中国が取り組んでいる国家安全法やサイバー強化法の重要性を最新、正確な情報入手および平易に理解する方法

　Last Updated:March 1,2022

　筆者は2017年以降中国の国家ｻｲﾊﾞｰ強化やインターネット安全法やプライバシー保護立法の最新動向を紹介してきた｡(注0)

　その中で「平成２９年度内外一体の経済成長戦略構築にかかる国際経済　調査事業（デジタル貿易に関連する規制等に係る調査）調査報告書」を読んだ。経済産業省の委託研究であり、筆者のレベルをはるかに超える網羅した内容であることは否定しがたい。

　しかし、他方で同報告書も含めペーパーベースの報告書の限界も見えてきた。すなわち、同報告書は今から約4年前に作成されたものである。注記で最終アクセス日が記載されており、詳しい最新情報は機密情報を除き独自に調べざるを得ないと考えるが、さらに専門解説書として読んだ場合、不備な点が多く見られた。

　以下で、具体的な中国の最新法令情報の入手や前記報告書の課題点等を例示する。

１．中国の法令の最新情報の入手方法

(1)情報の入手先の拡大

当然ながら中国政府の公式サイトから入手するのが間違いない。しかし、中国の大手ローファームの情報も有益である。JETROや北大法宝（pkulaw）(中国の法律、条約、判例、逐次刊行物等が提供されている法情報データベース： 法律については100%英訳が併記されている。ただしその閲覧対象は限定されている)のみに頼るのではなく、実際に利用してほしい。

　例えば、「中倫(zhong lun)法律事務所」(注1)(注2)である。同事務所の「データアウトバウンドセキュリティ評価ガイド(ドラフト)の解釈」を読まれたい。

要旨を一部引用し、仮訳すると以下のとおりである。

　「2017年5月27日、国家情報セキュリティ標準化技術委員会(以下「安全基準委員会」)は、「情報セキュリティ技術データの出国安全評価ガイドライン(草案)」(以下「評価ガイドライン」)の草案を公表した。 データ出国安全評価の国家推奨基準として、評価ガイドラインは、データ出国安全評価プロセス、評価ポイント、評価方法などを定め、重要なデータ識別ガイドラインを初めて公表し、27の産業における重要なデータの範囲を網羅し、個人情報や重要なデータの出国評価に規範的なガイダンスを提供し、データフローによるセキュリティリスクを防止するためのガイドラインを定める。・以下。略す・・・」

(2)最新の法令にあたるには

　欧米の中国系弁護士の法解説を引用するとともに、原典にあたるのが手っ取り早い。筆者もそのような手段を引用する時が多い。

２．補足解説が必ず必要

(1)政治体制、法制度が全く異なる中国の法制度を理解するうえで、用語の定義は重要である。具体例で説明する。

中华人民共和国网络安全法　(サイバーセキュリテイ法:インターネット安全法)第1条にいう「公民」とは？「人民」とはどこが違うのか？

(a)「公民」

一般的に言えば、中国国籍の持つ国民であろう。しかし、中国においてそう簡単ではない。

 「1995年に「居民身分証条例」が、翌1996年に「居民身分証条例実施細則」が定められ、国内に居住する満16歳以上の中国公民を公布対象として、「居民身分証」が配布されるようになった。記載項目として氏名・性別・民族・生年月日・住所ならびに15桁の「居民身分証番号」があり、発行日・有効期限・番号・顔写真とともに担当部局である公安機関、すなわち本人の居住地の戸口登記機関の印章を捺しカード型にラミネート加工された後、一人に1枚が交付された。居民身分証番号編成工作の組織・実施主体は公安部であり、番号の編成にあたっては公民の常住戸口所在地を基準として編成される

　実施細則は1999年10月に2度目の改正が行われており、「居民身分証」の番号は公民身分番号を使用することとなった。「戸口登記機関は公民の出生登記を行うとき、公民に公民身分番号を編成する」と定めた。これにより中国の身分証制度は、労働社会保障管理情報システムにも連動することになった。

　2003年には、居民身分証条例が改正され、「居民身分証法」が成立し、非接触式のICカード技術を用いた新しい「第二世代身分証」（第二代身分証）が公布されるようなった。2011年の居民身分証法の改正で指紋情報の登録されるようになった。」(Wikipediaから一部抜粋)

　より正確にいうと公民とは「中華人民共和国の国籍を有する者」の中でも、社会主義体制を擁護する者を意味している概念であると解せよう。「公民の基本的権利」とは、近代立憲主義で想定されている「人」一般の権利とは言えないのである。

　一方、わが国の法律では日本国憲法の条文上「公民」という用語も見受けられない。『法律用語辞典』452 頁では現在の日本で「公民」は以下のように定義される。「現行法令上は、選挙権、被選挙権、直接請求権等の参政権を通じて国又は地方公共団体の公務に参加する地位における国民をいう（労基 7、教基 8①参照）」。

 　ここに言う「労基 7、教基 8①」とは、それぞれ労働基準法第 7 条および教育基本法第 8 条第 1 項を意味する。確かに労働基準法第 7 条は「使用者は、労働者が労働時間中に、選挙権その他公民としての権利を行使し、又は公の職務を執行するために必要な時間を請求した場合においては、拒んではならない」と規定しており、「公民」という用語を使っている。そして、かつての教育基本法第 8 条第 1 項も「良識ある公民たるに必要な政治的教養は、教育上これを尊重しなければならない」と規定していた。

　要するに国民としての具体的な公的な権利行使に伴う場合に「公民」というともいえよう。

(中国政法大学(北京)刑事司法学院博士課程 高橋 孝治「「国民」、「公民」、「人民」の日中台比較 (Comparison of “Kokumin” “Koumin” and “Jinmin” in Japan, China and Taiwan)」)から一部抜粋。

(b)中国における「公民」と「人民」について

　中華人民共和国の公民とは、中華人民共和国の国籍を持つ人を指す。 中華人民共和国のすべての市民は法の下で平等である。 国家は人権を尊重し保護している。 すべての公民は、憲法と法律によって定められた権利を享受し、同時に、憲法と法律によって定められた義務を果たさなければならない。

　「中華人民共和国憲法」第33条は、中華人民共和国の国籍を持つすべての人が中華人民共和国の公民であると規定している《中华人民共和国宪法》规定 第三十三条　凡具有中华人民共和国国籍的人都是中华人民共和国公民。)

(中国オンライン百科「中华人民共和国公民」を抜粋、筆者が仮訳)

(https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E5%85%AC%E6%B0%91/4950422)

【原文】

第三十三条　凡具有中华人民共和国国籍的人都是中华人民共和国公民。

中华人民共和国公民在法律面前一律平等。

国家尊重和保障人权。

任何公民享有宪法和法律规定的权利，同时必须履行宪法和法律规定的义务。

【訳文】

第三三条（法律の前の平等、人権・権利及び義務）

１．およそ中華人民共和国国籍を有する人は、中華人民共和国公民である。

２．中華人民共和国公民は、法律の前において一律に平等である。

３．国家は、人権を尊重し、及び、保障する。

４．いかなる公民も、憲法及び法律が定める権利を享有し、同時に、憲法及び法律が定める義務を履行しなければならない。

（2）中華人民共和国憲法における基本的人権

(a)中国憲法は、第2章で「公民」の基本的権利と義務を定めている。2004年の改正までは「人権」という用語はなかった。ここにいう「公民」とは、中国という政治社会の一員であって、そのことにより憲法が定める権利の主体となるという考え方に基づいている。日本国憲法において国民の権利とされるものは、国籍が重要な要件となる場合を除いては、日本国籍を有する者に限られないと解されている。それは日本国憲法が人権という考え方を基礎としているからである。

　中国憲法33条は中華人民共和国国籍を有する人を「公民」としているので｢国民｣と訳すこともできる。国家の一員であって初めて権利の主体となることが合意されているので、｢市民｣という訳も可能である。どう訳しても説明が必要な言葉である。

　中華人民共和国国籍を有する人の集合を「公民」とすると、その大部分は「人民」であり、それ以外に少数ではあるが「人民の敵」となる人々がいるというのが中国の法や政治の発想である。憲法1条に言う人民民主独裁と言う時の「人民」や、憲法2条が「中華人民共和国の一切の権力は、人民に属する」と言う時の「人民」はこれである。(百度百科 (https://baike.baidu.com/item/%E4%B8%AD%E5%8D%8E%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9B%BD%E5%85%AC%E6%B0%91/4950422) を筆者が仮訳

(b)・・「人民主権」原理に立脚すれば、必ず広範な参政権の保障が求められる。周知のように、中国では、国民の政治参加に関わる詳細な規定が欠けている。郷鎮レベルと県レベルの人民代表大会代表しか選挙民の直接選挙により選出されないと規定されており（『中華人民共和国全国人民代表大会和地方各級人民代表大会選挙法』第 2 条。『中華人民共和国全国人民代表大会和地方各級人民代表大会選挙法』は、以下、中国選挙法と略す）、直接選挙の実施レベルは低く、人民代表大会、人民代表から一切の直接民主制や解散制度を排除することによって民意からの独立を保障しようとする。

　人民代表大会代表の定数は、農村代表 1 名が代表する人口数を、都市代表 1 名が代表する人口数の 4 倍とする原則に従い配分する（中国選挙法第 12 条、第 16 条）。以下､略す｡

(｢中国における主権原理の研究―国民主権と人民主権との関連から｣ から一部抜粋)

(2)国務院(同報告書p.158)の機能や権限とは

【概要】

　中華人民共和国憲法の規定によると、国務院は中華人民共和国の中央人民政府で、最高国家権力機関（全国人民代表大会および全国人民代表大会常務委員会）の執行機関であり、最高国家行政機関である。国務院は全国人民代表大会に対して行政上の責任を負い、業務を報告する義務がある（大会閉会中は全国人民代表大会常務委員会に対して責任を負い、業務報告の義務がある），最高軍事指揮機関は中央軍事委員会；最高司法機関は最高人民法院、最高人民検察院、国家監察委員会。

　国務院の構成は「中華人民共和国国務院組織法」によって定められている。(Wikipedia )

中国法ブログ「国務院」参照

(3)中国国務院の現下の課題例

　以下のポートをあえてあげる。

① 日本総研調査部　主任研究員　佐野 淳也「中国習近平政権による国務院改革―重点は許認可権限の見直しと管理機能の統合―」(太平洋ビジネス情報 RIM 2013 Vol.13 No.50)

②JETRO「【中国・潮流】13年ぶりの長期計画にみる知的財産強国への布石」

*****************************************************

(注0) 2017.8.1 ｢中国のサイバーセキュリティ法の施行と重大な情報インフラ等の保護に関する規制草案等の公表と今後の課題(その1) ｣(　4分割)､

2017.9.7「中国のサイバーセキュリティ法施行にあわせた4ガイドライン草案の内容並びに関係法制整備等の概観(その１)」、

2017.9.9 「中国のサイバー空間統治の制度・規制面からの進展」(法律、規則/法令/ガイダンス、国家戦略/計画、標準化等)の体系的理解」

2021.7.10「中華人民共和国が『データ安全保障法(データセキュリティ法)：中华人民共和国数据安全法)』を可決」

(注1) 1993年に設立された中倫法律事務所は、中国司法省が承認した最初のパートナーシップ法律事務所の1つである。中倫は中国最大の総合法律事務所の1つとなっており、1993年に設立された中倫法律事務所は、中国法務省が承認した最初のパートナーシップ法律事務所の1つです。24の事業分野、19の産業分野.360名以上のパートナー弁護士、世界で東京を含む18のオフィスを擁する(同事務所のHPを仮訳)。

( 注2) 中国法務省の法令解説サイト､法律で英訳があるのは以下のみである｡

2019-07-05

Constitution of the People's Republic of China

2021-06-22

Civil Code of the People's Republic of China

2021-06-22

Law of the People’s Republic of China on Foreign Investment

2021-06-22

Law of the People’s Republic of China on the Protection of Investment of Taiwan Compatriots

2021-06-23

Regulations of the People's Republic of China Concerning Diplomatic Privileges and Immunities

2021-06-23

Judges Law of the People's Republic of China

2021-06-24

Procurators Law of the People’s Republic of China

2021-06-24

Law of the People's Republic of China on Community Corrections

2021-6-26

Vaccine Administration Law of the People’s Republic of China

2021-6-26

Law of the People's Republic of China on Basic Medical and Health Care and the Promotion of Health

法務大臣：唐一军 氏　(国務院のメンバーでない)

******************************************************************:

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

スイスのインサイダー取引規制に関する2013年から2016年にかけて大胆な法規制、監督規制機関等の内容

　

筆者は2006年12月のブログ(その1)、同(その2完)でスイスのインサイダー取引の法規制について詳しく論じた。一般的にスイスの金融の特徴にインサイダー規制の弱さや顧客の機密保護の強さがよくあげられる。

　今回のブログは前者に的を絞り、スイスが2013年から2016年にかけて大胆に法規制、監督規制機関等の内容を見直しており、その経緯も含め内容を詳しく解説するものである。

　なお、筆者は最近「スイスの銀行秘密法が言論の自由と衝突」という記事を読んだ。その内容については機会を改めたい。

１．スイスのインサイダー取締の法規制のこれまでの経緯

 　以下に述べるとおり､三段階にわたり法整備が行われた。

(1) 1988年7月1日、刑法第161条で初めてインサイダー取引規制

　米国証券取引委員会(SEC)からの圧力の下で、スイスで最初のインサイダーの罰則規範は1988年7月1日に刑法第161条で明文化され、それ以来「レックス・アメリカーナ(Lex Americana)」というニックネームも付いている。しかし、スイス刑法第161条で当時規制されていた禁止は、インサイダー取引に対する有罪判決を数回しか受け入れられなかったため、インサイダーを取り締る刑法は高い期待に応えたことがなかった。この理由は、繰り返し司法無罪につながった当時のスイス刑法第161条の事実関係判断のあまりにも狭い定式化にあった。

2013年改正前の関係法図

(2) インサイダー取引に関する刑罰法規はスイス刑法(Schweizerisches Strafgesetzbuch ：StGB)から「証券取引所および証券取引法(SESTA)」に移管

　2013年1月5日の法改正により、インサイダーに関する刑罰法は刑法(Schweizerisches Strafgesetzbuch ：StGB)から「証券取引所および証券取引法(SESTA)」(注1)に移管され、単一の監督権限(スイス金融市場監督局（FINMA）)の中心的な能力と、刑事規範の客観的事実の策定に関する調整が行われた。

Marlene Amstad 氏(FINMA 理事長)2021.1.1 就任

　2013年5月1日、インサイダー取引と相場の違法操作に関するスイスの新しい規制法が発効した。 主な規定は、「改正証券取引所法（SESTA）」およびスイス連邦参事会(Swiss Federal Counsel (SESTO)(注2)の（Stock Exchange Ordinance of the Swiss Federal Counsel (SESTO)SESTO）の「改正された施行証券取引所令」に記載された。 さらに、スイス金融市場監督局（FINMA）は、市場行動規則に関する改訂されたFINMA解釈通達(Circular 2013/8 Market conduct rules Supervisory rules on market conduct in securities trading) (注2-2)の協議プロセスを実施した。 改訂されたFINMA解釈通達は、2013年8月1日に発効し、すべての市場参加者に適用された。

　なお、この時点における法解説としてはCAPLAW“Market Abuse and Takeover Law – A New Start under Swiss Law”(https://www.caplaw.ch/2013/new-swiss-rules-on-insider-dealing-and-market-manipulation-entered-into-force-on-1-may-2013/)等がある。

　2013年、改正証券取引所および証券取引法(SESTA；Bundesgesetz über die Börsen und den Effektenhandel (Börsengesetz, BEHG) )とスイス連邦評議会2013年の改正関係法の図解

(3) 2016年1月1日、インサイダー規制法は新たに創設された「金融市場インフラ法(Financial Market Infrastructure Act (FMIA)」に移管

2016年1月1日、インサイダー禁止法は最終的に新たに創設された｢金融市場インフラ法(Financial Market Infrastructure Act (FMIA; German：Finanzmarktinfrastrukturgesetz： FinfraG)」　, Loi sur l’infrastructure des marchés financiers, LIMF) ： LIMF)｣(注3)に移管された。

　 FMIA第154条は現在、(1)プライマリー・インサイダー(現在は株主を含む会社に適格な近接性を有する人物または密告者(tippers))、2)二次インサイダー(または密告を受ける人(tippees)、3)ランダム・インサイダー(誤って機密情報を認識した人:一次または二次インサイダーでなくても、誤って機密情報にアクセスした人（たとえば、誤って電子メールを受信した人）を区別している。いわゆるランダム・インサイダーの導入は顕著である:例えば、常連のテーブルや誤った電子メールを介して機密情報の知識を得て、この知識を活用する人は、今では処罰の脅威にさらされている。一方、自社の証券取引の影響を受ける会社はまだカバーされていない(これは「誰も自分のインサイダーになれません」という原則に従って)。

　FMIA第142条によると、「内部情報」の存在は今では十分である(旧刑法(StGB)第161条体制下での「機密事実」と「重大な価格影響の予測可能性」は別規定であった)。しかし、インサイダー情報が実際にインサイダーの性格を持つ時期の中心的な問題は、実際には明確にする必要がある。

　最後に、重要な法革新は、 FMIA第154条2項によると、100万スイスフラン  以上のかなりの財政的優位性が適格な犯罪として設計されており、現在は犯罪であるため、Art. 305bis SCCに従ったマネーロンダリングに適した犯罪を構成しているという事実においても見つけることができる。

２．インサイダー取引と市場濫用(注4)

　WestLawの解説PRACTICAL LAW 「スイスの金融犯罪:概要」からインサイダー取引規制に関する解説文を抜粋、仮訳する。なお､法律名の正式名表示、リンク等は筆者の責任で行った。

(1)規制条項と規制・監督機関

　スイスでのインサイダー取引と市場濫用は、現在、以下の法律によって管理されている。

　2016年1月1日に発効した「金融市場インフラ法（Financial Market Infrastructure Act： FMIA)  」　；Finanzmarktinfrastrukturgesetz (FinfraG)）)

2020年1月1日に発効した「金融機関法（Financial Institutions Act： FinIA）」；｢Finanzinstitutsgesetz: FINIG」

 FMIAとFinIAは、金融市場のインフラストラクチャとデリバティブ取引におけるスイスの規制を、国際基準と進化する市場の状況に沿ったものにすることを目指している。

(2)インサイダー取引の対象

 インサイダー取引には、FMIAの第154条で禁止されているインサイダー情報を次のいずれかの方法で利用することにより、個人的または第三者のために金銭的利益を得ることが含まれる。

①取引所での取引が認められている有価証券またはデリバティブの取得または処分。

②インサイダー情報を第三者に開示する。

③インサイダー情報に基づいて、そのような証券の取得または譲渡を第三者に推奨する。

 FMIAの第154条は、3つのタイプのインサイダーを区別している。

①プライマリー・インサイダー(Primary insiders)（または密告者(tippers)：インサイダー情報への適格なアクセス権を持っている人（たとえば、取締役会のメンバー）。

②二次インサイダー(Secondary insiders)（または密告を受ける人(tippees)：一次インサイダーからインサイダー情報を入手したり、一次インサイダーから情報を入手したりする人。

③偶然または偶発的インサイダー(Fortuitous or accidental insiders)：一次または二次インサイダーでなくても、誤って機密情報にアクセスした人（たとえば、誤って電子メールを受信した人等）。

(3)民事/行政的制裁

　一般的な罰則は、関係者が規制監督の対象であるかどうかに関係なく、誰にでも適用される。

また、特定の制裁措置は、たとえば、市場貿易業者や仲介業者等職業上の禁止（従業員を含む）や事業を行うための免許の取り消しなど、規制監督の対象となる企業内で刑事犯罪が行われた場合にのみ命令される場合がある。

(4)民事罰

　FINMAによって発行された法的強制力のある決定に故意に従わなかった場合、最高10万スイスフラン(約1,240万円)の罰金が科せられる（Financial Market Supervision Act： FINMASA　第48条）。虚偽の情報の提供もFINMASAによって認可されており、最高3年の拘禁刑、または最高540,000スイスフラン(約6,696万円)（つまり、1日あたり180スイスフラン(約22,000円)を超えない民事制裁金）または罰金が科せられる。過失の場合は最大250,000スイスフラン(約3,100万円)（FINMASA第45条）が科せられる。(注5)(注6)

刑事制裁(Criminal Sanctions.):

　インサイダー取引および/または市場の乱用に参加した場合の刑事制裁は次のとおりである。

(a)主なインサイダーおよび市場の濫用。刑罰は次のとおりである。

　最高3年の拘禁刑および/または最高540,000スイスフラン(約6,696万円)の罰金。

(b)100万スイスフラン(約1億2,400万円)を超える金銭的利益を得ているプライマリー・インサイダーへの刑罰は次のとおりである。

　最高5年の拘禁刑および/または最大540,000スイスフランの罰金。

(c)二次インサイダー。ペナルティは次のとおりである。

　最高1年の拘禁刑および/または最大540,000スイスフランの罰金。

(d) 偶然または偶発的インサイダー:

　罰則には、最高10万スイスフランの罰金が含まれる。

(e)保釈される権利:

　被告人は、裁判前の拘禁から保釈される可能性がある。その後、預けられた担保(security)は、金銭的罰金、罰金、手続き費用、または被害を受けた当事者に割り当てられた損害をカバーするために没収される場合がある。

(f)刑罰適用からの例外防御：

　 FMIAの第142条および第143条（刑法の規定にも同様に適用される）および基礎となる金融市場インフラストラクチャ命令（金融市場インフラストラクチャ令（Ordinance on Financial Market Infrastructures and Market Conduct in Securities and Derivatives Trading (Financial Market Infrastructure Ordinance, FMIO）の規定には、「許容される行為」に相当する例外が含まれる。それらは,次のトランザクションに関係する。

(ⅰ)公開入札の準備で実行される場合（つまり、「誰も自分のインサイダーになることはできない」という原則）。

(ⅱ)価格管理を目的として作られた場合。

(ⅲ)買戻プログラムの過程で作成された場合。

（第123条以降、FMIO。）

*****************************************************

(注1) SESTAは2012年9月28日可決、2013年5月1日施行された｡

(注2) 内閣（連邦参事会）は、連邦議会によって選出される7人の閣僚で構成される。7人はそれぞれ各省の大臣を務め、その中の1人が大臣兼任のまま、任期1年の大統領となる。スイスの大統領は、閣僚7名が1年ごとに交替で務める輪番制（毎年1月1日に就任）

(注2-2) Circular 2013/8 :Market conduct rules：Supervisory rules on market conduct in securities trading　

(注3) Bundesgesetz über die Finanzmarktinfrastrukturen und das Marktverhalten im Effekten- und Derivatehandel (Finanzmarktinfrastrukturgesetz, FinfraG)

(注4) 「市場濫用(market abuse)」の概念は、通常、1)インサイダー取引、2)内部情報の違法な開示、および3)市場操作で構成される。

(注5) FINMAの監督慣行

FINMAは解釈通達(circulars)を使用して、監督義務を遂行する際に金融市場法をどのように適用するかを説明している。

(注6) 罰金(Fine)

　罰金は、固定金額の形での罰金をいう。罰金に関しては、罰則の執行を一時停止することはできない。これらは常に支払われる必要がある。判決には、最低1日、最高3か月の代替の自由刑がすでに含まれており、過失により罰金を支払わなかった場合に執行される。

民事制裁金(Monetary Penalty )

　民事制裁金は、特定の金額を1日あたりのペナルティユニットの特定の数に分割したものをいう。毎日のペナルティユニットの数は、過失の可能性に応じて決定される。毎日のペナルティ単位に対応する金額は、評決時の犯罪者の個人的および経済的状況（収入、資産、生活費、支援金の支払い義務、最低生活水準）に基づいて計算される。民事制裁金は一時停止または一時停止解除できる。 （一時停止されていない）罰金は通常、一時停止された罰金と一緒に課される（スイス刑法第42条第4項を参照）。

*第42条第4項 本項は、第106条に基づく科料(Busse)と組み合わせることができる。

　特定の条件下では、民事制裁金と罰金は社会奉仕(community service)の形で支払うことができる(スイス刑法第43条参照)。

　有罪判決を受けた者が当局によって決定された期間（1か月から6か月の範囲）に金銭的罰金を支払わず、債権回収手続きを通じて支払いを行うことができない場合、民事制裁金は別の拘禁刑に置き換えられ、その場合 1日の罰則単位は、1日の懲役に相当する（スイス刑法第36条代替拘禁刑(Ersatzfreiheitsstrafe)参照）。

(注7) FINMASAの解説は例えばスイスのローファームpestalozziの解説“Financial Market Supervision Act”がわかりやすい。

*****************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

ドイツのGeldKarte / girogo機能の廃止と電子マネー等金融界の最新動向

 

   筆者は2006年11月18 日付けブログの更新作業を行う中で大幅に内容を更新する必要を感じ、改めて関係資料を調べてみた。さらにこれと関連し、ドイツの金融機関の構成、機能､ドイツの預金保険や投資家保護法制に関し, EU指令の改正動向やこれを受けたドイツの国内法の改正などについても加筆せざるを得ないと感じた。

　時間の関係で網羅した内容ではないが、わが国では専門的に読める解説が極めて少ないことから、あえてチャレンジした。

１．2020年7月1日にGeldKarte / girogo機能を廃止

　貯蓄銀行Sparkassサイトの解説を引用、仮訳する。

　ドイツ貯蓄銀行協会(Deutscher Sparkassen- und Giroverband：DSGV)はGeldKarteとプリペイド支払い機能カードgirogoに別れを告げた。2020年7月1日以降、貯蓄銀行は、GeldKarte / girogo機能とロゴなしのSparkassenカード（デビットカード）のみを発行する 。すでに発行されているSparkassカードは、カードの用語に沿って徐々に新しいカードに置き換えられている。2025年以降、計画によれば、この機能を備えたSparkasseカードはなくなる。

　このGeldKarte / girogo機能を廃止する理由は、市場の状況の変化と、顧客にますます人気が高まっている新しい支払い方法である。これまで、GeldKarte / girogoで支払うには、事前にクレジットを補充する必要があった。 Sparkasseカード（非接触型girocard）、Sparkasseクレジットカード、スマートフォンを使用した非接触型決済など、技術的に新しい支払い方法では、この作業は不要になる。

２．ドイツの金融システムの概要と各銀行協会等の構成とカードシステム等主な機能面の役割

(1)概要

　一般財団法人自治体国際化協会ロンドン事務所の「ドイツの公営銀行制度の動き」から、主要部を抜粋する。

　ドイツでは、銀行などの金融機関を三つに大別することができる。民間銀行、公営銀行及び共同組合銀行（Genossenschaftsbank）である。

　　公営銀行は、州立銀行（Landesbank）(注1)及び自治体が関連する貯蓄銀行（Sparkasse）が主である。

　　特に貯蓄銀行は自治体にとって重要な役割を果たしている。地方自治体が貯蓄銀行を通して、借り入れをしたり、さまざまな事業を開始したりし、また銀行があげた利益の一部も自治体に入る。また、貯蓄銀行はその地域の住民及び中小企業にとって主な金融機関である。というのは、公共の福祉を促進することが貯蓄銀行の任務でもあるので、住民の全てにサービスを提供し、そして中小企業に貸付を行うことなどで支援することで民間銀行より地元に根付いた金融機関となっている。このような公共の福祉の促進の原則とともに、地域内営業の原則により、営業区域がある地域内の活動に制定されていることも貯蓄銀行の特徴である。

　民間銀行は以前より公営銀行を不平等な競争相手と見ており、国際的な比較でも、ドイツの銀行制度は特に英米方式の銀行制度に立脚する立場、つまり公営銀行が存在しない立場から批判を受けてきた。

　数年前より、ドイツの民間銀行は経営が悪化し、公営銀行が競争で不平等な利点を持つという立場に基づき、EUの競争担当委員にクレームを申し立てた。2002年、EU競争委員会、ドイツ連邦政府及びドイツの民間銀行の間に、妥協が成立した。その結果として、公営銀行そのものは存在し続けることとなったものの、2005年までに、不平等な利点と批判された州や自治体が公営銀行の資金力に対して行っている最終的保証制度（Gewährträgerhaftung）が廃止された。

　このような制度改革の影響と効率を高めることを目的にして、2003年2月に初めての州立銀行の合併が実施された。ハンブルク州立銀行とシュレースヴィヒ・ホルシュタイン州立銀行がHSH　Nordbank　となった。現在、ラインラント・プファルツ州とバーデン・ヴュルテンベルク州の州立銀行間でも合併の話がある。旧西ドイツの州(11州)は全て独自の州立銀行を持っていたが、旧東ドイツ地域の州(5州)は全てがそうではない。メックレンブルク・フォアポンメルン州とザクセン・アンハルト州は、90年のドイツ統一で州の組織を設立する際、自身の銀行を設立することよりも、すでに存在したニーダザクセン州立銀行に加盟することを選択した。(以下､略す)｡

(2)ドイツの各銀行協会等の構成とカードシステム等主な機能面の役割

　ドイツ貯蓄銀行協会(Deutsche Sparkassen- und Giroverband :DSGV)の解説を仮訳する。なお、法律名やリンクは筆者の責任で補足した。

　ドイツ貯蓄銀行協会(DSGV)は、367の貯蓄銀行、州立銀行Landesbankenグループ、DekaBank(貯蓄銀行金融グループの中央資産管理組織でありドイツの大手金融サービス機関のひとつ)のほか、8つの住宅貯蓄組合( Landesbausparkassen)、9つの貯蓄銀行の主要保険グループ、その他多数の金融サービス会社の利益を代表している。

　DSGVは、Sparkassen-Finanzgruppe　(注2)内の意思決定プロセスと、その市場および運用戦略の方向性を整理する。製品の開発と処理、リスク管理、銀行全体の管理から、カード支払いのトランザクション、およびすべての顧客セグメントに対する総合的なコンサルティング・アプローチまでを扱う。

　さらに、DSGVは、州立銀行LandesbankenとGirozentralenのセキュリティ保護、および「1998年預金保険及び投資家補償法((Einlagensicherungs- und Anlegerentschädigungsgesetz – EAEG： The German Deposit Guarantee and Investor Compensation Act)」(注3)に基づき、10万ユーロ相当額（2014年4月現在）を上限として保護される)に基づいて承認された機関関連のセキュリティスキームの一部であるLandesbausparkassenのセキュリティ・ファンドを管理している。

３．ドイツでの預金保護や投資家補償の法整備の経緯

　欧州レベルでの預金保保険制度と投資家補償の調和の法的根拠は、もともと、2013年の預金保険制度と投資家補償制度に関する欧州議会と理事会の規則(REGULATION (EU) No 575/2013 )と指令(DIRECTIVE 2013/36/EU )である。これらの指令は、加盟国における国家預金保険および投資家補償制度の最低要件を導入した。ガイドラインの仕様は、1998年に「預金保険および投資家補償法（EAEG）」によってドイツで実施された。それ以来、すべての銀行は法定の補償制度に属することによって預金を保護する義務を負っていた。

　ドイツでは、2015年7月3日以降、EAEGによる法定預金保険のシステムは、独立した預金保険法（Einlagensicherungsgesetz :EinSiG）に移行した。

　したがって、新しい欧州預金保険指令の要件は、ドイツの法律で実施された。預金保護および投資家補償法（EAEG）は、その後、投資家補償の問題に限定されていたが、投資家補償法（Anlegerentschädigungsgesetz :AnlEntG）として保持されている。(証券経済研究　第98号（2017.6）EU の銀行同盟における欧州預金保険制度の動向―2015年の欧州委員会による EDIS 規則案とドイツ銀行業界の反応)から一部抜粋した、なお、預金保険研究第18号、ドイツにおける預金保護・危機対応の制度― 市場経済に立脚した金融システムの維持 も参考になる)

***********************************************************

(注1)ドイツのLandesbankenは、ドイツ独自のタイプの公営銀行のグループである。彼らは地域的に組織されており、彼らの事業は主にホールセールバンキングである。また彼らは、地方および地域の拠点であるSparkassen（=貯蓄銀行）のヘッドバンキング機関でもある。。LandesbankenとSparkassenは、ドイツの銀行システムの3つの柱の1つで、他の2つの柱は、民間商業銀行(Bank)と協同組合銀行(Genossenschaftsbanken)である。それぞれに異なる法的目的、所有権構造、およびガバナンスモデルがある。LandesbankenとSparkassenは、公営企業として、「öffentlichenAuftrag」または公的目的を追求するために、国および州の銀行法によってチャーターされている。(Landesbank(https://www.asianprofile.wiki/wiki/Landesbank)から抜粋, 仮訳)。

(注2) 欧州貯蓄銀行金融グループ( Sparkassen-Finanzgruppe)は、ヨーロッパ最大の金融グループであり、ドイツの市場リーダーである。貯蓄銀行に加えて、州立銀行(Landesbanken)、住宅貯蓄組合( Landesbausparkassen)、保険会社、その他多くの金融サービスプロバイダーで構成されている。その傘下組織はドイツ貯蓄銀行協会（DSGV）である。DSGVは貯蓄銀行グループの利益を代表し、その戦略的方向性を担っている。

(注3) 1998年7月16日のドイツ投資家補償法（AnlEntG ）は、ドイツの信用機関の預金保護システムの最低要件、特に顧客および機関ごとに100,000ユーロの保護を規制していた。同法は、1994年の預金保険指令と1997年の投資家補償指令を1998年8月1日に発効したドイツの法律に置き換えられた。

　EU では、2014年7月2日、新しい欧州預金保険指令が発効し、1994年の指令を廃止し、加盟国の最大限の調和を目指した。

*****************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

プーチン大統領がウクライナのドネツクとルガンスクの特定の2地域を国家として承認するとした発表に対するOSCEウクライナ担当特別代表キヌネン特別代表の声明の意義

　2022.2.22 筆者の手元に欧州安全保障協力機構(OSCE) のリリース「ロシアのプーチン大統領がウクライナのドネツクとルハンスクの特定の2地域を国際法で国家として承認(recognize)すると発表したことにつきOSCEウクライナ担当特別代表であるキヌネン特別代表の声明」が届いた。

　その内容は以下で詳しく述べるが、その前提として「ドネツク人民共和国」と「ルガンスク人民共和国」なるものがいかなる国？なのかも理解できなかった。(注1)

　現にキヌネン特別代表はドネツクとルハンスク地域はウクライナの特別な紛争地域としており、そこで引用された「ミンスク議定書(Minsk agreements)」(注2)は、2014年9月5日にウクライナ、ロシア連邦、ドネツク人民共和国、ルガンスク人民共和国が調印した、ドンバス地域における戦闘（ドンバス戦争）の停止について合意した文書である。これは欧州安全保障協力機構（OSCE）(注3)の援助の下、ベラルーシのミンスクで調印された。しかしドンバスでの休戦は失敗した。2022年2月22日にウラジーミル・プーチン大統領がドネツク・ルガンスク両州の独立を認める書類に署名したことにより、ミンスク議定書は破綻したといえる。

 　今回のブログは、ウクライナの複雑な政治環境の理解に少しでも寄与できるよう急遽まとめたものである。

１．OSCE（Organization for Security and Co-operation in Europe：欧州安全保障協力機構）の概要ならびに「ドネツク人民共和国」「ルガンスク人民共和国」の国際法上の地位

　OSCE（Organization for Security and Co-operation in Europe：欧州安全保障協力機構）は、北米、欧州、中央アジアの57か国が加盟する世界最大の地域安全保障機構である。経済、環境、人権・人道分野における問題も安全保障を脅かす要因となるとの考えから、安全保障を軍事的側面のみならず包括的に捉えて活動している。

　そこで筆者が気が付いたのは、ウクライナはともかくロシアもOSCEの加盟国である点である。この点に関し、2月22日の読売新聞オンライン版はやや詳しく解説している。すなわち、緊迫するウクライナ東部情勢を巡りロシアのプーチン大統領とフランスのマクロン大統領が電話会談でウクライナとロシアが全欧州安全保障協力機構を交えた直接協議を2月21日に開催する方向で合意していた､ただし､開催そのものは不透明とある。

　また、OSCEは21日に両国とは別に常設理事会の臨時会議を開き、ウクライナ東部地域の安定化を模索する予定であったと同記事は書いている。

　しかし、ロシアのプーチン大統領は2月21日、ウクライナ東部の親ロシア派の独立を承認する大統領令に署名した。親ロ派「ドネツク人民共和国」と「ルガンスク人民共和国」の幹部が同日承認を要請していた。大統領令ではロシア軍の派遣も指示。親ロ派と署名した条約によると、ロシアは親ロ派支配地域に軍事基地を建設する権利を持つ。ウクライナ情勢は重大な局面を迎えた。(JIJI .com記事(https://www.jiji.com/jc/article?k=2022022200118&g=int)から一部抜粋)｡

 　果たして今回ロシアが国連加盟国として初めて正式承認した「ドネツク人民共和国」とはいかなるものか。Wikipedia でみると以下の内容である。

　「ドネツク人民共和国（DPRまたはDNR）ロシア語: Донецкая народная республика）は、ウクライナにある自称離脱国家である。首都で最大の都市はドネツクである。2018年からデニス・プシリンがDPRの国家元首を務めている。

　ウクライナはDPRとルガンスク人民共和国（LPR）の両方をテロ組織とみなしている。 ウクライナはそれらの地域をロシアの軍事介入の結果、クリミア自治共和国とセヴァストポリとともにロシアに一時占領されたウクライナの4地域のうちの2地域と考えている。 DPRとウクライナ政府は、ドネツク州の総人口の半分以上にあたる約200万の人がDPR保有地域に住んでいると推定している。反乱軍は面積的にはドネツク州の大部分を統治しておらず、7,853平方キロメートル（3,032平方マイル）のみを支配しているが、ドネツク（首都）、マキィフカ、ホルリフカなどの主要都市を掌握している｡

　2022年2月21日、国連加盟国としては初めて、ロシアが正式にDPRとLPRを独立国家と承認した。 ロシアは以前より、2017年2月からDPRが発行するID文書、卒業証書、出生・結婚証明書、車両登録プレートをすでに承認していた｡

２．ロシアのプーチン大統領がウクライナのドネツクとルハンスク地域の特定の地域を承認するという発表に対するキヌネン特別代表の声明

　ウクライナ問題担当のOSCE会長室の特別代表(注4)と三国間連絡グループ(TCG)、ミッコ・キヌネン(Mikko Kinnunen)・フィンランド大使は、次の声明を発表した｡

Mikko Kinnunen特別代表

　「三国間接触グループ(Trilateral Contact Group: TCG) (注5)の任務は、ウクライナ東部に関連する紛争への平和的解決を見つけることを目的としたミンスク協定の実施を支援することである。

　2月21日、ロシア連邦のウラジーミル・プーチン大統領は、ドネツクとルハンスク地域の特定の地域を国家として承認する彼の決定について知らせた。この決定は、すでに緊迫した治安状況がエスカレートする中で行われた。

　私は、ドネツクとルハンスク地域の特定の地域が特別な地位を持つウクライナの一部であるという目的を含め、異なる方法で｢ミンスク協定｣と矛盾していると見ることができるので、このロシアの決定を深く残念に思う。すべてのOSCE参加国として、ロシアはウクライナを含む他の人々の主権と領土の完全性を尊重するというコミットメントを持っている。

　今日の決定が新たな軍事行動や流血につながらないことは極めて重要である。

　外交と交渉に代わるものはない。特別代表として、私は三者間連絡グループの議論に関して、参加者全員と対話を続けていきたいと思う。

*PDFの添付ファイルまたは詳細情報のソースへのリンクについては、https://www.osce.org/chairmanship/512695 サイトを参照。

*************************************************************************

(注1) ドネツク州とルガンスク州は、ドネツ炭田の周辺に広がるウクライナ屈指の重工業地帯を抱える。旧ソ連時代に多くの労働者が移住してきた関係で、ウクライナでも特にロシア系の住民が多くなっている。

　ワシントンポストによると、2つの「人民共和国」はそれぞれドネツク州とルガンスク州の全域を自分の領土だと主張しているが、実際に支配している地域は両州の3分の1程度だ。一説では、支配地域は約1万7000平方キロだという。

　「ドネツク人民共和国」には230万人、「ルガンスク人民共和国」には150万人が住んでいると推定される。クリミアを除くウクライナ全体（4159万人）の1割程度の計算だ。住民の多くはロシア系で、日常的にロシア語を話しているという。

　日本の読者にイメージしやすいように例えると、面積・人口ともに四国（面積：1万8301平方キロ、人口：369万人）と同程度だ。

(2月22日HuffPost Japan記事「ドネツク人民共和国」「ルガンスク人民共和国」とは何か？ロシアが独立承認して軍派遣へ」から一部抜粋)。

(注2) 独立系ニュース組織Al Jazeeraが詳しく“Minsk　agreement”につき一次(2014年9月)、二次(2015年2月)に分けて詳しく解説している。

ミンスク議定書のフォローアップ覚書によって確立されたバッファゾーン地図(Wikipediaから一部抜粋 )

(注3) 2022年1月外務省欧州局政策課「欧州安全保障協力機構（OSCE）について」が概要を解説している。なお、OSCEは世界最大の地域安全保障機構と記されているが､他方でNTOやEUと異なり、平和維持活動等に派遣する実力部隊・実行手段は有さないとある。果たしてロシアに対する有効手段とはならない点が悔やまれる。

(注4) OSCE議長事務局特別代表の任務

OSCE地域の紛争予防、解決、リハビリテーションを主導し、関係者と直接接触し、和解交渉を手配または実施する。危機に対処するため、または特定の分野における参加国の取り組みの調整をより良くするために、議長は個人または特別代表を任命することができる。個人の代表者は、彼らが引き受けると予想されるタスクを概説する明確で正確な命令を持っています。(Wikipedia から抜粋、仮訳)

(注5) ウクライナ問題三者間代表者グループ(TCG)は、ウクライナ東部の状況の平和的解決のための三国間接触グループとしても知られている。ウクライナのドンバス地域での戦争への外交的解決を容易にする手段として形成されたウクライナ、ロシア連邦、および欧州安全保障協力機構の代表者のグループである。いくつかのサブグループがある。

*************************************************************************************:::

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

米国財務省・内国歳入庁(IRS)が民間身元確認技術会社のID.meシステムの使用を撤回、別の本人認証システムへの移行を公表

　

　2月7日、筆者の手元に米内国歳入庁(IRS)からリリース「IRSは、顔認識を含む民間身元確認技術会社たるサードパーティ(ID.me)の顔認識システムの使用を中止し、別の本人認証システムに移行する旨発表」が届いた。

　その内容を要約すると、申告シーズン中の納税者の大きな混乱を防ぐために、この中止は今後数週間にわたって行われる。この中止中、IRSは顔認識を伴わない追加の認証プロセスを迅速に開発し、オンライン化する。また IRSは、政府間パートナーと協力して、納税者データを保護し、オンライン・ツールへの幅広いアクセスを保証する認証方法を開発する。

　2月7日発表されたID.meシステム(注1)の使用中止と別認証システムへの移行は、納税者が申告書を提出したり、未払いの税金を支払ったりする能力を妨げるものではない。この期間中、IRSは引き続き税務申告を受け付け、現在の税務シーズンに他の影響はない。人々は通常どおりに税金を申告し続ける必要があるという内容である。

　この問題につき、筆者は2月2日付け本ブログ「IRSは税務記録にオンラインでアクセスするために納税者に顔認識識別情報の提出を義務付ける認証システムにつき代替システムを検討開始」　でロン・ワイデン(Ron Wyden)上院議員(民主党：オレゴン州)等超党派連邦議会議員や人権擁護団体、さらには主要メディアの記事や「1:1マッチング(照合)」や「1:Nマッチング(識別)」技術等につき詳しく取り上げている。

　しかし、その一方で(1)民間企業であるID.meのCEOのこの問題に対する不誠実な対応とはいかなるものか､(2)ID.meのサイトの最近のブログ投稿では、会社がIDを検証する方法と、顔を照合するために依存するアルゴリズムに名前を付ける方法について説明している。これには、Paravision（NISTによってテスト済み）やAmazonが発売した製品であるAmazonのRekognitionが含まれる。果たして、IRSは本当にかなり精度が低いと言われる顔認識システムの導入をまだあきらめていないのではないか、(3)　米国の警察が使う「アマゾンの顔認識技術」、その利用の一時停止は大きな転換点になるかといった問題をどうクリアするのか、すなわち米国の警察当局が採用しているアマゾンの顔認識技術「Amazon Rekognition」について、警察当局による使用を「1年間停止」すると同社が発表した。顔認識ツールを警察に提供する正当性を激しく主張してきた同社にとって、大きな転換点となる可能性があるという問題等である。

　一方、この問題につきわが国のメデイアはどのように取り上げたであろうか。2月11日の朝日新聞の朝刊は問題の本質的な解説記事とはいいがたい。したがって、筆者はIT問題専門サイトであるTechCrunch、Wired com、techdirtの記事を読み直した。

　これらの記事により、冒頭述べた疑問点はかなりクリアーになった。それでも、GAFAだけでない米国IT企業の連邦機関や州機関等への売り込み競争はすさまじい。その実態を理解するため、techdirt記事「ID.meは、IRSが同社とのパートナーシップを再検討しているため、既存のデータベースに対して自撮りを実行することを最終的に認めている」の要旨を仮訳するとともに新たな課題をまとめてみた。

　なお、解説記事としてはWired comの翻訳文はわかりやすいし、読みやすい。併読されたい。

【techdirt記事の要約にもとづく仮訳】

 　テクノロジー企業であるID.meは、過去数か月にわたって政府機関の顧客に対し驚くべき侵害を行った。これの一部は、連邦政府が2020年に不正なCOVID関連の請求で4,000億ドル(約46兆円)を失ったと（証拠なしで）主張した会社のCEOであるブレイク・ホール(Blake Hall)氏による未審査の請求によるものである。彼はまた、そのID.meにつき（証拠を提供せずに）当社の顔認識技術は頑丈で、健全で、正確で、人間のレビューによって阻止されていると主張した。

Founder & CEO:Blake Hall氏

　これらの主張は、ID.me のAIにいくらか欠陥があることが明らかになった後にも行われ、その結果、いくつかの州で失業手当支給から人々が締め出された(支給の遅延)。 ID.meが現在27の州でさまざまな利益の分散を処理するために使用されていることを考えると、これは大問題であった。そして、ID.meがIRSとの契約のおかげで、受益者の全国全体を処理することが期待されるのであれば、それはさらに悪化するに違いない。

　もう1つの問題は、報告された失敗に対するID.meのCEOの態度である。彼はまだ4,000億ドルの詐欺の主張を裏付けるものを何も生み出しておらず、州レベルでの大規模な失敗に直面したとき、不完全な自撮りのために人々が単に失業手当の受給利益へのアクセスを拒否されるのではなく、詐欺師の行動としてでこれらを非難することを選択したのである。

　CEO であるホール氏による別の主張は、ID.meのCEOによる引き返すことをもたらし、彼の会社の活動に対する監視の強化に促された。まず、会社のAIは外部の関係者によってテストされたことがない。つまり、CEOが言う正確性の主張は、独立して検証されるまで、深刻な側面に目を向ける必要がある。

　しかし、他方､ホール氏は会社が顔を照合するために既存のデータベースを使用していないと主張し、同社が誰かの身元を確認するために「1:1マッチング(照合)」の照合に依存していることをほのめかした。しかし、これは、以前に同社のサーバーに写真をアップロードしたことがないすべての利益追求者に当てはまる可能性はなく、ID.meが一致するものを見つけられないと主張した場合にのみ拒否された。

　同社が「1:Nマッチング(識別)」技術を使用していたことは明らかである。これには、認識技術としては失敗の可能性が高く、ほとんどすべての顔認識技術に固有の欠陥がある。さらに女性やマイノリティを扱う場合の信頼性が低くなる傾向がある。

　ID.meへの外部からの精査が増えたことで、CEOのホール氏は頭がクリーンになった。そして、それは彼自身の従業員がこの1:Nマッチング(識別)のでたらめのラインを維持し続けることが同社を悩ませるためにどのように戻ってくるかを指摘することから始まった。 Cyber​​Scoopが入手したID.me社内の内部チャットでは、従業員がホール氏に、彼の不正が会社に損害を与える前に会社の実務慣行について正直であるように懇願していることが明らかに示されている。

　「1:Nマッチング(識別)」は多くの顔の検索を無効にすることはできるが、貴重な詐欺対策ツールを失うことになる。または、1:Nマッチング(識別)を使用することに対する公の立場を変えることもできる」と、部下のエンジニアは2月1日に会社のSlackチャネルに投稿されたメッセージに書き込んだ。

　Cyber​​Scoop (注2)が得た内部メッセージは、ID.me社が社内会議でIRSと1:Nマッチング(識別)」の使用について話し合ったことも意味した。

　これらのメッセージは直接的な影響を及ぼした。ホール氏はLinkedInの投稿を発行し、会社が「1:Nマッチング(識別)」を使用したことを認めた。これは、会社がIDの検証に外部データベースにも依存していることを示している。

　2月3日のLinkedInへの投稿でホール氏は、「1:Nマッチング(識別)」検証が「登録中に1回」使用され、「本人確認に関連付けられていない」と述べている。

　「これは、正当なユーザーが自分のIDを確認することを妨げるものではなく、IDの盗難を防ぐ以外の目的で使用されることもない」と彼は書いている。

　ホール氏のこの投稿は、ID.meの技術の欠陥ではなく、悪意のある詐欺師の結果であるというメリットへのアクセスの失敗をほのめかして、物事の本質をかなり曖昧にしている。しかし、彼のタイミングが遅れた正直さは、州レベルでの同社の複数の失敗とともに、IRSがID.meのAIへの依存を再考する原因となっている。

　「連邦財務省は、内国歳入庁(IRS)がウェブサイトにアクセスするために顔認識ソフトウェアID.meに依存していることを再検討している」と財務省の当局者は2月4日、数千万人のアメリカ人の顔の画像の会社のコレクションの精査の中で語った。

財務省とIRSは、ID.meの代替案を検討していると同省の関係者は述べており、その間、当局はソフトウェアに関する懸念に注意を払っている。

　これは、IRSがID.meを完全に断念したことを意味するものではない。現時点では、比較して買い物をしているだけである。オンラインで税金を申告するということは、当面の間は、なおID.meの検証ソフトウェアを利用することを意味する。

　ID.meのサイトの最近のブログ投稿では、同社がIDを検証する方法と、顔を照合するために依存するアルゴリズムに名前を付ける方法について説明している。これには、Paravision（米国立標準技術研究所：NISTによってテスト済み）やAmazonが発売した製品であるAmazonのRekognitionが含まれる。

　これはID.meには遅すぎる可能性がある。州および連邦政府の契約を食いつぶしながら、公に正直かつ透明に関与することを拒否したことで、Extremely Online(注4)の監視を超えて同社への監視が拡大した。ロン・ワイデン(Ron Wyden)上院議員は、IRSがID.meをオンライン・ファイリングの唯一のオプションにした理由を知りたがっている。

　同議員は「アメリカ人がIRSウェブサイトの個人データにアクセスするために、顔認識システムに提出するか、何時間も待機するか、またはその両方をしなければならない可能性があることに非常に不安を感じている。e-filing(注3)の還付は影響を受けないが、私はこの計画の透明性を高めるためにIRSに働きかけしている」と述べた。

　しかし、e-filingは影響を受けるとみるのが正しい。ブルームバーグ(Bloomberg)への声明でIRSのスポークス・パーソンBarbara] LaMannaが指摘したように、ID.meはまだ電子申告者とe-filingの間に位置している､ID.meを使用したくない納税者は、オンラインでの納税を拒否できると述べた。

　既存のIRSアカウントを持っている人はこの技術的な障害を回避できるかもしれないが、新しい申告者は依然としてID.meと対話してe-filing用のアカウントを設定する必要がある。

****************************************************************************:

(注1） Natptax（National Association of Tax Association )サイトでは、ID.me制度の目的、プライバシー問題への配慮、NIST基準のクリアー､利用手順等解説スライド(全17頁)で見れる。

(注2) CyberScoopは、米国のサイバー関係の大手メディアであり、わが国でも多くの公的機関で引用されている。

(注3) e-filing (電子申告)

　e-filingは、インターネットまたは直接接続を介して米国内国歳入庁に税務書類を提出するためのシステムであり、通常は紙の書類を提出する必要はない。電子ファイリング機能を備えた税務準備ソフトウェアには、スタンドアロンのプログラムまたはWebサイトが含まれる。税務専門家は、主要なソフトウェアベンダーの税務準備ソフトウェアを商用利用している。

　納税申告者は、IRS Free Fileサービスを使用して、資格がある場合は認可されたIRS e-fileプロバイダーの税務ソフトウェアを使用するか、Free File AllianceのオンラインFree File Fillable Formsを使用して無料でe-fileできる。 2020年以前は、IRS e-fileにはサードパーティの使用が必要であり、IRS Webサイトから直接e-fileすることはできなかった。 2020年、IRSは、所得が69,000ドルを超える納税者が利用できるIRS Free File Fillable Formsを介して直接、電子申告を可能にした。その金額を下回る収入のある人は書類を米国の郵便で送る必要がある。(Wikipedia から抜粋、仮訳、リンクは筆者の責任で行った)

(注4) Extremely onlineとは、ターミナルオンラインとも呼ばれ、インターネット文化に密接に関与している人を指す用語である。彼らは、オンライン投稿が非常に重要であるとしばしば信じている。(Wikipedia から一部抜粋、仮訳)

***************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

ネザーランズ消費者・市場庁（ACM）はアップルのアプリ配信サービス「アップ・ストア」での出会い系アプリに関し、プロバイダーを不当に制限しており500万ユーロ（約6億5800万円）の制裁金命令

　

　2022.2.8のロイター通信、Bloomberg等は　オランダ消費者・市場庁（ACM）は2月７日、米アップルのアプリ配信サービス「アップ・ストア(App Store)」で提供されている出会い系アプリに関して、アプリ･プロバイダーがアップル以外の決済手段を利用できないよう不当に制限しているとして、改めて500万ユーロ（約6億5800万円）の制裁金を科したと発表した。

　アップルに対するACM制裁金命令はこれで３度目であり、ACMは2022年1月15日を期限として是正措置を講じるよう指示したが、同社がその遵守を怠ったとして毎週500万ユーロの制裁金を科している。

　ところでこれだけの大きな問題であるにも拘わらず、筆者は本質的なアップルの違法性の内容が理解できなかった。そもそもアップルがアプリ･プロバイダーにデジタル・コンテンツ(「super likes 」や「boost」など)を販売させた場合とはいったい何を指すのか。筆者自身これまで出会い系アプリを利用したことがなく、そのビジネス自体がどのようなものかが理解できなかった。

https://apps.apple.com/jp/app/super-likes-hashtags-captions/id1403657541

https://apps.apple.com/jp/app/match-boost-for-tinder-see-who-alreadly-liked-you/id1131405194

　今回のブログは、(1)ACMのアップルに対する行政命令および(2)アップルの反論内容、(3)アップルのACMへの暫定差し止め命令要請に対するロッテルダム地方裁判所の予備救済裁判官の決定内容等、今般のACM命令の内容を詳しく整理したいと考え、まとめてみた。

　また、同時にわが国では詳しい解説が皆無ある(4)ネザーランズの裁判制度についても調べた範囲で最後にまとめた。機会をあらためて詳しく解説したい。

１．ACMの役割や任務

　ネザーランズ消費者・市場庁（Autoriteit Consument & Markt：ACM）は、市場が人々と企業にとってうまく機能することを保証することにより、健全な経済の実現に貢献している。市場がうまく機能すれば、企業は互いに公平に競争し、人々や企業は不公正な慣行によって害を受けることはない。 人々や企業は、どのような規則が適用され、どのように権利を行使できるかを知っている。

　ACMは、自由で規制された市場のための規則を施行し、それらの規則の遵守を促進することによって市場がうまく機能することを保証する。すなわち、誰もがこれらの規則を知り、権利を行使できるように情報とガイダンスを提供する。エネルギー、電気通信、輸送、および郵便市場を規制して、これらの市場での手頃な価格、品質、継続性、およびアクセス可能性を保護する。

　さらに、結果として市場がより良く機能すると信じる場合、規則や規制を改善するためにオランダの議会に助言を与える。(ACMのホームページから抜粋、仮訳した)

2.ACMのアップルの独占的権限濫用に対する行政改善命令

(1) ACMが2021年8月24日にAppleに課した定期的なペナルティ(毎週500万ユーロ)支払いの対象となる命令を発布

　アップルは、出会い系アプリ・ プロバイダー向けにネザーランズの App Store にアクセスするための条件を修正する必要がある。App Store では、出会い系アプリ・プロバイダーは アップルの支払いシステム以外の支払いシステムを使用する必要があり、さらに、出会い系アプリのプロバイダーは、アプリの外部で支払いシステムを参照する機能を持つ必要があるとする内容である｡

　2021年8月24日の決定(命令)において、ACMはアップルに対し、出会い系アプリ・プロバイダーに適用されるApp Storeの法外な条件を修正するよう要求した。Appleが不合理な条件を変更しない場合、それはペナルティを支払う必要があリ､このように、ACMは、出会い系アプリ･プロバイダーに対するAppleの法外な条件を迅速に改善すべきと指摘した。

　このACM命令の執行は、アップルがロッテルダム地方裁判所に暫定的差し止め(Interim injunction) によりACMが決定を公表できないようにし、ペナルティ支払いの対象となる命令を暫定的に停止するために暫定的な差し止めを裁判所に申請したため、2022年1月15日まで遅れた。

(2)2021年12月24日のロッテルダム地方裁判所の決定

　本判決では、予備救済裁判官は、ACMがペナルティ支払いの対象となる命令に対するアップルの異議を判決し、6週間後まで、アップルに対してACMによって課される定期的なペナルティ支払いの命令を部分的に停止させた。さらに、その時点まで、ACMはペナルティ支払いの対象となる命令の中断部分に関する情報を提供しない場合がある。これに関連して、予備救済裁判官の決定は、部分的内容が公表されることとなった。

　本裁判は、アップルがアプリでデジタル・コンテンツ(「スーパーライプ」や「ブースト」など)を販売したい場合に出会い系アプリ・プロバイダに課す条件についてである。これらの条件には、消費者からの支払いが、アップルがiOSオペレーティングシステムに組み込んだ特定のソフトウェア(アプリ内課金：IAP API) (注1)を使用する出会い系アプリ・プロバイダーのいわゆるコミッション・エージェントとしてAppleに支払わなければならないものが含まれる。出会い系アプリのプロバイダーは、他の支払い決済方法を使用することはできないし、また自分のアプリで支払いの他の方法を参照することもできない。

　条件のこの部分に関して、予備救済裁判官は、アップルがこれらの条件を持つ出会い系アプリ・プロバイダーのためのアプリストア・サービスの市場で支配的な地位を濫用しているというACMの意見を支持した。アップル側が主張した圧倒的経済力の地位を持たないことやそれらの条件が必要であるという主張は支持されなかった。

　この判決は、AppleがApp Storeのオランダのストアフロントで提供する出会い系アプリを選択することを許可する必要があり、アプリ内で販売されるデジタル・コンテンツやサービスの支払いを処理した当事者と、それらの出会い系アプリ･プロバイダーがアプリ内で購入するためにアプリ外の支払いシステムを参照する可能性があることを選択できる。ACMの命令の一部が停止されているため、予備救済裁判官は、Appleが違反を時間内に終了しない場合に支払わなければならないペナルティ支払いの金額を減額した。また、休日に関連して、予備救済裁判官は、Appleがペナルティ支払いを没収することなく違反を終了するために2022年1月15日まで留保する権利を持つと判示した。

２．ACMの再度のペナルティ命令

　2022.2.14 ACM はリリース｢アップルの新しいアプリの開発条件は、アップルが出会い系アプリ・プロバイダーに課す不必要で法外･不合理な条件である｣を公表した。以下でその内容を概観する。

(1)ネザーランズの消費者・市場庁(Autoriteit Consument & Markt：　ACM)は、アップルが出会い系アプリ・プロバイダーに課した改訂利用条件は法外な内容でありプロバイダーに不必要な障壁並びに消費者に負担を作り出していると結論付けた。

　すなわち、新しい改訂した利用条件は、出会い系アプリ・プロバイダーが代替支払いシステムを使用したい場合は、完全に新しいアプリを開発する必要があると規定している。アップルは、これらの新しい条件について事前にACMに通知している。しかし、アプリ・プロバイダーは既存のアプリを調整できない。ACMは、これがAppleが定めた要件と対立する法外な条件であると考え、そのようにアップルは依然ACMが指摘した要件を遵守していないという意見である。

　したがって、アップルはさらに500万ユーロをACMに支払う必要があるという結論である。アップルのこれまですべてのペナルティ支払いの合計は、現在2000万ユーロになっている。

(2)アップルの改訂した条件の何が問題か?

　改訂された条件では、Appleは別の支払い方法を使用したい出会い系アプリ・プロバイダ-にかなりの数の追加条件を課している。たとえば、出会い系アプリのプロバイダーは、新しいアプリを開発し、その新しいアプリを Apple App Store に提出する必要があるが、ACMはこの状態は出会い系アプリのプロバイダーを傷つけるという見解である。すなわち、代替支払いシステムを選択する出会い系アプリ・プロバイダーは、追加コストを負担することを余儀なくされ、また、同時に現在アプリを使用している消費者は、別の支払い方法を使用する前に、新しいアプリに切り替える必要がある。

　また、このような変更について消費者に適切に通知するには、アプリ・プロバイダーに多くの時間と労力負担をかける。たとえば、コンシューマーは古いアプリを削除し、新しいアプリをインストールする必要があり、さらに、ACMは、Appleが出会い系アプリ・プロバイダに課した改訂された条件の他のいくつかの要素についてなお疑問を持っている。

３．ネザーランズの裁判制度

　政府サイトの解説があるが、ラッシャ法律事務所　　(Lassche Advocaten)の解説(court-system-netherlands)がより分かりやすかったので抜粋し、仮訳する。なお、今回、調べてみたがrechtspraak.nlサイトの解説は素晴らしい内容である。ただし、オランダ語が堪能でないと読みこなせない。したがって、筆者はニュースとマガジンの申込のみ行ったが、いずれ機会をみて本格的に解析してみたい。

　ネザーランズの民事裁判所と刑事裁判所の組織は、3つのステップでの司法行政に基づいている。事件は最初に下級裁判所によって審理される。当事者がその判決に同意しない場合、彼はその問題を高等裁判所に付託することができる。これは、高等裁判所への控訴と呼ばれる。その後、特定の状況では、紛争を最高裁判所である「最高裁判所」に付託することが可能である。これは最高裁上告(appealing in cassation)として知られている。

(1)地方裁判所（Rechtbank）

　ネザーランドは10の裁判区に分かれており、それぞれに独自の地方裁判所がある。アムステルダム(Amsterdam)、北ホラント(Noord-Holland)、デンハーグ(Den Haag)、ミッドデンオランダ(Midden-Nederland)、ロッテルダム(Rotterdam)、ゼーランド西ブラバント(Zeeland-West Brabant)、オーストブラバント(Oost-Brabant)、リンブルフ(Limburg)、オーストオランダ(Oost-Nederland)、ノールトオランダ(Noord-Nederland)である。各裁判所には、いくつかの準裁判区(subdistrict sector)があり、地方裁判所は最大5つのセクターで構成されている。これらには、常に行政部門、民間部門、刑事部門、および準裁判区部門が含まれる。家族事件と少年事件は、外国人に関する法律の施行の場合のように、しばしば別々の部門に入れられる。裁判所評議会(court council)はそのような問題を自由に決定することができる。

(2)セクターごとの裁判制度

サブ/ディストリクト（セクター・カントン：Subdistrict (Sector Kanton)）

　一般市民が地方自治体で自分たちの事件を審理するのは比較的簡単である。これは、彼らが彼ら自身の訴訟を議論する権利を持っており、法廷で彼らを代表するために弁護士を必要としないことを意味する。民法の観点から、副地区裁判官（Kantonrechter）(注2)は、家賃、雇用の購入、雇用を含むすべての事件を扱う。また彼は25,000ユーロ(約328万円)未満の金額を含むすべての紛争に対処する。

　刑法では、地区裁判官は軽微な犯罪のみを扱い、重大な犯罪は扱いません。多くの場合、これらは警察または検察官が和解を提案した場合です。被告人がそのような提案を受け入れることを拒否した場合、その事件は地方裁判官の前に出されます。副地区裁判官は通常、開廷の直後に口頭での判決を行う。

(3)刑法

　刑法部門の裁判官は、地方裁判官の対象とならないすべての刑事事件を扱う。これらの事件は、単一の裁判官の部門または3人の裁判官がいる合議体(full court)で聞くことができる。合議体部門では、より複雑な事件と、検察が1年以上の懲役を要求するすべての事件を扱う。

(4)民事法/家族法

　民間部門は地方裁判官に特別に割り当てられていない事件を処理する。これらの事件のほとんどは1人の裁判官によって決定されるが、ここでもより複雑な事件に対処するために3人の裁判官による合議体部門がある。多くの地方裁判所は、そのような事件の数がかなり多い場合、家族事件と少年事件のために別々の部門を持っている。

　時として非常に短い通知文で中間判決(interlocutory judgment)を得る必要がある場合がある。これらの手続きは「略式手続き(summary proceedings)」と呼ばれる。略式手続きは通常、裁判所の長官またはその代理人を裁判官として、単一の裁判官で審理される。

(5)行政法

　ほんの一握りの例外を除いて、行政紛争は地方裁判所によって審理される。多くの場合、行政法部門による審理の前に、行政当局の支援の下で異議申し立て手続きが行われる。これらの事件は単一の裁判官の部門によって審理されるのが普通であるが、ここでも地方裁判所は、複雑な事件または根本的な問題を含む事件に3人の裁判官を任命することを決定できる。問題の地方裁判所に外国人に関する法律に準拠する事件を処理するための別個の部門がない場合、そのような事件は行政法部門またはその部門によって処理される。公務員や社会保障の問題が関係する場合、当該上訴は特別控訴裁判所である「中央控訴裁判所（Centrale Raad van Beroep）」の問題となる。

(6) 控訴裁判所（Gerechtshof）

　10の裁判区は、ハーグ、アムステルダム、アーネム-ロイワーデン、デンボッシュの4つの控訴裁判所管轄区域に分けられる。刑法および民法に関して、控訴裁判所の裁判官は、地方裁判所によって可決された判決に対して控訴が提出された場合にのみ対処する。控訴裁判所は、事件の事実を再検討し、独自の結論に達する。ほとんどの場合、オランダ最高裁判所に上告することにより、控訴裁判所の決定に異議を申し立てることができる。刑事および民事訴訟に加えて、控訴裁判所は、行政裁判所としての立場で、税務査定に対するすべての控訴も扱う。

(7) 特別行政裁判所

「中央控訴裁判所(Central Appeals Tribunal（Centrale Raad van Beroep）」は、主に社会保障と公務員に関連する法律分野で活動している上訴委員会である。これらの分野では、それは最高の司法当局であり､同裁判所はユトレヒトを拠点とする。

「貿易産業控訴裁判所（College van Beroep voor het Bedrijfsleven）」は、社会経済行政法の分野での紛争を裁定する特別行政裁判所である。さらに、この上訴裁判所は、競争法や電気通信法などの特定の法律に対する上訴についても裁定する。同裁判所はハーグを拠点としている。

(8 )最高裁判所（Hoge Raad）; 裁判官

Mr. dr. G. Dineke　de Groot (ディネケ・デ・グロート)最高裁判所長官

　ハーグにあるネザーランズ最高裁判所は、下級裁判所が判決を下す際に法律の適切な適用を認めたかどうかを審理する。この段階で、下級裁判所によって立証された事件の事実は、もはや議論の対象ではない。したがって、最高裁判所での訴えは、法の統一を促進する上で重要な機能を果たす。

****************************************************************************

(注1) アプリ内課金（IAP）の実装についてamazon appstoreの解説を抜粋、引用する。「このページでは、これまでAmazon Appstore SDKを使用したことがない開発者の方、またはIAP APIを実装した経験がない開発者の方を対象に、IDEのセットアップ方法やIAPにおいて推奨される開発・テスト・申請のワークフローについて説明します。

最初はサンプルを使用した方がわかりやすいため、ここでは新規プロジェクトを一から作成せず、IAPサンプルアプリをIDEにインポートする方法を説明します。IAP APIの実装方法については、アプリ内課金（IAP）APIを組み込む方法を参照してください」以下､略す｡

(注2) 副地区裁判所

　Pro bono lawyerプロボノ（Pro bono：各分野の専門家が、職業上持っている知識やスキルを無償提供して社会貢献するボランティア活動の弁護士ネットワーク）の解説から抜粋、仮訳する。

(1)副地区裁判所判事とは何か?

　ネザーランズには民事法があり、これは「民法」や「私法」ともいう。市民の権利と義務を規制する。たとえば、雇用法でいうと、雇用主は単に従業員を解雇することはできない。それには解雇につき一定のルールがある。副地裁判事は、特定の事項を支配する裁判官である。

(2)民事法の副地区裁判所

　民事法には裁判官が2人いる。すなわち副地区方裁判所判事と民事裁判所判事である。その違いは、各裁判官が処理するケースの種類であり、民事裁判所と控訴裁判所では、弁護士と関わる義務がある。しかし、副地方裁判所の場合ではその義務はない。つまり、あなたは弁護士なしで訴訟することができる。これは、あなたの法的問題を自分で副地方裁判所に訴えることができることを意味する。

(3)副区方裁判所の取り扱う事案例:副地区裁判所判事は何をするのか?

　副地区裁判所はどのようなケースを扱うか?あなたはいつ副地区裁判所に行くことができるか?副地区裁判所は次の処理を行う。

• 25,000ユーロ(約77万円)以下の請求事件
• 即時解雇(summary dismissal)等雇用に関する事件
• レンタルにかかる事件
• 消費者販売事件
• 重要な消費者信用事件
• 管理にかかる事件
• 指導にかかる事案(Mentorship)
• 破産事件(Receivership)
• 相続/事業承継の受け入れや拒否事件

　これらは、副地区裁判所判事の能力と呼ばれている。たとえば、最大 25,000 ユーロの値を持つ事件では、損害が25,000ユーロ以下である人身傷害のケースも含まれる。民事裁判所は、離婚のような個人および家族の法律のケースのほとんどを行う。しかし、副地区裁判所は、これらの主題は個人法と家族法の範囲に該当するが管理、指導または後見に関するケースを扱う。

(4)副地区方裁判所が扱う刑法事案

　また、副地区裁判所は刑法の役割も持っている。例えば、副地区裁判所は、違反、密猟の犯罪、交通違反の控訴(複数の訴訟の控訴手続き)に関する規則を定めている(モルダー事件控訴手続き)。

(5) どのように副地区裁判所にあなたの事件を提出するか?

　裁判所手続には、請願手続き(petition)と召喚手続き(summon)の2種類がある。ただし、これら2つの手順のいずれかを開始する前に、相手方に手紙を書くと便利である。 したがって、5,000ユーロの支払いについて誰かと対立する場合は、最初に相手に相手が支払わなければならないことを書いてください（たとえば）。 常に支払い期間を与えてください！ 相手方が期間内に支払いをしない場合、あなたは法廷に行くことができる。 このように、手順が誰かの屋根に生で落ちることはありません。 そして多分あなたはそれを一緒に理解するであろう。 その後において訴訟は必要ない。

**************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

Google Analyticsの利用はシュレムスII CJEU判決に違反しているか？NOYBやEU加盟国の具体的決定内容等を検証

 　筆者は、2020年7月25日､欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項(SCCs)に関する決定の有効性判断(その1)、8月9日、同(その2完)で､欧州司法裁判所のSchremsⅡ判決を取りあげた。

　しかし、その後のGoogle やEU内のウェブサイト運営者は依然Google Analyticsを活用することを止めず、他方、米国諜報機関への個人データの流失リスク問題は未可決のままであった。

　このため、オーストリアに本部を置くEU全体のプラーバシー保護・訴訟団体「None of your business (以下、NOYBという)」  (注1)はオーストリアのデータ保護当局（「Datenschutzbehörde：以下、DSBという）に対し告訴し、そこ決定が2021年12月22日に行われた。

　NOYB　は、2022年1月13日に、2021年12月22日に発行されたオーストリアのDSBの決定を公表した。 その決定において必要に応じて適切なレベルの保護を確保せずにGoogle Analyticsを継続的に使用することにより、米国の諜報機関や関係法は米国の輸入業者であるGoogle LLCに個人データをウェブサイト運営者がエクスポートすることとしており、これは「EU一般データ保護規則（規則（EU）2016/679）（以下、GDPRという）」の規定 GDPRの第V章に基づき、2020年8月にNOYBがDSBに代表する申立人の苦情を受けた「データ保護委員会 v. Facebook Ireland Limited、Maximillian Schrems（C-311 / 18）（「SchremsII事件」）」における欧州司法裁判所（「CJEU」）の判決の要件に違反するという告訴内容である。

　DSBの決定は本文で述べるとおりであるが、より詳しく解説すると「DSBは、データ受取人としてのGoogle LLCに対する告訴請求を拒否し、データ移転に関する規則はEUのウェブ運営法人にのみ適用され、米国のデータ受領者には適用されないと判断した。しかし、同時にDSBは、EUのデータ輸出業者による明示的な命令なしにGoogleが米国政府(諜報機関等)に個人データを提供することを許可されたかどうかは疑わしいため、GDPR第5条、28条および29条の違反の可能性に関してGoogle LLCをさらに調査すると述べ、DSBは、この問題について別途決定を下す予定とした。

　このNOYBの告訴の背景、経緯、DSBの決定内容・理由、オーストリア以外のEU加盟国の保護機関の動向を紹介するのが今回のブログの目的である。なお、今回のブログで参考とした解説ブログはComplexDiscovery「Googleアナリティクスの利用はシュレムスII CJEU判決に違反しているか？オーストリアのDSBはそう思っている」、Dataguidance.com「Austria: DSB finds use of Google Analytics unlawful in light of Schrems II ruling」､ IIJ: BizRis ｢オーストリアのGoogle Analytics違法決定が欧州各国で影響拡大｣、Fox Rothchild LLP「No Google Analytics for You, Part Trois」他、NOYBの解説記事等である。なお、法律面からの詳しい解説はGDPRhub「DSB (Austria) - 2021-0.586.257 (D155.027)」を参照されたい｡

Ⅰ　DSBの決定

１．DSB決定に至るこれまでの経緯

　オーストリアのデータ保護機関DSBは、画期的な決定として、Google Analyticsの継続的な使用がGDPRに違反するというNOYBの申立によるモデルケースを決定した。これは、いわゆる欧州司法裁判所（CJEU）の「シュレムスII」の決定を受けてNOYBが提出した101のモデルとなる苦情告訴に関する最初のEU加盟国の保護機関の決定である。

　2020年7月16日、欧州司法裁判所（CJEU）は、米国の諜報機関の監視法がGoogleやFacebookなどの米国のプロバイダーに対し米国当局に個人情報を提供することが義務付けられているため、米国のプロバイダーの使用はGDPRに違反すると判断した(Data Protection Commissioner v Facebook Ireland Limited, Maximillian Schrems (“Schrems II”) - Case C-311/18)。EU加盟国の情報保護規制当局がEDPBの「タスクフォース」でこれらの事件に協力しているため、他のEU加盟国でも同様の決定が期待されており、今般のオーストリアのDSBの決定が出された。

２．本事件の背景・経緯

　2020年8月にNOYBの申し立てが提出された後、Googleは2021年4月9日に、Google Analytics toolを使用したEUのウェブサイト運営者から米国Googleへのウェブサイト訪問者の個人データの転送に関連して、DSBへ回答を提出した。すなわち､GDPRの第46条（2）に基づく標準契約条項（以下、SCCという）に依存し、シュレムス IIの決定で要求され、欧州データ保護委員会(以下、EDPBという）の勧告01/2020に沿って、適切なレベルのデータ保護を確保するために、法的、技術的、および運用上の対策を含む補足的な対策を実施したというものである。

　その後、NOYBは2021年5月5日にGoogleの回答の提出に応じてDSBに追加の意見書を提出した。これは、DSBからの要求に続いて、Googleが説明した措置が、 EUおよびその結果としてGDPRの第V章に違反したとして、DSBがGoogleに対して最大60億ユーロの罰金を科すよう検討を求めるものであった。

３．DSBの調査結果

　まず、(1)DSBはGoogl Analyticsを使用してウェブサイト運営者からGoogleに転送されたデータが、GDPRの第4条（1）に基づく個人データを構成するかどうかの問題に対処し、GDPRの適用、したがって、苦情、この質問に対する肯定的な結論を前提としている。特に、DSBは、申立人のブラウザまたはデバイスと最初の回答者の両方を識別する、少なくとも一意のオンラインID（最初の回答者のウェブサイト運営者としてのGoogle AnalyticsアカウントIDを介して）、ウェブサイトとサブページのアドレスとHTMLタイトルを強調し､申立人が訪問したブラウザ、オペレーティング・システム、画面解像度、言語選択、Webサイト訪問の日時、および申立人が使用したデバイスのIPアドレスに関する情報は、Googleを使用してWebサイト運営者からGoogleに転送されたと分析し、そのようなデータはデータ主体を特定するのに十分であり、したがってGDPRの下で個人データと見なされると結論付けた。

(2)上記および欧州データ保護委員会（「EDPB」）が最近採用したガイドラインによって定められたデータ転送の存在条件の双方を考慮して、Webサイト運営者によるGoogle Analyticsの使用が個人データの転送を構成すると判断したGDPRの第V章（「データ転送ガイドライン」）に基づく第3条の適用と国際転送に関する規定との相互作用に関し、2021年5月、DSBは、転送がGDPRの第44条で要求される保護レベルといえる適切なメカニズムの対象であるかどうかを評価した。 GoogleがGDPRの第46条に基づくSCCに依存していることを指摘し、シュレムス IIの決定に基づいて必要とされる追加の措置によって補足され、DSBは、そのような措置は、第三国の評価で特定された特定の欠陥に対処する範囲でのみ有効と見なされる可能性があることを強調した。特に、Googleが所有または保管中、またはその管理下にあるインポートされたデータへのアクセスを提供または放棄する直接の義務がある限り、保存時の暗号化の技術的手段を呼び出すことはできないことに注意すべきである。つまり Googleによって実装された技術等は、特定されたデータ保護対策の欠陥、つまり米国の諜報機関のアクセスと監視の可能性リスクに効果的に対処できていないと判断した。

　したがって、DSBは、GDPRの第46条では十分なレベルの保護を確保できないと判断し、Google Incが主張したGDPRの第49条に基づく例外の存在をさらに却下し、データ転送がGDPR第44条に違反していることを明らかにした。

　DSBは再度データ転送ガイドラインを引用して、GDPR違反がウェブサイト運営者に起因することを明らかとしたが　個人データ輸入者としてのGoogleが申立人の個人データを開示していないことを考えると、GDPR第V章の要件は特定のケースであるGoogleには適用されないと判断した。

４．結果(Outcomes)

　上記を考慮して、DSBは、GDPRの第V章に従ってGoogle Analyticsに適用できないと要約した。 さらに、DSBはウェブサイト運営者がGDPRに違反していることを発見したが、GDPRの第Ⅴ章が当面のケースではGoogleに適用されないという理由で、Googleに対する申し立てを却下した。 ただし、DSBは、GDPRの第5条、第28条（3）（a）、および第29条に対するGoogleによる違反の可能性については、別の決定を下すと要約した。

　特に、DSBはウェブサイトの運営者はミュンヘンに所在する会社と合併したため、Googleへの転送が禁止される可能性については、関連するドイツ保護当局が対処する必要があるとし、罰則や是正措置を科さなかった。

Ⅱ．シュレムス判決のその後の実務界の対応

　2020年7月、CJEUは画期的な「シュレムスII」判決を発表し、FISA 702(注2)およびEO 12.333に該当する米国のプロバイダーへの移転は、GDPRの国際データ移転に関する規則に違反すると判断した。その結果、CJEUは、2015年に前回の契約「セーフ・ハーバー」を無効にした後、移転契約「プライバシー・シールド」も無効にした。

　これはテクノロジー業界に衝撃波を送ったが、米国のプロバイダーとEUのデータ輸出業者はこのケースをほとんど無視している。マイクロソフト、Facebook、Amazonと同様に、Googleはデータ転送を継続し、ヨーロッパのビジネスパートナーを落ち着かせるために、いわゆる「標準契約条項」に依存している。noyb.euの名誉議長であるマックス・シュレムス氏は「米国企業は、サービスをGDPRに準拠するように実際に適応させるのではなく、プライバシーポリシーにテキストを追加して司法裁判所を無視しようとした。多くのEU企業は、法的選択肢に切り替えるのではなく、先導に従っているのみである」と述べた。 

(1)SCCと「TOM」では不十分である

　Googleは、「技術的および組織的対策」（「TOM」）を実装したと主張して提出したが、これにはデータセンターの周りにフェンスを設置したり、リクエストを確認したり、ベースライン暗号化を使用するなどのアイデアが含まれてはいるが、DSBはこれらの対策を米国ではまったく役に立たないものとして拒否した。DSBの以下の調査結果（DSB決定の38ページと39ページ参照））をあげる。

「概説された契約上および組織上の措置に関しては、上記の考慮事項の意味で [措置] がどの程度有効であるかは明らかではない。」(p.38)

「技術的措置に関する限り、米国の法律を考慮した米国の諜報機関によるアクセスを実際にどの程度 [対策] が阻止または制限するかも認識できない（...）(p.39)

　マックス・シュレムス氏「これは非常に詳細で健全なDSB決定である。要するに、企業はヨーロッパで米国のクラウドサービスを使用できなくなったということである。欧州司法裁判所がこれを2度目に認めてから1.5年が経ったので、法律も施行されるのは時期を超えている」

(2)DSB決定はほとんどすべてのEUウェブサイトに関連する決定である

　Google Analyticsは、最も一般的な統計プログラムである。ヨーロッパでホストされている、またはセルフ・ホストできる代替手段は数多くあるが、多くのウェブサイトは統計作業をGoogle Analyticsに依存しているため、ユーザー・データを米国の多国籍企業に転送している。EU加盟国のデータ保護当局が米国へのデータ提供サービスを徐々に違法と宣言する可能性があるという事実は、EU企業と米国のプロバイダーに、米国外でのホスティングなど、安全で合法的な選択肢に移行するよう圧力をかけている。欧州データ保護監察機関（EDPS）は、2022年1月11日、EU-米国間の移転について同様の決定を下した。

　マックス・シュレムス氏：「ほとんどのEU加盟国では、同様の決定が徐々に低下すると予想している。ほぼすべての加盟国で101件の苦情を申し立てており、当局が対応を調整しました。先週、欧州データ保護監督官も同様の決定を下した」

(3)長期的な解決策

　長期的には、2つの選択肢があるようである。米国がテクノロジー業界をサポートするために外国人のベースライン保護を適応させるか、米国のプロバイダーが米国外で外国のデータをホストする必要があるかのどちらかである。

マックス・シュレムス氏:「長期的には、米国では適切な保護が必要か、米国とEUで別々の製品になるかのどちらかである。個人的には米国ではより良い保護を望んでいるが、これは米国の立法者次第であり、ヨーロッパの誰にとってもそうではない」

(4)Google LLCは転送ルールに該当しないか？

　DSBは、データ受取人としてのGoogle LLCに対する請求を拒否し、データ移転に関する規則はEUの法人にのみ適用され、米国の受領者には適用されないと判断した。しかし、同時にDSBは、EUのデータ輸出業者による明示的な命令なしにGoogleが米国政府に個人データを提供することを許可されたかどうかは疑わしいため、GDPR第5条、28条および29条の違反の可能性に関してGoogle LLCをさらに調査すると述べた。DSBは、この問題について別途決定を下す予定である。

　マックス・シュレムス氏:「我々にとって、米国のプロバイダーが問題をEUの顧客に移すだけではいけないことが極めて重要である。したがって、米国の受取人に対しても訴訟を起こした。DSBはこのアプローチを部分的に拒否しました。このDSB決定の要素に異議を申し立てるかどうかを検討する」

(5)Googleに対しまだペナルティなし

　このDSB決定は、潜在的なペナルティを扱っていない。これは、申立人の意見が聞かれない「公的な」執行手続きと見なされるためである。ペナルティが発行されたかどうか、またはDSBがペナルティの発行を計画しているかどうかについての情報はまだない。このような場合GDPRは最大2,000万ユーロ、つまり世界の売上高の4％の罰金を科す見込みである｡

　マックス・シュレムス氏：「EUのデータ輸出者にもペナルティがあると想定しているが、これまでのところ、この問題を扱っていない部分的な決定しか受けていない」

(6)ドイツのDPAによるさらなる執行の動向

　今回問題となったオーストリアのデータ・エクスポーターはドイツの企業と合併したため、オーストリアのDSBは過去の違反についてのみ管轄権を持っていた。DSBは、ドイツのデータ輸出業者の新本部で、関係当局との将来のデータ転送を禁止すると述べた。

Ⅲ　ノルウェーのデータ保護機関(独立機関)の見解

 １．一般的な問題

　Google Analyticsサイトでは、ウェブサイト・ユーザーの IP アドレスを識別しなくすることができるが、オーストリアのデータ保護機関(DSB)によって強調された問題は解決されないことに注意されたい。オーストリアの保護機関は、Google Analyticsにもクッキーが含まれると指摘しており、ユーザーがすでにGoogleアカウントにログインしている場合、分析データをGoogleアカウントにリンクすることが可能であることを発見した。

　「個人データを米国に送信することは必ずしも禁じられていないが、これが合法であるためには、通常、多くの措置を講じる必要がある」とノルウェー保護機関のトビアス・ジュディン国際課長は述べた。

　しかし､具体的な苦情ケースでは、オーストリアのデータ保護当局は、そのような措置が実施されていないことを明らかにした。Google は個人データの収集と転送を管理するため、実際にはウェブサイトの所有者が必要な対策を確実に実施しているかなどにつきその方法を確認することは困難であったのであるとした。

２．他のウェブサイト・ツールにも影響を与える問題

　この特定のケースは Google Analyticsに適用されるが、他のウェブサイト ・ツールが米国に個人データを送信する可能性があることに注意すべきである。より多くのツールが Google Alalyticsよりも多くの個人データを送信している。したがって、Web サイトの所有者は、どのようなツールを使用し、どのような個人データをツールを介して処理するかを完全に把握することが重要である。

　トビアス・ジュディン国際課長は「多くのツールは違法に使用でき、Web サイトの所有者は直ちに削除する必要がある。深刻なケースでは、ノルウェーのデータ保護局から制裁処分を受ける危険にさらされており、現在、これらの問題に非常に注意が払われているので、我々はより多くの苦情を受けることを期待している」と語った。

３．101件の苦情

　シュレムスIIの判決が2020年の夏に言い渡されて以来、NOYBグループ((noyb.eu)はGoogleAnlyticsを使用するためにEEA全体の多くのウェブサイトについて苦情を申し立てている。したがって、加盟国のデータ保護当局はヨーロッパ全土に位置し、ノルウェーのデータ保護局を含む非常によく似た苦情に対処する。監督当局は、欧州の文脈で別のワーキンググループでケース処理を調整した欧州データ保護監察機関（EDPS）とともに、2022年中にGoogleアナリティクスの使用に関してより多くの決定が下される予定である｡

Ⅳ　ウェブサイト運営者はシュレムスIIの転送問題だけでなく、泣き声と祈りに従事する我々ユーザー全員のためのいくつかの重要な実践取り組むべきポイント

１．コントローラおよびプロセッサの適切な技術的および組織的な対策を実施

　コントローラの一般的な指示(つまり、ウェブサイトの設定と機能)の下で動作中にこれを行っている場合は、コントローラなしでウェブサイト上でのクッキーの使用を決定することができる。

〇あなたは、あなたのプロセッサーにプライバシー通知の公表を委託することができるが、a)あなたはまだ責任を負い、b)彼らはプライバシー通知の専門家ではないかもしれないという事実に注意されたい。これらの任務を実行するための適切な技術的および組織的な対策を実施できる十分な保証を得ることを確認すできである。

〇あなたのプロセッサに十分に詳細な指示を提供しないことは、法律違反になる。

〇コントローラとプロセッサ間のDPA準拠責任は、コントローラとプロセッサの両方にある。

２．アクセスするにあたりウェブサイトの設計方法や内容に注意

(1)コードのコピー

〇あるウェブサイトから別のウェブサイトにコードを無差別にコピーすべきでなお。不要なクッキーやトラッカーが誤ってコピーされる場合がある(これは普遍的に正しく、特に判例を複製する場合は注意されたい。

(2)クッキーについて

〇バナーと開示は、ウェブサイトで使用されているさまざまな言語間で一貫していることを確認すべきである。

〇 クッキーがデバイスにインストールされると、実際にデータの転送に使用されていなくても、クッキー が 「非アクティブ」と見なされることはない。

〇クッキーは、サービスが機能しない場合にのみ厳密に必要と見なされる。クッキー を使用しない別の実装を選択する場合、クッキーに依存する特定の実装手法の選択だけでは、厳密な必要性を正当化するのに十分ではない。一般的に、Web サービスは、同意を必要とするクッキーなしでも動作できる必要がある。

〇Web サービス・オペレータにとって「厳密に必要な」ツールと見なされることが多いファースト・パーティ分析でさえ、ユーザーが明示的に要求した機能を提供する必要は厳密になく、原則として同意の要件に従う。プライバシーに関する通知とクッキーのバナーに注意すべきである。

〇契約に基づいて「サービスの提供が終了するまで」データが保存されることを定めたプライバシー開示の規定は、データの保存とサービスの提供との間にリンクがないため、ストレージ制限の原則に沿っていない。

〇データ共有を記述する際には、プロセッサを一覧表示する必要がある。

〇クッキー･バナー・テキストは、クッキーを通じてアクセスまたは保存される情報の種類と、そのようなアクセスまたはストレージの目的を指し、バナーを介して伝達される情報は、すべての言語バージョンで同一でなければならない。最後に、ユーザーは必須でないクッキーの処理に同意するかしないかのオプションを提供する必要がある。この点に関して、バナーには、ユーザーがクッキーを受け入れるためのオプトイン・ボタンを含め、ボタンをクリックすることでユーザーがクッキーの展開に同意することを明確にする必要がある。

〇クッキーの壁は規制に沿って、自由に与えられる同意のために、ウェブサイトのサービスと機能へのアクセスは、上記の意味で厳密に必要とされないクッキーに対するユーザーの同意に依存してはならないことを意味する。

〇クッキーを通じて収集された個人データが分析パートナーなどの第三者と共有される場合、クッキー・バナーはユーザーの注意を引く必要がある。

(3)シュレムスIIについて

〇米国への個人データの転送は、転送された個人データに対して本質的に同等のレベルの保護を確保するために、効果的な補足措置によって組み込まれている場合にのみ行うことができる。

〇顧客は、本ウェブサイト上でのクッキーの使用の文脈で米国に転送された個人データに対して、本質的に同等のレベルの保護を確保するために、契約上、技術的、組織的措置に関する文書、証拠、またはその他の情報を提供を受ける必要がある。

(4) Digital Ad Ratings(DAR) (注3)の場合:

○顧客は、ウェブサイト上で第三者のクッキーを使用する際に、個人データが処理されたという事実について、申立人に確認を提供する必要がある。その後、データ主体を特定することが不可能であることを示した場合は、そのことを通知する必要がある。

〇当該の個人情報の処理が違法であると認識している場合でも、アクセス権の主な目的は、データ主体が処理を認識し、その合法性を検証したり、その他のデータ主体の権利を行使できるようにすることである。

****************************************************************************************

(注1) European Center for Digital Rights（NOYB、「none of your business」と名乗っていいる）は、オーストリアのウィーンに拠点を置く非営利団体で、汎ヨーロッパを中心に2017年に設立された。 NOYBは、オーストリアの弁護士でプライバシー活動家のMax Schremsによって共同設立され、一般データ保護規則（GDPR）、提案されているeプライバシー規則、および一般的な情報プライバシーをサポートする戦略的な訴訟とメディアイニシアチブの立ち上げを目指している。 この組織は、支援メンバーから年間25万ユーロの寄付を集めた資金提供期間の後に設立された。現在、NOYBは4,400人以上の支援メンバーから資金提供を受けている。(Wikipediaから抜粋、仮訳 )

(注1-2) DSBはオーストラリアのウェブサイト運営者につき決定文上､マスキングしている｡

(注2) FISA 702：米議会下院は米国時間2018年1月11日、国家の安全保障を目的としてインターネットを介した通信を収集する米国家安全保障局（NSA）プログラムを認める外国諜報活動偵察法（FISA）を延長する法案を、賛成256票、反対164票で可決した。監視プログラムの根拠となるのは外国諜報活動偵察法（FISA）の改正法第702条で、19日に失効することになっている。FISAの改正法第702条は、2008年に成立した。同法に基づいて、国家安全保障に関わる機密事項について審理する裁判所は、「PRISM」や「Upstream」といった政府の監視プログラムでNSAにメールや文書などのインターネット通信を収集させるかどうかを決定する。

　そうしたプログラムの詳細は、NSAの元契約職員Edward Snowden氏が2013年に報道機関にリークして公になった。

　監視プログラムを認める第702条は、改正に関して上下両院で議論されることなく、2017年12月31日に更新期限を迎えた。議会は、2018年1月19日まで一時的に同法を延長することを決議した。上院も更新を決議しないと、さらなる延長はできない。(2018.1.12 CNET Japan記事から一部抜粋)

(注3) ニールセン デジタル広告視聴率（Nielsen Digital Ad Ratings）は、テレビ視聴率と同様のリーチやGRP指標を用いて、PCやモバイルなどのデジタル広告の包括的な分析結果を翌日に提供するサービスです。世界最大の ユーザーデータベースであるFacebookとニールセンの最高品質のネット視聴率パネルを用いることにより正確な属性別のリーチの提供を可能としたデジ タル広告視聴率は、デジタル広告の効果分析の新たな業界標準を提案します。以下略す。(ニールセンサイトの解説から抜粋)

************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

スタンフォード･ロー・スクールはCOVID-19による住宅賃借人の立ち退き要求の津波危機に対処する司法長官の呼びかけに応える

　筆者は2020年9月5日blog「トランプ政権の下でのCDCの全米の何百万人もの住宅テナントの立ち退きを2020年末まで禁止・猶予する新規則・命令の発出につき大いなる疑問」､同月12日blog｢NCLAはCDC立退き猶予命令に挑戦：CDC命令は、裁判所にアクセスする権利を放棄させ、連邦優位条項の制限逸脱、重大な委任禁止教義の懸念、連邦の指揮禁止原則や判例違反を主張｣の2回にわたり、トランプ政権下でのCOVID-19コロナ禍における人権擁護団体(NCLA)、法律学者、連邦保健福祉省・CDC(疾病予防管理センター)等が弁護士等を雇うことのできない社会的弱者救済たる賃借人の支援に取り組んでいる実態を取り上げた。

　最近、筆者の手元に2022.2.3 SLS Report「スタンフォード･ロースクールはCOVID-19による住宅賃借人の立ち退き要求の津波危機に対処する司法長官の呼びかけに応える」が届いた。さらに、これと関連し、SLS Report「スタンフォード・ロー･スクールの院生、学生、教員は、低所得の賃貸人が実践的な法的援助クリニックでの立ち退きを回避するのを支援」を読んだ。

　これら一連のロースクールの活動内容を読むと米国におけるロースクールの社会的機能、役割を垣間見た感がある。

　果たして、わが国の法科大学院は司法試験受験生の予備校となっていないか、あらためて考えるヒントを理解する意味で今回のブログは、SLSレポートを時系列にまとめた。

１．2021.12.2　SLSレポート「スタンフォード・ロー･スクールの院生、学生、教員は、低所得の賃貸人が実践的な法的援助クリニックでの立ち退きを回避するのを支援」

　トランプ前大統領時代から続くCOVID-19に基づく先行きが不透明な賃貸の立ち退きモラトリアムが終了した後、迫り来る住宅の立ち退きラッシの危機を見越して、スタンフォードの法曹界は、地元とカリフォルニア州の低所得者を支援するためにいくつかのプロジェクトに着手した。

　2021年8月、米国司法長官のメリック・B.ガーランド(Merrick B. Garland)が、COVID-19に基づく賃貸住宅の立ち退きのモラトリアム期限が切れる結果としての賃貸住宅の危機を見越して、法曹界からの支援を求めたとき、スタンフォード・ロースクール教授・CLC部長のジュリエット・ブロディ(Juliet Brodie)氏が支援する態勢を整えた。

Merrick B. Garland司法長官

Professor Juliet Brodie教授

（画像著作権：Andrew Brodhead）

　過去10年間、スタンフォード・コミュニティ・ロー・クリニック（CLC）の部長として、彼女の監督下にあるスタンフォード・ロー・スクール（SLS）の学生とともに、ブロディはスタンフォード周辺の低所得者を代表してさまざまな住宅や立ち退きの問題を含む法的な問題につき取引を行ってきた。CLCは、同ロースクールが運営する10のクリニックの1つであり、キャンパス外のコミュニティベースのオフィスを持つ唯一の法律クリニックである。

　ガーランド司法長官の助けを求める声に応えて、ブロディ教授は、クリニックの法律診療の中身として法的援助へのアクセスが不足している場所が拡大すると見た。

　ブロディ教授は「私たちの使命は、他の方法では弁護士がいない借り手・テナントを代表することであった。そして、COVID-19による経済の混乱は、それらのテナントの数を爆発させただけである」と述べた。

　ブロディ教授は、マウンテンビュー市およびイーストパロアルトのコミュニティ法務サービス（CLSEPA）と連携して、CLCの学生を利用し、マウンテンビューに住む低所得者が見つけるのが難しい法律顧問役を提供した。弁護士の多くがサンフランシスコとサンノゼに集中しているため、2つの都会のハブの間の廊下に住む低所得のテナントは、弁護士とのつながりに問題を抱えている可能性があリ、ブロディ教授は「私たちはそのコミュニティの能力を拡大するために私たちのリソースを使用したかった」と述べた。

 (1) テナントに法的権利を平易かつ正確に通知する

　2021年秋の四半期を通して、スタンフォード大学の学生は、CLCの訴訟および弁護関係専門家であるブロディ教授および訴訟および弁護に関する特別研究員(Litigation and Advocacy Fellow)であるローレン・ザック(Lauren Zack)とともに、マウンテンビュー公共図書館の診療所にCovid -19の緊急賃貸支援のためのスタッフを配置した。ロースクール・法学部の学生は、監督者とともに、居住者が受け取った可能性のある立ち退き通知など、法務書類に関連する質問に答えることができる。必要に応じて、クリニックは訴訟や交渉でテナントを代表することができる。

　マウンテンビュー・エリアの貧困率は約6.7％ である。また、州内で最も高額所得な地域の1つとしてランク付けされている。2015〜2019年の国勢調査局のデータによると、家賃の中央値は約2,500ドル(約29万円)です。給料から給料まで生活し、パンデミックのために経済的困難を経験した低所得の居住者にとって、州のそのような高価な地域での未払いの家賃はすぐに加算される。

　CLCクリニックで支援している2022年の法学博士候補のエース・エリオット・ヘルナンデス(Ace Elliott-Hernandez)氏「パンデミック全体の家賃を払えなかった人々がいる。ヘルナンデス氏が出会うクライアントの中には、家族や住居の規模にもよりますが、5,000ドル(約58万円)から35,000ドル(約400万円)以上の借金があった。

Ace Elliott-Hernandez氏

（画像著作権：Andrew Brodhead）

　幸いなことに、パンデミックのために発生した賃貸借金からの救済を提供する連邦プログラムや、家主が賃貸支援を申請する前に申請することを要求するなど、テナントの保護を提供する多くの新しい州法があった。さらに、州法では、賃貸支援を申請し、申請がまだ処理中である場合、テナントも退去から保護されると規定されている。

　ヘルナンデス氏は、このような進化するルールをナビゲートすることは、複雑で迅速になる可能性があると説明した。 「法律はCOVID-19を中心に急速に変化しているため、CLCクリニックで私たちが現在の法律の状態に遅れないようにすることはさらに困難である。法的な訓練を受けていない入居者になるなんて想像もできなかった」とエリオット・ヘルナンデス氏は語った。

　さらに、ヘルナンデス氏と彼女の同僚がサービスを提供することはテナントにとって特に困難であった。すなわち、多くの人は、必要な法的情報を検索するためのインターネット・アクセス手段を持っていない。それでも、法律が変化しているため、Webで見つかったものは古く、正確ではなくなっていることが多い。英語を十分に話せない人にとっては、テナントが受け取るさまざまな文書や通知に含まれている複雑な法律用語を理解するのはさらに難しい場合がある。

「この情報を抽出できるように弁護士がそこにいるだけで、とても便利である」とヘルナンデス氏は語った。

(2)テナントから詳しく聞くスペースを提供する

　CLCは、学生が教室の法的な知識を実際の状況に適用する、直接サービスおよびトライアル実践クリニックである。多くの場合、新しいマウンテンビュープログラムと同様に、学生が入居者を代表しなくても、彼らは法的権利を説明し、助言を提供するために手元にいる。

「多くの場合、テナントがストーリーを共有できるのはこれが初めてである。私たちは両方ともアドバイザーであり、テナントが耳を傾けていると感じるためのスペースを提供している」とヘルナンデス氏は語った。

CLCクリニックでヘルナンデス氏に加わるのは、2022年のクラスの法学博士候補でもあるユリアン・シュナイダー(Julian Schneider)である。シュナイダーにとって特に難しいのは、法律に違反する方法でテナントに圧力をかけたり強制したりすることを言った家主について学ぶことであった。

Julian Schneider氏

（画像著作権：Andrew Brodhead）

　「それは動揺する現実でした」とシュナイダー氏は初めに述べた。

　シュナイダー氏は、家主がCOVID関連の賃貸借金をすべて支払う必要があると語ったという話をテナントから聞いたことがあるが、実際には、借りている金額は政府の賃貸支援プログラムでカバーされている。また、彼は家主が彼らのテナントに、政府のプログラムは特定の金額しかカバーせず、特定の日付以降はカバーしなくなると誤解しているという話を聞いた。 「それは真実ではない」と彼は言い、COVID-19の影響を受けた賃借人は2022年3月31日まで支援を受ける資格があるかもしれないと述べた。

　シュナイダー氏によると、問題の一部は、このような状況では、たとえテナントの法的権利が明らかに侵害されたとしても、危機に瀕している金額は、民間の弁護士に彼らを代表するように誘うのに十分ではないということである。

　シュナイダー氏とヘルナンデス氏は、20年近く家から不法に追い出された1人のクライアントと協力している。この人は、低所得者の住宅を支援する連邦補助金プログラムであるセクション8 (注1)による住宅を待つ間、共有寝室に移動しなければならなかった。現在、この人が持っている唯一の法的救済は、この人に保証金を取り戻そうとすることであり、この問題に、シュナイダー氏とヘルナンデス氏が取り組んでいる。

　シュナイダー氏とヘルナンデス氏は、マウンテンビュー・クリニックがパンデミック特有の状況に対処するのを支援してきたが、多くの場合、彼らが耳にするケースには、特に居住性に関する他の問題も伴う。すなわち、シュナイダー氏とヘルナンデス氏は、天井の雨漏れや住居でのネズミ等齧歯類の蔓延などの問題について、賃貸人から話を聞いたことがあると述べた。 ヘルナンデス氏が支援している別のケースでは、COVID-19の影響を受けたクライアントが関与しており、建物が全焼しているにもかかわらず、家賃の支払いを求められている例があった。

　ヘルナンデス氏は「カリフォルニアは入居者の権利にとってより良い州の1つであるが、テナントの人々は依然としてこれらの恐ろしい立場に置かれており、日常的にそれを見るのは心が痛むものです」と述べた。

(3)「立ち退き津波」を回避する

　「カリフォルニア州と地方自治体がコミュニティに注ぎ込んだ抜本的な立法努力と財源のために、人々がテナントへの立ち退きのモラトリアムの期限が切れた後に来ることを恐れた「立ち退き請求津波」は起きなかった」とブロディは言った。

　サンマテオ郡とサンタクララ郡ではテナントに立ち退きの通知が増加しているが、多くの人が恐れていたものにはほど遠いものであった。

　ブロディ氏は「家賃の滞納以外の家主の請求に基づくテナントへの立ち退きの増加が見られる。COVID-19保護が実施された場合、基本的に、COVIDの影響を受けたテナントが家賃を支払わなかったために立ち退かされるのを防ぎことになる。 一部の家主は、別の賃貸違反や「妨害」など、他の問題を主張することでその保護を回避している。これらのケースのいくつかは間違いなく口実ですが、実際には弁護士が弁護する必要がある」と述べた。

(4)法的援助の遺産に基づいて構築の成果

　ブロディ氏と彼女の学生が行っているテナントへの立ち退き回避支援の仕事は、CLCや全国のその他の援助労働者が何十年にもわたって行ってきた法的援助活動の長い歴史に基づいているとシュナイダー氏は指摘した。

　「いわゆる『司法へのアクセス』危機、つまり貧しい人々にとって不十分な弁護は、目新しいことではない。我々CLCは、スタンフォード大学の近くで何十年も働いており、住宅工事だけでなく、障害者の権利、前科の抹消、賃金の盗難、その他の基本的な市民の貧困対策弁護士も行っている」とブロディ氏は述べた。

　COVID-19パンデミックは、低所得コミュニティの法定代理人への不十分なアクセスにスポットライトを当てているが、この問題は法曹界で根強い問題となっている。

　シュナイダー氏は「パンデミックから抜け出すことで、テナントへの支援と弁護士へのアクセスのための公的資金が増えることを願っている。これが単なる緊急措置ではなく、お金を払う余裕のない人々のための弁護士へのアクセスの拡大の始まりでもあることを願っている」と述べた。

２．2022.2.3 SLS「スタンフォード･ロースクールはCovid-19による住宅賃借人の立ち退き津波危機に対処する司法長官の呼びかけに答える

　このレポートの筆者は、SLSメディア戦略ディレクターDirector of Media Strategyであるステファニー・アッシュ(Stephanie Ashe)氏である

　以下で、レポートの内容を仮訳する。

＊立ち退きの危険にさらされている10,000世帯にサービスを提供するために81,000時間以上を費やした2,100人の法科大学院生の中のSLSの学生と教員の活動を語る

 　2022年1月28日、ホワイトハウスと連邦司法省は、メリック・B.ガーランド(Merrick B. Garland)司法長官の2021年8月30日の立ち退きに直面しているアメリカ人賃借人を支援するための行動の要請の状況を議論する仮想イベントを開催した。ガーランド長官は、弁護士や法科大学院生、教員に対し、緊急賃貸援助申請支援、法的援助提供者とのボランティア、裁判所による立ち退き転用プログラムの実施、住宅の安定と司法へのアクセスを目的としたその他のイニシアチブを通じて、地域社会を支援するための即時行動を取るように要請した。

　このホワイトハウスのイベントでは、ガーランド長官とセカンド・ジェントルマン(second lady/gentleman of the United States)(注2)のダグラス・G・エムホフ(Douglas Craig Emhoff (born October 13, 1964)(注3)の発言や、全国の家庭や地域社会に立ち退きの法的支援を提供してきた法科大学院の学部長、職員、学生の発言が行われた。SLSの学生と現学部長ジェニー・マルティネス、当時教授であったリチャード・E・ラング教授がバーチャルイベントに参加した。

Douglas Craig Emhoff氏

(1)スタンフォード・ロー・スクールが立ち退き軽減行動の呼びかけに応える

　スタンフォード・ロースクール(SLS)は、35州とプエルトリコの98の他の法科大学院と共にガーランド長官の呼びかけに応え、全国の立ち退き申請を歴史的な平均の60%以下に抑えるのを助けました。スタンフォードの地域社会における立ち退きを軽減するためのSLSの取り組みをリードしていたのは、スタンフォード・コミュニティ・ロー・クリニック(CLC)のディレクターで、ハース公共サービスセンターの教員・部長であるジュリエット・M･ブロディ、大学院学生評議会･準学生のアニュライ・K.C･シャー(Anuraj K.C. Shah：2022年度juris doctor student法学博士課程)、リア・ケネデイ(Leah Kennedy:　　2022年度juris doctor student法学博士課程､訴訟および弁護に関する特別研究員(Litigation and Advocacy Fellow)ローレン・ザック(Lauren Zack)であった。

Lauren Zack氏

　CLCは、SLSの学生が教室の法的知識を現実世界の状況に適用する、直接的法務サービスと試行的実践クリニックである。CLCがスタンフォードの地域社会で行ってきた法的援助活動の数十年にわたる歴史に基づいて、ブロディ教授と彼女の教え子の学生たちは目下、保留中の「立ち退き請求の津波(eviction tsunami)」を回避するために今回の行動に飛び込んだ。

　ブロディ教授は「我々の使命、弁護士を持たないテナントを代表することであった。そして、COVID-19の経済の混乱は、これらのテナントの数を爆発させたばかりである」と述べた。

　CLCチームの最近の取り組みには、次のようなものがある。

(1)CLCは、マウンテンビュー市とイースト・パロアルト(CLSEPA)のコミュニティ法務サービスと接続し、マウンテンビューに住む低所得者が探しにくい法律顧問・弁護士を提供した、つまり:地域の法的援助資源の多くはサンフランシスコとサンノゼに集中しているため、2つの都市ハブの間の廊下に住む低所得者は弁護士とつながるのに苦労する可能性があった。

(2)CLCの学生と教員は、毎週、市職員が COVID-19緊急レンタル支援を申請するのを助けるために立ち退きヘルプセンターを開催するマウンテンビュー市公共図書館にCLCにスタッフを配置した。ロースクール院生は、監督・指導者と共に、借家たる住民が受け取った立ち退き通知を含む法的書類に関連する質問に答えるために利用可能であり、必要に応じてクリニックは訴訟や交渉でテナントを代表することができる。

　マウンテンビュー市公共図書館クリニックを通じてテナントとの直接の仕事に加えて、CLCの学生とザック弁護士は、州の周りのテナント擁護弁護士のための一連の「テンプレート」法的書類を作成した。

〇 スタンフォード・ニュースの記事を読むことで、スタンフォード・ロー・スクールの学生と教員がカリフォルニア州の低所得者が立ち退きを避けるのをどのように助けたかについての詳細を学べる。 

〇 CLCの取り組みとCOVID-19が立ち退きの危険にさらされている人々に対する政府の支援に及ぼす影響に関するスタンフォード・リーガルのエピソードを聞くことができる。

〇 CLCの仕事の詳細を見る。

〇法科大学院と共にホワイトハウス・連邦司法省で行われたメリック・B・ガーランド司法長官の所見を読むことができる。

*************************************************************

(注1) セクション８

プログラム設立当初の 10 年間はアフォーダブル住宅を建設しようとするデベロッパーに対する支援プログラム2であったが、1983 年からは賃借人に対するバウチャー支援が併用され、1998 年にバウチャーに一本化された。

このバウチャーとは、一定基準の設備を備え、賃料に関する基準を満たす民間住宅について、世帯収入の 30 パーセントを超える部分を家賃負担するものである。

バウチャーの発行は主に地方住宅公団が行っており、バウチャー交付対象世帯は基本的に地域の世帯収入の中間値（Area Median Income）―以下 AMI―の 50 パーセント以下となっている。住宅の家賃は HUD が地域ごとに毎年設定する適正市場家賃（Fair Market Rent :FMR）をもとに地方住宅公団が決定する。(「米国の住宅政策（財）自治体国際化協会 CLAIR REPORT NUMBER 292（Sep 15, 2006の解説）」から一部抜粋。

(注2) アメリカ合衆国のsecond lady/gentleman of the United States (SLOTUS/SGOTUS)とは、副大統領の任期と同時に、アメリカ合衆国の副大統領の配偶者が保持する非公式の称号である。「ファーストレディ」とは対照的に、あまり一般的には使用されていない。

(注3) ダグラス・クレイグ・エムホフ（Douglas Craig Emhoff：1964年10月13日生まれ）は、米国のsecond gentleman of the United States であるアメリカの弁護士である。 彼は、米国の第49代副大統領であるカマラ・ハリスと結婚しており、 副大統領の最初の夫として、エムホフはアメリカの歴史の中で最初の2番目のsecond gentleman of the United Statesである。また 彼は、副大統領の最初のユダヤ人の配偶者でもある。(Wikipedia から一部抜粋、仮訳))

　ダグラス・エムホフは、ジョージタウンローセンターでの実務経験からの著名な客員教授であり、同センターの「法技術と法政策研究所Georgetown Law’s Institute for Technology Law and Policy)」の著名なフェローである。

　エムホフは30年近くの弁護士キャリアの中で、メディア、エンターテインメント、知的財産の問題に重点を置いた複雑な紛争において、イチかバチか(high-stakes)の訴訟を提起したり、信頼できるアドバイザーとして行動したりすることで、最も困難な問題に取り組み、解決することで知られている。(ジョージタウン大学ローセンターの解説：https://www.law.georgetown.edu/faculty/douglas-emhoff/　から抜粋、仮訳)

****************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

 

米証券取引委員会(SEC)が登録投資アドバイアーやファンドに対するサイバーセキュリティ･リスク管理規則の改正案を提案、コメントの公募

　Last Updated ：February 26,2022

2月10日、筆者の手元にSECの緊急リリースがﾞ届いた｡2月9日、証券取引委員会は、登録投資アドバイザー(registered investment advisers)、登録投資会社(registered investment companies)、事業開発会社(ファンド ) (注1)のサイバーセキュリティ・リスク管理に関する規則(CFR)と、投資アドバイザーとファンド開示事業者　(fund disclosures) (注2) (注3)を管理する特定のルールの改正案を広く 公募提案することを決議したという内容である。

　この問題はわが国の関係者にとって見逃せない重要な問題であり、その内容を詳しく解説を試みようと考えたが、規則改正案本文は全243 頁であり、とりあえず、(1)リリース文、(2)概要、(3)詳細目次を仮訳することとした。

 　なお、筆者は2月11 日付けのLexBlog,Inc.の解説記事「SEC Proposes Cybersecurity Regulations for Advisers and Funds」を読んだ。主要論点がよくまとめられおり、併読されたい。また、2月26日筆者の手元にHarvard Law School Forum on Corporate Governance「SEC’s Role in Cybersecurity」が届いた。併せて読まれたい。

 １．SEC 緊急リリース文

　SEC委員長のゲイリー・ゲンスラー(Gary Gensler)は、「サイバー・リスクは、SECの3部構成の重要任務の一部分、特に投資家を保護し、秩序ある市場を維持するという目標に関連している。今回提案された規則と規則改正は、サイバーセキュリティの準備を強化することを目的としており、サイバーセキュリティの脅威や攻撃に対するアドバイザーや資金の回復力に対する投資家の信頼を高める可能性がある」と冒頭述べた。

。

Gary Gensler委員長

　今回提案された規則改正案は、アドバイザーとファンドが、アドバイザリー・クライアントやファンド投資家に損害を与える可能性のあるサイバーセキュリティ・リスクに対処するために設計された書面によるサイバー・セキュリティ・ポリシーと手順を採用し、実施することを要求する。また、提案された規則改正案は、アドバイザーまたはそのファンドまたは民間基金の顧客に影響を与える重大なサイバーセキュリティ・インシデントを新しい機密性を持った様式でSECに報告することをアドバイザーに要求するものである。

　また、サイバーセキュリティ・インシデントに関連する投資家をさらに保護するために、この提案は、アドバイザーとファンドが、過去2年間に発生したサイバーセキュリティ・リスクと重大なサイバーセキュリティ・インシデントをパンフレットや登録明細書に公に開示することを要求している。

　さらに、今回の提案は、サイバーセキュリティ関連情報の可用性を向上させ、SECの検査および法執行能力を促進するために設計されたアドバイザーとファンドに対する新しい記録管理要件を定めるものである。

　本提案は、SEC.govサイト と連邦官報(Federal Register)に掲載される。パブリックコメント期間は、SECのウェブサイト上で提案リリース内容が公開された後60日間、または連邦官報に提案リリースが公表された後30日間、いずれかの期間長い期間となる。

２．概要報告(Fact Sheet)

１．要旨

　証券取引委員会は、提案された新しいサイバーセキュリティ・リスクすなわちサイバーセキュリティの準備を強化し、サイバーセキュリティの脅威と攻撃に対する投資アドバイザーと投資会社の回復力を向上させるための管理ルールと改正を検討した。

　具体的には、提案は次のようになる。

① サイバーセキュリティ・リスクに対処するために合理的に設計された書面によるポリシーと手順を採用および実装するようにアドバイザーと資金に要求します。

② 提案されたフォームADV-Cについて、重大なサイバーセキュリティ・インシデントを委員会に報告するようアドバイザーに要求する。

③ サイバーセキュリティのリスクとインシデントに関連するアドバイザーとファンドの開示責務を強化する。

④ 特定のサイバーセキュリティ関連の帳簿と記録を維持、作成、および保持するために、アドバイザーとファンドに要求する。

(1)規則改正の背景

　アドバイザーとファンドはわが国の金融市場で重要な役割を果たしており、重要な事業運営のためにテクノロジーにますます依存している。 アドバイザーとファンドは、直接および証券保管機関(custodians)、ブローカー、ディーラー、プライシング・サービス(注4)、その他のテクノロジーベンダーなどのサービスプロバイダーを通じて、相互接続されたさまざまなシステムとネットワークにさらされ、それらに依存している。その結果、多くのサイバーセキュリティ・リスクに直面し、重大なシステムまたはプロセスの障害を引き起こしたり悪化させたりする可能性のあるサイバーセキュリティ・インシデントが発生する可能性がある。

　今般、提案された規則の改正案は、アドバイザーとファンドのサイバーセキュリティへの備えに関する懸念に対処し、クライアントと投資家に対するサイバーセキュリティ関連のリスクを軽減するように設計されている。また、サイバーセキュリティのリスクとインシデントに関するアドバイザーとファンドの開示責務を改善し、システミックリスクを評価し、アドバイザーとファンドを監督するSECの能力を強化する。

 (2) 提案された規則改正案

(ⅰ)サイバーセキュリティ･リスク管理規則案

 　今回の提案には、「1940年投資顧問法(Investment Advisers Act of 1940)」に基づく新しい規則206（4）-9と｢1940年投資会社法(Investment Company Act)｣に基づく新しい規則38a-2（これらを総称して「提案されたサイバーセキュリティ・リスク管理規則案という(以下、管理規則案)という」）が含まれている。 管理規則案には、アドバイザーとファンドに対しサイバーセキュリティ・リスクに対処するために合理的に設計されたポリシーと手順を採用および実装するための要求内容が定められている。

　管理規則案には、アドバイザーとファンドがサイバーセキュリティポリシーと手順で対処する必要がある特定の一般的な要素がリストされている。

　アドバイザリー・クライアントやファンド投資家に損害を与えたり、クライアントや投資家の個人情報を含むアドバイザーやファンド情報への不正アクセスや使用につながる可能性のある運用リスクやその他のリスクに対処するのに役立つ。

(ⅱ)重大なサイバーセキュリティ・インシデントの報告義務

　今回の提案には、新しい様式ADV-Cを提出することにより、ファンドまたはプライベートファンドのクライアントに代わって、アドバイザーが重大なサイバーセキュリティ・インシデントをSECに報告することを要求する新しい規則204-6に基づく報告要件が含まれている。これらの機密性を持ったレポートは、SECがサイバーセキュリティの影響を監視および評価するのを支援することにより、投資家を保護するための委員会の取り組みの効率と有効性を強化するとともに、アドバイザーとそのクライアントのサイバー事故および金融市場に影響を与える潜在的なシステミックリスクをより広く評価する。

　現在、アドバイザーは、Form ADVの物語風パンフレットまたはパート2Aで、見込み顧客と現在の顧客に開示を提供している。これは、公開されており、顧問が使用する主要な顧客向け開示文書の1つである。フォームADVパート2Aには、投資顧問の商慣行、手数料、リスク、利害の対立、および懲戒情報に関する情報が含まれている。今回の提案は、フォームADVパート2Aを改正して、サイバーセキュリティのリスクとインシデントをアドバイザーや見込み客のクライアントに開示することを要求する。

　アドバイザーと同様に、将来および現在の投資家にサイバーセキュリティ関連の開示を提供するための資金も必要になる。具体的には、提案された改正案では、ファンドの登録届出書の過去2会計年度につき構造化データ言語　(注5)でのタグ付けが要求される。この提案には、フォームN-1A、フォームN-2、フォームN-3、フォームN-4、フォームN-6、フォームN-8B-2、およびフォームS-6の修正が含まれている。

(ⅲ)記録の保存義務

　1940年投資顧問法に基づく帳簿および記録の規則である規則204-2は、アドバイザーの投資顧問事業に関連する帳簿および記録を維持、作成、および保持するための要件を定めている。今回の提案は、アドバイザーに維持することを要求するためにこの規則を修正するであろう。

　提案されたサイバーセキュリティ・リスク管理ルールおよびサイバーセキュリティ・インシデントの発生に関連する特定の記録責務を明記した。同様に、1940年投資会社法の下で提案された規則案38a-2は、ファンドが提案された規則の下で指定されたサイバーセキュリティ・ポリシーと手順およびその他の関連記録のコピーを維持することを要求する。

３．SEC連邦行政規則集(CFR)の改正案の詳細目次

　規則改正案は、全243頁と大部である。筆者は時間をかけた翻訳を行いたいところであるが、わが国の研究機関等が取り上げるであることが予想されることから、ここでは詳細な目次のみ原文で挙げる。

TABLE OF CONTENTS
I. INTRODUCTION
A. Adviser and Fund Cybersecurity Risks
B. Current Legal and Regulatory Framework
C. Overview of Rule Proposal
II. DISCUSSION
A. Cybersecurity Risk Management Policies and Procedures
1. Required Elements of Advisers’ and Funds’ Policies and Procedures
a. Risk Assessment
b. User Security and Access
c. Information Protection
d. Threat and Vulnerability Management
2. Annual Review and Required Written Reports
3. Fund Board Oversight
4. Recordkeeping
B. Reporting of Significant Cybersecurity Incidents to the Commission
1. Proposed Rule 204-6
2. Form ADV-C
C. Disclosure of Cybersecurity Risks and Incidents
1. Proposed Amendments to Form ADV Part 2A
2. Cybersecurity Risks and Incidents Disclosure
3. Requirement to Deliver Certain Interim Brochure Amendments to
Existing Clients
4. Proposed Amendments to Fund Registration Statements
Ⅲ. ECONOMIC ANALYSIS
A. Introduction
B. Broad Economic Considerations
C. Baseline
1. Cybersecurity Risks and Practices
2. Regulation
3. Market Structure
D. Benefits and Costs of the Proposed Rule and Form Amendments
1. Cybersecurity Policies and Procedures
a. Benefits
b. Costs
2. Disclosures of Cybersecurity Risks and Incidents
a. Benefits
b. Costs
3. Regulatory Reporting of Cybersecurity Incident
a. Benefits
b. Costs
4. Recordkeeping
a. Benefits
b. Costs
E. Effects on Efficiency, Competition, and Capital Formation
F. Alternatives Considered
1. Alternatives to the Proposed Policies and Procedures Requirement
a. Require Only Disclosure of Cybersecurity Policies and
Procedures Without Prescribing Element
b.Require Cybersecurity Policies and Procedures with More
Limited Prescribed Elements
c.Require Specific Prescriptive Requirements for Addressing
Cybersecurity Risks
d.Require Audits of Internal Controls Regarding Cybersecurity
e. Vary Requirements of the Proposed Rules on Cybersecurity
and Procedures for Different Subsets of Advisers and Funds
f. Administration and Oversight of Cybersecurity Policies and
Procedures
2. Modify Requirements for Structuring Disclosure of Cybersecurity
Risks and Incidents
3.Public Disclosure of Form ADV-C
IV. PAPERWORK REDUCTION ACT ANALYSIS
A. Introduction
B. Rule 206(4)-9
C.Rule 38a-2
D.Rule 204-2
E.Rule 204-6
F.Form ADV-C
G.Form ADV
H. Rule 204-3
I.Form N-1A
J.Form N-2
K.Form N-3
L.Form N-4
M. Form N-6
N.Form N-8B-2 and Form S-6
O.Investment Company Interactive Data
P.Request for Comment
V. INITIAL REGULATORY FLEXIBILITY ACT ANALYSIS
A. Reason For and Objectives of the Proposed Action
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
B. Legal Basis
C. Small Entities Subject to the Rules and Rule Amendments
1. Small Entities Subject to Proposed Rule 206(4)-9, Proposed Rule 204-
6, Proposed Form ADV-C and Proposed Amendments to Rule 204-2,
Rule 204-3, and Form ADV Part 2A
2. Small Entities Subject to Proposed Rule 38a-2 and Proposed
Amendments to Fund Registration Forms
D. Projected Reporting, Recordkeeping and Other Compliance Requirement
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3.Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6
5. Form ADV-C
6. Proposed Amendments to Form ADV Part 2A
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rule 485 and
Rule 497 under the Securities Act, and Rule 11 and Rule 405 of
Regulation S-T
E.Duplicative, Overlapping, or Conflicting Federal Rules
1. Proposed Rule 206(4)-9
2. Proposed Rule 38a-2
3. Proposed Amendments to Rule 204-2
4. Proposed Rule 204-6 P.187
5. Form ADV-C
6.Proposed Amendments to Form ADV
7. Proposed Amendments to Rule 204-3
8. Proposed Amendments to Fund Registration Forms, Rules under the
Securities Act, and Regulation S-T
F. Significant Alternatives
1. Proposed Rule 206(4)-9
2.Registration Forms, Rules under the Securities Act, and Regulation S-T
3. Proposed Rule 204-6 and Form ADV-C
1. Proposed Amendments to Form ADV and Rule 204-3
G.Solicitation of Comments
VI. CONSIDERATION OF IMPACT ON THE ECONOMY
VII. STATUTORY AUTHORITY
(以下、略す)

*****************************************************

(注1) Business Development Companies(BDC): 米国において1940年投資会社法（Investment Company Act of 1940）を根拠法として設立された中堅企業や新興企業等の事業開発を金融面及び経営面からサポートする投資会社のこと。BDCは、1980年に、中小及び新興企業への資金供給等を促す目的で誕生したもので、形態はクローズド・エンド型のファンドであり、ニューヨーク証券取引所やナスダック証券取引所に上場している。

(注2) SECの投資管理部門の開示レビューおよび会計監督部(Division of Investment Management’s Disclosure Review and Accounting Office :DRAO)は、投資信託、為替取引ファンド(ETF)、クローズドエンドファンド、変動保険商品、投資信託、および同様のオープン型投資ファンド(注3)に関する目論見書・設立趣意書 (prospectuses)、委任状説明書(proxy statements)、株主報告書(shareholder reports)などの提出書類の見直しを担当している。何百万人ものアメリカ人がこれらの資金を使って、退職金、子供の教育、その他の重要な財政目標に投資しており、SECは、これらの投資家が情報に基づいた投資決定を行うために必要な情報を確実に得られるように取り組んでいる。(https://www.sec.gov/investment/fund-disclosure-at-a-glance から一部抜粋､仮訳)

(注3) mutual fund: 個人から集めた資金を特定の専門家（ファンドマネージャー）に管理・運営を委ね、有価証券などに投資し、その収益を出資額に応じて分配する金融商品。わが国では1951年証券投資信託法に基づいて誕生した。

　投資対象は株式・公社債等の有価証券で、投資家から集められた資金で作られた信託財産の運用は専業の投資信託委託会社が行い、管理・処分は信託会社が、販売や換金は証券会社や登録金融機関（証券業務の登録を受けた金融機関）が行う。

　運用対象が公社債のみか株式を含むかによって公社債投資信託と株式投資信託に大別され、前者は安全性を後者は収益性をめざしている。投資信託には外貨建てのものもみられるが、これには為替変動リスクがある。(https://www.shiruporuto.jp/public/document/container/yogo/t/toshi_shintaku.html )から引用。

(注4) プライシング･サービスとは、企業の取締役会によって指定された企業がS＆PのJ.J  ケニー( J.J. Kenny Co., Inc)およびムーディーズ(Moody's Investors Service, Inc.、Moody's Analytics, Inc. ならびに（又は）これらの者のライセンサー及び関連会社をいう)から書面による保証を得て、そのような指定がS＆Pおよびムーディーズによって平均市場価格( AMPS)に割り当てられた格付けを損なうことはないことを条件とするもの｡

(注5) 構造化データとは、項目の形式や順序など、明確に定義された構造に従って記述、配置されたデータ集合のこと。プログラムによって自動処理するために用いられることが多い。(IT用語辞典(https://e-words.jp/w/%E6%A7%8B%E9%80%A0%E5%8C%96%E3%83%87%E3%83%BC%E3%82%BF.html)から抜粋)

***************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

2021年11月10日英国最高裁判所はRichard Lloyd対Google LLC裁判で消費者代表よる集団訴訟につき原告適格を全会一致で却下(その2完)

3.控訴院判決の主な論点・争点

　冒頭の述べた通り、本裁判は逆転が続いた裁判である。最終的には最高裁の判断が優先されることは言うまでもないが、本ブログでこれまで述べた通り、DPA2018やUK GDPR等の解釈や運用をめぐり更なる類似のクラス・アクションが予想される。

　その意味で､本ブログではあえてBird & Bird LLP　と UK Human Rights blogの控訴院判決の解説内容を引用する。

3.1  Bird & Bird LLP　の控訴院判決解説

　2019.12「CPR 19.6の下での集団訴訟データ保護侵害訴訟は、ロイド対グーグルの控訴院によって緑色の光を与えられている」を抜粋、仮訳する。

　Loyd vs. Google LLC[2019]EWCA Civ 1599、大規模なデータ侵害の主張の英国控訴院による最近の判決は、CPR 19.6の運用に役立つ洞察を提供した。CPR 19.6は、「同じ利益」を持つ個人が代表的な能力で集団での裁判請求を行うことを可能にする。英国「2018年データ保護法(以下、DPA 2018という)」の制定に続いて、これらのタイプの大規模なデータ侵害の申し立ては劇的に増加すると予想されるが、特に「同じ利益」を持つクラスがどのように特定されるかに関しては、CPR 19.6の解釈、運営が懸念されている。

　ロイド対グーグル裁判は、DPA 2018ではなく「1998年のデータ保護法(DPA1998)」(注3)に基づいて決定されたが、(1)大規模なデータ侵害行為の代表クラスが「同じ利益」を持っているかどうか、および(2)そのクラスがCPR 19.6に定められた基準に従って容易に識別できるかどうかを判断するのかに関し、非常に役立つものといえる。

(1)控訴の背景

　法定義務違反の損害賠償を求めるこの主張は、400万人以上の英国のiPhoneユーザー(「代表クラス」)に代わって、消費者権利団体の元ディレクターであるリチャード・ロイド氏によってもたらされた。いわゆる「Safari回避策」により、GoogleはSafariのデフォルト設定を回避するユーザーのデバイスにクッキーを設定し、サードパーティのクッキーをブロックし、Googleが特定のウェブサイトでのユーザーの活動のタイミングと時には場所に関するデータを収集することができた。このブラウザで生成された情報(以下、「BGI」という)は、広告主がGoogleに支払って特定のオーディエンスに対して広告をターゲットにする顧客利益団体を作成するために使用された。

　最初の例では、高等法院の裁判官は、請求が民事訴訟規則民事訴訟規則第 63 条およびそれを　補完する同実施細則 63（PD 63）の下で指定された管轄ゲートウェイ内に収まらなかったため、ロイド氏は米国のGoogleで裁判手続きを行えないと判断した。これは、裁判官が、請求者が主張する事実が、DPAの第13条の意味の範囲内で代表クラスによって「損害」が被ったことを示していないと考えたためである。このため、ロイド氏は控訴した。

(2)控訴院は、控訴を許可する上で以下の3つの問題を検討した。

問題 1 - 請求者は、申し立てられた違反の種類に対する損害賠償を回復できるか?

問題 2 – 代表クラスのメンバーは同じ利益を持ち、CPR 19.6 の下で識別可能であるか?

問題 3 – このような状況で新たな裁量を行使するために控訴院は開放されているか?

　その結果は次のとおりである。

問題 1 ：控訴院は、個人データの管理を失うだけでは、金銭的損失がない場合でも、請求の目的だけで損害を与える可能性があると判断した。裁判所は、BGIは売却可能であり、各請求者が自分の私的なBGIに対する支配権を失ったとして、独自の経済的価値を持っていると考えた。控訴院は、グラティ対MGN株式会社事件は、それ以前の事実にたとえによって適用されることを受け入れた。グラティ事件はDPAに関する決定ではなく、個人情報の悪用に関するケースであったが、控訴院は、DPA第13条とMPI(Misuse of Private Information ('MPI'))の両方がヨーロッパの法律の下でプライバシーに対する同じ中核的権利から発せられることを受け入れた。グラティ判決は、MPIの損害賠償が金銭的損失または苦痛の証拠なしに利用可能であるという権限であったため、裁判所は「BGIデータに対する代表者の請求者の制御の喪失が、同様にDPAの目的のために補償されることもできないならば、原則として間違っているだろう」と述べた。同裁判所は、状況において、この違反は、DPAの第13条の下で補償に無実の当事者を引き起こす目的で損失を構成することができると主張した。

問題 2 - 高等法院が違反による損害が生じないように判断したのは間違っていることを確立した上で、控訴院は、請求者がCPR 19.6の下で代表グループを結成する能力を再考した。控訴院は、高等法院の裁判官は、請求の目的のために「損害」の欠如の彼の(誤った)解釈の結果として、あまりにも狭く「同じ利益」というフレーズを解釈したと主張した。高等法院は、各請求者への損害は、彼らの同意なしにGoogleによって取られた彼らのBGIの制御の喪失であることを受け入れた。これは、同じ申し立てに起因する一般的な損失であり、同じ状況で、各請求者の同じ期間内に発生した。高等法院ジェフリー・ヴォス(Sir Geoffrey Vos)判事は判決で次のように述べている。

Sir Geoffrey Vos 判事

　「...私が述べた方法で主張が理解されると、Googleが他のすべての人に適用されなかった1人の代表請求者に防御を上げることができるとは考えられない。間違いは同じであり、主張された損失は同じである。したがって、代表当事者は、関連する意味で同じ利益を持っている」

　裁判所は、個々の請求者が、自分の個人的な状況のために、違反の結果として特に大きな損失または苦痛を被った可能性を認めた。これは、代表的な行動の下で統一賞として利用可能なものよりも大きな金額を請求者に与えるだろう。しかし、裁判所は、制限期間が満了し、「代表請求者は、少なくとも理論的には、追加の損失を請求したい場合は、当事者として参加しようとする可能性がある」と指摘した。裁判所は、一律の合計の目的は、個人データの制御を失ったすべての請求者に対する基本的な違反を説明することであると表明した。

　CPR 19.6の下での問題を考慮して、控訴院は、早ければ「Emerald Supplies Ltd v. British Airways plc事件」の訴訟法を引用して、確立された法的原則に言及した。この判決から、裁判所はこの問題を一般的な原則の1つと考えており、英国法に基づく代表的な主張の開発や拡大ではない。これらの線に沿って、ジェフリー・ヴォス卿は次のように述べている。

「この種の場合に代表的な行動を許可することは、ルールの例外というよりは.むしろルールの適用である」

(3)代表クラスは識別可能か?

　代表クラスが「識別可能」であるかどうかを判断する際に、控訴院は、彼らが手続きのすべての段階でロイドと同じ関心を持っていたので、特定の人が代表クラスのメンバーシップの資格があるかどうかが唯一の要件であると判断した。これは、GoogleがユーザーのBGIが収集されたデータを保持していたので、事実に満足していた。分類を誤って覚えたり悪用したりする事件があるかもしれないが、これらは実用的な困難であり、代表クラスを識別しにくいものにしない。控訴院は、訴訟法に従って、請求者の数が代表的な訴訟手続きを使用する能力に影響を与えることができないことを強調した。

問題 3 –：最後に、控訴院は状況における高等法院の裁量の行使を検討した。控訴院は、高等法院は、その他の調査結果、すなわち請求者がCPR 19.6の下で同じ関心も均一な実行可能な損失も持っていないという他の調査結果によって、この問題に影響を受けた可能性が非常に高いとコメントした。これに基づき、控訴院は独自の裁量を行使することを決定した。代表的な行動は、これらの主張を追求する唯一の方法であり、その行動はユーザーデータに関するGoogleの義務の広範かつ繰り返し違反に比例することであったため、請求を進めることが許可された。

(4)これは、データ侵害に関する集団訴訟の津波の始まりを告げであろうか?

　この控訴院の決定は、「同じ利益」を持つ代表者がCPR 19.6の下で行動を起こす可能性のある状況と、現代のデータ侵害への適用性を明確にした。特に、控訴院が、既存の法的原則の自然な適用として決定を提示していることは特に注目に値する。この時点まで、請求者がすべてCPR 19.6の下で「同じ利益」を持っていることを示すのは非常に困難であった。今回の控訴院の決定は、請求者が代表的な行動を形成するために同じ利益を持つクラスを作成する方法を明確にするために何らかの方法を導くであろう。

　本ブログのコメンテーターは、GDPRの到来はデータプライバシー・クラス・アクションの行動の津波をもたらすだろうと推測したが、2018年に書いたように、これはまだ膨大な数で具体化する予定である。しかし、データ漏洩の申し立ては増加している。2019年10月、英国高等法院は、約50万人の顧客がCPR 19.10の下でブリティッシュ・エアウェイズに対してグループ訴訟命令の申し立てを行うことができると主張した。請求者は、ブリティッシュ・エアウェイズがGDPRに違反してハッカーによって個人および支払いの詳細を不正に収集することを許可したと主張している。企業による個人データの使用が厳しく、GDPRの導入に伴い、CPR 19.6の下でもグループ訴訟命令を通じても、このような集団訴訟タイプの裁判請求の頻度は将来的に劇的に増加する可能性がある。

3.2  UK Human Rights blog「ブラウザで生成された情報：ユーザーにとって「制御の喪失」により、検索エンジンのユーザーは補償を受けることができる」の主な論点

　控訴人ロイド氏は、被控訴人たるGoogleがその広大な広告ネットワークから広告を表示しているウェブサイトへの訪問を識別し、かなりの量の情報を収集することができたと主張した。すなわち､(1)特定のWebサイトにアクセスした日時、(2)ユーザーがそこに滞在した時間、(3)どのページにどのくらいの時間アクセスしたか、(4)どの広告がどのくらいの時間表示されたかを知ることができる。さらに(5)場合によっては、ブラウザのIPアドレスを使用して、ユーザーのおおよその地理的位置を特定できる。時間の経過とともに、Googleは、Webサイトにアクセスした順序と頻度に関する情報を収集でき、実際に収集した。

　ロイド氏は、このブラウザの生成情報（「BGI」）の追跡と照合により、Googleはユーザーのインターネットサーフィンの習慣や場所だけでなく、ユーザーの興味や習慣、人種、民族性、社会階級、政治的または宗教的見解または所属、年齢、健康、性別、セクシュアリティ、および財政状態、さらに、グーグルは十分に類似したパターンを表示するブラウザからBGIを集約し、「サッカー愛好家」や「現役愛好家」などのラベルを持つグループを作成したと言われている。次に、GoogleのDoubleClickサービスは、これらのグループを購読している広告主に提供し、広告を誘導したい人々のタイプを選択できるようにした。

【控訴院の結論】

　第一に、請求者は、1998年データ保護法第13条(「DPA」)に基づくデータの制御権の喪失に対する損害賠償を回収し、金銭的損失または苦痛を証明することなく、データ保護指令(以下「指令」)第23.1条を実施しうる。

    第二に、ロイド氏が代表しようとしたクラスのメンバーは、民事訴訟規則の19.6（1）に基づいて互いに同じ利益を持っており、識別可能であった。

    第三に、以下の裁判官は、代表訴訟として訴訟を進めることを許可するために彼の裁量を行使すべきであった。

　控訴院は、EU保護指令の第23.1条とDPA 1998の第13条（1）項の両方で、因果関係と結果として生じる損害の証拠が必要であるというGoogleの主な主張を却下した。

　第13条の「(違反)の理由で損害を被った個人は補償を受ける権利がある」という言葉は、欧州人権条約第8条および2000年調印のEU基本権憲章の第8条の文脈で読まれ、グラティでの決定に関して、そのような解釈を正当化した。そのように法律を解釈することによってのみ、個人はそのような権利の侵害に対する効果的な救済策を提供することができると判示した。

　この主張は代表者による手続きの異常な使用であったが、裁判所はそれが当局に許容されると判断した。ロイド氏がすべてを代表しようとした申立人は、同じ期間に同じ状況で同意なしにGoogleにBGI（ブラウザで生成された情報）を取得させ、個々の申立人に影響を与える個人的な状況（苦痛または抽象化されたデータの量）。代表されたクラスはすべて同じ主張された間違いの犠牲者であり、すべて同じ損失、すなわち彼らのBGIに対するコントロールの喪失を被っていた。個々の代表された請求者に影響を与える事実に依存しないというロイド氏の譲歩は、最小分母に請求される可能性のある損害を軽減する効果があった。しかし、それは、代表された請求者が請求に対して同じ関心を持っていなかったことを意味するものではなかった。Googleが他のすべてに適用されなかった1人の代表された原告に防御を上げることができると想像することは不可能であった。

　控訴院は高等法院の決定を覆し、ロイド氏にロンドンのメディア・コミュニケーション裁判所でのGoogleに対する代表的な訴訟を進める権利を与えた。

3.3 最高裁判決がDPA2018と UK GDPRの解釈への影響の可能性

　DPA 1998はEUのGDPRに取って代わられ、DPA 2018が制定された。これは、発効前の作為または不作為を除いて、DPA 1998を廃止および置き換えられた。英国が欧州連合から離脱した後、GDPRはUK GDPRとして英国国内法に保持され、DPA 2018（UK GDPRとともに「英国データ保護法」という）によって引き続き補足される。(注8)ロイド氏のクレームの事実はDPA 1998に基づいてのみ発生したため、最高裁判所は英国データ保護法を考慮しなかった。

　ただし、今回の最高裁の決定は、英国のデータ保護法、特に英国のデータ保護の違反の結果として被った損害に対して補償を請求できるようにするUK GDPRの第82条およびデータ・プロセッサまたはデータ・コントローラのいずれかによる法規制に関し、DPA2018第169条(その他のデータ保護法の違反に対する補償)の解釈に影響を与える可能性がある。

　これら2つの条項の言語は、主に「損害(damage)」と「侵害(infringement)」(UK GDPR第82条)または「違反(contravention)」(DPA 2018の第169条)の間に引き出される区別があるという点で、DPA 1998の第13条の言語を反映している。

　補償の権利は「損害」から生じなければならず、単なる法律義務の侵害ではないという最高裁判所の判決は、同様にそこに当てはまるように思われる。

　とはいえ、UK GDPRの第82条では、「非物質的損害(non-material damage)」を補償の権利を生じさせるものとして明示的に言及しており、GDPR詳説85(Recital85)と並行して読むと、「個人データの侵害は、物理的、物質的、または個人データの管理の喪失など、自然人への重大でない損害…」（強調を追加））、データ主体の管理権の喪失に対して補償が与えられる可能性がある。

　最近、オーストリア共和国の最高裁判所(OGH)は、同様の質問を欧州司法裁判所に付託した（GDPRの第82条で原告が損害を被ったことを要求しているかどうか、または侵害自体が補償に十分であるかどうか）、(注9)これらはGDPRに関してより決定的な決定を提供するであろう。とにかく、コントロール権の喪失などの重大でない損害賠償が利用可能であったとしても、最高裁判決は「彼または彼女の個々の事件における違法な処理の範囲を確立することが依然として必要である」ことを明確にし、そのような理由で提起されている代表訴訟を事実上排除している。

　さらに、最高裁判所は、一般的にEU法またはデータ保護指令(GDPRに先行する)の特定の文脈のいずれでも権限を見つけ出さなかったので、「損害」という用語は、重大な損害や苦痛を引き起こさない法的権利の侵害を含むと解釈されるべきであると示唆した。EU法の引用は、裁判所によるさらなる扱いに応じて、UK GDPRの下で行われた将来の裁判での主張に影響を与える可能性がある。

**********************************************************************************:*******

(注8) (1）データ移転と法的枠組み

　欧州委員会は、2020 年 12 月 24 日に英国と合意した通商・協力協定の中で、移行期間終了後も十分性認定の決定が採択されるまで最大 6 カ月間、EEA から英国への個人データの移転を認めるとした。当初の猶予措置期間は 4 カ月間とされており、その後、英国・EU 双方が異議を唱えなかった場合は、さらに 2 カ月間の猶予期間が付与される。なお、英国からEEA への個人データ移転に関しては、英国の EU 離脱前と同様に制限を受けない。

　EU の GDPR 規則は、移行期間終了後は、2018 年 6 月に採択された 2018 年 EU 離脱法に基づいて英国法に置き換えられ、移行期間終了後は英国法として適用され、GDPR を英国の事情に合わせて補完し調整する「2018 年データ保護法」も継続して適用される。

　2019 年 2 月 28 日には、英国法への置き換えにあたり、移行期間終了後、英国のみを適応範囲とするのに必要な技術的修正を定める第二次立法として「2019 年データ保護、プライバシー、電子取引（改正等）（EU 離脱）規則」が制定された8。これらの適用法令とそのリンクは、以下に示すとおりである。英国の GDPR（UK GDPR）の規制監督当局は、これまでと同様に、情報コミッショナー事務局（ICO：Information Commissioner's Office）が担う。(2021 年 2 月 日本貿易振興機構（ジェトロ）ロンドン事務所｢海外調査部移行期間終了後の英国ビジネス関連制度:データ保護｣から一部抜粋。

(注9) Clyde & Co LLPの解説「 Highest EU court will decide on GDPR damages」 を一部仮訳する。

一般データ保護規則(「GDPR」)第82条に基づく非物質的損害賠償訴訟を扱う場合、オーストリア共和国の最高裁判所(OGH)は、欧州連合(CJEU)司法裁判所に次の質問を参照することを決定した。

(1) GDPR第82条に基づく報酬の授与には、GDPRの規定の侵害に加えて、原告が損害を受けたこと、またはGDPR自体の規定の侵害が補償に十分である必要があるか?

(2) EU法の下で、有効性と同等性の原則に加えて、損害賠償の決定に関する追加の要件は必要か?

(3) EU法と互換性のある立場は、侵害によって引き起こされた単なる迷惑を超えた少なくとも何らかの重力の侵害の結果または影響があるという非物質的損害賠償(compensation for non-material damages)を与える要件であると考えられるか?

 事件の事実

　原告はオーストリア郵便サービスのデータ・プライバシー・スキャンダルの影響を受け、郵便サービスがオーストリアの人口全体の政治的所属に関する情報を処理し、販売したことを明らかにした。原告は、彼が極右政党(FPÖ)に「高い親和性」を起因したので、これについて怒った。したがって、彼は彼の偉大な内なる不快感のためにEUR 1,000の金額でオーストリア･ポストによる非物質的損害賠償を受ける権利があるという意見を述べた。ウィーン地方裁判所(Vienna Regional Court)とウィーン高等地方裁判所(Vienna Higher Regional Court)が重大な損害の欠如に対する賠償請求を却下した後、オーストリアの最終裁判所として、ウィーンのオーストリア最高裁判所が決定しなければならなかった。

＊オーストリア自由党（ドイツ語: Freiheitliche Partei Österreichs、略称：FPÖ ）は、オーストリアの政党である 。独立連盟（ドイツ語版）を前身とする 極右政党 で、ポピュリズム・欧州懐疑主義・反移民・反ムスリムを掲げる 。現在の党首はノルベルト・ホーファー。(筆者がWikipedia から引用)

オーストリアの裁判所構成から抜粋

最高裁判所の決定

　オーストリア最高裁判所は、重大な損害の欠如に対するGDPR第82条(1)に基づく請求の却下は、CJEUの照会なしに認められないというドイツ連邦憲法裁判所の立場を明確に共有しなかった(2021年1月14日付の決定、ケース番号1 BvR 2853/19 を参照)、CEUへの補償のためのそのような請求のしきい値の質問に言及した。しかし、予備的な判決を得ることは、EU法の統一的な適用の利益であると考えられている。

　その決定では、オーストリア最高裁判所は、まず、事件法と法的文献における議論の状態を分析し、ドイツからの情報源も考慮に入れた。裁判官は、EU議員が非物質的損害賠償責任を確立する際に、GDPR侵害の影響を受ける個人の感情的な状態に対する最小限の影響がそのような主張を引き起こすことを明確に念頭に置いていないと仮定することを示していた。原告が求めた解釈の結果、効果はごくわずかな感情的な効果でさえ補償を可能にすべきであるという、一般的にEU法とは異質である補償の考えを超えた懲罰的損害につながるであろう。

実務的な影響

　オーストリア最高裁判所が、GDPR訴訟の現在最も議論の余地のある問題の1つを明確にするためにCJEUに提示する機会を得たことは非常に肯定的な発展といえる。GDPRが侵害された場合に非物質的損害の補償を受ける権利のあるデータ対象はいつか?この質問は現在、第82条GDPRに関するドイツの判例法において非常に異なる方法で答えられているので、法的確実性の理由から緊急に明確にする必要がある。(以下、略す)。

*******************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

2021年11月10日英国最高裁判所はRichard Lloyd対Google LLC裁判で消費者代表よる集団訴訟につき原告適格を全会一致で却下(その1)

　

Last Updated: April 30,2024

　筆者の手元に2022.2.1 のConsumer Privacy World記事「Google LLC v Lloyd – Major Representative Action Denied」が届いた。2021年11月10日の英国最高裁判所(UK Supreme Court)の判決内容の解説記事である。

　2021年11月10日、英国最高裁判所(注1) は、リチャード・ロイド(Richard Lloyd：以下、ロイドという)氏(注2)がGoogle LLCに対する代表的な手続きを持ち込もうとした試みを全会一致で却下したという内容である。

Richard Lloyd氏

　消費者保護の代表として控訴院によって明言されたロイド氏は、原告のデータの違法な処理の後、「1998年データ保護法(以下、「DPA 1998」(注3)という)第13条に基づいて、約400万人のApple iPhoneユーザーの損害賠償を求めた。彼は、30億ポンド(約4650億円)の請求額の根拠につきGoogleを上陸させたであろうユーザー1人あたり£750(約41000円)として統一的な損害賠償を提案したのである。

　実は、筆者が調べたところ、この最高裁判判決は最高裁判所自身が詳しく解説していることが判明した。しかし、その内容をあらためて読み直したところ判決要旨のみかと思いきや実は判決日の同裁判所の公式動画8分間も見ることができる。

　また、さらに調べたところ、同裁判に関するCleary Gottlieb Steen & Hamilton LLPの詳しい解説があった。グローバルな大手国際法葎事務所クリアリー・ゴットリーブ・スティーン&ハミルトンLLP(Cleary Gottlieb Steen & Hamilton LLP)は、ニューヨーク市のワン・リバティ・プラザに本社を置く国際的な法律事務所である。同社は現在、ワシントン、D.C、香港、北京、ロンドン、ローマ、ミラノ、ブリュッセル、モスクワ、フランクフルト、ケルン、パリ、ブエノスアイレス、サンパウロ、アブダビ、ソウルに追加のオフィスを持っており、世界中で1,200人以上の弁護士を雇用している。

　さらに、控訴院判決について、筆者はBird & Bird LLPの解説「　英国民事訴訟規則第19.6条の下での集団訴訟データ保護侵害訴訟はGoogle LLC v Lloydの控訴院によって緑色の光を与えられた」や2019.10.４付けの UK Human Rights blog「ブラウザで生成された情報：ユーザーにとって「制御権の喪失」により、検索エンジンのユーザーは補償を受けることができる(Browser Generated Information: “loss of control” entitles search engine users to compensation)」という解説を読んだ。

　本ブログは単に最高裁の判決のみでなく控訴院判決の内容についても具体的に紹介しつつ、英国のクラス・アクションの動向等やわが国のクラス・アクションのあり方等につき問題提起する目的で論点を整理したい。すなわち、デジタル技術の開発により、法的救済が求められる可能性のある大規模な損害賠償の可能性に対する救済措置並びに新たなクラス・アクションの在り方、法制整備のあり方を考察する点にある。プライバシー法の損害範囲の明確化にも寄与しよう。

　なお、引用した解説文が多いため、内容に重複が発生した点はご理解いただきたい。

　今回のブログは2 回に分けて掲載する。

１．事案の背景と裁判の経緯(Consumer Privacy World記事から抜粋)

Consumer Privacy World記事が同裁判の背景、経緯、主な論点を簡潔にまとめているので初めに紹介する。

(1)Googleの顧客データのユーザｰが気が付かない形での追跡行為の事実と米国企業Googleに対する英国での代表訴訟の手続・方法論

　2011年後半から2012年初めにかけて、Googleは「DoubleClick広告クッキー」(注4)を使用してユーザーのインターネット利用内容を密かに追跡していた。このクッキーにより、Google は、訪問したサイト、アクセス日時、各サイトに費やされた時間などのユーザーに関するデータを収集することができた。その IP アドレスを使用して、クッキーはユーザーのおおよその地理的位置を追跡することさえできる。

　Googleは米国デラウェア州の企業であるため、ロイド氏は当初、英国高等法院(High Court)の許可を管轄外で行う必要があった。Googleは2つの理由でこの英国裁判所での適用問題を争った。

すなわち:

(ⅰ)損害賠償は、それが金銭的損害や苦痛を引き起こしたことを証明することなく、データの「制御権の喪失」のみを理由に、DPA 1988の下で与えることはできない。

(ⅱ)いかなる場合でも請求は、代表者による裁判行動として進むのには適していない。

　2018年10月8日、第一審である英国高等法院　(High Court)判決では、Warby 判事はGoogleに関する手続きに対する許可を拒否し、DPA 1998の下でのデータ保護損害賠償は、違反が個人に金銭的損害または苦痛を与えたという証拠なしには与えられないと結論付けた。

Lord Justice Warby 氏

　しかし、2019年10月2日、英国控訴院(Court of Appeal)はこの決定を取り消した。その主要な判決内容は、商業的利益を視野に入れて行われた同意なしに個人データの卸売りと意図的な悪用に対する民事補償救済策を得る唯一の方法であると述べた高等法院判事ジェフリー・チャールス・ヴォス卿(Sir Geoffrey Charles Vos)によって提供された。

Sir Geoffrey Charles Vos 判事

　2021年11月10日､最高裁判所は、レガット卿(George Andrew Midsomer Leggatt )、リード卿(Robert John Reed Lord Reed)、アーデン女性卿(Mary Howarth Arden　)、セールス卿(Philip James Sales  )とバローズ卿(Andrew Stephen Burrows)5人全員が同意した判決を下した。その際、彼らはGoogleの上告の訴えを認めた。

Robert John Reed 判事：最高裁長官(2020年1月13日就任)

Philip James Sales 判事(2019年1月就任)

George Andrew Midsomer Leggatt 判事(2020年4月就任)

Andrew Stephen Burrows判事(202年6月就任)

Mary Howarth Arden　判事(2022年1月23日退任)

(2)代表訴訟による損害賠償請求

　競争法の分野を除いて、英国議会は、単一の個人が同様に不正行為の影響を受ける人々のクラスに代わって是正を請求することを許可する法律を制定していない。したがって、ロイド氏はこうして英国民事訴訟規則の第19.6(1)(注5)に頼ろうとした。

　すなわち、同規則は複数の人が請求に同じ関心を持っている場合、(a)請求は開始される可能性がある、(b)裁判所は、その利益を有する他の人物の代表者と同じ利益を持つ者の1人または複数の者によって、裁判請求を継続するように命じることができる、というものである。

　最高裁の判事レガット卿(Lord Leggatt卿)は、最初に、先行する判例法の説明と英連邦における代表的な行動の扱いを含む、英国法における集団救済(collective redress)の広範な分析を提供した。

　彼は、デジタル技術の開発が大量危害の可能性を増大させ、したがって、複数の個人の請求を訴訟することの不便または非実用性を、すべての将来の請求者を1つの請求当事者にすることの同様の不便または非現実的性と調和させる必要があることを認めた。

　その後、代表的な手続きの損害賠償を請求する範囲は、請求者が間違って起こらなかったであろう立場に置くために損害賠償が与えられる補償原則によって制限されていると説明した。これを行うには、多くの場合、個別の評価が必要である。高等法院のウォービー判事(Warby J)がそれを発見したのは重要ではなかった。影響を受けた個人の中には、インターネットを頻繁に使う人(heavy internet users)である「スーパー・ユーザー」がいた。彼らは複数の違反の「犠牲者」であり、関連期間を通じてかなりの量の[ブラウザ生成情報]が取得され、使用されていた。他の人は非常に少ないインターネット活動に従事しているだろう".

　唯一の訴訟代理人としてのロイド氏は、Googleの職務違反の影響を受けるすべての個人と同じ利益を共有し、したがって、影響を受けた他の人に代わって代表的な訴訟請求を行う可能性は得られなかったとした。

(3)最も低い共通的分母の定義(The lowest common denominator)

　ロイド氏はまた、彼が代表を求め、損害賠償が与えられる基礎を提供することができると提出したクラスのすべてのメンバーが被った「これ以上削減できない最低限の損害(irreducible minimum harm)」を特定した。ある時に Google の DoubleClick 広告サービスに参加しているウェブサイトにおいてこの「これ以上削減できない最低限の損害」のしきい値は、個人がアクセスした場合に充足される可能性がある｡

　最高裁判事のレガット卿は、最も低い共通分母の定義を「インターネットの使用法(単一のウェブサイトへの1回の訪問を除いて)が不正に追跡され、照合されておらず、DoubleClick広告クッキーを受け取った結果、ターゲット広告を受け取らなかった人」と要約した。これに基づき、Googleが損害賠償請求を見つけるためにその人物に関する個人データを収集または使用したという証拠はないと結論づけた。

(4)個人の個人データのコントロール権の喪失に対する損害賠償請求

　ロイド氏は、各個人に対する重大な損害を示す代替手段として、データ管理者がDPA 1998の要件を遵守しない限り、その個人が些細なことでも些細なことでもなく、また欺瞞的でない場合でも、個人はDPA 1998に基づく補償を回復する権利があると主張した。

＊1998 DPA 第13条の筆者仮訳

第13条 (1) 本法の要件のいずれかのデータ管理者によるいかなる理由による損害を被った者は、その損害に対してデータ管理者からの補償を受ける権利を有する。

(2) 本法のいずれかの要件のデータ管理者によるいかなる理由による苦しみによっても苦しむ者は、その苦痛に対してデータ管理者から補償を受ける権利がある場合

(a) 個人は、また、違反の理由により損害を受ける、または

(b) この違反は、特別目的のための個人データの処理に関連する。

(3）本条により人に対して提起された訴訟において、当該要件を遵守するためにあらゆる状況において合理的に要求されたような注意を払ったことを証明することは弁護である。

　法律の文言の分析に関して、最高裁のレガット卿は「個人が被った『損害』とデータ管理者による法の要件の「矛盾」の区別を引き出し、「損害」が「理由に基づき」矛盾が発生した場合にのみ「その損害に対する」補償権を提供すると述べた。

　その後、EU保護指令第23条の「損害」という用語が物質的な損傷や苦痛を超えて広がっていると解釈できるかどうかを確かめるために、DPA 1998の第13条が実施することを意図したEU法と指令第23条を策定した。彼は、一般的にEU法またはEU保護指令第23条の特定の文脈において、そのような解釈を支持する権限が引用されておらず、国内法がそうしたと主張されていなかったので、より広範な解釈を「損害」とする理由はないと結論づけた。

*筆者追加

DPA 1998第13条は2022年1月3日に改正されている。その背景や内容につき筆者なりに補足する。

(5) 次の問題は何か?

　最高裁判決は、データ保護法違反の損害賠償をイングランドとウェールズに請求しようとする請求者にとって、間違いなく打撃といえる。最高裁のレガット卿は、EU一般データ保護規則(「GDPR」)の導入に続いて、英国データ保護法2018(「DPA 2018」)(注6)に取って代わられたDPA 1998の法定規定のみを考慮していたが、いくつかの点でDPA 2018の規定は置き換えられた法律体制と異なっていない。

　繰り返すが、GDPRでは、被害を引き起こしている行為と損害そのものとの区別が生じる。これらの点で、議論に開かれている一方で、英国の裁判所がロイド氏の主張で取られたアプローチに対して新しい法律の下で同様のアプローチを取ることを期待することは不合理ではないであろう。

　一般の人々はデータ保護権を認識し、このトピックに関する訴訟が増加しているが、本裁判は、第三者の資金提供者やATE保険会社(注7)がそのようなケースに取り組むうえでより慎重になる可能性があるため、現在行われている集団訴訟や軽微なデータ漏洩の申し立ての潮流を食い止める可能性がある。

　請求者が代表的なクラスの問題を回避する方法を見つけようとしても、このケースは、一般的に制御の喪失に対する損害賠償を請求できず、請求は些細なことで、実際の損害の証拠を提供しなければならないことを示しているので、データ保護関連の主張にもより広い影響を与える。

　Richard Lloyd対Google LLC裁判は、データ保護法の違反に加えて通常嘆願される些細な行為やその他の訴訟原因に関する最近の裁判所の決定に加わる(例えば、ウォーレン対DSGリテール株式会社[2021]EWHC 2168(QB)と不注意なデータ漏洩ブログの私たち自身のブログを参照されたい)。この法廷の傾向を考えると、裁判請求者はより集中的なアプローチを取り始め、投機的または些細な主張の数を減らし、より苦痛や悪質な違反に火力を集中させ、実際に戦う価値のある何かがある場所に集中することが望まれる。

 ２．Cleary Gottlieb Steen & Hamilton LLP 「UK Supreme Court Rules in Favour of Google in Data Protection Class Action Claim」(2021.11.16)解説の主な論点

　最高裁判所は、原告の請求は、英国民事訴訟規則（「CPR」）第19.6に基づいて、代表訴訟の個々の請求者が「同じ利益」を持たなければならないという要件を満たしていないという判決を下した。さらに、同裁判所は、DPA 1998に基づくデータ管理者の法律義務の単なる違反を前提として補償請求を行うだけでは不十分であると判断し、補償請求を行うに当たり「重大な損害」が発生する必要があると判示した。

　この判断により、データ主体は、結果として被った損害または苦痛を実証することなく、データ管理者の法定義務の違反に対する補償を回復できないことが明確となった。また、「オプト･アウト」スタイルの代表訴訟をいつ遂行できるかについても重要な説明も提供した。

　なお、英国の代表訴訟や「オプト･アウト」型手続きに関する詳しい論文「イギリスにおける多数当事者訴訟とオプト・アウト型手続」我妻　学　(都法 59 巻 1 号（2018 年 7 月）63頁以下を参照されたい。

2.1 本裁判の背景と上告

　2017年5月、英国消費者保護の擁護者代表であるリチャード･ロイド氏は、約440万人のApple iPhoneユーザーのクラスを代表して、Google LLC（以下､” Google”という）がインターネットの一部を追跡した2011年から2012年までの活動はDPA 1998の第4条に違反すると主張して申し立てを行った。Googleは米国デラウェアの企業であるため、ロイド氏は米国での裁判請求に対応する許可を要求、申請した。

　その後、DPA 1998はEUの｢一般データ保護規則（「GDPR」）｣と「2018年データ保護法（Data Protection Act 2018（以下、“DPA 2018”という）」に取って代わられたが、この訴訟は、データプライバシー訴訟と英国の裁判所における代表的な主張の両方に重大な影響を及ぼすものである。

　ロイド氏は、彼が主張したのと同じ関心を持っていると主張したiPhoneユーザーのグループの代表的な請求者としても主張をしようとした。重要なことに、その請求は、個々のユーザーが裁判請求にサインアップすることなく、または必ずしもその請求に気付くことなく行われた。代わりに、民事訴訟規則第19.6 条(以下､” CPR 19.6”という)に基づいて請求が行われ、「同じ利害関係を持つ」複数の請求者がいる場合の代表的な請求が可能になる｡代表的なクレームの決定は、クレームに代表されるすべての人を拘束する。

2.2 第一審である高等法院はロイド氏の主張を却下し、米国で主張を行う許可を拒否した。すなわち､高等法院は、（i）金銭的損失または苦痛がなかったため、代表されたクラスのいずれも「損傷」を被っていない､および（ii）クラス・アクションの提案された原告メンバーはCPR19.6で要求されるのと同じ利益を持っていなかったと認定した。

　一方、控訴院は高等法院の決定を覆し、ロイド氏に代表されるユーザーは、CPR 19.6の目的で、データの制御権が失われるという形で同じ利益を持っていると判示した。

**********************************************************************************************

(注1) 筆者ブログ2020,8.16 「イングランドおよびウェールズ控訴院はサウス・ウェールズ警察による自動顔認識技術（：AFR)の使用に対する異議申し立ての却下判決を破棄、その使用は違法で人権を侵害していると判示）」の(筆者注1)英国の最新司法制度を連合王国最高裁判所サイト(Supreme Court and the United Kingdom’s legal system)で確認しておく。わが国では、現時点でこの資料に匹敵する公開資料はない。筆者はいずれ翻訳する予定である。)を参照されたい。

(注2)リチャード・ロイド氏は英国の多くの公的任務を担う大物である。 2011年から2016年まで消費者団体”Which?”の業務執行取締役　(executive director)を務めていたが、2019年4月に英国金融行為規制機構（FCA）の理事会(非常勤理事)に加わり、現在は監視委員会の委員長と指名委員会の委員を務めている。

　FCAのシニア・インディペンデント・ディレクター(上級独立取締役機能（SMF14）は、上級独立取締役の役割を実行する機能であり、統治体機能の議長を実行する人のパフォーマンスの評価を主導する特別な責任を負う)であるリチャード・ロイド氏は、2022年6月1日から次期常任議長が就任するまで、FCAの暫定議長として発表された。これは、2022年4月1日に再開されたFCA理事会での2期目の彼の最近の再任に続くものである。

　ロイド氏は経験豊富な理事であり、IPSA(Independent Parliamentary Standards Authority ：英国では、議会や政府から独立した機関が、議員歳費や年金、手当等について規定し、管理をしている。2009年の議会手当スキャンダルに対応するため設けられた機関である。2011年から議員歳費や諸手当などの水準はIPSAが決定する仕組みに改められた。IPSAにはその運用経費が高すぎるなど様々な批判も出ているが、独立した第三者機関が議員経費をモニタリングした上でその水準を示すことには、自分のことを自分で決めているという批判を防ぎ、時勢に流されることなく議員の待遇を全体的に判断し、一定の客観性のある歳費等を提示できるというメリットはあるかもしれない。)の暫定議長、金融・メンタルヘルス政策研究所(Money and Mental Health Policy Institute) の暫定副議長、ASA（The Advertising Standards Authority＝英国広告基準協議会）の評議会委員, さらに首相官邸の特別顧問でもある。

　また、2019年に経済と消費者の権利に対するサービスに関し大英帝国勲位(Order of the British Empire：OBE)を受賞している。

　なお、英国“Which？”について補足しておく。

”Which？” は、製品をテストし、劣った製品やサービスを強調し、消費者の権利の意識を高め、独立したアドバイスを提供することにより、商品やサービスの購入において情報に基づいた消費者の選択を促進する英国のブランド名である。 このブランド名は、消費者協会によって使用されている。消費者協会は、登録された慈善団体であり、保証によって制限されている組織であり、幅広いいくつかの事業を所有している。

　つまり、わが国の「国民生活センター」より専門化された消費者保護団体といえる。筆者は従前からニュース購読会員であるが、特に商品テスト結果は素晴らしい内容と対象範囲が極めて広い点がうらやましい。

(注3) Data Protection Act 1998

https://www.legislation.gov.uk/ukpga/1998/29/contents/enacted

(注4) トラッキング広告を行っている広告事業者によっては、「追跡を行わない」ということを指定することも可能である。たとえばGoogleの場合、「広告とプライバシー」ページが用意されていて、ここで「オプト･アウト」ボタンをクリックすることで、Googleが利用しているDoubleClick Cookieから逃れることができる（図1、2）。DoubleClick Cookieとは、ダブルクリック社が提供するトラッキングCookieの一種である。オプト･アウトを行うと、IDとして「OPT_OUT」が割り当てられたトラッキングCookieがWebブラウザに保存され、以後トラッキングが行われないようになる。(2009年7月1日「トラッキングCookieを無効化する「Targeted Advertising Cookie Opt-Out」拡張」から一部抜粋)。

(注5) 英国民事訴訟規則（「CPR」）のうちPART 19 - PARTIES AND GROUP LITIGATION の第19.6条を以下で引用、仮訳する。

19.6同じ利益を持つ代表者は

（1）複数の人が請求につき同じ利益を持っている場合–

（a）請求を開始することができる。 または、

（b）裁判所は、その利益を持っている他の人の代表者と同じ利益を持っている人の1人以上によりまたはその人に対して請求の継続を命じるときはことができる。

（2）裁判所は、人が代表者として行動してはならないことを指示することができる。

（3）いずれの当事者も、（2）項に基づく命令を裁判所に申請することができる。

（4）裁判所が、当事者がこの規則に基づいて代表者として行動しているという請求で与えられた判決または命令を別の方法で指示しない限り、

（a）請求に含まれるすべての人を拘束する。しかし、一方で

（b）裁判所の許可を得て、請求の当事者ではない人物によって、またはその人物に対してのみ執行することができる。

（5）この規則は、CPR第19.7条が適用される請求には適用されない。

(注6) DPA 2018(https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted)

(注7) ATE保険は、訴訟および仲裁の追跡または弁護で発生した訴訟費用をカバーする一種の訴訟費用保険契約である。 保険契約(policy)は、法的紛争が発生した後に購入される。

これは、住宅保険などで一般的に購入されるイベント保険契約の前に事前購入したものとは異なる。

英国の場合、ATE保険は、結婚法または刑法を除いて、訴訟のほぼすべての分野で購入できる。ATE保険会社は、クライアントの特定のニーズに合わせたさまざまな保険を提供しているが、 通常、企業自身の支出および 対戦相手が勝った場合に対戦相手の訴訟費用を支払う責任をカバーしている。(dfa Law Firmの解説から一部抜粋、仮訳)

   ************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

IRSは税務記録にオンラインでアクセスするために納税者に顔認識識別情報の提出を義務付ける認証システムにつき代替システムを検討開始

　

　1月31日、筆者の手元に米国人権擁護団体であるEPICからこの問題に関する解説記事が届いた。この問題はロイターやBloomberg､Washingtonpost等が大きく取り上げているが、わが国のメディアでは読んだ記憶がない。

　米国連邦財務省･内国歳入庁(IRS)は、税務記録にオンラインでアクセスするために、納税者に顔認識識別番号の提出を義務付ける予定である。IRSの政府の顔認識の使用の拡大は、論争を引き起こした。(注1)(注2)

　IRS の“ID.me”の顔マッチング・システムを受託した会社は、最初は「1:1マッチング(照合)」のみが使用されると主張した。しかし､同社は後にこれらの主張を撤回し、特定の状況で「1:Nマッチング(識別)」を使用していることを認めた。(注3)(注4) IRSは、1:Nマッチング(識別)での認識の使用に対処できず、一般的に顔認識を使用する有意義な評価を欠いている ID.me サービスの使用に関するプライバシー影響評価(privacy impact assessment)を実施した。EPICは、米国の納税者にプライバシーに侵襲的な顔認識技術の使用に反対するために、他の公益団体・組織と協力しているという内容である。

　なぜ、このような事態が起きてしまったのか、ID.meシステムが抱える問題の背景やこの問題の影響範囲、筆者が以前から意見交換している連邦議会上院財務委員会のロン・ワイデン(Ron Wyden)上院議員(民主党)の意見(注5)などにつき、解説を試みるものである。

１．ID.meのこれまでの経緯と問題点

　Wikipedia が詳細に解説しているので、主要部を仮訳する。

　ID.me(もともとは、軍人や退役軍人にデジタルID検証を提供)は、人々がオンラインで自分の法的アイデンティティを証明することを可能にするアメリカのオンライン・アイデンティティ・ネットワークである。ユーザーは、そのデジタル資格情報を使用して、政府のサービス、医療ログイン、または小売ブランドからの割引、金融にアクセスできる。 ID.me はバージニア州マクリーンに拠点を置いている。

　COVID-19パンデミックによる景気後退をきっかけに、ID.me は失業保険請求者の身元を確認するために約30の州(Arizona, California, Colorado, Florida, Michigan, New York, and Texas)の失業者対策機関によって契約された。COVID-19不況の間、ID.meのいくつかの州での検証プロセスは、合法的に失業者の多くが彼らの利益にアクセスするのを妨げる長い遅延をもたらした。

　2021年11月、内国歳入庁は、2022年夏までに旧ログイン・システムを ID.me に置き換えるとともに、現在のログイン・システムを第三者の検証システムに置き換える計画を発表した。しかし、関係する多くの研究者は、正確性の証拠の欠如、黒い肌やトランスジェンダーの人々が自分の情報にアクセスするのを妨げる偽陰性(false negatives)、第三者が納税者になりすまして税務情報にアクセスできるようにする偽陽性、政府とその請負業者への生体情報の提供を拒否する市民の権利について懸念を提起した。2022年1月28日、IRSの親機関である米国財務省は、プライバシーに関する懸念から代替システム案を検討する可能性があると発表した。

　ID.me は、数多くのID検証製品を提供している。「高度なレベル保証」の身元確認のため、運転免許証、パスポート、社会保障番号などの個人データを検証する。 ユーザーは、ID.me 写真アプリを使用して、自分の携帯電話でビデオの自撮りを取る必要がある。ID.me この情報を通じてユーザーを確認できない場合、ユーザーは"信頼できる審判"ビデオ通話に話すように指示される。 ID.me は、このビデオコール･ラインの長い遅延のために論争を巻き起こした。

　個人識別システムの一環として、写真や身分証明書など、幅広い個人情報を収集している。 同社は、信頼できると考える多くの「政府機関、通信ネットワーク、金融機関」、その他の企業に情報を送信して、情報を検証する。 同社は、インターネットプロトコルアドレスと一意のデバイス識別子を非個人を特定できるものとして扱い、場所、職業、言語、ID.me で閲覧したページのリスト、および ID.me 使用前後に訪問されたURLとともに、第三者に公開する。(以下、略す。)

２．米国財務省は、IRSオンライン・アクセスのためにID.meバイオメトリクス認証の代替システム案の動きと検討問題

　Biometric Update .com「US Treasury considers alternatives to ID.me biometrics for IRS online access」の概要を仮訳する。

　ID.meがオンライン納税申告のために提供しているIRSの契約は、顔認識と生体認証の使用に基づいて論争を引き起こし続けており、代替案の身元確認手段の検索を促している。

　Bloombergが報じた財務省当局者のコメントによると、現在、米国財務省はオンラインサービスへのアクセスを確保するための代替システム案を検討している。

　財務省の広報担当者はBloombergに、近代化のための資金が不足しているため、IRSは不正アクセスから納税者のアカウントを保護するため、外部機能に依存していると語った。また財務省当局者は、IRSはすべての納税者データを保護し、ID.meはデータを第三者に開示することを法的に禁じられているとも述べた。

　ID.meは、以前にParavisionの生体認証とiProovのライブネス検出の使用につきを開示したが、現在はAmazon Rekognition(注5)を使用して不正防止のための1対多の生体認証を実行していると述べている｡詐欺チェックプロセスの結果、自撮り写真の0.1％未満が潜在的に詐欺であるとフラグが立てられていると同社は述べている｡

　同社の声明によると、「生体情報が政府機関と共有されるのは、政府機関に関連付けられたアカウントに関連する明らかな詐欺や個人情報の盗難があった場合のみです」とのことである｡

　上院財務委員会のロン・ワイデン上院議員はBloombergに対し、連邦政府機関が使用する身元確認システムについてさらに情報を求めると語った。(注6)

　ID.meは、IRSに加えて、社会保障局、退役軍人局、その他の5ダース以上の連邦機関、および30の州で使用されている。その中には、カリフォルニア州雇用開発局があり、州が疑わしいと見なした約27,000の医療提供者に関連する345,000の障害チェックにフラグを立てて一時停止した。 StateScoopによると、請求者とプロバイダーはIDの確認のためにID.meに照会され、27,000近くのうち485が正当な、またはID盗難の被害者であることが判明した。

　バイオメトリクスやその他のアルゴリズム・システムにおける人口統計学的公平性の卓越した擁護者として名声を得たJoy Buolamwini氏は、アトランティック誌(The Atlantic：1857年にアメリカ合衆国マサチューセッツ州ボストンで創刊され、奴隷制廃止、教育、その他の当時の主要な政治問題に関する主要な作家の解説を掲載した文学および文化の解説雑誌)において、学術研究が「正確な用語を使用する」ことに失敗したと書いたときの例として、ID.meが「1:1マッチング(照合)」の検証と「1:Nマッチング(識別)」の関係を曖昧にし、引用に失敗したと書いている。

　Buolamwini氏は、正確性（または「バイアス」）の人口統計上の違いが、コロラド州の個人が経験した問題を引用して、給付の遅延または拒否をもたらしたと主張している。同氏は、連邦政府と州政府は、オンラインの確定申告と失業手当のプロセスにID.meを使用するのをやめるべきと指摘する。

　また、ID.meは、7000万人のデジタルIDユーザーの顧客体験を向上させるために採用しているため、自身の成功の犠牲になっている可能性もある。同社はまた、ビデオチャットの量の急増に対処するために750人の労働者を雇用する計画を発表した。

　さらに、ID.meは、24時間年中無休でサポートを利用できるようにし、「後で戻ってくる」オプション、新しい言語のサポート、および専用のエスカレーションチームを立ち上げている。

*****************************************************************************************************

(注1) IRSの広報担当者によると、2022年の夏から、IRS.gov アカウントを持つユーザーは、簡単なユーザー名とパスワードでログインできなくなる。代わりに、政府の身分証明書、自撮り写真、請求書のコピーをバージニア州に拠点を置く身元確認会社ID.me、に提供し、身元を確認する必要がある。この問題は、しばしば筆者が引用してきた専門サイト「Krebs on Security」(注2)が最初に気づいたこの変更は、以前はユーザーが個人の生体認証データを提出せずにIRSアカウントにアクセスすることを可能にしていた内国歳入庁の大きな変化を示している。(2022.1.19 Gizmodoサイト「IRS Will Require Facial Recognition Scans to Access Your Taxes Online」から一部抜粋､仮訳｡

(注2) 同サイトの解説を一部抜粋､仮訳する｡

　米国内国歳入庁 (IRS) で税務記録を管理するオンライン･アカウントを作成した場合、これらのログイン資格情報は2022年後半に機能しなくなる｡同庁は、2022年の夏までに、irs.gov にログインする唯一の方法は、ID.me、すなわち申請者が請求書や身分証明書のコピーを提出することを要求するオンライン･アイデンティティ検証サービス、ならびにモバイルデバイスを介して自身の顔のライブ・ビデオ･フィードを介して行われることになると述べている｡以下、略す)

(注3) 識別と照合

「識別」は、多くの対象者から特定の人を判定すること。 1:N認証(注2)とも呼ばれる。 一般的には、提示された生体データに対して、データベース上の全データと比較処理を行う。

「照合」は、指定された人に対し、その人かどうかを判定すること。 1:1認証とも呼ばれる。識別とは異なり、一般的には、対象者1人のデータとの比較処理を行う。

*モフィリア(Mofiria)   社(https://www.mofiria.com/biometrics-and-security-blog/biometrics/biometrics-terminology/)の解説から抜粋、仮訳。

(注4) 1:Nマッチング認証とは、認証端末上の顔情報を登録データベース上の複数人の顔情報を照合しユーザーを本人認証する方式。

(注5) Ron Wyden上院議員のツィート文

I’m very disturbed that Americans may have to submit to a facial recognition system, wait on hold for hours, or both, to access personal data on the IRS website. While e-filing returns remain unaffected, I’m pushing the IRS for greater transparency on this plan.

 (注6) Amzon Rekognition ：機械学習を使用して画像と動画の分析を自動化する。事前トレーニングされたカスタマイズ可能なコンピュータビジョン (CV) 機能を提供して、画像と動画から情報とインサイトを抽出する。Amazonの専用サイトを参照されたい｡

(注7)ロン･ワイデン上院議員とジェフ・マークリー上院議員（民主党・オレゴン州）（Senator Jeff Merkley）はIRSの広範で継続的な処理バックログ(未処理分)の中で、オレゴン州と全国の納税者にペナルティ救済を提供するよう米国財務省と内国歳入庁(IRS)に要請するよう同僚議員に要請した。

　2021年12月下旬現在、IRSは600万件の個人所得税申告書と230万件の修正された個人確定申告のバックログを持っており、納税者にペナルティ救済を提供するようIRSに要請するという。

**********************************************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．