Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

SEC投資家向け告示:イニシャル・コイン投資への立法措置と詐欺対策(日米の比較)(その2完)

2017-08-30 14:47:01 | 海外の通貨・決済システム動向

(5) ICOに参加するかどうかを決定する際に考慮すべきいくつかの要点

 もしICOに参加することを検討している場合は、考慮すべき事項がいくつかある。 

 事実や状況によっては、投資の公募には有価証券の売買が含まれる場合がある。その場合、バーチャル・コインまたはトークンの投資の公募および販売は、それ自体がSECに登録されなければならず、または正規な登録の免除が行われなければならない。ICOに投資する前に、バーチャル・トークンまたはコインが有価証券であるかどうか、またそれらを売っている人物がSECに公募を登録しているかどうかを尋ねなくてはならない。この登録について心に留めておくべきことは次の点である。 

① もし投資の公募が登録されている場合は、 SEC.govからEDGAR(米国SEC企業財務情報電子開示システム」) (注11)までの情報(登録票または "Form S-1"など)を見つけることができる。 

② プロモーションに登録が免除され、認定された投資家ではないと述べた場合、ほとんどの免除には純資産または所得要件が適用される。 

③ ICOは、時折、クラウドファンディング契約(crowdfunding contracts)と呼ばれることもあるが、「Crowdfunding規則」 (注12) や連邦証券法の要件に準拠せずに提供されたり、販売されている可能性がある。 

④ あなたのお金がどのように使用されるのか、バーチャル・コインまたはトークンがあなたに提供する具体的権利の内容を尋ねるべきである。プロモーターは、あなたが読むことができ、かつ理解できる明確なビジネスプランを持っていなければならない。トークンやコインがあなたに与える権利は、白紙や開発ロードマップの中に明確にレイアウトする必要がある。あなたは、あなたがそのようにしたい場合に、いつ、どのようにしてあなたのお金を元に戻すことができるのかを具体的に尋ねるべきである。たとえば、トークンやコインを会社に返還する権利や払い戻しを受ける権利があるか?または、コインまたはトークンを再販することはできるか? コインやトークンを転売できる能力に制限があるか? など 

 ⑤ バーチャル・トークンまたはコインが安全である場合、連邦および州の証券法では、ライセンスを提供または登録する投資を提供、取引またはアドバイスする投資専門家およびその投資会社が必要である。この点はInvestor.gov にアクセスして、これらの投資専門家の登録状況と背景を確認することができる。

 ⑥ ブロックチェーン が広く一般に公開されているかどうか、コードが公開されているかどうか、独立したサイバーセキュリティ監査が行われているかどうかを確認する必要がある。  

⑦ 詐欺師はしばしばイノベーションと新技術を使用して不正な投資スキームを実行する。 詐欺師は、この最先端の空間に乗り出す方法としてICO資の「機会」を宣伝し、高い投資利益を保証することによって投資家を誘惑する可能性がある。 

⑧ 投資家は、素人にはわからない業界の専門用語だらけの売り口上、強引な押し売り(hard sells)、および特大のリターンの約束を常に疑うべきであるう。また、実際には詐欺であるにもかかわらず、ブロックチェイン技術を使用して誰かが印象的なICOを作成するのは比較的簡単である。  

⑨バーチャル通貨交換やバーチャル通貨、バーチャルトークンまたはコインを保有する他の事業体は、詐欺、技術的不具合、ハッキング、またはマルウェアの影響を受けやすい可能性があるし、バーチャル・トークンまたはバーチャル通貨は、ハッカーによって盗まれる可能性もある。 

⑩ ICOに投資すると、詐欺や盗難の場合の資金回収が制限されることがある。連邦証券法に基づく権利があるかもしれないが、あなたの資金回復能力は大幅に制限されることがある。

 (6) 法執行当局は、ICOを調査する際に特別な課題に直面し、結果として投資家の救済が制限される可能性

 これらの具体的な課題は次のとおりである。 

① バーチャル貨幣の追跡は困難: 従来の金融機関(銀行など)は、しばしばICOや仮想通貨取引に関与しておらず、このことが通貨の流れを追跡することをより困難にしている。 

② 国際的な範囲の拡大: ICOと仮想通貨取引とユーザーは世界中に広がっている。 SECは海外からの情報(国境を越える契約など)を定期的に取得しているが、SECがどのように情報を利用するかには制限があり、情報の入手に時間がかかることがある。場合によっては、SECは海外にいる個人または団体から情報を入手できない場合がある。 

③中央監督省庁となる監督機関がない: バーチャル通貨ユーザ情報を収集する中央権限がないので、SECは一般に、この種の情報のために他の情報源に依存しなければならない。

 ④ バーチャル・カレンシーをフリーズしたりまたは安全性確保が困難: 法執行当局は、仮想通貨で保有されている投資家の資金を凍結または確保することが困難な場合がある。バーチャル・カレンシー・ウォレット (注13)は暗号化されており、銀行や証券会社の口座に保管されている金銭とは異なり、バーチャル通貨は第三者証券保管機関(third-party custodian) (注14)によって保持されていない場合がある。  

(7) 投資詐欺のこれらの潜在的な警告兆候のいずれかを見つけたら注意すべきである。 

① 保証された高い投資収益率:高い投資利益を保証するものはない。リスクがほとんどまたはまったくなく、投資収益率が高くなることを約束する勧誘者には注意すべきである。 

② 頼んでもいない勧誘:頼んでもいない一方的な迷惑販売計画は、詐欺的な投資計画の一部である可能性がある。迷惑な勧誘通信を受信した場合(頼んでもいないし、発信者が誰であるかがわからないということを意味する)、投資の機会について慎重に考えてください。 

③本当に良いものと感じる:投資が本当に良いと思われるならば、それはおそらくそうで在ろう。しかし、より高い投資収益を提供する投資は、通常、より多くのリスクを伴うことを忘れてはならない。

 ④ 今すぐ購入すべきという圧力: 詐欺師は、投資に乗り出すための偽りの意識を作り出そうとするかもしれない。あなたは金を引き渡す前に、投資機会を研究する時間を十二分に費やしてください。 

⑤ 無許可の売り手: 多くの詐欺的な投資スキームには、無免許の個人または未登録の企業が関与している。” Investor.gov”で、証券業免許とその登録状況を確認すべきである。 

⑥ プロモーターには純資産や所得要件がない。 連邦証券法では、登録の免除が適用されない限り、SECに証券提供を登録する必要がある。 多くの登録免除では、投資家は公認投資家であることが求められる。 他には投資制限があります。 純資産や所得を問わないプライベート( すなわち、登録抹消)投資機会や、投資限度額が適用されるかどうか疑わしいものであること。  

⑦ 投資をする前に、あなたが与えられた資料を慎重に読んで、あなたが投資について言われたすべてのステイメントの真実性を検証してください。投資の研究方法の詳細については、SEC出版物「 Ask Questionsを参照してください 。 投資を行っている個人や企業を調査し、 Investor.gov背景を確認し、 州の証券監督当局に連絡してください。多くの詐欺的な投資スキームには、必ず無免許の個人または未登録の企業が関与している。 

2.わが国のバーチャル・コインの法規制にかかる考えと筆者の意見 

 改正資金決済法(平成28年法律第62号)第3章の2として「仮想通貨」を追加した。同法第2条5項として「仮想通貨」を定義した。

(1) 改正資金決済法2条5項を整理すると、仮想通貨とは次の①~⑤の全てを満たすものと定義することができる。(弁護士 遠藤元一氏のブログ から引用)

(2) ①(a)不特定の者に対して代価弁済のために使用することができ(「使用可能」)、かつ、不特定の者と購入及び売却を行うことができる(「売買可能」)、または、

(b)不特定の者と(a)をみたすものと相互に交換を行うことができる(「交換可能」)

②財産的価値であり

③電子的方法により記録されている

④本邦通貨及び外国通貨(以下「法定通貨」という)並びに通貨建資産(法定通貨をもって表示され、または法定通貨をもって債務の履行等が行われることとされている資産)でないこと

⑤電子情報処理組織を用いて移転可能なもの 

 以下の内容は、弁護士 坂本 有毅氏「弁護士が解説!改正資金決済法と仮想通貨への影響まとめ」から一部抜粋した。 

○ 仮想通貨の共通の特徴

① 発行者の不存在、

② 分散型の取引記録および匿名性

 仮想通貨には特定の発行者が存在しないことから、仮想通貨の取引の記録は、大まかにいえば当該仮想通貨の利用者全員が保持する分散型の仕組みとなる。

 各利用者は、利用に際して、仮想通貨の仕様(発行、記録、決済等の方法)が実装されたウォレットというソフトウェアを入手する必要がある。

 そして、(ウォレットの種類によって保持する範囲は異なるが)そのウォレットを通じて、各利用者の下に取引の記録が保持されることになる。

 ウォレットを第三者から入手する、またはウォレット機能そのものを第三者に委託する場合は、当該第三者が何らかの許認可を得ている業者であれば、当該第三者に適用される規制が利用者にも間接的に影響することになるが、自ら作成し、仮想通貨を自主管理すれば特段そのような制限は及ばず、本人確認を受けることなく匿名性を維持したまま利用することも可能となる。

③ ブロックチェーンと「発掘」による新規生成

 仮想通貨のある利用者から他の利用者への移転取引は、発行開始時からの全利用者の全取引が記録されている。

 移転取引は、一定量ごとに一つのブロックにまとめられて内容が確定し、その後は新しいブロックが開始することを繰り返し、ブロックが鎖のように連なっていくことから、このような記録形態はブロックチェーンと呼ばれている。

 新しいブロックを簡単に接続できるようになっていると、第三者が真実の移転取引とは異なる不正な取引を勝手に実施しても、その不正な取引をまとめた正しくないブロックも次々と接続できてしまうので、仕様上、一つのブロックが完結して次のブロックを接続する際には、大まかにいえば一定の暗号を総当たり手法で解読することが必要となっている。

 解読には優れた計算能力が求められ、そのための投資も必要となることから、最も早く解読した利用者に、報酬として一定量の新規に生成した仮想通貨が付与される。

 この新規生成分の獲得を目指して大量のコンピューターを調達し、解読のための計算を実施することを俗に「発掘」、それを営む利用者を「発掘者」と呼ぶ。

 この仕様により、不正な取引を記録しようとしても、他の発掘者全員の計算能力を上回らない限り、正常な取引が次々と記録される速度を上回ることができず、実際にはうまくいかないことになる。(逆にいえば、一定数の発掘者が団結した場合、分裂を含む仕様の変更が生じる可能性もある。)

 また、移転取引(の累積によるブロック更新)の費用は当面この発掘の報酬で賄われるため、安価な手数料での迅速な決済が可能となる。 

3.仮想通貨事業者としての行うべき手続き、監督官庁

(1) 仮想通貨交換業の登録

(2) 内閣府令で、財産基盤として以下の規定が定められている。

①資本金1,000万円以上 

②純資産額が、マイナスではないこと

また、事業者には、分別管理や顧客への情報提供の措置が必要である。

(3) 事業者から顧客への情報提供の具体的な方法とは?

「内閣府令(仮想通貨交換業者に関する内閣府令)」:「仮想通貨交換業者は、仮想通貨交換業の利用者との間で仮想通貨交換業に係る取引を行うときは 、あらかじめ当該利用者に対し、書面の交付その他の適切な方法により、次に掲げる事項についての情報を提供しなければならない(第17条)」

「金融庁ガイドライン」:インターネットを通じた取引の場合には、利用者がその操作するパソコンの画面上に表示される説明事項を読み、 その内容を理解した上で画面上のボタンをクリックする等の方法

 対面取引の場合には、書面交付や口頭による説明を行った上で当該事実を記録しておく方法がそれぞれ考えられる。 

*2017324 金融庁は、「銀行法施行令等の一部を改正する政令等(案)」、「貸金業法施行令の一部を改正する政令(案)」等及び「銀行法施行規則等の一部を改正する内閣府令等(案)」のパブリックコメントを踏まえ、各政令につき同年41日施行した。なお、改正後の事務ガイドライン及び監督指針についても、平成29年4月1日から適用された。

(4) 仮想通貨事業者が守るべき「情報セキュリティ対策」

「金融庁ガイドライン」参照。 

(5) マネーロンダリング規制法に準じた対策が必要

 平成28年銀行法等改正法により、犯罪による収益の移転防止に関する法律も改正され、仮想通貨交換業者も適用対象に含められることになった。すなわち、仮想通貨事業者は、マネーロンダリング規制法といわれる「犯罪による収益の移転防止に関する法律」に定める以下の措置を取る必要がある。

•取引時確認

•取引記録等の保存

•疑わしい取引の届出等の措置 

(6) 金融庁では、「銀行法施行令等の一部を改正する政令等(案)」、「貸金業法施行令の一部を改正する政令(案)」等及び「銀行法施行規則等の一部を改正する内閣府令等(案)」の内容をパブリックコメントに付したのち、平成29年4月1日(土)から施行した。本ブログで述べたとおり、これまで多くの点が法規制、規制監督の枠外と言われてきた仮想通貨がいよいよ通貨の色合いを濃くする段階に入った。ただし、ICO投資時の投資家保護という観点からはなお徹底されていないと思う。 

4.税制度等の残された課題等

 筆者は税務の専門家ではないし、またわが国ではなお明確になっていない点も多い。現時点で関係資料で明らかとなっている範囲でまとめた。

(1) 消費税○仮想通貨は、その価値を認める他人に交付する以外の使途が現状想定されないことから、経済的には(日本国内では強制通用力のない)外国通貨や前払式支払手段に類似しており、非課税とすることが望ましいと考えられる。

また、物理的実体を有しない価値情報であるという性質上、国境を越えた取引も容易であり、課税取引のままでは、仮想通貨が非課税とされている国又は地域との間での仮想通貨の売買と、国内での仮想通貨の売買に不均衡が生じることにもなる。 

ただ、仮想通貨は、性質ははっきりしないものの何らかの資産ではあることから、その売買が定義上「資産の譲渡等」であることは否定しがたいため、非課税とするためには税制改正によりその旨の規定(例えば、消費税法第6条第1項及び別表第一の第2号〈外国通貨〉、第4号〈電子マネー等〉)を設けることが必要になる。 

○仮想通貨の取引について 2017年7 月1日より消費税が非課税となった。(消費税法施行令の一部を改正する政令:平成 29 年 3 月 31 日付官報(号外特第7号)250 頁) 

(2) 所得税:仮想通貨で得た収入は個人であれば「雑所得」で総合課税の対象となるという見解が税理士から出されている。 

 なお、サラリーマンの場合、仮想通貨(暗号通貨)の利益が年間20万円以下の場合、確定申告の義務は生じない(ただし住民税の支払い義務は必要になるので、3月中旬までに市区町村役場の税務課に所得申告が必要になる) 

(2) 地方税:都道府県民税・市区町村民税の2種類で、1月~12月の間に利確したトータル金額から原資を差し引いた金額が利益になる。

 (3) 資金洗浄・テロ資金供与対策

 金融庁等のサイトが詳しく論じているのでここでは略す。 

********************************************************************** 

(注11) EDGAR(エドガー:Electronic Data-Gathering, Analysis, and Retrieval system)とは、企業その他法人が1933年米国証券法および1934年証券取引所法等に基づき証券取引委員会 (SEC)へ提出が義務付けられている書類を自動収集・確認・分類・受理等するためのシステムの名称である。なお、日本の金融庁所管のEDINETは、EDGARをモデルとして作成されている。(Wikipedia から一部抜粋) 

(注12) SECの”Regulation Crowdfunding”の解釈指針を参照。なお、同サイトでは次のような解釈指針の取扱い上の注意が記載されている。以下で、仮訳する。

「以下の述べるコンプライアンスおよび開示の解釈指針(「C&DI」)は、コーポレート・ファイナンス部門の職員による規制当局によるクラウドファンディングの解釈を含む。

証券取引委員会の「規則(rule)」、「レギュレーション(regulations)」、「声明(statements)」ではない。 さらに、委員会はこれらの解釈を承認も否認もしていない。これらのポジションには、必ずしも結論に達するために必要なすべての重要な考慮事項の議論が含まれているわけではなく、非常に非公式な性質のために拘束力がない。したがって、これらの対応は一般的なガイダンスとして意図されており、最終的なものとして信頼すべきではない。 記載されたポジションが予告なしに変更される可能性があるため、これらの解釈で提示された情報が最新のものであるという保証はない。 

(注13)  主なE-WALLET(電子財布)一覧 MAIN DOMESTIC VIRTUAL CURRENCY EXCHANGE 

 仮想通貨はその性質上その管理は自己責任になります。よって、管理はウォレットと呼ばれる場所で管理する。

 このウォレットには、主に次の5種類のものがあります。

1.取引所のウォレット:

取引所では仮想通貨を購入すると、そのまま取引所のウォレットに保管されます。

したがって、いつでも取引可能なので、急な相場の変動にもすぐに対応できます。

ですが、ハッキングによる第三者の攻撃や取引所自体の不正などにさらされる可能性があります。

2.ウェブウォレット・オンラインウォレット:ウェブウォレット・オンラインウォレットは、取引所とは別の第三者が運営しているウェブ上のウォレットになります

取引所に置いておくよりは、ある程度リスクは低いものの取引所と同程度のリスクが存在します。

3.デスクトップウォレット:

パソコン上にダウンロードしたアプリによって管理する方法です。多くは仮想通貨の発行元が提供しています。

例えば、NEMの場合https://www.nem.io/install.htmlで手に入れることができます。

オンライン上のウォレットと比較するとかなりリスクは低くなります。

ただし、パソコンがハッキングされたり、パソコンが破損して仮想通貨を利用出来なくなったりする可能性はあります。

4.ハードウェアウォレット:

ハードウェアウォレットは、インターネットとつながっていないUSBメモリのような形をしたタイプのウォレットです。

際には、ハードウェアウォレット内に仮想通貨を入れておくわけではなく、秘密鍵と呼ばれるパスワードのようなものを保管するものです(秘密鍵については、別の機会に紹介します)。

この秘密鍵が無いと仮想通貨を取引所に送金することが出来ません。よって、仮想通貨を安全に管理することが出来ます。もちろん物理的に壊れる可能性があるというリスクはあります。また、主要な仮想通貨には対応していますが、マイナーな通貨には対応していないというデメリットもあります。

5.ペーパーウォレット:

ペーパーウォレットは、紙に秘密鍵を保存するタイプのウォレットです。ネットからは完全に隔離されているので、セキュリティ面から見ると最も安全です。ですが、紙の性質上、印刷が消えたり、燃えたりする可能性があります。ですので、安全に保管するには、耐火性金庫を買う必要があります。( 「今話題の仮想通貨とは?仮想通貨の概要や取引、リスクについて解説 」から一部抜粋) 

(注14) 「第三者カストディアン(Third -Party Custodian)」は、投資家に代わって、株式や債券などの有価証券の保管・管理を行う金融機関のことをいいます。・・一般にカストディアンの役割は、有価証券の保管・管理だけではなく、元利金・配当金の代理受領、預り運用資産の受渡し決済、運用成績の管理、議決権の行使、コーポレートアクションの報告など広範囲に及んでいます。(iFinaceから一部抜粋)

ミューチュアルファンド(mutual fund)ヘッジファンドまたは証券先物基金(commodity pool:多数の者が出資した資金を、先物契約または商品オプション取引のために共同運用する企画)などの投資ファンドでは、第三者の保管機関が投資顧問(またはファンドマネージャー)とクライアントとの間の仲介機関として機能する。このアプローチでは、ファンドマネージャーまたは顧問は決して顧客の小切手、預金または引き出しを直接処理しない。

 典型的な第三者契約では、資産は保管預託サービスを提供する事業体が管理する別個の口座または包括マスター口座のいずれかの機関(「カストディアン銀行」)に保持される。

このカストディアンが提供するサービスには、通常、「取引の決済」、「指示に従った現金残高の投資」、「所得の収集」、「企業行動の処理」、「証券ポジションの価格設定」、「記録保管および報告サービスの提供」が含まれる。(米国のmarketswiki.comサイトの解説 を筆者が仮訳した)。 

********************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distributi

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

SEC投資家向け告示:イニシャル・コイン投資への立法措置と詐欺対策(日米の比較)(その1)

2017-08-30 14:18:42 | 海外の通貨・決済システム動向

 筆者の手元に7月25日付けの米国証券取引委員会のIB(投資家向け公示:Investor Bulletin:Initial Coin Offerings(ICO))が届いた。筆者としては、”Bitcoin”や”Ripple”など決済の国家による最終的な保証がないものを「仮想通貨」と訳すこと自体誤解を招くし(注1)他方、これまで金融当局や中央銀行が法制度や決済制度問題としてまともに取り上げてこなかったこと自体、怠慢であったとしか言いようがない。 (注2)

  その背景を解析すると、わが国の金融・決済システムと特殊性、すなわち、(1) 比率が下がってるとはいえ、ATMを中心とする現金決済システムの充実度、(2) ほぼ100%セントの成人が金融機関に口座を有していること(送金手段が確保されている)、(3) 円の国際通貨としての強さ、(4) 海外送金のニーズが個人では限られる点、(5) テロ資金・マネロン資金供与にかかるリスク感覚の弱さなどから、この新しい通貨・決済制度は、新しい投資手段というという点を除けばあまり問題とならなかったというのも一面うなずける。 

 しかし、米国をはじめ諸外国の通貨・決済事情は大きく異なる。ここでいちいち詳しく論じないが、いよいよ米国などでも本格的に監督機関等が法的な意味で位置づけを明確化するとともに、投資上のリスクの明確化や詐欺被害阻止に向けた取り組みを始め(注3)なお、IBの最後の部分でSECは詐欺師の被害阻止の留意事項を丁寧に説明している。

 すなわち、「イノベーションと新技術を使用して不正な投資スキームを生む。詐欺師は、この最先端の空間に乗り出す方法としてICO投資の「機会」を宣伝し、高い投資利益を保証または保証することによって投資家を誘惑する可能性がある。投資家は、業界用語が盛り込まれた口上、強引なセールスおよび超過剰なリターン(もうけ)の約束等は常に疑うべきである。また、実際には詐欺にもかかわらず、ブロックチェーン技術を使用して誰かが印象的なICOを作成するのは比較的簡単であるということも疑うべきである。さらに、バーチャル・カレンシー、バーチャル・トークンまたはコインを保有する他の事業体は、詐欺、技術的な不具合、ハッキングまたはマルウェアの影響を受けやすいリスクがある」という問題指摘は、わが国でもまさにあてはまる問題といえる。 

 今回のブログは、(1) SECのIBの内容を仮訳する (注4) 、(2)わが国の仮想通貨に対する最近時の法規制立法の内容、(3) 税制度等の残された課題等につき、簡単にまとめるものである。 

 今回は、2回に分けて掲載する。 

1.7月25日付け米国証券取引委員会のIB(Investor Bulletin)仮訳

 以下、仮訳するが、前述のとおり筆者は「仮想通貨」という訳語は実体を表しておらず極めて問題があると考える。したがって、あえて「バャーチャル・コイン」、「トークン」等という原語のまま表示する。

  なお、2017.7.26付けのブログ「Anti-Scam-Blog」が本ブログで引用したSECのIBに基づき「SEC(米国証券取引員会)」がThe DAOトークンを「有価証券」だと認定」という翻訳を行っている。一部誤訳や、ややつまみ食い的な記事の内容が気になるが、参考にされたい。

******************************************************

 バーチャル・コインの開発者、企業および個人は、資本調達のために、「ICO(Initial Coin Offering)」(注5) または「トークン・セール(token sale)」とも呼ばれるイニシャル・コイン投資の公募がますます増えている。これらの活動は公正かつ合法的な投資機会を提供する可能性がある。しかし、一方でICOに関連するような新技術や金融商品は、新しい投資分野で高いリターンを約束する投資家を誘惑するために不適切に使用される可能性がある。SECの投資家教育・擁護局(Office of Investor Education and Advocacy)は、ICOへの参加の潜在的なリスクを投資家に知らせるために本公示を行う。 

(1) イニシャル・コイン投資の公募

 バーチャル・コインまたはトークンは、「分散型台帳」(distributed ledger(注6)またはブロックチェーン・テクノロジ― を使用して作成および配分を行う。最近、プロモーター(ICOの発起人/主催者:promoter))ICOでバーチャル・コインやトークンを販売している。購入者は、これらのバーチャル・コインまたはトークンを購入するために、許可された権威ある通貨(例えば、米ドル)またはバーチャル・コインを使用することができる。 

 ICOのプロモーターは、買い手に対し、販売から調達した資金はデジタル・プラットフォーム、ソフトウェア、またはその他のプロジェクトの開発資金として使用され、仮想トークンまたは通貨がプラットフォームにアクセスしたり、ソフトウェアを使用したり、他の方法でプロジェクトに参加すると説明する。発起人や初期売り手の中には、バーチャル・コインやトークンの購入者が投資収益を期待したり、プロジェクトによって提供された利益の一部に参加することがある。バーチャル・コインまたはトークンが発行された後、バーチャルコインまたはトークンは、バーチャル・コイン交換業 (注7)または他のプラットフォーム上のセカンダリ市場で他の人に再販される可能性がある。 

 個々のICOの事実や状況に応じて、投資または売却されるバーチャルコインまたはトークンは「有価証券化」が可能である。もし、それらが有価証券であるならば、これらのバーチャル・コインまたはトークンのICOへの投資および販売は、1933年連邦証券法( Securities Act of 1933)の対象となる。 

 2017年7月25日、SECはバーチャル組織であるDAO (注8) (注9)のSEC調査と、資本調達のためのDAOトークンの提供と販売を円滑に進めるための「分散型元帳」または「ブロックチェーン」技術の使用について説明するため、1934年証券取引法第21条(a)に基づく「DAO調査報告書」 を発行した。また、 欧州委員会は、既存の米国連邦証券法をこの新しいパラダイムに適用し、DAOトークンが「有価証券」であると判断した。その結果、 欧州委員会は、米国で証券を提供し売却する者は、仮想通貨で購入されたものであるか、またはブロックチェーン技術で販売されたものであろうと、米国の連邦証券法を遵守する必要があると強調した。

  この新しい複雑な領域の理解を促進するために、SECは投資家がバーチャル・コインまたはトークンに投資する前に理解しておくべき基本的な概念を以下のとおり、いくつか示すこととする。

(1) ブロックチェーンとは何か?

 ブロックチェーン (注10)は、コンピュータのネットワークのさまざまな参加者によって管理されている電子的に分配された元帳またはエントリのリストである(在庫元帳によく似ている)。 ブロックチェーンは、暗号化を使用して元帳上のトランザクションを処理および検証し、ユーザーおよびブロックチェーンの潜在的なユーザーによるエントリが安全であることを安心させる。 ブロックチェーンの例としては”Bitcoin blockchains”と”Ethereum(イーサレム)blockchainsがあり、個々にBitcoinEtherでの取引の作成と追跡に使用される。 

(2) バーチャル・カレンシーまたはバーチャル・トークンまたはコインとは何か? 

 バーチャル・カレンシーは、デジタル的に取引され、取引所、口座単位、または価値の記憶媒体として機能する価値のデジタル表示である。バーチャル・カレンシーまたはトークンは、同様に他の権利も表すことができる。したがって、特定のケースでは、トークンまたはバーチャル・カレンシーは「有価証券」となり、SEC登録するか、または登録免除によらない限り、適法に売却できない可能性がある。 

(3) バーチャル・カレンシー交換とは何か?

 「バーチャル・カレンシー交換」は、通貨、ファンドまたは他の形態のバーチャル・カレンシーのために同通貨を交換する自然人または事業体である。 バーチャル・カレンシー交換は通常、これらのサービス手数料を請求する。 バーチャル・トークンまたはバーチャル・カレンシーの二次的な市場取引は、取引においても起こり得る。 これらの取引は、証券取引所または連邦証券法に基づいて規制されている代替取引システムに登録することはできない。したがって、バーチャル・カレンシーとトークンの購入や販売において、取引所に上場されている株式の場合に適用されるのと同じ保護を受けることはできない。 

(4) バーチャル・トークンやコインの発行者は誰か?

 バーチャル・トークンまたはコインは、バーチャルな組織(virtual organization)または他の資金調達事業体によって発行される。バーチャル組織とは、コンピュータコードに組み込まれ、分散元帳またはブロックチェーン上で実行される組織である。「スマート契約(smart contract)」と呼ばれることが多いこのコードは、特定のバーチャル・コインまたはトークンの発行を含む、組織の特定の機能を自動化する役割を果たす。分散型の自治組織であったDAOは、バーチャル組織の一例である。

 **********************************************************************

(注1) 「 通貨」の定義を引用する。

一般には貨幣と同義に用いられているが,厳密には貨幣の諸機能,(1) 価値尺度,(2) 商品流通の媒介物としての流通手段,(3) 商品交換の最終的決済としての支払手段などのうち,(2) の機能を果す貨幣のことをいう。通貨は本位貨幣のほかに手形,銀行券,小切手,預金通貨などのすべての信用貨幣をも含む。

 なお、「信用貨幣」とは、手形,小切手,銀行券など,信用に基づき本位貨幣の代用物として流通する貨幣。本位貨幣 (金貨) に対する用語で,信用通貨ともいう。貨幣の支払手段としての機能を代用するものとして商業手形に始り,その後銀行を中心とする近代的信用制度の発達とともに銀行券や小切手など銀行信用が主たる信用貨幣となり,貨幣の流通手段としての機能をもつにいたった。(ブリタニカ国際大百科事典 小項目事典~引用)

 「バャーチャル・コイン」、「トークン」がこれらに該当しないことは明らかである。しかし、金融審議会などは改正資金決済法で堂々と「仮想通貨」を使った。そのセンスのなさだけでなく法的な厳格さに欠ける立法例といえる。 

  これに関し、弁護士 坂本有毅氏が指摘されているとおり「仮想通貨:改正資金決済法第2条第5項においても現状から帰納した内容の定義にとどまっているが、あえて表現すれば、物理的実体がなく、かつ現金を裏づけとしない固有の経済的価値を有することから、「サイバー金(銀)地金」が最も近いのではないかと考えられる。」という指摘は一面、参考になる。また、筆者は「暗号通貨(Encryption Currency)」という呼称も実体をある程度表していると思う。 

 また、海外のバーチャルコインの海外の立法例を見てみよう。

(1) 2015年6月24日に米国ニューヨーク州金融サービス局(DFS)は、バーチャル・カレンシー法において仮想通貨を「換金できる媒介物又は値(数量)をデジタル化し使用されるすべてのデジタル情報(unit)を意味する」との包括基準の定義した州法を告示した。

 すなわち、同州は州行政規則集第23編第1章第200部「VIRTUAL CURRENCY」を追加した。

以下、200.2条(Definition)のうち”Virtual Currencies”の部分を仮訳する。 

(p)バーチャル・カレンシーとは、価値の交換手段またはデジタル形式で保存された価値の形式として使用しうるあらゆる種類のデジタル情報を意味する。バーチャル・カレンシーは、(i)集中管理されたリポジトリまたは管理者を有するもの、(ii)分散化されており、集中化されたリポジトリまたは管理者がいないもの、または(iii)コンピューティングまたは製造者の努力によって作成または取得することができるデジタル交換情報を含むように広く解釈されるものとする。

 バーチャル・カレンシーとは、以下を含むものと解釈してはならない。

(1)(ⅰ)オンラインゲーム・プラットフォーム内でのみ使用されるデジタル情報、(ⅱ)これらのゲームプラットフォームの外に市場またはアプリケーションがないもの、(ⅲ)法定不換紙幣(Fiat Currency)またはバーチャル・カレンシーに変換または償還することができないもの、(iv)現実世界の商品、サービス、割引または購入のために交換可能であるか否かを問わない。

(2)発券者および/またはその他の指定した商人との顧客親和性または報酬プログラムの一部として商品、サービス、割引、または購入のために交換することができるデジタル情報、またはデジタル別の顧客親和性または報酬プログラムのユニットであるが、法定不換紙幣(Fiat Currency)またはバーチャル・カレンシーに変換または償還することができないもの。

(3)プリペイドカードの一部として使用されるデジタル情報。 

(注2) 平成29年5月22日政府広報オンラインは「「仮想通貨」を利用する前に知ってほしいこと。:平成29年4月から、「仮想通貨交換業(仮想通貨交換サービス)」に関する新しい制度が開始されました。」を用意し、また、金融庁は利用者向けリーフレット「平成29年4月から、『仮想通貨』に関する新しい制度が開始されます。」について」を公表している。ただし、これらの内容はバーチャル通貨の決済通貨システムの本来のリスク(投資リスク、システムリスクなど)を明らかとするものではなく、あくまで一般消費者や投資家に対する相談窓口の対応等に限定されたものである。 

(注3) 2015年12月2日付けで筆者は警告の意味で「SECは、米国ビットコイン採掘会社を投資家をだますねずみ講ビジネスとして告発」ブログで取り上げた。わが国でも同様の詐欺行為のリスクは大いにあると考えられる。

(注4) 2017.8.23 大和総研ライブラリー:町井克至「ICOは最新の投資手法?」はSECのIBを具体的に紹介している。以下のとおり、一部抜粋する。

「他国に先駆けて一部のICOを有価証券に該当するとした米国においてさえ、投資家に対してICOへの注意喚起を促す文書を公表した。同文書では、トークンが有価証券に該当するか否か、ICO実施事業者のSEC登録有無、関連する連邦法の適用可能性などを確認してICOへの投資を判断する必要があるとしている。つまり、投資アドバイザーによく相談すべきということだろう。どのような投資にも当てはまることだが、判断するに足る情報を集めて投資先を評価するとともに、投資にあたって保護される内容を確認することが欠かせない。ICOはグレーな部分があり、仮想通貨の活用という新規性や値動きのみに着目して投資するのは、推奨されないだろう。 

(注5) ICO(Initial Coin Offering)は、資金調達等の目的からサービス提供等を開始する前に、そのサービスで利用されるトークン(硬貨の代わりに用いられる代用通貨)の事前販売を行うもの(クラウドセールなどとも言われる)である。 

(注6) わが国で「分散型台帳」(distributed ledger)についての解説で金融制度面から精度の高いものは少ない。その中で、2017年3月柳川範之・山岡浩巳「ブロックチェーン・分散型台帳技術の法と経済学」が参考になる。なお、同論文は要旨において「・・・・・『デジタル化と分散型』という新しい技術特性を踏まえた法律・制度・経済理論面からの考察が重要であり、学界と実務家の密接な連携が望まれる」というコメントは中央銀行の認識の基本となる指摘であろう。また、技術面からの解説としては、青木 崇(政策投資銀行)「ブロックチェーン(分散型台帳)最新事情:第4次産業革命を牽引する革新的な技術への期待と課題」がよくまとめている。 

(注7) ”virtual currency exchange”とは、わが国の改正資金決済法2条7項では、 1.仮想通貨の売買又は他の仮想通貨との交換、2.上記(1)行為の媒介、 取次ぎ又は代理、3.上記(1)(2)に関して、利用者の金銭又は仮想通貨の管理をすること、と定められている。

「仮想通貨交換業」は、内閣総理大臣の登録を受けた者(仮想通貨交換業者)でなければ、行うことは許されません(改正資金決済法63条の2)。

 無登録で「仮想通貨交換業」を行った者や、不正の手段により登録を受けた者に対しては、「3年以下の懲役もしくは300万円以下の罰金に処し、またはこれを併科する」ことになる(改正資金決済法107条2号、5号)。 

(注8) ”DAO”は、デジタル自立分散型組織(Digital Decentralized Autonomous Organization)の略語で、投資家向けベンチャーキャピタルファンドの一形態である。

DAOは、営利企業と非営利企業の両方を組織するための新しい分散型ビジネスモデルを提供するという目標を持っていた。 Ethereumブロックチェーンでインスタンス化され、従来の企業としての管理構造や取締役会はなかった。 DAOのコードはオープンソースである。

DAOは無国籍国であり、特定の国家に拘束されていない。その結果、政府規制当局が無国籍基金をどのように扱うかについての多くの疑問は、まだ対処されていない点が多い。

DAOは、2016年5月にトークンセールを通じてクラウド・ファンディングファンドを行ったが、群集を逃した。トークンの歴史の中で最大規模のクラウド・ファンディングファンドであった。

2016年6月、ユーザーはDAOコードの脆弱性を利用して、DAOの資金の1/3を子会社の口座に吸い上げることができた。 2016年7月20日、Ethereumのコミュニティは、実質的にすべての資金を元の契約に戻すために、Ethereumブロックチェーンをハードフォーク (注9) することに決めた。これは議論の余地があり、Ethereumのフォークに導かれました。そこでは、最初の未熟なブロックチェーンがEthereum Classicとして維持され、Ethereumを2つの別々のアクティブなブロックチェーンに分割し、それぞれ独自の暗号通貨化を行った。

DAOは、2016年後半にPoloniexやKrakenなどの主要仮想通貨取引所での取引から上場廃止された。(Wikipediaを仮訳した)

(注9) フォークはもともとソフトウェア開発関係の用語として使われており、ハードフォークは後方互換性・前方互換性のないアップデートのことを指します。ブロックチェーンにおけるハードフォークは、旧バージョンで有効だったルールを新バージョンで無効とし、旧バージョンで無効だったルールを新バージョンで有効とすることです。

 ハードフォークの際は、旧バージョンと新バージョンとでルールが異なるため、ブロックチェーンが再び合流することがなく、永続的な分岐となります。旧バージョンでのルールが新バージョンで無効になってしまうので、この変更は慎重に行う必要があります。

「ハードフォーク・ソフトフォーク」から一部抜粋

(注10) たまたま筆者はMediumサイトでblockchainの仕組みの平易な解説例を読んだ。著者はLauri Hartikkaである。

********************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida )All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国連邦保健福祉省(HHS)はHIPAA / HITECH包括的最終規則の確定を公表

2017-08-22 10:07:17 | プライバシー保護問題

 2013年1月18日、米国ローファーム”Morgan, Lewis & Bockius LLP”は標記ブログを掲載した。米国のプライバシー保護やセキュリティ保護にかかる法制の独自性は筆者が従来から取り上げているので、読者もある程度理解されていると思うが、この際改めて正確な内容を整理する意味で仮訳した。 

 なお、わが国では2013年12月に日本クラウドセキュリティアライアンス/健康医療情報管理ユーザーワーキンググループが「米国HIPAA/HITECH総括規則の動向(「CSA Cloud Bytes: An Overview of the HIPAA Omnibus Rule」(2013年6月)」の日本語訳を行っている。包括規則の最終確定に至るこれまでの経緯のほか、本ブログとは異なる観点から取りまとめたものであり、本グログと併読されたい。 

1.最終規則の取りまとめの目的

 最終規則は、事業提携者(Business AssociatesBA)に対し、直接、新しいプライバシーとセキュリティ上の義務を課し、データ漏えいの定義の修正およびリスクアセスメントで考慮すべき要素等提案されたルールの多くの条項を最終的に確定した。 

2.HHS/OCRが包括的最終規則を公表

 2013年1月17日、米国連邦保健福祉省(HHS・公民権局(Office for Civil Rights:OCR)は、期待され待望の包括的最終規則(以下「最終規則(Final Rule)」という)を公表した。この最終規則は、「経済的及び臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act HITECH Act) (注1)のもとで「HIPPA」、FTCの「Breach Notification Rule(医療保険の携行性と責任に関する法律(HIPAA)のもとで保護されない医療情報が漏えいした時の通知に関する遵守ルール)」の下での「プライバシー規則」、「セキュリティ規則」および「法執行.規則」として一定の範囲で修正したものである。 

 最終規則は、10年前に最終的なプライバシールールとセキュリティルールが公布されて以来、医療プライバシー法の最も重要な発展を表している。 

 最終規則は、HITECH法の規定を実施するための提案された規則制定の通知(提案された規則案)をHHSが公表した約2年半後に出されたものである。 

 最終規則は2013年3月26日に施行し、対象企業および事業者は2013923日までに最終規則の適用要件を遵守する必要がある。 

3.最終規則に関係する4つの個別規則の改正とその特徴 

○最終規則は、以下に説明する4つの個別規則に対する改正からなる。 

(1) HIPAAのプライバシー規則、セキュリティ規則および法執行規則 

(2) 最終規則は、HIPAAのプライバシー、セキュリティおよび法執行規則(HITECH法で義務付けられているものを含むがこれに限定されない)の改正を確定するものである。 

(3) 最終規則の大半は提案された規則案をそのまま採用し、多くの明確化がなされているが、重要な変更は比較的少ない。 

(4) 最終規則の注目すべき条項は、以下の内容である。 (注2)

 ① 事業提携者(BABusiness Associates):最終規則は、BAに直接適用されるHIPAAプライバシーとセキュリティ規則上の義務の一部を作成する。

② 「事業提携者(BA)」の定義に「下請け事業者(subcontractors)」も含まれており、BAが事業提携契約に実質的に類似した下請け事業者との間で書面契約を締結する必要がある。

③ 重要な点は、「事業提携者(BA)」と「下請け事業者」は、2013923日の遵守義務日までにセキュリティ規則を完全に遵守することが求められることである。 

④ マーケティング :最終規則は、マーケティングに対する当初提案された規則案のアプローチを変更し、自社の製品またはサービを販売している第三者と通信を行うための金銭的な報酬を受け取る事業者のすべての「診療(treatment)」および「日常的な医療運営(healthcare operations)」に関する通信には情報主体の承認を得る必要があるとした。 (注3)(注4)

⑤ HHSは、提案された規則が要求したように、「診療」と「医療運営」の通信上区別することが困難であることに注目し、HHSはマーケティングコミュニケーションとは「健康関連商品またはサービスを販売することに関するすべての補助的通信」をいうと定めた。 

⑥ HHSは、「金銭的な報酬」という用語に非金銭的便益は含まれておらず、むしろ、製品やサービスに関する情報交換のための代金のみを含むことを明確にした。

⑦保護される健康情報の販売行為 :最終規則は、対象となる事業体または事業者が、個人からの許可を得ていない限り、保護対象の健康情報(PHI)の開示と引き換えに直接的または間接的報酬を受け取ることを一般的に禁止している。 

⑧ 保護された健康情報へのアクセス範囲の拡大 :最終規則は、個人のPHIの電子コピーを受け取る権利を拡大した。

⑨ 「健康保険プラン(Health Plans)」 (注5)(注7)(注8)への特定の開示の制限 :最終規則は、個人がポケットから全額支払った治療に関する保健計画への開示を制限する。

⑩ プライバシー実務慣行の通知 :最終規則は、対象となる事業体に対し、プライバシー実務慣行の通知の特定の要素を修正するとともに、修正された形式を再配布することを要求する。

 〇 Civil Money Penalty Structure 民事罰(民事制裁金)の構造

最終規則は、各階層に関連する犯罪性のレベルの増加に基づいて違反に対する罰金金額を増加させるHITECH法の階層化システムを採用した。 

〇 Breach Notification Rule 違反通知ルール 

.最終規則は、2009年8月24日にHHSから公布された漏えい通知の暫定最終規則(以下「暫定最終規則」という)に規定されている「漏えい」の定義とリスク評価アプローチ内容を変更した。 

「漏えい(breach)」の新しい定義の下で、PHIの許されない使用または開示は、対象となる事業体または事業者が保護された健康情報が侵害されている可能性が低いことを証明しない限り違反と推定される。...

この基準は、暫定最終規則に定められた「重大な有害危険性」基準を置き換えるものである。

HHSは、「個人への危害」に優先的に焦点を当てることはあまりにも主観的であり、対象となる事業体および業務提携者間で一貫性のない解釈および結果が生じる可能性があると指摘する。

 上記のように、HHSは、被害を受けたPHIの「低い確率」が「危険にさらされている」ことをリスクアセスメントを通じて実証することを被保険者および業務提携者に要求している。

 また、最終規則は、潜在的な違反に関してリスクアセスメントを実施する際に事業者や事業提携者が考慮しなければならない要素を修正した。 

対象となる事業体および事業提携者は、漏えいによるリスクアセスメントを実施する際に必要なすべての要素が考慮されることを確実にするため、かれらのポリシーを検査することを提案している。

 最終規則は、 「2008遺伝情報差別禁止法(Genetic Information Nondiscrimination Act: GINA (注6)が要求するようにHIPAAプライバシールールを変更して、ほとんどの健康計画が引受目的で遺伝情報を使用または開示することを禁止している。 

 事業提携者は、9月23日にはあらたなセキュリティ規則の遵守プログラムの実施を含む新しいHIPAA上の義務の遵守を準備する必要がある。 

 最終規則の対象事業体等は、プライバシー実務慣行の通知の更新と再配布、事業提携契約の修正を含む、最終規則の新しい要件を反映するために、すみやかにHIPAA遵守プログラムを遵守し始めるべきである。

 ********************************************************************************:*

(注1) HITECH法の立法の背景を見ておく。

(1) 20125JETRO ニューヨーク事務ニューヨークだより「米国における医療分野のIT導入に係る動向:」から一部引用する。

「米国再生・再投資法(ARRA)のうち、医療IT関連部分が、「経済的および臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act:HITECH 法)」であり、①医療ITの促進、②医療ITの実証、③インフラ等に対するグラントと融資の提供、④プライバシー保護を巡る取り組み、の4点に関する条文が盛り込まれている。

 また、同法に基づき、医療ITに係る法律を整備し、プライバシー条項の適用範囲を拡大するとともに、4つの医療IT機器導入促進プログラムと4つの医療IT人材育成プログラム、メディケア・メディケイド関係機関に対する医療IT '電子健康記録や電子処方箋(導入のインセンティブの提供などが行われている。

 HITECH法で規定された医療ITへの投資額は、①裁量的経費から20 億ドル、②メディケア、メディケイドを通じたインセンティブ170 億ドルの、合計190 億ドルに上る。 

(2) プライバシー規則とセキュリティー規則の融合にかかる初期段階

20081215「個人の特定が可能な医療情報の電子的交換のための全国規模のプライバシー及びセキュリティーの枠組み(Nationwide Privacy and Security Framework for Electronic Exchange of Individually Identifiable Health Information) 

2009217米国経済再生・再投資法(American Recovery and Reinvestment Act of 2009 (ARRA))  の一部として、「経済的及び臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act:HITECH法)」を制定。 

20097HHSのセベリウス長官がセキュリティ規則策定を公民権局(OCR)に委任等 

(注2) 前文で述べた日本クラウドセキュリティアライアンス/健康医療情報管理ユーザーワーキンググループの訳文の解説箇所(PP.6~7頁)が参考になるので、以下、引用する。

「米国HIPAA/HITECH総括的規則と事業提携者(BA)」

◎ 事業提携者(BA:Business Associates)=適用主体に代わって、保護対象保健情報(PHI:Protected Health Information)を生成、収集、維持、交換する者

  〇 事業提携者(BA)に代わって保護対象保健情報(PHI)を生成、収集、維持、交換する事業提携者(BA)の下請け事業者も該当する。

 事業提携者(BA)としての位置づけは、契約上の相手関係ではなく、役割や責任に基づく。 

◎ 事業提携者(BA)に該当する例

  〇 患者安全組織

  〇 保健情報連携組織、電子処方箋ゲートウェア、適用主体の個人健康記録(PHR)ベンダー(全てのPHR (HIPAA対象外の個人健康記録)ではない)

  〇 日常的に、保護対象保健情報情報(PHI)へのアクセスを必要とするデータ交換プロバイダー 

◎事業提携者(BA)に該当しない例単にデジタル管路を提供する、データ交換サービス事業者は該当しないただし、実際に閲覧する意図がなくても、保護対象保健情報情報(PHI)を保存する事業者は該当する(例.クラウドモデルの電子健康記録(EHR))

◎事業提携者(BA)と下請け事業者の関係適用主体と事業提携者(BA)との間の契約:事業提携者(BA)の下請け事業者は、事業提携契約書(BAA:Business Associate Agreement)の要件を満たすことが必要下請け事業者の下請けも、事業提携者(BA)に該当する結果として、事業提携者(BA)に適用されるHIPAA/HITECHの義務は、下請け事業者にも直接適用される。

◎HITECHの影響HITECH施行前:事業提携者(BA)は、事業提携契約書(BAA)の遵守が求められるHITECH施行後:事業提携者(BA)および下請け事業者は直接HIPAAの遵守が求められる。 

(注3) 樋口範雄 「米国の医療における個人情報の取扱いについて」雑誌「病院」64巻4号290-293頁(2005年4月号)

 同教授は「アメリカのHIPPAプライバシー・ルール」の特色と題して、わが国の情報保護法と米国HIPPAを比較すべく「機能主義(米国)」と形式主義(日本)という形で以下のような解説をされている。

 改めて日米のプライバシー保護に関する法制整備の考え方の違いが浮かび上がる。さらに、本ブログでとりあげた米国のローファームのブログを正確に読むうえで参考になると考え、やや長くなるが、関係個所を以下、引用する。

人情報保護法では、法の規制対象として個人情報取扱事業者が想定され、事業者自身が情報を使用する場合と、事業者以外の第三者に情報提供する場合とに分けて、規制の仕組みを作った。特に医療の場面を想定したわけではない。そこで医療の場面での具体的適用例はガイドライン(注4)に委ねられた。

これに対し、アメリカのルールは初めから医療情報保護の仕組みとして作られた。そこでも対象となる機関が何かは問題となるが、それよりも、医療情報がどのような形で利用されているかを具体的に想定してルールが作られた。具体的にはTPOのための利用(T

=treatment診療、P=payment支払い、O=health care Operations病院の日常的業務)は、当然に医療に随伴するものとして原則として患者の同意不要とし、それ以外の利用の場合に同意原則をとるという態度をとった。

この違いから、例えば次のような差異が生じている。

【例1】医師が患者の診療につき先輩医師の助言を得たいと考える。日本法の下では、同じ医療機関の医師であればよいが、他の医療機関に属する医師から助言を得るのは、第三者への情報提供を伴うので患者の同意をえる必要がある。アメリカのルールでは、診療【例2】診療がなされた後、患者から民間医療保険会社に支払請求がなされ、保険会社ではその審査のために医療機関にカルテなどの情報提供が求められたとする。日本法の下では、これは情報の第三者提供に当たるので同意が必要になる。アメリカのルールでは、支払いのためであるから同意は不要となる。ただし、アメリカでも支払いに必要な情報に限って出せるという制約はあるが。

【例3】診療に伴い医療事故が発生し、医師がこの件で弁護士や賠償責任保険を引き受けている保険会社に相談したいと考える。日本法の下では、やはり第三者提供になるので、それが業務委託にあたるなど個人情報保護法が認める例外にあたらない限り、原則は患者の同意が必要となる。アメリカなら、病院の日常的業務の範囲内にある行為とされて、同意が不要となる。

これら具体例の結論については賛否が分かれると思われる。ここでは、わが国のルールが形式的で個人情報取扱事業者とそれ以外という形式的区分になっているのに対し、アメリカのルールが、医療情報の利用の仕方に即して機能的なアプローチをとっていることだけを指摘する。」

 (注4) ここでいうガイドラインとは「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」をさす。 

(注5) 「健康保険プラン(Health Plan)」の意義

 特定のプランまたはプログラムが対象とする加入者に対して給付される,ヘルスケアのサービスのパッケージのこと.そのパッケージを提供するプログラム,プランまたは供給組織を指すこともある。Health Insurance Portability and Accountability Act(HIPPA法)のヘルスプランの定義には,雇用主が従業員等に提供するヘルスケア給付プラン,メディケア・メディケイドが実施するプログラム,供給組織である健康保険会社・HMOが含まれている. (損保ジャパン日本興亜総合研究所株式会社から一部引用 ) 

 参考までにHIPPAサイトから”Health Plan”の法的定義を仮訳する。なお、以下の引用する法律を正確に読みこなすには、「アメリカの認知症ケア動向Ⅲ アメリカの医療保障制度」を参照されたい。同解説では、米国の医療保障制度につき、メディケア(パートA(病院保険(Hospital Insurance: HI);パートB(補足的医療保険(Supplementary Medical Insurance: SMI);パートC(Medicare Advantage);パートD(処方薬給付(Prescription Drug Benefits)他)、メディケイド、民間医療保険等につき、かなり詳しい解説が行われている。 

「健康保険プラン」という用語は、連邦規則集第45編第160.103条に定める用語を意味する。 

160.103条-

(公衆衛生法(42 U.S.C. 300gg-91(a)(2))の第2791(a)条(2)に定義される、医療計画を策定またはその費用を支払う個人またはグループのプラン。

(1)健康保険プランには、単一または組み合わせによる以下のものが含まれる。

(ⅰ)本条で定義されるグループ健康保険プラン

(ii)本条に定義される健康保険の発行者。

(iii)本条で定義するHMO。(注9)

(iv)本法第XVIII(118)編に基づくメディケアプログラムのパートAまたはパートB。

(v)合衆国法典第42編第1396条、社会保障法(Social Security Act)第XIX(118)編8/18(48)に基づくメディケイド・プログラム。

(vi)メディケア補足医療保険(合衆国法典第42編第1395ss(g)92 U.S.C. 1395ss(g)(1)(注7)(注8)社会保障法第1882(g)条(1)項に定義されている)の発行者。

(vii)介護老人ホームの保険証券を除く、長期メデイケア保険の発行者。

(viii)2人以上の雇用者の従業員のための従業員の福利厚生制度、または厚生年金基金に医療給付を提供または提供する目的で確立または維持されるその他の給付

(ix)合衆国法典第10編に基づく現役軍人のための医療プログラム。

(x)合衆国法典第38 編 第17章の退役軍人医療プログラム。

(xi)合衆国法典第10編第1072(4)条で定義されている)軍属健康医療プログラム(CHAMPUS)

(xii)先住民保健医療改善法(合衆国法典第25編第1601条以下)に基づく先住民保健サービスプログラム。

(xiii)合衆国法典第5編第 8902条以下の連邦従業員の医療補助プログラム。

(xiv)合衆国法典第42編第1397条 8/18(52)以下の法律第2101条の要件に合致する児童の健康支援として承認された州の児童保健計画。

(xv)合衆国法典第42編第1395w-21〜1395w-28条の第XVIII編パートCに基づくメディケア+チョイスプログラム。 

(xvi)適格者に健康保険または同等の補償を提供するために州法の下で確立されたメカニズムである高リスクプール(注10)。

(xvii)PHS法第2791条(a)(2)条、42 USC 300gg-91条に定義されている医療費を提供または支払うその他の個人または団体計画、 

(2) 以下の健康保険プランは除く。

(i)PHS法第4291条(c)(1)項に列挙されている例外的給付を提供または費用を支払う範囲での政策、計画またはプログラム。 

(ii)政府が資金を提供するプログラム(この定義のパラグラフ(1)(i) - (xvi)に記載されているものを除く)

(A)主な目的は、ヘルスケアを提供すること、またはその費用を支払うこと以外である。 (または)

(B)主な活動は誰か:

a.人への医療の直接提供。または 

b.人への医療の直接提供に資金を提供するための助成金の作成。 

(注6) 米国の遺伝情報差別禁止法(Genetic Information Nondiscrimination Act = GINA)が2008年4月24日連邦議会上院で満場一致,同5月1日下院で賛成414票,反対1票で各々可決され,同21日ブッシュ大統領が署名して成立した。この問題に関する最初の法案が1995年11月に上程されてから13年が経過していた。

なお、佐藤博「遺伝子差別禁止法のない自主規制のままの日本。野放し状態でプライバシーは守られるのか?」はわが国として取り組むべき重要な課題を論じている。 

(注7) 42 U.S. Code § 1395ss - Certification of medicare supplemental health insurance policies の原文を記す。

(g) Definitions

(1) For purposes of this section, a medicare supplemental policy is a health insurance policy or other health benefit plan offered by a private entity to individuals who are entitled to have payment made under this subchapter, which provides reimbursement for expenses incurred for services and items for which payment may be made under this subchapter but which are not reimbursable by reason of the applicability of deductibles, coinsurance amounts, or other limitations imposed pursuant to this subchapter; but does not include a prescription drug plan under part D or a Medicare Choice plan or any such policy or plan of one or more employers or labor organizations, or of the trustees of a fund established by one or more employers or labor organizations (or combination thereof), for employees or former employees (or combination thereof) or for members or former members (or combination thereof) of the labor organizations and does not include a policy or plan of an eligible organization (as defined in section 1395mm(b) of this title) if the policy or plan provides benefits pursuant to a contract under section 1395mm of this title or an approved demonstration project described in section 603(c) of the Social Security Amendments of 1983, section 2355 of the Deficit Reduction Act of 1984, or section 9412(b) of the Omnibus Budget Reconciliation Act of 1986, or a policy or plan of an organization if the policy or plan provides benefits pursuant to an agreement under section 1395l(a)(1)(A) of this title. For purposes of this section, the term “policy” includes a certificate issued under such policy. 

(注8) 連邦政府のMedicare .govサイトの”What's Medicare Supplement Insurance (Medigap)?”を参照されたい。 

(注9) Health Maintenance Organization (HMO)米国保健維持機構の略語。米国の民間保険の一つ。HMOは1973年にニクソン政権下で成立した「1973年保険維持機構法 (en:Health Maintenance Organization Act of 1973)」8/18(42) を転機として発展した組織である。HMO自体は20世紀初頭に起源をもつが、1970年代当時、コストを重視した医療を提供していた民間団体に政府が低金利の助成金を交付し、拡大を狙った。HMOに分類される最大の保険会社は、1945年に設立されたカイザーパーマネンテ(Kaiser Permanente)である。2007年時点で870万人と契約を結んでいる。

HMOに分類される保険会社は多数あり、企業が契約を結んだ保険会社が医療水準を決定する。このような由来をもつためHMOには3つの大きな制限がある。まず、保険会社と契約を結んだ登録された医療機関でしか診療が受けられないこと。次に、特定の病歴を持っていた場合、企業が契約した保険会社からHMO加入を認められない場合があることである。これは医療費がかかる見込みがある加入者を受け入れると、コスト増が見込まれるからである。最後に、登録医療機関の医師は保険会社であるHMOと雇用契約を結んでいるため、コスト削減の観点から、患者に提供する医療水準を下げることが望ましいとされている。したがって、難病などへの対応が困難で、複雑な外傷など高額な医療が求められる治療も受けにくい(goo Wikipedia から一部抜粋)。 

(注10) 州営の条件体医療保険プール(この州営によるプールは,医学的に保険加入が困難な医療保険非加入者(medically uninsurable)が連邦政府の非常に限られた制度にしか加入していないという現状認識に立ち,問題解決策の一つとして採用された制度である。最初に導入/実施したのはミネソタ・コネチカットの両州('76年).なおプールは典型的には州内健保会社で構成する非営利法人組織で運営され,自家保険制度はエリサ法によって加入を強制されない。消費者、健康保険者、保険庁で構成される理事会を有するのが一般的である。 

***************************************************:

Copyright © 2006-2017 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

ドイツ連邦労働裁判所の職場における従業員のコンピュータのモニタリング制限に関する新判例法を読む

2017-08-20 14:08:24 | プライバシー保護問題

 筆者の手元に米国のローファームの標記タイトルのブログが届いた。

 概要を述べると「原則として、ドイツのデータプライバシー法に準拠していない方法で雇用者が取得したドイツの労働法訴訟手続における証拠の司法上の使用は、原告のプライバシー権の不当な侵害とみなされる。ドイツの雇用主による調査の措置は、犯罪行為の妥当かつ具体的な疑惑、または雇用者の損害に対する深刻な誤動作の場合にのみ認められる。さらに、雇用者は最初に秘密の監視手続きの短期化を試行し、肯定的な結果がなければ、唯一の実用的な救済策として、より煩雑な対策を検討する必要がある。さらに、これらプロセス全体が妥当かつ適切でなければならない。」というものである。以下、仮訳する。 

 ドイツの労働紛争の最高裁判所である「ドイツ連邦労働裁判所(Bundesarbeitsgericht)によると、ドイツの雇用者は、明らかに犯罪を犯した疑惑や重大な義務違反がない場合、職場での従業員の行動を監視することはできない(2017727日判決: case ref. 2 AZR 681/16)参照)(注1) この事件は、デスクトップ・コンピュータで行われたすべてのキーボード入力を記録するキーロギング・ソフトウェアの使用を含む、従業員のコンピュータ使用状況を具体的な疑惑なしに監視することは、ドイツの「連邦データプライバシー法(Bundesdatenschutzgesetz)遵守していないことを意味する。同裁判所は、ドイツのデータプライバシー法に違反して取得された証拠を訴訟から除外することができる。  

1.本裁判の事実  

 この場合、従業員たるウェブ開発者は、雇用主からの解雇通知に対して当該解雇の無効訴訟を提起した。雇用主は、従業員のビジネス・コンピュータにいわゆるキーロガーをインストールしていた。 雇用主は、従業員が自分の勤務時間の大部分を私的活動に専念していたという仮定を証明するためにこれを行った。このキーロガー・ソフトウェアは、かなりの長期間、すべてのキーボード入力をモニターし、保存した。 さらに、同ソフトウェアは従業員のデスクトップPCのスクリーンショットも定期的に取得し、保存していた。 

 ログデータは、従業員がかなりの量の勤務時間をプログラミングていたこと、また、私的目的のために宇宙船PCゲームを行っていたことを明らかにした。さらに、このデータは、原告が父親の物流会社の受注を大規模に処理し、その注文を処理するためのITツールを開発、使用していたことを証明した。記録されたスクリーンショットは、従業員が彼の父親の会社の事業に関する彼のアカウントには約6.000通の電子メールがあった。 さらに、ログデータを分析したところ、原告はインターネット上の飛行機やアミューズメントパークを検索するためにコンピュータを定期的に使用していたことが明らかになった。 

 従業員は、これらの主張のほとんどを拒否した。彼は父親の会社のためのにでは1日当たり10分以上は働かなかったと主張した。また、従業員は、私的なPCゲームに関して、4ヶ月の間に3時間しかゲームをプレイしていなかったと主張した。 また、彼は、彼が休暇中にほとんど独占的にこれらの活動のために彼自身のビジネスコンピュータを使用していたと述べた。  

*裁判所が裁判上の争点とした問題  

 連邦労働裁判所は、以下の質問に焦点を当てた。

 1.従業員を調査するためにキーロガーを使用したことは、ドイツのデータプライバシー法に違反しましたことになるか? 

 もしそうなら、裁判所は、不当解雇請求を評価するためにこの証拠を認められることが許されるか? 

 * データプライバシー法に違反した解雇の無効問題 

 裁判所によると、従業員が認めた業務用コンピュータの一時的私的使用は、あらかじめの警告通知なしであり解雇を正当化しなかった。 また、有効な解雇になるためには、雇用者はその従業員に対する告発を証明しなければならなかったであろう。 雇用主が持っていた唯一の証拠は、キーロガー行為から得られたログデータのみであった。 連邦裁判官は、犯罪犯罪または重大な違反の疑いが全くなく、雇用者によるキーロガーソフトウェアの秘密使用が、「情報の自己決定(すなわちプライバシー)に対する憲法上の権利」に、不公平かつ不法な方法であると判示した。  

* データ保護法違反で取得された証拠は一般的に裁判所では許可されない 。 

 原則として、ドイツのデータプライバシー法に準拠していない方法で雇用者が取得したドイツの労働法訴訟手続における証拠の司法上の使用は、原告のプライバシー権の不当な侵害とみなされる。ドイツの雇用主による調査の措置は、犯罪行為の妥当かつ具体的な疑惑、または雇用者の損害に対する深刻な誤動作の場合にのみ認められる。 さらに、雇用者は最初に秘密の監視手続きの短期化を試行し、肯定的な結果がなければ、唯一の実用的な救済策として、より煩雑な対策を検討する必要がある。さらに、これらプロセス全体が妥当かつ適切でなければならない。 

 その根本的なケースでは、雇用者が従業員がコンピュータを使用して不適切な活動に従事している疑いがあったにもかかわらず、その疑惑は具体的な証拠に基づいておらず、具体的ではなかった。 したがって、裁判官は雇用主の調査が正当でないと判断し、キーロガーを使用する従業員の監視はドイツのデータプライバシー法に違反したと判示した。 

 さらに、キーロガーの使用は、従業員に対する具体的な疑いがある場合でも不適切であったであろう。 裁判所によれば、雇用者は、事件を調査するために同様に適切かつより寛大な方法に頼るべきであった可能性がある。 例えば、雇用者は、従業員の在席時時に従業員のビジネス・コンピュータをチェックすることができた。 このような明らかにする調査は、キーロガーを使用した秘密の監視のようなケースを調査するのと同様に適切であったであろう。 したがって、裁判所は、雇用主がこのような人権侵害の少ない調査手段を選択することができ、また選択すべきであると結論付けた。  

 また、連邦裁判官は、ドイツの法律の下では、職場における継続的な技術的監視が一般的に違法であるという一般的裁定結果を確認した。 継続的な従業員のモニタリングは、従業員の人格権に一般的に違反している従業員に圧力をかけた。  

 *すべてのヨーロッパ加盟国が同様の道をたどる  

 ドイツ連邦労働裁判所の判決は、他の欧州加盟国の裁判管轄区域における従業員モニタリング問題にも関連する可能性がある。ドイツ連邦裁判官によって指摘されたこの原則は、20185月25日に発効する新しいEU一般データ保護規則(GDPR)の下でも適用される。  

 キーロガーの使用が使用者の基本的な権利に違法な干渉をもたらすとの評価で、ドイツの労働裁判所は欧州のデータ保護当局と同じ道を踏襲している。2017年6月8日のEU保護指令第29条専門家会議の職場におけるデータ処理(2/2017)報告(注3) によれば、「キーロガー」、「マウスの移動ロガー」、および「自動スクリーン・キャプチャソフトウェア」は一般に不適切であると指摘する。 

 *結論 

利用可能な技術的監視ツールの多くは、従業員が適切に職務を遂行していることを確実にしたいと考えるドイツの雇用主にとって魅力的である。しかし、雇用主は、犯罪の疑いや職場での義務違反を調査するために使用する措置を慎重に検討しなければならない。 選択された調査措置がドイツの法律では不適切である場合、取得された証拠は裁判手続のために無価値であるだけでなく、雇用主は行政罰金に服し、あわせて影響を受ける従業員から損害賠償の請求をうける可能性がある。  

2.わが国におけるモニタリング規定や事前の警告なくなされた電子メールのモニタリングが適法か?雇用者側であらかじめ対応を進めておくべき点は如何? 

  やや以前の解説であるが、次の弁護士等のよる判例等の解説がある。前述したドイツ連邦労働裁判所事件の事実関係や判決の主旨などといまいち確認できない点もあり単純に比較しがたいが、たとえば、業務時間中に情報量が膨大なアダルト系の画像情報などをキャプチャーなどで取り込まれていた場合、回線容量を超えてシステムダウンを起こしたり、勝手なソフトのインストールが、コンピュータ・ウィルスの蔓延や他のソフトの誤作動を招くセキュリティー上の危険に留まらず、企業の生産性の低下を招くまでにいたるリスク等がある。

 他方、わが国でも社内ネットの私的利用の監視のためのモニタリングは従業員のプライバシーへの侵害との批難を招く可能性もある。 

 そこで、最後に筆者なりに雇用者側としてあらかじめとるべき対応策を弁護士の解説の引用もって例示しておく。EUや米国等においてこのような取組方法や内容が、ベストプラクティスとして裁判所の解釈も含め一般的になりうるか否かは自信がないが、少なくとも、わが国の企業が検討、取り組むべき課題とは言えるのではないか。 

(1)わが国の裁判例

 ロアユナイテッド法律事務所「企業のネットの私的利用への対応」から一部抜粋する。 

* 企業のコンピュータ・ネットワークを私的に利用している従業員に対して、制限ができますか?又、その違反に対しては懲戒処分などができるでしょうか? 

 モニタリング規定や事前の警告なくなされた電子メールのモニタリング(注4)が適法とされた裁判例が現れています。F社Z事業部事件(東京地判平 13.12.3労判826-76)は、セクハラに絡んだ調査の過程で、異常な私的利用が発覚した事案です。

 ・・・電子メールの場合の保護の範囲について、通常の電話装置の場合よりも相当程度低減されるといった限界を指摘しています。さらに、プライバシー侵害の判断基準として、「監視の目的、手段及びその態様等を総合考慮し、監視される側に生じた不利益との比較衡量の上、社会通念上相当な範囲を逸脱した監視がなされた場合に限りプライバシー権の侵害となる」としました。

 その具体例としては、[1]職務上社員の電子メールの私的使用を監視するような責任ある立場にない者が監視した場合、[2]責任ある立場にある者でも、これを監視する職務上の合理的必要性が全くないのに専ら個人有為的な好奇心等から監視した場合、[3]社内の管理部署その他の社内の第三者に対して監視の事実を秘匿したまま個人の恣意に基づく手段方法により監視した場合、などをあげています。そして、電子メール閲読行為の相当性について、「X1らによる社内ネットワークを用いた電子メールの私的利用の程度は、...限度を越えているといわざるを得ず、Yによる電子メールの監視という事態を招いたことについてのX1側の責任、結果として監視された電子メールの内容およびすでに判示した本件におけるすべての事実経過を総合考慮すると、Yによる監視行為が社会通念上相当な範囲を逸脱したものであったとまではいえない。」と判断しました。(注5) 

 続いて現れた、日経クイック情報事件(東京地判平14.2.26労判825-50)は、社内の誹謗中傷電子メールへの調査の過程で発覚した電子メールの濫用的私的利用に関するモニタリングが適法とされた例です。裁判所は、「企業秩序に違反する行為があった場合に、違反行為の内容等を明らかにし、乱された秩序回復に必要な業務上の指示、命令を発し、または違反者に対し制裁としての懲戒処分を行うため、事実関係の調査をすることができる」とした上で、その調査や命令は、[1]企業の円滑な運営上必要かつ合理的なものであること、[2]方法、態様が労働者の人格や自由に対する行き過ぎた支配や拘束ではないことを要し、調査等の必要性を欠いたり、調査の態様等が社会的に許容しうる限度を超えていると認められる場合には労働者の精神的自由を侵害した違法な行為として不法行為を構成することがあるとの一般論を述べました。その上で、[1]私用メールは、送信者が文書を考え作成し送信することによりその間、職務専念義務に違反し、私用で会社の施設を使用する企業秩序違反行為になること、[2]私用メールを読ませることにより受信者の就労を阻害し、受信者が送信者からの返信メールの求めに応じてメールを作成・送信すれば、受信者に職務専念義務違反と私用による企業施設使用という企業秩序違反となること、[3]多量の業務外の私用メールの存在が明らかになった以上調査する必要が生じたこと、 [4]業務外の私用メールであるか否かは、その題名から的確に判断することはできず、その内容から判断する必要があることなどから、モニタリングの必要性を認めました。その上で、「Xのメールファイルの点検は、事情聴取によりXが送信者である疑いを拭い去ることができず、また、Xの多量の業務外の私用メールの存在が明らかになった以上行う必要があるとし、その内容は業務に必要な情報を保存する目的で会社が所有し管理するファイルサーバー上のデータ調査であることから、社会的に許容しうる限界を超えてXの精神的自由を侵害した違法な行為とはいえない」としました。モニタリングの事前告知のなかったことに関しても、「事前の告知による調査への影響を考慮せざるを得ないことからすると、不当なこととはいえない。」などとしたものです。つまり、これらの裁判例はいずれも、電子メールに関する規定等がなかった事案であるところから、電子メールの特殊性と、労働者による電子メールの私的濫用が判断の大きな要素になっているものと解されます。(以下の引用は略す) 

(2) 弁護士 人見勝行「インターネット等の私的利用の禁止」(J-Net21)

  一部抜粋する。・・・現実には、多くの企業で、就業規則により、勤務時間中にインターネットや電子メールを私用で利用することが禁止されているようです。確かに、就業規則に具体的な記載が存在しないとしても、一般的な職務専念義務を定めた条項との関係で、私的なインターネット等の利用は、相当の程度まで制限されることになりますが、就業規則違反を理由として懲戒処分を課すための根拠は明確であることが望ましいですし、また、許容する程度を定めることができるのですから、就業規則には、程度の差は別として、インターネット等の私的利用を禁止する旨の条項を設けるべきです。但し、一切の私的利用を禁止する条項を就業規則に設けたとしても、現実に私的利用を行った従業員に対して、直ちに懲戒処分を課すことができるわけではありません。例えば、私的利用の程度が軽微な場合に、従業員を懲戒解雇にすることは、解雇権の濫用となるでしょう。あくまで、就業規則違反に基づく懲戒処分は、違反の程度や行為の結果が企業に及ぼす影響に見合うものでなければならないのです。

 また、就業規則を整備していたとしても、現実の運用において遵守が徹底されておらず、例えば、実際には誰も遵守していないような場合には、仮に、問題が生じたとしても、問題を起こした従業員を処分することは、一部の者だけを特に処分する不公平なものとして許されないおそれがあります。そのため、就業規則を整備するだけでなく、就業規則の遵守を徹底することが必要になります。 

(3) 限度を超えた私的メールで、どの程度の懲戒処分が可能か

 弁護士 中野秀俊氏が、裁判例をもって解説している。以下で、一部抜粋する。 

*では、限度を超えた私的メールで、どの程度の懲戒処分が可能なのでしょうか? 

 福岡高裁平成17年 9月14日判決の事案が参考になります。この事件では、専門学校に教師として雇用されていた従業員が,勤務中に職場のパソコンを利用して,いわゆる出会い系サイトに登録し、大量の私用メールのやり取りを続けていたなどとして懲戒解雇され、その懲戒解雇の有効性が問題になった事案です。 

 この事件では、受信記録は1650件、送信記録1330件のうち、出会い系サイトへの受送信分が各800件以上であり、その半数が就業時間内に行われていたというもので、私用メールは,学校の服務規則に定める職責の遂行に専念すべき義務等に著しく反し,その程度も相当に重いものというほかない。として、懲戒解雇を有効としました。 

 一方、東京地裁平成19年6月22日判決では、6か月間、就業時間中に1,700通の私的メールを行っていた事案で、会社が行った解雇を無効としました。 

裁判所としては「通常の限度をはるかに超える」としながら、訴訟に至るまで、従業員に会社が指摘したことがなく、問題視されてこなかったことが、その理由とされました。 

さらに、東京地裁平成19年9月18日判決では、1が月に2~3通の私的メールを送った事案で、解雇を無効としました。(以下、略す) 

 同弁護士は「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成261212日厚生労働省・経済産業省告示第4号)を引用されている。併せて確認されたい。 

*******************************************************

(注1) ドイツ連邦労働裁判所の判決またはプレス発表内容の検索手順を簡単に整理しておく。

判決日、事件番号などがあらかじめ分かっていれば、簡単である。

 

 ① まず、判決またはプレス発表検索サイトを開く。

② 判決日付が判明しているときは、画面右側のKalenderから年月日を選択する。

③ 右下に検索結果が表示される。クリックする。 

(注2) 2017.6.8 EU保護指令第29条専門家会議が採択した”Opinion 2/2017 on data processing at work (全24頁)”をさす。なお、同会議の意見書は全EU加盟国の専門家からなる会議であり、その解釈上のきわめて重みがある。

なお、同Opinionに関する米国ローファームの解説2017.7.3 Hunton & WilliamsLLP  BlogArticle 29 Working Party Releases Opinion on Data Processing at Work がある。

 (注3) 電子メールのモニタリングの具体的手段断が不明である。すなわち、現在Top 17 【無料・有料】従業員監視 Apps. 最高のものを選ぶ」などというキーロガーサイトが闊歩している。このようなソフトを監視する権限がない人事部の役席が勝手に利用したとすれば、この裁判官はどのような判断を下したであろうか。組織的かつ厳格なモニタリング体制の構築がコンプライアンス上で最優先であることを肝に念じてほしい。 

(注4) 会社によるメールのモニタリングが違法になる場合として、前述の裁判例(平成13年12月3日 東京地裁判決)は、以下の場合を挙げている。

① 従業員の電子メールの私的利用を監視するような立場にはない(経営者層ではない)者が監視した場合

②仮に、責任ある立場にある者の監視でも、監視する合理的理由がない場合(個人的好奇心からモニタリングして場合)

③モニタリングの事実を隠したまま、監視した場合 

***************************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

米国で生体認証情報プライバシー法を採択した第三番目の州であるワシントン州の立法内容の検証する

2017-08-19 13:58:41 | プライバシー保護問題

 Last Updated:April 20,2019

 2017年6月1日、ワシントン州はいわゆる「生体認証情報プライバシー法(Biometric Information Privacy Act(BIPA)」(HB 1493)(正式には”AN ACT Relating to biometric identifiers”)を可決, 成立し、同様の法律を持つイリノイ州とテキサス州に続く第3番目の州として加わった。2017年7月23日に施行された「HB 1493」は、商業目的でバイオメトリック識別子を収集等を行う事業体(business entity)を規制対象とする。 

 さかのぼるが、2015年11月20日、筆者はイリノイ州の「生体認証情報プライバシー法(Biometric Information Privacy Act(BIPA)」および同法を根拠としたFace Bookの顔認証(注1)のクラスアクション裁判の動向をグログ「生物測定学技術の集団訴訟:フェイスブックは顔認識技術の導入に関しプライバシー訴訟の棄却申立 」(その1)(その2)でかなり詳細に論じた。 

 このクラスアクション裁判は、連邦地裁で却下されているが、その却下理由はいまいち理解しがたい点もある。いずれにしてもイリノイ州の法律がその後の各州の立法や法案の議論に大きな影響を与えていることは間違いなく、今回のブログは従来の州法とは異なる特徴を持つワシントン州の立法内容を検証するとともに、他州の法案審議の状況等を整理する目的で取りまとめた。

 1.ワシントン州のHB 1493の特徴的な点と内容

(1) 2017710日、Focus on the DataThird State Adopts Biometric Privacy Lawの概要を、以下、仮訳する。しかし、このブログは決して本格的なものとは言い難い。したがって、筆者が必要に応じ補足するとともに独自に同州の立法内容を解説したローファーム・ブログ「Washington becomes the third state with a biometric privacy law: five key differences」を併読されたい。

① HB1493における「生体認証情報(Biometric Information)」とは何か? 

 この法律は、バイオメトリック情報を、自動的に測定された「指紋(fingerprint)」、「声紋(voiceprint)」、「目の網膜(eye retinas)」または「虹彩(irises)」または「その他の固有の個人の生物学的識別子」と定義する。また、同定義には「ネガ写真・デジタル写真」、「ビデオ」、「録音機器による基本的な音声録音」、または「医療目的のために収集、使用されるもの」および「1996年医療保険の相互運用性と説明責任に関する法律( Health Insurance Portability and Accountability Act of 1996HIPAA)(注2)のもとでの医療行為、支払または手術等は含まれていないことが明示されている。  

 また、生体認証識別子はユーザーIDやパスワードとも異なる。つまり同じ保護されたコンピュータ・ネットワーク上であっても、2人のユーザーが同じパスワードを持つことができる。Gmailアカウントにサインアップしようとする人は誰でも証明できるので、2人のユーザーが同じユーザーIDを持つことは間違いではない。しかし、2人の人が同じバイオメトリクスを持っているわけではない。彼らは完全に1人の個人特性を持っている。 

② この法律は何を目的としたものか? 

 この法律は、事業者が商業目的のために、最初に通知を出したり、同意を得たり、その後の生体認証識別子の使用を防止する仕組みを提供することないままに、商業目的でそのデータベースに生体認証識別子を登録することを禁止する。 

 この法律は、いくつかの例では、一般的な収集および使用のための通知および同意のための代替としての商業的使用のオプトアウトを認める。 ただし、生体認証識別子を収集する企業がバイオメトリック識別子を販売、リースまたは開示したい場合は、「通知」と「同意」が一般的に必要である。この法律で要求される「同意」は、文脈依存(context-dependent,)であり、設計によって柔軟であり、ウェブおよびアプリケーション開発者が歓迎する可能性が高い。 法律は、対象となる事業者に対して、合理的なセキュリティ対策を講じて生体認証識別子を保護し、合理的に必要とされる期間のみ生体認証識別子を保持することを法律に求めている。  

③ 州の法律における特別な配慮すべき点

 ワシントン州法の下では、訴訟を起こしうる私的権利(private right)は認められない。テキサス州のバイオメトリック法H.B.1493と同様に、個々の原告による訴訟を可能にする私的権利を認めなかった。その代わりに、ワシントン州の司法長官だけが裁判上請求を求めることができる。イリノイ州の法律のみが、現在、個人的な裁判請求を認める州レベルの「生体認証情報プライバシー法」といえる。  

④ この問題の規制当局や民間事業体の取組姿勢 

 新しいワシントン州の立法内容が明確になるにつれ、規制当局はますますバイオメトリックデータの保管と配布に焦点をあてた取扱いを行うこととなろう。 ビジネスリスクと規制リスクを軽減するために、生体認証情報を収集する企業は、プライバシーとデータ保護ポリシーを確立または修正する必要がある。 

 2.目下バイオメトリック認識にかかるプライバシー法案が各州の立法機関を循環中(A Host of Biometric Privacy/Facial Recognition Bills Currently Circulating in State Legislatures ) 

  2017年2月23 日の弁護士Jeffrey Neuburgerのブログを、以下、仮訳する。  

 我々は、イリノイ州の生体認証情報プライバシー法(BIPA)を取り巻く多くの訴訟、却下、和解等について幅広く取り上げてきた。この法律は、一般的にいうと、企業が特定の通知を行い、主体の同意を得ておよびデータ保持要件を満たさない限り、企業が「生体認証識別子(biometric identifier)」または「生体認証情報(biometric information)」を収集、画像データのファイル保存(caputuring)、購入または取得することを禁止している。

 この法律には定義された条件と制限があり、現在進行中の訴訟当事者は、(1)法律の下で、何が「生体認証識別子」と「生体認証情報」が意味するものか、(2)洗練された顔認識技術を使用してアップロードされた写真の顔テンプレートの収集が法律が認める範囲に入るかなどを論議している。 

 さらに、過去6ヶ月の間、2つの裁判において、連邦地方裁判所は同法第ⅲ条の立証の欠如を理由に、イリノイ州生体認証情報プライバシー法(BIPA)の手続的および技術的侵害を主張する訴訟を却下した。 

 したがって、バイオメトリック・プライバシー・コンプライアンスおよび訴訟の震源地は、イリノイ州の法律(BIPA)であった。テキサスのバイオメトリック法は同様の保護を提供しているが、私的な訴訟請求権は含まれていない。 

 今後、バイオメトリクスの保護法制の風景は、より複雑になるだろう。 イリノイ州のバイオメトリック・プライバシーに関する改正案が提案され、BIPAによく似た多くのバイオメトリック・プライバシー法案が他の州の議会で上程された。 新たに上程された法案の大半はイリノイ州の法律とほぼ一致しているが、ワシントン州の提案は多くの点で非常に異なる。 これらの法案の一部または全部が制定されれば、バイオメトリクスの法的景観をさらに明確に形作り、定義することになろう。 

 他の州の法案の概要は以下のとおりである。 

① アラスカ州(HB 72BIPAと同様に、アラスカ州法案は、適切な通知および主体の同意なしにバイオメトリック・システムで使用する個人のバイオメトリックデータの収集を禁止し、データがもはや必要なくなった後に適時に処分することを要求し、訴訟を可能にする私的な権利を認めている。法案は現在委員会に置かれている。  

② コネチカット州(HB 5522この法案は、小売業者がマーケティング目的で顔認識ソフトウェアを使用することを禁止することを目的としている。 同じ議員が2016年に法案を提出した。これは可決することができず、通知および同意なしに商業上の目的でバイオメトリック識別子の取得と使用を禁じていたことに注意する必要がある。2017年法案は法務委員会に付託された。  

イリノイ州(HB 2411:改正法案):この改正法案は、従来のBIPAの内容を見直し、雇用主がバックグラウンドチェックを実施したりセキュリティプロトコルを実施するために必要な範囲を除き、商品やサービスの提供の条件として個人または顧客にバイオメトリック識別子またはバイオメトリック情報を求めない。この改正案は、医療サービス、法執行機関、または政府機関を提供する企業には適用されないと記している。改正法案は現在、委員会に割り当てられている。  

モンタナ州(HB 518 :この法案は、個人の同意なしに個人の生体データを収集、保管、使用することを禁止し、販売、開示、保護、処分の手続きを確立することを禁止するモンタナのバイオメトリック情報プライバシー法を制定するというものである。この法案は、データ主体に訴訟を可能にする私的な権利を認めている。HB 518は現在委員会にある。 

⑤ ニューハンプシャー州(HB 523 :BIPAと同様に、この法案は個人および私企業によるバイオメトリック情報の収集、保持、使用を規制するものである。 この法案は、侵害された人に訴訟を可能にする私的な権利を与える。 法案は現在委員会にある。  

⑥ ワシントン(HB 1493):法案は、事業者にデータベースにおける個人のバイオメトリック識別子の使用内容を登録または変更するときに、バイオメトリックデータを特定の個人に関する収集につき通知し、かつ個人からの同意を得ることを求める。 

 しかし、現在の法案には、イリノイ州のBIPAと区別できるようにするためのいくつかの制限があり、その全体的な保護効果が弱まっている。

  例えば、法案は、バイオメトリックデータが「セキュリティ目的のために」(これは、万引き、詐欺またはその他の方法で保護されているべきと定義されている、またはソフトウェア、アカウント、アプリケーション、オンラインサービス、または任意の人物の完全性を保護するときは、「通知」や「同意」は不要とする。

 また、この法案は、生体認証識別子の開示と保持の禁止が、「未登録のバイオメトリック識別子」(完全な解釈は最終的な法案テキストを待たなければならないが、データベースから特定の個人にリンクされたバイオメトリック・テンプレートデータの削除を示唆する用語で「匿名の(anonymous)」、「識別されていないバイオメトリックデータ(de-identified biometric data)等)には適用しない点である。 

 加えて、最も重要な異なる点は、法案ではワシントン州の消費者保護法の下で、不公平または欺瞞的なビジネス慣行とみなされる重大な違反行為であり、州の司法長官によってのみ強制されるため、訴えを起こす私的権利を認めないということである。この法案は、下院規則委員会で審議中である。  

 さらに、 アリゾナ州ミズーリ州などの多くの州では、生徒の個人情報に関して、保護者または法定後見人(legal guardians)の同意なしに生徒の生体認証識別子データの収集につき制限がある。  

 ワシントン州の立法プロセスはまだ早い段階(注3)ではあるが、対象となるバイオメトリック情報の収集を含むオンラインまたはモバイルサービスを提供する企業は、提案されているバイオメトリック・プライバシー法がいくつかの州裁判所で論議されていることに気づくべきである。

 法案が可決されたか否かに応じて、企業は通知および同意実務慣行の変更を検討するか、バイオメトリックデータをまったく収集または保存しないことを決める必要がある。さらに、カリフォルニア州における現在のFacebookのバイオメトリック・プライバシー訴訟を注視しているが、新しいこの州法は、BIPAを前提としたものであっても、最終的な法的テキストがイリノイ州の法律とどのように違うか等につき考慮すべきである。 

⑦ 筆者が独自に調べた範囲では2019.2にマサチューセッツ州の法案が上程されている。法案解説を読むと「イリノイ州法に類似した内容で、消費者は、収集した個人データのコピーを要求したり、データの開示を第三者に制限したり、さらに削除することを要求したりする可能性がある。また、マサチューセッツ州の市民は、彼らの個人情報やバイオメトリックデータが不正に収集または保存された場合には、訴訟を起こす権利を持つこととする。この法案は、消費者に①実際の損害賠償または1事件当たり750ドル、②差し止め命令または宣言的救済(declaratory relief)、および③合理的な弁護士費用、のうちより大きな額を取得するため、自身に民事訴訟権を与えることを意図している」とある。

**************************************************************************

(注1) 「顔認識(face recognition)と「顔認証【face authentication】の違いはいかなる点にあるか?

「顔認識」であれ、「顔認証」であれ、カメラから取得したデジタル画像から人の顔があるかどうかを調べて顔の場所を検出する「顔検出」を行い、検出した顔のデータを解析するところから始まる。「顔検出機能」はコモディティ化されており、現在のデジタルカメラやスマートフォンなどには標準で備えられている。その検出した顔からデータを抽出し解析をするのだが、当社の考え方は、「顔認識」は、検出された人間の顔から「性別」「年齢」「気分」などを識別することであり、「顔認証」は、その検出、識別したデータを事前にデータベースに登録されている顔データと「照合」し合致させることであり「顔認識」より一歩進んだ技術である。現在、犯罪捜査やチケットの転売防止、流通店舗では万引防止などでも利用されている。当然、プライバシーに関する「顔認証」は高い精度が求められており、サーバーを介した大規模なシステム構築が必要であり、相当の費用が必要であるのは言うまでもない。また、顔データがサーバーに保存されていることで、個人情報保護法を遵守はもちろんのこと、「顔認証システム・監視カメラ作動中」の表示も必要である。 

(注2) HIPPA、HITECH および2013 年最終 HIPAA 総括規則

 米国では、医療情報のプライバシー保護とセキュリティに関する法律としては、「医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability ActHIPAA)」が制定されていたが、医療ITの導入に際して想定されるようなセキュリティ・プライバシー問題への対応策が含まれていなかったことから、HITECH法においてHIPAAプライバシー条項の適用拡大や罰則強化が盛り込まれた。

 すなわち、米国では、医療情報技術の採用と有意義な使用を促進するため、経済的および臨床的健全性のための医療情報技術(HITECH:Health Information Technology for Economic and Clinical Health)に関する法律が2009 年に制定された。2013 年に最終 HIPAA 総括規則によってさらに法廷要件が制定され、患者のプライバシーの権利と保護が大きく向上した。その中には、保護医療情報(PHI)のすべての管理機関の維持、および HIPAA 事業提携者(BA)が含まれ、HIPAA の対象事業者と同じセキュリティおよびプライバシー規則に従う。(より詳しくはHHSHealth Information Privacy 米国HIPAAHITECH総括規則の動向(日本語訳)等を参照されたい) 

(注3) このブログが書かれたのはワシントン州で法案が可決・成立(2017年5 月16日)される前(2017年2月23日)であったため、このような表現となっている。 

*******************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする