英国の個人データ保持立法に係る法令体系の現状と高等法院判決等をめぐる新たな法的課題(その２)

Last Updated :October 25,2016

４．Graham Smith氏のブログの仮訳

Graham Smith氏

　2014年7月12日付けの 英国の弁護士Graham Smithの”Cyberleagle”blog「DRIP法を解剖する－緊急的に立法された「データ保持および捜査権限法案」(Dissecting DRIP - the emergency Data Retention and Investigatory Powers Bill)」を仮訳する。(筆者注11)なお、本ブログの関係データへのリンクは決して十分ではない。筆者の責任で追加してリンクを張った。 

(1)DRIP Actの立法手続きの問題点

　CJEUがEUデータ保持指令を無効として判決の3か月後に、英国政府は「2009年データ保持規則(2009 Data Retention Regulations)(以下「保持規則」という)」を代替するための緊急立法により突然大急ぎの対応を開始した。それらの規則（英国の「1972年欧州共同体法(European Communities Act)」のもとに作られた）は、まだ名目上は実施されているが、EU保持指令に対するCJEUの審査には非常に弱いものであった。 

　DRIP法は、何を目的とする法律か？、それだけの材料がそのような短い通知で現れ、よく考えた分析は難しい。筆者(Graham Smith)は、同法に対する若干の第一印象を本稿で述べる。 

○DRIP法案は、2014年7月11日午後に内務省のウェブサイトに載ったその付随的・暫定的な内容の関係規則草案とともに、無理に四角を円にしなければならなかった。理想的には、同法案はCJEUがECのデータ保持指令が無効であると考えた約15項目のEUの基本的な人権侵害問題に焦点をあて、妥当と考えられる試みが行われるべきであった。しかし、2016年12月末日を期限とするDRIP法の「サンセット条項」が効き始めるまで、内務大臣テレサ・メイは下院宛7月10日付けの声明を送らなければならなかった。 

○実際、DRIPは四角を円にはできない。事実、新しく発表された影響評価(Impact Assessment) (筆者注12)では、法律がすべてのECJの問題指摘を解決するというわけではないことを認める。そして、「可能な場所で」かつ「実行可能な範囲で」ECJ判決について述べるだけであると主張する。また、「ECJの判断を無視するものとして理解される危険」も認める。 

［筆者(Graham Smith)の更新補追：2014年7月16日、英国議会の人権に関する合同委員会は、パラグラフ33（8頁）の内務大臣あてメモにおいて、DRIP法案は、既存の国内法と共に、ECJの判決において述べられるEU保持指令の大部分の問題点があると批判的に申し入れた。同委員会は「英国法を満足させるか、満足させるべく正確に、政府の分析であるすべての問題（CJEU判決のパラグラフ54～68で述べられる必要条件の各々から出発しているさらに仔細なメモ)」に対する説明を「欧州人権条約：ECHR(European Convention on Human Rights )」メモとして提供するよう内務大臣宛てに、手紙を出した。］ 

(2)DRIP Actの内容から見た問題点

○我々は、2つの単純な質問を作ることができる。 

1. Does DRIP merely maintain the status quo?

　DRIPは、単に現状を維持するだけの法律か？ 

2. If so, how far is maintaining the status quo permissible in the light of the ECJ decision?

　もしそうなら、ECJ判決に照らしてどれくらい、現状法は許され、保持されることが可能か？ 

○しかし、第一に、我々はDRIPは英国「2009年データ保持規則(2009 Data Retention Regulation)」に十二分に置き換わる以上のものであると認めざるをえない。それは、通信傍受令状(interception warrants)、傍受能力と通信データの実質的な変更を2000年「公的法執行機関による通信の監視・捜査・通信傍受や遮断等の権限規制に関する法律

(Regulation of Investigatory Powers Act ：RIPA)」の規定にアクセスさせる。内務大臣は、データ保持法と異なる原則すなわち、特にRIPAの妨害と通信データ収集の準備規定の適用領土の範囲をはっきりさせる切迫した必要性をもって、これらの改正を正当化した。これらは、DRIP Actのデータ保持とは直接関わらない側面である。 

DRIP Actの第4条(Extra-territoriality in Part 1 of RIPA)は、それがRIPAを通信サービスを英国市民に提供する非英国企業に適用することができなければならないという政府の懸念に対処したものである。

第5条(Meaning of “telecommunications service”）は、テレコミュニケーション・サービスに関する旧法たるRIPA の定義を広げる。同法の注記(Explanatory Notes)を見ると、weｂメール・プロバイダーが明らかに対象となるということになっている。そのような変更には、データ保持への含みがDRIPに垣根を越えるクロスオーバーする点にある。 

第3条(Grounds for issuing warrants and obtaining data)は、更なる規制を通信傍受令状と通信データ収集通知が出されることに更なる制限ができるとする一般的な目的を置く。これは、既存の実務規範(codes of practice)と合致するようにRIPAを適用させる。 

○非データ保持にかかる改正のメリットが何であれ、なぜそのような無謀な速度で議会を通して急速に発展する緊急立法を要求するかにつき、疑問の余地がある。議会は、ECJのデータ保持違法判決に続いて主要な法律の政府の切迫した必要に関して肩車(piggy-back ride)に乗っているように見える。 

○データ保持に関して、DRIP Actは単に現状を維持するだけか？

条項第3条～5条は別として、データ保持のために、DRIP Actが単に現状を維持するだけであるという主張に集中しよう。具体的に、次の3つの質問に分けて論ずる。

① 同じプロバイダーは、データを保持することを従来どおり要求されるか？  

② プロバイダーは、同じデータを保持することを要求されるか？ 

③保持期間は、従来と同じか？ 

①同じプロバイダーは、データを保持することを前の通り要求されるか？問題

　この問題につき、政府の説明が、既存の1組の定義からもう一つまで動いており、より良い手段に改めるといった点からも、これは答えるのが難しい。陰謀理論家はどうも怪しいである。この分野が悪名高い反啓蒙主義者的な立法のもう一つの例を記録するかもしれない。 

　「2009年データ保持規則は、EU内で一般的に公開されている「電子通信サービス」の定義とEU通信フレームワーク指令(DIRECTIVE 2002/21/EC OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL)（「2003年通信法(Communications Act 2003)」により英国で国内法化された）の「ネットワーク」の定義に基づいていた。 

　しかし、DRIP ActはそれらのEUの定義を捨てて、その代わりに公共テレコミュニケーション・システムとサービスにつき英国独自のRIPA定義を採用した。次に、それは14年間実施されてきたにもかかわらず、それを改めた点である。 

　なぜ、立法の意図が現状維持ということであるなら、DRIPは単に2003年通信法の定義を使い続けないのか？同法の注記（Explanatory Noteのパラグラフ56） (筆者注13)では、これが「アクセスと保持体制につき全体に均一な定義を明確にする」ことであることと記載されている。 

　これらの変更が、既存の「2009年規則」より広いネット事業者を対象とするかどうかは、現段階では誰にもわからない。それは、2つの定義のセットとトラック１台分の仮定による詳細な比較を要求する。しかし、極めて明白であることは、DRIPがRIPAの定義を広げるということである。 

　従来のRIPA法第2条第2項の「データ通信サービス(telecommunications service)」の定義は、「アクセスや使用することのための施設（テレコミュニケーション・システム）、およびアクセスの供給」にあるサービスに関して定義される(原文：“telecommunications service” means any service that consists in the provision of access to, and of facilities for making use of, any telecommunication system (whether or not one provided by the person providing the service)。つまり、テレコミュニケーション・システムに関連する2つの別々の要素(two discrete elements)がある。

　一方、DRIP第5条は、RIPA定義が「送信による通信の創造、管理または蓄積を容易にすることを含むか、そのようなシステムによっても送られる」サービスをカバーすると定める。 

　法案の注記（パラグラフ71）(筆者注14)では、これがインターネット・ベースのサービス（例えばwebメール）を提供する会社が対象となることを確実とするために適切であることされている。注記(パラグラフ18) (筆者注165では今回の改正が「通信データと通信傍受の要請」目的であることになっているが、それもDRIPの下での新しい義務的なデータ保持体制にあてはまる。 

　表面上は、今回の法改正は、まさにwebメールだけでなく、いかなるリモート・ストレージ・サービス(remote storage service) (筆者注16) （RIPA　法の下の「コミュニケーション」の意味が、効果的に送信ができる何でもありうることを心に留めておくべきである）にでもあてはめることができた。「容易にする」という言葉は、幅広い解釈のための赤旗である。これが非常に広い範囲の活動をカバーする明らかな可能性がある。それは、正確に最も完全な議会による詳細な調査に値する規定のタイプといえる。  

　RIPAの今回の改正に関して、内務省は、サンデー・タイムズ（2014年7月13日、同紙の会員のみ閲覧可）で次のとおり報告した。「同法案は、現在の定義が解釈されなければならない方法をはっきりさせる。しかし、これは内容の変更や、新しいサービスを対象とするためにRIPAの定義の意味を広げることではない。」　これは、たわごとである。事実、改正案は、BがAの範囲にない何もカバーしないまで、B.を含む範囲を拡大するという趣旨から、新しいサービスは対象となる。たとえ異なる見解BがAの範囲内でものを実際カバーしないかどうかに存在するかもしれないとしても、改正が新しいサービスを対象とする『ことができない』ことを示唆することはナンセンスである。

 ②プロバイダーは、同じデータを保持することを要求されるか？

　法案注記は、DRIP通知(DRIP notice)（すなわち一般のテレコミュニケーション会社への閣内大臣による通知）では既存の法律に定められているそれらに更なるデータ・タイプの保持を求めることができない点を強調する。これは2009年保持規則の附則に『関連した通信データ』を定めることによって達成される。そして、それはCP(中央処理装置)で保持することが要求されることができるデータ通信の特定のタイプを述べることで可能となる。

 　また、定義はそれが関係するテレコミュニケーション・サービスを供給するところの公的なテレコミュニケーション・オペレーター(PTO)によって英国で発生するか、処理される限りだけ、そのようなデータが対象となるという重要な資格取得を達成する。言い換えると、PTOはそれらサービスを供給する過程においてそれを生み出さないか、処理しないならば、データ保持は要求されることはない。

　通常、この点は忠実に2009年保持規則を複製したように見える。しかし、テレコミュニケーション・サービスとシステム（前記参照）のRIPA定義の採択とその改正は、「関連した通信データ」に含まれるデータの範囲におそらく影響を及ぼすことになろう。 

③保持期間は、同じであるか？

　従来の「2009年規則」は、12ヵ月間の保持を命ずる。DRIP法案（法案の明らかな欠陥に従うと）は、最大12ヵ月の保持期間を定める。その一方で、異なる目的のためにより短い期間が指定されることを可能とする。 

　すなわち、同法案の欠陥とは、DRIP actの第1条第4項(b)の下で最大の保持期間を適所に指定していないならば、閣内大臣は12ヵ月より長く保持を必要としている第1条第2項(c)の下で通知を明らかに出すことができるというのである。実際に政府がこれを可能と考えているとは信じ難い。規則草案(draft regulations)の規定は、明確に12ヵ月の保持最大期間を特定している。 

(3)データ保持のために現状を維持することは、ECJ判決後に許されるか？

　下院と上院議員に肯定的な決議を要求する第二の立法行為を通して実行されることになっている時から、新しい政府の新たな立法の意図はECJが何ゆえにデータ保持指令を無効にしたかという点がまず最初に不明だったという根拠に対処する点にあった。

　現在、公になっているDRIP法案、暫定的な草案規則はECJ判決について述べることつながるが、しかし、何かの一般的な義務的なデータ保持がECJ判決において確認されたより基本的な問題のいくらかにどのように対応することができたか見ることは常に難しい。  

　CJEU判決において確認されるそのあらゆる異議を置くことを目的とするECJが国家の立法で独立して解決されなければならない自己永続的な問題であるかどうかについての議論の余地が、あるかもしれない。、もしそうならばなんて、それぞれは克服されなければならないであろう。それは、以下の点を念頭に置くべきであろう。 

①ECJは、EUの基本的人権と自由に関するEU憲章(EU Charter of Fundamental Rights and Liberties)のEU立法との互換性を評価した。 

②2014年4月30日に下されたECJのレーガー判決の後であるが)、国家の立法はEU憲章に従わなければならないことは大いにありそうであり、エセックス大学のスティーヴ・ピアー(Steve Peers)教授によって説明される理由で、教授が指摘した点に注目するが、国家の法律もEU人権憲章に従わなければならないかどうかの問題は、同法廷では論じられなかった。 

　国内法の立法では、彼らがEU憲章に従う方法で、一定の自由裁量権(latitude)（意見を持ち込む余地）を持ちうるであろう。 

③ECJ判決は、ストラスブールの欧州人権裁判所(Cour européenne des droits de l'homme)が条約に関して行ったより厳しい標準を人権憲章のもとにいくつかの点で適用したかもしれない。もしそうならば、それは可能性の上でそれを開けることができた内務大臣は、ECJ判決のすべての面に対応しているというわけではない一方で、ヨーロッパ人権条約のDRIPの迎合性を保証するかもしれない。 

(4)CJEU判決との比較を踏まえたDRIP Actの問題点

　いずれにしても、主要な影響評価は、現在、政府がECJ判決の完全な意味に対応しようとしなかったことをある程度はっきりさせた。 

　こういうことは心に留めるべきあり、データ保持指令を無効にするだけのECJ判決の根拠をリストして、DRIP Actがどのように同判決の対応の有無を考えることは、有益であり、以下一覧にまとめる。〔最新版：政府はそれ自身に比較している注を今回は発布した〕。

 

(5)DRIPをRIPAにつなげる

　政府は、ECJ判決の意味にいくらか対処するために通信データへのアクセスを決定するRIPAの必要性、バランスと安全装置規定に頼っている。 

　しかしながら、RIPAは、保持された通信データにアクセスするのに用いられることができる唯一の法律ではない。RIPAの安全装置を楽しまない他の権限が、存在する。他の特定されない権限の使用は、の通信データ・実践コード（パラグラフ1.3）では無視されるが、禁じられていない。 

　2012年に提案された「通信データ法案(Communications Data Bill )」(筆者注18)は、そのような権限が通信データを得るのに用いられるのを妨いだ。第24条の草案注記は、以下のように記載していた。： 

「123：この条項は、法案の附則2を彼らは公的当局にオペレーターの同意を得ることなく通信データのテレコミュニケーション・オペレーターによって発表を確保するのを可能にする限りにおいて、特定の一般的な情報力の撤回をもたらす。したがって、第24条は、オペレーターが得て、関連した法令のフレームワークが第8条およびEU指令2002/58/EC（プライバシーと電子通信に関する指令）の実質的な保護をはっきりと保証する場合,通信データを明らかにする法律によって必要とされないことを確実とする」 

　ECJ判決の遵守性を評価する際に、DRIPがRIPAの安全装置と共に読まれなければならないという議論は、類似した安全装置を持っていないかもしれない他の権限が存在するならば、維持するのが難しい。。したがって、DRIPは、RIPA にもとづく承認と通知への義務的に保持されたデータへのアクセス、裁判所命令または他の裁判の認可または正当な理由を制限することによる第1条第6項またはDRIPの下の規則でこれに取り組む。暫定的な草案規則のパート3も、この制限を「Anti-terrorism, Crime and Security Act 2001」第102条の下で自発的に保持されるデータに適用する。

 ○DRIPのRIPAに関する規定

　DRIPの新しい規定は、前に簡単に述べたとおり、第4条および第5条を含む。法案注記によると、RIPAが2000年に制定されたとき、これらの処置は現在の法律の意図をはっきりさせることを目的とするだけで、したがって、議会の詳細な精査を受けた。

 Last Updated October 25,2016

****************************************************************

(筆者注12) スミス弁護士は7月22日付けのブログ「Mandatory communications data retention lives on in the UK -or does it?」でもDRIP Actの立法上の問題点や関係者の動き等を取り上げている。本ブログで取り上げたレポートと併せて読まれたい。

 (筆者注13) 国土交通省国土技術政策総合研究所 「英国の規制インパクト評価について」参照。  

(筆者注14)スミス氏のブログでは注記パラグラフ53となっているが、正しくは「56」である。参考まで「パラグラフ56」の原文を引用しておく。なお、スミス氏には別途訂正されたい旨メールしておいた。 

”This section inserts a new subsection into section 2 of RIPA. New section 2(8A) makes clear that the definition of “telecommunications service” includes companies who provide internet-based services, such as webmail.” 

(筆者注15) スミス氏のブログではパラグラフ71に定めると書かれているが、内容から言ってこれは56の誤りではないか。ちなみに、56の文言は下記のとおりである。

Meaning of “telecommunications service”. 

56.This section inserts a new subsection into section 2 of RIPA. New section 2(8A) makes clear that the definition of “telecommunications service” includes companies who provide internet-based services, such as webmail. 

(筆者注16)18.The Interception of Communications and the Acquisition and Disclosure of Communications Data codes of practice, made under section 71 of RIPA, specify that interception warrants can only be issued and communications data can only be obtained on the grounds of economic well-being when specifically related to national security. This Act makes this clear in primary legislation. 

(筆者注17) リモート・ストレージとは、遠隔地のサーバなどに設けられ、手元のコンピュータからネットワークを介してアクセスできるようになっている記憶装置。また、その中に設けられた特定のソフトウェアのためのデータ保存領域。インターネットなどを通じてリモートストレージを提供するサービスをリモート・ストレージ・サービスという。（IT 用語辞典　e-wordsから引用) 

(筆者注18) Open Rights Groupが同法案につき詳しく論じている。 

 ***********************************************************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.