「連邦証券取引委員会の最終的なクラウドファンディング規則の採択に関する検討レポート」(その１)

　筆者の手元にコロンビア大学ロースクールのブログ「ラザム・ワトキンズ法律事務所は、連邦証券取引委員会(SEC)の最終的なクラウドファンディング規則の採択結果につき検討」が届いた。

　すでに、筆者はSECの10月30日のリリース文および「最終規則(Final Crowdfunding Rules)」等は読んでいたが、本ブログで取り上げるタイミングを考えていた。 (注1) 

　そのような中で、コロンビア・ロースクールのほかハーバード・ロースクールの「企業統治と金融規制に関するフォーラム(Harvard Law School Forum on Corporate Governance and Financial Regulation)」サイトのレポート(Andrew J. Foley, Paul, Weiss, Rifkind, Wharton & Garrison LLP 、 ”SEC Adopts Final Rules for Crowdfunding”を読んで、消費者保護等の観点からわが国でもその内容を正確に理解すべくと考え、本ブログを改めて書き始めた。

  　特に、本文で述べる「JOB Act立法」や「クラウドファンディング規則」の立法措置の背景には米国の金融政策があることは言うまでもない。証券取引法の例外規定等もあり、十分精査されるべき内容を含む。 

　SECの最終規則の内容はわが国でも、関係調査機関等が取り上げ解説を加えるであろうが、先行したかたちでコロンビア・ロースクールのレポートを中心にすえて、取り上げるものである。 (注2)わが国の関係者により一層内容が深化されることを期待する。 

　なお、コロンビア・ロースクールのブログ原本は、全11頁と大部である。筆者は別途の業務をかかえているので、本テーマは分割かつ順次取り上げることとする。 

１．SEC「クラウドファンディング規則(Final Crowdfunding Rules)の要旨

　　2015年10月30日、米国証券取引委員会（SEC）は会社が「クラウドファンディング　」を介して証券の売り出し、販売の許可に関する最終規則(「クラウドファンディング規則(Final Crowdfunding Rules)」(以下「規則」という)を採択した。 (注3) 

  規則は、 「2012年新規事業活性化法(Jumpstart Our Business Startups Act (JOBS Act))」第3編 (注4)において義務化されているとおり投資家による一定の限度額を前提にクラウドファンディングンの購入を可能とし、また発行者にはその業務内容や売り出し内容に関する情報を開させるため規則に準拠することを求める。特に、規則は投資家が投資できる金額は所得や資産によって異なるものとするすなわち、法人・個人をとわず、(1)12か月間に総計で1,000,000米ドルを超えてはならない。(2)個人の場合、年間所得または純資産が100,000ドル未満の者は、12か月間に総計で①2,000米ドル、または、②所得または純資産の５％のいずれか大きい金額まで投資できる。年間所得と純資産（の両方）が1,000,000米ドル以上の者は、12か月の総計で所得または純資産のいずれかの10％まで(100,000米ドルを超えな額)投資することができる。 (注5) 

　規則は、特に証券の発行人に対する1933年証券取引法(Securities Act)の登録条件を免除し、さらに、通常の証券の小売（不適格な投資家）を含むさまざまな投資家に公開する証券の売り出しを特に許す。しかし、以下で詳述するとおり、小規模会社に比較的低い投資限度額を定め、また規則の複雑さと関連する法令遵守経費を与えられる規則をどの程度利用するかは明らかでない。

  すなわち、発行人は、発行人が使うかもしれない他の利用できる免除が、「SEC規制A+」 (注6)と「レギュレーションD」、「ルール506(c)」を利用して一般的勧誘により資本を集めることに依存することをその代わりに選ぶかもしれない。 (注7) 

　規則に依存するすべての証券業務は、SECに登録された仲介者（ブローカー・ディーラーまたは「ファンデイング・ポータル(funding portal)」を通して行うことが求められる。起こることも要求される。そして、それは登録されたブローカー・ディーラーより限られた活動に従事するとなる規則によってつくられる新しい型の登録済の仲介者となる。

　クラウドファンディングの売り込みをはかる仲介業者は、提供品（発行人の証券の形の補償を含む）をクラウドファンディングの勧誘を容易にすることに関連して、一定の制限下で発行人や投資家から報酬を受領しうる。特定の規制を前提として、仲介者（発行人を含む）は第三者にプラットホームで人々に仲介者のクラウドファンディングしているプラットホームや発行人の売り込み品を参照させることを補償もするかもしれない。売り込み品をクラウドファンディングの仲介者には、広範囲な法令遵守義務（以下に限られない）が課される： (注8)

・投資家に特定の教材を提供すること。

・詐欺のリスクを減らすための特定の処置をとること。

・会社がプラットホームで一般に利用できて明らかにすることを要求される情報を作成すること。

・プラットホームで売り込みに関する議論を許すために通信チャンネルを提供すること。

・仲介者が受領する報酬について発表を投資家に開示すること

・投資限界に対応した投資家を信じているための合理的な根拠を持っていること。

・特定の通知と確認手段を提供すること。

・ファンドについて、報酬、キャンセル時の扱い、売り込み条件の再確認等と同様に特定のメンテナンス義務や伝達義務を遵守すること。

*************************************************************************************.

Copyright © 2006-2015 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

 

生体認証技術の集団訴訟：フェイスブックは顔認識技術の導入に関しプライバシー訴訟の棄却申立

　2015年6月に起こされたフェイスブックの顔認識技術の使用に関するクラス・アクションの最近の状況につき、その分野に詳しいジェフリー・ニューバーガー弁護士(Jeffrey D.Neuburger )(注1)等が10月15日付けのブログで解説している。ブログという性格上、やむをえないが、やや一般の読者にはイリノイ州法の内容や法解釈上の論点、プライバシー保護面からの問題点等説明不足の感は否めない。 

Jeffrey D.Neuburger氏

　筆者は、同ブログを仮訳するとともに、筆者の立場でそれらの問題点を整理してみた。筆者は医療問題の専門家ではなく、あくまで先端IT技術がかかえる新たな人権問題の事例としてこの問題を取り上げた。

　特に同弁護士のブログでも紹介されているとおり、イリノイ州法に関する別のクラスアクション(オンライン写真共有サイトShutterfly事件)が起こされており、SNSが急速に展開しているわが国でも関係者が本格的に取り組むべき問題の予稿としてまとめてみた。 

　筆者は、生体認証にかかる各州のデータ保護立法法案の動向を2017年8月19日のブログで整理している。

　なお、いつものことであるが、この法解説ブログは原典へのリンクは十分でないし、専門用語の解説は皆無である。筆者は可能な範囲でそれらを行った。 

１．ジェフリー・D・ニューバーガー弁護士のブログの仮訳 

○フェイスブックの顔認識技術については、筆者が2015年6月23日の本ブログで投稿したとおり、「暫定集団訴訟( putative class action)」がユーザーのオンライン写真にもとづき「faceprints」を収集し、タグをつける機能（タグ候補：Tag Suggestion) (注2)がプライバシーの侵害にあたるとし、フェイスブックに対しクラス・アクションを起こした。（例えば、Licata対フェイスブック社（第2015CH05427（2015年4月1日にイリノイ郡巡回裁判所に係訴され、その後、同事件はサンフランシスコ連邦地裁に移送された)（同事件は、サンフランシスコ地方裁判所、Licata対フェイスブック社、No. 15-03748 （カリフォルニア州北部地区連邦地裁(N.D. Cal.)として、2015年8月28日に提出された集団訴訟による告発)と統合すべく移送された）。

○原告は、「ユーザーがアップロードされた写真をそのタグ候補機能を求めて調べる顔認識技術のフェイスブックの使用と生成が、イリノイ州の「生物測定情報のプライバシー法(Biometric Information Privacy Act(BIPA)：740 ILCS 14/1」（以下「BIPA」という)に違反するものであり、世界最大の消費者の生物測定学データの非公開データベースにあたる」と主張している。

 ○原告は、フェイスブックがユーザーをアップロードされた写真から顔形状データ(face geometry)（または顔画像(faceprints） (注3)を取得し、BIPAの意味の範囲内でそのような「生体認証識別子(biometric identifiers)」を保持すると主張した。とりわけ、告訴理由は、フェイスブックが適切な同意なしで生物測定データを集め、格納していると主張している。その告訴内容は、各違反行為に対し、前記イリノイ州法違反（注：BIPAは、過失による違反につき法定損害額1,000ドル(約123,000円)と故意による違反行為として5,000ドル(約61,5000円)、ならびに弁護士費用の支払いを規定する）ならびに、差止め命令(injunction)と法定損害賠償(statutory damages)を求めた。 

○先週、フェイスブックは、とりわけ、それがサービス条件にかかる法律の規定の選択に基づいたと主張して、イリノイ州法ではなくカリフォルニア州法が適用されるべきという棄却申立を行った。そして、州法はあてはまらなければならない（それによって原告たるユーザーがBIPAを適用するとする主張を妨げる）。また、いずれにしても、BIPAの第10条(注4)(注5)(注6)は、明確に「『写真』や『写真に由来する情報』をその適用範囲から除外すると明記していると主張した。 

　今回のフェイスブックの棄却申立に対し、原告の望ましい対応を望む人々は、現在イリノイ連邦裁判所で訴訟されている被告たるオンライン写真共有サイトShutterfly事件において類似したプライバシー訴訟に目を向けなければならない。（Norberg対Shutterfly社（No. 15-05351（2015年6月17日にイリノイ州北部地区の係訴された事件））を参照されたい）。 

○同裁判で、原告ノルバーグ(Norberg)がBIPAのもとで申し立てたところによると、明らかな書面による同意のないタグ候補機能に関し、Shutterfly社がユーザーのアップロード写真からfaceprintsを集めた点、ならびに「その特定の顔がShutterfly社のユーザーまたは知らない非使用者が所有しているかどうかを考慮しないまま「Shutterfly社の写真保管サービス」を行ったと主張した。Shutterfly社（フェイスブックと同様のサービスを提供）は、棄却申立において、イリノイ州法が写真に由来する情報を除外するので、アップロードされた写真に由来する顔形状処理は法が定める「生物測定識別子」でないと主張した。 

○一方、原告は、その反論において顔形状処理以前の写真の介在がそのようなデータをイリノイ州法にいう生物測定識別子の定義から除外するならば、同法はプライバシー保護法として意味がなくなると主張した。

○被告のBIPAの解釈は、すなわち写真の顔のスキャンには適用できないとする点は、生物測定技術のまさしくその性格に反するものであって、このような解釈は法律の中心的な目的を徐々にむしばむものである。顔の写真は、正確に個人のアイデンティティを確立する独特の幾何学的なパターンの計画を立てるために調べられるものである。その当然の結論にとして、彼ら全員が最初のキャプチャー(注7) 、写真または記録の捕獲に基づくので、被告の議論ではすべての生物測定識別子をその定義から除外するといえる。 

○我々は、緊密にこの両方の論争を見ている。もし、これらの訴訟が手続上または契約上の理由から退けられないならば、これは裁判所における顔認識技術に関してイリノイ州の「生物測定情報のプライバシー法(BIPA)」の法的輪郭を解明する最初の機会となる。 

２．イリノイ州法第10条の解釈

　同弁護士が指摘しているとおり、同条にの立法主旨は連邦法や他の州法おいて取得につき明確な目的や保護が定められている場合は適用除外といえる。フェイスブック側の弁護士の主張の原本は十分に読んでいないが、もし本ブログの指摘のとおりであり、かりに筆者が裁判官であったならば被告の棄却申立ては却下するであろう。

　なお、テキサス州は同様の立法措置を行っており、またアラスカ州( House Bill No. 144)もほぼ同様の法案を審議している。

３．フェイスブック等のSNSにおける顔認証技術等に潜む危険性

　ここでは詳しく論じないが、前書きで述べたとおり、わが国のユーザーは自分が撮った写真やイメージが、その意図せざる範囲で第三者(法執行機関だけでなく組織犯罪、なりすまし犯罪者など)の手にわたるとしたらどうであろうか。 

　筆者はこのような観点から、SNSには加入していないし、本ブログもペンネームで書いている。これだけの注意を払ってもハッカーや詐欺師はさらに上を行くのである。 

　なお、(注2)でとりあげた「New Scientist」は、容歩捜査(gait detection) (注8) 、 虹彩スキャン(iris scanning), 心拍認証(heartbeat recognition )等にも言及している。また、筆者はPC操作者特定の技術として顔認証に取り組んでいるマイクロソフト社の動向等も気になる。 

************************************************************************:*******

 (注1) 筆者ジェフリー・ニューバーガー弁護士のプロファイル：

Jeffrey Neuburger is a partner, co-head of the Technology, Media & Communications Group, a member of the Privacy & Data Security Group and editor of the firm’s New Media and Technology Law blog. 

(注2)フェイスブックの顔認証技術の精度を懸念するレポートは、わが国でもすでに出ている。その一例として「Facebookでは、公開した写真に写っている人物に「タグ付け」をすることで、画像とユーザープロフィールを紐付けることができる。タグ付けされた膨大な画像データは解析され、顔認証の精度アップに利用。その結果、新たに写真をアップした場合、写真の顔部分に、その人物と思われるユーザーの名前が表示されるようになっているのだ。2015.6.19のイギリスの週刊科学誌『New Scientist』のWeb版が報じたところによると、Facebookが研究している顔認証技術は、顔の特徴だけでなく、髪型や服装、体型、よくするポーズなども分析の対象となっているとのこと。

もはや“顔”認証ですらないほどに進化しつつあるFacebookについて、ツイッターユーザーは、

「ある意味、新しい監視カメラ」

「街頭の防犯カメラとセットにしたら、国民行動総監視システムのできあがり」

「リア充な投稿してた人は、あらゆる部所で認識がされる時代になりそう」

などと、様々な行動が把握されてしまう可能性を指摘」等が上がられる。・・・・」 

○「New Scientist」へのリンクは筆者が行った。なお、そこで指摘されている問題項目のみあげておく：①End of anonymity;②Two-faced(プライバシーについて2つ顔をもつGoogle やMicrosoft)：③米国のイリノイ等一部の州では生体情報の収集や処理を州立法で禁止している；④顔認証は多くの遠隔生体情報感知システム(remote biometric sensing technologies)の1つである)。いずれにしても同誌のサイトは興味深いレポートが多い。 

(注3) 平成12年(2000年)の高知工科大学の箱田和宏氏の学士学位論文「顔画像を用いた個人認証システムの性能検討に関する研究」の内容は、比較的平易に書かれている。 

(注4) BIPA第10条のうち、生物測定識別子(biometric identifiers)」に該当しないものに関する定義部文を以下、引用し、注書きを加えたうえで仮訳する。

. Biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal Health Insurance Portability and Accountability Act of 1996. Biometric identifiers do not include an X-ray, roentgen process, computed tomography, MRI, PET scan, mammography, or other image or film of the human anatomy used to diagnose, prognose, or treat an illness or other medical condition or to further validate scientific testing or screening.

 「生物測定識別子は、健康保健医療現場で患者から採取、収集、使用または保持する情報、または「1996年連邦健康保健情報の携帯性と責任に関する法律(federal Health Insurance Portability and Accountability Act of 1996)(HIPPA)」(注5)のもとで健康保健処置、支払いまたは手術に備えて保持される情報を含ない。 生物測定識別子は、X線、レントゲン処理、MRI（Magnetic Resonanse Imaging；磁気共鳴画像）検査、ポジトロン断層法(PET)検査、マンモグラフィーまたはその他の人体解剖イメージまたは診断(diagnose)、予後(病気の経過に関する見通し：prognose)あるいは、病気の治療や病状の診断目的さらには科学的なテストまたはスクリーニング (注6)目的で扱うイメージやフィルムは含まない。 

(注5)「HIPPA」は被保険者のプライバシー保護に関して極めて重要な法律である。連邦保健福祉省の公民権局(Office for Civil Rights)がその内容について詳しく解説しているウェブサイト「Understanding Health Information Privacy」を参照。 

(注6) スクリーニング(Screening)の定義「迅速に実施可能な検査，手技を用いて，無自覚の疾病または障害を暫定的に識別すること」(The CCI Conference on Prevention Aspects of Chronic Disease, 1951)

特徴:集団を対象に・すばやく実施可能な方法で・無自覚の障害を暫定的に識別

主な目的:疾病の早期発見，早期治療＝二次予防(公衆衛生学　2011 年5 月9 日　中澤　港)から引用。 

(注7)ディスプレイに表示されている画面を取り込んで画像データとして保存する「画面キャプチャ」をさすことになろう。 

(注8) 「容歩解析」、「容歩認証」に関する平易な解説ブログ 、より専門的に読みたい読者は、大阪大学　八木研究室のHP 等を参照されたい。

*****************************************************************.

Copyright © 2006-2015 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

欧州委員会はEU司法裁判所のシュレムス事件判決（セーフ・ハーバー協定の無効）を受けたガイダンス等を発布

　筆者は、11月5日付け福田平治ブログ「EU-米国の個人情報移送に関する協定(「アンブレラ協定」)に見るプライ バシー保護の抜本見直し(その1)」、 「同(その２完)」および11月6日 星野英二ブログ「EU・米国のセーフ・ハーバーは無効化され たが、おそらく破壊されない！」において10月6日の欧州司法裁判所(CJEU)のシュレムス判決を受けたセーフ・ハーバー協定のEU機関や人権擁護団体さらには英国の情報保護機関等の問題指摘や企業として考えなければならない点をまとめた。 

　しかし、実際そこで紹介した論点は必ずしも明確でなく、読者の中にはどのように受けためたらよいか、迷うものが多かろう。 

　筆者も、その点特に「拘束力のある企業グループ内準則(Binding Corporate Rules：BCR)」や「標準契約条項(Standard Contractual Clauses )」の効力は今後どのように解されるのか、またEU指令第29条専門家会議(以下「第29条会議」という)の検討スケジュール等はどのようになっているのかなどが極めて気になっていた点である。そのなかでEU側の協定交渉の当事者である欧州委員会は11月6日、 「プレスリリース」、 「委員会事務連絡(Communication)」および「Q&A」を公表した。

　今回のブログは、欧州委員会のリリース文を詳しく解説した米国ローファーム(注1)の中からInside Privacy(Covington & Burling LLP)サイトの解説と欧州委員会サイトの原文を適宜抜粋のうえ仮訳する。 

1.欧州委員会の欧州司法裁判所の判決を受けた事務連絡やQ&Aを発布

　 欧州委員会は、シュレムス事件（事件番号C-362/14）に係る（本ローファームの以前のブログ投稿を参照)の10月6日の欧州司法裁判所の判決を受けて、EUから米国に向けた個人データの移送に関するガイダンスとなる「委員会事務連絡(Commission Communication)」と「Q&As」を発布した旨プレス・リリースした。 

　概していうと、同ガイダンスは現状を確かめ、第29条会議、加盟国のデータ保護当局（「DPAs」）の代表から成るプライバシーに関するEU諮問機関、EU加盟国のデータ保護当局(DPAs)、EDPS(注2)、EUおよび欧州委員会の既存のガイダンスを要約する。そして、第29条会議10月16日（我々の前のブログ投稿をここで見ます）についての記述である。最も特に、データフローを認可している代わりのツールがまだ第三国（それから更なる委員会が更に詳細にこれらの代替ツールの各々説明する米国を含む）に合法のデータ転送のために会社によって使われることができるという見解の下で、本委員会は第29条会議に参加した。 

２．SSCsやBCRsの扱いに関する委員会の考え方

(1)「標準契約条項（Standard Contractual Clauses ：SSCs）：現在、本委員会決定が承認した3セットのSCC(注3)がある。委員会決定が加盟国で完全に拘束しているので、SCCを契約に取り入れることは国家保護当局が原則としてそれらの条項を受け入れなければならないことを意味する。言い換えると、認可が国内法令のもとに必要とされる所で、国家保護当局は、原則として自動的にそのような認可を授けなければならない。これは、全国データ保護当局（以下「DPAs」という）の既得権を侵害しない。SCCを除いて、会社は特別契約の約定にも頼るかもしれない。そして、それはケース・バイ・ケースでDPAsによる承認を必要とする。 

(2)拘束力のある企業グループ内準則(Binding Corporate Rules ：BCRs）(注4 )：BCRsは、EUデータ保護指令（EU指令95/46/EC）の第26条(2) (注5)の下で移動条件の迎合性を確実にするための代わりのツールである。大部分のEU加盟国の法律のもとでは、BCRsを基礎としたデータ移送は、多国籍企業がデータ（この承認プロセスは『相互認承』と『協力』手順によって用意になった）を転送予定である各々の加盟国のDPAsによって認可されなければならない。

 (3)規範の逸脱：個人データも指令95/46/ECの第26条(1)で述べられる明白な同意、契約の履行の必要性、その他を含む規範の逸脱の1つを使って移送されるかもしれない。本委員会ガイダンスは本質的に第29条会議の既存のガイダンスと最高の実務慣行と同じことを言う。 

(4)本委員会ガイダンスに従うと、代替の合意ツールに対する依存度は、2つの条件の影響を受ける。

 当初のデータ収集と処理は、第一的に合法的でなければならない。

  また、データ・コントローラは、代替のツールを使用するとき、個人データが効果的に保護されていることを確かめる役割を果さなければならない。10月16日の第29条会議の声明と同様に委員会はコントローラがSCCまたはBCRsによって与えられるそれらを補うためにさらなる安全装置をとる必要があると考える。そして、「データ移送を停止するか、契約を解除するという可能性への技術的、組織化されたビジネスの典型的な関連した法的方法」に言及する。 

３．適性ありとされる第三国に関する適切な決定

 　本委員会は、シュレムス判決が委員会のセーフ・ハーバー決定に限られていることを思い起こす。しかし、欧州委員会がEU指令95/46/EC（リスト(2010年2月5 日欧州委員会決定「Decision updating the standard contractual clauses for the transfer of personal data to processors established in non-EU countries」)参照）の第25条(6)に従って第三国問題に関し発したすべての他の適切性決定がそれをCJEUが無効と判断したセーフ・ハーバー決定の第3条でそれと同一のDPAsの効力に対する制限を含む点に注目する。したがって、CJEUが要求したので、委員会はすべての既存の適切性決定においてその供給に代わっている決定を準備し、また、さらに既存および将来の適切性決定についての定期的な評価に取り組む。 

４．セーフ・ハーバーに関するEUと米国の交渉の行方

　本委員会の見解において、米国への個人データの移送に対する更新されかつ堅牢なフレームワークは、重要なプライオリティーのままである。本委員会は3ヵ月以内に大西洋を横断する個人データ移送のために新しい取り決めに関する交渉を米国政府で終わることを希望している。そして、第29条会議が2016年1月末まで暗黙のうちに与えた『猶予期間』の終わりと時期が同じである。もし、2016年1月末までには米国当局で適切な解決案が見つからないならば、EU加盟国のDPAsが法執行行動を開始するかもしれないというリスクが依然残る。

***********************************************************************************::**

(注1) 欧州委員会のリリース内容の米国のローファーム解説として代表的なものは次のとおりである。

・2015.11.6 Technology Legal Edge 「Safe Harbor: European Commission issues guidance to clarify the EU-US data transfer conundrum 」 

・2015.11.6 Privacy Law Blog「The European Commission Issues Guidance on Alternative Cross-Border Data Transfer Tools 」

・2015.10.16 Proskauer Rose LLP「Article 29 Working Party Issues Statement Following Landmark CJEU Safe Harbor Ruling」

・2015.11.6 McDermott Will & EmeryのOf Digital 「Interest「Safe Harbor Update: European Commission Reaffirms Commitment to a Safe Harbor Sequel 」 

(注2) EDPSについては、2012年9月24 日の星野英二ブログ「EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善 に向けた意見書を提出」等を参照されたい。 

(注3) 3セットとは具他的には次のとおりである。なお、より詳しくは欧州委員会司法担当委員サイト「Model Contracts for the transfer of personal data to third countries」を参照されたい。

1.（EU-controller to (Non-EU/EEA)controller

①Decision 2001/497/EC:SetⅠ

②Decision 2004/915/EC:SetⅡ

2.(EU-)controller to (Non-EU/EEA)processor

③Decision 2010/87/EU(and repealing Decision 2001/16/EC　 

(注4)「拘束力のある企業グループ内準則(Binding Corporate Rules：BCR)」とは、データ保護の十分なレベルを提供しない国にある事業体に同じ同一企業グループ内での個人データの国際的な移動に関して、その世界的戦略ポリシーを定める多国籍グループによって採用される内部準則（例えば、行動規範等）をいう。(欧州委員会の司法担当サイトの解説を筆者が仮訳)

　 2013年9月16日　星野英二ブログ「欧州委員会がクラウド・コンピューティングの 信頼性強化と安全・公平な契約条件等の策定 専門家グループ募集」の(注6)参照。

なお、BCRに関し多くの解説を加えている慶応義塾大学の新保教授の訳語「拘束力を有する企業の内部規程（Binding Corporate Rules（略称：BCR））」は、首相官邸サイトの資料だけに、その意味がやや分かりにくい点が気になる。

 (注5) EU指令(95/45/EC)第26条2項の原文を引用する。

Without prejudice to paragraph 1,a Member State may authorize a transfer  a

Set of transfers of personal data to a third country which does not ensure an

Adequate level of protection within the meaning of article 25(2), where the

Controller adduces adequate safeguards with respect to the protection of the

　Privacy and fundamental rights and freedoms of individuals and as regards the

Exercise of the corresponding rights ;such safeguards may particular result

from appropriate contractual clauses.

*****************************************************************.

Copyright © 2006-2015 芦田勝(Masaru Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．

EU・米国のセーフ・ハーバーは無効化されたが、おそらく破壊されない！

　Last Updated ： July 17, 2020　欧州連合司法裁判所のEU-米国間の「セーフ・ハーバー協定」の無効判決を受けた改訂後

　筆者は、英国の個人情報保護機関であるICO(注1)の副コミッショナー兼データ保護部長ダビット・スミス(David Smith)氏のブログを読んだ。米国人権擁護団体であるEPICのレポート等(筆者ブログ(その1)、 (その2完)）とも異なる観点すなわちビジネス界が取り組むべき課題等の解説が具体的に加えられており、わが国のビジネスからみての参考になると考え、急遽、仮訳してみた。

　なお、当然な点であるが、わが国の読者が簡単に理解できる内容ではない。筆者なりに補足した。

 　また、セーフ・ハーバー協定の無効判決の影響はEU加盟国や関係国でも複雑に受け止められている。前者の例の代表はドイツであり、また後者の例はスイスやイスラエルである。

　この問題は、本ブログで別途取り上げる。

１．2015年10月6日CJEU判決

　驚くにあたらないことであるが、欧州連合司法裁判所（CJEU）のEU・米国間のセーフ・ハーバーの枠組みに関する無効判決の影響に対する大いなる関心が存在した。(注1-2)

 　知らない人はいないといえることではあるが、セーフ・ハーバー枠組みを認める欧州委員会の正式決定は、米国企業に彼らが米国にEU市民の個人データを企業等メンバーに移送するとき、企業がEU域外に移送される個人データにつき十分に保護されているするための法的要件は満たされるという保証を与えた。しかし、その保証は今般、取り除かれた。

 　同判決の内容は、複雑な領域をかかえる問題である。CJEU判決はセーフ・ハーバーの枠組み自体を攻撃するのではなく、米国企業に保証を与えた欧州委員会の正式決定(注2)に問題指摘を集中させた。その手段は、なおセーフ・ハーバー・スキームの下で移される個人データの保護として有効である – たとえば、米国商務省リスト(注3)の登録メンバーが署名するプライバシー・ポリシーは、なお実在する。しかし、セーフ・ハーバーが英国の「データ保護原則の第8原則」(注3-2) の下で必要とされる十分な保護を提供するために自動的に考慮されることを意味した保証は、もはやそこにはない。

２．CJEU判決の背景

　CJEUがその決定をした理由は、移送されるEU市民の個人データにアクセスする米国情報機関(NSA)の能力にあった。同判決は、情報機関が厳しく国家の安全保護のために必要かつ適切さを超えてアクセスしたと考えた。米国外の市民が彼らのデータの不正使用のために米国で法的救済を求めるどんな権利保障の不足はこの問題とつながる。

 　同法廷は、この問題についての既存の欧州委員会の決定があっても、加盟国のデータ保護当局が彼らの個人データが適宜に保護されていなかったとする個人から苦情を考慮するのを免れないう原則を判示した。 

　この後者の点は、セーフ・ハーバー協定に限定されない。個人からの苦情に対処するICOのアプローチ内容は一晩では変わらない。しかし、たとえば特定の国の保護体制や標準契約条項の適切性に関して、その適切性について欧州委員会の調査結果が過去に企業に提供した法律確実性の一部がもはや利用できない場合があることは回避不可である。 

　特定の国の保護制度の適切性や標準契約条項に関する前述した既存の欧州委員会決定は、なお有効で、確かにしばらくの間、企業によって頼られることができよう。しかし、米国またはどこか他の場所であるかどうかにかかわらず移送される個人データが米国の情報機関によってアクセスされやすいとすると、判決の条件はこれらの他のメカニズムの将来にいくらかの疑念を必然的に投げかける。これらセーフ・ハーバー以外の他の保証メカニズムに関しかつ米国以外の目的地への移送に関する影響は、明らかにはるかに明確でなくて、今後数ヶ月の間、とりわけEUの「EU指令第29条専門家会議(以下「第29条会議」という)」において分析される。

３．第29条会議の行方

　ICOは、声明(statement)の公表にいたる10月15日開催された第29条会議の特別会議に参加した。強く表されるが、同会議は、声明の要旨での強く述べられているとおり、建設的なものであった。声明は加盟国のデータ保護当局の協力の重要性を認めるが、解決が我々の手中にないことを明確にした。 

　すなわち、政治的かつ法的で、技術的な解決が必要とされる。そして、彼らは両方の加盟国（英国を含む）に頼られる。そして、EU機関(欧州委員会)が米国当局との議論を開始する。 

 　英国政府は、この問題の重要性に気づいている。そして、先週、私はデータ保護責任をもつネビル‐ロオルフ男爵夫人(Baroness Neville-Rolfe)）が主催する産業界の円卓会議に参加した。(この説明は不正確である。筆者が英国の公式サイトで確認したが、ビジネス·イノベーション·職業技能省の政務次官であり、また知的財産権担当ではあるが、情報保護担当ではない。この点は、機会を見てICO事務局に確認したい) 

　円卓会議の発言の多くの焦点は、『セーフハーバーを使っていた企業はどこに去るか？』、という点であった。ここで、3つのキーポイントでICOのアドバイスを要約する。 

①うろたえないでください(Don’t panic) 

　ICOの最初のメッセージは、まだ有効である。うろたえないでください、そして、少しも理想的でないことがわかるかもしれない他の個人情報の移送保証メカニズムに走らないでほしい。CJEU判決の「標準契約条項」や「個人情報の移送適正化規 則（Binding Corporate Rules）」への影響は、まだ分析中である。もちろん、移送は常に個人の同意に基づいてなされることができるが、これが、結局、CJEUケースがすべてあるものであるセーフ・ハーバーより少しも効果的に個人データを必ずしも保護するというわけではない。事実、個人はたとえそのような保護が不完全であるとしてもセーフ・ハーバーが彼らにいくらかの本物の保護を少なくとも提供するとき、ほとんどあるいはまったく保護がない目的地への彼らの個人データの移送に自身の同意を与えるよう簡単に説得されてしまうかもしれない。 

②じっくり検討されたい。 

　企業がする最初のものは、じっくり検討することです。あなたがEUの外側にどんな個人データを移しているかについて、自分自身に尋ねます、それがどこ行きのあります、そして、あなたをそれが十分に保護されていることを確実とさせさせるだけの準備。いくつかのために、これは簡単な仕事でありません。それから、これらの準備が国際的な移動のICOのガイダンスを考慮している最適なものであるかどうかを見てください。彼らがセーフ・ハーバーを含めるならば、進展が新しいセーフ・ハーバーにみられないならば、あなたはどんな代替メカニズムを使うであろうか？しかし、特に新しくて、改善され、おそらくブランド再生されたセーフ・ハーバーが出てくるという可能性にむけ、変化に殺到しないでください。 

③決心してください。 

　英国の企業が適切性についての委員会決定に頼る必要がないことを心に留めておく価値がある。あなたにとって同程度の法確実性を得ないとはいえ、英国法はあなた自身の適切性評価によることができる。ICOのガイダンス(注4)は、こうして問題につき対処方法をあなたに説明する。あなたが移送している、そして、あなたがそれを譲渡しているデータの性格の上でここで非常に依存する。セーフ・ハーバーは、まだここで一役担うことができる。 

４．　ICOの取り組み

　ICOは、この問題に助けるために、他に何をするか？この質問に答える前に、ICOが何についてしていないかについて説明するほうがより正しいであろう。ICOは、確かに法施行権限を使おうと急いでいない。我々が妨げるために迅速に行動する必要のために、突然起こった個人データに対する新しくて差し迫った脅威はない。

　あなたが、たとえどんなデータ移送のメカニズムに頼っていても、もちろん、ICOは影響を受けた個人からの苦情を考慮するが、しかし、それだけの不確実性がまわりにある、そして、解決がまだ可能な間、ICOは発表された法施行基準を守り、慌しい措置は取らない。ICOは何もないところで法的確実性をつくることができない。しかし、ICOはできるだけ我々全員が一回かつ賢明なメッセージを譲渡することを確実とする努力において、EUの対応する機関とともに働き続ける。最後に、ICOにとって、そのメッセージは英国法やICOの権限や一般国民の取り組みと合致し、いつどのように行使力するかという内容でなくてはならない。

 　やがて、ICOは国際的な個人データ移送のガイダンスを更新するであろう。しかし、ガイダンスほとんどはまだ有効である。ICOは、彼らが不確実性の現在の時期に何をしていなければならないか、またはしていてはならないかについて企業（他の人が提供するクラウドや類似したサービスに依存するSMEを含む）のためにいくらかの実務的なアドバイスを発表する場として、このブログを利用することになろう。 

　ここ数月の動きが重要である。EU市民の個人のデータがEUから米国へ移されるとき、多くの人々が「セーフ・ハーバー2.0」と呼ぶ枠組みが出来上がり、強力かつ効果的フレームワークを個人を保護するために提供されることを切に願っている。我々はどんな影響にそのような結果を強要しなければならないかについて使用するが、しかし、企業も彼らの一部をなす必要がある。実際は、経済界特に多国籍企業は、ICOのみかあるいは第29条会議以上にこれまでより多くの加盟国、欧州委員会や米国当局の行動に対する影響力を行使するであろう。

*************************************************************

(注1)2010.10.25 星野英二ブログ「英国の情報保護委員が多国籍企業(GE)の従業員情報のEEA以外の国への移送につき新 EUルールを初適用」を参照されたい。

(注1-2) 同裁判の経緯の解説から比較的詳しいものから抜粋する。

　現在多くの米国IT企業はEUにおける事業展開にあたり、欧州内に拠点を設置しており、例えば今回の問題の対象となったFacebook IncもアイルランドのダブリンにFacebook Ireland Ltdを設置し、欧州内での事業を展開している。

　しかしながら、実際にはFacebookはここで取り扱われているデータはFacebook Ireland Ltd内のサーバーで処理しておらず、米国内のFacebook Incにデータを転送し処理をしていた。現在、EU加盟国の国民の個人データを第3国へデータ移転するにあたっては、EUデータ保護指令(95/46/EC)を遵守する必要があり、具体的には第3国が「十分な保護措置」がなされている国と認められるか（十分性認定）、あるいはデータ保護指令に規定される他の条件を満たす必要がある。

　今回の問題は、2013年のスノーデン事件によりNSA等の米国政府機関がFacebook Inc等のIT企業が保有するデータを監視していたことが発覚したことにより、オーストリア市民でFacebookのユーザーでもあるMax Schrems氏が、Facebook が十分な保護措置がなされていない米国に対して自身の個人データが転送されたとして、アイルランドのデータ保護機関に対して申立を行ったという事案である。

　なお、Schrems氏は最初にアイルランドのデータ保護機関であるアイルランドのデータ保護コミッショナーに対し申立を行ったが、アイルランドデータ保護コミッショナーはセーフハーバー協定に基づくデータ移転については十分な保護がなされたものであるとして本件を調査することを拒否した。これに対し、アイルランド上級裁判所(High Court of Ireland)は欧州司法裁判所に対して、欧州委員会が決定したセーフハーバー協定の有効性に対する申立に対し、アイルランドのデータ保護機関が欧州委員会決定の内容について調査することができるのかどうかの判断を求めた。以下略す。

(注2)2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441)  

(注3)米国・商務省解説サイト：米国の-EU間のセーフ・ハーバー・リスト(U.S.-EU SAFE HSARBOR LIST)の  理解は、同制度の内容を理解する上で、必須である。 

(注3-2) 2020年7月16日のCJEUのセーフハーバー無効の判決を受けてICOのサイトでは以下の注記がなされている。

ICOは現在、2020年7月16日の欧州司法裁判所の判決を受けて、「プライバシー・シールド」と「標準契約条項(Standard Contractual Clauses (SCCs))」のガイダンスを見直している。

現在プライバシー シールドを使用している場合は、新しいガイダンスが利用可能になるまで引き続き利用できる。

(注4) ICOの”Guide to data protection”をさす。なお、2020.7.17現在、ICOの第8原則は改訂中。

*******************************************************************************************

Copyright © 2006-2015 芦田勝(Masaryu Ashida)．All Rights Reserved．You may reproduce materials available at this site for your own personal use and for non-commercial distribution．