Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

FBIの民間部門との精査された米国の基幹産業等重要人物情報共有ネットワーク“InfraGard”がハッキングされた、そのハッカー集団の実態を探る

2022-12-19 17:04:19 | サイバー犯罪と立法

 12月14日に筆者の手元に米国のサイバー犯罪専門サイト“KrebsonSecurity”からFBIが管理する情報共有パートナーシップを構築するための運営プログラムである会員が8万人以上の“InfraGard”がハッカー被害にあった旨のニュースが届いた。

 最近、わが国の一般メディアでもサイバー犯罪問題が出ない日はないといえる。この問題の先進国である米国の話だけに興味深く読んだ。同時に基幹インフラにかかる重要人物の個人情報を販売するサイバー犯罪は今後ますます増加するとともに、一方で法執行に機関が協働しての犯罪クループの撲滅作戦もEuropolや主要国警察等が積極的に行っている。

 本ブログは、これら最新動向を改めて整理する。

 なお、“InfraGard”問題はワシントン・ポストでも取り上げられている。

1.“KrebsonSecurity”blog記事の概要(仮訳)

   米国連邦捜査局(FBI)が民間部門とのサイバーおよび物理的脅威情報共有パートナーシップを構築するための運営プログラムである“InfraGard”は、今週、80,000人以上のメンバーの連絡先情報のデータベースが英語のサイバー犯罪フォーラム“Breached(別名: BreachForums))”(注1)で売りに出された。一方、この問題につき責任を持つハッカーは、FBI自体によって精査された金融業界のCEO等の身元を想定した新しいアカウントを使用して、オンラインの“InfraGard”ポータルを介して“InfraGard”メンバーと直接通信している。

 2022年12月10日、比較的新しいサイバー犯罪フォーラム“Breached”は、数万人のInfraGardメンバーの名前と連絡先情報を含むInfraGardのユーザーデータベースという爆弾の新しい販売スレッド(注2)を特集した。

 FBI等の“InfraGard”プログラムは、飲料水や電力会社、通信・金融サービス会社、運輸・製造会社、医療提供者、原子力エネルギー会社など、国の重要なインフラのほとんどを管理する企業で、サイバーセキュリティと物理的セキュリティの両方に関わる民間部門の役割を担う主要人物の精査された Who's Who であると想定されている。

 FBIのInfraGard概要説明(ファクトシート)は、「InfraGardは、重要なインフラストラクチャの所有者、オペレーター、および利害関係者をFBIと結び付けて、セキュリティの脅威とリスクに関する教育、ネットワーキング、および情報共有を提供します」と書いている。

 KrebsOnSecurityは、ハッカーのハンドルネーム(注3)USDoD」を使用し、アバターが米国国防総省の印章である侵害されたフォーラムメンバーであるInfraGardデータベースの売り手に連絡を取り、USDoDのインフラガード販売スレッドに行き着いた。下図参照。

 USDoDは、InfraGardメンバーシップが付与される可能性が高い会社の最高経営責任者の名前、社会保障番号、生年月日、およびその他の個人情報を使用して新しいアカウントを申請することにより、FBIのInfraGardシステムにアクセスできるようになったと述べた。

 問題となるCEO(現在、ほとんどのアメリカ人の信用力に直接影響を与える米国の大手金融会社の責任者)は、コメントの要請に応じなかった。

 USDoDはKrebsOnSecurityに対し、偽の申請書は11月にCEOの名前で提出され、申請書には彼らが管理する連絡先の電子メールアドレスだけでなく、CEOの実際の携帯電話番号も含まれていると語った。

 USDoDは「あなたが登録するとき、彼らは承認されるのに少なくとも3ヶ月かかることができる。私は承認されることを期待されていなかった」と語った。

 しかし、USDoDは、12月初旬にCEOの名前の電子メールアドレスに、申請が承認されたという返信を受け取ったと述べた(以下、編集されたスクリーンショットを参照)。

 FBIのInfraGardシステムではデフォルトでは多要素認証が必要であるが、ユーザーはSMSまたは電子メールでワンタイム・コードを受信することも選択できる。

 「もしそれが電話だけだったら、さらに悪い状況に陥るであろう。それは、なりすましている人の電話を使用したからである」とUSDoDは述べた。

 USDoDによると、InfraGardのユーザーデータは、InfraGardメンバーが相互に接続して通信するのに役立つWebサイトのいくつかの主要コンポーネントに組み込まれているアプリケーション・プログラミング・インターフェイス(API)を介して簡単に利用できるようになっている。

 USDoDは、InfraGardメンバーシップが承認された後、友人にPythonでスクリプトをコーディングしてそのAPIを照会し、利用可能なすべてのInfraGardユーザーデータを取得するように依頼したと述べた。

 USDoDは「InfraGardは、著名人のためのソーシャルメディア・インテリジェンス・ハブであり、彼らは物事を議論するためのフォーラムさえ持っていた」と述べている。

 KrebsOnSecurityは、詐欺師のInfraGardアカウントを分離するのに役立つ可能性のあるいくつかのスクリーン・ショットやその他のデータをFBIと共有したが、FBIはこの話についてコメントすることを拒否した。

 12月13日の夕方の公開時点でInfraGardにアクセスできることを証明するために、USDoDはInfraGardのメッセージングシステムを介して、データベース販売スレッドのティーザーとして最初に公開されたInfraGardメンバーに直接メモを送信した。

 米国の大手テクノロジー企業のセキュリティ責任者であるInfraGardのメンバーは、USDoDのメッセージの受信を確認したが、この話については匿名を希望した。

 USDoDは、InfraGardデータベース全体で50,000ドル(約680万円)の提示価格は、すでにセキュリティを非常に意識している人々のかなり基本的なリストであることを考えると、少し高い可能性があることを認めた。また、ユーザーアカウントの約半分だけが電子メールアドレスを含み、社会保障番号や生年月日などの他のデータベースフィールドのほとんどは完全に空であった。

 「誰かがその価格を支払うとは思わないが、私が望む価格を[交渉]するには、もう少し高く[価格]を付ける必要がある」と彼らは説明した。

 InfraGardでの侵入によって公開されたデータは最小限である可能性があるが、ユーザーデータは侵入者にとって真の最終ゲームではなかった可能性がある。

 USDoDは、詐欺師のアカウントが、InfraGuardメッセージング・ポータルを使用してCEOとして他の幹部にダイレクトメッセージを送信し終えるのに十分な長さで続くことを望んでいると述べた。USDoDは、そのようなメッセージの1つであると主張したものから、次の編集されたスクリーンショットを共有したが、それに関する追加のコンテキストは提供しなかった。

 USDoDが共有したスクリーンショットで、FBIのInfraGuardシステムのメッセージ・スレッドを示している。

 USDoDはセールス・スレッドで、取引の保証人はサイバー犯罪フォーラム“Breached”の管理者であるポンポンプリン(pompompurin)であると述べた。フォーラム管理者のエスクロー・サービス(注4)を通じてデータベースを購入することにより、購入者になる可能性のある人は、理論的にはだまされるのを回避し、両当事者が両当事者を満足させるように取引を完了することができる。

 「ポンポンプリン」は、何年もの間FBIの苦痛の種であった。彼らにより侵害されたフォーラムは、2022年4月に米国司法省によって閉鎖された非常によく似た英語のサイバー犯罪フォーラムである” RaidForums”の2番目の化身であると広く見なされている。FBIによる捜査侵入の前に、RaidForumsは、世界最大のデータ侵害のいくつかで盗まれた100億を超える消費者記録データへのアクセスを販売した。

 2021年11月、KrebsOnSecurityは、ポンポムプリンが州および地方の法執行当局と情報を共有するように設計されたFBIオンラインポータルの脆弱性をどのように悪用したか、およびそのアクセスを使用して、すべてFBIの電子メールとインターネットアドレスから送信された何千ものデマ電子メールメッセージを爆破した方法を詳しく説明12/14(33)した。

2.Washington Post記事の仮訳

 前述1.との重複を極力避け、仮訳した。

 ハッカーは金融機関の CEO を装って InfraGard のオンライン ポータルへのアクセスを取得した、と彼らは独立したサイバーセキュリティ ジャーナリストの Brian Krebs に語った。 彼らは審査プロセスが驚くほど緩いと語った。

 FBI はコメントを控えた。 Brian Krebs氏は、FBIが虚偽のアカウントの可能性を認識しており、問題を調査しているとFBIに伝えたと報告した。

 InfraGard のメンバーシップは、Who's Who の真に重要なインフラストラクチャである。 これには、金融業務等ビジネスリーダー、IT 専門家、軍隊、州および地方の法執行機関、政府関係者が含まれ、配電網や輸送から、ヘルスケア、パイプライン、原子炉、防衛産業、ダム、水道施設に至るまで、あらゆるものの安全性を監視している。 1996 年に設立された FBI の最大の官民パートナーシップであり、すべてのFBI現地事務所と提携しているローカル ・アライアンスもある。 FBI と国土安全保障省(DHS)からの脅威に関する勧告を定期的に共有し、厳選された内部関係者向けの非公開のソーシャル メディア・ サイトとして機能してきた。

 そのデータベースには、何万人もの InfraGard ユーザーの名前、所属、連絡先情報が含まれている。 Brian Krebs氏は12月13日にその個人情報の盗難に事実を最初に関係先に報告した。

 BreachForums サイトで USDoD というユーザー名でアクセスしているこのハッカーは、フォーラムのメンバーのわずか 47,000 人 (半数強) の記録に一意の電子メールが含まれているとサイトで述べている。 またハッカーは、データには社会保障番号も生年月日も含まれていないと投稿した。つまり、その情報用のフィールドに項目はデータベースには在していたが、InfraGard のセキュリティ意識の高いユーザーはそれら欄を空白のままにしていたのである。

3..2022年4月12 日Europolリリース「違法なサイバー犯罪フォーラム「RaidForums」の閉鎖および容疑者2名を逮捕」

  Europolのリリース文を仮訳する。

 Europolは、米国、英国、スウェーデン、ポルトガル、ルーマニアの独立した調査を支援するためにEuropolによって調整された複雑な法執行努力である「TOURNIQUET作戦(Operation TOURNIQUET)」の結果として閉鎖され、そのインフラストラクチャが押収された。同時にフォーラムの管理者と彼の共犯者2人も逮捕された。

 2015年に立ち上げられたRaidForums(注1)は、50万人以上のユーザーのコミュニティを持つ世界最大のハッキングフォーラムの1つと見なされていた。この個人情報販売市場は、さまざまな業界の多くの米国企業に属する注目を集めるデータベース・リークへのアクセスを販売することで名を馳せていた。これらには、数百万のクレジットカードの情報、銀行口座番号とルーティング情報、およびオンラインアカウントにアクセスするために必要なユーザー名とパスワードが含まれていた。

・スウェーデン:スウェーデン警察

・ルーマニア:国家警察

・ポルトガル:司法警察

・ドイツ:連邦刑事警察局(Bundeskriminalamt)

・米国:米国シークレットサービス(USSS)、連邦捜査局(FBI)、内国歳入庁犯罪捜査局(IRS-CI)

・イギリス:国家犯罪対策庁(NCA)

・Europol::欧州サイバー犯罪センター(EC3)、合同サイバー犯罪対策タスクフォース(J-CAT)

*******************************************************************

(注1) 2022年9月12日KE LA の脅威インテリジェンス・アナリストであるヤエル キション(Yael Kishon)「誕生から6カ月、BreachedはRaidForumsの後継となりえたのか?」から抜粋する。

 人気を博したサイバー犯罪フォーラム「RaidForums」が差押えの末に閉鎖されたことを受け、2022年3月14日、英語話者の集う新たなフォーラム「Breached(別名BreachForums)」が誕生した。サイバー脅威アクター(threat actor)「pompompurin」がRaidForumsの代わりとして立ち上げたこのフォーラムは、RaidForumsと同じデザインで構成されており、大規模なデータベースのリーク情報やログイン資格情報、アダルトコンテンツ、ハッキングツールなどを提供する場となっている。・・・

 なお、KE LAはサイバー犯罪社会を専門とするKELAのモニタリング及び分析業務は、高度に洗練された脅威アクターたちの活動を浮き彫りにしてその謎を解き明かし、世界中の企業や組織、政府機関等に貢献している。Tel Aviv, Israel、New York, US、Tokyo, Japan、London, UK、 Singaporeaに事務所を置く。

(注2) 電子掲示板やメーリングリストにおける、ひとつの話題や議題についての投稿の集まりをいう。

(注3) ハンドルネームはプライバシーを守りつつ個人を簡単に識別する手段として、電子掲示板(BBS)、チャット、オンラインゲーム、SNSなどのコミュニティサイトで定着している。本名を公開することに抵抗がない人でも、カジュアルで親しみやすい印象を与えるハンドルネームで日常的な活動を行う例は多い。(IT用語辞典)

(注4) 取引保全(エスクロー)サービスとは、物品などの売買に際し、信頼の置ける「中立的な第三者」が契約当事者の間に入り、代金決済等取引の安全性を確保するサービスである。(用語解説から抜粋)

***********************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce material available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

Amazon のEU本部のGDPR違反に関するルクセンブルグ国家データ保護委員会 (CNPD) の7億4,600万ユーロの罰金とそれに対応する実務慣行の修正決定とその後の動向

2022-12-18 08:58:36 | 個人情報保護法制

 筆者は2021月8月7 日blogで「ルクセンブルグのDPAであるCNPDがGDPR違反を理由に米Amazon LLCに対し過去最高額7億4600万ユーロの制裁金を科す旨公表」を取り上げた。

   この段階で筆者の手元には関係機関の詳しい情報がなく、またその後のルクセンブルグの行政裁判所の決定問題やフランスCNILのAmazon に対する 3,500 万ユーロ(約50億4000万円)の罰金決定を巡る国務院の判断等多くの動きが見られた。

 さらに、最近ではアイルランドの情報保護機関がfacebookの親会社Meta platform に対するGDPR違反による2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した旨紹介した。

 今回のブログはこれらの動向を総括すべく、その正確性を確保すべく、改めて書き直したものである。

1.Amazon EU本部のGDPR違反に関するルクセンブルグ国家データ保護委員会 (CNPD)のリリース文とOneTrust Data Guidanceの解説

(1) Amazon.com, Inc.は、2021年7月29日に、1934年米国証券取引法第15条第6項第13項に従って四半期報告書のなかでCNPD決定による高額罰金や実務慣行の修正命令を受けたことを公開

 Amazon.com, Inc.は、2021 年7月29日に、1934年証券取引法第15条第6項、第13項に従って、四半期報告書を発行した。特に、13 ページの法的手続きに関するセクションで、Amazon は次のように概説している。

 ルクセンブルグ国家データ保護委員会 (Commission nationale pour la protection des données :CNPD)は、2021年7月15日に、アマゾン・ヨーロッパ本社(Amazon Europe Core S.à.r.l)(注1)に対して、Amazon の個人データの処理が一般データ保護規則 (EU) 2016/679)(「GDPR」第60条に準拠していないと主張する決定を下した。

 しかし、データ保護に関するルクセンブルグの国内法は、CNPD を職業上の秘密に拘束し(第42条)(注2)、個々のケースについてコメントすることを禁止している。さらに、CNPD の決定を完全かつ明確に公表することは、追加の制裁と見なされる (第52条)(注3)。したがって、上訴の期限が切れる前にCNPD決定を公開することはできない。

 CNPD の決定に対する上訴は、訴訟の本案を裁定する行政裁判所に提出することができる。その控訴期限は3か月である。

 具体的には、このCNPD決定により、7 億 4,600 万ユーロ(約1074億2400万円)の罰金とそれに対応する実務慣行の修正が課せられた。最後に、Amazonは、この件に関して積極的に弁護するつもりであると述べた。

 さらに、フランスの人権擁護団体“La Quadrature du Net”は声明を発表し、この決定は2018 年 3 月に Amazon に対して開始された集団訴訟に続くものであることを明らかにし、このCNPD決定により、Amazonが使用するターゲット広告システムが自由に与えられた同意に基づいていないことが判明したことをさらに指摘した。また、この罰金額は、GDPR の下でこれまでに課された最大の金額であると述べている。

 Amazonの四半期報告書はここで 、La Quadrature du Netの声明はここで読むことができる。

(2)フランスCNIL はCNPD決定を、確認、支援(One Trust Data Guidanceの追加情報 (2021年8月3日)

 フランスのLa Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)はCNPD決定を確認し、同時にCNPD の公開がないことを明確にした。

 CNILは、2021年8月3日に、罰金に対処する声明を発表し、“La Quadrature du Net”によって提出された最初の訴状は CNIL に提出されたものであるが、Amazon Europe Core がその管轄内に設立されたため、ケースを処理する権限があり、CNPD は有能な機関であったことを明らかにした。さらに、CNIL は、訴訟手続き全体を通じて CNPD と協力しており、ルクセンブルグの法律では上訴の可能なすべての選択肢が尽きるまで同じことが許可されていないため、CNPD によって決定がまだ公開されていないことを示した。さらに、CNIL は、“La Quadrature du Net” が GDPR の要件に沿って通知を受け、最初の訴状を提出したと述べた。

 2021.8.3 CNIL声明はフランス語でのみ読むことができる。

(3) CNPDはAmazonに問題がないことを確認(2021年8月6日)

 CNPDは2021年8月6日に声明を発表し、2021年7月15日にGDPRの第60条によって提供される協力メカニズムの一部として Amazonに関する決定を下したことを確認した。さらに、CNPD は、専門家の秘密保持規則に拘束されているため、特定のケースに関する詳細を伝えることはできないと付け加え、決定の公開は追加の制裁と見なされることをさらに指摘した。

 またCNPD は、控訴期間は 3 か月であると述べた。CNPD声明はフランス語でのみ読むことができる。

2.2021.10ルクセンブルク大公国: 行政裁判所の長官が、Amazon GDPR コンプライアンスのための CNPD の命令を一時停止の決定

  Amazonは2021年10月に上訴し、Amazonは罰金に対して、「データ侵害はなく、顧客データが第三者に公開されたことはない」とコメントした。これは事実かもしれないが、GDPR 内に存在する規則に違反するために、企業がデータ侵害を被っている必要はない。Amazonはこの決定に対して控訴し、ルクセンブルグ行政裁判所に対し、2022年1月15日までに遵守命令を一時停止するよう求めた。

(1)ルクセンブルク大公国: 行政裁判所の長官決定

 これを受け、行政裁判所の長官は、2021 年 12 月 17 日に決定(ORDONNANCE)を発表した。これにより、Amazon ヨーロッパ 本部(Amazon Europe Core S.à.r.l)に対するケース No.26/FR2021 における国家データ保護委員会 (「CNPD」)の決定が部分的に停止された。S.à.r.lは、そのターゲット広告システムに関して、具体的には、Amazon が一般データ保護規則 (Regulation (Regulation(EU)2016/679)(「GDPR」)から 6 か月以内が遵守期限である。

ルクセンブルグ大公国の裁判制度図から抜粋

 

GDPR違反問題(背景)

 特に、CNPDの最初の決定は、AmazonがGDPRの第6条(1)、第12条、第13条、第14条、第15条、第16条、第17条、および第21条に違反していることを発見し、その結果、罰金を課し、Amazon にその遵守を要求した。 GDPRの前述の規定に従い、通知日から6か月以内に是正措置を実施しない場合、1日あたり 746,000 ユーロ(約1億742万円)の追加料金を支払う必要がある。より具体的には、そのような是正措置には以下が含まれる。

①行動ターゲティング広告の目的で実行される個人データの処理が、GDPR の第 6 条(1)に規定されている法的根拠に依存していることを確認する。

②GDPRの第12条、第13条、および第15条に規定されているように、行動広告の目的で実行される個人データの処理の透明性の原則を尊重する。

③アクセス、修正、または消去に対するデータ主体の要求への対応が、GDPR の第15条、第16条、および第17条に準拠していることを確認する。

④オプトアウトの同意メカニズムをGDPRの第21条に沿って導入し、ダイレクト マーケティングの目的で実行されるすべての処理活動をカバーするようにする。

 したがって、長官の決定は、Amazonが欧州人権条約(The European Convention on Human Rights)第13条および欧州連合基本権憲章(CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION (2000/C 364/01))第47条 (注4)に基づきCNPDの決定の執行停止を要求したと説明している。

行政裁判所の認定

 実務慣行の是正措置に関して、行政裁判所の長官は、Amazon にターゲット広告システムを GDPR に準拠させるように求めるCNPDの要求に従い、Amazonは、2022年1月15日より前に、これに準拠する必要があるとした。

最終結果からみた課題

 その結果、行政裁判所の長官は、CNPD の決定の執行を停止するという Amazon の要求を部分的に認める命令を発行した。つまり、前述の実務慣行に関する是正措置を実施し、GDPR 条項を遵守するという CNPD の命令を部分的に認めたのである。しかし、行政裁判所の長官は、ルクセンブルグ国によって罰金が一時停止されたことを指摘し、長官の決定は罰金の問題に対処していないことを明らかにした。最後に、同法廷は、CNPD の決定に対するAmazonの控訴がまだ保留中であることを念を押した。

 プレスリリースはこちらで、長官決定はここで読むことができるが、どちらもフランス語でのみ入手可能である。

(2)ルクセンブルグ法務省のリリース文

 2021年12月17日、ルクセンブルグ大公国行政裁判所長官は、7億4600万ユーロ(約1074億2400万円)の行政罰金を科す国家データ保護委員会(CNPD)の2021年7月15日の決定の執行停止を求めるAmazon Europe Core S.à.r.l 社が提出した要求を部分的に認める命令を出した。 また、通知から6か月以内に、毎日746,000ユーロ(約1億742万円)の罰金を科せて是正措置を実施することを要求した。

 行政裁判所の長は、広告システムを一般データ保護規則(GDPR)に準拠させるためにCNPDがAmazon Europe Core S.à.r.l 社に罰則の下で発行したさまざまな差し止め命令が明確な条件で策定されていないと正確で不確実性がなく、設定された期限内、つまり2022年1月15日までに満たすことができる条件の下で暫定的に判断した。

 金額で7億4600万ユーロの罰金の問題は対処されておらず、この罰金の回収は現在国によって停止されている。

 ただし、問題の命令には決定的な権限はない。実務慣行の修正のための訴訟は、無効ではないにしても、本案の裁判官として構成に座って、行政裁判所におけるその3つの部分で取られた同じ決定に対してまだ係属中である。

 2021年7月15日、ルクセンブルクの国家データ保護委員会(CNPD)が科した7億4,600万ユーロ (7億3,500万ドル)の罰金に対するAmazonの控訴は、2024年1月にルクセンブルクの裁判所で審理される予定であると裁判所は12月17日発表した。

 ルクセンブルグ行政裁判所は、2024年1月9日に公聴会を開く予定であると裁判所の書記官はLexisNexisのMLexに語った。

 3.フランス国務院(Conseil d'Etat )が CNIL の Amazon に対する 3,500 万ユーロ(約50億4000万円)の罰金を確認

 dataguidance解説記事およびhuntonprivacyblogの解説記事をあわせ仮訳する。

 フランスのデータ保護機関(La Commission Nationalede l'Informatiqueet des Libertés(情報処理と自由に関する国家委員会:CNIL)は、2022年6月28日にフランス行政・行政裁判機関である国務院(Conseil d'Etat )が、2020年12月からのCNILの決定12/16(32)を2022年6月27日に確認したことを発表した。 Amazon Europe Core S.à.r.l 社のデータ処理、データファイルおよび個人の自由に関する 1978年1月6日の法律第78-17号 (フランスがGDPR を実施するために修正された法律) (以下、「法律」という) の第82条の違反に対し、(1)デバイスに広告Cookieを設定する前に、フランス語版の Google 検索エンジン(google.fr)のユーザーの同意を得る、(2)クッキーの使用に関する適切な情報をユーザーに提供する、(3)ユーザーがCookie を拒否できるように、完全に効果的なオプトアウト・メカニズムを実装するという要件に違反した。

 同日、CNILは、(1)デバイス上で広告Cookieを設定する前にamazon.frサイトのユーザーの同意を得なかったとして、同じ規則に基づいて、Amazonヨーロッパ 本部に3,500万(約50億4000万円)の罰金を科す、(2)クッキーの使用に関する適切な情報を提供することとしたと発表した。・・」

 事件の背景

 特に、CNILは、事前の同意なしにユーザーのデバイスにCookieを配置し、それに関する情報提供義務を怠ったことに関連して、GDPR第82条の2つの違反の事実を発見した。

国務院の所見

 国務院は、その決定の中で、EUの一般データ保護規則(規則(EU)2016/679)(「GDPR」)に基づくワンストップ・ショップ(注5)メカニズムの範囲外で、Cookieに関連して制裁を課す権限がCNILにあるとみなし、次のように述べている。CNILは、データ管理者がフランス国内に設立されていないが、フランス国内で活動を行っている場合でも、GDPR第82条の違反事案を認める可能性があり、この場合、Amazon Online France が販売するマーケティングおよび広告ツールに関連する責任を負う。

国務院の結論

 その結果、国務院(Conseil Etat )は、Amazon が同法第 82 条の両方の違反を実行したことを確認し、課された罰金は、アマゾンの違反の深刻さ、処理活動の範囲および財政状態に関して不釣り合いではないと考える。

 CNIL のプレスリリースはこちらで、Conseil d'Etat の決定原文はこちらで読むことができる。どちらもフランス語でのみ入手できる。

********************************************************************

(注1) Amazon Europe Core S.à rl (ウェブサイト amazon.de の技術的な運営):

Amazon Europe Core S.à rl (Société à responsabilité limitée), 38 avenue John F. Kennedy, L-1855 Luxemburg (資本金: 154.560 ユーロ; RCS ルクセンブルグに登録番号: B-180022; 事業許可番号: 10040783 ; VAT 登録番号: LU 26375245)。同社代表は、Sanjay Balakrishnan 氏。

Sanjay Balakrishnan氏

(注2) 国家データ保護委員会の組織および一般データ保護フレームワークに関する 2018 年8月1日の法律(Act of 1 ugust 2018 on the organisation of the National Data Protection Commission and the general data protection framework)

IX章 - 職業上の秘密

第42条 ルクセンブルグ刑事訴訟法第 23 条を害することなく、CNPD のために活動を行っている、または行っていたすべての者は、職務上守秘義務に拘束され、秘密が侵害された場合はルクセンブルグ刑法第 458 条に規定された罰則の対象となる。この秘密は、彼らの専門的活動の過程で受け取った秘密情報が、監督の対象となる人物を特定することを許可しない要約または集約された形式を除いて、秘密の違反の場合の法律により、いかなる人物または当局にも開示できないことを求める。

(注3)第XI 章 制裁

第 52条. CNPD は、制裁を受けた者の費用負担で、次の条件で、定期的な罰金支払いの賦課に関する決定を除き、その決定の全部または一部の公開を命じることができる。

第1号 決定に対する上訴のあらゆる手段が尽くされ、かつ

第2号 出版物は、関係者に不当な損害を与える危険性がないこと。

(注4)第47条の原文をあげる。

CHAPTER VI

JUSTICE

Article 47 Right to an effective remedy and to a fair trial

Everyone whose rights and freedoms guaranteed by the law of the Union are violated has the right to an effective remedy before a tribunal in compliance with the conditions laid down in this Article.

Everyone is entitled to a fair and public hearing within a reasonable time by an independent and impartial tribunal previously established by law. Everyone shall have the possibility of being advised,defended and represented.

Legal aid shall be made available to those who lack sufficient resources in so far as such aid is necessary to ensure effective access to justice.

(注5)ワンストップ・ショップとは、ある分野において、関連するあらゆる商品を取り揃える販売形態のことである。そこに1度立ち寄るだけで、商品の販売から各種手続き、アフターサービスまでが一手にまかなえるような商店の形容である。

************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ブリンケン米国務長官は非公式の中国調整事務所(China House)を発足を主宰―米国の対中国戦略が本質的に変ったのかー

2022-12-17 14:08:41 | 国際政策立案戦略

 11月17日朝、筆者の手元に米国務省からのリリース「ブリンケン国務長官は非公式の中国調整事務所(China House)を発足を主宰」が届いた。

 この“China House(以下、「チャイナ・ハウス」という)”の立ち上げの話は、今年の5月26日、国務長官がバイデン政権の今後のアプローチに関するジョージ・ワシントン大学での幅広いスピーチの中で「中華人民共和国に対するバイデン政権のアプローチ」と強く語った中で、米国の戦略に関する発表を受けたものである。

 筆者の手元には、これ以上に具体的な情報はないが、今後、米国や主要国のメディアが取り上げる中で、わが国の対中国の姿勢を考えるうえで最重要課題としてCNNやフォーリン・ポリシー記事等で補完しつつ、本ブログで取り上げるものである。はたして、米国の対中国戦略が本質的に変ったのか。

1.12月16日の国務省のリリース文(仮訳)

 このチャイナ・ハウスは、米国政府が中華人民共和国(以下、「中国」という)との競争を責任を持って管理し、オープンで包括的な国際システムに対する米国のビジョンを前進させることができることを保証する。チャイナ・ハウスを創設する我々の目標は、中国に対する政権のアプローチの要素を実現するのを助けることである。

 チャイナ・ハウスは、国務長官の近代化課題の重要な要素であり、この課題に対応し、今後10年の機会をつかむために部門を装備することに焦点を当てている。長官と国務省の指導部は、私たちが直面する最も複雑で重大な地政学的課題である中国に対する米国の政策と戦略を成功裏に実行するための人材、ツール、リソースを確保することに尽力している。

 国務長官が12月16日の発言で述べたように、チャイナ・ハウスは、国務省全体および同省外から中国専門家のグループを集めて、すべての地域局の同僚や国際安全保障、経済、技術、多国間外交、戦略的コミュニケーションの専門家と肩を並べて作業する。それは部門全体にサービスを提供するものである。

 両国間の調整の改善は、国務省からのより機敏で一貫性のある政策を意味する。これは、同盟国やパートナーと協力し、国務省が協力するすべての国とさらに深く関与するためのより良い立場にあることを意味する。

 新オフィス(チャイナ・ハウス)に関するお問い合わせは、下記までお願いする。 EAP-Press@state.gov

2.CNN記事での補完

  米国の最新動向をフォローすべく仮訳したが、前述の国務省のリリースとの重複を極力避けた。

 この発表は、ジョー・バイデン大統領が中国の習近平国家主席と会談してから約 1 か月後に行われた。中国を世界秩序に対する「最も深刻な長期的」課題と呼んでいるアントニー・ブリンケン国務長官も、2023年早々に同国を訪問する予定である。

 米国と中国の間の気候協力に関する正式な協議も、バイデン大統領と習近平主席の間のより広範な一連の合意の一環として再開される予定であると、2人の米国当局者は11月CNNに語った。

 また、CIA は2021年、中国に焦点を当てた部隊を立ち上げた。国務省での新たな取り組みは、ブリンケンの省全体にわたる近代化の取り組みの一環である。

 ブリンケン長官は2022年初め、バイデン政権の中国へのアプローチについてスピーチを行った際に、チャイナ・ハウスの打ち上げを予告した。

 その際、ブリンケン長官は「中華人民共和国が提起する挑戦の規模と範囲は、これまで見たことのないようなアメリカの外交を試すだであろう。チャイナ・ハウスは外交官に「正面から彼らがこの挑戦に対処するために必要なツールを与えるだろう」と付け加えた。

 政府高官は、新しいチャイナ・ハウス・オフィスは中国に焦点を当てた外交官の数を拡大すると説明した。また、さまざまな機関からの米国政府職員がチャイナ・ハウスを巡回し、機関間の取り組みとなる。

3.2021.9.21 フォーリン・ポリシー記事「国務省は北京に対抗するために『チャイナハウス』を計画」

 以下、仮訳する。決して平易な内容ではない。しかし、国際戦略に熟知していないわが国メデイアにとって格好の研究材料であろう

 米国務省は、世界の主要国における北京の足跡の拡大を追跡するために、中国の監視に専念する当局者の数を拡大することを計画している。この変更には、20 人から 30 人のスタッフの追加が含まれる可能性があり、中国の地域「監視」担当官の増強が含まれる。これは、国務省の地域支局の下で、世界中の北京の活動を追跡するためにトランプ政権中に最初に作成された担当官のカテゴリである。

 この国務省(Foggy Bottom)の変化は、ジョー・バイデン米大統領の政権が、20年間の費用のかかる中東戦争から中国との長期的な世界的競争へと転換しようとしているときに起こった。国連総会でのデビューである大統領演説で、バイデン大統領は他の大国と「活発に競争する」ことを誓い、ワシントン(米国)は「新しい冷戦や厳格なブロックに分割された世界を求めていないと述べたが、彼は「中国」の名前については言及しなかった。

 国務省の中国監視官の最初の幹部は2019年に配備された。しかし、このプログラムの出現は、トランプ政権の初期に内紛を引き起こしたとある元トランプ政権の高官はフォーリン・ポリシーに語った。中国へのより対立的なアプローチに反対した一部の上級外交官は、「中国の監視官」を指名するという考えを押し戻した。2017年から2018年までアメリカ合衆国国務次官補(東アジア・太平洋担当)を務めたスーザン・ソーントン(Susan A.Thornton)氏(注)は、このプログラムを「悪い考え」と呼んだ。

Susan Thornton氏

 スーザン・ソーントン氏は、このプログラムは「世界中の大使館に配属された人々を連れて行き、中国がその国で何をしているのかを「監視」することを彼らに課している。それは私たちが中国の活動の周りに今見ているような誇大宣伝と歪みを引き起こす。それが私がそれが悪い考えだと思った理由である」とソーントンは語った。

 「これが現在の歪みの唯一の、あるいは主な推進力ではないが、それは貢献者ある」と彼女は付け加えた。

 ソーントンの辞任後、国務省が中国に対する制裁をより効果的に標的とし、中国のスパイ活動を鈍らせるための取り組みを強化していた連邦司法省と同財務省に追いつこうとしたため、このプログラムはますます進んだ。米国メディアであるブルームバーグは8月に、CIAはまた中国のスパイ活動に対処するための独自の特別部隊を設立する計画を検討し、米国の国家安全保障官僚機構が北京との米国の地政学的競争の新時代にどのように適応しているかを明らかにしたと報じた。

 トランプ政権の元高官は「中国の標的に対する制裁パッケージを構築する場合は、それを実行できる必要がある。統一戦線組織がこのように構成されているのか、そのように構成されているのかを伝えるために諜報機関を整理しようとしている場合は、適切な専門知識を持ち、適切なツールを必要とする人々が必要である。国務省の中国デスクは、そのようなために構造化されたことはない」と述べている。

 「これは中国には存在しなかった完全な姿勢である。事実上、歴史的に言えば、昨日まで、私たちはまだ中国が私たちの友人になりたいと思っていたからである」と元当局者は付け加えました。

 新しい国務省のプログラムは、テロ対策の取り組みを調整するための省庁間プログラムを模倣して、さまざまな連邦政府機関で中国に取り組む当局者を牧畜することを目的としている。このプログラムの批評家の中には、国務省に中国に対する近視眼的な見方を与え、中国の影響力を膨らませ、米中の緊張を不必要に誇大宣伝する可能性があると懸念する人もいる。また彼らは、それがすでに面倒なシステムに官僚主義の新しい層を追加する可能性があると心配している。

*******************************************************

(注)スーザン・A・ソーントン氏

イエール・ロースクールのポール・ツァイ・チャイナ・センター客員法務講師兼シニア・フェローである。ユーラシアと東アジアの米国国務省で約 30 年の経験を持つ退職した米国の上級外交官。彼女は現在、イェール・ロー・スクールのポール・ツァイ中国センター(Paul Tsai China Center)で法学のシニア・フェローおよび客員講師を務めている。彼女はまた、全米外交政策委員会のアジア太平洋安全保障フォーラムのディレクターであり、ブルッキングス研究所の非常勤上級研究員でもある)

********************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce material available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ペンシルバニア州シャピロ司法長官は、同州の若者をターゲットにしE-CIG(電子たばこ)の安全性について消費者を欺いたとしてJUULとの3800万ドルの金銭支払等和解を発表

2022-12-13 14:07:21 | 健康維持

 ジョシュ・シャピロ(Josh Shapiro)司法長官は12月12日、ペンシルベニア州の「不公正取引慣行および消費者保護法(Unfair Trade Practices and Consumer Protection Law (UTPCPL)」に違反し、ペンシルベニア州民、特にJUULが製品で標的にした若者の健康を危険にさらしたとして、JUUL Labs、Inc. (日本法人サイト)に対し、3,880万ドル(約52億7700万円)の金銭支払(monetary payment)等和解を行った旨発表した。

 この和解の内容もさることながら、筆者が問題視するのは、わが国の若者の健康被害対策がどうなっているのかという点である。調べた範囲で見るかぎり日本タバコ産業(JT)の説明はいかにも取組みとしては消極である。(注1)

 このような受動喫煙もふくめ日米比較を厳密に行う意味で、ペンシルベニア州のメーカーとの和解内容を詳細に紹介することとした。

 なお、同時にペンシルバニア州の司法制度についてわが国で詳しいものがないとの判断で、今回のブログで併せ言及することとした。

1.AGシャピロは、同州の若者をターゲットにしE-CIGの安全性について消費者を欺いたとしてJUULとの3800万ドルの金銭支払等の和解同意判決

 司法長官府のリリース文を仮訳する。

 シャピロ司法長官は「JUULは、たばこ会社の戦略と同様の戦術で故意に若者を標的にした。彼らは、アメリカの子供たちの背中で市場シェアが急上昇したため、何も行動を起こさずに、増加する若いユーザーのオーディエンスを無視した。ペンシルベニア州の学生の約13%が過去30日間に電子タバコを吸っている。今回の和解は、子供たちを電子タバコの危険から安全に保つためのほんの始まりにすぎない。」

 さらに「若者のニコチン中毒を防ぐために私たちが何年にもわたって行ってきた進歩は、FDAが若者の蒸気を吸う流行と呼んでいるものを開始するJUULによって完全に取り消されるというリスクがあった。その害を一夜にして元に戻すことはできないが、今回の和解のような行動や、州や連邦のパートナーが講じているその他の措置は、子供と公衆衛生の保護において進歩を遂げているといえる」とシャピロ司法長官は続けた。

 この和解(Final Consent Judgment)は、とりわけ以下の重要な条件を提供する。

①JUULは、ペンシルベニア州内の若者へのJUUL販売をターゲットにすることを妨げられる。

②JUULは、ニコチン含有量の量をミリグラム/ミリリットルで、JUULpodの総体積に対するパーセンテージで開示し始める。

③JUULは、ニコチン含有量を可燃性タバコ製品と比較する主張や表明を行わない。

④JUULは、成人専用の施設でない限り、ペンシルベニア州でのイベントを後援しない。

⑤ペンシルベニア州でのJUUL広告は、視聴者が少なくとも85%の成人で構成されるメディアまたはアウトレットに限定される。

⑥JUULは、ペンシルベニア州の小学校、中学校、高校、または公共の遊び場から1,000フィート以内に看板を使用したり、屋外広告を配置したり更新したりすることはできない。

⑦JUULは、35歳以上の人々の証言ビデオおよび非プロモーションコミュニケーションを除き、ペンシルベニア州でアクセス可能なソーシャルメディア・プラットフォームでマーケティング、プロモーション、または広告資料を公開しない。

⑧JUULは、JUUL製品が可燃性タバコ製品よりも安全であるという主張または表明を行う証言またはその他の広告資料を使用しない。

⑨JUULは、ペンシルベニア州の小売業者に対し、予告なしのコンプライアンス・チェックを実施し、たばこ製品を購入する最低年齢およびJUULの大量販売制限に関する州法および連邦法に準拠していることを確認するための小売業者コンプライアンス・プログラムを維持する。

⑩JUULは、JUUL製品のオンライン販売を月に2台以下のJUULデバイス、暦年あたり10台のJUULデバイス、および月額60台のJUULポッドに制限し、JUULは小売販売を1つのJUULデバイスおよび/またはトランザクションごとに16台のJUULポッドに制限するための合理的な措置を講じる。

⑪JUULには、契約条件の執行に対処し、ペンシルベニア州保健局と司法長官府から提示された懸念に対応する責任を負うコンプライアンス・オフィサーを任命する。

 未成年のユーザーからJUULデバイスを没収した懸念のある大人は、デバイスのシリアル番号を https://www.juul.com/trackandtrace に報告することができる。そのデータは6か月ごとにペンシルベニア州保健局とペンシルベニア州司法長官府事務所に提供される。

 3,880万ドルの和解資金がペンシルベニア州保健局、健康増進リスク削減局に支払われ、2020年の訴訟でこれらの事務局が主張する害を減らすことを目的としたプログラムに資金が提供される。

 これには、イノベーション、資源の利用、禁煙環境とタバコのないライフスタイルの促進を通じて、ペンシルベニア州におけるタバコ関連の死亡と病気を削減または排除するプログラムが含まれる。最後に、この資金は、若者と若年成人がタバコ製品を使い始めるのを防ぎ、成人と若者に禁煙の選択肢を提供するために使用される。

2. ペンシルベニア州第一司法区フィラデルフィア地方裁判所制度の概観

  The Unified JUDICIAL SYSTEM of PENNSYLVANIAおよび関連サイトを抜粋し、仮訳する。

 ペンシルベニア州の第 1 司法区地方裁判所 (First Judicial District :FJD) は、フィラデルフィア郡裁判所システムを構成する 以下の2 つの裁判所で構成される。ペンシルベニア州第 1 司法区裁判所の運営は、2 つの裁判所の長官と行政裁判官(注2)、およびペンシルベニア州裁判所長官で構成される裁判所行政管理委員会(Administrative Governing Board)(注3)(注4)によって管理されている。同委員会の議長は、ペンシルベニア州最高裁判所によって毎年任命される。

①“COURT OF COMMON PLEAS” は、 101 人の裁判官を擁する一般裁判管轄裁判所である。民事訴訟裁判所は、裁判官によって選出された大統領任命判事(注5)が長を務め、事件の種類に基づいて 3 つの部門に編成され、ペンシルベニア州最高裁判所(Supreme Court of Pennsylvania)(注6)が任命した行政裁判官がそれぞれの部門を率いる。

 この裁判部は、争われた金額が 12,000 ドルを超える重罪の刑事事件および重大な民事事件のほとんどを担当する。家族部門は、家事関係支部の問題(離婚、父親、親権、養育費、家庭内暴力)と少年支部を担当している。事件(非行、依存、養子縁組); 孤児裁判所部門は、財産、遺言、信託に関する手続きを行う。

 27 人の判事からなる②“MUNICIPAL COURT” は、限定管轄裁判所である。地方裁判所は、裁判長が主導し、刑事、民事、交通の3 つの部門に分かれている。刑事課は、最高で 5 年以下の拘禁刑が科される成人の刑事事件を審理する責任がある。地方裁判所はまた、フィラデルフィアでのすべての刑事逮捕を処理する最初の管轄権を持ち、すべての重罪事件の軽罪裁判と予備審理を行う。

 民事課は係争中の金額が少額訴訟で 12,000 ドル以下の民事訴訟の管轄権を有する。家主とテナントの場合は無制限の金額、不動産と学校の税金の場合は 15,000 ドルである。被告人はMUNICIPAL COURT裁判所で陪審裁判(jury trial)を受ける権利を持たないため、当該訴訟は、「覆審(trial de novo)」(注7)裁判のために普通裁判所に上訴することができる。

***************************************************************

(注1) 日本で加熱式タバコの「IQOS(アイコス)」を販売しているフィリップ・モリス・ジャパンと、「Ploom(プルーム)」を販売している日本タバコ産業(JT)は、 「弊社の Ploom 製品(プルーム・テック/プルーム・テック・プラス/プルーム・エス)は電子タバコではなく、 加熱式タバコ。電子タバコはタバコ葉を使用せず、香料を含む液体(リキッド)を電気加熱し、 発生する蒸気(ベイパー)を愉しむ製品。

 一方、加熱式タバコはタバコ葉を使用したタバコ製品です。そのため、アメリカで問題となっている電子タバコとはそもそも異なる製品」という回答を行っているそうである。

(注2) 行政裁判官(Administrative Judges :AJ)は、連邦行政法の文脈では、「聴聞審査官」または「聴聞官」とも呼ばれ、非公式の行政裁定手続きを主宰する連邦機関の従業員を指す。裁定手続きには、機関と民間当事者間、または2つの民間当事者間の紛争を解決することを目的とした、規則制定プロセス外の機関の決定が含まれる。行政裁判官は、宣誓を行い、証言と証拠を受け取り、事実認定を行い、裁定命令を出す権限を持っている。

 行政裁判官は、すべての裁定手続きのほぼ90%を占める非公式の裁定を行うために連邦機関によって直接雇われ、移民、平等雇用、政府契約またはセキュリティ・クリアランスの問題に関する事件だけでなく、給付関連の決定にもしばしば適用される。(Ballotpediaから抜粋、仮訳)

(注3) ペンシルベニア州最高裁判所長官が率いる最高裁判所は、ペンシルベニア州の司法府を監督および管理する司法行政機関でもある。

 最高裁判所はペンシルベニア州憲法で確立された地位であるペンシルベニア州の裁判所管理者(Court Administrator)(注4)を任命する。裁判所管理者は、すべての裁判所の業務の迅速かつ適切な処分に責任があり、ペンシルベニア州裁判所管理局(AOPC)を率いている。裁判所管理者とAOPCの責任の詳細なリストは、ペンシルベニア州司法行政規則501-506に記載されている。ハリスバーグとフィラデルフィアに本部を置くAOPCの重要な責任は次のとおりである。

①すべての市民がアクセス可能で安全な裁判所を確保する。

②法廷制度の改善とプログラムの革新を直接または共同で推奨する。

③市民、すべての政府レベル、メディアに法廷制度を代表し、すべての人に信頼できる情報を提供する。

④業務の見直し、政策ガイダンスの提供、地方裁判所の管理における60人の大統領任命裁判官(注5)と地方裁判所管理者の支援。

⑤裁判ケース、財務、管理管理システムなどの情報技術の開発と保守。

⑥法的サービスを提供し、必要に応じてシステム担当者に法的代理人を派遣する。

⑦財務および人事を含む管理機能の管理。

⑧裁判官とスタッフのための州全体の継続的教育プログラムの実施。(ここから抜粋、仮訳)

(注4) 裁判所管理者(Court Administrator):裁判日の追跡、記録の保管、判決等を入力し、 プロセスの発行等、裁判所の業務の適切な運営に不可欠な管理および事務の職務を遂行する司法制度の官吏をいう。

 裁判官、弁護士、クライアントの 仲介役である裁判所管理者は、基本的に裁判所の業務を運営している。 このポジションの舞台裏の仕事は、裁判日のスケジュールからすべての公式通信の処理まで多岐にわたる。 裁判所は大量の紙を生産する。 このため、管理事務所はそれらを処理し、訴訟の提出を受け入れ、裁判所の文書を認証し、令状と召喚状を発行する。 以前は書記官として知られていたこのポストは、テクノロジーが司法制度のいくつかの要素を合理化したため、1980年代半ばから進化してきた。

 なお、州と郡の裁判所管理者は基本的に 同じ仕事をする。 過去数十年とは異なり、今日のほぼすべての 管理者は裁判官によって任命されている。(free legal dictionaryから抜粋、仮訳)

(注5) 大統領の任命判事数についての解説記事を以下、抜粋し仮訳する。

 バイデン大統領は、在任中のこの時点で、JFK以来、どの大統領よりも多くの連邦裁判官を任命している。Pew Research Centerが連邦司法センターからのデータを分析したことによると、ジョー・バイデン大統領は、在任中のこの段階で、ジョン・F・ケネディ以来のどの大統領よりも多くの裁判官を連邦裁判所に任命しており、彼の任命者には記録的な数の女性と人種的および民族的マイノリティが含まれている。

(注6) 1722年に設立されたペンシルベニア州最高裁判所は、米国内で最も古い上訴裁判所であり、連邦の歴史において重要な役割を果たしてきた。州の最高裁判所として、7人の裁判官はペンシルベニア州の法律と憲法を解釈して最終決定を下し、ペンシルベニア州の司法制度に対する完全な行政権限を持ち、連邦のどの裁判所でも発生する差し迫った公共の重要性の問題を含む事件を審理する。(州最高裁サイトから抜粋、仮訳)

最高裁判所(Supreme Court of Pennsylvania)判事7名

(注7) 覆審(trial de novo)とは、事実問題と法律問題の両方が最初の審理がなかったかのように決定される、事件全体に対する新しい審理である。trial de novoは、通常、仲裁で見つかった裁定に異議を唱えるために使用され、憲法上の考慮事項によってサポートされている。 実際、裁判所は、本案に関する小規模な事件の迅速な解決を促進する手段として強制仲裁を認めているが、強制仲裁に参加した不成功の当事者が、陪審裁判に対する憲法上の権利を考慮して、新たな裁判を要求することも許可しなければならないことから本制度がある。

 trial de novoの要求には、特定の手続き上の要件がある。たとえば、ワシントンの裁判所は、仲裁裁定の当事者は、仲裁裁定が提出されてから 20 日以内に、上級裁判所の書記官に送達し、提出することにより、上級裁判所でのtrial de novo審理を要求できると判断した。仲裁裁定が提出された後にde novo審理を要求する期限も、法域によって異なる。 たとえば、ニューヨーク州では、trial de novo審理を要求する時期は、仲裁裁定の提出から 30 日以内に行う必要がある。

 また、訴訟に出廷する他のすべての当事者は、de novo 裁判の要求について通知を受ける必要がある。当事者は、仲裁裁定の一部のみについて新たな審理を要求し、別の部分を有効にすることはできない。したがって、de novo 審理では、以前の仲裁裁定は完全に破棄される。さらに、de novo 審理は、仲裁裁定に基づいてのみ開催できる。したがって、和解に達した場合は新たな裁判(覆審)を受ける権利はない。

*****************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国FTCと7州によるGoogleとiHeartMediaが欺瞞的な推奨宣伝行為に関する罰金にかかる和解の同意命令案

2022-12-11 16:38:40 | 消費者保護法制・法執行

 2022年11月28日、連邦取引委員会(「FTC」)と7人の州司法長官は、GoogleのPixel 4スマートフォン(注1)を宣伝する欺瞞的な広告を放送したという訴えを解決するために、Google LLCおよびネットラジオiHeartMedia、Inc. (注2)と和解に達したと発表した。両社は、これらの申し立てを解決するために、7州に合計940万ドル(約17億7800万円)を支払うことに同意した。

 このFTCの和解同意の内容もさることながら、筆者はわが国の日頃テレビやラジオさらにはネット広告、チラシ広告を見るにつけ、もしわが国にFTCがあったならどうなるであろうかという疑問が当然湧いた。

 この問題はGoogle、iHeartMedia、Inc.ならびにTeami、LLCといった大手企業の問題だけにとどまらない極めて重大な問題を投げかけていることは間違いない。

 以下述べるとおり、わが国では影響度の高い有名人を使った広告、宣伝がほぼ100%日常的に行われ、他方でFTC法のような厳しい罰則を伴う法律や厳しい運用実態がないわが国ではどうなるのか。

 これに関し、わが国で誇大広告に関する法律と規制はどうなっているであろうか。例えば、後述する解説 (注3)を読むと、1)景品表示法(正式名称:不当景品類及び不当表示防止法), 2)薬機法(正式名称:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)、3)健康増進法があげられている、

 この問題に関し、筆者はこの3法の取締りの実態を調べてみた。例えば、インターネットにおいて健康食品等を読んだ。はたして、消費者庁サイトで見る限り裁判事例:課徴金納付命令事例は皆無である。

 このような日米の法執行の基本姿勢の大差をどう解決するのか。その意味で今回のブログの更なる研究を進めたいと考える。

  なお、このような行政罰による取締法の罰則適用の甘さはわが国固有の問題であり、さる2月10に可決・成立した「法人等による寄付の不当な勧誘の防止等に関する法律」の第6章 罰則(1年以下の拘禁刑若しくは100万円以下の罰金、またはこれを併科)規定が本当に十分に機能するのか、所管省庁である消費者庁の点も含め引き続き注視したい。(注4)

1.FTCと7州によるGoogleとiHeartMediaが欺瞞的な推奨宣伝行為に関する罰金にかかる和解の同意命令案

 FTCのリリース資料ならびにその内容を補完する“Radio Insight”記事をもとに重複を避けるべくまとめてみた。

(1)事実関係     FTCの訴状 (注5)によると、GoogleはiHeartMediaに260万ドル以上を支払い、iHeartMediaのラジオパーソナリティにiHeartMediaステーションでGoogleのPixel 4スマートフォンを宣伝する推奨文言を録音させた。FTCは、GoogleとiHeartMediaが、ラジオパーソナリティが電話を所有しているか、定期的に使用していると広告に虚偽の表現をすることにより、FTC法に違反していると主張した。

 GoogleはiHeartMediaに広告の台本(script)を提供し、「ナイトサイトモード」(注6)のおかげで、特に暗い場所では、私のお気に入りの電話カメラである」などの文言が含まれていた。また訴状は、GoogleがiHeartMediaと提携していない他のラジオパーソナリティに同様の主張をするために金銭を支払ったと主張した。

 FTC によると、Google は 2019 年に、10 の米国内主要市場で iHeartMedia と他の 11 のラジオ ネットワークを雇っ記録て、オンエアのパーソナリティに“Pixel 4”スマートフォンの推薦をおよび放送させた。Google は iHeartMedia に、Pixel 4 携帯電話の広告に関する次のセリフを含むスクリプトを提供した。「これは、夜景モードのおかげで、特に暗い場所での私のお気に入りの電話カメラである。スタジオのようなすべての写真を撮っている。また、一度に複数のタスクを処理できる新しい音声起動機能タイプである「 Google アシスタント」のおかげで、仕事を片付けるのにも役立つ」等と宣伝した。

 しかし、実際、オンエアのパーソナリティは、広告の大部分を記録して放送する前に、Pixel 4 が提供されなかったため、同スマートフォンを所有しておらず、定期的に使用してもいなかった。(Radio Insight記事から抜粋)

 Google は、インターネット関連のサービスと製品を専門とする多国籍テクノロジー企業である。テキサス州サンアントニオに本社を置く iHeartMedia は、米国最大のラジオ局所有者であり、850 以上の AM および FM ラジオ局と、毎月 2 億 4500 万人以上のリスナーに届くインターネット ラジオ ネットワークを所有している。

(2)FTCおよび7州の司法長官の法執行行為と和解案

 和解案はGoogleおよびiHeartMediaに対する同意命令(案)は、各企業が、エンドーサーが自社の製品やサービスを所有または使用した、またはエンドーサーの体験について虚偽の表明を行うことを禁じている。(FTCリリースから抜粋)

*FTC の請求を和解させるため提案された同意命令は、Google とiHeartMedia の違法とされる行為に対処することを目的としている。とりわけ、被告らは以下の行為が義務付けられた。

①推奨者が特定の製品を所有または使用したこと、またはその使用経験について、Google が虚偽の報告をすることを禁止する。

②iHeartMedia が、エンドーサーが消費者製品またはサービスを所有または使用したこと、またはそれらの経験について不当に伝えることを禁止する。

③Google と iHeartMedia に対し、注文を特定の人に配布のうえ、コンプライアンス・ レポートをFTCに提出し、FTC がコンプライアンスを確保できるように記録を保持することを要求する。

 これらの措置は、虚偽の証言、偽のレビュー、およびその他の欺瞞的な支持に取り組むための FTC の取り組みに基づいている。これには、否定的なレビューを抑圧するという過去の慣行について、オンライン・ファッション小売業者の Fashion Nova に異議を唱え、推奨、推奨ガイドの更新案に関するパブリック コメントの募集、マーケティング担当者およびプラットフォーム向けのオンライン・レビュー管理に関するビジネス・ガイダンスの発行等 700 人以上のマーケティング担当者に偽のレビューやその他の誤解を招く恐れがあることを通知することが含まれる。(Radio Insight記事から抜粋)

 今回の和解同意は、iHeartMediaの推奨文言と証言の分野での他のFTCの法執行措置に引き続いて行われた。FTCの法執行としては、たとえば、2022年2月、FTCは、” Teami、LLC”(注7)が欺瞞的な推奨を使用して販売および販売した製品を購入した消費者に93万ドル(約1億2200万円)以上を返還した。

 また、FTCは2020年3月にTeamiとその所有者に対して訴訟(注7)を起こし、強い影響力を持つインフルエンサーが製品を宣伝するために支払われたことを適切に開示せずに、著名なソーシャルメディアのインフルエンサーによる推奨のために金銭を支払ったと主張した。

 このような法執行措置に加えて、FTCは2021年10月に700社以上の企業に罰則違反の通知(注8)を配布し、承諾や証言に関する欺瞞的または不公正な行為に従事すると、各違反行為ごとに最大43,792ドルの民事罰が科せられる可能性があることを通知した。

 今回提案されたFTC同意命令は、行政管理上の苦情を発行し、提案された同意合意を受け入れるためのFTCの投票結果は、5-0 であった。FTC は、近日中に連邦官報に同意契約パッケージの説明を掲載する予定であり、連邦官報に掲載されてから30日間のパブリックコメント期間の対象となる。処理が完了すると、コメントは Regulations.gov に投稿される。

(3)関係機関の責任者の声明

 FTCの消費者保護局のサミュエル・レヴィン(Samuel Levine)局長は、

 Samuel Levine氏

 「GoogleとiHeartMediaはインフルエンサーにお金を払って使用したことのない製品を宣伝し、広告ルールの真実を露骨に軽視していることを示している。連邦取引委員会は、欺瞞的な広告を取り締まり、規則を破る企業が代償を払うようにするために、州内のパートナーと協力することをやめない」と述べた。

 また、マサチューセッツ州司法長官のモーラ・ヒーリー(Maura Healey)氏は

Maura Healey氏

 「人は直接の経験を重視するのが常識である。消費者は、ラジオ広告が製品について真実で透明性があり、偽の推奨で誤解を招くものではないことを期待している。本日の和解により、Google と iHeart はこの欺瞞的な広告キャンペーンの責任を負い、州法および連邦法を遵守することが保証される」と、述べている。

 カリフォルニア州司法長官府の職員は Radio Insight に対し、Google が罰金の矢面に立たされ、iHeartMedia が $400,000 を要求されるだろうと語った。

 Google は、インターネット関連のサービスと製品を専門とする多国籍テクノロジー企業である。テキサス州サンアントニオに本社を置く iHeartMedia は、米国最大のラジオ局所有者であり、850 以上の AM および FM ラジオ局と、毎月 2 億 4500 万人以上のリスナーに届くインターネット ラジオ ネットワークを所有している。

 FTCの行政訴状は、このような企業の不実表示が FTC 法に違反していると主張している。

 FTCは、アリゾナ州カリフォルニア州ジョージア州イリノイ州マサチューセッツ州ニューヨーク州、およびテキサス州の7司法長官事務所の支援に感謝すると述べた。

(FTCの注)FTCは、法律が違反されている、または違反されていると「信じる理由」があり、手続きが公益にかなうとFTCが思われる場合、行政不服申し立てを発行する。委員会が最終的に同意命令を出すと、それは将来の行動に関して法的効力を持つ。このような命令に違反するたびに、最大 46,517 ドル(約632万6000円)の民事罰が科される場合がある。

2.わが国の誇大広告に関する法律の規制対象と罰則規定と運用の実態

(1) 誇大広告に関する法律の規制対象と罰則規定の概要

弁護士 中村 望氏の解説を以下、一部抜粋する。

 誇大広告とは、それ自体は法律上の用語ではありませんが、商品やサービスの内容・価格などが、実際のものより優良または有利であると消費者に誤認させるような表現を用いる広告のことをいいます。また、法規制上認められていない効果効能や科学的根拠のない効果を謳う広告も誇大広告に該当します。

主な法律として、以下の3つが挙げられます。

①景品表示法(正式名称:不当景品類及び不当表示防止法)

②薬機法(正式名称:医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律)

③健康増進法

不当景品類及び不当表示防止法(以下、「景品表示法」という。)は、不当な景品表示により、一般消費者の自由で合理的な選択を妨げる可能性のある行為を制限・禁止し、一般消費者の利益を保護することを目的として定められた法律です。景品表示法上での“表示”とは、顧客を誘引するための手段として行う広告や表示のことをいいます(同法第2条第4項)

景品表示法より禁止されている不当表示は、以下の3つの種類に大別されます。

①優良誤認表示

例えば、「運動や食事制限は一切なしで、簡単に3キロ痩せる」、「一週間飲み続けると誰でも身長が5センチ伸びる」など、科学的根拠もなく、商品を使用するだけで著しい効果が得られるような表現を使用した場合、優良誤認表示に該当する可能性が高いです。

②有利誤認表示

商品やサービスの優良誤認表示とは、商品やサービスの品質や内容が、著しく優良であるかのように誤認させるような表示や表現をいいます。販売価格や販売条件が、実際より有利であると誤認させるような表示や表現をいいます。

例えば、期間限定のキャッシュバックキャンペーンなどで、消費者に「今すぐに買わないと損だ」と思わせておきながら、記載された期間終了後も同じ条件のキャンペーンを継続する場合などは有利誤認表示に該当します。

③内閣総理大臣が指定するもの

工作物、有価証券など、特定の商品やサービスについては、紛らわしい表示や正しい判断を困難にさせる表示を内閣総理大臣が特に指定して禁止しています。

  景品表示法の規制対象は、商品やサービスを供給する事業者のみです。原則として、広告代理店、新聞社、出版社、放送局等は、商品・サービスの広告の制作等に関与していても、当該商品・サービスを供給している者でない限り、規制の対象とはなりません。(注9)

 近年、インターネットの普及に伴い、アフェリエイターやアフェリエイト・サービス・プロバイターに商品の広告を委ねる企業が増えていますが、アフェリエイターやアフェリエイト・サービス・プロバイターは、アフェリエイト・プログラムの対象となる商品を売る事業主ではないので、原則として、景品表示法の規制を受けることはありません。

【罰則】

 景品表示法に違反する不当な表示等の疑いがある場合、消費者庁と都道府県は、企業への事情聴取、関連資料の収集などの調査を行います。調査の結果、違反が認められた場合は、企業に対して、違反の対象となる内容の排除、再発防止策の実施等を求める措置命令を発令します。措置命令に従わない場合は、2年以下の拘禁刑もしくは300万円以下の罰金、またはこれらの併科が科せられます(同法第36条)。

 また、優良・有利誤認表示が認められた場合、課徴金納付命令の対象となり、政令で定める方法により算定した売上額に3%を乗じた額を課徴金として納付することを命じられる可能性があります(同法第8条)。

医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(以下、「薬機法」という。)は、医薬品、医薬部外品、化粧品、医療機器の品質、有効性および安全性の確保を主な目的とした法律です。2014年の薬事法改正により、名称変更され、医薬品や医療機器等を取り巻く環境の変化や、再生医療の実用化に向けた動き等に対応した内容となりました。

 薬機法の規制対象は、本来は、医薬品、医薬部外品、化粧品、医療機器、再生医療等製品の5種類です。ただし、健康食品などの薬機法の規制対象外の商品でも、広告などで医薬品のような効能を謳う商品については、規制の対象となります。

 薬機法第66条には以下のように定められています。

 “何人も、医薬品、医薬部外品、化粧品、医療機器又は再生医療等製品の名称、製造方法、効能、効果又は性能に関して、明示的であると暗示的であるとを問わず、虚偽又は誇大な記事を広告し、記述し、又は流布してはならない。”

 「何人」も対象になるため、景品表示法とは違い、商品やサービスを供給する事業者だけではなく、広告代理店、新聞社、出版社、放送局、アフェリエイターなども対象となります。

【罰則】

 第66条に定められた虚偽又は誇大広告の禁止に違反した場合、2年以下の拘禁刑もしくは200万円以下の罰金、またはこれらの両方が科せられます。

 健康増進法では、健康保持・増進効果に関する虚偽・誇大広告が放置された場合、これを信じた国民が適切な診療機会を逸してしまうなど、重大な支障が生じるおそれがあることから、食品として販売されている商品の虚偽・誇大広告を規制しています。

健康増進法

 健康増進法の禁止対象となる誇大表示の典型例として、以下のような表現が挙げられます。

①特定の疾病の改善又は予防効果を目的とする表現

例:末期がんが治る、血糖値が気になる方向け、高血圧の方に最適など

②身体組織昨日の一時的増強・増進等を目的とする表現

例:免疫力の向上、疲労回復に効く、老化防止効果ありなど

③含有する食品または成分の量(内閣府令で定める事項の例)

例:ビタミンA〇〇mg配合、大豆〇〇g含有など含有する食品または成分の量については、虚偽の内容の場合のみ、規制対象となります。

【罰則】

 健康増進法には、国民の健康の保持増進及び国民に対する正確な情報の伝達に重大な影響を与えるおそれがある場合、その表示に関して必要な措置をとるべき旨の勧告、また勧告に従わなかった場合は命令が発令されることが定められています(同第66条)。

 さらに、命令に従わなかった場合は、6月以下の拘禁刑又は100万円以下の罰金という罰則が適用されます(同法第71条)。

(2)規制法の運用実態

 消費者庁「景品表示法違反被疑事件の調査の手順」から抜粋する。

 わが国の法執行自体、法律に罰則規定があっても、その運用の実態を見ると消費者庁の解説を見る限り、いずれも「措置命令」であり「課徴金納付命令」に至っていない。

 このような法執行の実態はその他の法律、例えば個人情報保護法に違反に対する罰則の運用の例でも同様である。

******************************************************

(注1) Pixel 4・Pixel 4aは、アメリカのGoogleによって開発された第4世代移動通信システム対応のSIMフリースマートフォンである。2019年10月に販売開始。

(注2) 米国のネットラジオ「iHeartRadio」は、登録ユーザー数が3000万人を突破したと発表した。iHeartRadioはネットラジオの分野では、最大規模のPandora Radioに次ぐ第二勢力。 運営するのは、全米最大のラジオ・ネットワーク「Clear Channel Communicarions (クリア・チャンネル・コミュニケーションズ)」。iHeartRadioは無料で1500局以上のラジオ局が聴けたり、カスタマイズ可能なアーティストラジオが生成できる、パーソナル聴き放題音楽サービスである。(All Digital Musicの解説から抜粋)

(注3) 投稿日:2021.03.13弁護士 中村 望氏「誇大広告に関する法律の規制対象と罰則規定を解説」を引用した。

(注4) 11月29日【法務大臣】の記者会見時の答弁

 大変重要な御指摘だと思いますけれども、法務大臣としての立場でお答えさせていただくしかないかなと思っています。まず私としては、寄附の不当な勧誘によって生じた被害を救済するという観点から、まずは国内において必要な措置を講じていくことが、大臣として重要であると考えています。

 御案内のように、現在、寄附の不当な勧誘による被害の救済を容易にするため、「消費者契約法及び独立行政法人国民生活センター法の一部を改正する法律案」が既に閣議決定されているほか、寄附に関する新法が消費者庁において検討されています。

 法務省としては、それらの法律案中、当省の所管事項に関する事項について必要な協力をするなど、引き続き被害者の救済に向けた取組に万全を尽くしてまいりたい、我々ができることをしっかりやっていくということに尽きるだろうと思います。

  ただ、刑法上の問題のあるものにつきましては、捜査機関の活動内容に関わるということもあるので、法務大臣としてコメントは難しいかなというふうに思っています。(法務大臣閣議後記者会見の概要-令和4年11月29日(火)から一部抜粋)

(注5)(2) FTCの事件処理手続

 ア 審査手続

 FTCは、特定事件について審査を開始するときには、職員の中から審査官を指定し、これに審査を行わせる。審査官は、連邦取引委員会法第9条に基づく罰則付き命令(Subpoena)による書証提出命令、出頭命令等及び同法第20条に基づく民事審査請求(Civil Investigation Demand :CID)による文書提出命令、口頭供述命令等を行うことができる。

イ 同意命令

 FTCは、違反事件の審査の結果、法的措置を採ることが相当であると判断したときは、まず、関係人にFTCの申立てを記載した文書(Complaint)及び排除措置命令案(Orders to Cease and Desist)を送付し、これらの内容につき交渉し、合意に達した場合には、合意内容を踏まえた同意命令案を作成し、委員会の議決を経て、通常30日間のパブリック・コメントを行う。その後、再度委員会の議決を経て、同意命令(Consent Order)を発出する。

 また、下記ウの審判開始決定後であっても、同意命令の手続を行うことができる。審判開始決定後、被審人との間で同意された同意命令案が審判官を通じてFTCに付託される。この場合も、同案を官報に掲載し、一般からの意見を求めることとなる。FTCは、当該意見等を考慮して、再審査を行い、同意命令を発出する。

 同意命令は、審判手続を経た命令ではない。したがって、同一の事案について後に損害賠償請求訴訟が提起されても、同意命令による事実や違法性についての推定といった効果は発生しない。(公正取引委員会・各国・地域の競争法・米国から一部抜粋)

(注6) 【Android】ナイトモード(夜間モード)とは

 Android OSバージョン9.0以降が搭載されているスマホには「ナイトモード」とよばれる機能が付いていますが、この「ナイトモード」とは一体どんな機能なのでしょうか?

 Androidを「ナイトモード」に設定すると、スマホ画面の色が従来の青みがかった色調から赤みを帯びた暖色系の色調に調整され、ディスプレイに表示されます。

 また、同時にスマホ画面の明るさ(輝度)も制御してくれるため、夜間など、周囲が暗い中で急に明るいスマホ画面を見た時に感じる強烈な光から瞳を守ってくれる効果も期待できます。

 暗い場所でも画面が見やすい!目に優しい機能!

 夜間や明かりの消えた暗い部屋などでスマホ画面を操作する必要があるとき、「ナイトモード」に設定しておけば画面にフィルターがかかり、体内リズムを狂わせるブルーライトの光もやわらいで、瞳を守ってくれます。(APPTOPIの解説12/9⑫から抜粋)

(注7) 連邦取引委員会は、Teamiが欺瞞的な健康強調表示を使用して販売および販売したお茶製品を購入した消費者に93万ドル (約1億2600万円)以上を返還させた。

 FTCは2020年3月17日にTeami、LLC.とその所有者を訴え、同社が偽の健康強調表示を行い、被告の製品を宣伝するために支払われていることを適切に開示しなかった有名なソーシャルメディアインフルエンサーからの推奨文言に対し報酬を支払ったとするフロリダ州中央区連邦地方裁判所の永久差止命令及び金銭判決(Stipulated Order for Permanent Injunction and Monetary Judgment) (330.77 KB)を得た。

 Teamiは、信頼できる科学的証拠なしに、「Teami 30日間デトックスパック(Teami 30 Day Detox Pack)」が消費者の1)体重を減らすのに役立ち、他のお茶が2)癌と戦い、3)詰まった動脈を取り除き、4)片頭痛を減らし、5)インフルエンザを治療および予防し、5)風邪を治療すると主張したと判示された。

(注8) FTCの罰則違反の通知とは何か?

 FTCが不当または欺瞞的に行動した企業に対して罰則を受けることができる1つの方法は、FTC法のセクション5(m)(1)(B)、15 U.S.C. §45(m)(1)(B)にある罰則違反当局を介することである。この権限の下で、FTCは、(1)会社がFTC法に違反して行為が不公正または欺瞞的であることを知っていたこと、および(2)FTCがそのような行為が不公正または欺瞞的であるという書面による決定(以下を参照)をすでに発行していたことを証明した場合、民事罰を求めることができる。

 この権限を発動するために、FTCは企業に「罰則違反の通知」を送ることができる。この通知は、FTCが1つ以上の行政命令(同意命令を除く)でFTC法に違反して不公正または欺瞞的であると判断した特定の種類の行為をリストした文書である。 この通知を受け取ったにもかかわらず禁止された慣行に従事している企業は、違反ごとに最大46,517ドルの民事罰に直面する可能性がある。

 会社に通知が送られたからといって、FTCが法律に違反していると信じる理由があることを示すものではない。むしろ、FTCは、企業が法律を理解し、法律を破ることを思いとどまらせるために、これらの通知を送信する。(FTCのNotices of Penalty Offensesから抜粋、仮訳)

(注9)この点は米国FTC法と異なる規制方法といえるであろう。

****************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米連邦司法省やFBI、各州で未成年者に対するとくにインターネットなどを介した性犯罪の急増を受け各種立法や厳しい取締りや法執行の実態を検証

2022-12-10 12:55:41 | サイバー犯罪と立法

 米国連邦司法省やFBI、各州で未成年者に対するとくにインターネットなどを介した性犯罪の急増を受け、厳しい取り締まりや法執行が行われていることは、筆者のブログでもしばしば取り上げてきたところである。

 わが国でも、この性犯罪に対する刑法改正について法務省の「性犯罪に関する刑事法検討会」(第1回(令和2年6月4日)~第16回会議(令和3年5月21日))において、平成29年刑法一部改正法附則9条に基づき,法務省として,性犯罪に係る事案の実態に即した対処を行うための刑事法に関する施策の在り方について検討を行うため,法務大臣の指示に基づき,被害者心理・被害者支援等関係者,刑事法研究者,実務家を構成員とする検討会を開催し,法改正の要否・当否について,幅広く意見を伺って論点を抽出・整理し,議論を行うという目的で検討が行われている、とある。

 しかし、令和3年5月21日の「性犯罪に関する刑事法検討会:取りまとめ報告書」(全71頁)を読んで、期待はずれと感じたのは筆者だけではあるまい。

 以下で、関連する報告箇所を取り上げる。

(1)(イ) 一定の年齢未満の者を被害者とする罰則の在り方に関する議論

新たな罰則を設けることの要否・当否

 現行法上,13歳未満の者に対する性交等については,暴行・脅迫がなくても強制性交等罪が成立し(刑法第177条後段),18歳未満の者に対し,その者を現に監護する者であることによる影響力があることに乗じて行った性交等については,監護者性交等罪が成立する(同法第179条第2項)。

 また,13歳以上の者に対する性交等については,暴行・脅迫や心神喪失・抗拒不能の要件を満たせば,それぞれ,強制性交等罪,準強制性交等罪が成立する(同法第177条前段,第178条第2項)。

 その上で,これらに該当しない一定の年齢未満の者に対する性的行為について新たな罰則を設けることについての賛否に関し、検討した。

(2)いわゆるグルーミング行為を処罰する規定一定の年齢未満の者に対し,性的行為や児童ポルノの対象とすることを目的として行われるいわゆるグルーミング行為を処罰する規定を創設すべきかの議論の結果部分を抜粋すると、以下のとおりである。

 「グルーミング」とは,手なずけの意味であり,具体的には,子供に接近して信頼を得て,その罪悪感や羞恥心を利用するなどして関係性をコントロールする行為であって,例えば,㋐SNS等を通じて徐々に子供の信頼を得た上で,会う約束をするなどして性交に及ぶ類型,㋑子供と近い関係にある者が,子供の肩をもむといった行為から始め,断りにくくさせた上で徐々に体に触れる類型,㋒子供と面識のない者が公園等で子供に声を掛けて徐々に親しくなる類型があり,このような行為をされても,子供は被害に遭っていることを認識できないことが指摘された。

 これを前提に,小括は「今後の検討に当たっては,グルーミング行為を処罰する規定については,その要否・当否を検討した上で,これを設ける場合には,行為者の主観面だけによらずに,性犯罪を惹起する危険性が客観的にも認められる行為を処罰対象とするなど,適切な構成要件の在り方について更に検討がなされるべきである」とある。

 筆者は、この法務省の検討姿勢自体、すなわち性交等(注1)に結びつく犯罪行為のみを刑法の犯罪類型の対象とする考え自体が問題と考える。すなわち、筆者が都度取り上げているとおり米国の連邦法や州法は(1)子供の性的虐待に関するわいせつな視覚的表現物の所持、(2) 児童ポルノの作成等子供の性的搾取、(3) 親、法定後見人等の子供の売買、(4) 未成年者の性的搾取を児童ポルノの発送、受領、または配布等に関連する特定の活動、 (5) 児童ポルノを構成または含む資材(meterials)の郵送、輸送、出荷、受領、配布、または複製に関連する特定の活動、を犯罪類型としている。わが国の場合、(3)は考えにくいが、その他については最近時の犯罪手口の実態、予防法の観点から法整備にむけ前向きに考えるべきであろう。(注2)

 また、第1項(3)で述べるとおり、被告は6人の犠牲者に計30,000ドル(約408万円)の賠償金を支払うよう命じられたとある。このような被害者救済の方法というのもわが国での検討の余地はないのか。

 法務省や国会の姿勢は、日々、連日報じられる未成年者のSNSなど手段を介したグルーミング行為や児童ポルノ等を早期に取り締まる緊急性が高い問題への具体的な対策を先延ばししているとしか思えない。

 一方で、2021年3月24日の 大阪府議会の意見書「性犯罪被害から守るために刑法規定を見直すこと等を求める意見書」や2020年6月5日の自由民主党政務調査会 司法制度調査会「性犯罪・性暴力対策の抜本的強化を求める緊急提言」、筆者が本ブログで指摘するような具体性はないものの社会的ニーズは反映していると考える。

 また、わが国でもグルーミング行為や児童ポルノ等に対する米国の擁護団体、例えばProject Safe Childhood(www.projectsafechildhood.gov/)等の具体的活動の解析とともに法執行機関の起訴実態等を詳細に解析するのが急務であると考える。

 その意味で、今回のブログが、すこしでもわが国の関係者に参考、寄与することになれば幸いである。

1.最近時の米国における児童ポルノ等に関する重罰化起訴事例

(1)2022.12.7 FBI ・マサチューセッツ連邦検事局リリース「マサチューセッツ州ウスターの住民男性が、ソーシャルメデイアを利用してわいせつな素材を14歳の未成年者に転送したとして逮捕、起訴」

 アンドリュー・ジェームズ・ギャラガー(Andrew James Gallagher :28歳)は、未成年者へのわいせつな資料の転送の1つのカウント(訴因)で起訴された。ギャラガーは12月6日の朝に逮捕され、ウスターの連邦裁判所12/8(29)に最初に出廷した後、2022年12月9日に予定されている拘留審問(detention hearing)まで拘留された。

 起訴文書によると、2022年4月、ギャラガーはソーシャルメディア・プラットフォームを使用して被害者に連絡した。ギャラガーが「あなたは未成年ですか?」と尋ねたとされており、未成年の被害者は14歳であると答えた。その後、ギャラガーは自分のわいせつな画像を2枚未成年の被害者に送信し、未成年の被害者と直接会うことに興味を示し、未成年の被害者に自分の露骨なビデオをギャラガーに送信するように依頼したとされている。

 同州では未成年者へのわいせつな資料の転送の罪は、最高10年の拘禁刑、3年間の監視付き釈放(supervised release)(注3)、および最高250,000ドルの罰金を規定している。判決は、刑事事件における判決の決定を規定する米国の量刑ガイドラインおよび法令に基づいて、連邦地方裁判所の裁判官によって科される。

 この事件に関して質問、懸念、または情報がある一般の人々は、617-748-3274に電話する必要がある。

 この事件は、プロジェクト・セーフチャイルドフッド(Project Safe Childhood)(注4)(注5)の一部として提起された。2006年、連邦司法省は、子どもを搾取や虐待から保護するために設計された全国的なイニシアチブであるプロジェクトであるセーフチャイルドフッドを設立した。Project Safe Childhoodは、米国検事局と司法省の児童搾取およびわいせつセクションが主導し、連邦、州、および地方のリソースを統合して、子供を搾取する個人を特定、逮捕、起訴し、被害者を特定して救助している。Project Safe Childhoodの詳細については、www.projectsafechildhood.gov/ を参照されたい。

 起訴文書に含まれる詳細は閲覧不可である。また、被告は、法廷で合理的な疑いを超えて有罪と証明されない限り、無罪と推定される。

(2) 2022.11.22 イリノイ州中央地区連邦検事局リリース「イリノイ州スプリングフィールドの男が未成年者の誘惑未遂で連邦刑務所で120か月の刑を宣告された」

 イリノイ州スプリングフィールドの男性、ステイシー・ファーロウ(Stacey Furlow :61歳)は、11月22日、未成年者の誘惑未遂で120か月の拘禁刑、未成年者に関する情報を送信しようとしたために州際高速道路施設を使用したことに対する60か月の拘禁刑および未成年者へのわいせつな資料の転送の試みに対する120か月の拘禁刑を宣告された。刑務所から釈放されると、ファーロウは5年間の監視付き釈放を務める。

 米国連邦地方裁判所のスーE.マイヤーズコー裁判官の前での判決公聴会で、連邦政府は、2020年8月27日から8月29日の間に、ファーロウが15歳の子供であると信じていた個人にオンラインで会ったことを立証した。個人の年齢を知ったにもかかわらず、ファーロウはその人と性的活動に従事することについて話し、何度も個人の住所を尋ね、自分の不適切な写真を送信した。2020年8月29日、未成年者と思われる人物が一人であることを確認した後、子供の住所を尋ね、性行為を行うことを期待して住居に車で行った。その後、彼は逮捕された。

 ファーロウは2020年9月に起訴され、2日間の陪審員裁判の後、2022年6月に有罪判決を受けた。ファーロウは逮捕されて以来、連邦保安官の拘留下に置かれている。

 未成年者の誘引未遂に対する法定罰則は、10 年の終身刑、場合によっては 250,000ドルの罰金、および 5 年の監視付き釈放である。未成年者に関する情報を送信しようとするために州際高速道路施設を使用した場合の法定罰則は、最高5年の拘禁刑、250,000万ドルの罰金、および監視付き釈放の終身刑5年である。未成年者へのわいせつな素材の譲渡の試みに対する法定の罰則は、最大10年の拘禁刑、250,000ドルの罰金の可能性、および最大3年間の監視付き釈放である。

 この事件は、児童の性的搾取と虐待の蔓延と戦うための連邦司法省による全国的なイニシアチブであるプロジェクト・セーフチャイルドフッドの一環として提起された。Project Safe Childhoodは、米国検事局と刑事部の児童搾取およびわいせつ対策部(CEOS)が主導し、連邦、州、および地方のリソースを統合して、インターネットを介して子供を搾取する個人をより適切に特定、逮捕、起訴し、被害者を特定して救助している。Project Safe Childhoodの詳細については、www.projectsafechildhood.gov参照。

(3)2022.12.7 連邦司法省、テキサス州西部地区米国連邦検事局の緊急リリースサンアントニオ・ガーデンリッジの住民男性が児童の性的虐待資料の配布の罪で連邦刑務所での17年以上の刑を宣告された」

 被告は12月6日、拘禁刑210か月、監視付き釈放の終身刑10年の刑を宣告され、児童の性的虐待資料を配布したとして6人の犠牲者に30,000ドル(約408万円)の賠償金を支払うよう命じられた。

 カイル・ロス・リバーズ(Kyle Ross Rivers:38歳)は、2022年8月23日、ソーシャルメディア・メッセージング・アプリを使用してグループの覆面捜査官に児童ポルノを人身売買した後、児童ポルノの配布の1つのカウントで有罪を認めた。捜査官は、リバーズが思春期前の子供を含む児童の性的虐待資料の何千もの画像とビデオを所有していることを発見した。逮捕されたとき、リバーズは住宅自閉症治療センターで働いており、多くの非言語的な子供たちの世話をしていた。

(4) 2022.12.8 テキサス州東部地区連邦検事局ジャスパー郡のユースコーチが連邦児童搾取罪で起訴

 テキサス州ボーモント–シルスビーの男性がテキサス州東部地区で連邦児童搾取の罪で起訴されたと、連邦検事のブリット・フェザーストン(U.S. Attorney Brit Featherston)は12月8日発表した。

 アダム・デール・アイザックス(Adam Dale Isaacks,39歳)は、2022年12月7日に連邦大陪審によって返された起訴状で指名され、性的行為のために未成年者の6件の輸送の罪で彼を起訴された。

 連邦検事によると、2020年と2021年に、アイザックスはユース・コーチであり、エヴァデール・リトルリーグ野球組織(Evadale Little League Baseball organization)の会長であり、コミュニティの信頼できるメンバーであった。一方で、アイザックスは未成年者との性的行為におよぶ目的で、スポーツやキャンプのイベントのために未成年者をテキサスから他の州に輸送したと言われている。

 有罪判決を受けた場合、アイザックスは連邦刑務所での10年から終身刑に直面する。

 この事件は、児童の性的搾取と虐待の増大する流行と戦うために司法省によって2006年5月に開始された全国的なイニシアチブであるプロジェクト・セーフチャイルドフッドの一部である。

2.児童ポルノに対する米国の州法や連邦法の規制内容

 ここに挙げたほか、性犯罪に関する刑事法検討会資料を参照されたい。

(1)児童ポルノに対するフロリダ州の罰則

 フロリダ州法 (2021 Florida Statutes)§ 847.001(3)は、児童ポルノを「性行為に従事する未成年者を描写するあらゆる画像」と定義している。フロリダ州法第 847.001(8) 条では、未成年者は「18 歳未満の者(“Minor” means any person under the age of 18 years.)」と定義している。

Florida Statute § 847.001(16) は、性的行為(Sexual conduct)を次のいずれかと定義している。

①実際の性交またはシミュレートされた性交(Actual or simulated sexual intercourse)

②常軌を逸脱した性交(Deviate sexual intercourse)

③獣姦的な性交(Sexual bestiality)

④オナニー(Masturbation)

⑤サドマゾ的虐待(Sadomasochistic abuse)

⑥性器の実際のわいせつな展示(Actual lewd exhibition of the genitals)

⑦いずれかの当事者の性的欲求を喚起または満足させる目的で、着衣または脱衣の性器、陰部、臀部、またはその人物の女性の場合は乳房との実際の身体的接触(Actual physical contact with a person’s clothed or unclothed genitals, pubic area, buttocks, or, if such person is a female, breast with the intent to arouse or gratify the sexual desire of either party;);

⑧性的暴行を構成する、または性的暴行が行われている、または行われることをシミュレートする行為または行為そのもの(Any act or conduct which constitutes sexual battery or simulates that sexual battery is being or will be committed)

 なお、フロリダ州刑法の下では、フロリダ州の児童ポルノ事件に関係する写真や画像はそれぞれ別の犯罪として扱われる。

〇容疑者が起訴される可能性のある特定の犯罪には、次のようなものがある。

①子供に性行為を行わせるまたは誘引する行為と罰則(Sexual performance by a child; child pornography; penalties.)(フロリダ州刑法§ 827.071)– 容疑者がその性格と内容を知りながら、18 歳未満の子供を雇用、許可、または誘引した場合、最大 15 年の拘禁刑および/または最大 10,000 ドル(約136万円)の罰金が科される第 2 級重罪(second-degree felony)(注6)である。

 性的行為に従事する年齢に達している、またはそのような子供の親、法定後見人、または保護者である、または性的行為へのそのような子供の参加に同意しうる者; その性格と内容を知り、18 歳未満の子供による性的行為を含むパフォーマンスを制作、指示、または促進すること。または、写真、動画、展示会、ショー、表現、またはその他のプレゼンテーションを宣伝する目的で、全体または一部に子供による性的行為を含むものを所有すること。

 写真、映画、展示会、ショー、表現、画像を故意に所有、管理、または意図的に閲覧した容疑者は、最高 5 年の拘禁刑および/または最高 5,000 ドル(約68万円)の罰金が科される第 3 級重罪(third-degree felony)である。

 データ、コンピューターによる描写、またはその他のプレゼンテーションで、全体的または部分的に、子供による性的行為を含むことがわかっているもの。そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

 彼または彼女は、子供による性的行為を含めることを知っている。そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

 彼または彼女は、子供による性的行為を含めることを知っている、そのような写真、動画、表現、またはプレゼンテーションの 3 つ以上のコピーを所有することは、宣伝する意図の一応の証拠であることに注意することが重要である。

②コンピューター・ポルノ画像等の違法公開や未成年者への接触と罰則(Computer pornography; prohibited computer usage; traveling to meet minor; penalties)(フロリダ州刑法 § 847.0135)– コンピュータのオンライン・サービス、インターネット・サービス、地域の掲示板サービス、またはその他の機能を備えたデバイスを故意に使用することは、第 3 級重罪であり、最高 5 年の拘禁刑および/または最高 5,000 ドルの罰金が科せられる。

 フロリダ州刑法第 794 章に記載されている違法行為を行うために、子供または子供であると信じている人を誘惑、勧誘、おびき寄せ、誘惑する、または誘惑、勧誘、おびき寄せ、または誘惑しようとする電子データの保存または送信、フロリダ州刑法第 800 章または同第 827 章、またはその他の方法で、子供または子供であると信じられている別の人物との違法な性行為に関与すること。または、子供または親であると信じられている人の親、法定後見人、または保護者を勧誘、おびき寄せ、または誘惑する、または勧誘、おびき寄せ、または誘惑しようとすること。フロリダ州刑法第 794 章、同第 800 章、または同第 827 章に記載されている行為への子供の参加、または性的行為に関与することに同意する、子供の法定後見人または保護者たる容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン・ サービス、インターネット・ サービス、地域の掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本編に記載されている違反が行われた場合は、個別の違反として請求される場合がある。またはフロリダ州刑法の第827章、またはその他の性的行為に従事すること。容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン・ サービス、インターネット・ サービス、地域の掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本編に記載されている違反が行われた場合は、個別の違反として請求される場合がある。またはフロリダ州刑法の第827章、またはその他の性的行為に従事すること。容疑者がこの法律に違反して自分の年齢を偽って伝えた場合、その違反は第 2 級の重罪となり、最大 15 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる。コンピューター・ オンライン サービス、インターネット・ サービス、地域掲示板サービス、または電子データの保存または送信が可能なその他のデバイスを個別に使用して、本セクションに記載されている違反が行われた場合は、個別の違反として告発される場合がある。

③未成年者の親権等の売買と罰則(Selling or buying of minors; penalties)、フロリダ州刑法§ 847.0145 – 親、法定後見人、または未成年者の親権または管理権を持つその他の者が、親権または管理権を売却または譲渡する場合、最大 30 年の拘禁刑および/または最大 10,000 ドルの罰金が科せられる第 1 級重罪である。そのような未成年者の、またはそのような未成年者の親権の売却またはその他の方法での譲渡の申し出は、売却または譲渡の結果として、未成年者が、他の人が関与する、または関与するのを支援する視覚的描写で描写されることを知った上で、性的に露骨な行為、またはそのような行為の視覚的描写を作成する目的で、そのような未成年者による性的に露骨な行為への関与を促進する意図で、または、未成年者が、性的に露骨な行為を視覚的に描写する目的で、他の人に性的行為を行うのを支援する場合である。

(2)連邦法における児童ポルノに対する処罰

 児童ポルノの多くの事例には、インターネットを介して送受信される画像が含まれているため、そのような送信は、州の境界を越え、合衆国憲法の通商条項に違反する行為であると法的に解釈される可能性がある。これが発生した場合、児童ポルノ事件は 連邦の管轄権に属する。

 連邦機関が扱う児童ポルノ事件は、州裁判所で行われた同様の犯罪よりも厳しい罰則が科せられる。児童ポルノ犯罪に適用される連邦法には次のようなものがある。

①子供の性的虐待に関するわいせつな視覚的表現物の所持(18 US Code § 1466A) 容疑者は、性的に露骨な行為を行っている未成年者を描いたあらゆる種類の視覚的描写を所持しているとして、最大 10 年の拘禁刑および/または最大 250,000 ドル(約3400万円)の罰金の支払いを命じられる可能性がある。12 歳未満の未成年者が関与した疑いのある犯罪には、最大 20 年の拘禁刑および/または最大 250,000 ドルの罰金が科せられる。2 回目以降の違反の場合は、最低 10 年から 20 年の拘禁刑および/または最高 250,000 ドル(約3400万円)の罰金によって処罰される。容疑者は、あらゆる種類の視覚的描写を配布する目的で性的に露骨な行為を行っている未成年者を描写したものを作成、配布、受信、または所有した場合、最低 5 年から 20 年の拘禁刑、および/または最高 250,000 ドルの罰金の支払いを命じられる可能性がある。

②児童ポルノの作成等子供の性的搾取(18 US Code § 2251)– 容疑者は、児童ポルノを作成しようとする試み、またはその陰謀は、最低 15 年から 30 年までの拘禁刑を宣告される可能性がありおよび/または作成に関係する最初の違反に対しては、最高 250,000 ドルの罰金の支払いを命じられる可能性がある。2 回目の違反は、最低 25 年から 50 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。さらに3 回目以降の違反は、最低 35 年の拘禁刑から終身刑および / または最高 250,000万ドルの罰金によって処罰される。

③親、法定後見人等の子供の売買(18 US Code § 2251A) 親、法定後見人、または未成年者の監護権または支配権を持つ者は、未成年者が性的に露骨な行為に従事すること、または他の人が従事するのを支援することを知っていることを含む行為を行った場合、最低 25 年から 50 年までの強制的な拘禁刑および/または罰金の支払いを命じられる可能性がある。そのような最初または2回目の違反に対して、そのような行為の視覚的描写を作成する目的で、または目的のためにそのような行為の生の視覚的描写を送信することは、最高250,000ドルの罰金が科せられ、3 回目以降の違反は、最低 35 年から終身刑、および / または最高 250,000ドルの罰金によって処罰される。

④未成年者の性的搾取を児童ポルノの発送、受領、または配布等に関連する特定の活動(18 US Code § 2252 )– 容疑者は、児童ポルノの郵送、輸送、発送、受領、配布、または複製を含む最初の違反に対して、最大 20 年の拘禁刑および/または最大 250,000 ドルの罰金の支払いを命じられる可能性がある。 2 回目以降の違反は、最低 10 年から 40 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。

⑤児童ポルノを構成または含む資材(meterials)の郵送、の輸送、出荷、受領、配布、または複製に関連する特定の活動(Certain activities relating to material constituting or containing child pornography)18 US Code § 2252A 郵送、児童ポルノの輸送、出荷、受領、配布、または複製を行った容疑者は最長 20 年の禁固刑を宣告されるか、および/または。2 回目以降の違反は、最低 10 年から 40 年の拘禁刑および/または最高 250,000 ドルの罰金によって処罰される。

********************************************************          

(注1) 他州の例でみたとき、ミシガン州刑法の場合、例えば相手方が13歳以上16歳未満であり,行為者が相手方の4親等以内の血族又は姻族であることを要件とするもの

性的挿入を行った場合は,第一級性犯罪(同法第750.520b条⑴ )。

性的接触を行った場合は,第二級性犯罪(同法第750.520c条⑴ )。

というように「性的行為」につき犯罪類型を明確に分けている。

 具体的にいうと、(注1)「性的挿入」とは,性行為,クンニリングス,口淫,肛門性交,又は,たとえわずかであれ,人の体の一部若しくは物による他の人の体の性器若しくは肛門の開口部への侵入をいう。射精を伴うことは求められない(ミシガン州法第750.520a条 )。

(注2)「性的接触」には,相手方若しくは行為者の恥部の意図的な接触又は相手方若しくは行為者の恥部を直接覆う衣服の意図的な接触を含む。ただし,意図的な接触が性的興奮や満足を得る目的と合理的に考えられ,又は性的目的で行われたと合理的にいえ,又は復讐,加虐若しくは怒りのために性的な態様で行われたものに限る(同法第750.520a条 )。(「性犯罪に関する刑事法検討会資料」から一部抜粋)

 また、ニューヨーク州刑法では以下のとおり定めている。

(注3)「性的行為」とは,性交,口淫,肛門性交,加重性的接触又は性的接触をいい(ニューヨーク州刑法第130.00条第10号),

〇 「口淫」とは,口と陰茎,口と肛門又は口と女性器外陰部若しくは膣との接触からなる,人間同士の行為(同条第2号 )。

〇 「肛門性交」とは,陰茎と肛門との接触からなる人間同士の行為(同号 )。

〇 「加重性的接触」とは,医学的目的がないのに,異物を子供の膣,尿道,陰茎,直腸又は肛門に挿入し,それにより当該子供に身体的傷害を与えること(同条第11号)

〇 「性的接触」とは,いずれか一方の側の性的欲望を満足させる目的で,性器その他の人目につかない身体の部分に接触すること(直接又は着衣の上からかを問わず,行為者が相手方に接触することのみならず,相手方が行為者に接触することも含まれ,また,相手方が服を着ているかいないかにかかわらず,行為者が相手方の体の一部に精液をかけることも含む。)(同条第3号)と規定されている。

「性犯罪に関する刑事法検討会資料」から一部抜粋)

(注2) 推定無罪は、米国の刑事司法制度の基礎と考えられているが、多くの 性犯罪者は、児童ポルノに関連するあらゆる種類の犯罪で起訴された場合、代わりに有罪と推定され、無罪を証明する必要があるかのようにすぐに感じる。 州政府と連邦政府の両方が、これらの種類の犯罪で有罪判決を受けた人々に厳しい罰則を科している。

 多くの人が電子メールを開いたり、不快な内容を含むリンクをクリックしたりするだけの罪を犯しているにもかかわらず、あらゆる種類の児童ポルノの告発は、個人の個人的および職業的生活に大きな負担をかける可能性がある。

  例えば、2011 年 1 月、フロリダ州の 58 歳の男性が児童ポルノの疑いで捜査され、別の個人が男性のセキュリティで保護されていないルーターを使用して近くのマリーナのボートから 1,000 万ファイルの児童ポルノをダウンロードしたことが判明した例などが挙げられる。

(注3) 連邦では1984年の量刑改革法によってパロール(パロール存置州におけるパロール委員会が決定する裁量的釈放(仮釈放)後の監督指導。パロールの遵守条件として外出禁止措置等の条件が設定される場合や,監督指導を強化する必要がある場合に,電子監視機器装着条件が付加され位置情報確認がなされることがある)が廃止され,量刑ガイドラインによる定期刑制度が実施されており,連邦の監督付釈放は,拘禁期間とは別に量刑の際に定められる裁判所の決定に基づく釈放後の社会内処遇である。

・監督付釈放の一条件として,一部対象者に,中間処遇施設における処遇を実施する代わりの措置として,外出禁止等の管理目的で電子監視機器による位置情報等確認が行われることがある。(法務省 研究部報告44 「諸外国における位置情報確認制度に関する研究」6. 米国から一部抜粋)

(注4) プロジェクト・セーフ・チャイルドフッドは、児童搾取と闘うための統一された包括的な戦略である。2006年5月に開始されたプロジェクトセーフチャイルドフッドは、法執行機関の取り組み、コミュニティの行動、および一般の認識を組み合わせたものである。プロジェクトセーフチャイルドフッドの目標は、子供の性的搾取の発生率を減らすことであり、プロジェクトセーフチャイルドフッドには次の5つの重要な要素がある。(1)パートナーシップの構築。(2)法執行機関の調整。(3)PSCパートナーのトレーニング。(4)国民の意識(5)説明責任。

 連邦司法省は、子供たちの安全と福祉に取り組んでおり、未成年者の性的搾取の保護と撲滅に高い優先順位を置いている。2006年にProject Safe Childhoodが開始されて以来、米国検事局によって起訴された事件と被告の数は40%増加し、2009会計年度に2427人の被告に対して2315件の起訴が提出された。米国検事局によるPSCによる起訴は、イニシアチブの開始以来、毎年増加している。

 連邦議会は、2008年に子供へのサイバー脅威を根絶するためのリソース、役員、およびテクノロジーの提供法(「2008年子供を保護する法律(S.1738 - PROTECT Our Children Act of 2008)」)(注5)を可決した。同法で義務付けられているように、2010年2月、同省は国家薬物情報センターと協力して、児童搾取の規模に関するこの種の脅威評価を1年間にわたって初めて完了しました。この評価の結果は、以下を含むすべての種類の児童の性的搾取の増加、場合によっては大幅な増加を示す不穏な傾向を報告しています。(2)性的目的での児童のオンライン誘惑。(3)児童の商業的性的搾取。(4)児童買春観光。

 Fact Sheet参照。

(注5) 「2008 年の子供へのサイバー脅威を根絶するための資源、法執行官吏、技術の提供強化・改善法:または 2008 年の子供の保護法(S. 1738 (110th): PROTECT Our Children Act of 2008) 」: 全文text

 連邦司法省に対し、1)児童搾取の防止と阻止に関する国家戦略の策定と実施、2)児童に対するインターネット犯罪タスクフォース(Internet Crimes Against Children (ICAC) Task Force Programs)の改善、3)地域のコンピューター・フォレンジック・ ラボのリソースの増加、4)その他の子供の捕食者を調査し起訴するための法執行機関につき改善を行うこと等を要求する法律である。

 なお、司法長官は、同法にもとづき戦略の策定を調整する司法省 の高官を指名する必要がある。

(注6)第一級重罪や第二級重罪等について各州によりかなり内容が異なる。フロリダ州を例として解説する。(Nolo, a wholly owned subsidiary of MH Sub I, LLCの解説から、抜粋、仮訳した)

第一級重罪(Felony in the First Degree)

 フロリダ州では通常、第 一 級の重罪は最大 30 年の拘禁刑と最大 10,000 ドルの罰金が科せられる。 さらに、裁判所の命令により、被告は被害者に賠償金を支払うよう命じられる場合もある。法執行官に対する加重暴行材 (故意に重大な身体的危害を引き起こす)、カージャック、および暴行または暴行を伴う強盗は、第一級重罪の例である。

第二級重罪(Felony in the Second Degree)

 第 二 級重罪の有罪判決は、最高 15 年の懲役刑と 10,000 ドル以下の罰金を科される可能性がある。 例としては、恐喝(extortion )、危険運転致死罪(自動車による殺人(罪):飲酒運転などによる交通事故で相手を死なせること等(vehicular homicide )、銃器所持の重罪などが挙げられる。

第三級重罪(Felonies of the Third Degree)

 第 三 級重罪は、フロリダ州で最も深刻度の低い重罪であり、最大 5 年の拘禁刑と最大 5,000 ドルの罰金が科せられる。 例としては、悪質なストーカー行為、車両や銃器の盗難、武装した状態での不法侵入(trespass)などがある。

**************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce material available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

アイルランドのデータ保護委員会によるMeta platform に対するGDPR違反による高額の罰金処分や行政措置の最新動向とフランスCNILのデータ・スクレイピング再利用ガイダンスを読む(その2完)

2022-12-07 11:41:04 | 個人情報保護法制

4-2.フランスのデータ保護当局(「CNIL」)のWebスクレイピング・ツールによるオンライン公共スペースからのWebユーザーの個人データの抽出とダイレクトマーケティングへのそのようなデータの再利用に関するガイダンス

 2020年4月30日、フランスのデータ保護当局である「情報処理と自由に関する国家委員会 ( Nationale de l'Informatique et des Libertés:CNIL)は、Webスクレイピング・ツールによるオンライン公共スペースからのWebユーザーの個人データの抽出とダイレクトマーケティングへのそのようなデータの再利用に関するガイダンス(「ガイダンス」を公開した。ガイダンスは、2019年にCNILが実施した検査の後に発行された。

 本ブログでは、策定の経緯など解説が充実していると思われるハントン・アンドリュース・カースLLP解説「CNILは、ダイレクトマーケティングのための公開されているオンラインデータのWebスクレイピングと再利用に関するガイダンスを公開」を仮訳する。なお、注書きやリンク等一部筆者の責任で加筆した。

(1)CNILガイダンス策定の背景

 CNILは、ダイレクトマーケティング・コミュニケーションを送信するためにWebページから個人データを抽出することからなるビジネス慣行に関する苦情を定期的に受け取る。その苦情は通常、消費者間のWebサイトまたはオンラインディレクトリに表示される広告に表示される個人の電話番号を収集する企業に関するものである。この情報は、過去にそのようなコミュニケーションの受信に反対した可能性のある個人にダイレクトマーケティング・コミュニケーションを送信するために使用される。

 その関係者は次のとおりである。

①不動産広告を参考にしてデータベースを作成し、その広告を掲載した個人のデータを抽出している企業。その後、データベースは不動産会社または他の企業に販売され、それらの個人にダイレクトマーケティングコミュニケーションを送信する。

②オンラインディレクトリ内の特定の地理的領域からすべての個人データを収集し、そのデータを使用して独自のダイレクトマーケティング・コミュニケーションを送信する企業(保険商品を販売する保険会社など)。

 CNILは、企業がEU一般データ保護規則(GDPR)およびフランスの「2018年データ保護法(LOI n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles)」に準拠しているかどうかを判断するために、2019年にいくつかの検査を実施した。CNILの調査により、多くの企業がWebスクレイピング(またはデータ抽出)ソフトウェアなどのツールを使用して、オンラインの公共スペースからWebユーザーのデータを自動的に収集していることが明らかになった。調査の結果、データのソースに関して連絡を受けた個人に不十分な情報が提供されたり、電子ダイレクトマーケティング・コミュニケーション(電子メールや自動通話など)の送信に対する同意の欠如など、GDPRおよびフランスのデータ保護法のいくつかの違反が明らかになった。したがって、CNILは、データ管理者とそのサービスプロバイダーにこの分野のベストプラクティスを思い出させることにした。

(2)データ保護の基本原則の遵守

 このガイダンスは、オンラインの公共スペースで公開されている個人の連絡先の詳細は、データが公開されている場合でも、依然として個人データであることを強調している。そのため、企業はデータを自由に再利用したり、個人の知らないうちにデータをさらに処理したりすることはできない。企業は、基本的なデータ保護原則を遵守する必要がある。これには以下が含まれる。

個人の自由に与えられた、具体的で、情報に基づいた、明確な同意を得る

 個人が自分の個人データをあるデータ管理者と共有する場合、別の会社からダイレクトマーケティングを受けることは合理的に期待できない-別の会社は、個人の同意がある場合にのみ、そのような目的でデータを再利用する場合がある。同様に、企業が自社の製品やサービスに関するダイレクトマーケティングコ・ミュニケーションを電子メールまたは自動通話システムを介して送信するために、個人の公開されているオンラインデータを再利用する場合、会社は送信する前に個人の同意を得る必要がある。

GDPRに規定されているように、異議を唱える個人の権利を尊重する

 企業が非電子的手段(当事者間の直接架電など)でダイレクトマーケティング・コミュニケーションを送信する場合、Webスクレイピング・ツールは、通信事業者からのオプトアウト・リストまたはフランスのBLOCTELオプトアウトリスト(注4)に含まれる個人のデータを収集してはならない。

(3)Webスクレイピングツールを使用する前の重要な手順

 ガイダンスでは、Webスクレイピング・ツールを使用する前に次の手順を実行することも推奨している。

スクレイピングされるデータの性質と出所の検証:ガイダンスでは、一部のツールは、利用規約でマーケティング目的でのデータの抽出と再利用が禁止されているWebサイトから情報を抽出することに注意されたい。この場合、その慣行は明らかに違法である。

データ収集の最小化:Webスクレイピング・ツールを使用する企業は、特にその情報が機密である場合(健康情報や個人の宗教や性的指向に関連する情報など)に特に注意し、無関係で過剰な情報を収集しないようにする必要がある。

個人への通知の提供:さらに、Webスクレイピングツールを使用する企業は、遅くとも個人との最初の通信時に、ダイレクトマーケティングのためにデータが抽出された個人に通知する必要がある。この通知には、データのソースを含め、GDPRの第14条に記載されているすべての情報が含まれている必要がある。

Webスクレイピング・サービスプロバイダーとの契約関係の管理:企業がWebスクレイピングサービ・スプロバイダーと契約する場合、サービスプロバイダーが上記の措置を遵守することを確認する必要がある。さらに、企業は、GDPRの第28条に準拠して、そのサービスプロバイダーと適切なデータ処理契約を締結していることを確認する必要がある。

必要に応じてデータ保護影響評価(「DPIA」)を実施する:場合によっては、データ処理を実装する前にDPIAを実行する必要がある。DPIA が不要な場合でも、ガイダンスでは、DPIA を実行することがベスト プラクティスであることを強調している。

 また、ガイダンスは、CNILが個人のデータ保護権が保証されることを確実にするために、これらの慣行に関して警戒し続けることを強調している。

5. 2022年3月15日、DPCのGDPRのワンストップショップ(OSS)に基づく国境を越えた苦情の処理に関する統計レポートを公開

 DPCのリリース文を仮訳する。

 データ保護委員会(DPC)は3月15日、GDPRのワンストップショップ(OSS)メカニズムに基づくDPCの国境を越えた苦情の処理に関する統計レポートを公開した。

 2018年5月以降、DPCは、アイルランドにEU本社を置く多数のテクノロジーおよびインターネットプラットフォーム企業のEU / EEAの主要な監督当局として、かなりの数の国境を越えた苦情を受け取り、締結してきた。

 DPCによるこれらの国境を越えた苦情の処理は、パブリックコメントの対象となっており、ほとんどの場合、不完全で文脈に欠ける情報に基づいている。説明責任、透明性、情報に基づいた議論のために、公開されたレポートは、DPCの国境を越えた苦情処理プロセスと、受け取った苦情の数、結論の数、達成された結果など、関連する統計の事実に基づく概要を提供する。

 受け取った国境を越えた苦情の大部分については、DPCは関係する組織・機関のEU / EEAの主要な監督当局としてそれらに対処する責任がある。またDPCは、別のEU/EEAデータ保護機関が主導権を握っている組織について、個人から多くの苦情を受け取っている。このような場合、DPCはOSSメカニズムを介して苦情を関連当局に転送する。

 本レポートは、2018年5月25日から2021年12月31日までの期間に次のことを示している。

〇DPCは1,150件の有効な国境を越えた苦情を受け取った。主たる監督当局(LSA)として969(84%)、関係監督当局(CSA)として181(16%)。

〇LSAとしてDPCが処理した国境を越えた苦情は、もともと別の監督当局に提出され、DPCに転送された。

〇2018年5月以降にDPCがLSAとして処理したすべての国境を越えた苦情の65%が締結されており、2018年に受け取った苦情の82%、2019年に75%が締結された。

〇DPCがLSAとして処理した634件の締結された国境を越えた苦情のうち、544件(86%)は、申立人の利益のために友好的な解決を通じて解決された。

〇72件(22%)の未解決の国境を越えた苦情は調査に関連しており、調査の最終決定時に結論付けられる。2018年と2019年の残りの未解決の苦情の多くは、調査に関連している。

〇LSAとしてDPCが処理するすべての国境を越えた苦情の86%は、わずか10のデータ管理者に関連している。

〇DPCが他のEU/EEA LSA(英国を除く)に転送した苦情の38%が終了した。

 ワンストップショップ(OSS)の国境を越えた苦情の処理に関するデータ保護委員会の統計レポート(全文)

 最新の統計については、2018年5月25日から2022年9月19日までのワンストップショップ(OSS)の国境を越えた苦情の処理に関するデータ保護委員会の統計レポートを参照されたい。

******************************************************************************:**

(注4) 2016年6月1日、フランスで新しい電話禁止リスト(new do-not-call list「BLOCTELリスト」)が実装された。マーケティング電話の受信を希望しないフランス居住者は、” www.bloctel.gouv.fr”で固定電話または携帯電話番号をオンラインで登録できる。

 BLOCTELリストは、2014年3月17日のフランス消費者法第2014-344号(Loi n° 2014-344 du 17 mars 2014 relative à la consommation) によって制定された。この法律は、企業が(1)消費者がその会社の既存の顧客である場合を除き、BLOCTELリストに登録されている消費者にマーケティング電話をかけること、および(2)そのリストに登録されている消費者の連絡先情報を含むファイルを販売またはレンタルすることを禁止している。フランス消費者法によると、これらの要件を遵守しない企業は、15,000ユーロ(約2,145,000円)から75,000ユーロ(約1073万円)の罰金を科される可能性がある。

 フランスのデータ保護当局(「CNIL」)は、企業は電話マーケティングキャンペーンを実施する前に、BLOCTELリストの存在を消費者に通知し、電話をかける電話番号がリストにないことを確認する必要があると述べた。実際には、企業はBLOCTELリストに直接アクセスすることはできないが、電話マーケティング活動がフランスの法律に準拠していることを確認するために、定期的にリストへのアクセスを要求する必要がある(少なくとも月に1回)。(Hunton Andrews KurthLLPレポートを仮訳した)

**************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserve.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

アイルランドのデータ保護委員会によるMeta platform に対するGDPR違反による高額の罰金処分や行政措置の最新動向とフランスCNILのデータ・スクレイピング再利用ガイダンスを読む(その1)

2022-12-07 10:18:05 | 個人情報保護法制

 

  昨2021年9月3 日、筆者はブログでアイルランドのデータ保護委員会(以下、DPC:Data Protection Commission :an Coimisiún um Chosaint Sonraí )がEUデータ保護会議(EDPB)の仲裁を経て“Whatsapp”に2億2,500万ユーロ(約325億900万円)の罰金を科す決定を行った旨報じた。

  去る11月28 日、アイルランドのDPCがFacebookの「データ・スクレイピング(Data Scraping)」行為につき2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した旨リリースした。

 このリリースに関する内外の解説の多くは、DPCが2022年9月15日、4 億 500 万ユーロ(約579億1500万円)の罰金とさまざまな是正措置を課した、さらに2022 年 3 月 15 日1,700 万ユーロ(約24億3100万円)の罰金を課す決定を採択した事案に関する解説には言及していない

  今回のブログは、1)これまでDPCが行ってきたMeta platformに対する行政法執行の内容につき改めて整理するとともに、2)データ・スクレイピング(Data Scraping;Web scraping)にかかる技術的、法的諸問題を解説し、3) フランスCNILのデータ・スクレイピング(Data Scraping)再利用ガイダンス、最後に、4) DPCサイトのEDPB組織・事業者向け個人情報の越境処理とワンストップ・ショップ(OSS)・メカニズムの概要と2022.3.15 DPCが公表した「GDPRのワンストップショップ(OSS)に基づく国境を越えた苦情の処理に関する統計レポート」を紹介する。

 今回は2回に分けて掲載する。

1.2022 年 3 月 15 日、 DPC は、Meta Platforms Ireland Limited (以前の Facebook Ireland Limited) に 1,700 万ユーロ(約24億3100万円)の罰金を課す決定を採択

 DPCのリリース文を仮訳する。

 DPCは2022年3月15日、Meta Platforms Ireland Limited(旧Facebook Ireland Limited)(以下「Meta Platforms」)に1,700万ユーロの罰金を科す決定を採択した。

 この決定は、2018年6月7日から2018年12月4日までの6か月間に受け取った一連の12件のデータ侵害通知に関するDPCによる調査に続くものである。この調査では、Meta Platforms が、12件の違反通知に関連する個人データの処理に関して、GDPR第5条(1)(f)、5条(2)、第24条(1) 、および第32条(1)の要件にどの程度準拠しているかを調査した。

 DPCは調査の結果、Meta Platforms がGDPR第5条(2)および第24条(1)に違反していることを発見した。DPCは、Meta Platformsが 12件の個人データ侵害に関連して、EUユーザーのデータを保護するために実際に実施したセキュリティ対策を容易に実証できる適切な技術的および組織的対策を講じていないことを明らかにした。

 審査中の処理が「国境を越えた」処理を構成していることを考えると、DPCの決定はGDPR第60条に概説されている共同意思決定プロセスの対象となり、他のすべての欧州の監督当局は共同意思決定者として関与した。DPCの決定案に対する異議は、欧州の監督当局のうちの2つによって提起されたが、DPCと関係する監督当局との間のさらなる関与を通じてコンセンサスが達成された。したがって、DPCの決定は、DPCとEU全体の対応する監督当局の両方の集合的な見解を表している。

 これとは別に、DPCは本日、GDPRのワンストップショップメカニズム(注1)の下での国境を越えた苦情の処理に関する統計レポートを公開した(以下のリンクを参照)。

 DPCのペナルティに応えた声明の中で、Meta Platformsのスポークスパーソンは、エピソードを単に歴史的に緩い記録管理の事例として軽視しようとした。

 この罰金処分は、2018年から更新した記録管理慣行に関するものであり、人々の個人情報の保護の懈怠に関するものではない。DPCはGDPRに基づく法的義務を真剣に受け止めており、プロセスが進化し続けるにつれて、この決定を慎重に検討している。

 今回、DPCが発表した罰則決定は、約4年前に規制が適用され始めて以来、Facebook自体に対するGDPR調査に関するアイルランドからの最初の最終決定であるが、規制当局(DPC)は2021年、透明性規則に違反したとしてFacebookが所有するWhatsAppに対して別の(より大きな)制裁措置を発令した。(DPCDPC参照)

2.2022 年 9 月 15 日、 DPCはMeta Platforms Ireland Limited (Instagram)  Instagramの審問のうえ4 億 500 万ユーロ(約579億1500万円)の罰金とさまざまな是正措置を課す

  DPCは9月15日、Meta Platforms Ireland Limited(Instagram)に対する4億500万ユーロの罰金とさまざまな是正措置を科す調査の結論を発表した。リリース内容を仮訳する。

 この審問調査は、Instagramソーシャルネットワーキング・サービスの子供ユーザーに関する個人データの処理に関するものであった。これは、2020年9月21日にDPCによって開始され、David J.Stier(米国のデータ・サイエンティスト)氏(注2)

David J.Stier 氏

から提供された情報に応え、また、Instagramユーザー登録プロセスの調査に続いて、DPC自体によって特定された問題に関連して開始された。

 この調査では、特に、Instagramビジネスアカウント機能を使用した子供の電子メールアドレスや電話番号の公開、および子供の個人Instagramアカウントのデフォルトでの公開設定方法等が調査された。

 包括的な調査の後、DPCは2021年12月にGDPRの第60条に基づいて、EU内のすべての監督規制当局(関係監督当局(Concerned Supervisory Authorities:CSA)に対し決定草案を提出した。これらの国の規制当局のうち6つは、DPCの決定草案に異議を唱えた。DPCは、異議申し立ての主題についてCSAと合意に達することができなかったため、GDPRの第65条の紛争解決プロセスに沿って、このケースを欧州データ保護委員会(EDPB)に付託した。

 2022年7月28日、EDPBは拘束力のある決定を採択し、CSAから出されたかなりの量の異議を却下したが、DPCがGDPR第6条(1)の違反の発見を含め、この追加の違法侵害に基づいて提案された行政罰金を再評価するように決定草案を修正することを要求する異議を支持した。これらの修正を組み込んだ後、DPCの決定は2022年9月2日に採択された。この決定は、GDPR第5条(1)(a)、第5条(1)(c)第6条(1)第12条(1)第24条第25条(2)および第35条(1)の違反の所見を記録している。

 DPCの当初の決定草案では、最高4億500万ユーロ(約579億1500万円)の罰金が勧告されており、EDPBの拘束力のある決定を考慮すると、Meta Platforms Ireland Limited(Instagram)に科せられた罰金は、第6条(1)の違反に対する2,000万ユーロの罰金を含め、合計4億500万ユーロである。

 DPCは、これらの行政罰金に加えて、Meta Platforms Ireland Limitedに対し、さまざまな特定の是正措置を講じることにより、その処理をコンプライアンスに準拠させることを要求する懲戒処分と命令も課した。

 EDPBは、第65条の決定と最終決定をウェブサイト(ここをクリック)で公開している。

3.  2022.11.28 アイルランドのデータ保護委員会がFacebookの「データ・スクレイピング(Data Scraping)」行為につき2 億 6,500 万ユーロ(約382億9000万円)の罰金とさまざまな是正措置を課した

 (1)DPCの2022 年 11 月 28 日のリリース文を仮訳する。

 データ保護委員会(DPC)はFacebookの「データ・スクレイピング」調査に基づく制裁決定を発表

 DPC は11月28日、ソーシャル メディア ネットワーク「Facebook」のデータ管理者である Meta Platforms Ireland Limited (MPIL) に対する調査の結果を発表し、2 億 6,500 万ユーロ(約378億9500万円)の罰金とさまざまな是正措置を科した。

 DPC は、2021 年 4 月 14 日にこの調査を開始した。これは、インターネット上で利用可能になった Facebook の個人データの照合されたデータセットの発見に関するメディアの報道に基づいている。調査の範囲は、2018 年 5 月 25 日から 2019 年 9 月までの期間に Meta Platforms Ireland Limited (「MPIL」) によって実行された処理に関連する Facebook Search、Facebook Messenger Contact Importer、および Instagram Contact Importer ツールの調査と評価に関するものであった。この調査の重要な問題は、設計およびデフォルトによるデータ保護に関するGDPR 義務の遵守の問題に関係していた。DPC は、GDPR 第 25 条 (この概念を扱っている) に従って、技術的および組織的な対策の実施を検討した。

 EU 内の他のすべてのデータ保護監督当局との協力を含む、包括的な調査プロセスがあり、これらの監督当局は、DPC の決定に同意した。

 2022 年 11 月 25 日に採択された今回の 決定は、GDPR 第 25 条 (1) および第 25 条 (2) の侵害の調査結果を記録している。この決定は、特定の期間内に特定の是正措置を講じることにより、MPIL にその処理を遵守させることを要求する戒告と命令を課した。さらに、この決定により、MPIL に総額 2 億 6,500 万ユーロの行政罰金が科せられた。

 (2) 2022.11.29 Techcentral ie「データ保護委員会は記録的な€265mの罰金でメタを襲います:フェイスブックの親会社が別の多額の制裁に見舞われた」

以下、仮訳する。

  2022.11.28 アイルランドの情報保護委員会(DPC)のプレスリリースは「Facebookの親会社であるMeta Platforms Irelandは、2億6500万ユーロ(約378億9500万円)の罰金を科され、DPCによるさまざまな是正措置の導入を余儀なくされた」旨報じた。

 Business Insiderが最初に報告したこの法違反では、106か国の5億3,300万人のユーザーの電話番号、Facebook ID、名前、場所、生年月日、場合によっては電子メールアドレスが収集されました。このデータはハッカー・フォーラムに投稿された。

 DPCは、Facebookが脆弱性にパッチを適用したと報告した2018年5月25日から2019年9月までの期間にMeta Platformsが実施した処理に関連して、Facebook検索、Facebook Messenger Contact Importer、Instagram Contact Importer」ツールにつき詳しく調査と評価を行った後、2021年4月14日に調査を開始した。

 2022年11月25日金曜日に採択されたこのDPCの決定は、MPILが罰金に加えて、特定の期間内に一連の特定の是正措置を講じることにより、処理をコンプライアンスに準拠させることを要求する叱責と命令を課した。以前の最大の罰金は、Meta Platformsが所有するWhatsAppによって発生し、プライバシー通知でデータ処理慣行を明確に説明しなかったために2億5500万ユーロが請求された。

 この罰金により、アイルランドのDPCからMeta Platformsに対する罰金の合計は9億1000万ユーロ(約130億1,300万円)になる。以前、他の欧州規制当局は、DPCによって提案された特定の罰金が低すぎるという理由で異議を唱えていましたが、この決定に異議は出なかった。

 法律事務所Addleshaw Goddard Irelandのデータ保護責任者であるDavid Hackett氏は、「アイルランドデータ保護委員会(DPC)は、法律違反に対して非常に多額の罰金を科す意欲が高まっている。罰金に加えて、Meta Platformsは設定された期間内にデータ処理活動に対して特定の是正措置を講じる必要があり、会社がそれらの要件にどのように対処するかはまだわからない。

 いずれにせよ、これらは多額の罰金である。GDPRは、法律違反を検討する可能性のある他の企業への抑止力として機能するために、そのような罰金を課すことを部分的に想定していた。そのような罰金が実際に企業行動に影響を与えるのか、それとも一部の企業が単にビジネスを行うための追加コストと見なしているのかについての議論が増える可能性がある」と語った。

 分析・コンサルティング会社GlobalDataのアナリスト、サラ・コープ氏は「Metaは連敗中だ。プライバシー侵害は消費者の信頼を損ない、実際Metaにとってはすでに減少している。その中心的なソーシャルメディアプラットフォームであるFacebookは、TikTokなどの他のプラットフォームとの激しい競争により、若いユーザーを引き付けるのに苦労している。同社はまた、メタバース事業部門で94億ドルの損失を被ったと伝えられており、最近リストラを行い、11,000人の従業員を解雇した。

 GDPRによる罰金は、ビッグテックにとって単なる巻き添え被害である。罰金は世界の売上高の最大4%と高額になる可能性があるが、ほとんどのビッグテックはそれをもってビジネスを行うためのコストと見なしている。ただし、メタバースにとって消費者の信頼は重要であり、サイバーセキュリティ違反とデータプライバシーの罰金は、メタのすでに傷ついた評判をさらに汚す」と述べた。

4-1.データ・スクライピング・Webスクライピングの諸問題

(1)技術的な説明

wingarc.com解説  octoparse.jp解説から一部抜粋、仮訳する。

  〇データ・スクレイピング、Webスクレイピングの意義

 Webスクレイピングとは、Webサイトから大量の情報を自動的に抽出するコンピュータソフトウェア技術のことである。Webスクレイピングは、Webサイトやデータベースを探り、大量のデータの中から特定のデータのみを自動で抽出することができる。

 そもそもスクレイピング(Scraping)とは、英語の「Scrape」に由来しており、日本語では「こする・かき出す」などの意味を持つ。Webスクレイピングは他にも、スクレイピング・Webデータ抽出・スクリーンスクレイピング・Webデータ収集とも呼ばれる。

 通常、インターネット上のデータはWebブラウザでしか見られず、Web上に表示されるデータを抽出・保存する機能はない。唯一の手段は手作業のコピー&ペースト(コピペ)のみである。

 しかし、Webスクレイピングを活用することで、面倒な手作業を自動化できるため、作業時間の短縮や転記ミス防止が可能となる。( octoparse.jp解説から抜粋)

(2)法的な重要課題

【わが国の弁護士による解説例】

 ①著作権問題

 スクレイピングを行う際、データやコンテンツをコピーする作業が介在する場合、権利者の同意を得ずに進めてしまうと、権利者の複製権(著作権法第21条)などの権利を侵害してしまう可能性がある。

 ただし、著作権法の改正により追加された著作権法第30条の4(著作物に表現された思想又は感情の享受を目的としない利用)に該当する場合には、著作権の侵害にはならない。

また、著作権法第47条の5(電子計算機による情報処理及びその結果の提供に付随する軽微利用等)に該当する場合にも、著作権の侵害にはならない。

②サーバーへの高アクセスに基づくサーバーダウン等負荷問題

 スクレイピングを行うことにより、ウェブサイトへの高アクセスとなってしまい、サーバーがダウンし、ウェブサイトの閲覧や表示ができなくなってしまうことも考えられる。

 この場合、対象となるウェブサイトのサーバーがダウンすることにより、当該ウェブサイトを運営している企業等は、業務を行うことができなくなってしまうため、偽計業務妨害罪(刑法第233条)や電子計算機損壊等業務妨害(刑法234条の2)に問われてしまう可能性がある。

③個人情報保護法に違反するケース

 個人情報を取得する際には、本人に対し、利用目的を明らかにしておくことが必要となる。ただし、特定の者に対し、個別に利用目的を明示することは現実的ではないものと考えられる。

 そのため、スクレイピングを行い、個人情報を取得するケースが想定される場合には、プライバシー・ポリシーや個人情報保護方針等を公表し、利用目的を明らかにしておくことが必要となる。

 なお、本人の人種、信条、社会的身分、病歴、犯罪の経歴等の取扱いに特に配慮を要する個人情報(配慮すべき個人情報)については、プライバシー・ポリシーや個人情報保護方針等を公表しているだけでは取得をすることができず、本人の同意が必要となるため、特に注意が必要である。

 また、スクレイピングにより取得した個人情報をデータベース化し、第三者に提供するというケースも想定される。ただし、第三者に提供する場合には、原則としてあらかじめ本人の同意を得る必要があります(個人情報保護法第27条)ので、この点も注意が必要である。

〇スクレイピングが実際に問題となった事例として、2010年3月頃に発生した岡崎市立中央図書館事件がある。

 これは、岡崎市立中央図書館の蔵書検索システムにアクセス障害が発生し、アクセス障害の原因がスクレイピングであったと後に判明し、スクレイピングをした男性が、偽計業務妨害の容疑で逮捕された事件である。

 逮捕された男性は、岡崎市立中央図書館の利用者であったが、岡崎市立中央図書館の蔵書システムの使い勝手に不満があり、蔵書システムにアクセスし、蔵書システムのデータを引き出すという行為を行っていた。

 逮捕された男性は、20日間勾留されたが、最終的に、岡崎市立中央図書館の業務を妨害する強い意図が認められないとして、起訴猶予処分となった。

【米国の解説例】から引用、仮訳

Ⅰ.データ・スクレイピングの潜在的な法的違反

 データスクレイピングビジネスモデルのリスクとメリットを評価するには、発生する可能性のある潜在的な法的違反を理解する必要がある。

1)コンピュータ詐欺・濫用に関する法律(Computer Fraud and Abuse Act :CFAA)違反

 CFAAは、「許可なく意図的にコンピューターにアクセスしたり、許可されたアクセスを超えたりして、...保護されたコンピューターからの情報を入手することを罰する。CFAAに基づく責任の決定は、通常、データ・スクレイパーが、Webサイトへのアクセスを管理する条件がデータ・スクレイピング活動を禁止しているという実際の知識または建設的な知識を持っているかどうかに焦点を当てる。ユーザーの知識を確立することは、多くの場合、Webサイトの利用規約がデータ・スクレイピングをどの程度明示的に禁止しているか、ユーザーが利用規約に法的に拘束されているかどうか(つまり、クリックラップまたはブラウズラップ(注3)の受け入れであったか)、および受け入れられない場合、該当する利用規約が建設的な知識に相当するほど目立つかどうかに依存する。CFAAの違反は罰金と拘禁刑で罰せられる可能性がある。

2)利用契約違反

 ユーザーがデータ・スクレイピングを明確に禁止する利用規約に拘束され、ユーザーがそのような条件に違反した場合、ユーザーは利用規約に違反している。このような違反は、ユーザーがデータにアクセスしてスクレイピングし続けることを禁止するための基礎となる可能性がある。そのような契約違反がユーザーに責任をもたらすかどうかは、ウェブサイトが違反の結果として損害を被ったことを立証できるかどうかに依存する。

3)著作権法違反

 定義上、データ・スクレイピング・プロセスには、Webサイトからのコンテンツの削除が含まれる。コンテンツが著作権で保護されており、利用規約でそのようなコピーが許可されていない場合、データ・スクレイパーは著作権侵害の罪を犯す。著作権侵害の申し立ては、意図的な侵害、弁護士費用の支払い、差し止め命令の付与に対する違反ごとに最大150,000ドルの法定損害賠償を含む、米国著作権法に基づく高額の損害賠償につながる可能性がある。

 複雑なのは、ウェブサイト上のすべてのデータが著作権で保護されているわけではないか、著作権で保護されている場合でも、必ずしもウェブサイトが所有しているとは限らないため、ウェブサイトは侵害訴訟を起こすことができないということである。たとえば、データ量の多い多くのWebサイトは、ユーザーが生成したコンテンツ(LinkedIn、Facebook、YouTube、Instagram、Twitterなど)で構成されており、ほとんどの場合、Webサイトではなくユーザーが所有している。したがって、ウェブサイトは通常、著作権侵害を訴えることはできない。さらに、スクレイピングされたコンテンツの多くは単なるデータであり、データは基本的にアイデアに相当し、単なるアイデアは米国の著作権法で保護されない。最後に、コンテンツが著作権で保護され、Webサイトが所有している場合でも、スクレイピングはフェアユースの例外に該当する可能性があり、使用によって元の作品がまったく新しいまたは予期しない方法で変換された場合、著作権で保護された作品の使用が許可される。(Campbell v. Acuff-Rose Music, 510 U.S. 569 (1994)参照)。

4)動産への不法侵入問題

 これは少し古風に聞こえるが、実際にはWebサイトに適用できる。動産(不動産以外の財産)への不法侵入は、一方の当事者が他の人の動産の合法的な所有を故意に妨害したときに発生する不法行為である。この場合、ウェブサイトの所有者は、ウェブサイトをホストするサーバーに対して強制力のある財産権を持っているため、不正アクセスがこの不法行為を構成する可能性がある。裁判所は、主にスケープがウェブサイトの運営に負担をかける場合に、そのような不法侵入を明らかにした。

Ⅱ.違法なデータ・スクレイピング

 Webスクレイピングは、法律や規則によっては禁止されていない。

 Webデータの抽出は公開データに限定されず、個人情報や機密情報も収集することもある。したがって、データ抽出の合法性を明確に理解することが不可欠である。

①パブリックデータとプライベートデータ

 公開データは、所有者によって公開され、誰でもアクセスできる一連の情報である。公開Webサイトからデータをスクレイピングすることは合法である。個人情報、個人を特定できる情報、財務情報、機密情報、または規制対象の情報は、個人データと見なされる。たとえば、連絡先情報、銀行口座の詳細、パスワードなどである。本人の同意や法的な理由なしに個人情報をスクレイピングすることは違法である。公開されている情報をスクレイピングすることが合法であるという事実は、公開されている個人情報をスクレイピングすることの合法性に関して多くの誤解を生み出す。

 2019年のhiQ対LinkedInの有名な事件では、公開されている個人情報をスクレイピングすることの正当性について議論した。この訴訟では、ソーシャルメディアまたはコンテンツプラットフォームが、他の企業が公開されているユーザーデータをスクレイピングして悪用するのを防ぐことを許可されるべきかどうかという問題を提起した。この場合、裁判所は、公共のプラットフォームから個人データをスクレイピングすることはコンピュータ詐欺・濫用に関する法律(CFAA)の違反であるというLinkedInの主張を排除した。

 しかし、2021年に、制定法の範囲を解釈する別の最近の最高裁判所の判決に照らして、米国連邦最高裁判所はLinkedInの訴訟を再検討のために審理することを決定した。

*******************************************************************

(注1) GDPRの個人データの越境処理のワンストップ・ショップ(OSS)・メカニズム(ワンストップ・ショップ条項)の解説

フランスのPrivacyvox.comサイトの解説を仮訳する。

 一般データ保護規則(GDPR)の下では、「国境を越えたデータ処理」を実行する組織・事業者等は、主たるデータ保護監督機関を指定する必要がある。その者が指定した監督当局が彼らの主要な連絡先として機能する。 

 当初は、以前は各加盟国の権限に対処する必要があった組織の管理負担を軽減するために導入されたが、ワンストップショップ条項はGDPRの交渉中の意見の相違の主なポイントであり、その結果、複雑になっている。

 実際、これらの規定は国境を越えた処理活動にのみ適用され、組織の処理活動全体には適用されない。さらに、この処理活動のための組織の主な施設がEU外にある場合、組織はこれらの規定の恩恵を受けない。また、必要に応じてリ主たるデータ保護監督機関の正式な指定も伴う。

 〇ワンストップショップの規定はどのような場合に適用されるのか?

 GDPRによると、ワンストップショップの規定は以下の場合のみ適用される。

①管理者および/または処理者が欧州連合域内で国境を越えた処理活動(すなわち、複数の加盟国に影響を与える処理活動)を実行する場合。かつ、

②この処理活動に関連する主な事業所がEU域内にある場合

 なお、公的機関は、その処理活動が上記の条件を満たしているかどうかにかかわらずワンストップショップ規定の範囲から除外される。

〇「越境処理」とは何か?

 GDPRによると、国境を越えた処理は次のいずれかである。

①複数の加盟国に所在する管理者または処理者の施設の活動に関連して行われる個人データの処理。又は

②欧州連合内の管理者または処理者の単一の施設の活動の文脈で行われるが、複数の加盟国のデータ主体に重大な影響を与える、または実質的に影響を与える可能性のある個人データの処理。

実際には、次の場合に「クロスボーダー処理」と見なされる。

  • 2つの異なる加盟国にある組織の施設のうち少なくとも2つ。
  • あるEUを拠点とする組織の1つの施設は、処理活動が複数の加盟国の個人を対象としていることを条件としている。

なお、欧州連合にある施設に関係する場合(対象となる個人の場所に関係なく)は、「国境を越えた処理」とは見なされない

〇主な施設は何か?

 組織または事業グループが国境を越えた処理活動を行う場合、その主要事業所またはその単一事業所の国(すなわち、主要事業所はEUになければならない)に主要な監督当局を任命する必要がある。
 当該事業所は、十分に安定している限り、支店、子会社、またはオフィスのいずれかになる。それがほとんどの決定を下すならば、それは主要な施設として適格になります国境を越えた処理活動の対象となる。

 その結果、EU内に設立されていない、または主な事業所がEUにないワンストップショップ条項、コントローラー、またはプロセッサーのメリットから自動的に除外される。

〇主たる監督当局の役割は何か?

 主たる監督当局は、国境を越えた処理活動に関する質問、苦情、調査、またはその他の問題についてのみ、組織の唯一の連絡先として機能する。

 ただし、他の監督当局は、加盟国に所在する事業所または個人にのみ関連する場合、苦情または規制の違反を処理する能力を引き続き備えている。

 〇コントローラー(管理者)とプロセッサー(処理者)の両方に主たる監督権限がある場合はどうすればよいか?

 管理者と処理者の両方が主たる監督機関を任命した場合、管理者の主たる監督機関が主導権を握り、処理者の主たる監督機関は監督当局の役割のみを果たす。

(注2) David Jestier 氏のレポートを一部抜粋、仮訳する。

  Instagramは子供たちに無料の分析を提供し、その代わりに、Instagramは10億人の見知らぬ人に彼らの携帯電話番号と電子メールを明白に閲覧可能とした。

 見知らぬ人があなたの13歳の姪の携帯電話を要求した場合、あなたはそれを彼らに渡しますか? 仮に彼女がインスタグラムにいるなら、あなたは遅すぎるかもしれない。

 1年以上にわたり、6,000万人以上の子供たちが自分のプロファイルを「ビジネス・アカウント」に簡単に変更でき、Instagramはアプリでメールアドレスや電話番号を公開表示する必要がある。今日も何百万人もの人々が電話や電子メールを表示している。

 私はこの問題を発見し、今年初めにFacebookのホワイトハットプログラム11/30(44)に報告したデータサイエンティストである。おそらく、プラットフォーム上の「クリエイター」である最大49MのInstagramユーザーの個人の連絡先情報の漏洩に関するニュース記事を思い出してください。databreachtoday.com 年のジェレミー・カークの話は、この問題をさらに探求した。

(注3) クリックラップ契約(またはクリックオン契約)とは、[同意する] ボタンなどのクリックまたは同様のプロセスを通して一連の契約条件に同意することを示す契約手法の一つである。

 クリックラップ契約とブラウズラップ契約は同じものではなく、また置き換えが可能なものでもない。ブラウズラップ契約は、通常、ウェブサイトに利用規約やポリシーのリンクを貼るのみで、ユーザーは利用規約やポリシーに同意していることを示すための行動はとらない。一方、クリックラップ契約は、ユーザーに対してポリシーや契約条件を開示し、アクションを求めるため、取得した「同意」には法的拘束力がある。 つまり、コンプライアンスを確保し、不必要な法的リスクを排除することができる。(docusign.jpから一部抜粋)

**************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする