Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

米国カリフォルニア州司法長官府がすすめるモバイル・アプリケーションによるプライバシー強化策

2013-09-22 18:07:56 | モバイル社会の課題



 いうまでもなく我々が日ごろ持ち運ぶ各種モバイル端末については、「スマホ中毒」、「ネット依存症」等という言葉が深刻に受け止められる時代になった。
 ところで100万以上あるといわれるモバイル・アプリケーション(以下「アプリケーション」)の実態をふまえ、そのプライバシー侵害やプライバシー・ポリシー自体が存在しない等といったいいかげんなビジネス自体が大きな社会的問題となりつつある。

 この問題に正面から取り組んでいるのが、カリフォルニア州司法長官府である。資金面の重要性という観点からその効果を強調し過ぎという点が気にならないでもないが、今回のブログは、同府の2012年2月以来の具体的な活動内容を追いつつ、わが国としてきわめて遅れているこの分野の対策に取り組むうえでの参考とすべきと考え、急遽まとめた。
(注1)

 なお、いうまでもないが、本ブログの理念とするところである、一般メディアではフォローしていないリーガル・ブログとして、可能な限り内容の正確性を追った。すなわち、同州の法律、法執行機関の組織等の内容を正確に反映すべく、リンクや仮訳に努めた。


1.2011年12月13日 カリフォルニア州司法長官が「サイバー犯罪部(eCrime Unit)」の新設を公表

  司法長官カマラ・D・ハリス(Kamala D. Harris)は12月13日、司法長官府の検事や研究者部門とスタッフ要員およびID窃盗犯罪、サイバー犯罪や技術の使用を含む他の犯罪を特定し、起訴する任務を負う「サイバー犯罪部(eCrime Unit)」(注2)の新設を公表した。(注3)

 本ブログの第3項で詳述する司法省府内のプライバシー保護専門部(Privacy Enforcement and Protection Unit)(以下「プライバシー・ユニット」の創設は、「カリフォルニア州情報漏洩対策法(Security Breach Notification Law)」(SB-1386) (注4)の改正(2012年1月1日施行)に続く措置である。(注5)
 ここで同法の改正の要旨や経緯、各州の立法状況等につき、ローファームWSGRおよびInside Privacyの記事等にもとづき概観しておく。なお、今回の改正法案(S.B.No.24)の提案議員である上院議員ジョー・シミティアン(Joe Simitian:民主党パロアルト市選出)は、米国の州で2003年本法律を先行制定・施行したときの法案上程議員でもある。
 
*改正前法(旧法)では、カリフォルニア住民にかかる個人情報を含むコンピュータ化された情報の所有者または使用許諾者(Licenser)は無権限者により取得されたか,または合理的にそう信じうるときは、当該住民に通知しなくてはならないとされた。きわめて例外的な場合には、所有者ではないカリフォルニア住民の個人情報を占有する団体は、当該個人情報のセキュリティ侵害があったときは影響を受ける住民に通知しうることから所有者に通知しなければならない。通知の送付に加え、同法は書面(極られた例外がある)による送付は迅速かつ理由がない遅延なしに合法的な法執行ニーズに合致し、かつ侵害範囲の決定ならびに個人情報が存在するデータシステムの合理的完全性の保持に必要な手段に合致することを求める。

*改正法(SB-24)のポイントは、次の3点に要約できる。(注6)
①1つの漏洩・侵害行為で500人以上のカリフォルニア州民が漏洩の被害を被るときは、事業者はカリフォルニア州情報漏洩対策法にもとづき、漏洩通知の電子コピーを司法長官に送付しなければならない。

②カリフォルニア住民に対し、情報漏洩のタイプ、漏洩年月日、主要なクレジット信用情報機関のトールフリーダイヤル番号等標準的通知内容を確立しなくてはならない。

③事業者に対し、「1996年健康保険に関する携行性および説明責任に関する連邦法( Health Insurance Portability and Accountability Act of 1996:HIPAA)(P.L. 104-191)」(筆者追加注:HIPAAは保険医療情報を電子的に保管および伝達されるときのデータの形式、使用および安全性について標準化する包括的な法律である。同法により米国におけるケアの質の向上と事務管理コストの低減を図るため、患者カルテの管理のITの利用に関する法律および規則環境を劇的に改正することになった。また同法は事務の簡素化に関する諸規則制定を義務付けており、これを受けて、 「Privacy Rule」 「Security Rule」「Breach Notification Rule」「その他事務の簡素化にかかる規則」等が策定されている)のもとで適用される漏洩通知の遵守は,カリフォルニア州における漏洩通知の同意要件に遵守しているとみなす旨明確化する。

 なお、関連する法整備として、2013年4月カリフォルニア州は、企業が収集した消費者データを開示させる法律を策定した。「その要旨はカリフォルニア州は4月1日、州法を改正し、企業が収集したカルフォルニア州の住民のデータを開示できるようにする「Right to Know Act of 2013(2013年知る権利法)」 (注7)を制定した。この法律では、企業は外部からのデータ侵害などが発生した場合、企業が保有している過去一年間の収集データを30日以内に無償で州に提出する必要があるという。これにより、州は企業がマーケティング目的で収集 した顧客情報やその取引先の名前や連絡先情報、書面または電子メールなどのやりとりなど、オンライン・オフラインを問わず情報を得ることができるようになる」(2013.4.5 slashdot記事より抜粋、法律原文へのリンクは筆者が行った)および2013.4.4 解説記事)参照。

 ハリス長官は「今日の犯罪者は、ますますオンラインとオフラインで人々を犠牲にするためにインターネット、スマートフォンや他のデジタル機器を使用している。カリフォルニア州は、これらの犯罪者をターゲットにする革新的な法執行機関の技術を使用したリーダーとなるべく私はサイバー犯罪部(eCrime Unit)を新たに組織した」と述べた。
 サイバー犯罪部は、実質的に技術的要素を含む犯罪につき捜査および起訴を行う。次のような犯罪を含むすべての犯罪の種類と具体的記述を行う。

①なりすまし犯罪-インターネットは、電子メール・フィッシング詐欺やトローリング行為を通じ他人に関する個人情報について、インターネットを介した個人情報やアイデンティティを盗むため、犯罪者のための新しい方法を提供する。

②インターネットを使った詐欺-これには、電子メールを介してインターネットのオークションサイト上で犯す詐欺が含まれる。③コンピュータのコンポーネントまたはサービスにかかる盗難犯罪-製造所、データの貯蔵施設や小売店等における、高度に組織化された暴力団による住居侵入やコンピュータ、その他の電子機器の強盗。④偽造や著作権侵害などの知的財産犯罪 -映画、音楽、ソフトウェア等の著作物の無断配布ウェブサイトのみを目的とする大量のウェブサイトやオンラインネットワーク⑤児童搾取犯罪(Child exploitation)-オンライン児童ポルノネットワークやインターネットやソーシャル・メディアを使って子供に対して性犯罪を犯したい人々を撹乱させる。

 これらの犯罪の多くは、マルチ取締り管轄犯罪であり、州全体のレベルでの訴追に適している。サイバー犯罪部は、2012年8月に稼動開始したが、多くは複雑な技術犯罪に何年もの経験をもつ20人の検事や捜査官からなる。

 テクノロジー犯罪は、消費者、企業や州政府の事業遂行に影響を及ぼす。カリフォルニア州は、2010年にアイデンティティ盗難関連の消費者の苦情件数では、大都市圏トップ25の第10位にあった。連邦取引委員会によると、カリフォルニア州は、1人当たり個人情報の盗難の苦情申し立て件数は、全州のうち第3位にあたる。実際には、毎年、100万人以上のカリフォルニア州民が個人情報の盗難の犠牲者である。州全体合計損失額は昨年は46百万ドル(約45億5千万円)を上回った。

 また、サイバー犯罪部はハイテク盗取阻止・起訴支援基金プログラム(High Technology Theft Apprehension and Prosecution Trust Fund Program)(注8)(注9)を通じて資金およびカリフォルニア地域の5つのハイテクのタスクフォースへ捜査と起訴サポートを提供し、州外技術犯罪捜査要求の調整を提供した。また、サイバー犯罪部は、法執行官、検察官、司法機関にトレーニングを開発、提供するとともに、市民のためサイバー安全に関する強力な情報セキュリティ対策の重要性につき啓蒙活動を行った。


 ハリス長官は、サイバー犯罪部の仕事を例示いくつかのケースを概説した。
 2012年7月には、ジョージ·ブロンク、サクラメント地区の男は、セキュリティに関する質問を電子メールで送信するために答えを見つけることによって、電子メールアドレス、被害者のFacebookのアカウントにハッキングし、彼は下品な写真やビデオを発見した後、被害者を脅迫した。有罪判決を受け、州刑務所で4年以上の拘禁刑を言い渡された。この場合の被害者は、少なくとも17の米国州と英国に位置していた。ケースに関する詳しい情報を参照。

 また、ハリス長官は、サンホアキン控訴裁判所が2011年12月8日に陳張に対して5つの重罪訴因で起訴した旨発表した。張は、5つの異なる企業からの不正や偽造宝石の所持で起訴された。長官府の調べでは、2011年11月3日、トレーシーの住んでいた、カリフォルニア州の彼女の居住地からの模倣品の推定150万ドル(約1億4,900万円)を押収した。訴状のコピー、偽造宝石の写真は、本プレスリリースの電子版に添付されている。

 別のATMスキミング事件では、被告は、容疑者は7つの郡全体でATM設置場所で個人情報の盗難の詐欺を実行した。伝えられるところでは、彼らはPIN番号をキャプチャするために被害者のカード番号や隠しカメラをキャプチャするためにカードリーダーを使用していた。損失合計は200万ドル(約1億9,800万円)と推定される。
 また、サンルイスオビスポ郡で起きた別裁判事件(カリフォルニア州V. Aroutiounyan)では、サイバー犯罪部の部門はすべての7つの郡全体でのスキームの全体を捜査し、起訴・有罪に持ち込んだ。(注10)

 さらに司法長官は、サイバーの安全正強化にかかる専門の新しいウェブサイトの立ち上げを発表した。同サイトでは、オンラインでの子供の安全、個人情報の盗難防止のヒントや被害者への援助に関する情報等が含まると言う理由である。

2.司法長官府の主要モバイルアプリケーション・プラットホーム会社とのプライバシー強化協定

 2012年2月22日、ハリス司法長官はプラットホームがモバイル・アプリケーション市場の大部分を包括する6つの会社(Amazon, Apple, Google, Hewlett-Packard, Microsoft および Research In Motion(ブラックベリー(BlackBerry)は、カナダの通信機器メーカー。旧社名がリサーチ・イン・モーション・リミテッド)と協定を結んだ旨リリースした。

 これらのプラットホームは、個人情報を集めるモバイル・アプリケーションに関し、プライバシー・ポリシーを持つことを義務付けるカリフォルニア州法に沿って産業界が行うように定める5つの「プライバシー原則」に同意した。 今日販売されているモバイル・アプリケーション・販売サイトの大部分はプライバシー・ポリシーを含んでいない。

 ハリス司法長官は「あなたの個人のプライバシーはモバイル・アプリケーションを使用する際の費用ではないが、しかし、あまりにも頻繁の使用は結果としてそれは支払わねばならない費用となる。今回結んだ協定は、カリフォルニア州の消費者と地球の周りのモバイル・アプリケーションを使用する何百万人もの人々のプライバシー保護を強化する。モバイル・アプリケーションにはプライバシー・ポリシーがあることを確実にすることによって、司法機関や法執行機関は、より多くの透明性を作りだし、またモバイル・ユーザーにとって、だれが自分の個人情報にアクセスしているか、そしてそれがどのように使用されているかに関し、コントロール権を与える」と述べた。

 プライバシー・ポリシーは消費者にとって、重要な安全装置である。 プライバシー・ポリシーは会社がどう個人情報を集めて、使用して、共有するかの透明性を促進する。 今回のプラットホーム6社との協定は、モバイル・アプリケーションがカリフォルニア州「オンライン・プライバシー保護法(Online Privacy Protection:Business and Professional Code section 22575)」に従うことを保証するよう設計されている。同法は、モバイル・アプリケーションを含む商業ウェブサイトやオンラインサービスのオペレータに対し、カリフォルニア州民の個人情報を集める際のプライバシー・ポリシーの掲示を義務付ける。
  この協定は、ユーザーがむしろアプリをダウンロードする後ではなく、前もってのプライバシー・ポリシーのチェックする機会を消費者に与え、またアプリのプライバシー・ポリシーのためにアプリケーションダウンロード画面上、一貫した立場を消費者に提供するであろう。 アプリの開発者が彼ら自身が記載したプライバシー・ポリシーに従わないときは、法執行機関はカリフォルニア州「不公正競争法(Unfair Competition Law)」、かつ(または)、「虚偽広告禁止法(False Advertising Law)」にもとづき起訴できる。

 また、本協定は、消費者のプライバシーを尊重して、彼らがどんな個人情報を集めるか、その使用方法および共有の範囲を消費者に明らかにする彼らの義務に関して、アプリの開発者を教育するためにさらにプラットホーム会社に義務付ける。 プラットホーム各社はこれらのレポートに応じるために過程を実行するために関係法を遵守しないアプリに関する報告ツールをユーザに与えねばならず、これらの遵守につき会社を遂行させることによってプライバシー法への遵守を改良するうえで機能することになろう。
さらに、本協定締結の6カ月後にハリス司法長官は、モバイル空間におけるプライバシー問題を評価するため、モバイル・アプリケーション・プラットホーム6社を召集することになろう。

 主なプラットホーム会社では、現在ダウンロード可能なモバイル・アプリケーションの作成にあたる5万人以上の個人開発者がいる。アップルAppストアだけでも約40万人、またGoogleのAndroid Marketの売り物のでも約60万の利用者がいる。 これらのアプリケーションは350億回以上ダウンロードされている。

 これらの数字がさらに成長すると予想される。すなわち、2015年までに約980億のモバイル・アプリケーションがダウンロードされ、そしてモバイルアプリケーションの現在68億ドルの市場は4年以内に250億ドルまで成長すると予想される。このモバイルマーケットの急速な成長と拡大は、さまざまなプライバシー侵害リスクを消費者にさらす。 スマートフォンでは、ユーザーはしばしばオン時につながれたままで、豊富な個人 データを装置開発者に送る。モバイル機器のユーザは、プライバシー侵害に弱く、多数の事業者、あぷり開発者、分析サービス会社や広告ネットワークで濫用される。これらユーザの位置情報、接触情報、アイデンティティ、メッセージや写真を含んでいて、これらの事業者は機密情報に近づく手段を持ちうる。

 プライバシー・ポリシーがなければ、消費者にはどの会社がそれらが集める個人的データを処理するかは、ほとんど目に見えない。
 現在プラットホームを通過してダウンロードされ利用可能なモバイルアプリケーションの大部分が、最も基本的なプライバシー保護さえ行われていないと見込まれている。  最近の1つの研究によると、すべてのモバイルアプリケーションの5パーセントだけにはプライバシー・ポリシーがあることが判明した。

 すなわち、連邦取引委員会(FTC)の最近(2012年2月)の事務局スタッフ・レポート(Mobile Apps for Kids:Current Privacy Disclosures are Disappointing」)は両親が彼らの子供のためにモバイルアプリケーションをダウンロードする前に利用可能なプライバシー情報の不足を評価しまったくの期待はずれである批判した。

  このFTCレポートは、モバイル・アプリケーション・プラットホームのアプリ開発者が彼らのプライバシー実践内容の情報を表示するための一貫した手段を提供することにより両親と子供を助けるためにそれ以上のことをすることを勧告する内容である。
 FTCは、開発者がアプリ販売店と市場で彼らの情報を明らかにするようにプラットホームが指定されたスペースを提供して、プラットホームがアプリ開発者がそれらが集める個人的なデータを明らかにするという要件の実施を改良することを明確に勧めた。

  2011年8月にハリス長官は、モバイル・アプリケーションにはプライバシー・ポリシーがあることを必要とするカリフォルニア州法への遵守を改良する最もダイレクトな方法として、6つの会社(Amazon, Apple, Google, Hewlett-Packard, Microsoft および Research In Motionを召集した。 これらプラットホーム各社は、本日これらの原則遵守を公約して、現在それらを実行するために取り組んでいる。
 ハリス長官は、「カリフォルニアには、我が州の居住者のプライバシーを保護するユニークな取り組みがある。カリフォルニア州憲法は、直接のプライバシーの権利を保証する。また、我々はそれを防御するつもりですある」と述べ、さらに「モバイルのプライバシー原則の作り上げは、この共同声明が共同作業の権限はを示していることの鍛え上げであり、単独では解決できない政府、産業および消費者間の問題の解決を作り上げることを意味する」と追加した。

 また、2011年ハリス長官は、「なりすまし」、「プライバシー侵害」および「技術の悪意の使用にかかわる犯罪」を取り締まるためサイバー犯罪部(eCrime Unit)を新規に設けた。

(2)5原則にかかる共同声明文書の内容
①準拠法が必要であると定めているとおり、ユーザから個人情報を集めるアプリケーション(「app」)では、個人情報どのように集められ、使用され、また共有されるかにつき明確で完全な情報を提供する「app」のプライバシー実務慣習について説明するプライバシー・ポリシーまたは他の声明文を掲示しなければならない。

②より高度な透明性を促進して、プライバシーの問題の開発者としての認識を増強する取り組みでは、モバイルApps Market Companiesは新規アプリケーションまたはアップデートされたアプリケーションのためのアプリケーション承認プロセスに、(a) 「app」のプライバシー・ポリシーへのハイパーリンクか「app」のプライバシー実務慣行について説明する声明文のための任意のデータ・フィールド、または(b) 「app」のプライバシー・ポリシーのテキストか装置のプライバシー習慣について説明する声明文のための任意のデータ・フィールドのいずれかを含むことにする。
 利用可能なデータ分野でハイパーリンクまたはテキストを提出するのを選ぶ開発業者については、モバイル・アプリケーション・市場会社(Mobile Apps Market Companies)は、モバイルアプリケーション販売店からのハイパーリンクまたはテキストでのアクセスを可能にすることになろう。

③モバイル・アプリケーション・市場会社は、ユーザがサービス利用規約または、法律を遵守しないモバイルPlatform Companiesに報告するための手段を持っているか、または今後実装することになろう。

④モバイル・アプリケーション・市場会社は、サービス利用規約または法律を遵守しないモバイルPlatform Companiesに報告に迅速に対処するための手続きを持つかまたは実装することになろう。 モバイル・アプリケーション・市場会社がそのようなアプリケーションに関して取るいかなる行動も、法執行または準拠法違反として申し立てられた開発者に対する訴訟行為につき法執行機関や他の規制間地区機関の権利をも何等制限しない。

⑤モバイル・アプリケーション・市場会社は、一般に、モバイル・プライバシーのために最も良い実務慣習を開発し、モバイル・プライバシー・ポリシーを特にモデル化するためにカリフォルニア司法長官と共に働き続けるであろう。 6カ月以内に、関係者は、モバイル・プライバシーに関する教育プログラムに関するユーティリティを含むモバイル空間でのプライバシーを評価するために再度召集するであろう。

3.カリフォルニア州は2012年7月19日、司法長官府内に「プライバシー保護専門班(Privacy Enforcement and Protection Unit)」の創設発表

 司法長官は、同日、カリフォルニア州の個人情報保護法執行機関·州および連邦プライバシー法にもとづく民事訴追を通じて消費者や個人のプライバシーを保護することに注力するため、司法長官府内に「プライバシー保護専門部(プライバシー・ユニット)」の創設する旨発表した。

 長官のコメントは次のとおりである。
「21世紀では、我々は電話、コンピュータやクラウド上で我々の最も機密性の高い個人情報を共有、保存する。それは消費者が我々すべてが共有する情報について情報に基づく選択を行うことができるように、これらの技術革新は、個人情報をどのように使用するかを理解するために権限を与えていることが不可欠である。
 プライバシー・ユニットは責任を他人のプライバシーを侵害する技術を悪用した人々の責任を問うために、個人や組織におけるプライバシー実務慣行を取り締まるであろう。

カリフォルニア州憲法は、すべての人々のプライバシーの不可侵の権利を保証している。
(筆者追加注)同州の憲法第1章第1条の原文を引用する。
Article 1 Declaration of Rights

Section 1 All people are by nature free and independent and have
inalietionnable rights. Among these are enjoying and defending life and
liberty, acquiring, possessing, and protecting property, and pursuing
and obtaining safety, happiness, and privacy.

 プライバシー・ユニットは、カリフォルニアおよび連邦プライバシー法違反を起訴することで、この憲法上で保障された権利を保護する。プライバシー・ユニットは、プライバシー法を執行、消費者を教育し、産業界と革新事業者とのパートナーシップの鍛造など、プライバシーを保護するために、既存の司法省の取り組みを一元化する。
 プライバシー保護を実施し、保護するためのプライバシーユニットの使命範囲は広い。そこでは、個人、組織や政府が行う個人情報や機密情報の収集、保存、開示、破壊を規制する法律を執行する。これにはサイバー・プライバシー、健康面のプライバシー、金融取引とプライバシー、個人情報の盗難、政府の記録やデータ侵害に関連する法律を含む。プライバシーの専門知識を持つ単一の執行機関や教育ユニットに司法省の様々なプライバシー機能を組み合わせることで、カリフォルニア州は、より良い州のプライバシー法を完璧に遂行し、市民のプライバシーの権利を保護する。
 プライバシー・ユニットは、サイバー犯罪部の一部に属することになる予定であり、また、そのスタッフはプライバシー問題の法執行に集中するということを望む6人の検察官を含む司法省の官吏が担当する予定である。 以前カリフォルニア州プライバシー保護局の責任者ジョアン・マックナブは、Privacy EducationとPolicy部門の部長として、プライバシー・ユニット・スタッフの教育と公共福祉のために教育や援助を行う努力面で監督することになろう。

 カリフォルニア州民のプライバシーを保護するのは、ハリス長官の最優先事項の1つである。

4.司法・法執行機関エージェント専用モバイルアプリ(JusticeMobile app)の作成・稼動の公表

(1)ハリス長官は2013年9月9日、サンフランシスコ市長エド・リー(Ed Lee:李孟賢)、サンフランシスコ市警察署長グレッグ・スア(Greg Suhr)
は、とともに”JusticeMobile app”を立ち上げた旨報じた。
 ”JusticeMobile”は米国内で初めて連邦や州の犯罪情報に迅速にアクセス可能となる法執行官吏に供するモバイル・アプリである。これらの犯罪者情報を得るためこれまでは電話やラジオに頼ってきた。同アプリはこれまで5ケ月以上の間、600人以上のサンフランシスコ(SFPD)警察官によりテストされてきた。州全体にわたる警察内部情報へのアクセスだけでなく、連邦法執行データベースへのアクセスも可能へのの要員だけでなく、署内3600人の技術面の情報用具として交付する計画である。

 ハリス長官は「モバイル・アプリは銀行取引からゲームまですべての観点から利用されてきた。しかし、信じられないことであるが、法執行機関は今日までハンドヘルドやタブレットによる重要な犯罪司法情報にアクセスできるツールを持たなかった。モバイル・アプの採用は大衆や官吏の安全性にとって飛躍的前進(quantum leap)であり、また法執行機関による新技術の採用を積極的に取り組む面で強調することにつながる。

 司法長官府はSFPDの技術部、NPO団体である「San Francisco Citizens Initiative for Technology and Innovation :sf.citi」を介した技術会社とパートナーを組んでいる。

 ”JusticeMobile”は、強固なパスワードの要求、二要素認証を要求するバーチャル・プライベート・ネットワーク(注11)、暗号化、ダウンロードやバックアップ等の制限、コピーやスクリーンキャプチャーの禁止を実行している。

 また、”JusticeMobile”は違法な火器が危険な犯罪者の手に渡るのを防ぐためにも効果がある。司法長官府の担当官は自身のiPadsに同モバイルをインストールし、週末に開かれる火器展示会のバイヤー名を「Bureau of FIrearms Armed Prohibitied Persons databse」と照合した。以前はこの照合作業は1度に20名であったが、このappの使用により4倍たる80名の照合が可能となった。

(2)同アプリの具体定画像イメージ
 リリース文に各モバイル画面内容が具体的に確認できるよう添付されている。

****************************************************************************************************************
(注1)この問題は、2012年2月23日の engadget記事「アップル・Google・MSほか6社、アプリストアのプライバシー保護改善で合意。米加州司法長官が発表」でも取り上げている。しかし、その内容は司法長官府のリリース文の移訳がほとんどであり、紹介する意義は極めて薄いと考えるが、わが国で論じられていないこれまでの取り組み経緯、関係法、解釈等を織り交ぜて法律専門的な観点から整理した。

 被告ゲフォーク・アロシュニアン(Gervork Aroutiounyan:48歳)はチェイス銀行のATMコーナーに数台のカードリーダーを設置し、数人の顧客から「パスワード」、「口座情報」、および現金を盗んだ(スキミング)として、サンルイス・オビスホ(Sanluis Obispo)郡最高裁判所において、3年8ヶ月の拘禁刑と罰金刑320,728ドル(約3,175万円)を言い渡された。

(注2) わが国では”eCrime”の的確な訳語がない。「サイバー犯罪」という訳語が一応使えよう。なお、わが国でも警察庁や警視庁等、最近時サイバー専門部隊の強化策が報じられているが、その専門性の実態と強化の中身は不明である。

 ところで、英国の内務省とロンドン警視庁が共同して出資・設立した”Police Central e-crime Unit : PCeU”の組織・内容等について参考とすべく同サイトから簡単に引用しておく。

*ロンドン警視庁の”PCeU”は、サイバー犯罪の最も重大な事件への国家的捜査への対処を提供するために英国内務省とロンドン警視庁が2008年4月1日、共同で資金を供給して立ち上げた「犯罪専門総局(Special Crime Directorate )」の一部である。

 その任務:英国の国内および国際的なパートナーとともに、英国の国家サイバーセキュリティ戦略を支援すべく”National Cyber Security Strategy”(注9)を支持した、生活や業務を行う場所として英国の信用と信頼を機能アップする、より安全でより安心なサイバー環境の提供に寄与する。
 次のもっとも重大な事故にかかる責任として付託された厳密な権限を遂行する。

①コンピュータの違法侵入(Computer intrusion)
②悪意ある不正プログラムの配布(Distribution of malicious code)
③DOS攻撃(Denial of service attack)
④インターネットを介するがゆえに可能な詐欺犯罪(Internet-enabled fraud)

 ただし、以下の事項は除く。
①サイバー犯罪に関する定期的報告
National Fraud Reporting Centreに関するプロジェクト
Child Exploitation and Online Protection Centre (CEOP)内の付託事項に含まれるe-Crime 分野

(注3) 国際公共政策研究センター 主任研究員 石野 務「解説: 英国『サイバーセキュリティ政策』」参照(全21頁)

(注4) 損保ジャパン総合研究所「Global Insurance Topics Vol.13(2013.6.15) - 急拡大する米国サイバー保険市場 -」が改正前の同法につきわかりやすくまとめているので一部抜粋、引用する。一部筆者の責任でリンク等補筆した。
「米国では、各州の法律によって、企業がサイバー犯罪等によって自社が保有する個人情報を漏洩した場合、各州民に通知すること等が義務付けられている。このため、企業はサイバー犯罪による情報漏洩に関して自社防衛を行う必要があり、サイバー犯罪への関心が高まっている。これら州法の発端は、2003 年のカリフォルニア州情報漏洩対策法(Security Breach Notification Laws)にあり、これが全米に拡大していった。この法律により、カリフォルニア州の自治体関連機関・企業・個人が暗号化されていない個人情報を漏洩した場合、カリフォルニア州民へ通知することが制定された。こうした法律は、現在、アラバマ・ケンタッキー・ニューメキシコ・サウスダコタの 4州を除く全ての州で施行されている(全米州議会議員連盟NCSLの調査:2012年4月20日現在)
 州民への通知や説明等の義務の基本的な部分は同じであるが、詳細は州間で異なっており、例えば、州の中には当該企業のみならず下請け業者による個人情報漏洩も通知対象としている州や漏洩した場合に州民に原状回復や賠償請求を認めている州もある。また、企業が通知を怠った場合の罰金等も州により異なっている。一方、連邦レベルでは、金融機関や医療機関に対しては個人情報取扱を定めた法律が施行されているが、全ての企業・業種を対象とした法律は施行されていない。」(2011年法案S.1207「Data Security and Breach Notification Act of 2011」は委員会の審議のみ、また同年法案S.1408「Data Breach Notification Act of 2011」は委員会の審議・報告のみでいずれも廃案)

(注5)同法にいう「個人情報」の内容を具体的に明記しておく。
個人情報は氏名またはデータ要素が暗号化されていない時で、次のデータ要素のいずれか1つ以上と組み合わさったファーストネーム(またはファーストイニシャル)およびラストネームをいう。
①社会保障番号
②運転免許証番号またはカリフォルニア州IDカード番号(California Division of Motor Vehiclesのサイト参照)
③個人の金融取引アカウントへのアクセスを許可する証券コード、アクセスコード、パスワード等と組み合わせて使用する口座番号、クレジット・デビットカード番号
④個人の治療履歴、メンタルまたは身体の状況、医療従事者による治療

(注6) 2003年7月1日施行SB-1386法案の可決・成立にもとづきカリフォルニア州民法第1798.29条、1798.82条が追加された。今回の改正法案SB-24(2012年1月1日施行)の成立にもとづき同民法第1798.29条、1798.82条を改正する。その改正内容の詳細は、カリフォルニア州健康情報完全化局(California Office of Health Information Integrity)サイト等を参照されたい。

(注7) 同法案番号は「B1291」で、民法にプライバシー保護に関する1798.83条を追加するものである。

(注8)2010年カリフォルニア州刑法典 第6編 第5.7章 13848条から13848.6条 「ハイテク犯罪の検挙および訴追プログラム(2010 California Code : Penal Code: Chapter 5.7. High Technology Theft Apprehension And Prosecution Program (HTTAP):PENAL CODE:SECTION 13848-13848.6)」
 なお、「HTTAPプログラム」につき概要を引用しておく。

 *カリフォルニア刑法典(Penal Code)第13848条-13848.8条に従って認可されたもので、High Technology Theft ApprehensionとProsecution(HTTAP)プログラムを提供する。そして、5つの郡等地方の「ハイテク(HT)犯罪」と「なりすまし(HD)」に関する特別捜査班、さらに3つの追加的支援・教育プログラムに関する支援を特別捜査班に指示し、資金を供給する。

 HTTAP プログラムの一部として、HTTAP基金は州全体のハイテク関連犯罪の犯罪防止(deterring)、捜査、起訴等にかかわる検事、捜査官、法執行官に対する訓練プログラム、教育の開発と実現のため「カリフォルニア州連邦地区検事協会(任意団体)(the California District Attorneyss Association )」に対し資金が割り当てられる。

 また、HTTAP Programは、カリフォルニア司法省に対し、複数郡にまたがるハイテク特別捜査班のなりすまし特別捜査班における事件の進展と起訴の支援のための資金を充当する。
 
  HTTAP Program基金のもう1つの部分としては、犯罪抑止に関連する捜査官や法施行官のための教育、トレーニングおよび研究にかかる全州的なプログラム、調査、および高い技術関連の犯罪の起訴を立証するためにカリフォルニアのDOJ Advanced TrainingCenter に資金を割り当てる。2009年10月、DOJ Advanced Training Centerは、以前に締結した省庁間協定ではなく「カリフォルニア州緊急事態管理庁(California Emergency Manegement Agency:Ca EMA)」との協定にもとづく「交付金協定方式」に移行した。

 カリフォルニア刑法典(Penal Code§13848.6)は、かかる中でカリフォルニアの技術犯罪のうち最も高いプライオリティを扱うための包括的な書面よる戦略を定式化する目的で、 「ハイテク犯罪諮問委員会(High Technology Crime Advisory:HTCAC)」の設立を規定した。
 地方のハイテク特別捜査班は、この戦略を実装した。それは、データの不法なアクセス、破壊、偽物および窃盗に従事する犯罪組織、ネットワークおよび個人を捜査、逮捕、起訴する目的に関し、法執行手続きやデジタル証拠を利用する。

 カリフォルニア州刑法典で定める特定に違反行為に適用される。その委員は、法施行機関から指名された人物と民間企業の高度技術産業界の代表である。(注9)各委員は、ハイテク犯罪を思いとどまらせて、捜査、遂行することに向かい、彼らの取り組みにおけるカリフォルニア州ハイテク犯罪特別捜査班の有効性を見直し、議論するために四半期報告を行う。


(注9) ハイテク犯罪諮問委員会委員会の登録委員名を参考まで列記する。
*委員長:ソール・アーノルド(Saul Arnold):セミコンダクター・イクイップメント・マテリアルズ・インターナショナル(SEMI は、半導体・FPD・ナノテクノロジー・MEMS・太陽光発電・その他関連技術の製造装置・材料・関連サービスを提供している企業の国際的な工業会)
*ロバート・M・モーゲスター(Robert M.Morgester) :カリフォルニア州地区連邦検事局(Carifornia Atterney Generals Office)
*キース・トラッシュ(Keith Tresh):カリフォルニア州技術証情報セキュリティ局長
*ジャック・クリスティン,Jr.(Jack Christin,Jr):eBay 副法律顧問(Associate General Counsel)
*マーク・ドムナウアー(Mark Domnauer):Adobグローバル・安全・セキュリティ部長(米国電子協会:California Computer Software Producers代表)
*ジョセフ・フォード(Joseph Ford):バンク・オブ・ザ・ウェスト上級副頭取(SVP)・チーフセキュリティ担当役員
*ジョナソン・フェアトラフ(Jonahthan Fairtlough):ロスアンジェルス郡副連邦地区検事:カリフォルニア州連邦地区検事協会代表
*ポール・シアラスキ(Paul S.Sieracki):カリフォルニア通信協会理事長
*ジェームズ・クーパー(James Cooper):サクラメント郡保安官事務所所長
(筆者追加注)Sheriff(保安官)は、複数の市町村で構成する「County」(郡)という行政単位に設置される司法官。基本的な権限は郡内部において、警察権の行使、州刑務所・拘置所の警備や管理、州裁判所の警備など。州が持つ司法執行権を委託されている官職。州や自治体にもよるが、郡の住民の選挙で選ばれる。
*トーマス・クィルテイ(Thomas Quilty ):BD コンサルテイング・投資会社(ハイテク犯罪捜査協会(High Technology Crime Investigation Association)代表)
*ジョアン・マックナブ(カリフォルニア州司法長官府・情報保護局長(California Office of Privacy Protection))
*ダグラス・ダンフォード(Douglas Dunford):ガステイン警察署署長(カリフォルニア州警察署長協会代表)
*ケヴィン・スー(Kevin suh):Motion Picture Association of America(MPAA)副会長

(注10)「カリフォルニア州 V.Aroutiounyan」サイバー犯罪事件の事実概要と判決の内容およびサーバー犯罪部の貢献内容を見ておく。
2013年3月28日、ハリス長官はチェイスバンクのATMを利用したスキミング犯(共謀犯がいる)(Gervork Aroutiounyan)に対する約4年の拘禁刑と罰金320,728ドル(約3,175万円)

(注11) 仮想プライベートネットワーク( 仮想専用ネットワーク)(Virtual Private Network)とは、公衆回線をあたかも専用回線であるかのように利用できるサービス。企業内ネットワークの拠点間接続などに使われ、専用回線を導入するよりコストを抑えられる。
 古くは電話回線(音声通話サービス)で提供されていたもので、全国に拠点を持つ大企業の内線電話などを公衆網を中継して接続するサービスだった。最近ではもっぱらデータ通信の拠点間接続サービスのことを指し、企業内LANを通信キャリアの持つバックボーンネットワークを通じて相互に接続するサービスをいう。(IT用語辞典から一部抜粋)


**********************************************************************************************************
Copyright © 2006-2013芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

欧州委員会がクラウド・コンピューティングの信頼性強化と安全・公平な契約条件等の策定専門家グループ募集

2013-09-16 18:22:46 | クラウド・コンピューティング



 2012年10月1日の本ブログは、欧州委員会が2012年9月27日にモデル契約約款および新標準策定最終作業を2013年末までに行うことを公表した旨説明した。
   
 しかし、その時点では筆者の手元に限られた情報しかなく、また筆者自身十分な問題意識もないままに経過してきた。
 ところで、去る6月21日、欧州委員会は司法委員(Viviane Reding)を中心とした委員会事務局スタッフによる検討結果をふまえ、8月2日を応募期限とするクラウド・コンピューティング契約等とりまとめ案策定に関する専門家グループ(Expert Group:個人および団体)の組成に向けた公募を開始した。
   
 今回の公表資料はこれまでの経緯、資料等も含め網羅されていることもあり、またわが国では公開された解説資料もごく限られることから、改めて本ブログで取り上げた。
 なお、今回の検討問題の背景にはEUの基本戦略「Europe 2020」
(注1)、その下で2010年5月に立ち上げた7つの重要課題(flagships)の1つ目が「Digital Agenda for Europe」である。ここには7つ重点優先課題にかかる101の具体的行動をまとめた。さらに、2012年12月18日、更なるEUの成長と雇用の拡大を作り出すべく刺激策として「2013-2014年においてしなければならない優先アジェンダ(Digital"to-do"List:new digital priorities for 2013-2014)」をあらたに7領域を取りまとめ公表した。(注2)
 この6番目の領域が「公的購買力を介したクラウド・コンピューティングの加速」である。
(注3)

 クラウド・コンピューティング契約問題の重要性や専門性等から見て遅きに失した感がないでもないが、いずれにせよわが国でも正面からの取組みは避けては通れない問題である。


1.欧州委員会の専門家への参加募集通知
 
 欧州委員会は6月21日、クラウド・コンピューティング(以下「クラウド」という)の信頼性向上と欧州経済の生産性アップ等のためクラウド・サービスにかかる消費者個人や法人の消極的姿勢を解決すべく2012年9月27日にモデル契約約款および新標準策定を2013年末までに行う趣旨の「(EUにおけるクラウドコンピューテイングの発生にかかる相互対話(Communication on ”Unleashing the potential of cloud computing in Europe)」と題したリリース文Q&Aを受けて、専門家グループの組成手続きに入る旨リリースした。
   
 欧州委員会のリリース文に関する参考情報は次の内容である。
(1)参加条件の詳細は公募書面のとおり。
*能力・専門性
①個人的な専門的資質を有する者
②クラウドのプロバイダーや顧客といった公益を代表者する個人
③クラウド・サービス提供業者、顧客および法律事務所

*構成:専門家のカテゴリーと定員数
①クラウド・コンピューティングサービス提供事業者の代表(8名)
②クラウ・コンピューティングの利用者顧客の代表(8名)
③法律専門家・学識経験者(合計で4名)
④個人情報保護専門家(10名)

*専門家グループの構成のバランス
 委員会は次の点を考慮し最終構成員を決定する。
①地域的バランス
②EU域内の法システム
③ジェンダー

*申込書類など
①申込書(A motivation letter);2ページ以内
別添様式(Annex)の完全記入別添様式Ⅲに基づく履歴書(CV)

(2)専門家グループ組成後の欧州委員会の通知文書雛形

(3)欧州委員会の契約法問題全般に関する専門サイト

(4)欧州委員会のクラウド問題にかかる専門サイト

2.欧州委員会の検討状況と具体的内容

 2012年9月27日に公表した主要資料「COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS:Unleashing the Potential of Cloud Computing in Europe(COM(2012) 529 final)」の内容をチェックしてみた。全文16頁であるが、その大部分はクラウドに関する基礎知識といえるものである。
 今回問題となるクラウドの信頼性強化と安全・公平な契約条件等に関する部分として該当するのは10頁以下の部分3.2および3.4であろう。その部分を仮訳する。

3.2
委員会のクラウド・コンピューテイング環境整備にかかる主な具体的行動
 欧州委員会はこれらの最終目標にいたるため、クラウドに関する次の3つ具体的行動を行うこととした。
多様かつ複雑な各種クラウド標準の大胆な整理(Cutting through the Jungle of Standards))
(2)安全かつ公平な契約条件(Safe and Fair Contract Terms and Conditions)策定
(3)公的部門から改革や成長を引き出すEU全体にわたるクラウドのパートナーシップの確立(stablishing a European Cloud Partnership to drive innovation and growth from the public sector)

3.4
  安全かつ公平な契約条件の策定( Key Action 2: Safe and Fair Contract Terms and Conditions)
 伝統的なITアウトソーシング協定の内容は、データ保存の処理施設とサービスに関連するもので詳細にあらかじめ定義しかつ通常交渉が行われてきた。 一方、クラウド・コンピューティング契約は、本質的にはユーザーのニーズに応じたスケーラブルでかつフレキシブルなIT能力に無限に近づく手段を持つというフレームワークを作成する。 しかしながら、現在の伝統的なアウトソーシング契約と比較したとき、クラウド・コンピューティングのより大きい柔軟性のメリットは、顧客にとってクラウド・プロバイダーと間の不十分な特定性やバランスのとれた契約という上でしばしば確実性を減少させることにより相殺される。

 クラウド・サービス・プロバイダーのための法的枠組みの複雑さと不確実性は、しばしば大規模な注意書きや複雑な契約内容やサービスレベル契約を使用することを意味する。 申し出に対して受けるか否か、それ以上の交渉は受けないというという標準契約(take-it-or-leave-it" standard contracts )の使用は、プロバイダーのためのコスト節減であるかもしれないが、最終消費者を含むユーザにとってしばしば望ましくない。
 また、そのような契約は、プロバイダーにのみ好都合な準拠法の選択を選べたり、またはデータ回復を抑制するかもしれない。さらに大きい会社といえども、交渉権がほとんどなく、さらにその契約はデータ保全、秘密性またはサービスの継続性に関し、しばしば責任規定を明記しない場合がある。

 プロのユーザーの契約の場合を想定したとき、プロのユーザーにとってサービスレベル契約(SLA)(注4)のクラウド・コンピューティングのモデル利用条件の開発は、交渉・協議プロセスの間で起こる最も重要名な事項のひとつであ。 SLAは、クラウド・プロバイダーと専門家の利用者との関係を決定して、その結果、本質的にはユーザがサービスを提供するクラウド・プロバイダーの提供能力を判断するうえで信用の基礎を提供する。

 消費者と小企業に関しては、デジタル信用を築き上げるのを目的とする行動に関する欧州委員会の「欧州共通販売法に係る欧州議会及び理事会規則(案)(Regulation on a Common European Sale Law)」(注5)提案に関して統一した一連のルールを契約当事者に提供することで、加盟国の法律から分岐したの語幹{ごかん}解釈(stemming)障害問題に向けた寄与が可能になる。同提案は、クラウドコンピューティングのいくつかの局面をカバーするデジタル・コンテンツの供給に適合させられるた規則内容を含む。

 欧州共通販売法を超えるこれらの問題に対する特別な補足的作業がクラウドコンピューティングサービスにおいて、同様の任意の道具アプローチをもって関連する他の契約上の質問をカバーできるのを確実にすることが必要である。 この補足的な仕事は契約の終了、データ保存、データの公開とおよび完全性、データ位置と転送、調節・間接の責任、データの所有権、プロバイダーによるサービスの変化および下請け等をカバーすべきである。

 既存のEU法律はクラウド・サービスのユーザを保護するが、消費者はしばしば民事や商業適用法の件における準拠法と裁判管轄を含む明らかないつをもって契約上問題が生じるかなど関連する権利に気づかない。
 委員会のモデル契約条件の開発は、これらの問題を克服するのにおいて望ましいとして意見公募のもとで特定された。 産業界のユーザーや供給者は自己規制契約または規格化を求めた。 消費者と小企業との契約においては、任意の契約法の道具に基づくEUモデル契約条件が、透明で公正なクラウド・サービス契約を作成するのに必要であろう。
 
 モデル契約条件の点で最も良い実務慣行を特定して、見込み客の信頼を増強することによりクラウドコンピューティングが広めるとことの加速につながる。
 
 また、契約条件への適切な行動は、データ保護の重要な部門で支援する。前述したとおり、個人情報保護に関する委員会の規則案は、個人のためにEUとEEAの外に個人情報を移送するとき、とりわけ、クラウドに優しい拘束力がある法人の規則の採用のための必要となる条件の国際的なデータ転送を支配する標準の契約条項を通して保護の連続を確実にすることによって、高いレベルのプライバシー保護を保証するであろう。 これらの変化は、EUのデータ保護規則がクラウド・コンピューティングの地理的、技術的な現実性を満たすことを確実にするであろう。本委員会は2013年末までに次の項目の検討を終えるであろう。

(1)この分野で展開しているEU法規範体系(EU acquis)を考慮に入れて、クラウド・プロバイダーとプロのクラウド・ユーザ間の契約のためのクラウド・コンピューティング・サービスレベル契約のための利害関係者モデル契約条件を開発する。

(2)欧州共通販売法案の意見交換等に合致したかたちで、消費者や小企業に対し、欧州共通販売法案に落とし込めるようモデル契約条件を提案する。この主要な契約条件を標準化目的は「デジタル・コンテンツ」の供給に関連づけられた局面で最も良い実務慣行を提供することである。

(3)この目的に沿い、2013年末までに消費者と小企業のための、安全で公正な契約条件を特定するとともに、欧州共通販売法を超えるクラウド関連問題に関し、同様のオプショナルな道具にもとづき産業界を含専門家グループを組成する任務を課す。

(4)クラウド・コンピューティングのグローバルな成長に関し、次の事項につきヨーロッパへの積極参加を行う。
①必要に応じ、第三国への個人情報の移送とそのクラウドサービスの適用に関し標準の契約条項を再検討する、②そして、加盟国の国家のデータ保護当局に対しクラウド・プロバイダーのために「Binding Corporate Rules」(注6)を承認するよう要求する。

(5)クラウド・コンピューティング・プロバイダーが法的確実性と一貫性を確実にすることを保証するため、EU指令第29条専門委員会が認める情報保護規則の一定の適用をサポートするように行動規範とEU法の間の統一性を保証するため、行動規範に同意するよう産業界に働きかける。

*************************************************************************************************************
(注1) ”Europe 2020”について欧州委員会バロッソー委員長のコメントを記しておく。
*「Europe 2020」は、1998年にEUがまとめた今後の10年間におけるEUの成長戦略である。
変化する世界では、我々は、EUが「賢明」、「持続可能」でかつ「包括的」な経済になって欲しいと期待する。 互いにプライオリティを補強するこれらの3つの柱は、EUと加盟国が高いレベルの雇用、生産性および社会的一体性を提供するのを支援すべきである。

 具体的にいうと、EUは、雇用、革新、教育、社会的一体性、および気候/エネルギーに関する5つの野心的目的に2020年までに達するように設定した。 各加盟国はそれぞれのこれらの領域にそれ自身の各国家の目標を採用した。 EUと各国レベルにおいて具体的な活動を固めるため戦略を支持する。

(注2) 国会図書館海外立法情報調査室 植月献二「欧州デジタルアジェンダ:2013~2014 年の重点分野」(外国の立法 (2013.2))から一部抜粋する。

「欧州委員会は、2010 年に策定した欧州デジタルアジェンダの実施状況の調査結果に基づき、2012 年12 月18 日、2014 年末までにデジタル経済を更に活性化させるために7 つの重点分野を特定する政策文書を採択した。
「欧州デジタルアジェンダ」(COM(2010)245 final)は、欧州連合(EU)の成長戦略「欧州2020」(2010年3月策定)に掲げた7つの主要事業のうちの1つである。同事業は、2020年までにインターネットを基盤とする経済活動(デジタル経済)を繁栄させ、デジタル革命の恩恵を全ての人に広めることを目的とするもので、①デジタル分野の市場統合、②標準規格及び相互運用性の改善、③インターネットの信頼性及び安全性の向上、④インターネットアクセス確保と高速化、⑤最新技術の研究開発、⑥デジタルデバイドの解消、⑦多目的な技術開発の7つの目標を掲げている。」

(注3)2012年11月19日付け 駐日欧州連合代表部「デジタルアジェンダ: 官民のトップで構成されるEUのクラウドコンピューティングに関する委員会が始動」を参照されたい。欧州クラウドコンピューティング・パートナーシップ(ECP)の運営委員会が、本日ブリュッセルにおいて初会合し、欧州クラウドコンピューティング戦略に応じた、欧州連合(EU)のデジタル単一市場を構築するための、官民合同の作業を起動させた旨記されている。

(注4) SLAの定義として次の例がある。(2004年3月 独立行政法人情報処理推進機構「情報システムに係る政府調達へのSLA導入ガイドライン」
「ITサービスの提供者と委託者との間で、ITサービスの契約を締結する際に、提供するサービスの範囲・内容及び前提となる諸事項を踏まえた上で、サービスの品質に対する要求水準を規定するとともに、規定した内容が適正に実現されるための運営ルールを両者の合意として明文化したもの。 」

(注5) 2012年10月1日筆者ブログ「欧州委員会はクラウド・コンピューテイ ング・サービスのモデル契約約款と新標準策定を2013年末までに予定」の(注1)で、欧州委員会の「欧州共通販売法に係る欧州議会及び理事会規則(案) (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Comm on European Sales Law:CESL)」全文訳のURL等を参考として記している。

(注6) 2003 年初めに、EU指令第29 条特別専門調査委員会は、原則として「国際移転のための拘束力のある企業規則(binding corporate rules for international transfers)」の使用を承認する書面を発行した。これにより、会社が国際的に移転された情報が適切に保護されることを確保する企業グループ内の原則を準備することが予想される。ただし、これらの原則により、個人が関連するグループ会社に対して行使できる法的権利を与えられることが条件となる。言い換えれば、そのような原則には法的実効力がなくてはならない。(JETRO「EUおよび英国における情報保護法の重要性」ら一部抜粋(一部筆者の責任で補筆・リンクを張った)。(本レポートは、2003 年10 月21 日にジェトロ・ロンドンが主催した法務・労務セミナーにおいて、クリフォード・チャンス法律事務所が、情報保護法について講演した要旨を取りまとめたものである)

**********************************************************************************************************:

Copyright © 2006-2013 星野英二(Eiji Hoshino).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.




コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

EU情報保護指令第29条専門調査委員会がEU情報保護一般規則草案に対する詳細意見書を採択

2013-09-13 19:22:45 | プライバシー保護問題



 標記委員会(Artle 29 Working Party)(注1)は、2012年3月23日、去る1月25日に発表された1995年の個人情報保護指令(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)に取って代わる「欧州個人情報保護規則草案(Proposal for a Regulation of the European Parliament and the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation):COM(2012) 11)」および「欧州個人情報保護指令改定案(Proposal for a directive of the European Parliament and the Council. on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data:COM(2012) 10)」に対する詳細意見書「Opinion 01/2012 on the data protection reform proposals」を採択した。

 また、Artle 29 Working Partyは2012年10月5日に「EU情報保護一般規則草案」につき更なる意見書(Opinion 08/2012 providing further input on the data protection reform discussions 」(全45頁)を採択、公表した。

 筆者は2012年5月に本ブログの原稿を下書きしていたが、多忙なこともあり、棚上げにしていた。このほど、欧州議会、欧州委員会、Article 29 Working Partyを巻き込んだ米国NSAや英国のGCHQといった情報機関の日頃の活動、とりわけ米国とEU加盟国間の個人情報の移送にかかる監視問題をブログでまとめたことなどをきっかけとして、急遽本ブログをまとめることにした。(したがって、今回まとめていない詳細項目や前述の2012年10月の追加意見書等については、改めて紹介することにしたい)


1.「欧州個人情報保護規則草案」に対するWorking Partyの意見書
(1)内容の要旨
 アイルランドの大手ローファーム“A&L Goodbody”(注2)および“Hunton & Williams LLP”(注3)の解説記事が簡潔に要点をまとめており、抜粋・引用のうえ筆者が適宜補足した。
  
A.全体的な意見
 規則案のプライバシー保護に関し次のように積極的に取り組んでいる点を評価する。ただし、規則案の個々の事項・内容については、より明確化や見直しの余地がある。
EU市民(個人)にとっての意義:事業者の個人情報の取扱いのより透明性、データへのアクセス権、利用への反対権ならびにデータの携帯性に関する保護を強化し、またデータの削除権(right to be forgotten)や各国の保護コミッショナー(DPA)や裁判所を介した補償権行使の機会を強化した。

 データ・コントローラー(data controllers)にとっての意義:プライバシー・インパクト・アセスメント(プライバシー影響度評価)を通じ、加盟国事業者における情報保護担当役員(Data Protection Officer)の任命、データ漏えい通知義務および国際的な個人情報の移送に関する保護面からの予防的取組みにより、より一貫性を強化した。
 データ処理者(data processors)にとっての意義:当該処理がクラウド・サービス・プロバイダーのようなプロセッサーがコントローラーの指示の範囲を超えるような特別な処理を行うときのコントローラーの責任を明確・義務化する。
情報保護コミッショナー(DPAs)にとっての意義:課徴金(administrative fines)を含む独立性と権限強化を定め、かつ立法的措置に関する諮問を受ける責務が与えられる。

B.規則案に関する具体的な改善,修正意見
 “Working Party”(以下、「WP」という)規則案に関し、いくつかの明確化すべき点を提起する。例えば、データ主体は第一義的に居住地の裁判管轄権を持つDPAまたは該当地のデータ処理者やデータ・コントローラー宛に権利や司法手続きに関する苦情を申し出る必要があるが、現在の規則案ではこれらのデータ主体の権利の行使手続等につき混乱や不確実性が生じる可能がある。
  
 また、規則案はDPAsが本規則に定める状況下で課徴金を課すことよりも、いつ課徴金を課すかを決定する裁量権を持つ余地を持たねばならないことを推奨する。
 しかし、WPはそのような場合に2段階の通知手続きを導入するデータ漏えい通知義務(data breach notification duty)を定めることを勧奨する。データ・コントローラーによる情報漏えい違反の通知はそれが明らかになってから24時間以内に行うべきであり、24時間以内に明確に提供できなかった情報漏えいに関しては更なる機会で行うとするものである。このことは、時宜を得た漏えい違反通知の実現に結びつく。
  
 また、漏えい通知義務はデータ主体にとって影響が小さくまた不必要にDPAsの責務を負うような場合は除くべきである。
  
 個人情報の第三国への移送(data transfer)(注4)についてのデータ主体の同意等、法的根拠の逸脱措置は、「モデル契約」、「第三国への国際データ移転のための拘束的企業準則(BCRs)」および「セーフハーバー」等、その他のより適切なデータ移送メカニズムにより保証されるべく限定的に解すべきである。
  
 “right to be forgotten”は、第三者の所有下にある場合、データ・コントローラーがすでに存在しない場合など特にインターネット環境下では狭く考える必要がある。
  
 WPはデータ主体の自由権に関し重大な影響を持つものである「プロファイリング手法」として、「ウェブ解析ツール」、「ユーザ行動の調査目的の追跡」、「モバイル端末のアプリ・ソフトによる動機の創作」や「ソーシャル・ネットワークによる個人プロファイルの創作」を包含すべきであると考える。
  
 個人の情報保護の権利に影響がある中小企業の経営負担を減少させるための例外措置に関し、WPは情報の性格や範囲を考慮すべくより適切な代替手段の閾値(しきいち:threshhold)の使用の配慮を勧奨する。
  
 WPは、規則案の第4編(EUの予算関連(Budgetary Implication))で“Recitals”(注5)につき解釈注釈の「第24項」につき次の野通りの修正を勧奨する。すなわち、第24項は個人情報の定義に関し、「ID番号(identification numbers)、位置データ(location data)、オンライン識別子(online identifiers)その他特別な識別要素はあらゆる状況下の個人情報として考えられることが必要とされない」とするがこのような定義は、例えば「IPアドレス」や「クッキーID」という個人情報の概念を過度に制限的に解釈するものといえる。WPとしてはこのような場合は「IPアドレス」や「クッキーID」は個人情報であると具体的に明記すべきと勧奨する。
  
 第27項に関し、WPは多国籍企業(EU加盟国内の企業が所有すると否とにかかわらず)の主たる設立場所につき異なる事業部門に分かれて運営している場合を含みより明確な定義を行うべきと考える。
  
 さらに、第20項では「EU加盟国内に所在しないコントローラーによる情報処理活動ならびにデータ主体の行動のモニタリングを行うべく商品やサービスの提供にともなうデータ処理に適用する」と規定する。WPはこの「商品やサービスの提供」や「データ主体の行動モニタリング」につきより明確な定義が必要であると考える。
  
 DPAsには、特にはじめての規則違反や小規模な意図せざる不履行に関し、罰金を課す独自の権限を持たせるべきである。
  
(2)WPの個別の問題指摘
 A.「 COM(2012) 11」に関し、前述した事項を含む28の個別意見をまとめている。
  主な項目を挙げる。

・The Principle of Public access to information
・Exceptions introduced for public authorities
・Minors
Right to be forgotten
Direct marketing
Profiling
Data breach notification
With regard to the role and functioning of DPAs
Jurisdiction and competence of DPAs(one-stop- shop)
EDPB(European Data Protection Board) institutional structure
International transfers
Disclosure not authorised by EU law
Right to liability and compensation
Fines
Judicial remedies
B. 「 COM(2012) 10」に関し、前述した事項を含む9の個別意見をまとめている。
 主な項目を挙げる。
Choice of instrument
Consistency
Scope of application
Data processing principles
Data subject rights
Data controller oboligations
International transfers
Power of DPAs and co-operation
  
2.以下は省略する。


**********************************************************************************************
(注1) 「EU情報保護指令第29条専門調査委員会」はEUの全加盟国の個人情報保護コミッショナーの代表からなる委員、欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)および欧州委員会委員で構成されるEU機関。

(注2) 2012年4月17日に掲載した2012年3月23日の委員会の採択意見のまとめに関する同ローファームの第一次紹介レポート、また2012年10月5日のWPの追加意見書に関する解説リリースを参照。

(注3) Article 29 Working Party Opines on Proposed EU Data Protection Law Reform Package Posted on March 30

(注4) 第三国への国際的なデータ移転のための「拘束的企業準則」は、WPが策定している。http://www.caa.go.jp/seikatsu/kojin/H21report3a.pdf参照。

(注5) “Recitals”は“Whereas Clause”とも呼ばれ、Whereasで始まるいくつかの文章で、法令案の起草にいたった経緯・当事者の詳しい説明、当事者のこの契約における希望・契約の目的等を記すものであるが、概して精神条項的な規定も多い。
   
*******************************************************************************************************

Copyright © 2006-2013 星野英二(Eiji Hoshino).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ドイツの連邦・州の個人情報保護コミッショナーが非EU国への個人情報移送の新たな許可の一時停止を決定

2013-09-13 10:06:59 | EU加盟国の情報規制機関




 2ヶ月前の話になるが、7月24日、ドイツ連邦情報保護・情報自由化委員(Bfdi) (ペーター・シャール:Peter Schaar )や各州(Länder)の情報保護委員が、共同して標記措置の実施を決定した旨リリースした。 (注1)

 今回の措置は、言うまでもなく米国NSA(国家安全保障局)のPRISMプログラムへの対抗措置として行ったものであるが、ドイツにおけるこの問題を正面から取り上げたわが国のメディアやブログもないように思われるので、改めてその内容につき概観する。

 また、NSAへの対抗措置の問題は欧州委員会、欧州議会にも広がっている。9月5日の議会司法委員会の市民的自由・司法および域内委員会(Civil Liberties, Justice and Home Affairs:LIBE)は第1回公聴会で「 EU市民に対する電子的マス監視の実態、事実の公表にかかるジャーナリズム、エシェロン通信傍受システム(ECHERON interception system)
(注2) 」問題を取り上げているし、また議会は世界的かつ独占的な金融メッ セージサービス・プロバイダー(Society for Worldwide Interbank Financial Telecommunication:SWIFT)に関し、2010年に多くの論議を呼んだ米国とEU間のテロ情報の共有協定(Terrorist Finance Tracking Program:TFTP) (注3)の即時停止を求めるなど米国との関係は緊張感が増している。

 さらにこの問題は2012年7月4日に行われた欧州議会総会おける主要会派による決議案(JOINT MOTION FOR A RESOLUTION)と関係してくる。
  決議案の内容は米国の監視プログラムや加盟国の監視機関およびEU市民のプライバシー権への影響に対する抜本改善決議案といえるものである。その中身は採択決議文などで確認されたいが、たとえば、EU米国間の停止措置として起こりうるものとしては、「テロ資金追跡プログラム(Terrorist Finance Tracking Programme:TFTP)」や「Passenger Name Records:PNR)」(などのように重要なEUと米国の2大陸間の協定の停止、さらには「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership:ITTP)」についての議論を中断等が指摘されている。


 本議案につき、投票の結果は総数646,賛成483票、反対98票、棄権65であった。この決議は「拘束力のない決議 (non-binding resolution)」であり、議会は欧州連合理事会などEU政府や欧州委員会の幹部の支援なしに協定を取り消すことはできないし、実際そうはならないといえる。欧州議会の強硬派はEUが取りうる選択肢の1つとして大西洋をはさむ2大陸において何十億ドルの価値があると考えらる「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership:ITTP)」についての議論を中断させることである。この論議は欧州議会や欧州政府などに対し、きわめて難しい問題を投げかけている。

 今回のブログは、これらの重大課題について公的資料等に言及しつつ最新情報を提供する。


1.ドイツ連邦情報保護・情報自由化委員(bfdi)のリリース内容
 7月24日のリリース文を仮訳する。なお、リンク、注記に関しては筆者の責任で行った。(リリースDatenschutzkonferenz: Geheimdienste gefährden massiv den Datenverkehr zwischen Deutschland und außereuropäischen Staaten」

*外国諜報機関とりわけ米国NSAによる特別な悪行の疑いがないにもかかわらず大規模な監視対体制にかかるレポート・プログラムの暴露情報に対応して、ドイツ連邦、州の情報保護・情報自由化委員(共同会議:議長はブレーメン州の保護委員イムケ・ゾンマー(Imke Sommer)氏) (注5)連邦情報保護法(BDSG)およびEU情報保護指令が定めるドイツと非EU国の会社間での国際的な個人の移送に関し保護機関に与えられた監督権能を思い起こした。

 多くの決定において欧州委員会は「2000年セーフ・ハーバー原則(2000年)」ならびに「EU以外の国への個人情報移送に関する標準モデル契約条項(2004年・2010年)」を定義した。これらの原則は情報保護の適切な規格が米国やその他の国に送られる際の保証となりうるものである。
 
*しかしながら、欧州委員会はこれらの解釈につきセーフ・ハーバー原則や標準モデル契約条項に違反すると「実質的に見込める」時、監督機関は当該国への個人情報の移送を中断させうるということを強調した。
 現在がまさにその状況にあたる。欧州委員会がいう委員会決定の原則が違反されている「実質的に見込める」といえる。最新情報によると、NSAやその他の国の情報機関は大規模なかたちで悪行の疑いもなく、また必要性、適正および目的上の制限原則を無視したかたちでドイツ国内の会社から米国内への個人情報をアクセス可能にしている。

*「セーフハーバー協定」は、国家の安全または、法律がそのような権限を新たに認めた場合にセーフハーバー原則を遵守するという限定的規定内容を含む。しかしながら、効果的なプライバシー保護を提供する目的から見て、これらのアクセス権限実際に必要でありかつ過度でない範囲のみで使用されるべきである。民主主義国家では、国家安全問題は合理的な疑いがない限り包括的なアクセスを正当化できない。」
 標準モデル契約条項にもとづき個人情報を米国に移送するとき、個人情報の輸入者は彼らが知りうる限り最大限の努力を払い、彼らの国では重要な意味で条項の内容を保証することを妨げる法律がないことを述べねばならない。
 このような一般的承認は米国に存在するように思われる。すなわち、米国情報機関が決まりきって標準的的な契約条項に基づき移送する個人情報にアクセスすることが唯一の方法であるからである。

*ドイツ共同会議は、連邦政府に対し、ドイツ内で人々の個人情報をどのように効率的に標準条項の線に沿いつつ限定して外国情報機関による無制限なアクセスを認めるかにつき、もっともらしい(plausible)説明を行うよう求める。
 これが保証されるまで、BFDIは非EU国への新たな個人情報の移送許可を発行しないし、またそのような情報の移送がセーフハーバーの枠組みならびに標準契約条項に基づき中断すべきかにつき検証することになろう。

*最後に、共同会議は欧州委員会に対し、同委員会が行った「セーフハーバー協定に関する2000年決定(2000/520/EC)」 (注6)および「標準契約条項に関する2010年決定(2010/87/EU)」 (注7)につき外国の情報機関の過度の監視にの視点からの追って通知があるまで中断するよう求める。

2.ドイツの保護機関の代表的意見
(1)共同会議議長イムケ・ゾンマー氏(Imke Sommer)のコメント内容
 イムケ・ゾマー氏は、「共同会議は、連邦情報保護法およびEU保護指令に基づき保護機関に付与された権能を尊重するよう求める。個人情報をEU加盟国から米国に送る会社はこれらデータについての重い責任を負う。ドイツの関係者と同様に個人的なデータのフローにつき情報機関による大規模な監視をうけることがないよう関心を持つ必要がある。」

(2)ペーター・シャールのコメント内容
 ドイツの監督機関は、連邦政府に対し欧州や非欧州の包括的かつ正当な理由を欠く監視行為を阻止すべくハイレベルの交渉を行うよう強く求めてきた。

3.欧州委員会による「セーフハーバー」の下における情報保護の安全性に対する懸念や取り組み課題

 2013年7月19日、副委員長ヴィヴィアン・レデイングはPRISM問題につきリトニア共和国の首都ヴュリニュスで開かれた非公式司法委員会の場で、概要次のような所見を述べている。
*個人情報保護について
 本日の評議会は説得力ある合図をEU市民の送った。すべてのEU機関、団体はわがヨーロッパ大陸の強固な情報保護法を持つためには力を合わせなければならないことに同意する。フランスとドイツのモニタリングがないとそれらは機能しない。

 フランスとドイツの大臣が再度ヨーロッパの情報保護ための自由とセキュリティの間の正しいバランスを取るためにハイレベルの情報保護が必要であるとの共同宣言で確認したことはきわめて好ましいことである。
 また、欧州委員会が2012年1月に検討のテーブルに乗せた情報保護規則の改正 (注8)の迅速な採択が必要としている点も好ましいことである。PRISMは緊急の注意を促すべき問題であり、情報保護制度改革はEUの答えである。

*セーフハーバー問題
 セーフハーバー協定は結局のところそう安全ではないも知れない。米国の情報保護の規格はEUのレベルより低く、EUから米国に個人情報の移送を認めること自体抜け道であるかもしれない。
 私は、加盟国の大臣等に対し、年内に明らかにすべくセーフハーバーに対する確たる精査結果を報告できるよう進めている旨報告済である。

*今回の委員会提案の背景
 2012年1月に欧州委員会が提案した情報保護規則最終案 (注8)の内容につき、概要のみ記している。

4.欧州議会・市民的自由委員会の欧州委員会に対する質疑と9月5日公聴会の模様
(略す)


5.欧州議会におけるSWIF等に関し米国とEU間のテロ情報の共有協定の即時停止を求める具体的動き
 議会予備セッション(2013年7月1日~4日)における各議員の発言趣旨

 各会派の代表議員や欧州議会司法委員ヴィヴィアン・レディングの発言要旨は後述するし、またさらに動画による確認も可能である。




(この写真はいかなる意味? ドイツの議員アクセル・フォスの発言時の動画を見てほしい。どこかのファンが左下の人形を女史にプレゼントしている。以外とおおらかな雰囲気の本会議である。)

(2)7 月4日の議会総会決議
 欧州議会主要会派による決議案(JOINT MOTION FOR A RESOLUTION)の動向は、次のとおりである。その内容を含め、ZDnet記事をベースに仮訳する。なお、メディア記事が故の宿命であるが、表現全般がはしょっている。筆者の判断で補筆した。

*停止議案につき、投票の結果は賛成483票、反対98票、棄権65であった。この決議は「拘束力のない決議 (non-binding resolution)」であり、議会は欧州連合理事会などEU政府や欧州委員会の幹部の支援なしに協定を取り消すことはできないし、実際そうはならないといえる。
 しかし、この投票結果は同盟国に対する米国の電子盗聴行為に対する怒りの深さを表わすものであり、実際7月中旬の予定されていた米国との自由貿易に関する会談の呼び出しは何人かの議員から拒絶された。

*今回問題となっているテロリスト資金追跡プログラム(TETP)と「旅行者名記録(PNR)」の情報共有協定は、EU議会におけるEU市民の個人情報への米国の過度のアクセスを懸念にもかかわらず過去10年以内に締結されてきたものである。

*欧州議会は測定の上で国家安全保障局によって行われた大規模監視作業に関して米国政府に対して決議を採択する7月4日に投票を行った。
 欧州議会の予備セッションで、欧州議会の多数のメンバーは米国の情報活動の活動を囲む絵がより明確になるまで、現在進行中のEU米国の貿易交渉の停止を求めた。

*EU米国間の情報移転の停止措置として起こりうるものとしては、テロ資金追跡プログラム(TFTP)や旅行者名記録(PNR)などのように重要なEUと米国の2大陸間の協定の停止がある。

 米国政府は諜報機関が外国人を見張る上の国際的な外交危機に巻き込まれた。 前NSAの職員エドワード・スノーデンは米国がヨーロッパ連合を含む世界中の市民に関する多くのデータを取得するのに使う多くのプログラムを止めた。

*Temporaというコード名を付けたとき,チェルトナムを拠点とする受信基地GCHQが稼働中であり、海の下の光ファイバーケーブルを叩いたために見つけられた後、イギリス政府はNSAのスパイ伝説問題に巻き込まれた。

*欧州委員会・司法委員ヴィヴィアン・レデイング(Viviane Reding)は、彼女はTemporaの明確化を求める書簡を英国の外務大臣ウィリアム・ヘイグ(William Hague)あてに送ったと議会で述べた。

*その一方で、ロイターは、欧州委員会が、かりに英政府に対してイギリスに対する訴訟につながることができるEU法違反があるかどうかを調べていると報告した。これは欧州司法裁判所により科される金融制裁に通じるかもしれない。

 イギリスのEU議会議員サラ・ラッドフォード(Sarah Ludford)、他のEU加盟国が「また、NSAとの彼らの協力を見ることが必要である」と警告して、ウェストミンスターがその件で「聾して静かであった」と述べ、また英国のセキュリティと情報に関するイギリスの議会委員会が「より良い仕事をすること」を望むと発言した。

*PNRの停止はEUと米国の間の飛行禁止措置をおこすことになるかも知れない。

 7月4日に議会に提出された決議案では、さまざまな政党からのゆうに2ダースにのぼる多くのEU政治家は米国のスパイ行為は「外交関係に関するウィーン条約の重大な違反」と呼び、PNRの停止措置を求めた。

 現在、空港をはなれる前に、航空会社は乗客データとして氏名、出生年月日、クレジットかデビットカードの詳細や席番号とともに、以前犯罪容疑者かテロリストとして疑われたことが一度もないと言う顧客評価を行わねばならない。

 もし、旅客者がPNRシステムで疑いがもたれるなら、その席はヨーロッパの加盟国からの米国行きのフライトの停止をもたらすことになる。

*EU議会議員は米国との自由貿易議論の停止に混乱させられる。

 EUが取りうる選択肢の1つが大西洋の各端で両方の大陸において何十億ドルの価値があると考えらる「大西洋貿易投資パートナーシップ( Trans-Atlantic Trade and Investment Partnership:ITTP)」についての議論を中断させることである。

  ITTPは、貿易の関税を排除するのを支援するとともに、大西洋横断のパートナーシップと恩恵や、その他技術と科学産業ほかの分野へのドアを開けることになるものである。

 ドイツの議員アクセル・フォス(Axel Voss)は、オバマ政権が「適切に説明すべきである」と述べ、フランスの議員マリー・クリスティーヌ・ヴェルジエット(Marie -Christine Vergiat)とともにTTIPの上の代表団が中断するべきであるのを要求したフランスの議員。(なお、ヴェルジエットは、EUが28加盟国がスノーデンの亡命施設に与えるよう呼びかけた2人議員のひとりである)。

 また、スペインの議員ホアン・フェルナンド・ロペス・アギラール( Juan Fernando López Aguilar)(欧州議会の司法・域内問題委員会、市民的自由委員会の議長を務める)は米国との自由貿易協定交渉(TTIP)の停止を呼びかけた。

 しかし、7月5日に議会のその他の議員は、代わりに2つの大陸の間の個人情報交換システムの停止案を勧めた。

 イタリアの議員サルヴァトーレ・ラコリーノ(Salvatore Iacolino )は「米国は系統的に私たちの家、私たちの大使館、および私たちの団体に入っている。ちょうど始まったEUと米国の交渉を妨げるのは、二度繰り返しEU市民を罰するだろうことになり間違っている」と述べ、かわりに米国との「個人情報の交換」の停止を意図すべきと述べた。

 オランダ人の議員ソフィー・イン・ヘルト(Sophie in't Veld)(EUの、プライバシーと情報保護権の強い支持者)は、貿易交渉を中断させることに反対したが、EUがそれを「私たちが完全に信じることができるというわけではないパートナー国とは約定書に署名できないことを絶対に明確にするべきである」と断言した。
 彼女は同僚議員に「私は、それ以上、国家安全保障の議論を聞きたくはありません」と、言い足した。
 多くのEU議会議員が、米国大統領バラク・オバマが彼の政府の行動について説明するために議会で会うよう明確に呼びかけた。 9月11日のテロリストが米国を攻撃した後に、PRISMプログラムはジョージ W. ブッシュ大統領政権の間に始まった。

*EUの司法委員: 市民を救済すべきである、そうでなければ、同意はできない。

きたるべき欧州議会の決議の準備態勢にもかかわらず、レディングは米国とEU(欧州委員会の副委員長にとって大きな拍手と迎えられた決定である「かさの協定(umbrella agreement)」にサインしないでしょう。(この協定交渉の責任者は、EUはレディング、米国はDHS長官エリック・ホルダーである)

この協定は、2つの大陸の間で米国・EUが反テロ捜査のための今後の移送調整に関する目的で銀行業務データや乗客名簿データを共有するのをはるかに簡単にするように設計されている。

2つの大陸、「条項の約半分ではいくつかの進歩が見られました」の間の相互関係を引用して、レデイングは述べている。
「しかし、現在は、EU、米国の市民および有効な法的救済の平等の権利に関する主要な問題を記述するべき時である。私は、米国の国民にはEU内で保護される権利があるが、EU市民では米国で保護される権利ががなぜないのかを理解できない」 「私たちがその権利をあきらめたなら、とっくに協定に調印したであろう。」と述べた。

「そして、両大陸にとって相互関係がない限り、また我々がEU法によるデータ保有など難しい問題で解決策を見つけていない限り、私はこの協定に調印するつもりはない。」 と述べている。

(3)その後のEUと米国間の共同専門家グループの議論の経過
 EU議会などの怒りは強まる一方の用であるが、他方欧州委員会の姿勢は米国に対し手段、目的等明確な情報提供を求める方針であることは間違いない。

(4)2013年8月13日、 EU指令第29条調査委員会が欧州委員会に対する意見書「EU: WP29 questions PRISM compatibility with Safe Harbor principles」原文を提出した。


  *************************************************************************************************************

(注1) ドイツの情報保護制度に関しては筆者ブログ「Googleのストリートビューをめぐる海外Watchdog の対応とわが国の法的課題 (その5)(4)ドイツの例」ほか参照。

(注2)エシェロン通信傍受システムにつきわが国で正確に論じたレポートは限られる。たとえば、山口敏太郎氏のサイトなどがあげられよう。
一方、欧州議会のこの問題に関する2001年の報告書の取りまとめ経緯を見ておく。
2001年5月4日「 欧州議会のエシェロン通信傍受システム臨時委員会(Temporary Committee on the ECHELON Interception System)」が「作業報告書WORKING DOCUMENT(全92頁)」を公表し、また、同年7月11日「 REPORT on the existence of a global system for the interception of private and commercial communications (ECHELON interception system) (2001/2098(INI))最終報告書(194頁)」を公表している。

 今回、LIBEが改めてこの問題を取り上げ精力的に公聴会などを行っていることから見ても、再度議会での議論が高まる可能性が強いと考えられよう。(LIBEの審議内容・議題は公開されており、また、第三国の学生、研究者、ボランテア団体、トレイニー、オペア《AU pairs:外国の家庭で滞在させてもらう代わりに手伝いをしながら語学を学ぶ人》の傍聴参加を認めている)

(注3) 筆者は2010年2月9日の本ブログで 「EU議会が未承認のまま暫定発効したEU米国間のSWIFTテロ資金追跡 プログラム利用協定(その1)~(その6)」におけるEUと米国間のテロ資金追跡プログラムの内容と多くの論議につき取り上げた。今回、この問題が再度、EU議会でクローズアップされたといえる。

(注4)2012年4月19日、 駐日欧州連合代表部は「欧州議会、航空旅客の個人情報提供に関する米国との合意を承認 」をリリースした。欧州議会は4月19日(木)、欧州連合(EU)の航空旅客個人情報の米国当局への提供に関する新しい合意を承認した。同合意は、情報の保管期間、使用、データ保護措置、行政上および法的な救済(賠償)等の問題に対応し、法律上の諸条件を設けている。新合意は、2007年に結ばれた暫定合意を置換する、という内容である。

(注5)イムケ・ゾンマー女史は、2009年4月に自由ハンザ都市ブレーメン州の保護委員選任された。

(注6) 「セーフハーバー協定に関する2000年決定(2000/520/EC)」は、 欧州議会と欧州連合理事会の保護指令(Directive95/46)に従った保護の妥当性における2000年7月26日に採択されたもので、「Safe Harbour Privacy Principles」に関し、2000年8月28日(7頁もの)に米国商務省によって発行されたよく出る質問と関係づけている。

(注7) 「標準契約条項に関する2010年決定(2010/87/EU)」については、2010年3月7日の筆者ブログ「欧州委員会が非EU/EEA国のデータ処理者への個人情報移送に関する 改正標準契約条項を決定(その1)、(その2)」で詳しく解説している。
 
(注8) 2013年7月14日 筆者ブログ「欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の 解釈につきスペイン裁判所に意見書(その1) 」:2.「データ主体による削除請求権」に関する2012年12月EU委員会による「データ保護一般規則(案)」で詳しく解説している。

***************************************************************************************************************
Copyright © 2006-2013 星野英二(Eiji Hoshino).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.






コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

フィンランド行政最高裁判所が反検閲運動ウェブサイトの国家警察(NBI)による検閲は合法である旨最終判示

2013-09-06 11:05:12 | 人権問題



 さる8月26日、フィンランド行政最高裁判所は世界的に有名な反検閲運動ウェブサイトが国家警察(National Bureau of Investigation:NBI)の検閲リストに追加されたときにNBIの法律違反はなかったと判示した。この裁判は2011年5月2日に下されたヘルシンキ行政裁判所判決に対する上告裁判であるが、(1)この裁判の事実関係を含め最新情報を踏まえたわが国の解説はWikipediaも含め皆無である点、(2)フィンランドの行政裁判制度や「2006年児童ポルノ防止対策普及法」に関する正確な解説や訳文もないこと等から、あらためて本ブログで、その解説を試みることにした。

 いうまでもないが、この種の問題はフィンランドだけでない。例えば、2011年11月、英国の人権擁護NPOである”Internet Watch Foundation”の性的な自動虐待の内容を持つサイトへのアクセスを無効化(ISPへの通知)を目的とする自主規制機関ブラックリスト(URL list)の対象に載せられたため、英国でもっとも多く利用されているフアィル・ホステイング・サービス”Fileserve”
(注1)が何日間も使用不可となるという問題が生じた。このような問題に対応するため英国のISP等はIWFから通知を受けたときは行動をとるべく準備を行っている。またIWFと同様のデジタル時代の人権擁護NPOである”Open Rights Group”はブラックリストへの掲示によりごく一部の問題が原因で広く利用不可となることから、慎重な対応を取るべき点を指摘している。
 また、ニュージーランド内務省(DIA)が運営する「Internet and website filter システム」も児童ポルノに対するインターネットとウェブサイトのフィルタリングシステムとして、ISPを取り込んだ自発的なかたちでの子供の性的虐待イメージをホスティングするウェブサイトを阻止するDigital Child Exploitation Filtering System(DCEFS)も注目されている。DCEFSは、明確に、児童の性的虐待に関する好ましくない画像(ニュージーランド人はだれでもアクセスする重大な犯罪である)を提供するウェブサイトのみに焦点を合わせるものである。


 これらの国々やEU加盟国の個別フィルタリング強化の問題と2011年12月13日にEU議会および欧州連合理事会で採択された「2004年枠組み決定(2004/68/JHA))の撤回と性的虐待(sexual abuse)、性的搾取(sexual exploitation)および児童ポルノと戦うためのEU指令(DIRECTIVE 2011/92/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 13 December 2011 on combating the sexual abuse and sexual exploitation of children and child pornography, and replacing Council Framework Decision 2004/68/JHA)」とは緊密に関係する。同指令第25条は「児童ポルノを有し、又は発信する国内ウェブサイトに対してこれを直ちに削除させ、国外におけるものに対しては削除させるよう努力する。当該国内ウェブページへのインターネットアクセスは制限することができるが、透明な手続と適切な保護の規定が設けられなければならない。」と定めているからである。(わが国の課題に関しては
(注2)参照)

このように見てくると、わが国において立法者や研究者等も、より本格的に児童や未成年者の人権保護問題とデバイス利用の急速な範囲拡大問題につき論ずべき時期にあると考える。本ブログがその参考になれば幸いである。


1.事実関係の要約

(1)フィンランドの2006年の立法措置
 フィンランドは、児童ポルノ(child pornography)を配信するウェブサイトをターゲットとする検閲法(「2006年児童ポルノ配布防止対策普及法(Laki lapsipornografian levittämisen estotoimista: Act on Measures for Preventing the Distribution of Child Pornography (1068/2006))」)を2006年12月1日に成立、2012年1月1日に施行した。
 同法は全7条からなる短い法律である。ここで、仮訳しておく。
第1条 目的:本法は児童ポルノの内容を含む特定の海外サイトのアクセスをブロックすることにより子供の基本的権利の保護強化手段を強化することを目的とする。

第2条 定義:本法において、
1)児童ポルノ(barnpornografi)とは、インターネット経由で子供のわいせつな画像を取扱う行為、かつ
2)電気通信会社(Teleföretagens)とは、電気通信市場法第2条第17項ネットワーク・オペレーター事業または第19条にいう同法第4条の免許を受けた会社または同法第13条の電気通信通知を行う事業者をいう。

第3条 電気通信会社のサービス内容を決定する権利
電気通信オペレーター会社は、児童ポルノサイトへのアクセスを持たずに自身のサービスを提供する権利を持つ。

第4条 児童ポルノ・サイトのマッピング:警察(NBI)は、児童ポルノ・サイトのリストを作成、維持、アップデートすることができる。
警察は、この立法目的に即して非政府機関、私人、通信オペレーターおよび公的機関に対し必要な情報を提供を要請しかつ受領することが出来る。

第5条 警察の情報提供義務
 警察は、本法に関する理由にもとづきブロックするサイトに対し、通知する義務を負う。データシートの記載に関しては警察は電気通信会社と共同して行いうる。ブロックするサイト名はいつでも閲覧可能でなければならない。
 閲覧可能情報は次の情報を含まなければならない。
1)このサイトへのアクセスはブロックされる。
2)激増(proliferation)したと判断するときのアクセス規制基準
3)必要な場合の接続する情報資源に関する情報
4)第3項の契約において引用する事業体名

第6条 守秘義務と情報開示
 第4条の活動において、警察は規制機関としての守秘義務にもとづきリストを記載する。
 電気通信会社およびそのオペレーションにおいて「1999年 政府活動開示法(Act on the Openness of Government Activities 21.5.1999/621 (as amended up to Act No. 1060/2002))」第23条(筆者追記Section 23 — Non-disclosure and prohibition of use )および第35条(筆者追記Section 35ーPenal provisions )に定める慎重さを実践する。
 政府活動公開法に加え、警察は電気通信会社に第4条リストに関する情報の提供する権利を持つ。

第7条 施行時期
 本法は、2007年1月1日に施行する。本法の施行前においても法執行手段を行いうるものとする。

(2)フィンランドの検閲制度の批判活動家マッティ・ニッキ(Matti Nikki)が主催する批判サイト”Lapsiporno.info”(フィンランド語で「児童ポルノ」の意)が警察の秘密リストに掲載された問題の経緯

 2012年末、フィンランドで児童ポルノサイトへのブロッキングが実施されたが、翌1月に Nikki氏の運営する”Lapsiporno.info”というサイトがブロッキングの内容を解読する「リバースエンジニアリング」を行い、ブロックされたサイトのDNS名とIPアドレスのリストの一部を公開した。ところがその後、このサーバー自体が児童ポルノサイトとしてブロッキングされるようになったため、「児童ポルノを含まない検閲批判サイトまで恣意的にブロックしている」として起訴し裁判問題になった。 フィンランド国内の団体がこのリストに含まれる1047のサイトを精査したところ、9つのサイトが児童ポルノを掲載していたほか、9つのサイトが年齢不詳のポルノを掲載していた。28のサイトは違法か合法か判断が難しく、46のサイトは創作性の認められる児童をモデルとした作品で、残り879サイトに関しては合法なコンテンツしか存在しなかった。国内外の論議を呼ぶこととなった。

子供の諸権利保護にかかるフィンランド憲法や関係法 CRIN(子供の人権国際ネットワーク:Child Rights International Network:CRIN))のヨーロッパ部門であるENOC(European Network of Ombudspersons for Children) が詳しく解説している。個別法の内容についてはわが国で詳しく論じたものはない。筆者なりに各法律の原本にあたり調べた結果で記しておく。

A.「フィンランド憲法(Suomen perustuslaki)」(憲法の原文(英訳)を参照されたい)。特に、次の4条が子供の人権保護にかかわる規定にあたる。要旨のみ仮訳する。(なお、CRINの憲法英訳文は誤字等もあり必ずしも正確でない。筆者の判断で訳す際に前記finlex資料にもとづき修正した)

*第5条 出生および親子関係を通じたフィンランド市民権の取得(s. 5 addresses the acquisition of Finnish citizenship through birth and parentage)

*第6条 子供は平等かつ個人として扱われ、またわれかつ個人として彼らはそれらの発達のレベルに非常に対応しながら自分たちに関係する問題に影響を及ぼすことができるものとする(s. 6 provides that “children shall be treated equally and as individuals and they shall be allowed to influence matters pertaining to themselves to a degree corresponding to their level of development)

*第12条 児童の保護の必要な画像プログラムに関する制限規定は本法に定める。
(s.12provisions on restrictions relating to pictorial programmes that are necessary for the protection of children may be laid down by an Act)

*第19条 公権力は社会保障を通じ、子供に備えるのに責任がある家族と他の者を養う義務があり、彼らは子供の福祉と個人的な発達を確実にする能力がある。(s. 19 creates a right to social security, making specific reference to children and the families of those with children)

B.子供の保護に関係する法律
The Child Welfare Act (2007/417) amended 2010 :この法律の目的は、安全な生育環境とバランスのとれてた幅広い能力開発とおよび特別な保護への子供の権利を保護することである。

The Youth Act (2006/72) amended 2011:この法律の目的は、1) 若年層の成長と独立を支持して、若年層の積極的社会参加と権限委譲を促進して、若年層の成長と生活水準を改良することであり、2) 目的の実現は共通性、連帯感、公平さ、平等、多文化主義、インターナショナリズム、健康な生活スタイル、生命の敬意、および環境保護に基づいている。

*The Act on Measures for Preventing the Distribution of Child Pornography (1068/2006)

Act on the Ombudsman for Children (1221/2004):この法律は、子供の利益の実現と権利を促進するためには活動の分野の機関と同様に他の当局と他の行為者と提携したChildrenのためのOmbudsmanの義務を定める。

Young Workers' Act (998/1993) amended 2004 :この法律、個人部門または公共の部門における雇用関係で18歳(若い労働者)未満の者によって行われる仕事の従事に適用される。
*The Basic Education Act (628/1998) amended 2010
*The Child Daycare Act (1973/36) amended 2006(注3)
The Health Care Act (1326/2010)
*The Decree on maternity and child health services, schools and student health care and preventative oral health care for children and young people (380/2009) amended 2011

2.「Lapsiporno.info裁判」の経緯

 2011年6月1日の”Digital Civil Rights in Europe”が、それまでの経緯を含め詳しく報じている。ここでは、その概要を紹介する。

 フィンランド国家警察は前述した外国の児童ポルノウェブサイトへのアクセスをブロックするため完全に秘密裏にブラックリストを作成し、国内で適用できるようISPに配布していた。ISPがこのブラックリストを使用するのは任意であるが、2008年通信大臣であったスヴィ・リンデン(Suvi Linden)は、ISPがリストの使用を開始しないときは、義務化させると述べた。最初のころの規制の波が去った後、ブラックリストは使用されない時期に入った。

 ニッキは口頭でブラックリストにつき批判していたが、リンクしようと見つけたウェブサイトをロードしようとして偶然NBIのブラックリストを発見した。ニッキはこのブラックリストをウェブサイト上で発表したことから(彼のサイトのコンテンツとしては児童ポルノに関するものは皆無であった)、警察はニッキを児童ポルノを配信したとしてニッキを起訴し、その結果”Lapsiporno.info”サイトはブラックリストに載った。

 ニッキはヘルシンキ行政裁判所にNBIに対する訴えを起こしたが、2009年5月20日、同裁判所はブラックリストはフィンランド国外でホステイングされたサイトのみ阻止するものであり、ニッキの運営サイトを包含したことは違法であると判示した。

 被告(BNI)は行政最高裁判所に上告した。

 これに対し、最高裁判所は、2013年8月26日に次のとおり判示し、被告の勝訴とした。
「ウェブサイト”Lapsiporno.info”が違法なサイトにリンクしたりホステイングしていなくとも、本件において児童の危害からの保護は言論の自由に優先する」
また、もしlapsiporno.infoを合法的な材料をホステイングしているがゆえに合法であると判示したならば、他のサイトが非児童ポルノの材料を追加することで、ブロックを回避できてしまう。
 また、同法は外国サイトだけに適用され、外国サイトのドメインを記載するので、lapsiporno.infoサイトのブロッキング行為については、同法でカバーされていないという原告の主張を支持できない。」

 この最高裁判決は、”lapsiporno.info”がフィンランドのほとんどのISPによって阻止されたままであることを意味する。しかしながら、皮肉にもlapsiporno.infoは、フィンランドのサーバでホステイングされるその他の国々からはアクセス可能である。

3.フィンランドのレコード業界団体の取り組み

 国際レコード業界連合会(IFPI)のフィンランドレコード協会(Finnish National Group of IFPI)(以下、「IFPIフィンランド」という) )(注4)はスウェーデンの著作権反対運動ウェブサイトである「Pirate Bay」に対し、2013年4月に裁判闘争を開始した。
 IFPIフィンランドによると、「Pirate Bay」ウェブサイトは著作権で保護された音楽レコーディングにつき著作権者が何等の補償なしに違法なダウンロードを可能にした。
 このため、IFPIフィンランドはヘルシンキ地方裁判所に対し、フィンランドの大手通信会社Elisaの電話オペレータに対し、「Pirate Bay」の顧客からのアクセスを阻止するよう命じる裁判所命令を下すよう求めた。この要求は「著作権情報および反著作権センター(Copyright Information and Anti-Piracy Centre:CIAPC)」(注5)が行った。

 この告訴は電話オペレータ個人をターゲットとしているが、IFPIフィンランドは引き続きの裁判において他のISPに対し同じ要求を行うかもしれない。すなわち、IFPIフィンランドの代表者であるラウリ・レチャルド(Lau ri Rechardt)は「Pirate Bay」のようなウェブサイトが機能し続ける限り、フィンランドで合法的ダウンロード市場の発展は望めないと述べた。

 この裁判でフィンランドの大手通信会社Elisa のプロデュース部長であるパヌ・レヒティ(Panu Lehti)ははこの裁判は当社の1人の電話オペレータを被告とするきわめて例外的なものでElisaは「Prate bay」の活動に関し、いずれか一方の側につかない。われわれはヘルシンキ地方裁判所の判決を待つ。
レヒティは、Elisaは著作権で保護されたコンテンツに関し、反検閲活動や違法な配布には反対の立場を取ると述べている。

 なお、2012年2月1日、スェーデン最高裁判所(Högsta domstolen)は「Piracy Bay」の創設者のうち3人(フレデリック・ネイエ:Fredrik Neij、ピエート・シュンダ:Peter Sunde、カール・ルンドストローム:Carl Lundstrom)に対する1年の実刑判決と損害賠償金約360万ドル(約5億5,600万円)の支払いにつき被告の控訴審に対する上告を却下し、確定した。(注6)

 
4.英国における民間自主規制によるブラックリスト問題

 英国の人権擁護団体である”Internet Watch Foundation”(IWF)は違法な犯罪となる子供の性的虐待にかかるインターネット・コンテンツの循環を除去すべくブラックリストのISPへの提供とインタ-ネット・ホットラインを準備し、全英ベースでの「通知と違法サイトを分解」させる団体として活動している。
 英国内でほとんど根絶された任務でもってその他の犯罪内容の源を根絶することを最大の目的としている。
 また、同時に英国の法律の範囲内でかつ国内の法執行機関と協力した捜査や調査が行えるよう、各英国以外のウェブサイトの詳細につきパートナー国のホットラインを通じて児童の性的虐待の画像等が流布されることの阻止のため国際的な活動を行っている。
 その違法なコンテンツの除去ステップの間、英国ISP業界は自発的にIWFが提供するリスト(URL List)を活用して違法サイトへのアクセスのブロックに合意した。

 ここでは、IWFの”URL List”に関する主要解説項目について概観しておく。詳しくは付記したURLで原文を参照されたい。

(1)IWF URL LiIst Polocy and Procedures 
 児童の性的虐待にかかるURLの評価や本リストに関し遵守されるべきポリシーと手順につき解説している。

(2)IWF URL List Recipients 
 具体的な協力ISP名やグループ名が列記される。

(3) Frequency asked questions 
本制度にかかる詳細な解説をQ&Aでまとめている。

Blocking Good Practice
効果的ブロッキングのための良き実践例

5.オーストラリア連邦警察やACM による児童ポルノブロックのリストの実施状況

(1)2011年6月28日のCyberLaw Blogは次のような解説記事を載せた。

「オーストラリアの連邦警察当局(Australian Federal Police :AFP)はオンライン児童虐待をする材料となることを狙う任意のインターネット・フィルタイング計画の下で、初めてのISP検閲通知システムの準備を開始した。
 この初めての任意のフィルタリング・プログラムは”Telstra”が2010年7月に連邦政府が慎重であったため対応に揺れ動いており困難を極める模様であった。
しかしながら、6月27日、Telstraはこの計画が国際刑事警察機構(Interpol)により維持されかつAFPが入念に検査したブロック・リストの材料が狭い範囲限定されるという計画に関するとする公約を確認した。
 また、大手キャリアーである”Optus”(オーストラリア 第2の通信会社で、シンガポール最大の通信会社シンガポール・テレコムに所有されている)も”Interpol List”にもとづく計画に従うが、7月下旬まではサイト・ブロックは開始しないことを確認した。

 さらに、オーストラリアのインターネット産業連合会(Internet Industry Association:IIA)はInterpol Listにもとづく産業界全体の計画の枠組みを明らかにした。
当時IIAの代表であったペーター・コロネオス(Peter Coroneos)はこの計画は今日、テロや重大犯罪の捜査を目的とする規定であった「1997年電気通信法(Telecommunications Act)」の関連規定(313条)を適用する初めてのケースになると述べた。

 AFPのハイテク犯罪活動班の部長であったグランド・エドワーズ(Grand Edwards)は、AFPは任意の遵守の下でブロックを求める児童の虐待内容を含むサイトのリストをISPする準備を進めていたと述べた。さらにエドワーズは
1997年電気通信法313条の下でISPに発行する番号を手続き中であると述べた。

 さらに、”Optus”はブロックリストの取り組みは尊敬に値すると述べた。そのスポークスウーマンは「このシステムは安全で、信頼に足りかつ他の国々で十分な試験を行ってきたアプローチである」と述べた。

 一方、ISPである”iiNet”、 ”Internode””Primus”を含む中小ISPはこの計画に関してはコメントを差し控えたままであった。

 なお、人権擁護団体”Civil Liberties Australia”は児童ポルノをブロックしようとする政府の姿勢は支持するものの、オーストラリアの主要ISP 2社が採用を予定するインターネットフィルタリングプログラムが7月にオンライン児童虐待問題を包み隠す点ならびに、直接法執行にあたる政府機関が無視されることの懸念を述べた。

 また、児童の保護支援団体である”Child Wise”の代表であるバナーデット・マックメナミン(Bernadette McMenamin)は、フィルタリングシステムの欠点の問題が計画を批判する理由とはなり得ないし、普通のオーストラリア人は、フィルター環境を回避できるほどのエリートハッカーではない、と述べた。

(2)2013年2月AFPは児童の保護オペレーションにつき次のようなリリースを行った。また、ACMA(注7)との間でオンライン性犯罪取締まり強化にかかる合意文書 (Agreement signed to target online child sex crime)を締結した。

 AFPには、どんな環境に彼らがいても子供と若年層が確実に安全になるようにする際に行動する重要な役割がある。 この役割を実現させる際に、AFPはすべてのオーストラリアの警察機関、多くの国際的な政府機関、政府の各省、産業および非営利団体との強いパートナーシップを作り上げた。

 ”REPORT ONLINE CHILD SEX EXPLOITATION” につき、 AFPは特にオンラインで若年層を安全に保つことと関連して多くの防犯と認識の引き上げイニシアチブにかかわる。
  以下のリンクか私たちのオンライン調査フォームでこれらのイニシアチブと関連した調査をすることができる。

 AFPはHigh Tech Crime Operationsユニットを通してオンライン子供との性交開発と子どもとの性交観光に関連している犯罪の調査に責任がある。 重要な刑罰規定はこれらの犯罪行為に適用される。

6.ニュージーランドのDigital Child Exploitation Filtering Systemの実態

 2012年2月7日、ニュージーランドの人権擁護団体(注8)の代表であるジョシュア・グレインジャー(Joshua Grainger)は、連邦内務省に対し、公的情報公開法に基づき標記システムにつき開示請求を行った。
 これに対し、内務省の回答が公開されている。本ブログでは詳しくは解説しないが、このような支援団体があること自体が研究材料といえよう。

 関係するサイトのURLを記す。
① http://www.dia.govt.nz/Censorship-DCEFS
ニュージーランド内務省のフィルタリングサイト
②7 http://www.dia.govt.nz/Censorship
ニュージーランド内務省の検閲に関する専門サイト


7.EUの「2004年枠組み決定(2004/68/JHA))の撤回と性的虐待(sexual abuse)、性的搾取(sexual exploitation)および児童ポルノと戦うためのEU指令」の検討経緯

 概要のみまとめておく。
(1)2009年3月29日、欧州委員会は標記指令草案を採択した旨リリースした。同時に「指令草案に関するQ&A 」を公表した。
(2)2011年12月13日にEUは「The European Union (EU) adopts legislation aimed at combating sexual offences committed against children. The Directive covers different aspects such as sanctions, prevention, and assistance for victims. Specific provisions are provided concerning child pornography on the Internet and sexual tourism」を公表し、欧州議会および欧州連合理事会において指令案を可決した旨明らかにした。
 同指令の要旨は、わが国では国会図書館 植月 献二「外国の立法:【EU】 児童の性的搾取・児童ポルノ等の対策強化指令」が整理しまとめている。

8.わが国で検討すべき課題につき若干の考察

 時間の関係でここでは詳しく論じないが、前述したとおり、ブラックリストによる安易なアクセス規制は、一般論としては情報規制を伴うし、各種ITサービス全体の機能低下をもたらすといえる。
 ここではフィンランドや英国等の論議をふまえ、わが国として検討すべき課題のみ整理しておく。
①ブラックリストの作成につきフィンランド等方式を取るかあるいは英国等のように自主規制機関方式を採用するか。
②システムの透明性をどのように担保するか。
③日本国外のURLのみリスト化の対象とすべきか。

***********************************************************************************************
(注1)オンラインストレージとは、各種データを保存するためのディスクの空き領域をインターネットを通じて貸し出すサービス。有料のものと無料のものがあり、後者では利用時に広告を表示したり、利用できる容量に制限があったりする。自宅・職場・外出先で同じファイルを利用できるほか、複数の利用者によるデータの共有も可能。「ネットストレージ」、「オンラインストレージサービス」、「ストレージサービス」、「ファイルホスティングサービス」ともいう。(kotobank.jp から引用)

(注2)わが国では1999年に「 児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律(平成11年5月26日法律第52号)」が成立、施行されている。その第7条がフィンランド立法(2006年児童ポルノ配布防止対策普及法)に該当する規制法といえる。
(児童ポルノ提供等)
第七条  児童ポルノを提供した者は、三年以下の懲役又は三百万円以下の罰金に処する。電気通信回線を通じて第二条第三項各号のいずれかに掲げる児童の姿態を視覚により認識することができる方法により描写した情報を記録した電磁的記録その他の記録を提供した者も、同様とする。
2  前項に掲げる行為の目的で、児童ポルノを製造し、所持し、運搬し、本邦に輸入し、又は本邦から輸出した者も、同項と同様とする。同項に掲げる行為の目的で、同項の電磁的記録を保管した者も、同様とする。
3  前項に規定するもののほか、児童に第二条第三項各号のいずれかに掲げる姿態をとらせ、これを写真、電磁的記録に係る記録媒体その他の物に描写することにより、当該児童に係る児童ポルノを製造した者も、第一項と同様とする。
4  児童ポルノを不特定若しくは多数の者に提供し、又は公然と陳列した者は、五年以下の懲役若しくは五百万円以下の罰金に処し、又はこれを併科する。電気通信回線を通じて第二条第三項各号のいずれかに掲げる児童の姿態を視覚により認識することができる方法により描写した情報を記録した電磁的記録その他の記録を不特定又は多数の者に提供した者も、同様とする。
5  前項に掲げる行為の目的で、児童ポルノを製造し、所持し、運搬し、本邦に輸入し、又は本邦から輸出した者も、同項と同様とする。同項に掲げる行為の目的で、同項の電磁的記録を保管した者も、同様とする。
6  第四項に掲げる行為の目的で、児童ポルノを外国に輸入し、又は外国から輸出した日本国民も、同項と同様とする。

 なお、第169回国会衆議院議員提案:において、児童買春、児童ポルノに係る行為等の処罰及び児童の保護等に関する法律の一部を改正する法律案要綱の改正案が示されている点に留意すべきである。

(インターネットの利用に係る事業者の努力)
第十四条の二 インターネットを利用した不特定の者に対する情報の発信又はその情報の閲覧等のために必要な電気通信役務(電気通信事業法(昭和五十九年法律第八十六号)第二条第三号に規定する電気通信役務をいう。)を提供する事業者は、児童ポルノの所持、提供等の行為による被害がインターネットを通じて容易に拡大し、これによりいったん国内外に児童ポルノが拡散した場合においてはその廃棄、削除等による児童の権利回復は著しく困難になることにかんがみ、捜査機関への協力、当該事業者が有する管理権限に基づき児童ポルノに係る情報の送信を防止する措置その他インターネットを利用したこれらの行為の防止に資するための措置を講ずるよう努めるものとする。

(注3) 「 The Child Daycare Act (1973/36) amended 2006」に関し、わが国では研究報告 伊藤喬治「現代のフィンランドにおける〈保育〉制度と保育者養成」が詳しく解説しているので、そのURL(http://ir.nul.nagoya-u.ac.jp/jspui/bitstream/2237/7658/1/25-33.pdf)のみ記しておく。

(注4) IFPIフィンランド(フィンランドのMusiikkituottajatのIFPI www.ifpi.orgのフィンランドのNational Group)は、フィンランドのレコード会社23社を代表する国家レベルの業界団体。 メンバーは主要な国際的なレコード会社(EMI、ソニー、Universalおよびワーナー)から小さい独立系レコード・プロデューサーまで及ぶ。IFPIフィンランドはメンバーによって融資された民間非営利組織である。フィンランドの総音楽市場販売の約95%のシェアを占める。

(注5) ”CIAPC”は、フィンランド教育・文化省( Opetus- ja kulttuuriministeriö:http://www.minedu.fi/ )とともにメンバー協会によって資金支援される非営利団体である。その目的と任務は、著作権の侵害に不利に働くことについて、メンバー協会の一般的な利益をモニターして、その改良措置を実行することにある。

(注6) 同裁判につきわが国でも翻訳解説記事がある。なお、フィンランドと同様、スェーデンの児童ポルノに対する裁判所の姿勢は厳しく、2012年5月16日の 記事で最高裁が児童ポルノのマンガ本の翻訳者(manga translator)(シモン・ルンドストロ-ム:Simon Lundstrom)が39のマンガ画像を保持していたことに対する有罪判決が確定した旨報じられている。
 この裁判で、被告弁護側証人であるガルブ大学の研究者ヨハン・ホリエル(Johan Hojer)は「この画像に表示されている人は現実にいる人でない。検察の起訴はこれらの画像はカムフラージュされた写真であるとみなす傾向があるが、これらはあくまでアニメの幻想である」と証言した。
 一方、検察官ヘビッヒ・トロスト(Hedvig Trost)は審理の間、「画像は子供に性行為の実行を強要しうるし、描かれたものは本当の子供であるかもしれず、また描く際に本当の子供の写真が使用されたかも知れない。外部からオリジナルの写真があったかどうかは知りえない」と述べた。 本裁判第一審であるウプサラ(Uppsala)地方裁判所は2010年6月に被告のPC内にあった画像51枚につき有罪とし、罰金25,000クローナ(約37万1,250円)を命じた。スヴィア(Svea)控訴裁判所は有罪判決を支持したが、違法な画像数を39として罰金額を5,600 クローナ(約83,000円)に引き下げた。

 被告は、最近10年間でドイツのハンブルクに本社を持つ漫画や児童書の出版社で 現在ドイツにおける3大漫画出版社のひとつであるボニエ・カールセン(Bonnier Carlsen)の2つのシリーズにおける80本以上の翻訳を引き受けていたが、第一審判決後、カールセンは被告との契約を破棄した。

(注7)オーストラリアでは、ACMAの禁止コンテンツに関する非公開のブラックリストの内容を公開しているサイトがある。2010年3月29日 Libertus .net記事「About the ACMA's Blacklist of "Prohibited Content"」が報じたもので2007~2009年の間のデータをベースに解説している。

(注8) FYIは、ニュージーランド人が公的にオンラインで「1982年公的情報公開法(Official Information Act :OIA)」および「1987年地方政府の公的情報および会合情報公開法(Local Government Official Information and Meetings Act:LGOIMA)」の公開要求行為の支援団体のウェブサイトである。

***********************************************************************************************
Copyright © 2006-2013 星野英二(Eiji Hoshino).
All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.




コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする