「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その2完)

(2)NATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence(CCDCEOE)」サイトの解説 

　重要なインフラ・サービスのオペレーターおよびデジタル・サービス・プロバイダ（DSPs）の定義を詳細に解説している。海外の大手ローファームでも言及しているものは皆無に等しいので、あえてここで仮訳する。 

(1)重要なサービスのオペレーター(operator of essential service)

　NIS指令は、「重要な基盤サービスのオペレーター(operator of essential service)」につき、具体的に以下の分野の公的または民間の事業体と定義する。 

①エネルギー分野：例えば電気（供給元、配電系統システムの運営者、送電システムのオペレーター）、石油（石油輸送パイプラインと石油生産（精製と処置施設）のオペレーター、石油の保管と輸送のオペレーター）、ガス（天然ガス精製と処置施設の供給元、配送システムのオペレーター、輸送システムのオペレーター、貯蔵システムのオペレーター、LNGシステムのオペレーター、天然ガス事業のオペレーター））を含むエネルギー部門。 

 ②運輸分野：航空運輸（航空会社、空港の管理事業体、航空管制管理を担う）、鉄道輸送機関（基盤管理者と鉄道事業）、水の輸送（内陸部、海や沿岸の航路旅客や貨物の輸送、水の空輸、また港の中に含まれる部品と機器を動かす港と事業体と船通行車便のオペレーターの管理）、道路輸送（交通の管理支配に対して責任がある道路管理当局と高度道路交通システムのオペレーター））を含む輸送。 

③銀行業務（信用情報機関を含む）分野

④金融市場基盤分野（取引施設オペレーター(operators of trading venues)、中央清算機関(central counterparties)を含む) 

⑤健康維持・治療分野（病院や私立診療所を含む） 

⑥飲料水の供給と配布分野（人間の消費を目的とする水の供給元と卸売業者を含む）これには、水以外の商品を含む必需品の卸売業者は除外される。 

⑦インターネット相互接続点(internet exchange points:IXPs) (筆者注9)、ドメインネーム・システム・サービスプロバイダ（DNS）およびトップ・レベル・ドメイン（TLD）名(Top Level Domain (TLD) name registries)を含むデジタル基盤分野

　また指令は、テレコミュニケーション・セクターのような分野のように固有のEUの指令や規則等立法によってすでに規制されている分野、またNIS指令が定める義務に等しい適用分野につき明記する。行政機関を含む指令に関する当初の委員会案は、驚くべきことに、指令の範囲の外のままであった。 

○EU加盟国は、どの事業体が重要なサービスのオペレーターの定義に該当するかについて決定する選択が与えられ、それを行う際、加盟国は次の行為を行わねばならない。 

 ①どのサービスが重要な社会的または経済活動の維持にとって不可欠であると思われるかなどについて決定する。

 ②重要な事業の一部が、ネットワークと情報システムに依存しているかを確認する。

 ③事件がサービスの供給に重要かつ破壊的な影響を及ぼすかどうかを判断する。 

○このサービスの破壊的な影響を評価するとき、以下の要因が考慮されることになっている。 

  ①同サービスに頼るユーザー数;

  ②他の基幹・重要なサービスへの依存の程度;

  ③サイバー事件の程度、期間、経済・社会の活動または治安に対する影響;

  ④市場占有率;

  ⑤影響を受けた地域の地理的広がり;、

  ⑥十分なサービス・レベルを維持するための事業体の重要性 

○加盟国は、特定の事件の影響がどれくらい破壊的である場合があるか決定する際に、セクターに特有の考慮点も検討しなければならない。 

○重要なサービス・オペレーターが重要でないサービスを提供する場合、NIS指令の規定上の重要な社会・経済活性のメンテナンスにとって不可欠であるサービスにあてはまらなイだけである。この重要なサービスのリストは、少なくとも2年おきに更新されなければならない。指令も、重要なサービスが二つ以上のEU加盟国で提供されるとき、それらの国が彼らが国境を越える影響に関してオペレーターの重要な性質を評価するのを手伝うために、二国間/多国間協議をしなければならない点に留意すべきである。 

(2)重要なサービス・オペレーターのセキュリティの側面

　重要なサービス・オペレーターは、ネットワークの安全にもたらされる危険と彼らが活動において使用する情報システムを管理するための適切でかつ比例した技術的で組織の処置を行うことが要求される。最高水準の技術に考慮して、そのような処置はもたらされる危険にふさわしい安全対策のレベルを確実なものにしなければならない。それを行う際、オペレーターは、そのサービスの継続性を確実にするために、そのネットワークの安全に影響を及ぼしているサイバー事件の影響を防ぎ、最小に努めなければならない。 

　指令は、彼らが提供する重要なサービスの連続性に重要な影響を及ぼしているいかなる事件についてでも通知するために、その義務をオペレーターに置く。この通知は、所管官庁またはCSIRTに遅滞なく行われなければならず、またCSIRTがどんな国境を越える影響を決定するのを可能にする情報を含まなければならない。また指令は、この通知から生ずるオペレーターの増加した責任を排除する。 

　サイバー事件の影響の重要性は、「影響を受けるユーザー数」、「事件の発生期間」とその「地理的広がり」で測定される。CSIRTへの事件の通知後、オペレーターは、事件処理を手伝うことができるいかなる情報でも受取る機会が与えられる。CSIRTは、国家で唯一の接触点およびそれは他の影響を受けた加盟国に事件の通知を送り届けることもできる。そのうえ、必要に応じて、ひろく公衆にも事件も知らしうる。 

(3)デジタル・サービスプロバイダ（Digital Service Providers：DSPs） 

　指令はDSPをもカバーする。そして、そこでは『デジタル・サービスを提供するいかなる法人でも(any legal persons that provide a digital service)』と定義される。この指令案が議会を通過することに対する主要な障害の1つがこれらの事業体を含むべきかどうかということであった時から、これは重要な発展といえる。それらが最終的に含まれたという事実は、EUのための重要な発展である。 

　この指令に含まれるデジタル・サービスのタイプは、以下を含む。 

 ①オンライン市場業者：オンライン市場のウェブサイトで、または、オンライン市場により提供されるコンピューティング・サービスを利用するトレーダーのウェブサイトで、消費者とトレーダーがオンライン売上を終わるのを許すデジタル・サービスをいう。 

②オンライン検索エンジン(Online search engines)：原則として、ユーザーがキーワード、成句(phrase)または他の情報の入力の形でどんな主題に関する問合わせに基づいて特定の言語で、すべてのウェブサイトまたはウェブサイトの検索を行うことを許すもの。そして、要求された内容に関する情報が見つかったときにに返答するすデジタル・サービスである。 

③クラウド・コンピューティング・サービス(Cloud computing service)：株式に関するコンピューティング資源に拡張性かつ弾力性があるプールした投資資金への出入りを可能にするデジタル・サービスである。 (筆者注10) 

(4)その他のEUのサイバーセキュリティの強化に向けた開発動向 

　NIS指令を採択したことに加えて、欧州委員会は2020年までに民間部門と18億ユーロ(約2034億円)の投資を起動させるべく、EUのサイバー産業の競争力を強化するのを支援すべく、2016年7月5日に半官半民のサイバー・セキュリティーパートナーシップ契約に署名(筆者注11)するなど、その努力を進めた。 

************************************************************************

(筆者注9) 「Internet Exchange Point(相互接続点)」とは、 ISP事業者やデータセンタ事業者などが相互接続して、経路情報やトラフィックを交換するための接続点を指し、「IX」または「IXP」と略されます。IXに接続すれば、事業者間において個別に回線を準備することなく、複数の事業者と経路交換を行うことが可能となります。」(JPNICの解説から引用 )

(筆者注10) CCDCEOEの説明は専門家以外には、わかりにくい。米国アメリカ国立標準技術研究所(NIST)の定義内容を見ておく。(NIST)の定義を仮訳した。

「クラウド・コンピューティングとは、ネットワーク、サーバー、ストレージ、アプリケーション、サービス等の構成可能なコンピューティング資源の共用プールに対して、便利かつオンデマンドにアクセスでき、最小の管理労力またはサービス・プロバイダー間の相互動作によって迅速に提供され利用できるビジネス・モデルのひとつである。このクラウド・モデルは可用性を促進し、5つの基本特性(On-demand self-service；Broad network access；Resource pooling；Rapid elasticity；Measured Service)と、3つのサービスモデル(Cloud Software as a Service (SaaS)；Cloud Platform as a Service (PaaS)；Cloud Infrastructure as a Service (IaaS))と、4つの配置モデル(Private cloud；Community cloud,；Public cloud；Hybrid cloud)により構成される。その鍵となる実用可能化技術は、(1) 高速なワイド・エリア・ネットワーク、(2)パワフルかつ安価なサーバー・コンピュータ、(3)高性能仮想化が可能必需品たるハードウェア、を含む。

(筆者注11) 2016年7月5日、欧州委員会は「産業界とサイバーセキュリティとサイバー時間の脅威に関する具体的取り組みに関する合意文書に署名(Commission signs agreement with industry on cybersecurity and steps up efforts to tackle cyber-threats)」した旨公表した。 

**********************************************************************:

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

「EUのネットワークと情報システムの安全性にかかるEU指令(NIS指令)の採択と今後の課題」(その１)

Last Updated:May 2,2019

　　2016年5月7日、欧州連合理事会は「ネットワークと情報システムの安全の一般の原則に関する指令(NIS指令：Directive on Security of Network and Information Systems)案」を採択し、また7月6日、欧州議会は、本会議でその第二読会で取りまとめたEU全体でのNIS指令案を採択した。同指令については、加盟国は21 か月(2018年5月9日)以内に国内法化し、27 か月(2018年9月9日)以内にOperator of Essential Service (OES)等を指定する義務が定められた。(筆者注0)

　同指令の主要な要素は、(1)加盟国ごとのサイバー・セキュリティ能力の確立、(2)加盟国間の具体的協調強化、(3)重要なサービスとデジタル・サービスプロバイダーの明確化とこれらのオペレーターのために特別な義務を課す、等である。 

　また、重要な点であるがEU加盟国の国内法化の追跡サイトがある。ぜひ、参照されたい。

　この問題への取り組みは、2013年2月7日に欧州委員会がプレスリリース「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」を公表したことに始まる。すなわち、欧州委員会は、外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS).）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表したのである。 (筆者注1) 

　この一連のサイバー対策強化は、EUや米国(筆者注2)だけでない世界的な潮流であることはいうまでもない。 

　一方、わが国の取り組み状況を見るとは、本文で述べるとおり「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」への参加企業数で見るとおり、近年急速に増加していることは間違いない。しかし、EU加盟国のように国際的な協力体制までできているかといえば、なお課題が多いというのが現実であろう。

 　今回は、これからのわが国の取り組み課題を検討する上での参考として、EUの事例を取り上げるものである。なお、本文で引用したようにNATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence：CCDCEOE)」サイトのNIS指令の解説は他の解説に比べ具体的であり、わが国での検討に資すると考え、極力、仮訳に努めた。

 　今回は、2回に分けて掲載する。 

１．2013年2月7日の欧州委員会「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」の概要

 　EUの欧州委員会の公式サイトの解説を仮訳する。 

「オープンなインターネットとオンラインの自由な機会を保護するEUのサイバー・セキュリティー計画」 

　欧州委員会は、このほど外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し、委員会として提案する指令案とともに、以下の「サイバー・セキュリティー戦略(cybersecurity strategy)」を公表した。

 (1)サイバー・セキュリティー戦略

　「オープンで安全でかつ堅固なサイバー空間」は、最もサイバーによる混乱と攻撃を阻止し、それに対処するための具体程方法に関しEU全体の包括的展望につき述べる。これは、自由と民主主義のヨーロッパの価値を高め、かつデジタル経済が問題なく成長することができることを確実とすることである。その特別な行動とは、情報システムのサイバー事件の反発力を強化し、サイバー犯罪を減らし、さらにEUの国際的なサイバー・セキュリティ・ポリシーとサイバー防御を強化することを目的とする。 

　本戦略は、5つの優先課題に関してサイバー・セキュリティーにかかるEUの展望を明瞭に表現する。 

 ①サイバー被害からの回復力を成し遂げること。

 ②サイバー犯罪を大幅に減らすこと 。

 ③EUの「共通安全保障と防衛政策（Common Security and Defence Policy：CSDP）」 (筆者注3)に関連したサイバー防衛政策と能力の開発すること。

 ④サイバー・セキュリティーのために産業界および技術的資源を開発すること。

 ⑤EUのために首尾一貫した国際的な「サイバースペース方針」を確立し、さらにコアとなるEUの価値を高めること。 

　EUの「国際的サイバースペース方針」は、EUのコア価値への関心を増し、責任ある行動の達成目標を定め、またサイバースペース内での既存の国際法の適用を擁護する。その一方で、サイバー・セキュリティ能力開発はEU域外で国々を助けると同時にサイバー問題における国際協力を促進する。 

　EUは、よりよく鍵となる前進を市民をオンライン犯罪から保護すべく、1)2013.1.9「ヨーロッパ・サイバー犯罪センター(European Cybercrime Centre：EC3)」の開設（IP/13/13）、2)201.9.30「情報システムへのサイバー攻撃の阻止にかかる立法措置の提案（IP/10/1239）」、また、3) 「オンラインの子供の性的虐待と戦うための国際同盟の立ち上げ（IP/12/1308）」 (筆者注4)においてオンライン犯罪から市民を保護する前向きな施策を行ってきた。 

　また、同戦略はサイバー対策につき加盟国の訓練や能力向上を支援する国家機関としてのNational Cybercrime Centers of Excellence (筆者注5)への資金供給を目指すものである。 

２． EUデジタル単一市場サイト「ネットワークと情報システムの安全性にかかるEU指令(NIS指令)」 

(1) 欧州委員会の2016年7月28日のプレスリリース「ネットワークと情報システム（NIS指令）の安全性にかかるEU指令」を仮訳する。 

　欧州委員会は、このほどEUの外交問題や情報セキュリティ政策に関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS)）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を以下のとおり公表した。 

　ここ数年、欧州委員会は、サイバー事件を撃退すべくEU全体の準備レベルを引き上げるための一連の措置を導入した。今回のNIS指令は、サイバー・セキュリティーの上のEUに広がる立法の最初の部分である。 

　セキュリティ・ネットワークと情報システムのセキュリティ対策指令であるNIS指令は、2016年7月6日に欧州議会によって採択された。欧州委員会の副委員長アンドラス・アンシプ(Andrus Ansip（デジタル単一市場(DSM)に対して責任があるエストニア代表(写真上)と委員であるギュンター・ヘルマン・エッティンガー(Günther H. Oettinger)(ドイツ代表)(写真下)は、この出来事に関し声明を出した。

 

 

  

　同指令は、2016年8月に施行される。加盟国は、彼らの国内法令に同指令を移すべく21ヵ月と重要なサービスの運用機関を特定するさらに6ヵ月の準備期間がある。

　翻るに、2013年、欧州委員会は、EU全体でネットワークとインフォメーション・セキュリティの高い共通レベルを確実にするための措置に関して、指令案を提唱した。NIS指令は、以下の内容を確実にすることによってEUのサイバー・セキュリティの全体的なレベルを押し上げるための法的措置を提供することを決定した。 

①例えば、加盟国に「コンピュータ・セキュリティ事件対応チーム（Computer Security Incident Response Team ：CSIRT）」 (筆者注6)の設置や権限を持った国家レベルのNIS実施機関の設置等を準備することを要求すること。 

②加盟国間の戦略的な協力と情報の交換を支援かつ容易にするために協力グループ(Cooperation Group)を設立する等すべての加盟国の間の協力の確保する。また、加盟国は特定のサイバー・セキュリティー事件と危険に関する共有情報で迅速かつ効果的運用面の協力を促進するために、自国内でCSIRTネットワークを立ち上げる必要がある。

 

 

 2016.7.8 ENISA資料「Implementing The NIS Directive」等から一部抜粋 

③我々の経済と社会のために不可欠で、さらに重要度の高い情報通信技術(ICTs)（例えばエネルギー、輸送、水、銀行業務、金融市場の基盤、医療やデジタル基盤）に依存する分野横断的な文化を確立する。加盟国によって重要なサービスのオペレーターとして特定されるこれらの分野の企業は、適切なセキュリティ対策をとらなければならず、また関連した国家当局に大事件につき通知しなければならない。また、重要なデジタル・サービスプロバイダー（検索エンジン、クラウド・コンピューティング・サービス、オンライン市場(筆者注7)は、新しいEU指令の下でセキュリティとその通知要件を満たさなければならない。

 ④ヨーロッパのサイバー回復力(cyber resilience)を強化すること 。

　2016年7月5日の欧州委員会はその公式通達(communication) (筆者注8)において、加盟国に対しNIS調整メカニズムを最大限に活用させた。それらに基づいて、委員会は大規模なサイバー事件が生じた場合に国境を越えて協力を強化する具体的方法を提案した。サイバー・セキュリティーの状況が進化する速度にあわせ、委員会は「欧州連合ネットワーク情報セキュリティ庁(ENISA)」の評価を押し進める。そして、それはおそらく新しい義務を導き出すことになろう。 

************************************************************** 

(筆者注0) ネットワーク・情報システムの安全に関する指令（NIS 指令）についての詳しい解説は、国立国会図書館調査及び立法考査局　海外立法情報課島村智子氏の報告がある。

(筆者注1) 2013.2.15 情報通信総合研究所 グローバル研究グループ 佐藤　仁「欧州：サイバーセキュリティをめぐる同盟の重要性」は、欧州委員会のNIS指令案につき簡単に解説している。

 (筆者注2) 米国のオバマ政権のサイバー対策強化の最近時の動きを、White House情報でフォローしておく。

(1)2016.2.9 White Houseリリース「FACT SHEET: Cybersecurity National Action Plan」

(2)2016.7.26 White House リリース「FACT SHEET: Presidential Policy Directive on United States Cyber Incident Coordination」 

(筆者注3) EUの「共通安全保障と防衛政策（CSDP）」については、駐日欧州連合代表部の「共通安全保障・防衛政策（Common Security and Defence Policy=CSDP）」解説サイト、About CSDP - Overview　、EUのCSDPの動画解説サイト等が参考になる。 

(筆者注4) 2012年12月4日現在で同盟国数は、わが国ほかEU域外の21カ国を含む48カ国であった。

 (筆者注5) ”National Cybersecurity Center of Excellence”とは、官民連携R＆Dセンターでサイバーセキュリティ人材育成の観点から各国で取り組みが行われている。 

(筆者注6) ”CSIRT”の意義について、簡単に引用しておく。

＊CSIRTとは、企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織。

社内の情報システムや通信ネットワークでウイルス感染や不正アクセス、サービス拒否攻撃（DoS攻撃）などセキュリティ上の脅威となる現象や行為が発生した際に、組織内の対応窓口となって被害の拡大防止や関連情報の収集・告知、再発防止策の策定などの活動を行う。また、外部のCSIRTと連携して事件・事故の被害情報やシステムの脆弱性についての情報を共有したり、一般利用者へ情報セキュリティに関する教育や啓発、広報などの活動を行うこともある。(「IT用語辞典」から一部抜粋) 

＊シーサート (CSIRT: Computer Security Incident Response Team)とは、コンピュータセキュリティにかかるインシデントに対処するための組織の総称です。インシデント関連情報、脆弱性情報、攻撃予兆情報を常に収集、分析し、対応方針や手順の策定などの活動をします。 

　わが国では、「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT Association)」が2007年3月28 日発足しており、同団体のサイトから一部引用した。 

(筆者注7)「オンライン市場（またはオンライン電子商取引市場）」は、製品やサービス情報が複数の第三者によって提供される一種の電子商取引サイトを指す。一般の業務が市場のオペレーターによって処理されるのに対して、オンライン市場は多重チャンネルである「e-commerce」の主要なタイプで、製造工程を合理化する意味で「単純でかつ入口に近い」と言われる。

オンライン市場では、消費者業務は市場オペレーターによって処理されて、それから加えられて、参加している小売業者または卸売業者によって成し遂げられる。他の能力としては競売にかけることを含むともいえる。既存の市場地域は、長い時間と確立したウェブサイト（例えばamazon.comと新しい市場ウェブサイト（例えばinstamal.com）のもの）を含みむ。これらの種類のサイトでは、ユーザーが登録して、「販売後に手数料料金が決まるシステム("post-selling" fee.)」という多数のアイテム希望に対し一つのアイテムを販売するのを許す。(Wikipedia のOnline Marketplaceの解説から一部仮訳して引用 )

(筆者注8) 欧州委員会が発する「Communication」とは、「委員会通達」あるいは「委員会からの通知」と解されている。 

**********************************************************************:

Copyright © 2006-2019 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

オーストラリア連邦裁判所判決にみる「中国・オーストラリア石油・ガス会社」と同社前会長の有罪判決と経営破綻

　8月13日付けの米国の企業法務部門向け情報サイト「Find Law」で面白い記事「オーストラリア連邦裁判所は、中国・オーストラリア石油・ガス会社と同社の前会長Tianpeng Shao氏に有罪判決」を読んだ。また同時に8月24日付けの「D&O Diary blog」の記事を読んだ。 (注1)

　特に後者のタイトルは「オーストラリアの裁判所により警告判断を受けた英語を読めずかつ理解できない会社の取締役の責任」というものであった。なお、被告の裁判での発言内容など判決内容の詳細は後者がより詳しいが、本ブログでは略す。

 　語学力に自信がない筆者としては、同裁判の意味するところは「奈辺にありや」といったところが当面の関心事であった。

　ところが、この２つの記事をもとに事実関係や関係法さらに被告たる石油・ガス掘削会社の1人のトップ経営者の怠慢さらには同社の経営破綻という事実が見えてきた。 

　これらの問題の整理は、単に経営者の恣意的経営とEOR(注2)という石油開発先端技術の国際合弁会社の経営破綻問題に止まらない大きな国際エネルギー問題とも関係することといえる。 

　筆者の知識で、とてもこれらの問題をすべて網羅するのは困難であるが、少なくともわが国のメデイアが本格的に取り上げていない今、まとめてみる価値はあると考えた。

 １．本裁判の概要

　2016年8月12日、オーストラリア証券投資委員会（Australian Securities and Investments Commission：ASIC）は、オーストラリア連邦裁判所が「中国・オーストラリア石油・ガス会社（Sino Australia Oil and Gas Limited）（以下「サイノウ(Sino)」 (注3)という）および同社の前CEOである邵天鹏(Tianpeng Shao)氏(以下「Shao氏」という)がオーストラリア会社法(2001年「オーストラリア会社法」(以下「会社法」という))に違反したと判示した旨発表した。 

2016.8.14 TheWest Australian 紙記事の写真：左がTianpeng Shao氏 

２．事実関係・背景

(1)裁判事件の背景

　Sinoは、中国内で石油とガス掘削サービスを提供する中国の子会社のオーストラリアの持株会社であった。Sinoの取締役会は、中国に居住する代表取締役、CEO及び取締役会議長である Shao氏とオーストラリア居住の非常勤取締役であるアンドリュー・フォークナー(Andrew Faulkner)とウェイン・ジョンソン(Wayne Johnson)の2人で構成されていた。

 　2013年2月28日に、Sinoはオーストラリア証券取引所（ASX）で公開公募（IPO） (注4)のために案内書を発行した。そして、全額払込済みの普通株を申し込むよう加入者に勧誘した。2013年4月に、Sinoは後継となる会社案内を発行した。そして、3つの補足案内はその後発行された。Shao氏は後継案内原稿に署名し、そして、取締役宣言は預け入れの前に各々の以降の案内文書に付随された。 

　2013年12月11日に、SainoはASXの公式リストに入れられて、IPOにより1280万豪ドルの増資を行ったと発表し、2013年12月12日にSino株式は、ASXの上にリストアップされた。 

　上場のまさに翌日、Shao氏は、中国内の銀行の預金口座にオーストラリアから約7500万豪ドルを起債資金をのほとんどすべてを純利益に移すべく、ジョンソン氏に対してその承認を求めた。これは、そのオーストラリア内のローカルアカウントに17万豪ドルのみ残すことを意味した。この点に関し、ジョンソン氏は拒絶した。 

　Shao氏は、後でその月の後半及び2014年1月の再度要請を繰り返した。ジョンソン氏とフォークナー氏がその協力を拒否したとき、Shao氏は取締役のイスを取り上げようとした。まもなく、ジュンソン氏らはコーポレートガバナンスに対する懸念から、オーストラリア証券投資委員会（ASIC）にこの問題を持ち込んだ。 

2014年3月に、ASICは、Sino、Shao氏及びその他の人がIPOの手続きに入ることを制止する「差止命令」を得た。ASICも、その調査を開始した。 

　2014年4月1日に、Sinoは、2013年12月31日に終わる会計年度の間、8.4百万豪ドル(約6億5520万円)の税引後利益を発表した。これは、継続会社案内で示した13.6 百万豪ドル(約10億6080万円)の利益予想からの約40%の大幅な低下であった。 

(2)ASICの調査と裁判所への申立

　○ASICによる連邦裁判所への申立 

　2014年11月に、ASICはSinoとShao氏に対してそれが会社法違反の宣言を行うべく連邦裁判所に請願を起こした。ASICは、またSino に対する民事罰(civil penalty)を請求するとともにShao氏に対する「役員資格剥奪命令(disqualification order)」を求めた。 

　その後、2015年5月に、裁判所は暫定的な管財人を任命した。2016年3月に、裁判所はSinoの事業停止と管財人の任命を命じた。 

３．裁判所の判決判断

　その裁判の一部として、ASICはSinoが「会社法」に違反し、(1)その継続した開示義務を怠ったこと、(2)2013年にはその会社案内文において誤解を招きかつ不正な詐欺的声明を行ったと主張した。また、ASICは、Shao氏が中国人の取締役としての配慮と努力をもって適度な程度で行動することを行わず、また彼が継続した開示義務規定に違反したと主張した。

　デーヴィス裁判官は、Sinoが会社法の674条(2)項 、728条(1)項(a)号、728条(1)項(b)号および728条(1)項(c)号、1041H条 に違反したと宣告した。そして、次のような事実を明らかにした。

①自社の持つ特許およびその中国に本拠をおく子会社が保有する特許に関して、その会社案文書において虚偽の説明を行った。 

②暦年2013年の間の利益予測において、その継続会社案内の予想よりかなり少ないことを明らかにしなかった。 

③その案内文書で、中国に本拠を置く中国子会社のただ1人の取締役のローン契約の存在を明らかにすることを怠った。 

④それが中国をおさえると主張したサービス契約書の存在に関して、その会社案内書面において誤解を招くまた不正な詐欺的内容の声明を行った。および 

⑤それが兌換紙幣(convertible notes)手続きにより合計310万ドル(約3億1310万円)の金額を受領したという主張に関して、誤解を招くまた不正な詐欺的内容の声明を行った。 

⑥中国に本拠を置く子会社に関し、Sinoの監査役へ誤った情報を提供した。 

○デーヴィス判事は、SHao氏は英語の読み書きができないことにもかかわらず、かつ完全な中国語の翻訳を得ることのないままで賛成を示す案内文書に関して承認したと次のように述べた。

 「案内文書の各々につき締結責任者であるから取締役会長としてのShao氏につき、それは、それらの案内文書に含まれる情報が正確であることを確実とするために内容について完全かつ包括的に自分自身、案内文書について熟知していることを彼に要求された。最も基本的な意味で、署名していた文書の内容を理解することができたことを確実とすることに関するShao氏による怠慢は、彼の取締役としての任務の不履行である」 

○ASIC委員であるジョン・プライス(John Price)氏は「正確でタイムリーな情報を提供することの重要性が我々の金融市場の中心にある。そして、それらの重要な原則がこの事件で破られた。これらの主義が我々の市場の健全性と効率を維持するために不可欠であると想定すれば、これは重要な決定である」と述べた。

 John Price 氏

4.被告会社及びトップ経営者の破綻

　2015年5月12日の中国ネット記事「澳大利亚最大中国上市公司进入破产程序」を仮訳しておく。

　オーストラリアのメデイア”The Australian”は、5月11日のニュースでオーストラリア証券投資委員会（ASIC）がオーストラリアの「石油・ガス会社」（Sino：中国・オーストラリア石油・ガス会社）を調査し、CEOの破産が宣告された。同社はオーストラリア証券取引所（ASX）での中国最大の上場会社であったが、経営管理上の問題が発生し、会社が任意清算に入る旨宣告した。 

　ASXによって指名された同社の秘書アレックス・リッター（Eryn Kestel）は、「会社は資産と負債のバランスを取るため外部経営の力を取り込む努力を試みたが、CEO取締役にはその成功につき選択の余地はない。」と声明で述べた。 

　この石油・ガスの採掘サービス会社の創設者および主要株主である邵天鹏(Tianpeng Shao)が、2014年10月にCEOを辞任した。彼は現在、中国にいると考えられており、オーストラリアに戻る予定はない。2015年5月1日に後継のCEOである宗广斌（Guangbin Zong)は、個人的な理由のために辞任した。2013年12月12日にASXに上場後、邵天鹏はオーストラリアから中国銀行の口座に750万元(約1億1200万円)の送金を試みた。その後、同社に関し、ASIC調査では宗广斌のHSBC銀行の口座がオーストラリア連邦裁判所により凍結された。 2014年3月以来、会社は取引を禁止され、再びASXに上場するには再度登録料を支払わねばならない。 

***************************************************************************:

(注1)”Sino”はラテン語のsinaである。連結形はsinoである。メリリアム・ウェブスター辞典の説明を見ておく。読み方は「サイノウ」である。

「Chinese ：「中国の」または「中国と」米国(Chinese and)という場合にも用いる」

これで明らかなとおり、必ずしも差別語ではない。誤ったオンライン辞典は訂正すべきである。

 (注2) EOR技術の関しては、JXホールディングスの説明がわかりやすい。

(注3) D&o Diaryのブログは、前書きで次の通り述べている

「我々のますますグローバル化する経済の中で、同時に多様化する取締役会のメンバーは、地理的で文化的な多様性をもたらす。しかし、多様な取締役が多くの理由から役立つと考える一方で、彼らは会社に対する義務から免除されるにちがいないという問題が生じる。

　以下の投稿では、クライド＆コー国際法律事務所(Clyde & Co. law firm)のシドニー事務所のクリストファー・スミス(Christopher Smith)は、オーストラリアの法廷（裁判所は会社の公式文書に署名した取締役は彼らの仕事上の責任を逃れるためには文書を読み、理解することが要件となると判示した）の投稿による面白い最近のケースを見てほしい。・・・　これまでにアジア太平洋地域からオーストラリアへの投資が増える時代の中で、最近のケースは、英語を読めないかまたは理解しないオーストラリアの会社の海外拠点の責任者が、彼らのオーストラリア人の共同取締役と同じ取締役としての責務に束縛されるというタイムリーな注目すべき問題として取り上げられた。」 

(注4) 「IPOとは、「Initial（最初の）Public（公開の）Offering（売り物）」の略で、未上場企業が、新規に株式を証券取引所に上場し、投資家に株式を取得させることを言います。

 株式上場に際し、通常は新たに株式が公募されたり、上場前に株主が保有している株式が売り出されます。これら株式を証券会社を通じて投資家へ配分することをIPOといいます。

 企業にとっては上場することにより、直接金融市場から広く資金調達することが可能となり、また上場することで知名度が上がり、社会的な信用を高めることができるといったメリットがあります。」カブドットコム証券サイトの解説から引用

*********************************************************

Copyright © 2006-2016 芦田勝(Masaru  Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベスト・プラクティスを保証する内容といえるか？」(その5完)

(3)GAOが見出した問題点 

　司法省(DOJ)の連邦捜査局(FBI)は、法執行機関の捜査を支援するために3,000万以上の写真のデータベースを検索できるを顔認証サービスである「次世代型インターステート写真システム（Next Generation Identification-Interstate Photo System (NGI-IPS)」を運用している。 NGI-IPSユーザーはFBIおよび国と地方の法執行機関であり、彼らは、たとえば、監視カメラに写ったの写真を使って見知らぬ人を特定するのを支援するために検索要求を提出することができる。州または地方機関がそのような写真を提出するとき、ユーザー仕様に従い、NGI-IPSはデータベースから2～50の可能性がある候補写真のリストを返すというオートメーション化した手順を使用する。 2015年12月現在、FBIはNGI-IPSを使用した検索を行うべく7つの州と協定をして、アクセスを与えるために、より多くの州に働きかけている。

 GAO Reportの図4「FBIの顔認証システムにおける州別分析、比較および評価範囲の一覧図」から抜粋

 

 GAO Reportの図２「FBIの顔認証システムにおける州や地方の法執行機関からの要請および回答の流れ図」から抜粋 

　NGI-IPSに加えて、FBIは内部の専門部隊として、とりわけ活発なFBI捜査を支援するため顔認証能力を提供する「顔の分析、比較と評価サービス(Facial Analysis, Comparison and Evaluation (FACE) Services)を置く。FACEサービスは、NGI-IPSにアクセスするだけではなく、国務省、国防総省および16の州によって所有されるデータベースを検索または要請の基づいて行いうる。彼らは自身の顔認証システムをも使用する。生体認証アナリストが、FBI捜査官への捜査の前例として最高でもトップ1またはナンバー2つの写真を返却する前に、写真をレビューする。  

　DOJは、連邦機関が個人情報を集める技術を開発するときは常にE-Governmnt Actにもとづきプライバシー影響評価(アセスメント)（PIA）を展開しており、2008年にNGI-IPSを導入した際も行った。そして、常に同法にもとづきアセスメントが要求された。しかし、FBIの専門部門がFBI捜査官を支援し始める前に、ＦＢＩは時宜に応じた方法によるシステムが重要な変更を加えたにもかかわらずNGI-IPS アセスメントを更新しなかった。またFaceサービスにかかるアセスメント内容を公表しなかった。DOJは9月と2015年5月にNGI-IPSとFACEサービスのためにPIA結果を最終的に承認した。 

  GAO Reportの図3「FBIの顔認証能力とプライバシー・インパクト・アセスメントの統合実施の主な日付」から抜粋

　新システムを実装するとき、PIAの時宜をえた公表は市民にとりFBIがプライバシーへの危険を評価しているというより大きな保証を提供する。同様に、NGI-IPSは2011年以降適格であった、しかし、GAOのチェックの完成の後、2016年5月5日まで法律によって必要とされるように、DOJは顔認証能力のFBIの使用について「記録通知（System of Records Notice：SORN）」システムについては発表しなかった。SORNの時宜を得た公表は、NGIがどのように個人情報を使いまた保護するかという市民の知識を向上させるものである。 

(4)NISTの顔認証ガイドライン

　詳細は略す。 

(5)商務省・電気通信情報局（NTIA）の顔認識ガイドライン発行と国際バイオメ　トリクス+アイデンティティ協会（IBIA）によりその承認

　2016年6月15日、米国商務省・電気通信情報局（NTIA）は、NTIAが招集したマルチステークホルダーグループによって開発された顔認識に関する「最善の実践事例(best Practices)」を発行した。「商業上の顔認識の使用のためのプライバシー面からみたベスト・プラクティスの推奨事項」と題するベスト・プラクティス・ガイドは 、「顔認識技術の商業的使用のための行動規範たることを意図したものである。

　このベスト・プラクティスの遵守は任意ではあるが、次に記載する観点から「顔認証テンプレート・データ・マッチング手法」 (筆者注14)を用いることを奨励している。 

６.私見

　今回の政令、施行規則並びに各監督省庁が策定したガイドラインのみで前述したような企業活動が人権保護面から見て十分機能しうるとは考えられまい。

欧米の取り組み等を参考として、筆者なりに見直すべきと考える点を、以下簡単にまとめてみる。

(1) 生体認証保護立法のあり方 

　わが国の顔生体認証技術は主要国でも進んでいるでいるといわれているが、一方で、それに関する法規制は、保護法が成立して約10年たって初めて政令、施行規則で明記される等問題が指摘できよう。特に米国イリノイ州が明記するプライバシー保護法の各種定義の明確化のあり方はおそらく他州や連邦法への影響が十分考えられよう。 

　その意味で、EU加盟国のプライバシー保護監督機関の具体的な取り組み内容の研究が急務であろう。  

(2) 監督省庁による生体認証ガイドラインの策定が急務 

　わが国の規制・監督機関等による情報保護面からみたガイドラインはあるであろうか。 筆者なりに調べてみた。 

第一に2007.7 独立行政法人情報処理推進機 「生体認証導入・運用のためのガイドライン」がある。 

　しかし、これは生体認証の導入・構築・運用に際してのポイントをまとめたものでプライバシー保護法の観点か留意すべき点をまとめたものではない。  

第二に「経済産業分野のうち信用分野における個人情報保護ガイドライン」である。

 　データ主体の「同意」原則が明記されている。しかし、これも原則論でありFacebookやシャターフライ社への規制の根拠にはなりえない。 

 第三に金融庁の「金融分野における個人情報保護に関するガイドライン」である。 

第６条 機微（センシティブ）情報について 

１ 金融分野における個人情報取扱事業者は、政治的見解、信教（宗教、思想及び信条をいう。）、労働組合への加盟、人種及び民族、門地及び本籍地、保健医療及び性生活、並びに犯罪歴に関する情報（以下「機微（センシティブ）情報」という。）については、次に掲げる場合を除くほか、取得、利用又は第三者提供を行わないこととする。

① 法令等に基づく場合

・・・・・・  

⑧ 機微（センシティブ）情報に該当する生体認証情報を本人の同意に基づき、本人確認に用いる場合 

 第四に,金融庁「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」である。 

７－１－１ 

金融分野における個人情報取扱事業者は、６－１に規定する取得・入力段階における取扱規程において、機微（センシティブ）情報の取り扱いについては、６－１に規定する事項に加えて、 

次に掲げる事項を定めることとする。

 ①ガイドライン第６条第１項各号に定める場合のみによる取得 

②取得・入力を行う取扱者の必要最小限の限定 

③取得に際して本人同意が必要である場合における本人同意の取得及び本人への説明事項  

　以上、見てわかるとおりわが国ではFacebook等同様の機能を考えた私企業等を取り締まる根拠ガイダンスはない。  

(3)関係業界団体のガイドライン、テンプレートの強化と徹底 

　監督官庁のガイダンスのみに依存するのでなく業界の自主的ガイドラインの策定が必要と言えよう。海外の業界団体等における取り組みはどのようなものか。 

　この点で、最も参考になると思えるのはEUの「一般データ保護規則」である。筆者が今回のブログでも取り上げた問題であり、内容の解説は省略する。 

(4)わが国には人権擁護団体が存しない

　第三者機関たる保護委員会が設置されたもののその腕前を見るのはこれからである。ドイツの(HmbBfDI)や米国のEFF等の積極的な活動内容が参考となろう。 

*************************************************************************

 (筆者注14) テンプレート・データ・マッチング手法について　林　昌希「人間の顔があるかを判断する「顔検出」技術(2) - テンプレートマッチング」から一部抜粋する。

「テンプレートマッチングでは、テンプレートとほぼ同じ入力画像が得られた場合は正しく判定されます。ただ、テンプレートマッチングでは、入力画像とテンプレートを単純比較しているにすぎません。よって、入力画像のノイズや照明変化が大きい場合など、テンプレート画像からの変化が激しい画像に対しては、途端にパターン認識の正解率が下がってしまいます。また、テンプレートマッチングではパターン認識した対象ごとにテンプレートが必要で、顔検出のように「どんな人間でも顔として検出してくれる」という目的は達成するには、下手すれば世界中の人間の顔のテンプレートを用意する事態にもなりかねません。」

 **************************************************************************:

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベスト・プラクティスを保証する内容といえるか？」(その4)

 

Last Updated:October 5,2016

(3)連邦議会・行政監査局(U.S. Government Accountability Office (GAO) (筆者注9)の連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等におけるプライバシー保護強化勧告 

　2016年6月15日、連邦議会・行政監査局(GAO)は連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等におけるプライバシー保護強化勧告を行った旨報じた。 

　このレポートにつきわが国では紹介したものとしては、イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュース・サイトを翻訳したものがある。2016.7.12 「4億1190万枚の顔写真データにアクセスするFBI」である。GAOのレポートを引用しながら問題点を取り上げているが、専門家向けとはいいがたい内容である。 

 　そこで本ブログでは、①FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要、②米国の人権擁護団体の問題指摘・司法長官あての意見書(2014.6.24)、最後に③GAOレポートがあげた主要な問題点等を概観する。

 ① FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要  

　FBIのNGIについての解説サイトがある。について逐一訳さないが前書きと項目のみあげておく。関係者はその具体的内容については原文で確認されたい。

　また、これに関し、FBIの刑事司法情報サービス部(Criminal Justice Iinformation Services Division)は「IAFISおよびNGIの生体認証データの相互運用に係るプライバシー・アセスメント結果」を公表している。 

　なお、最新情報ではないが、筆者は2007年12月24日付けのブログ「米国FBIが世界最大の米国民・関係国民を取り込んだ生体認証データ・ ベース構築をめぐる論議（その1)、 (その2完)で詳しく解説しており、あわせ読まれたい。  

○今日では「バイオメトリクス」という用語は、指紋に限定されるものではない。掌紋(手のひら)(palm)、虹彩、および顔認識が含まれる。新技術を活用するための、および10本指の指紋認証(tenprint) (筆者注10)とわずかな指紋のもとづく検索のアプリケーションを改善するための努力としてFBIの「刑事司法情報サービス（CJIS）部門が開発され、丁寧に統合された自動指紋識別システム（IAFIS）と代替するための新しいシステムを統合した。この新しいシステムたる「次世代識別システム（NGI）」は、バイオメトリックおよび犯罪歴情報の世界最大かつ最も効率的な電子保管庫と刑事司法の相互コミュニティ強化を提供するものである。  

○バイオメトリクス技術の将来(The Future of Biometrics)  

○高度な指紋認証技術（Advanced Fingerprint Identification Technology ：AFIT)） 

 これによりFBIの刑事司法情報サービス部(CJIS)部門は精度に一致する改善された新しい指紋照合アルゴリズムを92パーセントから99.6パーセントに引き上げ実装した。また、貢献者達はより速い応答時間を経験し、トランザクション拒否はなくなり、統合によってトリガ識別およびファイルメンテナンス通知の頻度を増加させた。 

○特別な重要性をもつ個人用保管庫（Repository for Individuals of Special Concern (RISC)）  

○かすかに採取できた潜在指紋および嘗紋(Latent and Palm Prints)  

　NGIシステムの潜在指紋認識機能は、アイデンティティごとに設定した合成画像とは対照的に個人のすべての保持するイベントで構成される摩擦隆線検索ファイル(筆者注11)を使用している。リポジトリ内のこれらの複数のイベントは、潜伏検索精度の3倍の向上をもたらし、困難なケースワークをサポートするために追加のイベント画像検索を可能にする。 

○ラップバック・サービス(Rap Back Service) 

　FBIから例えば、学校の先生、保育所の労働者等信頼にたる人物や刑事司法の監督または捜査下にある人物の個人の活動に関する同じ出願代理店からの通知を受け取ることができるとするもので、認可された機関が同一人に繰り返しバックグラウンド・チェックの必要性を排除するものである。ラップバックの展開に先立ち全米犯罪歴のバックグラウンド・チェックシステム(National Instant Criminal Background Check System 

(NICS) Operations 2013)は、個人の犯罪歴のステータスの1回のスナップショット・ビューを提供する。ラップバックでは、認可された団体・機関は、進行中の刑事事件や民事取引の初期処理と保持した後、FBIに報告された犯罪歴の状態通知を受け取ることができる。 犯罪で逮捕されたり、起訴者を識別するために指紋認証を使用することにより、ラップバックは刑事司法と非刑事司法当局の双方に、後から続く行動につき全国ベースでの通知を提供する。(なお、ラップバックサービスについての申請書式参照) 

  なお、筆者は以前「ラップバック・サービス」につき、次のような解説を行っていた。「rap-back」サービスとは、雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである。(筆者注12)  

○未解決事件や身元不明死亡者(Cold Case/Unknown Deceased)調査時の迅速な照合  

○虹彩照合パイロット・システム(Iris Pilot) 

② EFFおよび 31の人権擁護団体のFBIの生体認証データベース：NGI計画についてのプライバシーアセスメントの徹底化要求 

　2014年6月25日、「1974年連邦プライバシー保護法」もとづき司法長官宛次の主旨の書簡を出した旨公開した。その要点は次の点である。 

 　「NGIが示す顔認識データベースの構成要素は、すべてのアメリカ人のためにプライバシーに対する本当の脅威をもたらし、また将来、我々が先例のない方法でモニターされて、追跡されることを認めるものである。NGIは犯罪者だけでなく非犯罪者の顔写真を含む。そして、FBIは2015年までに、同データベースに5,200万件もの顔画像を含むことができると見積っている。そのうち430万は、非犯罪的な目的（例えば雇い主による身元調査）のために撮影される。法執行機関がデータベースの犯罪面の検索を実行するたびに、FBIがこれらの非犯罪的な顔イメージをも含む検索を行う予定のように見れる。 

　このような理由から、FBIがNGIに関し現在のプライバシー影響評価（PIA）を実行かつ公表することは不可欠である。 

　筆者としては、EFF等米国の人権擁護NPO等は多くの公開状を適宜出しており、わが国の日弁連などと比べても、その頻度や内容の専門性は大きな差があると感じる。  

　また、2016.5.31 EFFおよび44団体は、FBIのNGIへの登録除外に関する連邦規則の改正につき、意見を5月5日の連邦官報で公募したことを受けて、基本的に極めて重要なこの問題につき、指定された検討期間が短すぎる(提出期限は6月5日)という意見を公表した。

EFFの2016.5.31 レポートの中の写真を引用  

③GAO レポートが指摘する問題点と司法省やFBIに対する勧奨内容の概要

　GAO Reportの「FACE RECOGNITION TECHNOLOGY：FBI Should Better Ensure Privacy and Accuracy」(全文68頁)のHighlights部を仮訳する。なお、GAO レポートは法令遵守にかかる連邦議会の調査機関(Watchdog)として毎度のことながら論点が明快である。 (筆者注13)  

(1)GAOは、なぜこの研究を行ったか 

　テクノロジー向上は、オートメーション化した顔認証の全体的な正確さをここ数数十年の間増やした。 FBIによると、このテクノロジーは、法執行機関が彼らの調査において犯人を特定するのを支援する。

 　GAOは、FBIの顔認証技術の使用をレビューするよう連邦議会から依頼された。本レポートは、以下の点を調べた。1) FBIの顔認証能力とその範囲、2）FBIの顔認証技術の使用は連邦プライバシー法や自身のプライバシー・ポリシーに忠実であるか、3)FBIはこれらの能力の正確さを正しく評価しているか。 

　これらの諮問について答えるため、GAOは顔認証能力の上での連邦プライバシー関連法、FBIのプライバシー・ポリシー、運用マニュアルと他の関係文書をレビューした。実際、GAOは、FBIおよび顔認証に関してFBIと協調関係にある他の連邦機関ならびに2つの州機関と面談した。  

(2)GAOの勧告事項

  (筆者注13-2)の内容につき公表しない旨決定したのか、2)FBIの部長がNGI-IPSにつき外部のパートナーにより使用されるシステムがFBIの使用にとって十分適正なものであるかを決するための試験内容を承認するための手続きの指揮を取っていたか等である。DOJは勧告1)には同意して、勧告2)については部分的に同意した。6つの勧告のうちの3つは一致しなかった。これにつき、GAOは1つの勧告をさらに明確化させて、もう一つの勧告は更新しており、さらにこのレポートで論じられるように全6つの勧告が有効なままであると考え続けている。 

************************************************************************************** 

 (筆者注7-3)シャターフライは、米国のデジタルプリント小売業者。デジタル画像の整理、写真の共有、プリント注文などのサービスのほか、フォトブック、カード、文房具、カレンダーなどのアイテムを作成する。また、企業向けにダイレクトマーケティングの印刷や配送を行う。さらに、第三者によって製作された写真をベースにマグカップ、マウスパッドなどの商品も販売する。(Yahoo ファイナンスから一部抜粋) 

(筆者注8) 2012.10.23 小林啓倫「米FTC、顔認識技術の活用に関するガイドラインを発表」

、漆原次郎 「米国の連邦取引委員会、顔認識技術の利用法を提言」 等である。 

(筆者注9)米国連邦議会のGAOについて筆者のブログでもしばしば取り上げて来ているが、連邦議会の連邦行政機関に対する独立監視機関であり、議会に対する情報提供や行政機関への改善勧告等を独自に行っているまさに「Watchdog」である。わが国では類似の機能を持つ議会の付属機関がないだけに研究の対象とすべき機関である。いまだに多いが「会計検査院」と訳すのは明らかに誤りである。 

(筆者注10) 「10本指の指紋のスキャン(tenprint)」につき、外務省の解説「米国政府による外国人渡航者からの生体情報読み取り措置について」から抜粋する。

「アメリカ合衆国入国時には・・・ 

　入国審査カウンターにおいて、（1）10本指の指紋のスキャン（カウンター上に設置された指紋読取機に指をかざすことによって読み取りを行うもの）と、（2）デジタルカメラによる顔写真の撮影が行われ、これらの情報は、データベースに登録されている情報と照合され、入国許可の判断に当たって利用されるということです。なお、その後も米国に入国する都度、同様の手続きが必要となります。 

　米国政府の説明によれば、生体情報読み取り手続きは、入国審査官が入国書類をチェックしながら同時並行的に行われ、概ね15秒程度で終了するとのことです。」 

(筆者注11) 詳細な指紋摩擦隆線（fingerprint friction ridge）は、一般的に3つの異なるレベルの階層的順序で記述される。このレベルとは即ちレベル1（パターン）、レベル2（マイニューシャ点（指紋隆線の端点：訳者注））、そしてレベル3（孔と稜線）である。実際の指紋検査官は、レベル3の特徴を個人同定の助けとして利用することが多いが、自動指紋認証システム（Automated Fingerprint Identification Systems：AFIS）は現時点ではレベル1及びレベル2の特徴のみに基づいている。実際にはFBI (Federal Bureau of Investigation：アメリカ連邦捜査局)のAFISのための指紋画像解像度の標準は500ppi（pixels per inch）であり、これは孔などのレベル3の特徴を得るのに充分ではない。指紋センサー技術の発達により多くのセンサーが二つの解像度（500ppi及び1000ppi）のスキャン能力を持っている。しかしスキャン解像度の向上のみでは、必ずしも指紋照合性能の向上は見込めない。(Ricohの英文技術専門誌の論文・記事の和文要約「IEEE Transactions on Pattern Analysis and Machine Intelligence (IEEE) Vol.29, No.1)から一部抜粋)

(筆者注12) FBIが取り組んでいる「Rap Back」サービスにつき、2007年12月24日の筆者ブログは「FBIは「rap-back」サービスを計画中であると述べている。これは雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである」と述べている。 

(筆者注13) GAOレポートのポイントを特徴的な内容を中心にとりあげているCNNサイトは、かなりセンセーショナルな内容である。

「FBIには運転免許証、ビザとパスポート・データベースを含む4億1190万以上の顔イメージを検索することができる無秩序に拡大させている顔認証プログラムがある。」

　また、2014.9.16 CNN記事「FBI launches a face recognition system」はFBIのサイバー捜査本部のチーフが取材に応じている。さらに、記事の中でサイバー犯罪捜査等における極めて多くの台数が設置されている監視カメラが撮影した顔イメージ写真がFBIのデータベースに自動的に登録されるなどの問題提起を行っている。特に、CNNはFBIの文書で次のとおりりわずかな登録の適用例外根拠規定があると引用している。

•This tool doesn't let the government start collecting your fingerprint and body data if it couldn't before.

•Police aren't supposed to rely solely on the facial recognition software to arrest anyone.

•Photos on people's social media accounts (Facebook, Instagram, etc.) cannot be submitted into the NGI database (at least during the pilot phase).2014

 (筆者注13-2)”SORN”は米国独自の制度がゆえに、わが国では解説は一般的にはない。国土安全保障省(DHS)の「記録通知システムSystem of Records Notice (SORN)」の解説を見ておく。

　記録通知システムは、情報が個人名、個人に割り当てられる何らかの識別番号、シンボルまたは他の識別子によって検索しうるいかなる機関の管理下にある一群の記録をいう。「1974年プライバシー法」は、記録につきそのシステムの通知を連邦官報で発表することを各々の機関に義務付けている。この通知を、通常「記録通知」または「SORNシステム」と呼ぶ。いかなる機関とは、Government Wide,Department Wide ,Customer and Border Protection等をさし、DHSのSORNsサイトからリンク可である。

***************************************************************** 

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベスト・プラクティスを保証する内容といえるか？」(その3)

 ４．米国イリノイ州におけるフェイスブック、シャターフライを被告とする暫定クラス・アクション(putative class action)の動向 

　本論に入る前に、「写真のタグ付け」に関するフェイスブックの「説明サイト」から一部抜粋する。 

「現在Facebookでは、目や鼻、耳の間隔などの顔の特徴に基づいて独自の数(「テンプレート」)を算出するアルゴリズムを使用した顔認識ソフトウェアを使用しています。このテンプレートは、Facebookのプロフィール写真とFacebookでタグ付けされた写真に基づいています。Facebookは、これらのテンプレートを使用して、あなたの友達のタグを提案し、写真へのタグ付けを支援します。写真からタグを削除した場合、その写真はタグが削除された人のテンプレートの作成には使用されません。また、Facebookではテンプレートを使って利用者の画像を再現することはできません」

　この文章でこのサービスはいったい何を意図しているのか、また他情報主体に取っていかなるプライバシーの侵害を引き起こすのか等、ユーザーはまず知りたいであろう。(筆者は、そもそもFacebookのアカウント登録行っていないし、いくつか有している国内グログでも、もとから本名は一切使っていない。」 

　そこで参考になるのが「気をつけよう！ Facebookの「タグ付け」に関する基本マナー」である。このブログは、2013年6月17日現在で書かれたものであるが、タグ付けについて具体的な事例で説明するとともに、自分の写真が公開されることを好まない場合に、アカウント登録者が気をつけるべき留意点、友達自身が勝手にタグ付けされないようにする手続き等が平易に解説されている。まず一読すべきである。 

(1)2015.4.1 シカゴ住民である原告カルロ・リカタ(Carlo Ricata)は、イリノイ州クック郡連邦巡回裁判所に対し、世界的ソーシャルネットワークの巨人であるFacebook被告とする集団訴訟(class action)を起こした。訴因はFacebookが行っている写真タグ付け提案が主体の同意をえることを義務付けるイリノイ州の2008年「Biometric Information Privacy Act」 (筆者注7-2)違反を理由としたものである。　

　Faceblookの同行為の差止めと各違反行為に対する同法にもとづく損害賠償および弁護士費用を求めた。 

　以下の内容は2015.4.8 arstechnica記事「Chicago man sues Facebook over facial recognition use in “Tag Suggestions”」、2015.4.9 International Business Times「Facebook sued in Illinois for collecting biometric facial recognition data」、2015.11.24 Proskauer法律事務所のブログ「Biometrics: Facebook Files Motion to Dismiss Privacy Suit over Facial Recognition Technology」 等に基づくものである。 

　原告は、告訴状で次の点を指摘した。

「残念なことに、フェイスブックはそのタグ提案機能がユーザーがアップロードされた写真にもとづき写された人の顔を見つけ、スキャンし、彼らの顔と関連したユニークな生体認証識別子(biometric identifiers)を抽出して、彼らが誰であるかについて決定するため「所有者の確認の顔認証ソフトウェア(proprietary facial recognition software)」を実際に使用していることを隠している。

　たとえば、フェイスブックはその「プライバシー・ポリシー」においてその大規模な生体認証データの収集実践を明らかにしないだけでなく、それはユーザーにさえその知識を求めない。その代わりに、フェイスブックは、そのウェブサイトの端っこで顔認識ソフトウェアの使用を記述しているだけで、タグ付け提案(Suggestions)裏にある基本的な機能についてヒントをほのめかすだけである。

　このTag 付け提案技術の本来の性質について知らない数百100万のユーザーを闇の中におくことで、フェイスブックは消費者の生体認証データの世界最大の非公開データベースをひそかに溜め込んだ。 

　原告は告訴状(civil complaint)において、米国連邦取引委員会（FTC）がその「会社は、これまでに生物測定データをデジタル写真から調べて、得る前に肯定して彼らの生物測定識別子のコレクションに同意するための消費者にオプションを提供すべきとするベスト・プラクテイス・ガイドを発表したことも指摘した。

　ヨーロッパにおいて、2012年にフェイスブックは顔の認証について欧州委員会によって調査を受けて、結局大陸で完全に同サービスをやめざるをえなかった。しかし、ヨーロッパの誰かが米国で友人の写真をアップロードするならば、機能はなお機能するし、その人は使用可能にされたタグで彼らのプロフィール機能を暗示してもらっているのである。 

(2)2015.6.17　シカゴの男性　ブライアン・ノーバーグ(Brian Norberg)が米国のデジタルプリント小売業シャターフライ社(筆者注7-3)に対し、イリノイ州BIPAに基づくクラス・アクションを起こした。

　同裁判において、原告は告訴状において次の通りの主張を行った。 

2015年6月17日、シカゴの男性ブライアン・ノーバーグ(Brian Norberg)は、写真シェアリング・(photo sharing )ウェブサイト運営会社「シャターフライ社」に対し、告訴を申し立てた。すなわち、同ウェブサイト（ブライアン・ノーバーグ対シャターフライ会社事件：事件番号No.1：15cv05351、N.D.イリノイ州）が非ユーザーの同意を得ることなく、顔認証技術によって生体認証識別情報を収集したことによりイリノイ州法BIPAに違反したと主張した。告訴状の原本(Dicument #97-150625-024C)参照。

　原告はBIPAが定める生体認証の定義を引用したうえで、さらに、シャタ－フライの「顔テンプレート・データベース」のIPA上の問題点を述べた。 

原告はBIPAが規定する生体認証の定義を引用の上、数百万の非シャタ－会員でない人々に対し、BIPAが求める通知を提供するか、同意を得ることなく、生体認証情報である顔の情報を活発に収集・保存・利用しており、シャタ－フライはBIPAを直接違反していると主張した。さらの原告は、シャタ－フライが何百万もの「顔テンプレート」を作成して、格納するか、「プリントを仕上げる」ために顔認証技術を使用したと主張した。そして、それは「顔の非常に詳細な幾何学的な地図(highly detailed geometric maps of the face)」であった。 

　シャタ－フライは、そのユーザーによってアップロードされる写真の中から、非ユーザーを含むあらゆる顔のテンプレートを作成する。 シャタ－フライには「タグ」特徴がある。そして、自社のデータベースで見つからないならば、それはユーザーが「特定の顔へのあらかじめ選択された名前」を割り当てるか、名前を提供するのを許したと原告は主張した。す。そして、それはその人名をその顔テンプレート・データベースに加えた。原告は、 シャタ－フライが、人々の性、年齢、人種や居場所を確認するためにこの技術を利用していると述べた。 

　2015年12月29日に原告の告発は退けられるべきとする被告の破棄申立(Motion of Dismiss)は、チャールズR. ノーグル連邦地区判事によって、却下された。 

　その後、イリノイ州クック郡の司法部門の公式広報紙(Cook County Report)によると2016.5.9 シャターフライは原告との間で和解が成立したと報じた。和解額は不明である。 

(2)Facebookのイリノイ州のクラス・アクションに対する棄却申立(Motion of Dismiss) 

2015.11.24 New Media And Technology Law Blog「Facebook Seeks Dismissal in Illinois Facial Recognition Biometric Privacy Suit 」 の概要を見ておく。

　フェイスブックは、写真タグ付けのその顔認証ベース・システムがイリノイ州のBIPAを犯すと主張するいくつかの訴訟の被告として名をつけられた。彼の許可なしで「やる気のない」非使用者のタグ付けを含むイリノイ連邦裁判所で起こされる別々の推定の集団訴訟において、フェイスブックは、フェイスブックがそれらのケースでした議論に類似した根拠で、クラスアクションの破棄を求めた。 （Gullen対フェイスブック社（No. 15-07681（2015年8月31日にファイルされるN.D.イリノイ））を参照）。ショートに、もう一人のフェイスブック・メンバーがフェイスブックのタグ提案特徴を働かせている写真の中で彼に手でタグを付けた、そして、その結果、伝えられるところでは、フェイスブックが彼の許可なしで、そして、BIPAに違反して原告のfaceprintをつくって、保存したと、原告の非使用者は、主張した。 

５．米国の顔認証問題をめぐるFTC NIST等の具体的取り組み

(1)連邦取委員会(FTC)

　米国では最近時の顔認識技術の進化、現状の活用事例やベストプラクティス、将来の可能性などを整理した上で、プライバシー侵害のリスクを解説し、プライバシーに配慮した上で活用を進めるための2012年10月22日に具体的ガイドライン案を公表、関係者からの意見を求めた。 

 　2012.10.22 FTCはリリース「FTC Recommends Best Practices for Companies That Use Facial Recognition Technologies：Companies Using the Technologies Should Design Services with Consumer Privacy in Mind 」を公表した。勧奨ガイドの本文は「facing Facts：Best Practices for Common Uses of Facial Recognition Technologies」 (全30頁)である。

 　この件についてはわが国でもすでに紹介されており(筆者注8) 、ここでは深く論じないが、経済産業省のガイドラインに比べ体系的な内容となっていることはいうまでもない。 

(2)連邦商務省・国立標準技術研究所(NIST)

　まず、わが国では”Face Recognition Vendor Test (FRVT)”で名の知れたNISTのイメージ専門の組織を見ておく。

NISTのImage Groupが取り組む「Face Challenges」サイト(Face recognition and evaluation)

Image Groupはfive project areas (Biometrics Standards; Fingerprint Testing; Face, Iris, & Multimodal Testing; Biometric Standards and Next Generation Test Bed.) という5つのプロジェクト・エリアで構成されている。

　サイトの区分ででみると①ITL Biometrics Overviewのサイト、②Image Group Fingerprint Overviewのサイト、③Face Challengesのサイト(Face Recognition Vendor Test (FRVT) Homepage等が含まれる)、④Iris Recognition Homepage、である。 

 

******************************************************:  

(筆者注7-2)米国の主要メデイア記事を読んでも、イリノイ州の「Biometric Information Privacy Act」の条文を引用しながらの解説は皆無である。米国の弁護士専門サイトであるFind Lawのイリノイ州のクラスアクションの解説でも法典まではリンクさせているものの、具体的根拠条文には言及していない。筆者としては、もう一歩踏み込んだ法解説ブログの面目を保つ意味でここで詳しく言及する。

  第15条 生体認証情報の保持、収集および破棄 

 Sec. 15. Retention; collection; disclosure; destruction.

 (a) A private entity in possession of biometric identifiers or biometric information must develop a written policy, made available to the public, establishing a retention schedule and guidelines for permanently destroying biometric identifiers and biometric information when the initial purpose for collecting or obtaining such identifiers or information has been satisfied or within 3 years of the individual's last interaction with the private entity, whichever occurs first. Absent a valid warrant or subpoena issued by a court of competent jurisdiction, a private entity in possession of biometric identifiers or biometric information must comply with its established retention schedule and destruction guidelines.

 (b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a person's or a customer's biometric identifier or biometric information, unless it first:

  (1) informs the subject or the subject's legally authorized representative in writing that a biometric identifier or biometric information is being collected or stored;

  (2) informs the subject or the subject's legally authorized representative in writing of the specific purpose and length of term for which a biometric identifier or biometric information is being collected, stored, and used; and

  (3) receives a written release executed by the subject of the biometric identifier or biometric information or the subject's legally authorized representative.

 (c) No private entity in possession of a biometric identifier or biometric information may sell, lease, trade, or otherwise profit from a person's or a customer's biometric identifier or biometric information.

 (d) No private entity in possession of a biometric identifier or biometric information may disclose, redisclose, or otherwise disseminate a person's or a customer's biometric identifier or biometric information unless:

  (1) the subject of the biometric identifier or biometric information or the subject's legally authorized representative consents to the disclosure or redisclosure;

  (2) the disclosure or redisclosure completes a financial transaction requested or authorized by the subject of the biometric identifier or the biometric information or the subject's legally authorized representative;

  (3) the disclosure or redisclosure is required by State or federal law or municipal ordinance; or

  (4) the disclosure is required pursuant to a valid warrant or subpoena issued by a court of competent jurisdiction.

 (e) A private entity in possession of a biometric identifier or biometric information shall:

  (1) store, transmit, and protect from disclosure all biometric identifiers and biometric information using the reasonable standard of care within the private entity's industry; and

  (2) store, transmit, and protect from disclosure all biometric identifiers and biometric information in a manner that is the same as or more protective than the manner in which the private entity stores, transmits, and protects other confidential and sensitive information. 

  第16条 訴訟の提起権(情報の破棄権：destruction.)と違反行為に対する損害倍賞請求権

 Sec. 20. Right of action. Any person aggrieved by a violation of this Act shall have a right of action in a State circuit court or as a supplemental claim in federal district court against an offending party. A prevailing party may recover for each violation:

  (1) against a private entity that negligently violates a provision of this Act, liquidated damages of $1,000 or actual damages, whichever is greater;

  (2) against a private entity that intentionally or recklessly violates a provision of this Act, liquidated damages of $5,000 or actual damages, whichever is greater;

  (3) reasonable attorneys' fees and costs, including expert witness fees and other litigation expenses; and

  (4) other relief, including an injunction, as the State or federal court may deem appropriate. 

 BIPAは過失による違反につき法定損害の1,000ドルと意図的な違反に対する5,000ドルを定める。  

(筆者注7-3)シャターフライは、米国のデジタルプリント小売業者。デジタル画像の整理、写真の共有、プリント注文などのサービスのほか、フォトブック、カード、文房具、カレンダーなどのアイテムを作成する。また、企業向けにダイレクトマーケティングの印刷や配送を行う。さらに、第三者によって製作された写真をベースにマグカップ、マウスパッドなどの商品も販売する。(Yahoo ファイナンスから一部抜粋) 

(筆者注8) 2012.10.23 小林啓倫「米FTC、顔認識技術の活用に関するガイドラインを発表」、漆原次郎 「米国の連邦取引委員会、顔認識技術の利用法を提言」 等である。 

(筆者注9)米国連邦議会のGAOについて筆者のブログでもしばしば取り上げて来ているが、連邦議会の連邦行政機関に対する独立監視機関であり、議会に対する情報提供や行政機関への改善勧告等を独自に行っているまさに「Watchdog」である。わが国では類似の機能を持つ議会の付属機関がないだけに研究の対象とすべき機関である。「会計検査院」と訳すのは明らかに誤りである。 

(筆者注10) 「10本指の指紋のスキャン(tenprint)」につき、外務省の解説「米国政府による外国人渡航者からの生体情報読み取り措置について」から抜粋する。

「アメリカ合衆国入国時には・・・ 

　入国審査カウンターにおいて、（1）10本指の指紋のスキャン（カウンター上に設置された指紋読取機に指をかざすことによって読み取りを行うもの）と、（2）デジタルカメラによる顔写真の撮影が行われ、これらの情報は、データベースに登録されている情報と照合され、入国許可の判断に当たって利用されるということです。なお、その後も米国に入国する都度、同様の手続きが必要となります。 

　米国政府の説明によれば、生体情報読み取り手続きは、入国審査官が入国書類をチェックしながら同時並行的に行われ、概ね15秒程度で終了するとのことです。」

 (筆者注11) 詳細な指紋摩擦隆線（fingerprint friction ridge）は、一般的に3つの異なるレベルの階層的順序で記述される。このレベルとは即ちレベル1（パターン）、レベル2（マイニューシャ点（指紋隆線の端点：訳者注））、そしてレベル3（孔と稜線）である。実際の指紋検査官は、レベル3の特徴を個人同定の助けとして利用することが多いが、自動指紋認証システム（Automated Fingerprint Identification Systems：AFIS）は現時点ではレベル1及びレベル2の特徴のみに基づいている。実際にはFBI (Federal Bureau of Investigation：アメリカ連邦捜査局)のAFISのための指紋画像解像度の標準は500ppi（pixels per inch）であり、これは孔などのレベル3の特徴を得るのに充分ではない。指紋センサー技術の発達により多くのセンサーが二つの解像度（500ppi及び1000ppi）のスキャン能力を持っている。しかしスキャン解像度の向上のみでは、必ずしも指紋照合性能の向上は見込めない。(Ricohの英文技術専門誌の論文・記事の和文要約「IEEE Transactions on Pattern Analysis and Machine Intelligence (IEEE) Vol.29, No.1)」から一部抜粋。

 (筆者注12) FBIが取り組んでいる「Rap Back」サービスにつき、2007年12月24日の筆者ブログは「FBIは「rap-back」サービスを計画中であると述べている。これは雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである」と述べている。 

(******************************************************************** 

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベスト・プラクティスを保証する内容といえるか？」(その2)

(2)ドイツ・ハンブルグ州の情報保護・情報自由化委員ヨハネス・カスパー( Prof. Dr. Johannes Caspar ) (筆者注4)等を中心としたFace Bookの顔認証による個人情報の収集等への告発

  

　ドイツ・ハンブルグ州の情報保護機関(HmbBfDI)のフェイスブック顔認識ソフトウェアならびに「仮名・ペンネーム化(pseudonyms)問題」に関する具体的取り組み内容を時間を追って整理する。 

①2011.8.15 The Guardian記事「 Facebook facial recognition software violates privacy laws, says Germany

Social network must stop programme and delete data already collected on users – or face fines up to €300,000, says official」

　ドイツの情報保護機関は「フェイスブック顔認識ソフトウェア(筆者注5) にもとづくタグ付けはドイツのプライバシー保護法を犯している、社会的ネットワークのプログラムを止めなければならならず、ユーザーにつきすでに集められる個人データはを削除しなければならない。また、放置すれば最高30万ユーロ(約3,360万円)の罰金が科せられる可能性がある」と警告した。 

②2012.8.15 ドイツ・フランクフルター紙記事「Facebookの中で顔認識のための追加のプロセスを再び」

　ハンブルクのデータ保護監督官ヨハネス・カスパーは、再度フェイスブックの顔認識ソフトウェアに対する保護法から見た警告手続を開始した。 

③2015.7.25 Bloomberg 記事 「Facebook Ordered by Hamburg Regulator to Allow Pseudonyms」

　(仮訳)フェイスブックは、ハンブルグ州の情報保護監査機関(HmbBfDI)によって仮名・偽名使用を認めるべき旨命ぜられた。 (筆者注6)(筆者注7)

　フェイスブックは、ドイツの情報保護機関からユーザーがソーシャル・ネットワーク上で仮名やペンネーム等(pseudonyms)のアカウントを持つことを認めるようドイツのプライバシー番犬によって命令された。 

ヨハネス・カスパー（ハンブルグ州の情報保護監査機関）は、Bloombergあて電子メールで送った声明で、「フェイスブックはそのようなアカウント口座名をユーザーの本名に一方的に変えられないし、また仮名やペンネームのアカウントをブロックしえない。同社（ヨーロッパの本部はアイルランドにある）は、同国の法律の適用対象となるだけであるとする主張にも根拠がない」と述べている。さらに「「我々の問題提起に組する人は誰でも、我々のゲームをしなければならないし、ユーザー名の変更は露骨にプライバシー権利を専制的に冒涜するものである」とも述べた。 

　カスパーおよびその他のドイツの情報保護監査機関は、ヨーロッパのデータ保護規則の施行について、長い間フェイスブックを敵として戦ってきた。米国企業であるフェイスブックは、ドイツの監督機関ではなくEU本部があるアイルランドの監査委員にフェイスブックのEUのプライバシー法の遵守に関する管轄権があると主張した。 

　一方、フェイスブックは、それがそれが問題に関する論争に勝ったあとにもかかわらず、本名のみに限定する同社の「ユーザー名使用(real name )ポリシー」問題が再度問題とされたことに失望したと述べている。 

　同社は電子メールを送られた声明において「フェイスブックにおける本名の使用は、人々が彼らが誰と情報を共有し、誰とつながっているかをわかることを確実とすることによって、最終的に人々のプライバシーと安全を保護する」と述べている。 

　なお、2015年11月3日のNaked Security by SOPHOS「10月30日にフェイスブックは、米国内の人権擁護団体からの強い要請を受け、リアル・ネーム・ポリシーを最終的に改正」がドイツ以外の国々の例として参考になる。ここでは詳しく内容紹介しないが、(筆者注6)で述べる日本語版のリアル・ネーム・ポリシーを正確に読みかつ理解することが重要といえよう。 

 

 ************************************************** 

(筆者注4) 2009.12.7 芦田勝ブログ「Googleのストリートビューをめぐる海外Watchdog の対応とわが国の法 的課題 （その５）」においてヨハネス・カスパー氏(Johannes Caspar) やドイツの取り組みにつき解説している。また、2013年5月、ハンブルグ州保護委員はGoogleに対し、ストリートビュー撮影車が無断でWiFiの情報を不正に取得したとして145000ユーロの罰金刑を科している。この事件につき、2013.6.27 芦田勝ブログ「仏CNIL等がGoogleに対し今後3ヵ月以内にフランスの1978年情報保護法等およ び制裁予告を通知」 (筆者注3)も参照されたい。　なお、この事件の経緯をさらにみると、Googleは、「ストリートビューカーが街中の無線LANをスキャンして記録、2010年末までに表示開始か」について、SSID(SSIDとは、無線LAN（Wi-Fi）におけるアクセスポイントの識別名。混信を避けるために付けられる名前で、最大32文字までの英数字を任意に設定できる。)やMACアドレス(ネットワーク機器やネットワークアダプタに付いている固有の識別番号。LANで接続されている機器やLANの増設アダプタには製造段階で必ず付けるようになっている)だけでなく、暗号化されていない無線LANによる通信内容もそのまま記録していたことが判明した。

　情報保護委員が「ドイツで知られている最大のデータ保護規則違反の一つ」と判断し、145,000ユーロの罰金を科した。ドイツ検察は Googleの「犯罪的な違反」を見つけることができなかったとして、2012年の秋に世界的な検索巨人に対する刑事訴訟手続を取り下げた。

しかし、データ保護委員は罰金を課すことを願い事件を取り上げた。 Googleは通りの景色チームがコレクションを知らないで、違法なデータ獲得量を決して見なかったと主張した。

しかし、ハンブルグに拠点を置く保護監査機関責任者ヨハネス・カスパーは、ブルームバーグの取材に対し「Googleの個人情報の内蔵制御メカニズムは、著しく故障していたに違いない」と述べた。（2013.4.22 VERGE記事「Google fined just $189,000 for 'one of the biggest' data protection violations in German history 」 

　なお、北海道大学法学部・准教授 佐藤結美「個人情報の刑法的保護の可能性と限界について」 は、93頁以下でドイツの保護法制における「過料」と「刑事罰」につき詳しく解説している。この解説はわが国の内閣等政府関係の資料に比べく詳しさのレベルが異なるもので極めて参考になる貴重な解説論文である。 

(筆者注5)Face Bookヘルプセンターの顔認証ソフトによる「写真のタグ付け」の解説文を引用する。 

 「Facebookからタグが提案されるしくみはどうなっていますか。 あなたの写真を第三者がアップロードすると、その写真に写っているあなたへのタグ付けが提案され ることがあります。Facebookでは、あなたの友達の写真と、あなたのプロフィール写真およびあなたがタグ付けされた写真から集めた情報を⽐較できます。この機能がオンになっている場合、あなたの写真がアップロードされたときにあなたの名前を提案するかどうかを選択できます。

これは、あなた のタイムラインとタグ付けの設定で調整します。 現在Facebookでは、目や⿐、⽿の間隔などの顔の特徴に基づいて独⾃の数(「テンプレート」)を算出 するアルゴリズムを使⽤した顔認識ソフトウェアを使⽤しています。このテンプレートは、Facebookのプロファイル写真とFacebookでタグ付けされた写真に基づいています。Facebookは、これらの

テ ンプレートを使⽤して、あなたの友達のタグを提案し、写真へのタグ付けを⽀援します。

写真からタ グを削除した場合、その写真はタグが削除された⼈のテンプレートの作成には使⽤されません。ま た、Facebookではテンプレートを使って利⽤者の画像を再現することはできません。 

(筆者注6) フェイスブックの「アカウント名に関するリアル・ネーム・ポリシー(real-name policy)」 の内容を見ておく。

「Facebookは、利用者同士が実名を使って交流するコミュニティです。Facebookでは、すべての利用者の方に、日常的に使っている名前をフルネームでご登録いただいています。これは、コミュニティの安全を維持するのに役立っています。

名前に次のものは使用できません。

◾記号、数字、不要な大文字、繰返し文字、句読点

◾複数の文字種

◾あらゆる種類の肩書き(職業上、宗教上など)

◾名前に代わる語句やフレーズ

◾あらゆる種類の不快または露骨な語句

・・・・・・

日常的に使っている名前がアカウントに表示されていない場合は、名前を変更してくださ

い。変更できない場合は、こちらをご覧ください。」 

(筆者注7) 仮名化データ(Pseudonymous data)については、筆者ブログも参照されたい。

 ****************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

 

(

 

 

わが国の改正個人情報保護法の政令、施行規則等は「顔認証」に関しベスト・プラクティスを保証する内容といえるか？」(その１)

　筆者は最近時のブログ「EUの「一般データ保護規則」および「新保護指令」の欧州議会可決の意義と米国との関係見直しおよびわが国の実務等への影響(その1)」および「同ブログ(その2完)」で、わが国の個人情報保護法の改正(「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」)にかかる政令、施行規則等にかかる案を8月31日を期限とするコメントの公募中であることを取り上げた。

　実は、その中で生体認証情報の保護法上での位置づけが取り上げられていることを詳しくは論じていなかった。しかし、今回、個人情報保護委員会から提示された「個人情報の保護に関する法律施行令改正案の骨子（案）」を見て明らかな通り、生体認証とりわけ「顔認証(Facial Recognition；Gesichtserkennung)」は技術面の著しい進化と相俟ってわが国の個人情報保護を論じるうえで重要な問題であり、ここで改めて内外の動向と課題を整理することとした。 (筆者注1) 

　特に注目すべき点は、本文の最後で述べるとおり顔認証という変更不可能な身体的な識別情報がパスワード等とほぼ同一に位置づけられており、EUや米国等で見られるデータ主体による予めの「同意」やオプトアウト権に関するポリシー文言が手当てされていない点である。

 　なお、筆者は顔認証技術の専門家ではない、関係者による指摘等を期待する。 

　今回は、5回に分けて掲載する。

１.個人情報保護法の改正における顔認証等生体認証を「個人識別符号」(第2条第1・2項)として明確化し、政令で明記した内容

(1)「個人識別符号」の意義

　「個人識別符号は、特定の個人を識別することができると認められる情報を政令で定めるものであり、これによって個人情報の該当性判断の客観化・容易化を図っている。

「特定の個人を識別することができるもの」であるかの判断要素として、国会審議においては、①個人と情報との結び付きの程度（一意性等）、②可変性の程度（情報が存在する期間や変更の容易さ等）③本人到達性が示され、これを総合判断して個人識別符号を政令で定めるここととしている。

　一号の個人識別符号には、指紋や顔の特徴をコンピュータで扱うためにデジタル化したもの等が該当する。

　これらは、個人に固有のものであって、かつ、終生不変のものであり、いったん取得されれば、別の機会・場所で同一人物から取得された情報であっても、照合してほぼ確実に同定ができるものである」。 

　次のいずれかに該当する文字、番号、記号その他の符号のうち政令で定めるものが含まれるもの：特定の個人の身体の一部の特徴を電子計算機のために変換した符号(例：指紋認識データ、顔認識データ)」

(平成27年11月内閣官房ＩＴ総合戦略室「個人情報保護法の改正概要」の図解等から一部抜粋) 

　これらの内容は、従来解釈や所管省庁のガイドライン記載されていたもので当然のことと言えようが、最後に述べるとおり、プライバシー保護面から見た更なる課題は残ろう。

 (2)顔認証の技術面から見たわが国企業等の取り組み

a.NECの取り組み例

○NECは、2007.9.19 に「ユニバーサル・スタジオ・ジャパン（USJ）」の入場ゲート・システムに、顔認証エンジンたる「NeoFace」を納入したと発表した。顔の識別による生体認証システムを集客施設のゲートに採用するのは国内初の事例という。

　NECサイトで具体的な内容を見ると「今回のゲートシステムには、検出から照合まで顔認証に必要な全ての処理を一括して行えるNECの顔認証エンジン「NeoFace」が使われています。「NeoFace」は、入力された画像の中から“目と思われる部分”を抽出し、目の位置情報を元にNEC独自の学習アルゴリズムを利用して顔の検出を行っています。目の位置を基準として顔のパーツにとらわれず比較を行うため、メガネやひげなどで顔の一部が隠れても精度の高い照合が可能となっています。更に1秒間に100万枚のデータとの照合を実行できるため、非常に高速な顔認証が行えます。・・・」とある。 

　NeoFaceを導入したUSJの年間パス所有者に対する入場ゲートウェイに設置されている。 

　一方、年間パス会員に顔認証の拒否権があるのか、「USJのプライバシーポリシー」等からはその点につき何事も読み取れない。 

○NECは米国NIST につき2014年6月20日で「NEC、米国国立標準技術研究所(NIST)の顔認証技術 ベンチマークテストで3回連続の第1位評価を獲得 」等多くの広報分野で活動しているが、顔認証が保護法の下部の法令で明確化された以上更なるユーザー企業への展開面で整合性の取る事などを期待したい。 

b.グローリー社の取り組み例

　同社の顔認証ユニット・システム「QFU-100」は入口に設置したカメラで来訪者の顔を検出し、登録者を認証するシステムで、特定人物の施設への来訪を正確でスピーディーに検知し確認することができる。その具体的な機能として、

①来訪者検知システム：「属性通知機能」 「来訪状況確認機能」

②入館管理システム：「入館通知メール機能」「見守り通知機能」「特定者入館制限機能」がある。 

　さらに動画で「顔認証システムの紹介」3D顔認証技術について紹介している。

筆者がこの動画を見て最も気になった点は同社が提供しているクローズな建物内の個人情報管理とセキュリティの問題と、この動画に出くるパブリック・スペースにおける高度な顔認証技術との関係である。 

　欧米だけでなく生体認証の情報収集は明らかに本人の同意、またはそれに準じたものでなければ、保護法の意味はまったくなくなるともいえる。同社のPRのあり方が気になる。 

c.Windows10の”Windows Hello”の顔認証機能と現状の問題点

 マイクロソフト社は新OSである”Windows 10”におけるPCアクセス権限者の顔認証たる虹彩等の生体認証への取り組みの説明文を見ておく。　

「Windows Hello は、目で見たり、タッチしたりするだけという、よりパーソナルな方法で Windows 10 デバイスにサインインする機能です。 これにより、パスワードを入力することなく、企業で採用されるレベルのセキュリティが実現されます。

・・・指紋リーダーを備えた Surface Pro 4、Surface Book、およびほとんどの PC は既 Windows Hello に対応していますが、今後は顔や指紋を認識できるデバイスが増えていく予定です。

[スタート]Windows ロゴ アイコン

ボタン、[設定]、[アカウント]、[サインイン オプション] の順に選んで、Windows Hello を設定します。 お使いの PC に指紋リーダーや対応するカメラが搭載されている場合は、[Windows Hello] に顔、指紋、眼球の虹彩を使うオプションが表示されます。 設定が終わると、さっとスワイプするかひとめ見るだけでサインインできるようになります。」 

　ところが、この問題はそう簡単ではない。ここでは、2つのレポートを参照されたい。 

① 2015.12.14  「PCの顔認証機能は双子を見分けられるのか？能力の限界に迫ってみた」 

②2015.8.4 Gizmodo 「Windows 10顔認証に対応する製品が限定的すぎる…」 

d.丸善ジュンク堂書店は全店舗での顔認識システム導入を推進 

　同書店のHPでは、この点に関する解説は皆無であり、一般のブログを見ても同書店の正式なコメントはなく、問題の本質は藪の中である。 

　関係するブログ例を引用する。 

①「丸善ジュンク堂書店では既に店内で顔認証システムが導入されているようです。　～顔認証される場所は、市町村役場だけに限ったものではない」 

　丸善ジュンク堂書店の法解釈や表示内容について問題指摘したブログ 

②2015.11.28 付けの「なか2656の法務ブログ」の「ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて」 

　改正保護法の解釈や経産省のガイドライン等に言及しつつの解釈法的に見たジュンク堂書店の行っている実務面の問題を鋭く取り上げている。 

　なお、筆者なりに調べてみたが、ジュンク堂書店の「個人情報保護指針」 には顧客の顔認証等生体認証の記録処理に関する文言は一切ない。顧客にとってのオプト・アウト権は同書店を利用しない ことのみであろう。 

２．わが国の顔認証の保護をめぐるわが国のITや防犯、セキュリティ関連企業活動の実態からみた課題

 (1)LYKAON（リカオン）社「万引き対策・万引き被害・万引き損失への防犯対策/顔認証万引き防止システム 」 

　リカオン社の万引き防止システムについて、弁護士の問題指摘がなされている。 

　花水木法律事務所 blog「2014年04月08日顔認証による万引防止システムと法の支配について」から一部抜粋する。

 「・・・顔認証関係で刺激的なニュースが報じられた。 

　2014年4月5日の読売新聞朝刊によると、店舗の防犯カメラで撮影された客の顔が顔認証で解析され、無断で115店舗にわたり共有されているという。 

　一方、LYKAON株式会社は、上記記事が「仮に当社製品リカオンを指しているのであれば、明らかな誤報」であるとして、読売新聞に対し、損害賠償を請求するという抗議文書を公表した。 

　もっとも、この抗議文書は、急いで作ったためか、文脈の乱れがひどく、不明な点が多くある。読売新聞の記事も、仔細に見ると、意味の通らないところがある。したがって、以下の分析は、想像で補った設定であることを前提にお読みいただきたい。・・・・」 

　ところで、LYKAON社のホームページによると、同社のシステムは、「万引犯を現行犯人として拘束（した際に）本人からの同意等を得ることによって、他店間との共有」を行うから問題がないという。(筆者がこの点を確認したが、このような記載文言は同社のHPには存しなかった) 

　この問題指摘等もあり、筆者がリカオン社の「本システム利用 個人情報運用基準：利用上の遵守事項」の関係個所を見たところ、次のような記載があった。

 「(2)設置概要：顔認証カメラは、設置施設の出入口に向けて設置し、防犯目的のために撮影を行う。設置施設の出入口付近外側の見やすい位置に、顔認証システム・防犯カメラが作動中である旨の表示をする（提供ステッカー） (筆者注2) 

(3)データの保管期間及び管理体制：顔認証検知による静止画データは一定期間（最長7日間保管）経過後に自動的に削除。また、顔認証システム利用事業者が定める管理責任者のみが静止画データの閲覧権限を保有する。 

 登録データ（静止画データのうち、本システムに防犯登録したデータ）は180日経過後に自動的に削除。また、顔認証システム利用事業者が定める管理責任者が適切に保管するものとする。 

(4)データの適正な利用： ア. データは防犯目的のみに利用し、不当な目的のために利用しない。 

イ. 顔認証システムにより得られる情報が、機微情報であることに鑑み、情報漏洩に対して適切な措置を講じるものとする。」 

(6)情報管理責任者：設置顔認証システム導入事業所に管理責任者を1名設置する。」 

　以上の内容を読んで本人の同意に基づく他店と共有および同意が得られた状況等なお不明な点が多いし、前述の花水木弁護事務所の法的疑問はクリアできそうもない。

 (2)福岡県警の組織暴力団等への生体認証捜査にかかる福岡弁護士会の問題指摘 

　2014年（平成26年）年5月27日　福岡県弁護士会会長 三浦邦俊「法律によらず顔認証装置を使用しないよう求める声明」から一部抜粋する。 

　「当会の調査によれば、2013年（平成25年）12月に福岡県警察（以下「福岡県警」という。）に顔認証装置が導入され、すでに使用例も存在する。 

福岡県警は、具体的な組織犯罪が生じた場合に、県警が自ら設置する防犯カメラの画像の他、民間のカメラの画像もその捜査のために収集する予定であると説明している。また、顔認証装置で検索・照合する対象となるデータベースに登録される人物については、組織犯罪を対象とすることからの限定があるという。 

　しかし、組織犯罪対策運営規程には、顔認証装置の使用について、使用できる場合としての対象犯罪や、検索・照合の対象となるデータベースに登録される者の属性を限定する明文規定も存在しない。」 

　この点は、果たして組織犯罪対策運営規程(福岡県警察組織犯罪対策運営規程（平成１８年福岡県警察本部訓令第１０ 号）)等警察の内部規程の内容および運用の実態、さらには5.(3)で述べる米国連邦議会の行政監査機関たるGAOレポートに見るような外部機関による厳しい査定がないまま藪の外に置かれていないか。極めて大きな疑問が残る。 (筆者注3) 

３．EU加盟国におけるフェイスブックの自動顔認証タグ問題 

(1)アイルランドのデータ保護委員の告発 

　2012年10月5日の日経ITプロ「フェイスブック、欧州で顔認証機能を無効に」から一部抜粋する。(リンクおよび注の追加は筆者が独自に行った) 

「フェイスブックはアイルランドのデータ保護委員会（DPC）の求めに応じて、写真のタグ付け提案機能へのアクセスを取り去った。同機能は、投稿された写真の顔とユーザーを照合してタグ付けを促し、誰が写っているか簡単に分かるようにするもの。DPCは、フェイスブックのプライバシー慣習が欧州のデータプライバシー法に準じているかどうか調査する任務を負い、2011年12月にユーザーのプライバシー保護を向上するためとして45点の変更すべき点をフェイスブックに勧告した。 

　DPCの調査は、オーストリア人の学生が苦情を申し立てたことに端を発している。この学生が、自身に関して保存している情報の開示をフェイスブックに請求したところ、1200ページに及ぶドキュメントが送られてきた。つまり、フェイスブックはユーザーの了解を得ずに、とっくに削除されたとユーザーが信じていた写真やコメントなどを含め、様々な情報を保持していた。その中には、ユーザーの了承なく自動顔認証技術を使った写真タグもあった。」 

　この原稿の元となったのはアイルランドのDPCのレポート「21-09-12 - Facebook Ireland Audit Review Report 」である。2011年12月にDPCがフェイスブックに対し行った勧告の報告「Report of Data Protection Audit of Facebook Ireland Published」の内容もあわせ参照されたい。 

**************************************************************************

(筆者注1)2015年12月29日付け読売新聞オンライン版記事は、同書店の来店者の特性や万引き防止システム等のために導入した顔認証システムのわが国の保護法上の位置づけやEU、米国等のデータ主体の同意を前提にした顔認証システムへの取り組みの内容を簡単に紹介している。 

(筆者注2) 「提供ステッカー」の内容が不明であるが、「オプトアウト権」の行使が行えるよう、少なくとも誰もが読んでわかるもボードの大きさ、設置場所、文言等につき、クリアすべきであろう。イリノイ州であれば書面の交付が求められよう。

 (筆者注3) 国際テロ阻止、出入国管理強化の観点からわが国で生体認証技術が導入されている分野は「J-BIS」といえる。

「J-BIS（Japan Biometrics Identification System）とは、外国人の出入国管理を目的として日本の空港や港に導入されている生体認証を用いた人物同定システムである。入国審査を行うブースに置かれた機器で、入国を希望し上陸の申請を行う人物の、両手の人さし指の指紋採取と顔写真の撮影を行うと同時に、入国管理局作成のリストと照合を行い、犯罪者や過去に退去強制（強制送還）等の処分を受けた外国人の再入国を防ぐ効果を期待され導入された。

2007年11月20日に、成田国際空港、羽田空港国際線ターミナル、関西国際空港[1]、中部国際空港を含む、全国の27空港と126港で運用が開始された。」(Wikipedia から一部引用)。　　この点で、この問題に関する法務省の「第３次出入国管理基本計画」(2005年3月)において「バイオメトリクスを活用した出入国審査の導入」問題が次のとおりとりあげられているが、その具体的内容については言及されていない。

「テロリスト，過去に我が国から退去強制された外国人及び犯罪を犯した外国人を水際で確実に発見し排除するためには，従来から行っている偽変造文書対策を更に強化するとともに、バイオメトリクス（生体情報認証技術）の出入国審査への活用が有効と考えられる。

そこで，「テロの未然防止に関する行動計画」（平成16年12月10日国際組織犯罪等・国際テロ対策推進本部決定）に基づき，上陸審査時に外国人の顔画像及び指紋情報の取得を行うため，実施に当たっての諸留意点を整理した上，諸外国の動向等を踏まえつつ，法的整備を行っていくこととするなど，必要な準備を進めていく。また，査証申請時における申請者の指紋採取については，外務省において在外公館の体制や資機材の整備状況，諸外国の動向等を踏まえ，順次検討の上実施することとされており，実施される場合における上陸審査との連携について検討していく。また，日本人の出帰国審査においては，当面は，希望者についてバイオメトリクス（生体情報認証技術）を活用することにより，自動化ゲートの導入を図り，更に外国人への拡大についても検討していく」 

*******************************************************************************************************:

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

EUの「一般データ保護規則」および「新保護指令」の欧州議会可決の意義と米国との関係見直しおよびわが国の実務等への影響(その1)

 

　2016年4月14日に欧州議会本会議は「一般データ保護規則(正式には「Regulation(EU)2016/679」、以下「GDPR」という)」 (筆者注1)および「新保護指令(正式には「Directive(EU)2016/680」を採択した。さらに4月27日付けで「Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)」および法執行･司法部門の情報保護指令(以下「新指令」という)「DIRECTIVE (EU) 2016/680 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA」

が正式に公布された。 

　翻ってみると、GDPRは2012年1月に欧州委員会が規則案等を提案、幾多の修正、関係機関での審議を踏まえ、今般の欧州議会の可決まで約4年以上かかったことになる。この規則案の制定の背景、意義、経緯、主要な事項等についてはすでにわが国でも解説が加えられている。

 　特に注目すべき点は、GDPR制定の意義は、従来EU加盟国だけでなくEUとビジネスを行って来た多くの関係国の個人情報保護の基礎とされてきた「EU指令(Directive 95/46/EC)」の法的効果、21年間の運用面･裁判上の反省に基づくものであり、今後の世界の主要ビジネスのメルクマールとなると考えるべきことである。

　その意味で、筆者自身、海外の主要ローファーム(筆者注2)の解析内容も含め前述したとおり改めて整理する重要性、意義を優先すべきと考えた次第である。 

　今回のブログは、わが国におけるGDPRの主な解説レポートを概観するとともに、2018年5月25日施行(運用開始)までの間に予定されるより詳細なDPR内容の具体化、各国政府や企業等の対応がいかなる課題を抱えるのか等を整理するものである。特に、わが国におけるマイナンバー制度等にあわせ改正された個人情報保護法の改正ポイントと比較すると、人権保護面から見て多くの課題(とりわけ「匿名化情報」を個人情報からはずした点や現行の業法たる「個人情報保護法」から「プライバシー保護法]への基本的転換問題等(筆者注3)を残している。　 

　最後に、国際的なローファーム 「Bird & Bird」のGDPRがまとめたEU域内で活動する企業等の法遵守に向けた取り組み課題について、主要な点を中心にとりまとめたガイド等に基づく解説内容を概観する。 

　なお、欧州委員会の「GDPR」や「新指令」の専門解説サイトでも引用されているとおり、従来、米国とEU間の個人情報の移送ルールである「セーフ・ハーバー協定」に替わる新ルールたる”EU-U.S. Privacy Shield”が2016年6月2日にEU･米国間で署名され、2016年8月1日に完全実施された点も重要な問題といえるが、その内容、問題点等については、本ブログで別途の機会に取り上げたい。

 今回のブログは、2回に分けて掲載する。 

１．わが国のネット上で公開されたGDPRの経緯、概要、今後の課題等にかかるレポート等 

　筆者が、最近時に閲覧したレポートから注目すべきものを以下あげる。  

(1)オーエスジー総研　水間丈博「EUの一般情報保護法制定の動きとその影響」 

　GDPRの制定に向けた背景、経緯、GDPR内容を中心に簡潔にまとめられている。このレポートは2015年12月の発表されたものであるが、3か月程度経過すれば新たな動きが明らかとなり、続編をレポートしたいとの筆者は述べている。特に大きな変化がないためか続編は出ていないが、是非わが国の保護法法制を含めた本格的なレポートを期待したい。  (筆者注4)

(2)東京大学大学院情報学環客員准教授・情報通信総合研究所研究員　生貝直人「EU一般データ保護規則可決、そして情報社会の民主主義について」

 　これまでのEUにおける検討内容を整理するとともに、今後のGDPRを受けた詳細なルール形成に向けた論点をまとめている。  

(3)情報通信総合研究所研究員　藤井秀之「閣僚理事会によるEUデータ保護規則案の承認と今後の予定」 

　2015年6月に公表したものでタイムラインの解説が中心ではあるが、GDPRのキーワードはフォローされている。また、内外の関係機関の解説記事のURLも紹介している。  

(4)西村あさひ法律事務所・弁護士　石川 智也 「発効が迫るEUデータ保護規則と日本企業にとっての留意点」

　EUのGDPRに基づき域外適用、域外移転、課徴金問題等がわが国の企業の展開にいかなる影響を与えるかなど具体的事例に基づいた解説を行っている。

(5)ZDNet記事「EUの一般データ保護規則と改正情報保護法ー日本企業が気をつけるべきことは」 (その1 )、 (その2) 

　世界的ITローファームで構成する専門家グループ：Deloitte Tohmatsu Risk Services Co., Ltd.が主催した講演会の要旨をまとめている。 

　わが国企業自体が留意すべき点、英国のBrexitによる影響等をGDPRのポイントを中心にまとめている。  

2.欧州委員会のGDPRや新指令の専門解説サイトの内容からみるEUのIT社会の進化の情報保護面からの具体的取り組み課題とこれまでの検討経緯の概要

 　欧州委員会のGDPRや新指令の専門解説サイト(Reform of EU data protection rules)から重要と思われる点のみ取り上げる。  

(1)欧州委員会のEUにおける情報保護改革に関する合意 

　2015年12月15日欧州委員会は、GDPRおよび新指令につき合意したことを踏まえ、次のとおり要約、公表した。 

 A.GDPRの制定目的 

①GDPRは、人々がよりよく彼らの個人データをコントロールすることができるものとする。同時に現代化されたこの統一規則は、企業が官僚主義を改め、補強された消費者信用から利益を得ることによって「デジタル単一市場(Digital Single Market)」の機会を最大限に活用することを許す。 

②警察と犯罪の司法セクターのためのデータ保護指令は、犯罪の被害者、目撃者と容疑者のデータが捜査または法の執行活動の前後関係で順当に保護されることを確実とする。同時により多くが調和した法律は、ヨーロッパの全域でより効果的に犯罪とテロリズムを防止するために警察または検察官の国境を越える協力をも容易にする。 

B.GDPRの主要課題 

　新しい規則GDPRは、以下の点を通じてEU市民の懸念に対処する。 

a. 「忘れられる権利(right to be forgotten)」 ： 個人がもはや彼（彼女）のデータが処理されることを望まないで、またそれを保持するだけの正当な根拠がないと欲したとき、データは削除されうる。 これは単に過去の出来事を削除するか、出版の自由を制限することでなく、これはあくまで個人のプライバシーを保護することである。   

b. 「その人自身の個人データへのより簡単なアクセス権(Easier access to one's data)」： 個人にとって、どのように彼らのデータが処理されるか、またこの情報が明確かつ理解できる方法で利用されなければならない。 データの携帯性に対する権利(A right to data portability )は、個人がサービス・プロバイダー間において個人データを送ることをより簡単にする。  

c. 「データ主体につき自身のデータがハッキングされたかにつき迅速に知る権利(The right to know when one's data has been hacked)」 ： 会社や団体等は、国家の監督機関に個人を危険にさらされているようにするデータ漏洩に事実を通知しなければならず、ユーザーが適切な処置をとることができるように、すべての大きな情報漏洩リスクをできるだけ早く被害者たるデータ主体に通知しなければならない。 

d. 「あらかじめ計画的かつ初期値化されたデータ保護(Data protection by design and by default)」 ：『計画化されたデータ保護』と『初期値化されたデータ保護』は、現在のEUデータ保護規則の必須の要素である。データ保護の安全装置は発展で最も初期のステージから製品・サービスに組み入れられねばならない。そして、プライバシーに配慮した初期値のセッティングは標準となる(たとえばソーシャル・ネットワークあるいはモバイル・アプリ等で)。 

e. 「規則に基づくより強い罰則法の施行(Stronger enforcement of the rules:)」： データ保護当局は、彼らの世界的な年間取引高の4%までEU規則に従わない大手企業にも罰金を課しうる。  

(2)GDPR等に関する主な概要報告(Fact Sheets) 

　ここでは逐一論じないが、標題のみ仮訳しておく。読者は関心のあるテーマごとに、個別に内容を確認されたい。 

a.①データ保護規則はいかなる方法で市民権の強化を図ってきたのか？ 

②EUの情報保護制度改革は新しい技術革新にあわせていかなるルールを採用したのか？ 

③EU内で活動する企業等のとって新規則はいかなる利益がえられるといえるか？ 

④新規則による改革はソーシャルネットワークにいかなる影響をもたらすか？ 

⑤EUの情報保護改革はEU域内市場を強化させるか？ 

⑥EUの情報保護改革は国際協調をより簡易なものにするか？ 

⑦EUの情報保護改革は既存の保護ルールをより単純化するか？ 

⑧EUの情報保護改革とビッグデータ問題　  

b.GDPRおよび新指令の制定に関するインパクト･アセスメント 

  立法にあたりその影響度評価を徹底した解析を行なうべきことは、英国でなくとも当然のことといえ。EUの資料を以下、仮訳する。 

　なお、わが国の保護法のあり方について従来から積極的な取り組みを行っている新潟大学法科大学院教授　鈴木正朝氏の論調等を参照されたい。 

①1995年のデータ保護に関する現在のEU法的枠組み (筆者注5) の採用以来、急速な技術的およびビジネス開発が、情報保護のために新しい挑戦をもたらした。この個人データのデータ共有と収集のスケールは、劇的に増加した。 

テクノロジーは、私企業や公的機関は個人データを先例のない規模で利用することを可能とした。また個人は公的ならびにグローバルに利用できる個人情報（そこに含まれる危険に完全に気づかないまま）をますます公表している。  

オンライン環境への信頼は、経済発展の鍵である。その信頼の欠如は、消費者がオンラインで購入したり、新しいサービス（電子的な公的政府サービスを含む）を採用するのを躊躇させる。その努力を怠ると、信頼不足は新技術による革新的な活用を遅らせ、また公共部門サービスにおいて電子化の潜在的利益を得ることから避けることにつながる。 

②さらに、リスボン条約 (筆者注6)は「欧州連合の機能に関する条約(TFEU)」第16条とともに、データ保護への現代化かつ包括的な取り組みならびに個人情報の自由な移送に関する法的基礎を(刑事問題について警察と裁判の協力をカバーする点も含め)作った。 

c.インパクト(影響)・アセスメントの概要の要訳 

　行ったインパクト・アセスメントは次の３問題分野において提示と分析を行った。 

2.1. Problem 1: Barriers for business and public authorities due to fragmentation, 

legal uncertainty and inconsistent enforcement

 2.2. Problem 2: Difficulties for individuals to stay in control of their personal data  

2.3. Problem 3: Gaps and inconsistencies in the protection of personal data in the

field of police and judicial cooperation in criminal matters 

d.権限委譲および均衡性の分析

e.3つの主要なポリシーとその対象 

　①このように情報の断片化を減らし、一貫性を強化し、規制環境を単純化することによって、不必要な経費を省き、管理上の重荷を減らし、データ保護の内部市場規模を強化することとなるか。 

　②データ保護に対する基本的人権の効率性増すとともに個人データへの当該本人のコントロール権を置くことになるか。 

③犯罪問題につき警察の協調および司法の協調においてリスボン条約を完全に考慮することでEUの情報保護の一貫性を強化できるか。 

f.ポリシーの選択( Policy Options) 

①オプション1:ソフトな処置が中心

 ②オプション2:近代化された法的枠組みが中心 

③EUレベルにおける詳細にわたる法的ルールが中心 

g. インパクト(影響)のアセスメント 

 各オプションの比較を行った。 

h. 結論：最も好ましいオプション(Preferred Option): 

　オプション2の近代化された法的枠組みに次の修正内容を結合させる。 

①オプション3からの通知義務を廃止し、 

②オプション1の中からプライバシー保護を強化させるテクノロジー、認証制度の強化ならびに個人の認識を上げてるためのキャンペーン等『ソフトな処置』を加える。 

　また、最も好ましいオプションは、過剰な法令遵守経費なしにかつ管理費用の重荷の大規模な縮小する点で政策目標を達成することになる。 

3.Bird & BirdのGDPRの主な重要項目の解説 

　前述した内容と重複が生じるが、体系的理解を重視することからあえて仮訳にもとづく解説を行う。なお、筆者の判断で重要と思われる点のみ解説したが、訳語のミスもありえるので、読者はできる限り原典で内容を正確な内容を確認されたい。

　なお、筆者は本仮訳作業に世界的ローファーム「モリソン･フォースター(Morrison & Foerster)」のGDPRに関する解説レポートおよび仮訳を見つけた。本ブログが引用したレポートと重複したり、さらにGDPRの条文引用など詳細な解説も含まれているが、一方で例えば「目的限定とビッグデータ」や「プライバシー・バイ・デザイン及びプライバシー・バイ・デフォルト」として引用している内容は本ブログでいう「仮名化データ(Pseudonymous data」であると思えられるなど、なお比較･検討すべき点もある。読者は双方を比較されたい。 

 (1)2015年12月18日付けの解説記事「Agreement on general data protection regulation」 

　次の各項目につき概要を仮訳する。なお、記事の前書きの最後に数週間また数ヶ月以内に「企業等が取るべき具体的な行動内容についてのガイダンス」を公表すると述べている。同ガイダンスの内容は(2)で詳しく述べる。  

①Long-arm jurisdiction reach： 

　GDPRは、商品またはサービスの提供、あるいはEU域内で個人の行動をモニタリングする場合にEU居住者の情報処理に適用される。その団体･組織の本部がEU域外であっても適用される。 

　この域外適用(extra-territorial reach)の判断・調査に関連する要素としては、EU加盟国で使用される言語または通貨の使用、EU内における発注場所としての能力あるいはEUのユーザーまたは顧客が含まれる。インターネット上でのEU住民のトラッキングにもとづく嗜好並びに行動分析やプロファイル作成の予測行為も含まれる。 

　なお、域外適用を受ける団体･組織がGDPRの域外適用規を遵守する場合は、EU域内にその代表者を任命しなければならない。  

②Continued application to EU based organisations 

　GDPRは、またEU域内ですでに設置された団体･組織の関連で実行される個人情報の処理について、EU内の一種の確実に調整されたものとして適用される。  

③どのようなデータがGDPRによりカバーされるのか(What data is covered？) 

　GDPRは生存する個人の特定または何者かの特定可能なデータに適用される。GDPRは、個人的なオンライン識別子(online identifiers)、端末識別子(device identifiers)、クッキーID (筆者注7) 、IPアドレス等個人に参照されるオンライン・データーの一定の範囲をハイライトとして引用している。 

　IPアドレスに関しては、2016年5月12日、欧州連合司法裁判所の法務官カンポス・サンチェス・ボルドーナ(Campos Sánchez-Bordona)は2016年5月12日に動的IPアドレスに関する意見書を同裁判所の提出した。 (筆者注8) 

　機微情報についての現在の概念は、保持する個人情報の範囲は遺伝子情報や生体認証等範囲は拡がりつつある。現行の保護指令(Directive 95/46/EC)においてさえ、機微個人情報は明確な同意に基づき保有されなければならない。 

 

*******************************************************: 

(筆者注1) GDPRの全文訳は、JIPDEC訳「個人データ保護規則」案 仮訳 (全176頁)参照。 

(筆者注2) わが国の保護法改正につき2015年9月9日公布の「個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律」の概要を参照されたい。これに関し、に改正保護法に基づき設置された個人情報保護委員会は8月2日「個人情報の保護に関する法律施行令の一部を改正する政令（案）」および「「個人情報の保護に関する法律施行規則（案）」を公表,、8月31日を締め切りとする意見を公募しており、あわせて問題点を理解されたい。  

(筆者注3) わが国の保護法立法論者として独自の見解を展開されている新潟大学法科大学院教授　鈴木正朝「個人情報保護法の課題と立法政策：個人情報保護法制からプライバシー保護法制へ」において重要な立法問題を提起されており、2010年8月6日のTwitter8/6 35で「プラバシ-の権利を軸として法令をもたなければ、第三者機関のPIA(プライバシー･インパクト･アセスメント)の権限を付与することもできない。特定個人が識別できるか否かという対象情報のみをしかも形式的にしかチェックできない中での権限でいったい何が守られるというのか」という厳しい指摘を行っている。鈴木教授が経済産業研究所の2010年9月17日セミナー「共通番号制度、国民ID時代における個人情報保護法改正の論点 -プライバシー情報保護法制への転換と第三者機関の必要性」レジュメで取り上げられているものである。 

(筆者注4)同レポートにおいて「DPO:Data Protection Officer）」をデータ保護官と訳されているが、本ブログやモリソン・フォースター法律事務所の訳のとおり「データ保護責任者」や本ブログでいう「情報保護担当役員」と訳すのが正確であると思う。 

(筆者注5) Directive 95/46/ECおよびFramework Decision 2008/977/JHA をさす。  

(筆者注6) ｢リスボン条約」の解説例 

【EUの"新しい顔″が誕生】 

リスボン条約のポイント リスボン条約は、2007年に調印され、2009年12月に発効したEUの新しい基本条約です。この条約の大きな特徴としてまず挙げられるのが、EUの"新しい顔″の誕生です。EU加盟国の"首脳会議″とも言える欧州理事会の「常任議長」、そして、一国の"外務大臣"にあたる位置付けの「外務・安全保障政策上級代表」の2ポストが新設されました。欧州理事会にはこれまでも議長がいましたが、常任ではなく、EU加盟国の首脳が半年交替で就任していたため、EUの重点課題が半年ごとに揺れ動いたり、本国の国政とのバランスをとるのが難しかったりするなどの課題が指摘されていました。外務・安全保障政策上級代表は、複雑な国際情勢の下でEUの外交政策を強力に推進するために新しく設置する「対外活動庁」(EU版の外務省)のトップに立ちます。こうした機構改革により、民族も言語も多様なEUは、より民主的で力強い政策が展開できるとしています。ほかにも、気候変動、テロ対策、警察・司法分野の段階的な統合、移民・難民政策の共通化、EU拡大など、新たな課題への対応能力も一層強化していくことになりました。 

外務省「わかる国際情勢」から一部抜粋 

(筆者注7)ブラウザの Cookie に保存される固有のIDをいう。 

 (筆者注8) 欧州連合司法裁判所の法務官(AG)の意見書のうち、2014年12月17日にドイツ連邦通常最高裁判所から出された質問書の第1点たる「動的IPアドレス」はEU保護指令（Directive 95/46/EC）やドイツ国内法に規定する個人情報にあたるとしたものである。この問題につき、わが国の関係者による解説は皆無のようであり、解説を試みるにはなお時間が必要なので、ここでは主な解説レポートのURLのみ挙げるにとどめる。 

①2016.5.18 edri「Advocate General: Dynamic IP address can be personal data」 

②2016.5.13 Inside Privacy「EU Advocate General Considers Dynamic IP Addresses To Be Personal Data 」  

************************************************

Copyright © 2006-2016 福田平冶(Heiji Fukuda)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

EUの「一般データ保護規則」および「新保護指令」の欧州議会可決の意義と米国との関係見直しおよびわが国の実務等への影響(その2完)

 

④仮名化データ(Pseudonymous data)

 GDPRはあらたに「仮名化データ」の概念を持ち込んだ。仮名化されたデータ（pseudonymised data）（それは追加情報の利用によって自然人に結び付けることが可能である）等のデータは、識別可能な自然人に関する情報としてみなされるべきである。 (筆者注9)

　仮名化データも、なお個人情報の一形式である。しかしながら、その使用は促進される。例えば、もし処理がもともとの個人情報を収集・処理するという目的と互換性がないと判断されるなら考慮すべき要素となる。

仮名化は、またデザインや初期設定においてプライバシーを実践するという要求条件を満たすことかつデータのセキュリティの保証義務に合致する技術例などが含まれる。

　最後に、個人情報を歴史的または科学的調査または統計的に使用することを欲する機関等は仮名化データの使用があらゆる場合において義務付けられる。 

⑤データ主体の明確または曖昧な「同意」

　この「同意」は明確なものでなければならない。機微個人情報の処理に関する同意は計画でなければならないが、他方でその他の個人情報の処理に関する同意は必ずしも明確であることは必要ない。 

　なお、この同意は特定化され、情報が提供されかつ能動的なものでなければならない。同意は一定の技術的背景の選択、あるいはその他の承諾を指し示す声明や行動においても示しうる。ただし、沈黙または非反応的なものでは不十分である。

 　同意は自由に与えられかつ個人に損失がないかたちで同意が引き出されなければならない。契約締結時またはサービスを受けるときに、実際サービスの提供に必要でない個人情報の取り扱いにかかるユーザーの所与の同意とひも付きであってはならない。 

　団体等は別途の手続きにあっては別途の同意を得ることが求められる。これらの強制または包含的な同意の推定は無効である。すなわち、団体等は同意が現時点で本物かつ細かな点で内容選択が可能となるよう再検討する必要がある。

 　個人情報の処理は「同意」に基づくことは必要ではない。すなわち、契約上の必要性を含むEU加盟国やEUの法的な義務を遵守するもので、そこでは処理が情報コントローラーまたは別の団体等の合法的な利益にとって必要であり、またこれらの利益は個人の情報保護権により覆されないものであれば処理の根拠となりうる。ダイレクト･マーケテイングやネットワークセキュリティにかかる詐欺を阻止するための処理は、ここで言う合法的利益実行する例として引用可能である。請負グループによる従業員や顧客間の個人情報の共有も、合法的利益の例といえる。

　しかしながら、公共団体の場合はこの合法的利益に基づく正当化によることはできない。 

⑥子どもは同意は有効な同意が認められるのか？(Can children give consent?)

　おそらく可能といえよう。13歳未満の子どもオンライン・サービス(すなわち、emailやフェイスブック･アカウントのセットアップ)で要求される個人データの処理に関する同意を与えることはできないであろう。16歳以上は彼ら自身で同意をなしうるであろう。その間の年齢層については初期値はEU家計国の法律が敷地年齢を下げていない限り親権者の同意がその同意となろう。オフラインのデータ処理に関する親権者の同意権に関する特別なルールはない。すなわち一般的なEU加盟国の意思能力に関するルールが適用される。 

⑦説明責任(Accountability)、インパクト・アセスメントおよび情報保護役員(DPOs)の指名

　団体等は、遵守任すなわちバランスのとれたポリシーの採用を通じてデータ保護の諸原則を推し進めるべきである。個人情報の管理者(controllers)や処理者(processors)の双方において行動規範の承認にむけたその強力な遵守が法遵守の強化方法として示されている。 

　個人の高度なプライバシー・リスクを含む新技術(行動モニタリング(monitoring activities)、系統的評価(systematic evaluations))が用いられる場合、または特別なカテゴリーにあたる個人情報を処理する場合等)情報管理者は詳細なプライバシーにかかるインパクト･アセスメントすなわちプライバシー侵害の評価ならびにいかにそのリスクの最小化するかにつき文書化しなければならない。再度となる制定された行動規範の遵守がその助けとなる。インパクトアセスメントの結果においてデータ主体につき実際高いリスクが生じる場合は、情報管理者は情報保護当局に関与させるとともにその見解を得なければならない。 

　くわえて、情報保護当局やリスト化された機微情報活動に関係する機関等の各情報管理者および処理者は情報保護担当役員(data protection officer：DPO)を指名しなくてはならない。グループ企業では、各情報保護担当役員を併合化しなければならない。 

⑧透明性(Transparency)

　団体等は個人の情報を処理するにつき広範囲の情報を提供することになろう。GDPRはEU全体にわたリ適用される各種の透明性に関する義務を併合している。それに関しGDPRは6頁にわたる透明化すべき情報リストを提供する、しかし、EU機関はそれを怠った場合また簡潔、透明性をもってかつわかりやすく、かつ簡単にアクセスできる手段を提供しなくてはならない。もし、欧州委員会が後日、委譲された行動においてそれらを選択したときは標準化されたアイコンの使用が可能である。 

⑨強化された個人の権利

　アクセス権や修正権(rectification)が保持されている。これらはアクセス要求が不合理または過度な場合に情報保護管理者を保護するいくつかの保護項目である。

　「忘れられる権利(right to be forgotten)」が認められ、個人情報を公的にしうる情報管理者は情報主体の個人情報の削除要求を第三者に通知すべく合理的なステップを踏むことを義務付けている。 

　「忘れられる権利」は絶対的なものではない。すなわち、情報管理者は情報主体からの反対があったにもかかわらず、継続して処理を強行しうる合法的な根拠にもとづき個人情報の処理を行いうるのである。 

　個人はまた特定の種類の処理に反対する権利が与えられる。再度述べるが、この権利は絶対的なものでなく、管理者の利益は個人の利益を上回る。ダイレクト・マーケティング目的に反対する絶対的権利があり、このダイレクト・マーケティングのためのプロファイル化についても同様である。 

　完全に自動化された意思決定(automated - decision - taking)に関する管理者の能力は、その決定が法的効果や挙げたりまたは同様に個人に重大な影響を与えるときは制限されねばならない。

 　個人はそのような処理に反対する権利がある。個人に対する適切な保護が導入されねばならない。もし、処理が実行されたり、履行することが必要な場合、次の段階たる契約において個人は処理に反対する権利はなくなろう、しかし、人間の介入権(human intervention)や請願権はある。

 　新たに「データの移送・携帯性(data portabolity)」の権利を持ち込んだ。個人がサービスプロバーダーの情報を提供する場合、別のプロバイダーにデータを移行(port)を求めたり、技術的に実現可能とすることがある。しかしながら、このなおこの点につきデータ管理者に課されるデザインやデフォルト設定におけるデータ保護の要求をどのように交流させるかという内容は不明である。 

⑩データ管理者およびデータ処理者

　現行のEUシステムでは管理者は処理者の行動につき責任を負うことが維持されている。しかしながら、情報の移送等特定の分野においては最新時は処理者が直接責任を負う。 

　処理者の指名にかかる契約はさらに詳細なものでなければならない。すなわち、とりわけGDPRは処理者は下請け処理者の指名およびEEA以外へのデータの移送につき承諾を得るよう明記する。またGDPRは管理者の処理者を監督する権利を正式に定める。　

　標準化された契約が見込まれる。 

⑪損害と罰則

　個人は、物質的にまたは非物質的な損害賠償を管理者または処理者に要求する権利を有し、またGDPRに規定がある場合または管理者の合法的な命令の範囲外の行動につき処理者は情報漏洩につき直接責任を負う。 

　団体等は、損害を引き起こした出来事につき責任を負わないことの証明責任を負う。

 　複数の管理者や処理者がデータ処理にあたる場合、その中にいずれかの者が損害の責任を負うとするならば、当該個人に対し、すべての損害責任ー他の管理者からのクローバック補償能力(claw back compensation) (筆者注10)にもかかわらずーを負う。 

　監督当局は、違反されたGDPRの特別な規定に従い罰金刑を課す権能を有する。その罰は一層悪化するまたは軽減する要素に適合しうるものとなる。最高刑は前年の世界的に見た事業の総売上高の4%となろう。GDPRにはより小規模な規定違反に付き総売上高のいうというキャップが定められている。 

⑫ワン･ストップ･ショップ(あるいはそうでない？)

　GDPRは、データ保護法の監督方法につきプロセスを革命的に見直した。特定の国内法判断以外に主なまたは単一的な体制をもつ団体等が存するEU加盟国にあるリードする立場にある監督機関がGDPRを規制する。

　監督当局は他国の当局と連携かつ協調する詳細な構造が定められ、欧州情報保護委員会(GDPB)の創設につき監督機関間で意見の不一致の調整過程にある。 

　GDPBは、EU加盟国の監督当局の1人の代表と欧州委員会の代表(選挙によらないで)からなることになろう。 

⑬ファイリングおよび記録の保持

　関係する監督当局に規定通りの通知書を提出する従来のシステムは廃止された。しかしながら、その代わりに管理者と処理者の双方が彼らが実行する内部手続きの記録(処理者、監督者、合同監督者の氏名並びに接触の詳細)が必要となろう。250人以下の中小企業(SMEs)についてはこの文書化要求は例外とされる。

　 ただし、この中小企業の例外規定は当該団体等がリスキーな処理を行っていたり、機微情報を扱っていたり、刑事事件の有罪判決情報あるいはまれでない処理については適用されない。この最後の規定に関し多くのオンラインスタートアップは引き続き文書で保持されねばならない。 

⑭個人情報のセキュリティが破られた場合の監督当局やデータ主体等への通知義務

　管理者はセキュリティが破られた場合、次の通り通知義務を負う。

・a.監督当局に対するもの

　遅滞なくかつふさわしい場所でセキュリティが破られたことを検知してから72時間以内に行う。

○当該個人にとって結果としてリスクが発生しようがないと判断されるときは報告義務はない。ただし、団体等は破られた記録の保持は行わねばならないし、その結果、監督当局は遵守の有無を調査可能である。

○この通知は漏洩の本質の詳細内容並びに規模(データのタイプ；個人数；影響を受ける記録数)を含む。

　○ありうる結果とリスクの軽減手順も提供されねばならない。 

・b.個人データ主体に対するもの(ただし、彼らに漏洩が高いリスクを生じると思われる場合のみ)

○通知は遅滞なく、明確な言語によりかつリスクを軽減する手順内容を含み、更なる情報の入手のコンタクト・ポイントを含む必要がある。

○リスクが軽減された場合(すなわち、データの暗号化また管理者のデータの漏洩の郵送通知)

○通知は一定の状況において公的な公表によっても行いうる。 

　処理者は管理者への通知義務があるが、監督当局や個人に対する通知義務はない。 

⑮データの移転(Data Transfers)

　現行システムは改善を加えつつ、広く移転を認めている。個人データの移転に関する既存のGDPRにも引き継がれた。欧州委員会は現行の根拠に基づきそれらのステイタスの見直しをすすめているものの、標準的契約条項およびホワイト・リスト国家(white listed countries) (筆者注11) は特別なステイタスを保持している。 

　拘束的企業準則(Binding Corporate Rules：BCRs) (筆者注12) にもとづく承認もなお有効のままであろう。また、GDPRは管理者や処理者にとって現行の要求内容を法律として記載している。この点は、なおBCRsの未承認の数少ない国々にとって役立つものといえよう。 

　標準的契約条項に基づく移転の現行手続では通知は義務化されまた保護機関により承認規定は廃止された。 

(2)Bird & Bird 「guide to the General Data Protection Regulation」 

　基本的には、全文で66頁にわたるGDPRのガイダンスである。前述した解説の(1)を基本としつつ構成を見直し、また各項目ごとに「At a glance」「To do list(取扱事業者の取り組み課題のチェック)」「コンメンタール」という構成をとっている。 

　逐一の仮訳は時間の関係で略すが、大項目と中項目のタイトルのみ訳しておく。  

a.適用範囲、予定表および新たな概念 

①テリトリーから見た範囲 

②新しくかつ重要な変更した概念  

b.諸原則 

①データ保護の諸原則 

②情報処理のおよび更なる処理の合法性 

③合法的(正当)な利益 

④データ主体の同意 

⑤子どもの同意 

⑥機微情報および合法的情報処理  

c.個人の諸権利 

①情報通知を受ける権利 

②アクセス権、修正権と個人報を携帯する権利 

③反対する権利 

④削除および処理を制限させる権利 

⑤プロファイリングおよび自動意思決定の制限  

d.説明責任、セキュリティおよび情報漏洩時の通知義務 

①個人情報の統治義務 

②個人情報の漏洩と主体への通知義務

③行動規範とその認定  

e.個人情報の移送  

f.規制監督機関 

①監督当局の任命 

②能力(competence)、任務および権限 

③監督機関間の協調と一貫性 

④欧州データ保護委員会の設置  

g.法執行 

①救済および民事責任 

②行政上の罰金  

h.特別なケース 

　規範の逸脱および特別な条件  

i.委任行動と適用行動 

(3)    GDPRの主要な改正点を一覧でまとめた資料

　2016.8.3 Privacy Law Blog「An Overview of the New General Data Protection Regulation 」の一覧を仮訳する。

 

 

 

 

 (4)GDPRの逐条的な解説レポート

2016.5.10 Conflict of Laws net「The EU General Data Protection Regulation: a look at the provisions that deal specifically with cross-border situations」がある。

(5)EUの人権擁護団体である”ENISA”レポート

　独自にGDPRについて意見や今後実施時期までの2年間の取り組むべき課題等を整理している。

2016.1 ENISA「ENISA’s Position on the General Data Protection Regulation (GDPR)」(全3頁)      

 *************************************************

(筆者注9) わが国の改正情報保護法では「匿名加工情報」の概念を持ち込み「一定の制度的保護措置（提供先での本人を識別するための行為の禁止、第三者提供する旨の公表等）を取ることで個人のプライバシーに与える影響を少なくし、本人同意なく第三者提供と目的外利用を可能とした。この点に関し、国際社会経済研究所　小泉 雄介「個人情報保護についての基礎および最新動向」において詳しく論じている。 

(筆者注10) クローバック（clawback）とは、一般に、業績連動型報酬において報酬額算定の基礎となる業績の数値が誤っていた場合、又は、エクイティ報酬において株価が誤った情報を反映して不当に高くなっていたために報酬額もそれに比例して高くなったという場合に、水増しされた報酬を会社に返還させることを指して用いられる。このような報酬返還義務を定める報酬契約の条項はクローバック条項と呼ばれる。( 「役員報酬の在り方に関する会社法上の論点の調査研究業務報告書」45頁以下でclaw back 条項につき経緯も含め詳しく解説している。 

(筆者注11) 人権（政治亡命への適用は根拠がないと思われる）に対する取るに足らない脅威をもたらすために考慮されるべき国のリストをさす。辞典参照。 

(筆者注12)  EUからEU域外への個人データの移転（域外移転）に関する解説を一部引用する。「(1)　現行指令の下における規律

　まず、現行指令の下では、個人データの保護措置の十分性が確保されていると認定された国等に対して移転する場合を除き、原則としてEU域内からEU域外への個人データの移転は禁止されている（現行指令25条）。なお、日本はこの十分性の認定を受けていない。

　例外的に、①データ主体たる個人が、予定されている移転に対して明確な同意を与えている場合などの一定の場合（同26条1項）、②グループ企業内で情報を移転するための拘束的企業準則（Binding Corporate Rules、同条2項）の承認を受けている場合、③標準契約（Standard Contractual Clause、同条4項）を締結している場合には、EU域内からEU域外への個人データの移転が認められる。(2016年2月17日　西村あさひ法律事務所・弁護士　石川 智也「発効が迫るEUデータ保護規則と日本企業にとっての留意点」から一部抜粋。 

**********************************************

Copyright © 2006-2016 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.