Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

リトアニアのDPAがGDPRおよび保護法にもとづきデータ管理違反に対するデータ保護調査結果に基づき罰金制裁(その2完)

2019-05-22 18:13:55 | 個人情報保護法制

3.リトアニア共和国におけるGDPR適用1年目を概観(GDPR implementation in Lithuania: Almost a year in review)」

  IAPPのレポートを以下、仮訳する。

 2018年7月11日、リトアニア共和国は「改正個人情報保護法(Asmens duomenų teisinės apsaugos įstatymo Nr. I-1374)」を制定した。同法(第3章第7条~第14条)に基づき 2つの監督当局、 すなわち、(1)国家データ保護総局(State Data Protection Inspectorate) と(2)ジャーナリスト倫理査察官事務所(Office of the Inspector of journalist Ethics) が規制の監視と適用を任じられた。

 2018年のこれらの立法努力は主に彼らの諮問および調査の権限を行使することに加えて、EU一般データ保護規則(GDPR)に関連した一般の人々の認識の促進に集中した。2018年、リトアニアのデータ保護当局(以下、「DPA」という)は、データ主体から859件の苦情を受けた(2017年では480件にすぎなかった)。その大部分の苦情は、①ダイレクト・マーケティング目的のデータ処理、②特別なカテゴリーの個人データの処理、および③閉鎖回路テレビ(CCTV) (筆者注8)に関する問題に関連していた。また、DPAは、100件のデータ侵害通知を受信した一方で、民間と公共の両方を含む1470の団体・組織がデータ保護責任者(data protection officer)の任命につきDPAに通知を行った。 DPAは2018年に職権上の調査をいくつか実施し、GDPRの違反を発見したが、罰金は課さなかった。

 本寄稿は、リトアニア共和国のDPAが最近発表したデータ保護影響評価である「ブラックリスト」を分析し、2019年に予定されている進行中および今後の職権上の調査について議論する勧告内容を検討するものである。

(1) DPAによって採用された勧告文書(Recommendations adopted by the DPA)

 2018年から2019年にわたり、リトアニアのDPAはGDPRの解釈と適用を支援するために多数のガイドラインと勧告を発表した。とりわけ話題となる文書は次のとおりである。

(a) 情報処理活動の記録に関する解釈勧告(Recommendations for the records of processing activities)

 勧告には、GDPRの第30条に関する追加のガイドラインが含まれる。重要な点は、彼らは250人以下の従業員を持つ会社は処理記録を維持する義務から免除されるという広く知られている神話を払拭する点である。DPAは、契約上の目的で定期的にクライアントデータを処理する100人の従業員からなる保険会社の例を示している。そのような処理は時折でないので、会社はそれを文書化して関連する記録を維持する義務がある。

(b) DSAR手続き用テンプレート

 DSARテンプレート・ドキュメントは、データ主体のアクセス要求(DSAR( Data Subject Access Request )を処理するための内部手順を提供し、カスタマイズしてコントローラのニーズに合わせることができる。驚くべきことに、テンプレート手順は、識別目的のために、DSAR( Data Subject Access Request )が書面でログインされる時にIDカードまたはパスポートのコピーを提供するようにデータ主体に要求することを示唆している。そのような要件は追求する目的に比例して考えることはほとんど意味がなく、管理者とデータ主体の双方にとって追加のリスクを生み出す可能性がある。

(c) 選挙の状況におけるデータ処理に関する勧告

 来るべき欧州議会と国民選挙に照らして、DPAは政党と候補者にGDPRの下での彼らの義務について思い出させた。同勧告は、電子メールまたは電話による政治的キャンペーンは、個人の自由で明白な「同意」が得られた場合にのみ合法であることを強調している。2019年9月からの委員会のガイダンス文書に沿って、勧告は、政治的な主体が広範囲な有権者の監視とプロファイリングを行う場合にデータ保護影響評価を実施することを提案している。

(2) リトアニアの最新のデータ保護影響評価(DPIA)に関する「ブラックリスト」(The final DPIA "blacklist")

 2019年3月18日、リトアニアのDPAは必須のDPIAを必要とする処理業務の最終リストを公開した(英語版の入手可能)。それは2018年9月にヨーロッパのデータ保護委員会によって見直されて、その後DPAによって改訂された最初のDPIA「ブラックリスト」 (筆者注4)に基づいている。 DPAは欧州データ保護会議(EDPB)によって提案された勧奨の大部分を引用し、その結果、いくつかの一般的な処理業務に対して追加の基準が指定されました。例えば、最初は遺伝的データの処理がDPIAを実行する義務を引き起こしたが、今はDPIAは「プロファイリングや予測を含むデータ主体の特徴を評価したり採点しながら」遺伝的データの処理にのみ必須である。

 EDPBの要求に応じて、DPAはリストが完全なものではないことを明確に示し、DPIAは、データ主体の権利と自由に対する高いリスクをもたらす可能性があるすべての処理操作(それらがリストに含まれているかどうかにかかわらず)に対して実行される必要がある。リトアニアのDPIA「ブラックリスト」は、「大規模処理」や「脆弱なデータ主体」など、DPAのリストで使用されている用語のいくつかを明確にしているので、DPIAに関するEU指令第29条専門家会議のガイドラインと併せて読む必要がある。

 「ブラックリスト」に含まれる、より論議の多い処理操作の1つは、「弱い立場にあるデータ主体の個人データが処理されるときに、革新的な技術を使用して、または既存の技術を新しい方法で使用する」個人データの処理問題である。「新技術」はGDPRの第89条と91条、第35条(1)で規定されているが、管理者はこの規定の過度に広く包括的な解釈に懸念を表明した。

 重要なことに、このリストは1件のみの大規模処理(データ主体に第14条の情報を提供しない大規模な「見えない」データ処理)について間違いなく、DPIAを引き起こすと言及している。

(3) 2019年に予定されている職権上の調査

 2019年2月、リトアニアのDPAは年間を通じて75件の職権上の調査を実施する計画を発表した。監督当局は、次のような状況でGDPR要件への準拠をさまざまな程度で評価しようとした。

①スポーツクラブによるバイオメトリックデータ処理。

② 旅行やスポーツ契約の締結および実行時のデータ最小化原則の遵守、およびデータ処理に関するデータ主体への通知義務の遵守。

③ 宿泊客の個人データがホテルで処理されているときのデータ最小化原則の遵守。

④ 国の機関によって締結されたデータ処理契約。

⑤ 契約上の目的で個人向けインスタントローン機関によって処理された個人データのセキュリィ。

· DPAによると、法執行の優先順位は(1) GDPRの下での新しいデータ処理要件、(2)データ主体によって提出された苦情、および(3) 2018年末に実施された世論調査に基づいて決定された。たとえば、その回答者の59%が、データの処理に関しては、銀行や税務当局などの他の機関と比較して、インスタント・ローン機関を最も信頼していないと回答している。

 DPAの職権上の調査は、書面による問い合わせ、現地での監査または両者の組み合わせによって行われる。DPAは、現地監査の少なくとも10営業日前に関係組織・団体に通知しなければならない。1回の調査で最長5ヶ月(例外的で複雑なケースでは最長6ヶ月)かかり、不適合の事例が特定された場合には、その是正権限を使用してDPAが決定する。スポーツクラブによるバイオメトリックデータ処理の調査は現在進行中であり、その結果は2019年4月に利用可能になるはずである。

 DPAのウェブサイトでは、2014年までさかのぼる職権上の調査スケジュールを見つけることができるが、それらのどれも今年発表されたものほど広範囲に議論されていない。 GDPRは、さまざまな理由で、リトアニアのデータ保護問題にかつてないほどの注目を集めた。そして、DPAの調査結果は、この関心が現場での効果的なプライバシー管理慣行にどの程度変換されたかを示す。

4..EU加盟国におけるDPIAが必要となる高いリスクのある処理の解釈に寄与するWhitelists 、Blacklistsおよびガイダンスの策定状況

 IAPPは、最近、EU加盟国のDPIAに関するWhitelists、Blacklistsおよびガイダンスの策定状況をまとめており、筆者の責任でリンクを張った。なお、ドイツの場合は州単位で策定している。

 IAPPは2019年5月現在では、

2019年12月現在で加盟国のBlacklistsを更新・公開した。

①オーストリア:Whitelists from the austrian Data Protection Authority

 解説

②ベルギー:Blacklists & Whitelists from Belgian Privacy Commission

③ ブルガリア:未策定

④ クロアチア:未策定

⑤ キプロス:未策定

⑥ チェコ共和国:未策定

⑦ デンマーク:未策定

⑧ エストニア:未策定

⑨ フィンランド:未策定

⑩ ドイツ連邦:Blacklists from German DPAs (次のURLでダウンロード:https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Liste_Verarbeitungsvorgaenge.pdf?__blob=publicationFile&v=2)

⑩ バーデン・ヴェルテンベルグ州:Blacklists from The Sat commissioner for Data Protection Baden-Württemberg

⑪ ブランデンブルグ州:Blacklosts frm The Data Protection Supervisor and Right to File Inspection

⑫ ハンブルグ州:Blacklists

⑬ ヘッセン州:Blacklists from The State Commissioner for Data Prtection Hessen

⑭ ニーダーザクセン州:Blacklists from The State Commissioner for Data Protection Nidersachsen 

⑮ ノルトライン=ヴェストファーレン州:Blacklists

⑯ ラインラント=プファルツ州:Private Bodies Blacklists

⑰ ザールラント州:Blacklists

⑱ ザクセン州:Blacklists from The State Commissioner for Data protection Sachsen 

⑲ シュレースヴィヒ=ホルシュタイン州:Blacklists from The State Commissionwe for Data  Pritection Schleswig-Holstein

⑳ テューリンゲン州:Blacklists from The State Commissioner for Data Protection Thüringia 

㉑ ギリシャ:未策定

㉒ ハンガリー:Blacklists from the Hungarian date prtection authority

㉓ アイルランド:Blacklists from the Data Protection Commission 

㉔ イタリア:Blakilists from the Italian Data Protection Authority

㉕ ラトビア:未策定

㉖ リトアニア:未策定

㉗ ルクセンブルグ:未策定

㉘ マルタ共和国:未策定

㉙ オランダ:未策定

㉚ ポーランド:Blcklists from Polnd’s DPA

㉛ ポルトガル:Blacklists fron.m Portugal’s National Commission for Data Protection

㉜ ルーマニア:未策定

㉝ スロバキア共和国:未策定

㉞ スロベニア共和国:未策定

㉟ スペイン王国:未策定

㊱ 英国:Blacklists from the Information Commissioner ‘s Office

 

****************************************************************************************

(筆者注8) 監視カメラ(closed-circuit television:閉鎖回路テレビ)とは、様々な目的で監視を行うためのビデオカメラのこと。主な用途としては、防犯、防災、計測・記録などがある。一般的に防犯目的の場合は防犯カメラ、防災目的の場合は防災カメラとも呼称される。(Wikipedia から引用)

***********************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)

All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

リトアニアのDPAがGDPRおよび保護法にもとづきデータ管理違反に対するデータ保護調査結果に基づき罰金制裁(その1)

2019-05-22 16:34:19 | 個人情報保護法制

 5月17日、筆者の手元に大手ローファーム Fox Rothschild LLP 「GDPRのデータ管理違反に対するリトアニア共和国のデータ保護調査に基づき罰金制裁(Lithuanian Data Protection Inspectorate Levies Fine for GDPR Data Management Violations)」というブログが届いた。(筆者注1)

 (1)リトアニア共和国の国家データ保護総局(State Data Protection Inspectorate)は、GDPRのデータ最小化、適切なセキュリティ対策、およびデータ漏洩の報告要件の違反について、支払サービス・プロバイダー”Mistertango”  (筆者注2)に対して61,500ユーロ(約755万円)の罰金を課した、というものである。

 筆者としては、その内容を単に仮訳するだけでなく、リトニア共和国のデータ保護法や保護機関等についても併せ調査したいと考えていたところ、データ保護に取り組む国際的なNPO団体である「国際プライバシー専門家協会 (International Association of Privacy Professionals.:IAPP)」(筆者注3)の詳しい解説にぶつかった。

 すなわち、 (2)「リトアニア共和国におけるGDPR適用1年目を概観(GDPR implementation in Lithuania: Almost a year in review)」というレポートが届いた。また、IAPPは2018年7月16日付けで(3)「リトアニア共和国が新たな個人情報の法的保護法を適応(Lithuania adopts new Law on Legal Protection of Personal Data )」を報じている。

 今回のブログは、まず、(1)リトアニアのDPAの制裁内容のブログを仮訳し、次に(3)(2)の順で同国の保護法制の内容を概観したうえ、最後に(4)データ保護影響評価(DPIA)するUE加盟国のWhitelists 、Blacklistsおよびガイダンスの策定状況につきIAPPのレポートに基づき概観する。

 特に、わが国では、DPIAに関する詳しい解説自体が極めて少なく、ましてやDPIAが必要となる高いリスクのある処理の解釈に寄するWhitelists 、Blacklistsおよびガイダンスについての解説はわが国では皆無であることから、追加的に書き加えた。(筆者注4)

 なお、バルト三国の1つであるリトアニアは人口281万人でEU加盟国の中でも比較的小国であるが、2004年5月にEU加盟し、それまでの対ロシア依存型経済から脱出しつつある。また、1人当たりの名目GDP(USドル)の推移を見ても、まだわが国や英国など主要国比ではなお低いが、成長率は比較的高い。(筆者注5)

 2回に分けて掲載する。

1.リトニアのDPAがGDPRおよび保護法にもとづきデータ管理違反に対するデータ保護調査結果に基づき罰金

 「GDPRのデータ管理違反に対するリトアニア共和国のデータ保護調査に基づき罰金制裁Lithuanian Data Protection Inspectorate Levies Fine for GDPR Data Management Violations」仮訳する。

 リトアニアのデータ保護総局は、GDPRのデータ最小化、適切なセキュリティ対策およびデータ漏洩の報告義務要件の違反について、支払サービス・プロバイダーに対して61,500 ユーロの罰金を課した。

*主な法令違反の重要点

① データの最小化:管理者は必要な個人情報だけを収集する。姓名、個人識別コード、銀行口座番号、使用通貨、残高、支払い目的/支払いコードのみが必要な場合は、それを収集する。

② 次のものまでは収集する必要はない:1)未報告の電子請求書の発行日、2)送信者の名前および金額未読メッセージのメッセージテキストの一部、 3)利用可能なローンの目的、性質および金額、4)年金基金の名前、単位および価値、5)クレジットの種類、6)未払い残高、7)発行されたペイメントカードの枚数と金額。

③ 必要以上に長期間、データを保存してはならない:本件では、検査官は216日間データを保持するのは長過ぎると判断した(特に保持期間が10分で適当であると想定されたときにもかかわらず)。

④ データ漏洩/侵害:インターネット上の個人データへの2日間の不正アクセスがあったことは、報告が必要な個人データの漏洩と見なした。

2.リトアニア共和国は個人情報の法的保護に関する新法を制定

 リトアニア共和国の議会は、2018年6月30日に個人情報の法的保護に関する新しい法律(2018年7月11日公布、「改正個人情報保護法(Asmens duomenų teisinės apsaugos įstatymo Nr. I-1374)」(以下、「法律」という)を可決、制定した。同法(第3章第7条~第14条)に基づき 2つの監督当局(法律の監督および法執行を担当)、 すなわち、(1)国家データ保護総局(State Data Protection Inspectorate) と(2)ジャーナリスト倫理査察官事務所(OFFICE OF THE INSPECTOR OF JOURNALIST ETHICS)が規制の監視と適用を任じられた。

 法律は7月16日に施行された。このため、国家データ保護総局とジャーナリスト倫理査察官事務所(法律の監督および法執行を担当)は、7月15日まで執行命令を定める義務が生じた。

 全35条からなる法律はかなり簡潔で、主に監督当局の権限を具体化することを目的としている。その他で注目すべき条項は次のとおりである。

(1) 法適用の領土の範囲(Territorial scope)

 法律は、リトアニアで設立された管轄官庁および処理業者、ならびに国際公法によりリトアニア法に準拠する管轄官庁に適用される。 EUで商品またはサービスを提供する事業またはデータ主体の行動の監視を行う事業に関しては、法律はリトアニアの代表者に指定された管理者および処理業者にのみ適用される。これは、例えば、アジアの事業者がリトアニアのデータ主体をターゲットにしているが、ドイツの代表者を指名している、または代表者の指定を免除されている(GDPR第27条2項)(筆者注6)、またはGDPRの第27条に違反した代理人は、法律を遵守する義務を負わない。

(2) 国民識別番号(National identification number)の保護

  法律は、GDPRの第87条(筆者注7)の下で加盟国に与えられた手順の違いを利用して、ダイレクトマーケティングのために国民識別番号を処理するか、またはID番号を公表することに関し以前に確立された禁止措置を引き続き維持する。

(3) 個人データと表現の自由(Personal data and freedom of expression)

 法律によれば、GDPRの第8条(こどもの同意)、第12条から第23条(データ主体の各種権利)、第25条(実装およびデフォルトにおけるデータ保護)、第30条(取扱活動の記録)、第33条から第39条(データ漏えい時通知、データ保護影響評価(DPIA)データ保護オフィサー(DPO) )、第41条から第50条(行動規範、認証および第三国または国際機関への移転の監視)、第88条から第91条(公益目的、雇用の文脈での処理、秘密保持の義務およびデータ保護の規則)の規定は、個人データがジャーナリスト目的および学術的、芸術的または文学的表現の目的で処理される場合は、その全体をもって適用しない。

(4) 雇用の過程での個人データ処理(Processing in the context of employment)

 法律は、雇用の過程における個人データの処理に関してより具体的な規則を定める。これらの規則は、新しい労働法に基づく雇用者の義務と一緒に読む必要があります。法律は、関連する法律に基づく職位の要件を満たすための個人の適合性を判断するためにそのような処理が必要でない限り、刑事有罪判決および犯罪に関する見込み従業員のデータの処理を明示的に禁止している。雇用主はそのような処理について候補者に通知した後に限り、その雇用主から見込み従業員の資格または職業上の資質に関する情報を収集できるが、現在の雇用主から同じ情報を収集するには従業員の事前の同意を得る必要がある。また、雇用主は、GDPRの第13条に準拠して、ビデオまたはオーディオの監視、行動、位置または移動の追跡について従業員に「通知」するという新たな義務を負う。

(5) 子供のデジタル上の同意(Child’s digital consent)

 リトアニア(ブルガリア、オーストリア、キプロスとともに)は、「デジタル同意」の年齢として14歳を選択した。14歳の子供は、情報社会サービスの直接提供に関連して自分の個人データを処理することに単独で「同意」することができる。

(6) 監督当局の権限(Powers of the supervisory authorities)

 監督と法執行の権限は、国家データ保護総局とジャーナリスト倫理査察官事務所の間で共有される。後者の執行能力は、ジャーナリズムの目的および学術的、芸術的または文学的表現の目的での個人データの処理を監督することに限られる。その権限を行使するとき、ジャーナリスト倫理査察官は、データ保護法の一貫した適用を確実にするためにDPAと協力しなければならない。

 法律はさらにDPAの追加権限を規定し、両監督当局が従うべき特定の手続きを規定している。

(6) 認証(Certification. )

 法律は、認証機関を認定するためのDPAの新しい権限を規定している。これらの機関は、GDPRの第43条に沿って、データ保護認証メカニズムの下で認証を発行する。認定に関する規則は、DPAによって策定される。

(7) DPAの職権上の調査権(Certification. Ex officio investigations)

  DPAは職権上でチェックおよび調査を実施する権利を有する。原則として、そのようなチェックと調査は4ヶ月以内に完了するべきであるが、期間はさらに2ヶ月延長されうる。調査の結果にもとづき、DPAは、行政罰金を科す権限を含む、GDPRの第58条(2)に基づくその是正命令権限を使用することができる。すべてのDPAの決定に対し、行政裁判所への控訴が可能である。

(8) 事前通知なしのアクセス調査権 (Dawn raids.)

  法改正前と同様に、調査を行う場合、DPAは、事前通知なしに、自然人(裁判所命令による)および法人に(裁判所命令なし)アクセスする権利を有する。 また、DPAは、自然人および法人に、口頭または書面で情報を提供するよう要求し、またDPAの敷地内で直接証言を提供する権利を有する。

(9) 罰金に関する一般的な考慮事項(General considerations regarding fines.)

  制限に関する制定法に関して、法律は、侵害の日から2年以内に、または継続的な違反の場合には侵害が判明した日から2年以内にのみ行政罰金を科すことができると定める。 公的機関および公的機関に対する下限の閾値(しきいち)は、前年度の年間予算および収入の0.5%に設定されているが、上限の閾値は1%に設定されている。 罰金はそれぞれ3万ユーロ(約3,685万円)と6万ユーロ(約7,371万円)を超えることはできない。ただし、機関または団体が商業活動に従事している場合は、GDPRレベルの罰金の対象となる可能性がある。

(10) 罰金を課すための手順(Procedure for imposing fine)

  監督当局および提案された罰金の調査結果に対応するために、管理者または処理者には10営業日が与えられる。監督当局は、通常、書面の手続きで、罰金とその金額に関する最終決定を下すために20営業日を与える。場合によっては、監督当局は口頭審理を組織し、すべての当事者を訴訟に招請することを決定することがある。そのような審問内容は、別段の定めがない限り、公になる。

(11) データ主体の苦情申立権 (Representation of data subjects)

 法律では、データ主体が非営利団体、組織、または団体に対して、監督当局に代わって苦情を提出することを義務付けることが認められる。 そのような事業体は、それがデータ保護の分野で機能することを証明する文書を提供する必要がある。 法律はどんな文書を提供しなければならないかを示していないが、たぶん、これはケースバイケースで評価されるであろう。法律はまた、データ権利者の義務とは無関係に、個人情報保護団体に苦情を申し立てる権利を与えていない(GDPRの第80条(2)の適用制限)。

 明らかに法律はリトアニアの管理者と処理者が求めていたすべての答えを提供していない。義務的なDPIAを必要とする処理業務、DPAとの事前協議の手続き、および認証機関の要件を含む多くの重要な質問は、監督当局によってまだ採用されていない規則で対処されることになろう。

******************************************************

(筆者注1) 5月16日付けのデータ保護総局のリリースデータがある。

そのタイトルは「会社の責任は避けられないーリトアニアでは一般データ保護規則の違反に対する重大な罰金が課される」3つの違反があげられている。

1)個人データの不適切な処理(Dėl netinkamo asmens duomenų tvarkymo)

2)個人データの開示(Dėl asmens duomenų paviešinimo)

3)個人データ侵害を報告義務違反(Dėl pranešimo apie asmens duomenų saugumo pažeidimą nepateikimo)

(筆者注2) Mistertangoの企業自体及び事業内容がなお不透明であるが、ここ数年で急成長した電子決済企業であることは間違いなさそうである。リトアニアのデータ保護総局のリリース文によると「国際的に事業を展開し、リトアニア国内外の住民や企業に支払いサービスを提供している会社である。 ラトビアにも独自の支店を開設し、他の国々でサービスを提供している」とあるが、一方で仮想通貨やギャンブル通貨、さらにはマネロン対策サービスなど、情報保護法以外のコンプライアンス問題があるようである。この問題は機会を改めて論じる。

(筆者注3) Hewlett Packard Enterprise Development LP の解説から一部抜粋する。

*国際プライバシー専門家協会 (IAPP)

 今把握している範囲では、IAPPだけが、本格的で信頼できる認定組織として適格であり、GDPRのスキルや知識をさまざまな資格認定 (および、そのカリキュラムと試験) に取り入れています。2000年から活動しているIAPPは、ベンダーとポリシーについて中立的な立場を維持し、自身を「世界最大の国際的情報プライバシーコミュニティ」とうたっています。

 IAPPは、6名のメンバーからなる執行委員会によって指揮され、そのうち5名がIAPPの資格保有者です。その諮問機関では、世界中のさまざまな規模の企業、教育機関、業界、研究団体に所属するシニアプライバシーオフィサー、法律家、コンサルタントが、地理的地域の代表を務めています。IAPPの認定を受けた人の数は数千に及びます。そのプログラムは長く続いており、高い評価も得ています。それとともに、GDPRのスキルと知識を追加している点からも検討する価値があると一般に見なされています (おそらくプライバシーが組織にとって重要な問題になっているため)。しかも、IAPPのほとんどの資格認定がANSI/ISO/IEC 17024の基準を満たしています。(以下、略す)

(筆者注4) わが国におけるDPIAの解説としては情報保護委員会がEU指令第29条専門家会議が2017年4月4日に採択後、修正のうえ2017年10月4日に採択され“Guidelines  on  Data  Protection  Impact   Assessment (DPIA)   and  determining whether 「Guidelines on Data  Protection  Impact  Assessment (DPIA)  and  determining  whether  processing is “likely to result in a high risk” for the purposes of Regulation 2016/679データ保護影響評価(DPIA)及び取扱いが2016/679規則の適用上、「高いリスクをもたらすことが予想される」か否かの判断に関するガイドライン」(全49頁)を仮訳しているだけである。(同ガイドラインの仮訳はJETROも行っている)

 なお、同ガイドライン(仮訳)44頁以下でAnnex  1 –Examples  of  existing EU  DPIA  frameworks付録1-既存のEUのDPIA枠組み例が、EU加盟国のDPAが策定しているWhitelists、Blacklists、 ガイダンスにあたるといえる。そこでは、具体的な国としては、ドイツ、スペイン、フランス、英国の枠組み例がとりあげられている。

 なお、わが国の解説例としては、 バード・アンド・バード法律事務所(Bird & Bird.com)ブリュッセルオフィスパートナー弁護士杉本武重「GDPRの基礎総点検~今さら聞けないGDPRの基本のキ(ミュンヘン日本人会会員企業様向け2018年7月)のスライド51頁以下(全100頁)で各加盟国のDPAが公表したブラックリストについてDPIA時に参照すべきとしているのみである。

(筆者注5) 筆者も含め、リトアニア共和国の位置さえ正確には知らないというのが現実であろう。筆者自身、本ブログの執筆にあたりあらためて主要情報にあたってみた。

【EU域内での位置】

外務省:EU加盟国と地図

EUの第5次拡大(2004年(10カ国)及び2007年(2カ国))国

キプロス、チェコ、エストニア、ハンガリー、ラトビア、リトアニア、マルタ、ポーランド、スロバキア、スロベニア(2004年)

ブルガリア、ルーマニア(2007年)

以下の地図で分かるとおり、EUの対ロシア囲い込み戦略の一環と言える。

 

  また、リトアニアの国勢を名目GDP比でわが国と比較してみた。「世界経済のネタ帳」から引用

 なお、一人当たり名目GDP(USドル) につき、中国とわが国と比較したらどのようになるであろうか。リトアニアのレベルが成長率も含め中国よりに高い。

(筆者注6) 第27条EU域内に拠点のない管理者又は取扱者の代理人

第1項 第3条第2項が適用される場合、管理者又は取扱者はEU域内の代理人を書面で明示しなければならない。

第2項 当該義務は次に掲げるいずれかの場合には適用されない。

(a) 第9条第1項で定める特別な種類のデータの取扱い又は第10条で定める有罪判決及び犯罪に関する個人データの取扱いを大規模に含まず、取扱いの性質、文脈、範囲及び目的を考慮して自然人の権利又は自由に対するリスクが生じそうにない、散発的になされる取扱い

(b) 公的機関又は団体の場合。

(筆者注7) 第87 条 国民識別番号の取扱い:

加盟国は、国民識別番号又はそれ以外の一般に利用されている識別子の取扱いのための特別の条件を別に定めることができる。その場合、国民識別番号又はそれ以外の一般に利用されている識別子は、本規則によるデータ主体の権利及び自由のための適切な保護措置の下においてのみ、これを用いることができる。

***********************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)

All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国連邦司法省やロンドン警視庁が“Zeus Trojan”の大規模国際銀行口座サイバー詐欺犯を起訴

2019-05-14 17:26:24 | サイバー犯罪と立法

 Last Updated:May 14, 2019

 去る8月28日付けの本ブログで、筆者は「米国『スケアウェア詐欺』に見る国際詐欺グループ起訴と国際犯罪の起訴・裁判の難しさ」を取り上げた。

 9月30日、連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局(District Attorney for New York County)、FBIニューヨーク事務所(field office of FBI)等はオンライン・バンキングにおける銀行の機密取引情報を盗み、ACH
(筆者注1)と電子通信詐欺(Wire Fraud)を介し、世界中に数百万ドルの被害を引き起こした詐欺グループ37人を逮捕し旨リリースした。

 犯人グループはキー・ロガーを利用したマルウェア“Zeus Trojan”
(筆者注2)を利用していた。

 一方、英国では9月29日にロンドン警視庁(MPS)のサイバー犯罪特別捜査チーム(PCeU)
(筆者注3)が、数千人の銀行顧客口座から最高600万ポンド(約7億6,200万円)以上を盗取した罪で東欧出身者19人を逮捕した旨発表した。
 犯罪者グループはマルウェア“Zeus Trojan”を利用し、オンラインバンキングにかかるログオン情報を盗取したうえ、無権限アクセスを行い犯罪組織が管理する海外の口座に送金した。その手先になったのが違法な海外への資金の送金請負人“Money Mules”であった。

 特に海外メディアはコメントしていないが、これら犯罪者たちの年令に注目して欲しい。米国の場合ほとんどが20歳前後である。また英国の場合、20歳代後半から30歳代前半である。彼らが何ゆえこれらの犯罪に引き込まれたのか、どのような国際犯罪組織が暗躍しているのか。英国の起訴犯人グループは年令が米国より上(20歳代後半)であるが、その多くは失業者である。

 本文を読まれると理解できると思うが、経済的に恵まれない東欧諸国の若者を巻き込んだ詐欺犯罪として従来のサイバー犯罪の類型とは異なる手口である。
 仮に彼らが有罪と判断させたときの最高刑はあまりにも重い気がするが、これが世界の現実である。さらにいえば、わが国の若者がこの手の犯罪グループに安易に巻き込まれない保証はない。
 経済の低迷が続くわが国でも「他山の山」とすべき事例であろう。


 また、英国のサイバー犯罪対策組織の最新情報やその国家としての取組方針・施策についてわが国では詳しく論じたものがなく、今回あらためてまとめた。参考サイトの内容は今後のわが国の関係機関の研究課題につながろう。

 筆者が本ブログでもしばしば取上げてきた米国が意図しているのはSWIFT(国際銀行間通信協会)を介した国際テロ資金の流れの追跡だけでなく、今回のような違法な国際詐欺グループの追跡にこだわる背景の1つとして、これらサイバー犯罪にかかる捜査のためにも重要な点であることが理解できよう。

 なお、今回はその詳細は略すが、2010年7月28日にセキュリティ調査会社“Secure Works”がロシアを本拠とする国際犯罪組織、“botnets”、“Virtual Private Network”
(筆者注5)“Zeus Trojan”の異種、オンラインの“Money Mules”役の募集広告、偽造小切手ネットワーク等まさにサイバー金融犯罪の最新形態の分析結果を公表している(被害総額は最大900万ドル(約7億5,600万円))。このレポートは関係国の法執行機関との協同作業に基づきまとめられたものであるが、この種のレポートにはない具体性がある(その内容の専門性から見て筆者の領域を越えることから目下関係専門家に相談中である)。

 
Ⅰ.米国のサイバー犯罪手口と犯罪組織
1.連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局、FBIニューヨーク事務所(field office of FBI)等の共同リリースの概要

(1)犯罪の手口
 9月30日、公開されたマンハッタン連邦地方裁判所に提訴した訴状によると、今回のサイバー攻撃は、東欧で始まり「Zeus Trojan」として知られているマルウェアの使用を含んでいた。(マルウェアは、通常明らかに親切心からでたメールとして合衆国の中小企業や自治体(municipalities)のコンピュータに送られた)。 メールがいったん開かれると、マルウェアは犠牲者のコンピュータにそれ自体を埋め込み、被害者のキー・ストローク(オンラインで自己の銀行口座にログインしながら、それらの口座番号、パスワードおよび他の重要なセキュリティコードを含む) を記録した。 マルウェアを管理するハッカーは、次に犠牲者の銀行口座を引き継ぐ目的で盗んだ金融取引情報を使用して、共謀者が管理する口座に対し1回に何千ドルもの無権限海外向け資金送金を行った。

 盗んだマルウェア攻撃の売上金を海外に送金するかまたは振り込むための役割を担う「Money Mules組織」によって準備された。同計画を実行に移すため、「Money Mules組織」は学生用ビザで合衆国に入った個人を取り込み、あるいは偽の外国パスポートをそれらに提供して、米国の銀行で偽名口座を開くよう彼らに命令した。

 これらの偽名口座がいったん口座が開設されるとマルウェア攻撃で危険にさらされた口座から盗んだ資金を受け取ると、「Money Mules」は不正に入手した大量の現金の大部分を海外にある他の口座に振り込むか、引き出しまたは海外に送金するよう命令された。

(2)捜査活動
 マンハッタン連邦地方裁判所に告訴された被告には、(1)「Money Mules組織の管理者や人集め担当者、(2)money mulesのための偽海外パスポートを取得担当者が含まれる(連邦司法省のリリース文では“passports for the mules, and money mules.”の部分が抜けていた)。

 協調的な操作活動の一環として、連邦および地元の法執行官吏は、9月30日早朝に10人の被告を逮捕したが、別の10名はすでに逮捕していた。 同日午後にマンハッタン連邦裁判所に今日ニューヨークで拘留されている被告が現れると予想される。 17人の被告はニューヨークと海外でなお捜査中である。

2.起訴内容の一覧
連邦司法省やFBIの9月30日のリリースは、次の様式で裁判ケース名や被告の氏名、年令、犯罪名(適用法)、有罪時の最高刑ごとに一覧を作成している。ここですべてを網羅することは省略するが、専門外の読者のために犯罪名と最高刑罰については簡単に補足する。

(1)United States v. Artem Tsygankov, et al. (10 Mag. 2126)
被告名 年令
ARTEM TSYGANKOV 22
SOFIA DIKOVA 20
MAXIM PANFEROV 23
KRISTINA IZVEKOVA 22

Ct : 犯罪名: 被告 : 有罪時の最高刑罰
1 Conspiracy to Commit Bank Fraud ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 30 years in prison; fine of $1,000,000 or twice the gross gain or loss; and restitution
2 Conspiracy to Possess False Identification Documents ARTEM TSYGANKOV, SOFIA DIKOVA, MAXIM PANFEROV, KRISTINA IZVEKOVA 15 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
3 False Use of Passport MAXIM PANFEROV 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution
4 False Use of Passport KRISTINA IZVEKOVA 10 years in prison; fine of $250,000 or twice the gross gain or loss; and restitution

①銀行に対する詐欺罪の共謀罪(Conspiracy to Commit Bank Fraud):18 U.S.C. §§ 1349,1344 and 2
②偽の本人確認文書の所有罪(False Identification Documents):18 U.S.C. §1028
③パスポートの偽造または悪用罪(Forgery or false use of passport):18 U.S.C §1543
④マネー・ローンダリング罪(Money Laundering):18 U.S.C § 1956
または18 U.S.C § 1957
⑤偽の本人確認文書の譲渡罪(Transfer of False Identification Documents):
18 U.S.C. §1028 
⑥偽の本人確認文書の作成罪(Production of False Identification Documents):18 U.S.C. §1028 
⑦偽の入国管理文書の所有(Possession of False Immigration Documents):
18 U.S.C § 1546

(2) United States v. Artem Semenov, et al. (10 Mag. 2154)
(3) United States v. Maxim Miroshnichenko, et al. (10 Mag. 2141)
(4) United States v. Marina Oprea, et al. (10 Mag. 2142)
(5) United States v. Kristina Svechinskaya, et al. (10 Mag. 2137)
(6) United States v. Margarita Pakhomova, et al. (10 Mag. 2136)
(7) United States v. Ilyya Karasev, et al. (10 Mag. 2127)
(8) United States v. Marina Misyura, et al. (10 Mag. 2125)
(9) United States v. Nikolai Garfulin, et al. (10 Mag. 2138)
(10) United States v. Dorin Codreanu, et al. (10 Mag. 2152)
(11) United States v. Victoria Opinca, et al. (10 Mag. 2153)
(12) United States v. Alexander Kireev, et al. (10 Mag. 1356)
(13) United States v. Kasum Adigyuzelov, et al. (10 Mag. 1622)
(14) United States v. Sabina Rafikova, et al. (10 Mag. 1623)
(15) United States v. Konstantin Akobirov, et al. (10 Mag. 1659)
(16) United States v.Adel Gataullin , et al. (10 Mag. 1680)
(17) United States v. Ruslan Kovtanyuk, et al. (10 Mag. 1827)
(18) United States v.Yulia Klepikova , et al. (10 Mag. 1753)
(19) United States v.Alexande Sorokin , et al. (10 Cr.437(RWS))
(20) United States v. Alexander fedorov, et al. (10 Cr.873(KTD))
(21) United States v.Anton Yuferisyn , et al. (10 Cr.134(JGK))
(22) United States v.Jamal Beyrouti , et al. (10 Mag.2134)


Ⅱ. 英国のZeus Trojan犯罪グループの大量逮捕
 2010年9月日午前0時までとする英国ロンドン警視庁の差止リリース記事(現時点では見れない)に基づき事件の概要を紹介する。

 今回逮捕された19人はロンドン警視庁のPCeUにより9月28日に一斉逮捕されたもので、予め入念に計画されたハイテク犯罪で英国の銀行口座から数百万ポンドを盗取したものである。PCeUの捜査員は9月28日の5時から6時の間に23歳から47歳にわたる19人(男性15人、女性4人)を逮捕した。

 容疑者は「1990年コンピュータの不正使用に関する法律(the Computer Misuse Act of 1990)」>、「2002年犯罪収益没収法(Proceeds of Crime Act of 2002:c29)」および「2006年詐欺法(Fraud Act of 2006)」容疑で逮捕、取調べ中である。逮捕された者のうち2人は違法銃器所持容疑でも逮捕されている。

 今回の事件で多くの世界の主要銀行がこの3か月間顧客のオンライン口座をのっとられ、かつ資金を盗まれた。英国内で調査している600万ポンドの被害金額については今後さらに増額するかもしれない。

 銀行口座の無権限ログオンするためのデータの詳細を盗み取る極めて効率的なマルウェアとされる“ZeuS”(Zeus Trojan)により損害を被った英国民は数千人と想定される。

 全英警察本部長・部長会(ACPO)の“Virtual Task Force”(筆者注6)議長のマーチン・ミューアヘッド(Martin Muirhead)は次のコメントを行っている。「今回のサイバー犯罪グループの大量逮捕は、イギリスでどのように複数の政府機関と公的・民間の機能人材情報資源と専門的技術を生かすかに関する好例といえる。PCeUにとって導かれた先導的仕事といえる。」

 マルウェア“Zeus Trojan”は、世界中のサイバー犯罪者によってインターネットの安全使用に対する大きな脅威を引き起こして、ますますその使用の可能性は拡がっている。今回の事件に限られないことに留意すべきである。

Ⅲ.SMSに拡がる”Zeus Trojan” 
 “Zeus Trojan”のマルウェアとしての最大の問題点は容易に異種が作成されることである。専門的な解説は略すが米国のセキュリティ専門サイトでは9月29日にモバイル・バンキングで使用されるテキストメッセージの交換のデータ(SMS)(筆者注7)を盗取する“Zeus Trojan”が検出されたニュースが報じられている。欧州のモバイル・バンキングの本人確認で使用される「取引認証番号(Transaction Authentication Number: TAN)」は伝統的なユーザー名やパスワードと同様、金融取引の認証要素として使用されている。

 具体的な犯行の手口は目下関係機関が分析中であるが、“man-in-the mobile”攻撃には次のステップがあると解析されている。

①まず、ユーザーのPCが“Zeus Trojan”に感染される。その結果、被害者はユーザー名やパスワードを盗取される。
②違法なアプリケーションがモバイル・フォンにインストール、感染するとSMSを介してサイバー詐欺師(cybercrooks)は情報検索する。
③次に詐欺師はすでに得た機微情報に基づき、銀行のウェブログにログインしTANを必要とする取引を実行する。
④銀行は自動的にモバイル端末宛にTANを含むSMSを送信する。
⑤モバイル内にすでに存するマルウェアにより、詐欺師が管理するサーバーにテキストメッセージを転送することで当該違法取引は完了する。

 わが国のSMSは国際的な互換性がないことが幸いか?

**********************************************************************
(筆者注1)ACHは、 米国の連邦準備銀行(FRB)等によって運用され、銀行間の資金決済を電子的に行う決済システムである。給与振込、公共料金の支払いの他、利息や配当金の自動振込や自動引落、財務省が依頼人となる社会保障給付金等の受給資格付与プログラムに基づく給付等に利用されている(2007年10月14日付け本ブログ(筆者注8)参照)。

(筆者注2)シマンテックのサイトで“Zeus Trojan”の解説を引用しておく。なお、英語の資料からの直訳らしく、訳語はこなれていないため専門家でも読みにくい文章であるが一応参考にはなるので引用する(疑問に思う訳語には「?」をつけておいた)。

「 感染:Trojan.Zbot (別名 Zeus) は、侵入先のコンピュータから
 機密情報を盗み取ろうと試みるトロイの木馬です。また、インターネットから設定ファイルや更新ファイルをダウンロードする可能性があります。このトロイの木馬は、トロイの木馬作成用ツールキットを使って作成されます。・・このトロイの木馬自体は、主にスパム送信とドライブバイダウンロードを介して配布されますが、汎用性を考慮すると他の手段が利用される可能性もあります。ユーザーは、FDIC(連邦預金保険公社:米国金融監督機関)、IRS(米国連邦財務省連邦税課税庁)、MySpace、Facebook、またはマイクロソフトなどの組織()から送信されたように見える電子メールメッセージを受信する可能性があります。このメッセージは、ユーザーの金銭()情報、オンラインアカウント、またはソフトウェアに関する問題を警告して、電子メールで案内するリンク先を訪問するように促します。

機能:このトロイの木馬は、主に侵入先のコンピュータから機密情報を盗み取ることを目的として設計されました。特に、システム情報、オンライン資格()情報、銀行取引の詳細などがターゲットとなりますが、ツールキットを使ってカスタマイズすることで、どのような種類の情報でも収集することができます。・・・機密情報は、さまざまな方法で収集されます。このトロイの木馬が実行されると、Protected Storage (PStore) に格納されている Internet Explorer、FTP、POP3 に関連するパスワードを自動的に収集します。最も効率的な情報収集の手段として、設定ファイルで指定された Web サイトを監視し、タイミングを見計らって正規の Web ページを遮断して追加フィールドを挿入する(ユーザー名とパスワードの入力だけを要求するバンキングサイトに、生年月日を入力させるフィールドを追加するなど)という方法が使われます。・・・」
シマンテック「セキュリティレスポンス:Trojan.Zbot 危険度 2: 低」から引用。なお、この文章では米国FDIC、IRSについては説明部分がもれているので筆者が補筆した。

(筆者注3) ロンドン警視庁の“Police Central e-crime Unit(PCeU)”について、わが国では正確に説明したものがない。この機会に、同ユニットのサイト等に基づき「任務記述書( Mission Statement)」やその具体的な任務内容について説明する。

(1) 任務記述書の概要
イングランド、ウェールズおよび北アイルランドにまたがる警察の能力を育成することによりサイバー犯罪の犠牲者への警察の対応を改善するため、警察サービスのあらゆるタイプのサイバー犯罪の法施行体制を整備、さらに最も重大なサイバー犯罪事件に対し国家としての捜査能力を提供する。

(2)同ユニットの具体的付託任務(remit)
①内務省(Home Office)、ロンドン市警察(City of London Police)、重大組織犯罪対策機構(Serious Organised Crime Agency:SOCA)(2006年4月1日~内務省の財政支援で活動、2013年10月以降はNCA)等他の犯罪取締機関、政府機関との共同作業により、違法なIT情報犯罪に結びつくサイバー犯罪に対する高度な専門的情報の分析ならびに開発
②サイバー犯罪の壊滅を導くための情報収集
③サイバー犯罪に関する警察、政府および産業界との協同ネットワークの開発と維持
④政府の各省庁、産業界の協力者、アカデミー研究者および公益団体などを含む利害関係者との情報や機密情報の交換
⑤産業界および一般市民へのサイバー犯罪に関する教育と予防手段に関する助言
⑥サイバー犯罪に関するトレーニングの標準化、手順および対応の促進
⑦サーバー犯罪の脅威と脆弱性に関する産業界の協力者、政府機関およびアカデミー研究者との協同研究作業に基づく研究と助言
⑧同ユニットは捜査機関の重要経済詐欺事件の判断基準(Case Acceptance Criteria :捜査実施要件を定め、その犯罪要件の「すべて」、「1つ以上」、「2つ以上」等の充足程度によって犯罪事件として捜査を行うべきか否かを決める基準)に該当する重要犯罪であるか否かの調査を行う。

⑨最も重大な犯罪事件として次のような事件に責任をもって取組む
・コンピュータシステムへの侵入(computer intrusion)
・悪意あるコード(malicious code:情報システムが提供するサービスを妨害するプログラムの総称で、たとえば「コンピューターウイルス」、「ワーム」、「バックドア」、「キーロガー」等をさす)違法な配分
・DOS攻撃
・インターネットを介して可能となる詐欺犯罪(internet-enabled fraud)

PCeUの付託任務事項として、次の事項は明らかに除くものとする。
・サーバー犯罪に関する定期的な報告
英国詐欺取締庁(National Fraud Authority:NFA)(2013年以降はNCAに統合)が運用・管理する「英国詐欺報告センター(National Fraud Reporting Centre)」に関するプロジェクト
子供の搾取およびオンライン保護センター(Child Exploitation and Online Protection Centre:CEOP)の付託事項

(3)“PCeU”の各チームの内容
①運用チーム、②情報活動チーム、③パートナーシップ開発チーム、④協同・コミュニケーションチーム、⑤犯罪阻止対策チーム

 なお、現在の英国サイバー犯罪プログラムの内容を参考までに挙げておく
ACPO サイバー犯罪戦略、②英国サイバー犯罪プログラムの構造、③コンピュータを基礎とする電子証拠のための優れた実践ガイド、④サイバー犯罪捜査管理者向けガイド
 特に、③についてはわが国においても参考とすべき点が多々あると思う。時間をかけて分析したい。

(筆者注3-2) 2013年10月7日、PCeUは英国版FBI(米連邦捜査局)」とも称される新組織である「国家犯罪対策庁(National Crime Agency:NCA)」(もともと2006年4月に発足した「重大組織犯罪庁(Serious Organized Crime Agency、SOCA)が改組・改編された )の一部である国家サイバー犯罪部(National Cyber Crime Unit)に統合された。英国で最も「凶悪な」犯罪者らに強固な捜査で臨むという。NCAは約4500人の職員で、英国内に約3万7000人いると推定される重大犯罪や組織犯罪の容疑者を取り締まる。

 年間予算は5億ポンド(約780億円)で、主に組織犯罪、経済犯罪、国境警備、児童を狙った犯罪とインターネット上の保護策、サイバー犯罪の5分野の捜査を担う。対象は国内犯罪が中心となるが、40か国に計120の拠点を置くという。

 米国のFBIと異なり、対テロ捜査は担当しない。対テロ捜査は警察の管轄となるが、将来的にNCAの任務とする可能性が検討される予定だ。

 NCAは2006年に発足した「重大組織犯罪対策庁(Serious Organized Crime Agency、SOCA)」に代わる犯罪対策組織となる。(2010.10.8 AFP記事から引用)

国家サイバー犯罪ユニット(National Cyber Crime Unit)について、「2010年~2015年英国政府サイバーセキュリティ政策文書(Policy paper :2010 to 2015 government policy: cyber security (Updated 8 May 2015)」から一部抜粋し、仮訳する。

【付録1:国家サイバー犯罪ユニット(NCCU)の設置】

以下は、メインポリシー文書の補足詳細ページである。

政府通信本部(GCHQ)とNational Cyber Crime Unit(NCCU)は、英国に対するエリートサイバー犯罪の脅威に対抗するために必要なスキルと技術を開発するために協力している。

最も重大な国家犯罪については、国家犯罪庁(NCA)のNCCUの作戦を指揮する。GCHQは、NCCUがサイバー犯罪の脅威に対抗するためのスキルと技術を開発するのを支援しており、3,500人以上のNCA官吏がデジタル認識トレーニングを修了している。また我々は、サイバー犯罪について警察を訓練している。

9つの地域組織犯罪ユニットがそれぞれ独自のサイバーユニットを持つように、地域のサイバー事業を拡大している。警視庁はまた、彼らの地元のサイバー能力を強化している。Fraud and Linked Crime Online (FALCON) は、警視庁の詐欺隊とサイバー犯罪組織を結集させて、ロンドンの企業を攻撃するサイバー犯罪者を混乱させ、逮捕した。

多くのサイバー犯罪者が英国の管轄外で活動してお.り、 NCCUは次のとおり海外での活動まで拡大している。

① 世界のサイバー犯罪の脅威を理解する

② 優先すべき脅威に対する活動の調整

③ EuropolおよびInterpolなど、海外に官吏を派遣するなど、起訴に関する協力を支援するために国際的なパートナーとの関係を構築する。

(筆者注4) 筆者の手元に、オーストラリア大使館広報文化部よりオーストラリア政府の外交、政策に焦点をあてた最新情報を届けるニュースレター 「Headline Australia 最新号」が届いた。その中に次のようなレポートがあった。誤訳らしき問題のある訳語もあるが、世界の若者の現実を理解する意味で、そのまま引用する。

「世界の若者ホームレスたち
オーストラリアはメルボルンで5月17日から20日まで開かれたINSP(国際ストリートペーパーネットワーク)の年次会議には、大陸を超えて27カ国から70人の参加者が集った。ブラジルから参加した『オカス』誌の編集者ロジは、「ここに来るのに30時間もかかったわ」と笑う。今回特に各国代表に聞きたかったのは、世界の若者ホームレスの状況だった。「ビッグイシュー日本」では、リーマンショック後30~40代で「販売者になりたい」と事務所を訪れる人が急増している。今年7月に創刊を予定している『ビッグイシュー・韓国』誌のナラは語る。「韓国でも、若者のホームレス化が問題になっています。彼らに『自分がホームレスだ』という自覚はないけれど、インターネットカフェに泊まり続けていたりする。その大半は競争社会の韓国に疲れきった若者たちです。最近では、韓国版ワーキングプアも増え、『88万ウォン世代(いくら働いても月収が約7万円に満たない世代)』という言葉もできました」オランダの『ストラートニュース』紙のフランクも語る。「オランダでも若いホームレスはいるけれど、彼らは“透明人間”のようなものだよ。誰もその存在を把握していない。それで、彼らが人々の目に“見える”ようになるのは、犯罪を起こして“犯罪者”になった時なんだ」そんな社会から疎外されたホームレス状態の若者たちのためのプロジェクトが、世界で始まっている。例えば、カナダはモントリオールの『L’ltineraire』誌のサージュは、6カ月に及ぶビデオプロジェクトを立ち上げた。「ネガティブな経験しかもちあわせていない彼らには、自尊心がありません。だから、6カ月のプロジェクトを通して、自信を取り戻してほしいんです」。今、プロジェクトには、12歳で学校をドロップアウトをした若者をはじめ、16人が映画の作り方を学んでいる。ホームレス状態に落ちるしかない若者たちをいかに未然にくい止め、再び社会に包み込んでいくのか? ランチや休憩の時間にも、熱い議論は尽きなかった。」

(筆者注5) “Virtual Private Network (VPN)”または「 仮想プライベートネットワーク」とは 通信相手の固定された専用通信回線(専用線)の代わりに多数の加入者で帯域共用する通信網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービスをいう。(Wikipediaから引用)

(筆者注6) 英国警察本部長・部長(The Association of Chief Police Officers :ACPO)は、スコットランドを除くイングランド、ウェールズ、北アイルランドの全警察の本部長等からなる独立かつ自主的犯罪専門戦略策定・実行機関である。(筆者注3)で紹介した「ACPO サイバー犯罪戦略」をまとめている。その12頁で“Virtual Taskforce”について任務や機能等につき図解入りで解説している。わが国で同様な取組みがあるのか筆者は不明であるが、明確な説明は読んだ記憶はない。“Virtual Taskforce”の要旨を引用しておく。

警察、産業界、アカデミー研究者やその他法執行機関による相互協力的取組みは、緊密な協力と協力的作業が必要である。“Virtual Taskforce”の組織は各特定したサイバー犯罪を解決すべくお互いの専門技術を持ち寄り、すでにその結果で明らかなとおり新たな取組みを行っている。特に現在の“Virtual Taskforce”組織は、 金融業界に的を絞っており、銀行、決済サービス、通信業者、ISPおよび複雑な問題に多角的にビジネスサポートを行いかつ“academic rigour”(高いレベルの研究機能を指し、あらゆる前提や仮説の検証やサポートを通じて、詳細にわたる徹底した調査、先進的かつ批判的な分析や考証に関する詳細な注意を払うこと)である機関(facilitation service)「英国王立国際問題研究所 (The Royal Institute of International Affairs:チャタムハウス: Chatham House)等をパートナーとする。
 なお、問題の性格上、各パートナーが遵守する“Virtual Taskforce Charter”を定める。

(筆者注7) ショート・メッセージ・サービス(SMS:Short Message Service)とは、携帯電話やPHS同士で短文を送受信するサービスである。Text Message(テキストメッセージ)とも呼ばれることがある。日本では第二世代携帯電話規格に「PDC」という独自の通信方式を採用したため、海外のGSMやCDMAとの間でサービスに互換性がない。従って厳密に言えばSMSとは区別されるべきものである。(wikipedia から引用)

[参照URL]
・http://www.justice.gov/usao/nys/pressreleases/September10/operationachingmulespr%20FINAL.pdf
・http://www.dailymail.co.uk/news/article-1316022/Nineteen-arrested-online-bank-raid-netted-20m.html
・https://www.scmagazine.com/home/security-news/zeus-moves-to-mobile-devices-to-sniff-out-text-messages/

***********************************************************:
Copyright © 2006-2019 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ワシントン州議会はプライバシー法案を通過期限に間に合わなかったが、「漏えい通知法」の改正に関しては合意に達した

2019-05-10 12:20:14 | 個人情報保護法制

 ワシントン州議会の「プライバシー保護法案(SB 5376)(以下「WPA」という)」の審議は2019年4月に州議会委下院で行き詰まり、2020年の立法セッションの議論のため再び登場することはないであろう、という筆者ブログをさる4月23日に掲載した。 

 予想したとおり、同法案(WPA)は圧倒的支持により上院を通過したが、州議会の議員が予算に関連しない事項を検討するための2019年4月17日の期限前に下院で議決権を行使できなかった。この採決の遅れは、顔認識技術の規制や潜在的な法執行メカニズムなどの重要な問題についてのコンセンサスが得られなかったから生じたように思われる。

 さる5月8日、筆者の手もとにCovington & Burling LLP「ワシントン州議会の議員はプライバシー法案を通過期限に間に合わなかったが、「漏えい通知法」の改正に関しては合意に達した」というブログが届いた。また、5月9日には Hunton Andrews Kurth LLP「Washington Amends Data Breach Notification Law」が届いた。(後者のほうが内容は詳しい)

  2019年5月7日に、ワシントン州知事ジェイ・ロバート・インスレー(Jay Robert Inslee) (筆者注1)は、ワシントン州の「データ漏洩通知法を改正する法案( HB 1071 )」に署名した。

Governor:Jay Inslee

 今回のブログは、これらブログをもとに今回可決した漏えい通知義務法の改正概要を仮訳し、紹介することとする。

1.ワシントン州議会の上下院での情報保護法及び漏えい通知義務法改正案の採決結果

 もし下院が法案を可決したならば、ワシントン州は重要なプライバシー法を制定した米国で2番目の州になったであろう。EUの「一般データ保護規則 (GDPR)」をいくつかの点を反映したこの法案は、データ主体たる消費者のアクセス、修正、削除の権利を与え、対象となる事業につき、開示とリスク評価の義務を課すものである。

 ワシントン州の議員は同州のプライバシー保護法を可決については失敗したが、一方、彼らはワシントン州の漏えい通知義務を拡大する改正法案については合意に達した。上院(委員会:Senate Environment, Energy & Technology Committee)と下院(委員会:House Innovation, Technology & Economic Development Committee)は、4月後半にそれぞれの本会議で法案を可決した。(筆者注2)

 新しい要件には以下が含まれる。

(1) 「個人情報の定義」を拡大

  HB 1071では、「個人情報」の定義を拡張した。ワシントンの違反通知法では、個人情報を、1)個人の社会保障番号、州民識別カード番号と組み合わせ姓名、2)個人の金融口座へのアクセスを許可するために必要なセキュリティコード、アクセスコード、またはパスワードと組み合わせた金融口座またはクレジットカードまたはデビットカード番号と定義した。

 さらに、HB 1071は、個人の姓名と組み合わせて妥協すると、定義に次のデータ要素を追加した。 

① 完全な生年月日 

② 個人に固有でありかつ電子記録の認証または署名に使用する秘密鍵 

③ 学生またはパスポートの識別番号

④ 健康保険証券番号または健康保険識別番号  

⑤ 消費者の病歴、精神的もしくは体調に関する情報、または医療専門家の消費者の医学的診断または治療に関する情報

⑥ 指紋、声紋、眼の網膜、虹彩などの個人の生物学的特性、または特定の個人を識別するために使用される他の固有の生物学的パターンまたは特性の自動測定によって生成されるバイオメトリック・データ

 また、拡張された個人情報の定義では、データが暗号化または編集されていない場合、あるいはデータによって個人が個人情報のなりすましを可能にする場合、消費者の名前なしでもこれらのデータ要素のいずれかまたはそれらの組み合わせを含む。 

 さらに、拡張された個人情報の定義には「個人の姓名なしで」「オンライン・アカウントへのアクセスを許可するパスワードまたはセキュリティの質問と回答と組み合わせたユーザー名または電子メールアドレス」も含まれるようになった。 

(2) 通知の方法 

 HB 1071は、漏えい内容がユーザー名またはパスワードを含む場合、事業体は電子メールで漏えい通知を提供することができると規定している。そのような通知は、「個人情報が侵害された人に、必要に応じてパスワードとセキュリティに関する質問または回答を即座に変更するか、またはオンラインアカウントを保護するためのその他の適切な措置を取るために通知しなければならない。

 HB1071では、違反が事業者によって提供されたアカウントのログイン認証情報を含む場合、事業者はそのEメールアドレス の通知を提供しないことが規定されている。

(3) 通知に関する追加された内容要件

 HB 1071は、わかった場合、漏えい通知の日付と漏えい発見の日付を含む影響を受ける個人への通知に、関連する個人情報の公開の時間枠を含めることを要求することにより、漏えい通知に必要なコンテンツを拡張する。 

  さらに、州司法長官への通知(漏えい件数が500人以上のワシントン居住者に影響を与える場合)には、1)違反の影響を受ける個人情報の種類のリスト、2)漏えいされた時間枠(違反の日付を含む)3)違反が発見された日付、4)漏えいを封じ込めるために取られたステップの要約、および5)影響を受けた個人への通知の見本コピーを含む追加の内容を含まなければならない。 

(4) 漏えい通知時期の迅速化 

 HB1071は、該当する場合、影響を受ける個人および司法長官への通知のタイミング要件を45以内から30以内に厳格化した。

(5) 規制当局への最新通知義務を更新

 HB 1071は、法律に従って開示することが要求されている情報が通知期限内に不明である場合、該当する場合には、事業体は司法長官に最新の通知を提供しなければならないと規定した。  

2.改正法は、2020年3月1日から施行 

***************************************************

(筆者注1)ジェイ・ロバート・インスレー知事(68歳:民主党)は2020年の大統領選挙に出馬することを正式に表明した。

インズリー氏は1951年シアトル生まれ。5代目のワシントン州民で、イングラハム高校を優秀な成績で卒業し、ワシントン大学で経済学学士号を取得後、ウィラメット大学ロースクールを卒業。弁護士となり、弁護士事務所で市検事を務め、1989年に州議会に初当選。2012年に知事に当選し、2013年から現職。2020年の大統領選挙に民主党の指名獲得を目指して出馬表明したのは、現職の州知事ではインズリー氏が初めて。 

シアトル・タイムズは、「インズリー知事の大統領選に向けた選挙活動は、自身を売り込むのではなく、ワシントン州を売り込んでいる」「ワシントン州はすべてがすばらしい。ただ、あまり細かく見ないこと」と分析する記事を掲載。ワシントン州における銃規制の厳格化、最低賃金の引き上げ、連邦法を上回る保護を提供するとされる育児介護休業法の採用、死刑廃止法案の可決、移民の積極的な受け入れ、企業と労働者の両方からの高い評価などインズリー知事が挙げていることは事実であり、「それにインスリーがどれほど貢献したかは議論の余地がある」としながらも、予備選挙の投票者には高く評価される可能性が高いとしています。( 記事から引用)。

(筆者注2)米国の州議会の法案審議のワシントン州議会公式情報サイトで見ておこう。

 以下の動画サイトによる法案審議経緯などは連邦議会や他州と変わらない。

 

 

 なお、筆者の語学力から見て委員会の動画に加えてtranscriptionsがあるのは助かる。

****************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント (1)
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ソーシャル・メディア・プラットフォームの偽のフォロワーや同類の業者をいかに規制すべきか?

2019-05-08 09:10:56 | 消費者保護法制・法執行

 近年、偽のフォロワーや偽の同類の慣行がソーシャルメディア全体に広がっている。”Facebookや”Instagramなどのソーシャルメディア・プラットフォームは、いわゆる「不正行為」を取り締まっていると発表してはいるが、その慣行は依然として普及、拡大している。

 ソーシャルメディアで広告を出しているブランド企業の場合、偽のフォロワーや同類のものにお金を払うのは魅力的である。すなわち消費者の目にブランドの正当性を追加することで競争力を高めることができ、有名人推薦のお得な情報が利用されている。

 しかし、その利点には反面、重大な法的リスクや新たなIT新技術のリスクが伴う。偽の好き嫌いや信者を違法に購入することによって、ブランド企業は方執行機関からの執行措置および競合他社によってもたらされた誤った広告に関し賠償請求等に直面する可能性があるといえる。

 やや古くなるが、2019年1月30日、ニューヨーク州司法長官レティーシャ・ジェームス(Letitia "Tish" A. James ) (筆者注1)が「偽フォロワーの販売は「違法」とする初めての司法判断」と当該業者グループと「和解」を行った旨公表した。(筆者注2)

 筆者は、選挙運動や世論操作等にも関係するこの問題の重要性を理解してはいたが、このほどこれらの問題点を法的にまとめたロバート・フロイント(Robert Freund )弁護士のレポートを読んだので、その内容を仮訳するとともに補足説明することとした。

 また同時に、ソシャル・メディアが次々と新規参入する一方で、米マーケテイング業界代表であるBBB(Better Business Bureau)がいかにに厳しい目でチェックしているかにつき、併せて解説を試みる。

1.ニューヨーク司法長官による画期的な決定「偽造品エンゲージメントの販売は違法

 (1)司法長官の違反会社デヴ―ミとの和解

 2019年1月30日、ニューヨーク州司法長官 レティーシャ・A・ジェームス(Letitia "Tish" A. James )(61歳)は、問題の会社「Devumi(デヴ―ミ)」は、他人の身元を盗み、ソーシャル・メディア・プラットフォーム上で偽のフォロワーや同類のものを販売することを禁止する旨の「和解」を行ったと発表した。

 Letitia "Tish" A. James 長官

 ジェームス長官は、「今般の『和解』が偽のソーシャルメディアへの関与を売り込み、盗まれた身元を使用してオンライン活動に関与していることを違法とする法執行機関が行った最初の事例である」と発表した。

 この「和解」によると、デヴ―ミの顧客は、俳優、音楽家、運動選手、造形会社から、ビジネスマン、政治家、解説者、学者まで多岐にわたった。これらの顧客は、自分や自分の製品が実際よりも人気がある(つまり、より合法的である)ことを一般に知らせることを望んでデヴ―ミのサービスを購入した。 司法長官は、デヴ―ミのサービスは「詐欺的にソーシャルメディアの視聴者の意思決定すなわち、何を買うかについての消費者の決定スポンサーの対象に関する広告主の決定や政策立案者、有権者、ジャーナリストによる、どの人々や政策が公的支援を受けているかについての決定等に広く影響を及ぼそうとしている」と述べた。

 デヴ―ミとの「和解」は金銭的な罰を科すものではないが、同様のサービスに対するさらなる行動の扉を開き、司法長官は将来の加害者が金銭的な罰則を受ける可能性があると警告した。なお、デヴ―ミは、司法長官による調査の開始と関連する宣伝のために売上が大幅に減少した直後、2018年半ばに業務を停止した。

(2) 今後、売り手は用心する

 ニューヨーク司法長官のデヴ―ミとの和解は、偽の信者や同類の売り手を扱っているだけだが、偽の契約を購入した企業も政府機関や規制当局からの法執行措置に直面する可能性がある。また、偽造品を購入したブランド企業が競合他社によって提起された民事訴訟の対象になる可能性があり、潜在的な財務上のエクスポージャーがはるかに大きくなる可能性がある。

 すなわち、合法的なソーシャルメディア・マーケティング・キャンペーンを実行していており、偽の好きな人やフォロワーを購入しているブランド企業にビジネスを失った競合ブランド企業は、「連邦商標法(Lanham (Trademark) Act :15 U.S. Code § 1125. False designations of origin, false descriptions, and dilution forbidden )」および/または「カリフォルニア州不正競争法(Cal. Bus. & Prof. Code § 17200, et seq.:UCL)」などの不正競争法等に基づき損害請求を取り戻すことができる。

 米商標法(Lsnham Act)は、「商品またはサービスに関連して、またはそれに関連して、他人によるスポンサーシップ、または商品、サービス、または商業活動の承認について欺くこと、または商業広告において、商品、サービス、またはコマーシャルの性質、特性、品質、または地理的起源を誤って表すこと活動により、虚偽または誤解を招く事実の説明または虚偽または誤解を招くような事実の表現を商業上使用する者に責任を課す」

 ソーシャル・メディアへの投稿に対する偽の好き嫌い(いいね)は、連邦商標法に基づく「広告主の」商品、サービス、または商業活動の承認」についての誤った声明を構成する可能性がある。同様に、偽のフォロワー数は「商業活動」の本質または承認を誤って表現する可能性があり、当該ブランドを消費者の間で人気があると信じるように大衆を欺くことになる。

 一方、連邦取引委員会(FTC)は、偽物を購入することは違法であることに同意する。特定の活動がFTC法に違反する可能性があるかどうかを国民が理解するのを助けるためのガイドラインを発行した。すなわち、FTCは、「The FTC’s Endorsement Guides: What People Are Asking」において「偽の「いいね」を購入した広告主は、実際の消費者からの「いいね」のためのインセンティブを提供する広告主とは非常に異なる」と述べた。「好き」が存在しない人々または製品やサービスの使用経験のない人々からのものである場合、それらは明らかに詐欺的であり、偽の「好き」の購入者と販売者の両方が法執行に直面する可能性がある。

 FTCガイドラインを法執行するための民事公訴権(private right of action )はないが、同ガイドラインは連邦商標法に基づき虚偽広告を構成するものを知らせることができると明記する。(筆者注3) 同様に、FTC法の違反(FTCガイドラインに記載)は、カリフォルニア州のUCLを含む、州の消費者保護法の下で民事請求の根拠となり得る。(筆者注4)

  デヴ―ミとの和解により、偽のソーシャルメディアによるエンゲージメントの売り手に対する民事訴訟の道が開かれたが、買い手は、同様の結果に直面する可能性があることに注意する必要がある。州政府等の法執行行動と競合他社による民事訴訟の両方のリスクがあるため、ブランド企業はソーシャルメディアの足跡を人為的に増やすという誘惑に抵抗し、代わりに本物の人気を得ることに集中する必要がある。

 逆に、合法的に事業を行っているが偽造品を購入している競合他社にビジネス機会を失っているブランド企業は、連邦商標法の使用を検討し、不公正競争法を競争の場をより平等に保つためのツールとして考えるべきである。

2.2019年1.月30日のジェームス長官のリリース内容

 事実関係も含め、後記3.で述べる内容とほとんど重複するので略す。

3.米国BBB(Better Business Bureau)がいかにに厳しい目でデヴ―ミに類するビジネスをチェックしているか

 米国BBBGovernment ActionNY AG and Florida AG Announce Settlements With Sellers Of Fake Followers And “Likes” On Social Media の中心部を仮訳、同時に補足する。

 デヴーミに関する司法長官の調査結果は以下のとおり。

 Devrupt LLCとドイツのCalas、Jrが所有する関連会社であるDisruptX Inc.、Sociall Bull Inc.および Bytion Inc.(以上をまとめて「デヴ―ミ」という)は、 ソーシャル・メディア・プラットフォームのユーザーに、偽のフォロワー、「いいね」意見、その他の形式のオンラインでの支持と活動を販売した。デヴ―ミは、1)インターネットにおける自作自演(sock puppet accounts)とは、一つのウェブサイト上で、一人の人間が、同時に複数の人間が活動しているように見せかける行為を行った、2)挑発的メッセージを投稿するTroll、3)脆弱性のある多数のコンピューターを悪意を持って支配するボット(Bots)」等を使用して詐欺行為を行った、これらのボットおよびソックパペット・アカウントは、実際の人々の本物の前向きな意見を表現するふりをしていた。また、4)場合によっては、デヴ―ミは本人のソーシャル・メディアのプロファイルを「同意なし」にコピーした偽のアカウント(名前や写真など)を提供していた。

 さらに、デヴ―ミは、ソーシャル・メディア・インフルエンサー(Social Media Influencer :特定の業界で信頼性を確立しているソーシャルメディアのユーザーである。 大勢の聴衆にアクセスでき、彼らの信憑性と範囲によって他人を説得することができる)からの推薦を、インフルエンサーが彼らの推薦に対して支払われたことを開示することなく売却した。インフルエンサーの意見が、彼らが支持するあらゆる製品、会社、サービス、または人の評判と販売に特に強い影響を与える可能性があることを考えると、これは特に厄介である。

 これらのビジネス・プラクティスは、何を買うかについての消費者の決定スポンサーの対象に関する広告主の決定政策立案者、有権者、そしてジャーナリストによる、どの人々や政策が公的支援を受けているかについての決定につき、ソーシャルメディア・オーディエンスの意思決定につきだましたり、影響を及ぼそうとしていた。

 その他の多くのデヴ―ミの顧客は、偽の活動や支持を買っていることを知っていたが、デヴ―ミの商慣行は、誤って彼らが本物の保証を支払っていると信じていた自社顧客の一部を欺きました。デヴ―ミはまた、偽の活動を禁止する方針を持つソーシャルメディア・プラットフォームを偽った。

4.筆者のコメント

 以上述べたとおり、ロバート・フロイント弁護士のコメントは今後の類似のビジネスの乱立とその法規制の在り方につき、1つのヒント与えてくれると思う。

 時間の関係でここに引用されているFTCのFAQガイドや先例判決の内容には立ち入らないが、機会を改めて整理してみたい。

***************************************************************::

(筆者注1) Letitia "Tish" A. James (born October 18, 1958)司法長官のプロファイルを簡単に述べる。

 ニューヨーク州では、民主党のレティーシャ・A・ジェームス現ニューヨーク市政監督官(Letitia “Tish” James)が、キース・ウォフォード氏(共和党)を下し、アフリカ系黒人として初めての司法長官の座を確実にした。開票36.17%の時点で、ジェームス氏が78.79%を獲得。ウォフォード氏の19.69%に大差をつけた。

 ニューヨーク州では、エリック・シュナイダーマン元司法長官が性的暴行疑惑で2018年5月に辞任した後、バーバラ・アンダーウッド氏(Barbara Underwood)がNY州としては初の女性司法長官を務めていたが、同氏は出馬しなかった。

 ジェームズ氏は、トランプ氏の慈善財団や、政権の移民政策や環境政策に対するニューヨーク州による提訴事案を継続担当し、トランプ政権と引き続き対決していくことを表明している。

 

2019.1.1 司法長官に就任

Education

ニューヨーク市立大学のレ―マンカレッジCity University of New York, Lehman (BA学士)

ハーバード大学Howard University (JD:法学博士)

コロンビア大学Columbia University (MPA: 公共経営修士)

 なお、ニューヨーク州という激戦区の司法長官に選ばれたことは政治家(民主党)としてみたときに興味深い点であり、また、鮮明に反ランプの政治姿勢を明らかにしていることもきわめてユニークである。

 また、大学でのスピーチや就任スピーチをYoutube等で見たが、見かけの強引さだけでなく、優しい母親でもあり、ユーモアもありそうである。筆者も時間を見て同司法長官にEメールを送ってみたい。(返事が来るか(笑)?)

(筆者注2) 2019年1 月29日の BBC(日本語版)の記事は以下のとおり説明している(一部抜粋)。なお、記事の中でSNS用語が使われているので、筆者なりに補足した。

 デブーミ社のウェブサイトを見ると、同社は顧客に対し、ツイッターのフォロワー最大25万人までの注文を受け付けている。価格は12ドル(約1300円)から。「いいね!」やリツイートも購入できる。

Pinterest(ネット上のWebサイト・あるいはPinterest上にある画像を自分のボードに集めることができる画像収集サービス)やLinkedIn(世界最大級のビジネス特化型SNSおよび同サービスを提供するシリコンバレーの企業)、SoundCloud(ドイツのベルリンに拠点を置くSoundCloud Limitedが運営する音声ファイル共有サービス)やユーチューブなどについても、フォロワーを販売している。

同社のウェブサイトには「私たちは20万以上の事業、著名人、音楽家、ユーチューバー、その他のプロを支援してきました。注目度を高め、客に大きな影響を与えられるよう、お手伝いしてきました」と書かれていた。

会社登記はニューヨーク市だが、ニューヨーク・タイムズ紙によるとこれは見せかけで、実際の事務所は米フロリダ州にあるという。また、フィリピンでも従業員を雇っているという。

(筆者注3) Grasshopper House, LLC v. Clean and Sober Media LLC et al 事件判決はManning Int'l Inc.対Home Shopping Network、Inc.事件(152 F. Supp. 2d 432,437(SDNY 2001)を引用して、「原告は、Lanham法に基づく虚偽の広告を主張するための基礎としてFTCガイドラインに頼ることができ、また依拠すべきである」と述べた。 

(筆者注4) See Rubenstein v. Neiman Marcus Grp. LLC, 687 F. Appx 564, 567 (9th Cir. 2017)([A]lthough the FTC Guides do not provide a private civil right of action, [v]irtually any state, federal or local law can serve as the predicate for an action under [the UCL].’”) (quoting Davis v. HSBC Bank Nev., N.A., 691 F.3d 1152, 1168 (9th Cir. 2012)).

 ***************************************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする