Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

フィンランドのデータ保護オンブズマン局が金融グループに対し信用度評価、データ主体の調査権およびその通知実務慣行の修正を命令

2019-04-29 20:44:36 | プライバシー保護問題

 北欧の金融グループであるスベア・エコノミー(Svea Ekonomi)  (注1)の金融実務に関する2つの問題が、フィンランドのデータ保護オンブズマン局(Tietosuojavaltuutetun toimisto)で処理され、その結果、4月1日付けでデータ保護オンブズマン局(以下、「オンブズマン局」という)は、Svea Ekonomiに対し、30日以内にデータ主体自身の信用度の評価、自身の個人データを調査する権利および通知慣行に関連する個人データの処理にかかる実務慣行を修正するよう同社に命じた。

 この決定はEUの欧州データ保護会議(EDPB)取り上げている問題でもあり、本ブログではオンブズマン局の公表内容等に基づき、本質的な部分を補足を踏まえ仮訳する。なお、フィンランドのオンブズマン局のサイトを読んで気がつくであろうが、詳細データにわたり各種データの表示が英語版にパラレルに訳されている。

 なお、「国立差別禁止・平等審判所」の役割、機能は興味深いので第2項でまとめて説明する。

1.事実関係と問題の背景

 Svea Ekonomiに関する案件の1つは、単一のデータ主体による苦情として、オンブズマン局で処理された。それは信用度を評価するために使用される個人データとそれらに関するデータを調査するデータ主体の権利に関係していた。さらに、オンブズマン局は、自身のイニシアチブに基づいてSvea Ekonomiの通知慣行に関する問題を処理し始めた。

(1) Svea Ekonomiのクレジット申請時の信用度評価にかかる説明不足

 その決定命令において、オンブズマン局は、信用度の評価におけるカテゴリー的な上限年齢の使用は、信用情報法に定められた信用情報の定義の下では受け入れられないと述べた。クレジット申請者の単なる年齢は、彼らの支払能力、支払う意思、または彼らのコミットメントに対処する能力について説明していない。Svea Ekonomiが提出した口座に基づくと、クレジット申請の自動処理では、クレジット申請者の財政状態はまったく考慮されていない。

 また、オンブズマン局は、同Svea Ekonomiのオンライン信用決定サービスは、EU「一般データ保護規則」第22条(Automated individual decision-making, including profiling)で言及されている種類の自動決定であると考えられるべきであると指摘した。同条では、結論を下すうえで本質的な決定または会社とクレジット申請者との間の合意の適用において本質的なものであった。

 その決定において、オンブズマン局は、Svea Ekonomiに信用度の評価に関連する個人データの処理を変更するよう命じた。Svea Ekonomiはまた、問題について不平を言っている個人に、自動意思決定に採用された論理、信用度に関する決定を行う際のその役割、および信用申込者に対するその結果に関する情報を提供しなければならないのである。

(2) 信用度評価手順の違法性

 Svea Ekonomiが信用力を評価するために採用した手順は、2018年3月21日付けの国立差別禁止・平等審判所の「平等法および差別禁止法に関する決定」でも禁止されているものである。

 また、オンブズマン局は、信用度を評価するために使用される自動意思決定システムに関連したSvea Ekonomiの通知慣行を調査した。オンブズマン局は、クレジット申込者が決定の根拠を理解できるように現在の通知慣行はデータ処理の論理を十分に説明していないと述べ、そのような通知慣行を変更するよう命じた。

(3) オンブズマン局の決定に基づき、Svea Ekonomiは2019年4月30日までに、個人データの処理がどのように変更されたかを通知しなければならない。オンブズマン局によると、Svea Ekonomiは本決定の変更を申請していないので、本決定は法的に執行可能である。

2.フィンランドの「国立差別禁止・平等審判所(National Non-Discrimination and Equality Tribunal)」の役割、機能

 同審判所サイトを引用、仮訳する。(注2)

 全国差別禁止・平等審判所は、政府によって任命された公平で独立した司法機関である。審判所は、私的活動ならびに公的および商業的活動の双方において、差別禁止法(Non-Discrimination Act)および男女平等法(平等法)(Act on Equality between Women and Men (Equality Act))の遵守を監督する。

 しかし、審判所の権限は、私生活、家庭生活または宗教の実践に関連する事項は網羅していない。

 裁判所の機能は、差別されたり被害を受けたりしたと考える人々に法的保護を与えることである。

 問題が公的機関または雇用主としての国会またはその機関の活動に関するものである場合に限り、フィンランド国会の活動に関する事項を審理のために審判所に提出することができる。

 審判所が実施する監督権は、共和国大統領、議会総会、裁判所およびその他の司法機関、司法長官および議会オンブズマンの活動を網羅していない。

 差別の禁止に関する訴訟が他の当局によって提起されている、または提起される予定である場合は、審判所はそれを調査することはできない。

 審判所は、継続的または反復的な差別または犠牲化を禁止し、差止命令の遵守を強制し、そのような罰金の支払いを命じるために条件付罰金を科すことができる。

 審判所は、差別禁止法に基づく義務を履行するために、関係当事者に合理的な期間内に措置を講じるよう義務付けることができる。

 審判所はいかなる補償金の支払いも命じることはできない。審判所によって出された決定は、管轄行政裁判所に上訴することができる。

 審判所は請願につき無料で検討し、サービス料もかからない。しかし、関係当事者はその他の訴訟費用については責任を負う。

*****************************************************************

(注1) スベア・エコノミー(Svea Ekonomi)は、北ヨーロッパの8ヵ国(スェーデン、デンマーク、ノルウェイ、フィンランド、エストニア、オランダ、オ-ストリア、ドイツ)で事業を展開している金融会社グループである。ヨーロッパ全土に2,000人以上の従業員を擁し、あらゆる業界の中小企業向けの管理および財務ソリューションを作成し、 法人向けローン、クレジット、請求サービス、ファクタリング、請求書の購入、クレジット情報および債権回収などのサービスに加えて、電子商取引、モバイルおよび店舗向けのスマート支払いソリューションも提供している。また、消費者向けローンや普通預金等を提供している。

(注2)フィンランドはEU加盟国の中でも最も差別問題に厳しい姿勢をもって取り組んでいる国であろう。

フィンランドにおける差別禁止法の概要から一部引用する。

雇用契約法、差別禁止法(Non-Discrimination Act (1325/2014))および刑法(39/1889)は、差別を禁止する主な法定規定を定めている。 さらに、男女平等法は、男女平等に関する規定を定めている。

・・・差別または被害を受けたとみなされる従業員は、問題の禁止行為から2年以内に地方裁判所に訴訟を起こすことができる。 差別の場合は、差別禁止法および男女平等法に基づいて特定の補償が請求されることがある。 差別はまた、雇用主の代表者に対する刑事制裁および個人的な刑事責任につながる可能性がある。 雇用主は、仕事上の差別により罰金または最高6ヶ月間の拘禁刑を宣告されることがある。

*****************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution


米国の金融犯罪法執行ネットワークFinCENがP2P仮想通貨交換所(個人)に対する最初の罰金を科す(その2完)

2019-04-28 13:18:09 | 金融犯罪と阻止策

 今回の措置は、個々のピアツーピア仮想通貨交換所に対するFinCENの最初の罰金処分ではあるが、デジタル資産の分野ではFinCENが最初に発行したペナルティではない。たとえば、2017年7月に、FinCENと司法省は、米国内の顧客とのプラットフォームの取引およびMSBとして登録し、効果的なAMLプログラムを実施することを怠ったとして、米国外の仮想取引プラットフォームに対して1億1000万ドル(約122億1000万円)以上の罰金を科すことに協力して行動した。(注9)

 FinCENの最初のP2pペナルティは、仮想通貨空間の小規模事業者がレーダーの下を飛ぶことを期待すべきではなく、代わりにFinCENの2013年ガイダンスを考慮する必要があるというシグナルである。これらのコンプライアンスを遵守していない(または関係している)と思われる人は、金銭的制裁と業界の弁護士費用の危険を冒すことになる。 

2.ペンシルバニア州銀行証券局が仮想通貨は「お金」ではないとするガイダンスを発表 

   2019年1月25日 のBallard Spahr LLPレポート「典型的な仮想通貨の交換業は、ペンシルバニア州の送金業者免許(Money Transmitter Licenses)を必要としない」仮訳する。

 典型的な仮想通貨の交換業は、ペンシルバニア州の送金業者免許(Money Transmitter Licenses)を必要としない。 

 2019年2月17日、ペンシルベニア州銀行証券局(「DoBS」)は、「Bitcoinを含む」仮想通貨は、「 ペンシルベニア州の送金事業許可法(MONEY TRANSMISSION BUSINESS LICENSING LAW:Act of Nov. 3, 2016, P.L. 1002, No. 129「Money Transmitter Act:MTA」とも呼ばれる)4/25⑯の下では「貨幣」とは見なされないと宣言したガイダンス「Money Transmitter Act Guidance for Virtual Currency Businesses」を発表した。

  したがって、同ガイダンスによると、典型的な仮想通貨交換プラットフォーム、自動券売機(kiosk)、ATM、または自動販売機の運営者は、ペンシルベニア州の送金業者免許(Money Transmitter Licenses)の対象となる送金業者(money transmitter)を代表しない。

 このガイダンスは、送金業者の免許を取得するためにペンシルベニア州法によって課せられた単なる負担を超えて影響を与えるため、重要である。 以前に私のブログに書いたように、 18 USC§1960( Prohibition of unlicensed money transmitting businesses )の下では、その一部は「免許のない適切な送金免許なしに運営される事業」と定義されており、そのような業推遂行が被告がその業務遂行が免許を受ける必要があること、またはその業務遂行がきわめて処罰可能であることを知っていたかどうかにかかわらず州法の下で軽罪または重罪として処罰される可能性がある。この州法違反は 連邦法違反にあたる。

  さらに、金融犯罪執行ネットワーク(「FinCEN」)は、Bitcoinなどの一般的な暗号通貨を含むデジタル通貨の管理者または交換者が、マネーサービス事業として31 USC§5330 (. Registration of money transmitting businesses )に基づきFinCENに登録する必要がある送金事業サービス(money services businesses :MSBs, )を表すというガイダンスを公表しており、これは、「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(Bank Secrecy Act:BSA)および関連する報告およびマネーロンダリング防止のコンプライアンス義務に準拠している。 

 さらに、必要に応じてMSBとしてFinCENに登録しなかった場合も、 18 USC§1960の別の違反となる。FinCENのガイダンスに基づいて、連邦裁判所は、仮想通貨交換を行った結果、 無認可または未登録の送金事業を営んだとして、18 USC§1960の違反の有罪判決を下している。 

(1) ペンシルベニア州DoBSのガイダンスの特徴 

 このガイダンスは短く直接的である。その応用も潜在的に非常に広い。 ペンシルベニア州法の下で、仮想通貨は「貨幣」を構成しないという結論を出した後、ガイダンスでは、一部でなぜペンシルベニア州において仮想貨幣交換業が送金業者として免許の対象とならないかを説明する。 

  MTA(Money Transmitter Act))の適用可能性に関するガイダンスを要求する事業体のいくつかは、Webベースの仮想通貨交換プラットフォーム(以下、「プラットフォーム」という)である。典型的には、これらのプラットフォームは、固定通貨または他の仮想通貨と引き換えに仮想通貨の購入または販売を容易にし、そして多くのプラットフォームは仮想通貨の買い手および売り手が他のユーザから仮想通貨を買うおよび/または売る申し出をすることを許可する。 これらのプラットフォームは直接通貨を直接処理することはない。 ユーザーが支払った、またはユーザーに支払った通貨は、寄託機関のプラットフォーム名で銀行口座に保管される。

  MTA(Money Transmitter Act)の下では、これらのプラットフォームは送金業者ではない。 プラットフォームは、直接通貨を直接処理することはありませんが、ユーザーのために仮想通貨の決済を行い、ユーザーのための仮想通貨の所有権の変更を容易にする。 ユーザーから他のユーザーまたは第三者への送金はない。また、プラットフォームは、支払いサービスまたは送金サービスを提供する事業に携わっていない。  

 その後、ガイダンスでは、仮想通貨、自動券売機、ATM、および自動販売機に関しても、ビジネスが平等通貨に「触れる」かどうかという概念に再び焦点を当てて、同様の分析を行っている。 

  DoBSの結論は、必ずしも論理的問題として強制されたわけではない。 MTA 第2条(Section 2.  License Required)は、「銀行証券局から最初に免許を取得しないで、個人との間で、または代行して、 送金手段を使って送金することによって、 金銭または他の対価を支払うことに従事する」ことを禁じる。 MTAが「小切手、為替手形(draft)、郵便為替(money order)、個人的なマネーオーダー(注10)、デビットカード、 プリペイドカード、電子送金、またはその他の支払い方法または送金方法に代りにより広く定義された用語「送金手段」に焦点を当てることを選択した可能性がある。

 他の州も同様のアプローチを取り、「貨幣」のような伝統的な定義を持つ単一の法定用語に焦点を当てるのではなく、より現代的な適用の影響を受けやすい、それぞれの法律の中でより広く、より不透明な言葉遣いに焦点を合わせることに焦点を当てるかもしれない。 

(2) 法規制上のパッチワーク的解決(A Regulatory Patchwork Quilt)の評価

 DoBSガイダンスは比較的明確ですが、詳細な点で悪魔が潜むことがよくある。 対照的に、仮想通貨交換業者が国家免許の対象となる「送金業者」を表すかどうかに関する様々な州のアプローチは、紛らわしく破綻した規制の展望を表すことが多い。

  本稿では、矛盾する可能性のある州によるアプローチの数例に注目する。ここでのポイントは、ニュアンスを解決することではなく、複雑さの現在の状態を強調することである。  

① ニューハンプシャー州:州が「支払手段」または「ストアドバリュー(金銭的価値をそれ自身に蓄えられる)」と見なしていても、「転換可能な仮想通貨」の販売、発行または送付は、送金に関する法規制から除外されている。ニューハンプシャー州の銀行局は、仮想通貨取引のみに従事する事業を規制することはもはやないとの声明を発表した。しかしながら、同声明はまた、「金銭を平等かつ暗号通貨で送金する者は、免許を受ける必要がある」とも宣言している。

 テキサス州テキサス州の銀行局は2019年1月に改訂監督メモを発行した。 結局のところ、テキサス州では、それは「個別ケースによる」としている。 

 つまり、さまざまな集中型仮想通貨を区別する要素は通常複雑で微妙なので、送金業者免許の決定を下すには、局は個別に集中型仮想通貨スキームを分析する必要がある。 したがって、この覚書メモは、マネーサービス法(money Service Act)の送金規定による集中仮想通貨の取り扱いに関する一般的なガイダンスを提供していない。 一方、暗号通貨との取引に関する送金業者免許の決定は、通貨サービス法の下で暗号通貨を「金銭または金銭的価値」と見なすべきかどうかという単純な疑問を投げかける。 

 暗号通貨はマネーサービス法の下ではお金ではないため、後で利用できるようにするか、または別の場所で利用できるようにするかと引き換えにそれを受け取ることはお金の送金ではない。その結果、取引に政府発行通貨(sovereign currency)が関与していなければ、送金は行われない。しかし、暗号通貨取引に政府発行通貨が含まれている場合は、政府発行通貨の処理方法によっては送金となる可能性がある。ライセンスの要否分析は、政府発行通貨の取り扱いに基づいて行われる 

③ ワシントン州: ワシントン州法(RCWs > Title 19 > Chapter 19.230 > Section 19.230.010)Definitions.では 、「送金(money transmission)(11)とは、「送金、引渡し、または別の場所への引き渡しを指示するための「受領またはその同等価値(同等価値には仮想通貨を含む)」を意味する。ワシントン州の金融機関局は、仮想通貨規制についてのガイダンスを掲載している。ここでは、仮想通貨の伝送は、会社が平等通貨で取引するかどうかにかかわらず、ワシントンの送金規制の対象となる可能性があると述べている。

**************************************************************** .

 (注9) BTC-E関しては 、FinCEN No. 2017-03(2017年6月26日)

https: //www.fincen.gov/sites/default/files/enforcement_action/2017-07-26/Assessmentを参照。 

 (注10) 「個人的なマネーオーダー」は、個人によって署名されて受取人に渡される前払いの金融取引文書である。指定された金額でマネーオーダーが発行され、個人用のものは郵便局またはコンビニや食料品店のカスタマーサービスカウンターでも購入することができる。指定金額に手数料を上乗せして発行できる。わが国のように振込・送金システムがない米国では当座取引がない人は小切手発行ができず、また現金やクレジットに代わる送金・支払手段として広く利用されている。

【money orderのプロバイダー別手数料】

 

(注11)ワシントン州法の原文を仮訳する。

(18) 「送金(money transmission)」とは、電報、ファクシミリ、電信振替に限られない各種手段により送金、引渡し、または米国内外の他の場所への送付を指示するための、金銭またはその同等価値(等価値には仮想通貨を含む)の受領を意味する。

「送金」には、開ループ・プリペイド・アクセス(open loop prepaid access) (注12)および支払い手段の販売、発行、または仲介者としての行為が含まれるが、閉ループ・プリペイド・アクセス(closed loop prepaid access.)は含まれない。「送金」には、次のものは含まれない。①インターネットへの接続サービス、電気通信サービス、またはネットワークアクセスの提供、②金銭または仮想通貨のいずれにも交換できない親和性または報酬プログラムで発行される価値の単位、③ ゲームプラットフォーム以外の市場やアプリケーションがないオンラインゲームプラットフォーム内でのみ使用される価値の単位。

(注12) 開ループプリペイドカードは、消費者、企業および政府に、クレジットを必要とせずに電子決済の効率、セキュリティ、および柔軟性を提供する。同カードは、オンラインを含め、カードネットワーク(American Express、Mastercard、UnionPay、Visa)が使用できる場所であればどこでも使用できる。(Canadian Prepaid Providers Organizationの解説から引用)

*************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 


米国の金融犯罪法執行ネットワークFinCENがP2P仮想通貨交換所(個人)に対する最初の罰金を科す(その1)

2019-04-28 12:12:35 | 金融犯罪と阻止策

 2019年4月18日、米国の金融犯罪法執行ネットワーク(Financial Crime Enforcement Network:FinCEN(以下、”FinCEN”という )は、仮想通貨を交換するためのピア・ツー・ピア交換所 (注1)として活動した個人に対する最初の罰金を科した旨発表した。被告エリック・パワーズ( Eric Powers)は、「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法(Bank Secrecy Act:BSA)(注2)に故意に違反している点に基づく「登録」、「プログラム」および「報告の要件」義務違反を理由に告発された。

 筆者は、2013年に公表されたFinCENの「仮想通貨の管理、交換、または使用へのFinCEN規則の適用(FIN-2013-G001)」(以下、「2013年ガイダンス」)」を読んでいたし、また米国法曹協会(American Bar Association)の司法作業部会が2019年3月にまとめた白書「デジタルおよびデジタル資産:連邦および州の管轄権問題」を読んでおり、今回の法執行についいついては特に驚くには値しなかった。しかし、一方では2019年2月17日、ペンシルベニア州銀行証券局(「DoBS」)は、「Bitcoinを含む仮想通貨は、「 ペンシルベニア州の送金事業許可法(MONEY TRANSMISSION BUSINESS LICENSING LAW:Act of Nov. 3, 2016, P.L. 1002, No. 129「Money Transmitter Act:MTA」とも呼ばれる)の下では「貨幣」とは見なされないと宣言したガイダンス「Money Transmitter Act Guidance for Virtual Currency Businesses」を発表した。

  したがって、同ガイダンスによると、典型的な仮想通貨交換プラットフォーム、自動券売機(kiosk)、ATM、または自動販売機の運営者は、ペンシルベニア州の送金業者免許(Money Transmitter Licenses)の対象となる送金業者(money transmitter)を代表しないこととなる。

 その他の州(ニューハンプシャー、テキサス、ワシントン等)等の金融当局の解釈などを見ても混乱は消えていないことは事実である。わが国でも仮想通貨問題は決して解決されていない問題であるが、このような米国の取り組みの混乱と解決策を模索するうえで、あえてFinCENの判断とペンシルバニア州の取組みを比較すべくまとめてみた。

 今回は2回に分けて掲載する。

1.2019年4月18日の米国の金融犯罪法執行ネットワーク(Financial Crime Enforcement Network:FinCEN:FinCEN )による仮想通貨を変換するためのピア・ツー・ピア交換所として活動した個人に対する最初の罰金

 米国ローファームSchiff Hardin LLPのレポート「FinCEN Issues First Penalty Against Peer-to-Peer Virtual Currency Exchanger」仮訳する。なお、必要に応じリンクを追加した。

 被告パワーズは、直接に郵便や電信送金によって、他の個人とデジタル通貨取引を実行し、そして彼のサービスをインターネット上で消費者に直接宣伝していた。彼は個人として活動し、確立されたビジネス・プラットフォームを持っていなかった。彼の活動には、1万ドル以上の通貨を含む200以上の取引、および対面現金取引による約160のBitcoinの購入合計約500万ドル(約5億5500万円)が含まれていた。

 今回のFinCENの発表は、2013年3月18日の「仮想通貨の管理、交換、または使用へのFinCEN規則の適用(FIN-2013-G001)」(以下、「2013年ガイダンス」)」を参照している。同ガイダンスでは、FinCENは転換可能な仮想通貨のピアツーピア交換所は送金業者(money transmitters)であると述べ(注3)、したがって金銭価値交換業に当たる免許(MSB) (注3-2)として登録し、遵守することが求められる。 BSA これを遵守するためには、(1)MSBとしてFinCENに登録する必要があります。 (2)効果的なマネーロンダリング防止(AML)プログラムを確立し実施する。 (3)疑わしい活動報告書(SAR)を提出することにより、疑わしい取引を検出し、適切に報告する。 (4)該当する場合は、通貨取引報告書(CTR)を提出して通貨取引を報告する。 しかし、パワーズはこれらの要件に従わなかった。

 被告パワーズに対する罰金を発表するにあたり、FinCENは、仮想通貨の交換所として行動する人は誰でも2013年ガイダンスに基づく義務を理解するべきであると強調した。この最初の法執行行動において、FinCENは、パワーズがこれらの特定の義務を認識しており、それらを無視することを選択したことを肯定的に指摘した。

 さらに、パワーズは違法行為の強いしるしを示す取引を行った。たとえば、パワーズのbitcoinウォレットアドレスは、ダークネットWebサイトの”Silk Road”(注4) (注5)でビジネスを行っている顧客との100以上の取引に関連しており、総計12,000ドル(約133万2000円)を超えていた。(注6) また、彼はユーザーの位置と身元を隠すために一連の層を通してインターネット・トラフィックを誘導し、ダークネットWebサイトにアクセスするために使用される「急速匿名化サービス(anonymizing torrent services)」(注7)を使用して顧客との一連の取引を行った。 彼はまた1万ドルを超える通貨で多数の取引を行ったが、単一の仮想通貨CTRにファイルすることを怠った。

 今回、科された罰金額には、35,000ドル(約388万5000円)の罰金と業界の法廷弁護士費用が含まれており、他の州または連邦機関によって科された罰金、制裁金、および救済措置と同様に、10万ドル(約1,110万円)および237.53575ビットコインの額で科された民事または刑事上の没収を含む。(注8) 金銭的な罰則はもっともっと深刻だったかもしれない。 しかし、これらの罰則を発表するにあたり、FinCENは、パワーズが調査に協力したことに注目するよう指摘した。 

**************************************************************** .

 (注1)  一般的に用いられるクライアント・サーバ型モデルでは、 データを保持し提供するサーバとそれに対してデータを要求・ アクセスするクライアントという2つの立場が固定されているのに対し、P2Pは各ピア(対等の立場で通信を行うノード、または通信相手のこと)がデータを保持し、他のピアに対して対等にデータの提供および要求・アクセスを行う自律分散型のネットワークモデルであり、サーバまたはクライアントのそれぞれの立場に固定されることはありません。

P2Pの分類として、データの所在を一括保持するサーバを持つハイブリッドP2P、 そのようなサーバを持たないピュアP2P、 処理能力の高いノードが自発的にデータの所在を探索・保持するスーパーノード型P2Pがあります。(日本ネットワークインフォーメーションセンタから一部抜粋)

(注2) わが国では「Bank Secrecy Act」を「銀行秘密法」と直訳されるケースが未だに多い。

 これでは何が秘密なのか、誰の秘密なのかが分からない。同法は、現在では「愛国者法」に基づく改正も行われており、テロ資金防止法(BSA/AML)と引用されることが多いが、1970年に制定された当時は脱税のための資金洗浄阻止も重要な目的であったようであり、企業に対する同法の報告義務に関し、連邦財務省内国歳入庁(IRS)が多く関与している。分かりやすく言うと「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法」である。つまり、報告義務を課されるのは、狭義の金融機関(規制内容や罰則は金融機関の場合が厳しいが)だけでなく、現在は外国の銀行に金融資産を有する企業、さらに貴金属・宝石取扱業者もFinCENへの報告義務が課されるなど範囲が広がっている。IRSのサイトでは企業向けにBSAについて報告義務の内容や罰則規定についてQ&A等で詳しく説明している。(2009.4.3 筆者ブログの(筆者注4)参照)

(注3)「送金者」という用語は、連邦行政規則集第31巻§1010.100(ff)(5)で定義されている。

以下で、31 CFR § 1010.100(ff)(5)の原文を引用する。.

(5)Money transmitter - 

(i)In general. 

(A) A person that provides money transmission services. The term “money transmission services” means the acceptance of currency, funds, or other value that substitutes for currency from one personand the transmission of currency, funds, or other value that substitutes for currency to another location or person by any means. “Any means” includes, but is not limited to, through a financial agency or institution; a Federal Reserve Bank or other facility of one or more Federal Reserve Banks, the Board of Governors of the Federal Reserve System, or both; an electronic funds transfer network; or an informal value transfer system; or 

(B) Any other person engaged in the transfer of funds. 

(ii)Facts and circumstances; Limitations. Whether a person is a money transmitter as described in this section is a matter of facts and circumstances. The term “money transmitter” shall not include a person that only: 

(A) Provides the delivery, communication, or network access services used by a money transmitter to support money transmission services; 

(B) Acts as a payment processor to facilitate the purchase of, or payment of a bill for, a good or service through a clearance and settlement system by agreement with the creditor or seller; 

(C) Operates a clearance and settlement system or otherwise acts as an intermediary solely between BSA regulated institutions. This includes but is not limited to the Fedwire system, electronic funds transfer networks, certain registered clearing agencies regulated by the Securities and Exchange Commission (“SEC”), and derivatives clearing organizations, or other clearinghouse arrangements established by a financial agency or institution; 

(D) Physically transports currency, other monetary instruments, other commercial paper, or other value that substitutes for currency as a person primarily engaged in such business, such as an armored car, from one person to the same person at another location or to an account belonging to the same person at a financial institution, provided that the person engaged in physical transportation has no more than a custodial interest in the currency, other monetary instruments, other commercial paper, or other value at any point during the transportation; 

(E) Provides prepaid access; or 

(F)Accepts and transmits funds only integral to the sale of goods or the provision of services, other than money transmission services, by the person who is accepting and transmitting the funds. 

(注3-2) MSBの定義に関し、FinCENの定義仮訳する。

「マネーサービス事業」という用語には、以下のうちの1つ以上の能力において、定期的にまたは組織的なビジネスにかかるかどうかにかかわらず、ビジネスを行うすべての法人・個人が含まれる。

(1)通貨のディーラーまたは交換業者。

(2)小切手交換業者(Check caher)

(3)トラベラーズチェック、マネーオーダーまたはストアドバリューの発行者。

(4)トラベラーズチェック、マネーオーダー、またはストアドバリューの売主または償還者。

(5)送金業者(Money Transmmitter)。

(6)米国郵政公社。

1つ以上のトランザクションで、1日1人当たり1,000ドルを超える活動しきい値が(2)~(5)の定義に適用される。

この しきい値は各アクティビティーに個別に適用される。しきい値が特定の活動に対して満たされていない場合、その活動に携わっている人はその活動に関してはMSBではない。

(注4) デジタル資産(注5)の分野におけるFinCENのガイダンスおよび法執行措置に関するリリースおよび「仮想通貨の管理、交換、または使用をする人へのFinCEN規則の適用について(Application of FinCEN's Regulations to Persons Administering, Exchanging, or Using Virtual Currencies)」等のより詳細な説明については、米国法曹協会(American Bar Association)の司法作業部会が2019年3月にまとめた白書「デジタルおよびデジタル資産:連邦および州の管轄権問題(Digital and Digitized Assets:Federal and State Jurisdictional Issues)Prepared By:American Bar AssociationDerivatives and Futures Law CommitteeInnovative Digital Products and Processes SubcommitteeJurisdiction Working Group March 2019を参照されたい。(Schiff Hardin LLPの原稿に筆者が調べた範囲で追加した)

(注5) デジタル資産とは、写真、テキスト、イラスト、ビデオ、オーディオ、CADなど素材データからカタログ、グラフィックデザイン、映像、WEBなどのコンテンツまで、デジタル化された情報資産をいう。

(注6) シルクロードは2011年2月にDeep Web上に作られたマーケットプレイスです。Deep Web(深層ウェブ)上のヤフオクみたいなものです。

 ただし、ヤフオクとの大きな違いは、シルクロードは薬物、銃、流出クレジットカード情報など違法なものや情報の取引に使われていたこと。もう一つは唯一の決算手段としてビットコインが使われていたことです。

 現在でもまだまだ一般のビジネスや店舗での導入が進んでいないビットコインですが、シルクロードはあまり使い道のなかったビットコインの半匿名性を利用し、ビットコインの応用方法として一つの可能性を示しました。もちろん好意的に解釈すればですが。

 当然、薬物や銃器などの取引は違法です。結果として、2013年10月に創設者と考えられている Ross William Ulbricht、通称"Dread Pirate Roberts"(恐ろしい海賊ロバート)はサンフランシスコの図書館にてFBIに逮捕されました。それと同時にシルクロード自体もFBIにより閉鎖され、Ulbrichtが保有していたとされる144,000BTC(当時のレートで28億円程度)もFBIに回収されました。(ビットコインの⿊歴史 Silkroad(シルクロード)編から一部抜粋)

(注7) 2013年10月2日、連邦法執行機関(FBI)は、麻薬、悪意のあるソフトウェア、偽造品、およびその他の違法な製品の市場としての役割を果たしていると主張し、Silk Roadサイトを閉鎖し、押収した。資金源を隠すことによってサービスを提供し、マネーロンダリングを促進した。

(注8) Torrentでは、ファイルを1つのサーバーだけに置くということはない。何十台というパソコンやサーバーに分散してファイルを置くことで、1つのパソコンにかかる負荷を軽減することができる。そうすることで、大容量ファイルを多くの人が高速でダウンロードできる仕組みになっている。

*************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 


中国の国務院・公安部が新しい個人情報保護ガイドライン《互联网个人信息安全保护指南》を最終版を発表

2019-04-24 15:10:32 | プライバシー保護問題

 筆者は、これまで中国のサイバーセキュリティ法やガイドライン草案および関係法制整備の動向につき、順次とりあげてきた。(筆者注1)その後の中国の動向を見るとサイバーセキュリティ規則案の意見公募等の具体的な取組として2018年6月27日、中国の中华人民共和国公安部(以下、「MPS」という)は、パブリックコメントのために、サイバー・セキュリティ・マルチレベル保護スキームに関する規則案(以下「規則案」)を発表した。

 また、2018年9月30日、中国の公安部は、公安機関によるインターネットセキュリティの監督及び検査に関する規則(以下「規則」と称する)を発表した。 2018年11月1日の施行であった。

 筆者は、中国のサイバー・セキュリティ問題、インターネット・セキュリティ問題と進んできたが、残された重要問題は個人情報保護であろうと考えていたところ、2019年4月19日、中国のMPSが「インターネット個人情報セキュリティ保護のためのガイドライン(《互联网个人信息安全保护指南》) (以下、「ガイドライン」という)」の最終版を発表した旨の記事が手元に入ってきた。

  同ガイドラインの以前のバージョンは、2018年11月30日に一般のコメントのためにリリースされている。 

 今回のブログは、このニュースにつきローファームのブログChinas Ministry of Public Security Issues New Personal Information Protection Guidelineの内容を中心に仮訳、概観する。

1.中国の当局のサイバーセキュリティ法規制にかかるこれまでの取組み

 中国のサイバー・セキュリティ法(以下、「CSL」という)では、MPSはサイバーセキュリティの保護とサイバー犯罪の防止を目的とした主要な規制当局となる。「サイバーセキュリティ・マルチレベル保護スキームに関する規則案(draft Regulations on Cybersecurity Multi-level Protection Scheme (the “Draft MLPS Regulation”)」(前回の記事で議論している)および「公安機関によるインターネット・セキュリティの監督および検査に関する規則(同じく以前に議論している)」の発布後、2018年にこの新しいガイドラインのリリースは、CSLを実装するためにMPSが行った最新の取り組みを表している。

2.インターネット個人情報セキュリティ保護のためのガイドライン

(1) ガイドラインの目的および既存の「GB / T 35273-2017情報セキュリティ技術: 個人情報セキュリティ仕様」との関係

 今回のガイドラインの目的は、①サイバーセキュリティと個人の正当な利益を保護すること、および②個人情報を含むサイバー犯罪を効果的に防止することである。法的拘束力のある管理規則としては発行されていない。政府機関とその地方の協働機関(すなわち地方公安局(local public security bureaus: PSB))によって実施されるサイバー・セキュリティ検査の重要な参考資料として役立つ可能性が高い。 

 また、今回のガイドラインは、2018年5月1日に施行された個人情報保護に関する中国の国内規格である「GB / T 35273-2017情報セキュリティ技術: 個人情報セキュリティ仕様 (以下、「規格」という)」と大部分が重複している。

 現段階では、このガイドラインが他の既存の規制や国内規格とどのように相互作用するのかは不明であるが、「不可欠」な参照.ガイダンスとしてのこの規格を参照すべきであろう。さらに、この新しいガイドラインは、企業・組織等のサポートと実装に関する技術的対策の両方の観点から、会社のサイバーセキュリティ・インフラストラクチャに関するより規範的な要件を提供している。

(2) ガイドラインの重要な要件

(a)適用範囲 

 このガイドラインは、情報のライフサイクルの間に「個人情報を管理および処理する」エンティティまたは個人として定義される用語である「個人情報保有者」によって収集された個人情報を保護することを目的としています。 このガイドラインは、個人情報の「管理者」と「処理者」を区別していないため、両方の種類の事業体に適用される。 

 また、このガイドラインはインターネットを介してサービスを提供している会社、およびプライベート・ネットワーク(専用ネットワーク:专网)またはその他の種類のオフライン環境を使用して個人情報を管理および処理する組織または個人を指導するように設計されている。 

(b) 情報システムの分類、内部組織および技術的対策 

 このガイドラインは一般に、国家安全保障、社会秩序、およびシステムが損傷または攻撃された場合の経済的利益への相対的な影響に従って、中国に物理的に位置する情報システムを分類するマルチレベル保護スキームの下で確立されたフレームワークに従う。 分類レベルは1〜5の範囲で、1が最も重要度が低く、5が最も重要度が高くなる。 情報システムを分類するために、オペレータは最初に自己評価を行い、次にこれに基づいてMPSに分類レベルを提案します。MPSは、オペレータによって提案された分類を確認または却下する裁量を持っている。 レベル3以上に分類される情報システムは、強化されたセキュリティ要件の対象となる。 

 このガイドラインは、個人情報を保護するために、個人情報保持者に幅広い内部方針およびプロセスを実施することを求める。 これには、このプロセスを監督し、これらの内部ポリシーを定期的に発行し、レビュー、および監査するための専用グループを含む組織統制の整備が含まれる。それはまた、雇用、スクリーニング、および従業員の訓練という観点から、人的セキュリティ対策を課すことを要求する。さらに、このガイドラインでは、本人確認、記録保存プロトコルなどを含む、社内外の要員のためのアクセス制御要件を規定している。

 また、個人情報保持者は、ネットワークの分離、識別と認証の管理、重要なネットワーク機器の重複性の管理、データのバックアップと復旧の管理、セキュリティ監査、システムと通信のセキュリティ、コンピューティング環境など、ネットワーク・インフラストラクチャを保護する技術管理を採用する必要がある。コントロール 特に、このガイドラインでは、クラウド・コンピューティング仮想マシン(注2)の移行プロセスのための暗号化保護、および「モノのインターネット」デバイスを介したデータ収集と伝送が必要であるとしている。

(c) 個人情報のライフサイクル全体にわたる保護 

 このガイドラインは、個人情報の収集、保持、使用、削除、第三者による処理、共有、譲渡、および開示を含む、個人情報保持者が情報ライフサイクルを通して個人情報を保護する方法に関する詳細な要件を規定している。 

 このガイドラインでは、個人情報を第三者に共有または転送する前に「同意」を得ること、さらにはそのような情報を公に開示する前に「明示的な同意」を得ることさえ求めている。ただし、標準とガイドラインの両方で、この要件にはいくつかの例外があり、すなわち、ガイドラインの下では、共有、譲渡または公開が以下に直接関連する場合は、「同意」および/または「明示的な同意」は必要とされない可能性がある。

① 国家安全保障および/または国防 にかかる問題

② 公安、公衆衛生または重要な公益にかかる問題  

 ③ 犯罪捜査、起訴および法執行にかかる問題 

  さらに、本ガイドラインは、個人情報保持者が人種、民族的出身、政治的意見、または宗教的信念に関連する機密の個人データを大規模に収集または処理することを禁止している。

  個人情報保持者は、以下の種類の個人情報を公に開示することも禁じられている。 

① バイオメトリック・データ 

② 遺伝子的および健康に関するデータ 

③ 人種、民族的出身、政治的意見、または中国国民の宗教的信念に関するデータから生成された分析データ 

 また、ガイドラインはデータ主体が自分のデータにアクセスし、修正し、そして/または削除する権利など、規格(GB / T 35273-2017)に似たその他の要件をいくつかを提供している。 

 (4) 国内でのデータ保存と個人情報の国境を越えた移転 

 本ガイドラインによると、中国の個人情報保持者によって生成および収集された個人情報は、中国内に保管され、国境を越えたデータ移送が必要な場合は特定の規則に従う必要がある。 CSLの下では、このデータ・ローカライゼーション要件の対象となるのは、重要情報インフラストラクチャ(CII)の運営者のみである。本ガイドラインがこの要件の範囲をすべての管理者と処理者に拡大するつもりであるかどうかは不明である。

 また、クラウド・プラットフォームに保存されている個人情報について、ガイドラインでは特にそのような情報を中国国内にのみ保存することを要求している。そうでなければ、国境を越えたデータ移転が必要な場合、特定の規則が適用されます。 ガイドラインは、これらの「特定の規則」が国境を越えたデータ転送に必要なものかをまだ説明していない。

(5)データ 漏えい時のデータ主体への通知義務

 このガイドラインでは、個人情報の保持者に対し、この基準に従って、インシデント対応計画を維持し、定期的な訓練と緊急訓練を実施し、規制当局と影響を受けるデータ主体にセキュリティ・インシデントを「通知」することを求めている。 規格(GB / T 35273-2017)とは異なり、ガイドラインでは、地方公安局(PSB) (注3)はインシデント発生後に通知されることが明確に規定されている。ただし、 ガイドラインでは、「通知」の具体的な期限については触れず、「適時」にする必要がある。さらに。個人情報保持者は、漏えい後のPSBの調査および関連証拠の収集を支援し、特定されたリスクを軽減することが求められている。

*************************************************************

(注1) 筆者がブログで取り上げた主なものは、以下のとおりである。

①2017.9.9 福田平治「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解」

 ②2019.9.7 福田平治「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その1)」 その2~4は未定稿

 ③ 2017.8.1「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1)」

 ④ 2017.8.1 「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その2)」

 ⑤ 2017.8.1 「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その3)」

 ⑥2017.8.1「中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その4完)」

 なお、中国のCyber Secutity Law成立までのタイムラインをKPMGがまとめているので引用する。

 

 (注2)クラウドコンピューティングにおいて仮想化はハードウェア仮想化のことで、オペレーティングシステム(OS)内に仮想マシンを作成することを意味します。

なぜ仮想化するのか?」

通常、OSを実行するときは、それぞれの OS を専用の物理サーバー上で実行する必要があります。1 つのオペレーティングシステムにつき 1 つの物理サーバーが必要なため、複数のオペレーティングシステムを同時に実行する必要がある場合は複数のサーバーが必要です。これは、複数のオペレーティングシステムを実行するためには費用がかかるということを意味します。多くの物理サーバーを購入する必要があるだけでなく、これらのサーバーの運用と保守にも多くのコストや労力がかかります。

「仮想化 - より良い選択肢 -」

仮想化は、基盤となるハードウェアとオペレーティングシステムを分離することができます。WindowsやLinuxといった複数のオペレーティングシステムであっても、同一の物理マシン上で動作します。これらのオペレーティングシステムはゲストOSと呼ばれます。仮想化環境ではコストと時間の節約が可能です。(Alibaba Cloud「仮想化とは?」から一部抜粋)

(注3) 地方公安局(PSB)の例として北京市公安局のHP参照。

***********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution


タイ王国のサイバーセキュリティ法および個人情報保護法が国民立法議会で可決(その2完)

2019-04-12 17:32:08 | プライバシー保護問題

(4) 個人データの収集にあたってのデータ主体への通知義務 

 個人データの収集は合法的な目的のためであり、データ管理者の活動に直接関連し、そのために必要でなければならない。データ管理者は、個人データの収集前または収集時に、次の事項をデータ主体に通知する必要がある。

  1. 収集の目的  
  2. 収集される個人データの内容 
  3. 個人情報が開示される可能性のある人 (個人・法人)
  4. データ管理者の連絡先情報
  5. データ主体の権利 

 これらの情報は通常、収集にかかる通知として提供される。 

 法草案に定められた限られた状況下を除いて、個人データはデータ主体から直接収集されなければならない。また、宗教的信念、政治的嗜好、性的行動、または医療記録などの機密性の高い個人データの収集は、法草案または省令で定められた限られた状況下を除き、禁止される。機密データの収集に関して許可されている状況の例には、1)個人の生命、身体または健康への危害を保護または防止するため、あるいは2)データ管理者の法的要件を遵守するために機密データが収集される場所が含まれる。

(5) 個人データのタイの国境を越えた転移 

 以下の場合を除き、個人データは、厳格なデータ保護措置を講じ、個人データ保護委員会が定めるガイドラインに従って、その国に移転することができる。 

  1. 移転は、適用される法律に従って行われる。
  2. 同意はデータ主体から得る。 
  3. 移転は、データ主体とデータ管理者との間で締結された契約に準拠する。
  4. 移転は、同意を与えることができないデータ主体の利益のため、 
  5. または省令で別段の定めがある場合に行いうる。

(6) データ主体の権利 

  データ主体は、データ管理者によって保持されている自身の個人データにアクセスするか、またはそのような個人データが同意なしに収集された場合には情報源の開示をデータ管理者に要求する権利を有する。 データ管理者が法草案の規定を遵守しなかった場合、データ主体はデータ管理者に個人データの削除、破棄、一時的な使用の停止、または匿名化を要求することができる。

(7) 民事罰と刑罰 

 法草案の規定に違反した場合、民事上および刑事上の罰則がデータ管理者に科される可能性がある。

(8) 既得権条項 (Grandfathering provisions)

 データ管理者は、以下の条件で、法草案が施行される日より前に収集された個人データを引き続き使用することができる。

1.そのような個人データは、最初に収集された目的のためにのみ使用される。

2. データ主体が自分の個人データの削除を容易に要求できるようにするメカニズムがデータ管理者によって利用可能になり、公表される。 

***********************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.