Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に2つの勧奨研究成果公表とフォーラムを開催

2012-03-26 16:34:07 | EU等の通信監督・規制

Last Updated: April 8 , 2019

 プライバシー-経済と実務慣行の間にゆれる基本的な人権問題-EU規制機関の取り組み。
欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency:ENISA)」
(注1)は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表した。

 さらに、ENISAは4月24日ドイツのベルリンで「サイバーセキュリティとプライバシーに関するEUフォーラム」を開催し、その中で今回の研究報告について討議される旨公表した。

 本文で述べるとおり、ENISAの2つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである。


1.ENISAの加盟国に対する具体的な取り組み課題を勧告する2つの新たな研究成果
(1)「EUにおける個人情報の収集と保持に関する研究(Study on data collection and storage in the EU)」
 ENISAの事務局長(Executive Director) (ウド・ヘルムブレヒト:Udo Helmbrecht教授) (注2)は同研究で、我々の「EUにおける個人情報の収集と保持の研究」はEUにおける個人情報の保管に関する規則制定のための汎ヨーロッパの視点を提供するものである。」と論評した。

 同研究では、オンライン・ソーシャルネットワーク・サイト、運輸部門におけるオンラインチケット予約および電気通信部門における顧客の移送データの収集と保持に関する登録問題に的を当てて具体的事例を検証した。

 これらの事例研究を通じて個人情報の収集時の「最小限度の情報開示原則(principle of minimal disclosure)」、「情報保持の最小限の保持期間原則(minimal storage period)」およびEUのプライバシーと個人情報保護に係る法的枠組みの基礎となる均等性原則(principle of proportionality ) (注3)の一部につき検証を行った。
 
 本研究は、EUにおける個人情報の収集・保持に関する規則に関する問題と加盟国の立法時における適用に係る汎EUの視点を考えるスタート点を提供するものである。

(2) 「プライバシーの値付けの研究―個人情報の値付けに関する経済モデルー」
 プライバシーは基本的人権としてEUの中で認識されているが、現在の経済面から見た現実問題は何であろうか? オンライン利用顧客は、プライバシーの代価を払っても構わないと思っているであろうか? 個人は彼らのプライバシーをそれらの情報をよりよく保護してくれるサービス・プロバイダーにさらに支払うことができると評価するであろうか? 「プライバシーに値を付けるための研究―個人情報の値付けに関する経済モデルー(Study on monetising privacy―An economic model for pricing personal information)、この世界的に見たプライバシー経済学に関する最大の研究論文は、個人化(personalisation)、プライバシー問題の相互作用とオンラインサービス・プロバイダー間の競争の間の点(dots)を結ぶ。

3.4月24日ドイツのベルリンで開催するENISA主催の「サイバーセキュリティとプライバシーに関するEUフォーラム」の概要
(1)議題
 このパネルは、各種関係者は上記の研究成果につき議論するとともに関係する利害関係者がいかにして新のプライバシーのデザイン化、オンライン環境における初期値などを創造するかにつき、新たな提案やアイデアの提供の場となりうるものである。

(2)パネラー
①ニコラス・デュボア(Nicolas Dubois)欧州委員会・司法局・個人情報保護部・政策企画官


Policy Officer , Data Protection Unit, DG Justice, European Commission

Nicolas Dubois currently works as a policy officer in the Data Protection unit at the European Commission. He joined the European Commission in 2007 as a Security officer for the Schengen and Visa IT systems. Nicolas also worked as a researcher and project manager at Orange in Paris, mainly active in IP networks architecture and security. Nicolas received engineering degrees from Suplec (FR) and from the University of Darmstadt (DE).

②ビジェイ・エラミリ(Vijay Erramilli)
スペインのテレフォニカ・リサーチ研究所のインターネット科学チーム研究員

二コラ・イェンシュ(Nicola Jentzsch)


 ベルリン・ドイツ経済研究所(DIW Berlin)共同経営者:Dr. Nicola Jentzsch is Associate at the DIW Berlin. Her main interests are industrial organization of markets for personal information (economics of identification and privacy).

エレーニ・コスタ(Eleni Kosta)
In June 2011, Eleni obtained the title of Doctor of Law with a thesis entitled (ベルギー・ルーベン大学)"Unravelling consent in European data protection legislation - a prospective study on consent in electronic communications" under the supervision of Prof. Dr. Jos Dumortier.



ロデイカ・ティルティ(Rodica Tirtea)
 ENISAスタッフ(ルーマニア)

**********************************************************************************************************

(注1) ENISA の従来の活動内容については筆者ブログ(1)同(2)等を参照されたい。
 ここでENISAの運営組織を概観しておく。「ヨーロッパの情報セキュリティ対策における協力・連携体制に関する調査研究」から一部抜粋。なお、「エグゼクティブ・ディレクター」「運営ボード」等的確な訳語とは思えないものについては筆者の責任で別途訳語を当てたほか、ENISAサイトに適宜リンクをはった。

・ENISAの体制は、事務局長(Executive Director)、運営理事会(Management Board)、ステークホルダー・グループ(Permanent Stakeholders’ Group)といった常設ポスト、機関が存在する。これらに加えて、ENISA には、数多くのアドホックなワーキング・グループが設置されている。
事務局長
 日常のENISAの運営に関する責任者である。運営理事会によって任命され、活動プログラムや決定事項を遂行するとともに、ENISA の活動の広報活動も行なう。また、ENISA と欧州議会、実業界、消費者団体の間でリエゾンも担っている。

運営理事会
 運営理事会は、欧州委員会によって指名された議長、副議長および各EU 加盟国(27カ国)からの代表(各国の情報セキュリティやネットワーク管理などの監督機関のトップ(例えば、ドイツではBSI長官ミハエル・ヘンゲ(Michael Hange)が任命される)、3名のヨーロッパ経済領域(European Economic Area:EEA3カ国)からのオブザーバー、および以下に示すステークホルダー・グループからの代表によって構成されている。

 この理事会の役割は、ENISA がその義務や役割に基づいて適切に機能しているかを確認する役割を果たしている。年間予算を策定、採択するとともに、ENISAの業務の全般的な方向性を定義し、活動プログラム(work program)を承認するというものである。

常設のステークホルダー・グループ
 事務局長が指名・選択し、ENISA の活動プログラムに係る課題や、エグゼクティブ・ディレクターのパフォーマンスについて事務局長への助言、議論などするためのフォーラムの実施が主な活動目的である。
 メンバーは情報通信業界(Information and communication technologies industry)、消費者グループ(Consumer groups)、ネットワークや情報セキュリティの関連する研究者グループ(Academic experts in network and information security)など、計30名の高度なレベルのエキスパートで構成されている。また、このグループの任期は2.5年である。

(注2) ウド・ヘルムブレヒト(Udo Helmbrecht)教授(ミューヘン連邦軍大学(Universität der Bundeswehr München:UniBwM)の名誉教授)は、2003年から2006年の間、ドイツ連邦情報セキュリティ監督・規制機関である情報セキュリティ庁(Das Bundesamt für Sicherheit in der Informationstechnik :BSI)」の長官であった。その後、2009年10月16日にENISAの事務局長(Executive Director)のポストに着いた。

(注3) EU規則草案で引用された「補完性原則(principle of subsidiarity)」や「加盟国間の均等性原則(principle of proportionality)」についてわが国で解説したものは皆無である。草案を性格に理解するうえで基本事項であり、筆者なりにここで補完しておく。なお、前記2原則については公式には2008年5月9日「EUの条約の適用に関する条約議定書統合版(Consolidated version of the Treaty on European Union - PROTOCOLS - Protocol (No 2) on the application of the principles of subsidiarity and proportionality :Official Journal 115 , 09/05/2008)」などが根拠となる。EU議会の解説サイトが歴史的な面も含め詳しく解説しているが、英国議会の解説文がわかりやすいのでそこから引用・仮訳する。

(1)補完性とは何か?
1. EU条約における文脈中では、「補完性」は行動が取られるべきである統治(EU、加盟国、地域(regional )および地方(local))のレベルに関する概念ある。リスボン条約(TEU)第5条第3項は、同概念を次のとおり法原則に作り変えた。

・欧州連合が排他的な権限の中に入らない領域で行動させるとする「補完性の原則」のもとにおいて、欧州連合は加盟国(中央、地域または地方レベルのいずれかにおいて)が提案された行動目的を唯一で十分達成できない場合で、かつその目的範囲内で欧州連合レベルによることでよりよく達成しうる限りにおいて、提案された方策の規模や効果に即した行動を取ることができる。

 それは、達すべき主題と目的に合致する最も低い統治レベルに即した行動を取るべきであるという推定に基づいている。EUに排他的な権限がある場合でも、必ず必要性原則が適用されるわけではない。

2. 本原則は、EUによるすべての種類の行動に適用されるが、立法措置のみに限定されない(しかしながら、合理的な意見聴取手順(以下のパラグラフ6参照)は、立法措置のみが適用される)

3. 本原則はリスボン条約(Treaty of Lisbon)の施行前はEU法の一部であった。同条約は本原則の意味を変更しない。

(2) 比例性の原則とは何か?
 比例性の原則は、リスボン条約第5条第4項で定義される。
比例性の原動力の下で、欧州連合の行動の内容と形式は条約目的を達成するのに必要なことを超えないことを意味する。補完原則は誰が行動を取るべきであるかに関するものである。一方、比例性はあるべきである行動の本質に関するものである。補完性・チェックは第一に行うものである。提案が応じられるなら(または排他的な権限問題(以下のパラグラフ12参照)であるなら、比例性の原則は通常の精査の一部であるとみなすことができる。実際には、2つの概念は密接に関係する。「補完性」は法的概念であるが、その評価は本質的には政策判断により行われる。

**************************************************************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

EUにおけるISPや固定通信事業者などに対する通信内容の記録保存義務に関する「指令」が承認される

2010-11-06 19:31:59 | EU等の通信監督・規制

 
Last Updated:April 1,2021


 2005年秋以来EUにおいて論議を呼んでいた「通信事業者に通信記録の保存を義務づけるData Retention Directive(案)」(pdf 全20頁)が2月21日の「欧州連合理事会(閣僚理事会)」司法内務委員会で採択された(アイルランド、スロバキアは反対票)。

 本指令を立案した理由は、戦争テロおよび組織犯罪の撲滅にあるのであるが、保存義務を負う通信事業者は、①ISP、②固定電話通信事業者、③モバイル電話会社である。本指令の施行後通信内容の2年間の保存が義務付けられるのである。すなわち、加盟国は国内法に基づき定める重大犯罪につながる特定の事例において管轄国家機関のみが、捜査、探知、訴追を目的とした利用が認められ、また、保存データへの意図的なアクセスの排除にかかる法整備(行政罰や刑事罰の制定)が義務付けられるのである。

1.この保存にかかる費用はプロバイダーなどの負担とする。

2.保存データの対象は法人・自然人の通信・位置データであり、ネットワーク参加者や登録者に関するデータも対象となる。ただし、通信データの内容の保存は求められていない。

3.保存項目は、①発信者、②通信年月日・時刻、③通信手段、④接続時間であり、法執行機関は6カ月から24カ月の間、前記国内法に基づきその利用が可能となる。

4.本指令の施行(EUのOfficial Journal発刊の日から20日目)後、18カ月以内(2007年8月まで)に加盟国は指令の実施内容を監視・セキュリティ対策の責任部門を任命しなければならない。

〔参照URL〕
1.今までのEUでの指令論議を含めたローファームPinsent Masons LLPの概要解説「Data RetentionDirective endorsed by Ministers」(2006.2.23)のURL。

http://www.out-law.com/page-6666

2.欧州連合理事会(閣僚理事会)司法・内務委員会のプレス・リリース(2006年2月21日付)

https://ec.europa.eu/commission/presscorner/detail/en/PRES_06_38
******************************************************************:

(今回のブログは2006年2月26日登録分の改訂版である)

***********************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida).All rights Reserved.No reduction or republication without permission.


コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする