Title 1.81.5 - CALIFORNIA PRIVACY RIGHTS ACT OF 2020"である。従って、CPRA の条文中における"this title"とは CPRA 自体を指す。そこで、訳注ではこれを「CPRA」と訳出した。

(3)バージニア州Consumer Data Protection Act(CDPA).

　州内の個人データを管理および処理するための法的フレームワークを確立した。この法案は、州内で事業を行い、（i）少なくとも100,000人の消費者の個人データを管理または処理するか、（ii）総収入の50％以上を個人データの販売から得て、少なくとも25,000人の消費者の個人データを管理または処理するすべての者に適用される。この法案は、データ管理者と処理者の責任とプライバシー保護基準の概要を示す。この法案は、州または地方自治体等公的機関には適用されず、連邦法に準拠する特定の種類のデータおよび情報の例外が含まれる。この法案は、個人データへのアクセス、修正、削除、コピーの取得、およびターゲットを絞った広告の目的での個人データの処理をオプトアウトする権利を消費者に付与する。この法案は、司法長官が法律違反を法執行する独占的な権限を持っていることを規定しており、消費者プライバシー基金はこの取り組みを支援するために設立された。この法案の施行日は2023年1月1日である。

(4)コロラド州:Colorado Privacy Act (CPA)　

　2021年7月8日、コロラド州は、コロラド州ジャレッドポリス知事が法案に署名した後、コロラドプライバシー法を正式に制定した(施行は2023年7月1日)。 法律を可決することで、コロラド州は、2018年のカリフォルニア州と今年初めのバージニア州に続いて、包括的なプライバシー法を制定する3番目の米国州になった。 

(注3)全米連邦等の公的機関または州の下部機関が一律適用除外としている理由がいまいち理解できない。EUのGDPRでは実際2019年8月29日、ベルギーのNational Revenue Agency(国家歳入庁)が検査過程での個人情報の漏えい事件で、GDPR第32条に基づき技術面、組織面で十分な情報キュリテイ対策取らず個人情報を扱ったことを理由に情報保護委員会(Комисия за защита на личните данни)から260万ユーロ(約3億3800万円)の制裁金を命じられた例がある。

　ブルガリア情報保護委員会のリリースを以下で仮訳して引用する。なお、漏えいした機微情報の範囲、被害者数が極めて多い点などが制裁金額の多さに影響していることは明らかである。

「国家歳入庁（NRA）が1か月以内に実施した検査の過程で、NRAはその活動を実施するにあたり、個人データ管理者として適切な技術的および組織的措置を実施していないことが判明した。

　ブルガリア市民の名前、PIN、住所、電話番号、電子メールアドレス、その他の連絡先情報、個人の年次納税申告書のデータ、個人の支払所得に関するお問い合わせ、保険申告のデータ、健康保険料のデータ（ただし、医学的状態や市民の治療に関する情報は除く）、行政違反の発行された行為に関するデータ、ブルガリア郵便ADを介した税金と保険債務の支払いに関するデータ、および海外で支払われたVATの要求と払い戻しに関するデータ。

　インターネット上で違法にアクセスおよび流布された情報には、4,104,786人の生存する個人、ブルガリア人および外国人、および1,959,598人の死亡者を含む合計6,074,140人の個人データが含まれていることが確認されている。(以下、略す)」

(注4)オハイオ州改正法令集（Ohio Revised Code）には、恒久的かつ一般的な性質を有するオハイオ州議会の現在のすべての法令が含まれており、条項、編、章、および節に統合されている。 しかし、議会総会の制定案の唯一の公式出版物は「オハイオ州の法律」である。オハイオ州改正法令集は単なる参照である。

オハイオ州改正法令集は公式に印刷されていないが、いくつかの非公式であるが認定された（オハイオ州務長官による）商業出版物がある。

 (注5)一定の法令で認められているもので、３倍額損害賠償は、懲罰的損害賠償の対象となる被告に対する訴訟で陪審員が行った原告の実際の損害賠償額を決定の3倍額とする裁判官の決定である。懲罰的損害賠償は、被告の行為が悪意があった場合、または原告の権利を無謀に無視した場合に与えられる。懲罰的損害賠償は、特定の損失または傷害に対して原告を補償するのではなく、将来的に被告によるこのような不正行為を抑止するように設計されている。このような損害は、損害賠償を処罰しないことを補償するという規則の例外である。被告による不正行為があった場合、懲罰的損害賠償がしばしば与えられる。

 (注6)NRI 藤井 秀之「【 解説】】NIST プライバシーフレームワークの概要と位置づけ」が詳しく解説している。

　残念なことにNIST(National Institute of Standards and Technology)を「米国国立標準研究所」と訳されているは貴重なレポートだけに残念である。

(注7)ネバダ州のプライバシー法(Nevada Privacy of Information Collected on the Internet from Consumers Act (NPICICA) )

　ネバダ州のプライバシー法は2019年5月29日に州知事により署名され、有名なCCPAの3か月前の2019年10月1日に施行された。法律の内容は非常に似ているが、「販売」の定義方法に大きな違いがある。ネバダ州の法律はより狭く、すべてのサービスプロバイダーを対象としているわけではなく、金融機関に対してより寛大である。CCPA法とネバダ州法はどちらも「企業は消費者のオプトアウト要求の正当性を検証するプロセスを考え出し、60日以内に要求に応答することを要求する」という点で類似しているが、カリフォルニア州と同様に、ネバダ州の法執行は司法長官の

(注8) 各国の適用例外規定に関し、GDPRは第9条で極めて限定した定めをおいている。

第9条 特別な種類の個人データの取扱い 

Art. 9 GDPR Processing of special categories of personal data

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious 

   or philosophical beliefs, or trade union membership, and the processing of genetic data,  

   biometric data for the purpose of uniquely identifying a natural person, data concerning

   health or data concerning a natural person’s sex life or sexual orientation shall be

   prohibited.

2. Paragraph 1 shall not apply if one of the following applies:

   (a) the data subject has given explicit consent to the processing of those personal data for

     one or more specified purposes, except where Union or Member State law provide that 

     the prohibition referred to in paragraph 1 may not be lifted by the data subject;

   (b) processing is necessary for the purposes of carrying out the obligations and exercising 

      specific rights of the controller or of the data subject in the field of employment and 

      social security and social protection law in so far as it is authorised by Union or Member 

      State law or a collective agreement pursuant to Member State law providing for 

      appropriate safeguards for the fundamental rights and the interests of the data subject;

   (c) processing is necessary to protect the vital interests of the data subject or of another 

      natural person where the data subject is physically or legally incapable of giving 

      consent;

   (d) processing is carried out in the course of its legitimate activities with appropriate 

      safeguards by a foundation, association or any other not-for-profit body with a political, 

      philosophical, religious or trade union aim and on condition that the processing relates 

      solely to the members or to former members of the body or to persons who have 

      regular contact with it in connection with its purposes and that the personal data are 

      not disclosed outside that body without the consent of the data subjects;

   (e) processing relates to personal data which are manifestly made public by the data 

      subject;

   (f) processing is necessary for the establishment, exercise or defence of legal claims or 

     whenever courts are acting in their judicial capacity;

   (g) processing is necessary for reasons of substantial public interest, on the basis of Union 

      or Member State law which shall be proportionate to the aim pursued, respect the 

      essence of the right to data protection and provide for suitable and specific measures to 

      safeguard the fundamental rights and the interests of the data subject;

   (h) processing is necessary for the purposes of preventive or occupational medicine, for the 

      assessment of the working capacity of the employee, medical diagnosis, the provision of 

      health or social care or treatment or the management of health or social care systems 

      and services on the basis of Union or Member State law or pursuant to contract with a 

      health professional and subject to the conditions and safeguards referred to in 

      paragraph 3;

   (i) processing is necessary for reasons of public interest in the area of public health, such as 

     protecting against serious cross-border threats to health or ensuring high standards of 

       quality and safety of health care and of medicinal products or medical devices, on the 

       basis of Union or Member State law which provides for suitable and specific measures 

       to safeguard the rights and freedoms of the data subject, in particular professional 

       secrecy;

(j) processing is necessary for archiving purposes in the public interest, scientific or 

  historical research purposes or statistical purposes in accordance with Article 89(1) 

  based on Union or Member State law which shall be proportionate to the aim pursued, 

  respect the essence of the right to data protection and provide for suitable and specific 

  measures to safeguard the fundamental rights and the interests of the data subject.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.
4. Member States may maintain or introduce further conditions, including limitations, with 

  regard to the processing of genetic data, biometric data or data concerning health.

**********************************************************L**********************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．