欧州委員会は2011年5月、クラウド・コンピューテイング・サービスに使用するモデル契約約款を策定すべきことを提案した(このような動きの背景の1つには、2011年10月11日、欧州委員会は新たに「欧州共通販売法に係る欧州議会及び理事会規則(案)(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Common European Sales Law:CESL)」を提案したことがあげられる)。(注1)(注2)
このCESLは、EU加盟国27の次に位置する「第28番目の管理体制」として加盟国27カ国の契約法と並行して存在し、売買取引において業者と消費者の双方がその利用を選択した場合にも適用される。CESLが定義しているように、この新法は少なくともトレーダー(商人)の1つが中小企業(SME:small or medium-sized enterprise)であれば、企業と消費者間または2つの異なるトレーダー間の越境的物品売買の契約に適用される。また、EU域外で活動しているトレーダーであってもビジネス拠点がEU内に中心がおかれている場合は新契約体制で運用することになる。
銀行やその他の金融機関はオンラインバンキング等金融サービス取引においては新契約法の適用は行われないが、音楽ファイルのオンライン販売等無形デジタル商品販売は新契約規則の下でカバーされる。
今回、欧州委員会は2011年5月に諮問を行った「コンピューテイング・サービス利用に関するモデル契約約款案(model contract terms)」および新標準(new standards)を本格的に確立すべく提案を行ったものである。
本ブログは、2011年5月に諮問にかかる情報および今回提案された背景や公式なリリース文の内容を概観する。
また、本文で述べるとおり、欧州委員会は2012年9月27日にモデル契約約款および新標準策定を2013年末までに行う趣旨の「(EUにおけるクラウドコンピューテイングの発生にかかる相互対話(Communication on ”Unleashing the potential of cloud computing in Europe)」を公表した。なお、本文でとりあげた要旨部分(第2章)は英国“Out Law”のブログを抜粋したものであり、初めに欧州委員会の提案の原文要旨部分についても併せ紹介する。
1.欧州委員会が2011年5月EU機関等に諮問を行ったコンピューテイング・サービス使用に関するモデル契約約款にかかる提案
”Out Law”の5月解説記事があるが、委員会の公式コンサルテイング・サイトは現在、閉鎖されている。
そこで、(1)EU加盟国の共通情報保護問題の検討機関である「EU指令第29条専門調査委員会(Art.29 Data Protection Working Party)」(注3)が2011年6月1日付けで採択した「意見書(全27頁)」の要旨部分に基づきポイントとなる点を概観し、(2)その各意見項目については目次をあげる。(EUにおける個人情報保護問題の原点が明確に指摘されていることが、あえて取り上げる背景にある)。
(1) Art.29 Data Protection Working Partyの意見書の要旨(executive summaryの仮訳:EUの原資料へのリンクは筆者の責任で行った)
○本専門委員会は、本意見書において欧州経済地域(EEA)で作動するクラウド・コンピューティング・サービス・プロバイダーに関連するEUの 「Data Protection Directive(95/46/EC)」および「電子通信プライバシーDirective2002/58/EC(2009/136/ECによって改正された)」から導き出されるすべての適用可能な問題ならびにプロバイダーの顧客が指定するすべての該当する原則にかかる問題を分析した。
○経済・社会の両方の条件から見たクラウド・コンピューティングに認められる便益にもかかわらず、本意見書では「処理される」か「サブ(下請け)処理される」段階にかかる個人情報が誰によって、どのように、またどこに関するか等の情報が不十分な点と同様に、クラウド・コンピューティング・サービスの広範囲の展開が個人的なデータの上でいかに多くの個人情報保護リスク、とりわけ個人情報の管理面の欠如問題の引き金となることができるかを概説するものである。
○これらのリスクは、クラウド・コンピューティング・プロバイダーをサービスに従事させることを考えたとき、公共団体や私企業によって慎重に評価される必要がある。本意見書では、(1)反対当事者と共にリソースの共有に関連している問題、(2)複数の処理業者(processors)や下請契約者(subcontractors)からなるアウトソーシング・チェーンの透明性の欠如、(3)EEAの外で確立されたクラウド・プロバイダーによる個人情報の転送の許容性に関して一般的なグローバルなデータ携帯性の枠組みの使い勝手の悪さや不確実性の問題を取り上げた。同様に、個人情報のコントローラーがそれらの個人的なデータがどう処理されるかに関しデータ主体に供給できる情報に関する透明性の不足は重大な関心事として意見が強調される。データ主体は、だれがどんな目的でなされるかにつき情報が提供されるべきであり、またこの点に関し提供を求める権利を行使できるようになされるべきである。
○本意見書の主要な結論は、クラウド・コンピューティングを使用したがっている事業者と監督機関は、第一歩として包括的で徹底的なリスク分析を行うべきであることである。EEA内でサービスを提供するすべてのクラウド・コンピューティング・プロバイダーは、正しくそのようなサービスを採用するか否かの賛否両論(pros and cons)を評価するためにすべての必要な情報をクラウド・コンピューティングのクライアントに提供するべきである。クライアントのためのセキュリティ、透明性、および法的な確実性はクラウド・コンピューティング・サービスの提供の裏でその推進させるために重要な要素であるべきである。
○本意見に含まれる勧奨の条件に含まれる点であるが、コントローラーとしてクラウド・コンピューティングのクライアントコントが負う責任が強調されている、したがってクライアントはEUの情報保護法制への遵守を保証するクラウド・コンピューティング・プロバイダーを選ぶべきである。
適切な契約上の安全装置はクラウドのクライアントとクラウド・プロバイダーとのいかなる契約も技術的で組織的な手段に関して十分な保証を提供すべきであるという要件で意見書は記述されている。また意味書において、クラウド・コンピューティングのクライアントは、クラウド・プロバイダーが越境にかかる国際的な個人情報の移送の合法的を保証できるかどうか証明を求めるべきであるという重要な推薦が含まれる。
○どのような進化論の過程の中にも、グローバルな技術的枠組み(technological paradigm)としてのクラウド・コンピューティングの利用の増加は新たな挑戦を意味する。本意見書は、その基本スタンスにあるとおり、これから来る数年の間にデータ保護共同体(data protection community)によってこの点で引き受けられるタスクを定義する重要なステップであると考えることができる。
(2)提案の骨子:委員会の提案の目次から抜粋し、仮訳する。
次の内容である。
・要旨
1.初めに
2.クラウド・コンピューティングにおける個人情報保護リスク
3.法的枠組み
3-1 個人情報保護の枠組み
3-2 適用法
3-3 クライアントやプロバイダー等クラウドにおける異なるプレイヤーごとの
義務と責任
3-3-1 クラウド・クライアントとクラウド・プロバイダー
3-3-2 下請け契約者(subcontractors)
3-4 クライアントとプロバイダー間の関係から見た情報保護の要求条件
3-4-1 基本原則に即した法令遵守
3-4-1-1 透明性
3-4-1-2 目的の特定とその制約
3-4-2 コントローラーと処理者間の関係からみた契約上の安全措置
3-4-3 個人情報保護にかかる技術的・組織的手段
3-4-3-1 利用可能性(availability)
3-4-3-2 完全性(integrity)
3-4-3-3 機密性(confidentiality)
3-4-3-4 透明性
3-4-3-5 目的の制約から見た隔離性(isolation)
3-4-3-5 介在性(intervenability)
3-4-3-6 携帯性
3-4-4-7 説明責任
3-5 国際的な情報移送
3-5-1 セーフハーバーとその該当国
3-5-2 例外
3-5-3 標準的契約条項
3-5-4 国際的なアプローチに向けたBCR(注4)
4 結論と勧奨事項
4-1 クラウド・コンピューティング・サービスの顧客とプロバイダー向けのガ
イドライン
4-2 第三者情報保護認証(Third Party Data Protection Certifications)
4-3 勧奨事項(今後の進展事項)(Recommendations: Future Developments)
2.欧州委員会が2012年9月に行ったモデル契約約款および新標準策定案を2013年末までに予定の公表
欧州委員会は提案作業に関し、事務局専門家によるスタッフ作業の取りまとめ原案を採択し、次のステップとしてクラウドコンピューテング・サービスプロバイダーと消費者や中小企業間の契約内容の改善を支援すべくてクラウドコンピューテング契約に関する安全かつ公正な条件内容や実務慣行等を検討すべ専門家グループを立ち上げた。
この「(EUにおけるクラウドコンピューテイングの発生にかかる相互対話」戦略は次の3つの主なる具体的行動を包含する。すなわち、(1)現在、トレーダーと個人消費者は不明確さ、複雑さ、法的な不確実性などからクラウドの利用を思いとどまらざるを得ない、(2)加盟国において国家が定める既存の規制環境はクラウドをベースとするサービスには適さない点が多い、たとえば、現行契約法があるにもかかららず、契約に伴うリスクがユーザーである一方当事者に過度のリスクを割り当てるなど、不公平でアンバランスな契約内容となっているなどである。
(1)欧州委員会が提案・公表した内容要旨(“Out Law”のブログ内容を抜粋したもの)
そのような提案の背景に関し、今回、欧州委員会の欧州議会、欧州連合理事会、「経済社会委員会」および「地域委員会」に対する公的措置に関する意見書:EUにおける潜在的なクラウド・コンピューティングの解放のあり方」において、(1)クラウドサービス・プロバイダーにかかる法的枠組みの複雑性や不確実性は、しばしば大規模な免責事項(extensive disclaimers)を伴う複雑な契約やサービスレベル合意(service level agreements)の必然化を意味すること、(2)クラウド・コンピューティングの利用を取るか現状のままでおくか、という標準契約の使用はプロバイダーにとってコスト削減であるかも知れないが、最終消費者を含むユーザーにとっては好ましくない。(3)そのような契約は準拠法の選択を課すかデータの回復を抑制することになる。(4)さらに大きな会社において交渉権がほとんどなく、契約はデータ保全、機密性保持、サービスの継続性に関する規定を持たない、(5)専門的なユーザーに関し、「サービスレベル合意」におけるクラウド・コンピューティングに関する契約約款問題は委員会が諮問した際、最も重要な問題の1つであった。(6)この「サービスレベル合意」は、クラウド・コンピューティングのプロバイダーと専門的なユーザー間の関係を決するものであり、またその結果、本質的にユーザーがサービスを提供するクラウド・コンピューティング・プロバイダーの能力につきクラウド・コンピューティング・ユーザーが持つべき信頼の基礎を提供するものである。」と指摘している。
さらに、同委員会は、「2013年末までに利害関係者の支援に基づき策定されるモデル契約約款を策定するが、その中で特に中小企業と消費者に関する問題は、「欧州共通販売法に係る欧州議会及び理事会規則(案)の中に盛り込まれる。すなわち、このモデル契約約款の策定目的は、主要な契約条件を標準化することでデジタル・コンテンツの供給に関連付けられる局面で、最もよき実務慣行をクラウド・コンピューティング・サービスの場で提供することである。」と述べている。
同委員会は、CESLにおいてカバーされていない中小企業と消費者間取引に関する追加的手段の新規作成につき、新たな安全かつ公正な取引条件が作成されたかどうかを検証するため新たな専門家グループを設置する旨明らかにした。
また、委員会はクラウド・コンピューティング内における著作権で保護されたデジタル・コンテンツのいかなる私的複製にかかる権利の保有者のための報酬問題も扱う旨暗示した。
元欧州委員会の委員は、利害関係者間で行われている私的複製にかかる未来の規則化をあり方の議論を実現させている。
同委員会は「私的複製の例外、課税の適用性特にクラウド・コンピューティング・サービスにおいて複製権者(right holder)に対する直接的な報酬支払い問題を私的複製にかかる課税体制問題から排除すべきか、その範囲について調査する前にそれらの議論の「結果(outcome)」を見たい」と指摘している。(注5)
さらに、委員会は以前にモデル契約条項としてまとめた草案につき必要に応じてクラウド・コンピューティングの場合に適合するよう見直すべき点を指摘した。すなわち、事業者は個人情報につきEU加盟国以外の第三国に移送を管理する上で委員会が策定したモデル契約条項の使用は可能である。
同時に、個人情報保護規則の一定の適用を支援する新たな行動規範を制定すべくクラウド・コンピューティング・プロバイダーとともに機能することを指摘した。この問題を精査するため、EUの個人情報保護の“Watchdog”機関であるEU指令第29条調査専門委員会(Art.29 Data Protection Working Party)に諮ることを指摘した。すなわち、同専門委員会の支持(endorsement)は行動規範とEU法の間の法的確実性と一貫性を確実なものとする。
加えて、EUの欧州電気通信標準化機構(ETSI : European Telecommunications Standards Institute) (注6)は、クラウド・コンピューティング・サービスが期待されるとおりに機能するために必要な新基準を定めるために支援すべきことが求められている。
これら新基準は、その規格が個人情報保護、相互運用性(interoperability)およびデータの運搬性に関するものに関連するといえる。すなわち、個人情報保護のための情報通信技術分野の新たな技術仕様書は標準化に関しEU規則に合致しなければならないことを意味する。
また委員会は、クラウド・コンピューティング分野のEU全体にかかわる任意の認証仕様(voluntary certification schemes)を開発すべきであると指摘した。この中には事業者がクラウド・コンピューティング・プロバイダーのデータ保護の法令遵守を見直しにかかる認証仕様を含み、2014年までにその仕様のリストを公表することになろうとしている。
優先すべき点は相互運用、多様な申し出と同様に比較可能なサービス・スタック (注7)を通じてクラウド・コンピューティングの信頼を発生させるよう既存の規格を展開させることである。これに加えて、関係する標準化内容の遵守認証が必要となる。つまり、多くかつ確実にすべてのより大きな組織が、法的、監査要件適用やシステムの相互運用性に関する彼らのITシステムの遵守を必要としている。
委員会は潜在的にEU内で250万の新たな雇用を創出し、かつEUの国民総生産を2020年までに1年ごとに1,600億ユーロ(約15兆8,400億円)増強すると述べた。
(2)提案の骨子:委員会の提案の目次から抜粋し、仮訳する。
次の内容である。
1.初めに
2.クラウド・コンピューティングの正確およびその効能
3.取るべきステップ
3-1 クラウド・コンピューティングとデジタル化に向けた議題(デジタル分野の単一市場)
3-2 クラウド・コンピューティングに関する特定のキーとなる活動
3-3 クラウド・コンピューティングに関するキー活動(その1)標準化の無法地帯を通じた削減
3-4 キーとなる活動(その2) 安全かつ公正な契約条件
3-5 キーとなる活動(その3) 欧州クラウド・コンピューティング・パートナー
シップを通じた共通の公的部門のリーダーシップ
4.追加的政策ステップ
4-1 奨励的な手段
4-2 国際的な対話
5.結論
******************************************************************************************************************
(注1) 和久井理子氏が英文「欧州共通販売法に係る欧州議会及び理事会規則(案)(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Common European Sales Law)」を和訳している
同規則案に関しては2011年10月12日付けの英国法律事務所“Pinsent Masons LLP”の解説「EU Commission outlines full '28th regime' contract law plans」を参照するとともに、その詳細については、EUの公式サイトで確認されたい。
(注2) 2012年4月2日、2012年4月2日、欧州ネットワーク・情報セキュリティ機構(ENISA)」は公的IT調達チームの新しくかつ実用的なガイドを策定・公表した。(原本・全64頁:PDF)ENISAサイトからリンク可。
(注3) 「EU指令第29条専門調査委員会」は、1995年EU個人情報保護指令第29条に基づき設置した委員会であり、個人情報保護およびプライバシーに関する独立諮問機関である。その任務の内容は同指令第30条および2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令(Directive 2002/58/EC)」の第15条に規定されている。なお、現委員長はジェイコブ・コンスタム(Jacob Kohnstamm)(オランダ個人情報保護監督委員会・委員長)である。
(注4) 拘束的企業準則(Biding Corporate Rule, BCR)とは:
・主に多国籍企業を対象として、1995年EU個人データ保護指令第26条第2項に基づくデータの国際移転を効果的に行うためのルール。データ保護機関等により法的に執行可能であることなどに留意した「国際データ流通に対する拘束的企業準則」等を策定し、欧州域内のデータ保護機関が当該ルールを承認した場合には、多国籍企業間でのデータ流通が認められる。(消費者委員会個人情報保護専門調査会(第2回平成22年9月29日)資料③から一部抜粋)
(注5)英国の「知的財産庁(Intellectual Property Office:IPO)」は、2012年6月、複製権保有者グループは個人が私的な使用目的でクラウドのストレージサービスにデジタル・コンテンツを複製することを阻止すべきことを求めた旨の報告書「Consultation on Copyright:Summary of Responses June 2012」(全40頁)を公表している。なお、この報告書に関する“Out Law”の解説記事もあわせ参照されたい。
(注6) 欧州電気通信標準化機構(ETSI : European Telecommunications Standards Institute)は、欧州郵便電気通信主官庁会議(CEPT)の諸国が中心となり 1988年設立された機関で、欧州の各国政府機関や民間企業など幅広い団体が会員として参加している。
ETSI は、欧州における電気通信技術について市場統一に必要な標準化の維持を図ることや、会員が要求するその他の関連審議も行うことを目的とし、国際レベルにおける電気通信分野の標準化活動にも参加する事を目的としている。
ETSIが定めた「TS 101 733」は、電子署名の長期保存を考慮したプロファイルとポリシーを定めた現時点(2002年 2月)での唯一の標準で、広く一般に公開されている。日本においては、ECOM(電子商取引推進協議会)の認証・公証 WG において、この標準に関する調査・研究がなされている。(独立行政法人 情報処理推進機構(IPA)サイトの解説から一部抜粋)
(注7) クラウド・コンピューティングの「サービス・スタック」とは、クラウド・コンピューティングのサービス・モデルであるCloud Software as a Service (SaaS). Cloud Platform as a Service (PaaS). Cloud Infrastructure as a Service (IaaS) Cloud Management as a Service (MaaS) Cloud Business as a Service (BaaS).等をさす。これらのモデルに関する簡易な解説例がある。
*****************************************************************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
最新の画像[もっと見る]
- わが国刑法の尊属重罰規定の憲法違反状態が 45年間続いた問題を始め今般の最高裁の違憲裁判の重大性の意義を再検証する 5ヶ月前
- わが国刑法の尊属重罰規定の憲法違反状態が 45年間続いた問題を始め今般の最高裁の違憲裁判の重大性の意義を再検証する 5ヶ月前
- わが国刑法の尊属重罰規定の憲法違反状態が 45年間続いた問題を始め今般の最高裁の違憲裁判の重大性の意義を再検証する 5ヶ月前
- わが国刑法の尊属重罰規定の憲法違反状態が 45年間続いた問題を始め今般の最高裁の違憲裁判の重大性の意義を再検証する 5ヶ月前
- WHO年次総会の感染症対策強化にかかる国際保健規則の改正、「パンデミック条約」決議の1年以内延期問題、オーストラリアで初めてH5N1型鳥インフルエンザ感染者がインドの帰国女児で発見(その2完) 6ヶ月前
- WHO年次総会の感染症対策強化にかかる国際保健規則の改正、「パンデミック条約」決議の1年以内延期問題、オーストラリアで初めてH5N1型鳥インフルエンザ感染者がインドの帰国女児で発見(その2完) 6ヶ月前
- WHO年次総会の感染症対策強化にかかる国際保健規則の改正、「パンデミック条約」決議の1年以内延期問題、オーストラリアで初めてH5N1型鳥インフルエンザ感染者がインドの帰国女児で発見(その2完) 6ヶ月前
- 欧州委員会のApple に音楽アプリ市場における支配的地位を濫用につき18 億ユーロ、フランス競争委員会がEUのメディア規制とAI利用をめぐる規制違反につきGoogleに2億5000万ユーロの罰金 9ヶ月前
- 欧州委員会のApple に音楽アプリ市場における支配的地位を濫用につき18 億ユーロ、フランス競争委員会がEUのメディア規制とAI利用をめぐる規制違反につきGoogleに2億5000万ユーロの罰金 9ヶ月前
- トランプ裁判ワシントンDC 下書き 9ヶ月前
※コメント投稿者のブログIDはブログ作成者のみに通知されます