Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

テキサス州はフェイスブック/Metaの顔認識サービス慣行をめぐって同州の法律違反を理由にMetaに対して民事罰訴訟を提起

2022-02-20 11:42:29 | GAFA問題

 2022年2月15日、筆者の手元にTechCrunchからニュース“Texas attorney general files lawsuit against Meta over Facebook’s facial recognition technology”が届いた。

 この裁判は多くの米国メディアが取り上げている一方で、意外と正確な記事内容が少ない。その原因は主要ローファームの解説が少ないことがあげられる。

 このため、筆者なりに調べて法律面からの補足しながら、今回のブログをまとめた。

1.TechCrunch記事「テキサス州司法長官のケン・パクストン(Ken Paxton)氏はフェイスブック/Metaの顔認識サービス慣行をめぐってMetaに対して訴訟を起こした」の仮訳

 テキサス州司法長官のケン・パクストン(Ken Paxton)氏は、フェイスブックの顔認識慣行をめぐってMetaに対して訴訟(全29頁)を起こしたと、司法長官府事務所は2月14日に発表した。このニュースはウォール・ストリート・ジャーナルによって最初に報告され、本訴訟は数千億ドル(注1)の民事罰を求めていると記されている。訴訟では、現在廃止されている同社の顔認識技術の使用が、生体認証データに関する州のプライバシー保護法に違反していると主張している。

Texas Attorney General Ken Paxton氏

 今回の訴訟を発表した司法長官府のプレスリリースは、Facebookがユーザーによってアップロードされた写真やビデオに含まれる何百万もの生体認証識別子を保存していると主張している。パクストン長官は、Facebookがユーザーの個人情報を利用して「帝国を成長させ、歴史的な急降下の利益を享受した」と述べている。

 パクストン長官は声明のなかで、「フェイスブックは、自分の安全と幸福を犠牲にして利益を上げることを目的として、人々とその子供たちを利用しなくなるだろう。これはBig Techの欺瞞的なビジネス慣行のさらに別の例であり、やめなければならない。私はテキサンズ(Texans)のプライバシーとセキュリティのために戦い続ける」と述べた。

 一方、MetaのスポークスマンはTechCrunchにメールで「これらの司法長官の主張にはメリットがなく、私たちは積極的に身を守る」と語った。

 訴状では、Facebookがその慣行の性質を隠蔽することで大衆を欺き、アプリを使用したテキサス人はFacebookが写真やビデオから生体情報を取得しているという事実に気づかなかったと主張している。また、さらなる文脈を提供することなく、Facebookがユーザーの個人情報をさらに悪用した他の事業者等に開示していることにユーザーが気付いていなかったとも主張している。

 「Facebookは、収集された生体認証識別子を妥当な時間内に破棄できず、テキサス州の人々の幸福、安全、セキュリティに対するリスクがますます高まっている。Facebookは、顔認識技術をトレーニングおよび改善するために、意図的に生体情報を取得し、それによって世界の隅々まで到達し、Facebookサービスの使用を意図的に避けた人々をも魅了する強力な人工知能装置を作成した」と訴状は述べている。

 2021年11月、Metaは、Facebookの顔認識システムをシャットダウンし、写真やビデオでオプトインしたユーザーを自動的に識別しなくなるとを発表した。また、このシャットダウンの一環として、10億を超える個別の顔認識テンプレートを削除するとも述べている。しかし、テキサス州当局は、Metaに調査のためにこのデータを保存するように依頼し、システムの完全な閉鎖を遅らせる可能性があると指摘した。

 Metaが顔認識の実務慣行について法的措置に直面したのはこれが初めてではない。2021年3月、Facebookは、州の住民を侵入的なプライバシー慣行から保護することを目的としたイリノイ州法に違反したことに対する集団訴訟において6億5,000万ドル(約981億円)を支払うよう命じられた。その法律である生体認証情報プライバシー法(Biometric Information Privacy Act:BIPA) は、近年テクノロジー企業をつまずかせた強力な州の法的措置である。 Facebookに対する訴訟は、2015年に最初に提起され、Facebookが同意なしに顔認識を使用して写真の人物にタグを付けるという慣行(tagging people)は、州法に違反していると主張した。

 同判決後、160万人のイリノイ州の住民は、カリフォルニア州連邦裁判所での最終和解判決の下で少なくとも345ドルを受け取った。最終的な数字は、2020年にFacebookが提案した5億5,000万ドルよりも1億ドル多く、裁判官は不十分だと判断した。 Facebook2019年に自動顔認識タグ付け機能を無効にし、代わりにオプトインとし、イリノイ州の集団訴訟によって繰り返されたプライバシー批判のいくつかに対処した。

  この6億5,000万ドルの和解は、通常の企業に大きな影響を与えるのに十分であったが、Facebookは、ソーシャルメディアの巨人のプライバシー問題を調査した後、2019年にFTCの記録的な50億ドルのペナルティと同様にそれを一掃した。

 今回の新しいテキサス州の訴訟は、広範なプライバシー法がMetaの業務だけでなく、すべての大手テクノロジー企業の慣行にも重大な影響を与える可能性があることを示している。過去数年間、一連の訴訟で、ユーザーの顔が明示的な同意なしに顔認識システムをトレーニングするために使用された点にときに、明らかとなっている。

2.筆者の補足解説

 前記訴状等に基づき以下のとおり補足する。

(1)テキサス州の生体認証等プライバシー保護や違法なビジネス規制法

Texas Capture or Use of Biometric identifier Act(CUBI)(Tex,Bus.& Com. Code§503.001 ) (注2)以下

Texas Deceptive Trade Practices-Consumer Protection Act(DTPA) (Tex.Bus. Com. Code§§17.41)  以下

(2) 訴因のおよび違反行為に対する民事罰の金額

①訴因Ⅰ:Texas Capture or Use of Biometric identifier Act(Tex,Bus.& Com. Code§503.001(b) )(CUBI)違反:1違反行為につき最高25,000ドル(約302,000円)

②訴因Ⅱ:Texas Deceptive Trade Practices-Consumer Protection Act( Tex,Bus.& Com. Code§503.001(c)(1) )違反:1違反行為につき最高25,000ドル(約302,000円)

③訴因Ⅲ:Texas Deceptive Trade Practices-Consumer Protection Act( Tex,Bus.& Com. Code§503.001(c)(3) )違反:1違反行為につき最高25,000ドル(約302,000円)

④訴因Ⅳ:(Tex.Bus. Com. Code§§17.41) 以下の違反:1違反行為につき最高10,000ドル(約151,000円)

***********************************************************************************************

(注1) 数千億ドルの計算根拠はいかなるものか?訴因全部が認められると1違反当たり85,000ドルで米国内のFacebookのユーザー数でかけた数字となるのであろうか。

(注2) “Tex,Bus.& Com. Code”を正確にいうと“Texas Business and Commerce Code”である。

***************************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

フランス議会は合同委員会で内部通報者の保護強化に関するEU指令(Directive (EU) 2019/1937)を受けた国内法案を可決

2022-02-18 14:00:02 | whistleblower

 

 2月17日、筆者の手元にData Guidance記事 「France: Senate definitively adopts whistleblowing bill」が届いた。

 その内容は、フランス議会上院(senat)は、2022年2月16日に、「内部告発者の保護を改善するための法案(Proposition de Loi)第4398号(Proposition de loi nº 4398 visant à améliorer la protection des lanceurs d’alerte)(全11条)」を最終的に採択し、EUの内部違反を報告する者の保護に関する指令(指令(EU)2019/1937):「EU内部告発指令」という)を国内法化するため、2022年2月1日に合同議会委員会(以下、「CMP」という)によって合意された最終法案の文言により、フランスの法律に置き換えることを目指していると発表したというものである。

 簡単に言うと、フランスにおけるEU指令の国内法化の事例として内部告発者の保護強化法が可決されたというものである。

 これだけの内容を筆者は正確に理解するのに1時間かかった。つまり、(1)EU指令(EU)2019/1937)はどんな内容、(2)フランス議会の合同委員会(CMP)とはいかなる機能や権限を持つのか、(3)フランスのこの法案の正確な内容は何を見ればよいのか、(4)法案可決の経緯等である。

 時間が限られているが、簡単にまとめたので参考に供する。なお、筆者はかつて院生時代にフランス法についてもかなり専門的な勉強したが、その記憶は時間とともに薄れた感がある。今回改めて、調べ直した。

1.EU指令(EU)2019/1937)はどんな内容

 デロイトト-マツ(DTTL)の「EUの公益通報者保護指令」を一部、抜粋する。なお、筆者の責任でリンクを張った。

 EUでは、加盟各国に内部通報者を保護する国内法の制定を義務付けるEU指令(Directive (EU) 2019/1937: the protection of persons who report breaches of Union law)が2019年4月に公開され成立しました。加盟各国は2020年内にもEU指令の理念を踏襲した公益通報者を保護する法令を制定する必要があります。EU指令の概要は以下のようなものです。

① ハラスメント等の通報者個人の被害軽減を要望するような事案は対象とされていない。

② 民間および公共部門の法人に体制整備を義務付ける内容となっているが、必要に応じた労働組合などの「社会的パートナー」との協議が前提となっている。

③ 民間企業の場合は、従業員50人以上、もしくは年間事業売上高または年間貸借対照表の合計が1,000万ユーロ以上の企業が対象となる。

④ 通報者の個人を特定する情報の守秘性について厳格な管理を求めている。

⑤ 不利益取扱があったと通報者が主張した場合は、それが不利益取扱ではないと立証しなければならないのは企業側としている。

⑥ 被通報者に対する不利益取扱についても禁止の条項がある。

⑦ 通報から3か月以内に通報対応の結果を通報者にフィードバックすることが求められている。

⑧ 所管当局への通報の方法および条件といった情報を労働者が容易に入手できるようにすることを求めている 等

 EU圏に事業所等が存在する企業では、グローバル内部通報制度を敷設するにあたって、日本の改正公益通報者保護法とEU指令の両方をにらみつつ、自組織の内部通報制度に不備がないかを確認する必要があります。(以下略す)。

2.フランス議会の合同委員会(CMP)とはいかなる組織や機能や権限を持つのか

(1)議会上院サイト「フランス議会の合同委員会」を一部抜粋、説明を加えたうえで仮訳する。なお、リンクは筆者の責任で行った。

 フランス議会の合同委員会(La commission mixte paritaire :CMP)は、7人の下院議員(députés)と7人の上院議員(sénateurs)で構成される委員会であり、政府法案 (projet)または議員法案(proposition de loi)に関する上下院間の永続的な不一致の場合、首相の主導または2008年以降、法案の提案のために2つの議会の議長が共同で召集することができる。その使命は、共通の法案につき上下院2つの議会の調停を達成することである。

 各議会が「独自の側で」立法する手続きの文脈では、第五共和政の革新である合同委員会は、一見矛盾しているように見える2つの目的を調整することができるという点で次のとおり非常に効果的であることが証明されている。

①一方では、バランスの取れた二院制の通常のゲームを可能にするために、各院はその視点を主張できなければならない。

②一方、両院間で法案につき意見の不一致が生じた場合に、各々の立場の和解を促進するため。

 CMPは、第五共和国憲法第45条、および国民議会と上院の規則に準拠している。手順を実施するための実際的な取り決めは、1959年5月に議会と政府の事務総長によって開催された会議の議事録に部分的に示された。その一部の要素は議会の規則に記載されている。なお、憲法評議会(Conseil constitutionnel)は、これまでCMPに関する規則を制定するように何度か求められている。

(2)上院プレスリリース内容

 MP Sylvain WASERMAN 国民議会議員と彼の同僚議員の何人(注1)かによって提案された、内部告発者の保護を改善することを目的とした同法案は、内部告発者のための明確で保護的な環境を構築する傾向があり、以下の規定が含まれる。

MP Sylvain WASERMAN 議員

① 内部告発者の定義と彼/ 彼女の警告によって影響を受ける可能性のある分野を指定する(第1条)。

② 内部告発者に関連する自然人および法人の保護の内容を改善する(第2条)。

③ 内部告発者を報復および閉鎖する手続きから内部告発者より適切に保護し(第4条)、内部告発者を対象とした報復に対する制裁を強化することを可能にする(第8条)。

④ 公務員が内部告発者保護措置の恩恵を受ける可能性を認める(第10条)。

 また、Sylvain WASERMAN議員と彼の同僚議員の何人かによって提案された、アラート報告の観点から権利擁護者の役割を強化することを目的とした提案された法案は、内部の違法状況のアラートおよびレポートを投げた人に対する権利擁護者の役割を指定する傾向がある。それは、告発のフォローアップを確実にするために取ることができる行動と同様に、その保護される権利を受け取る。

(3) 上院のプレスリリースを読み、採択された法案を以前のバージョンと比較することができる。ただし、いずれもフランス語である。

3.フランスのこの法案の正確な内容

 国民議会サイトで法案(Proposition de loi nº 4398 visant à améliorer la protection des lanceurs d’alerte)の内容は確認できる。(注2)

(注1)共同提案議員は、Patrick MIGNOLA、Christophe CASTANER、Olivier BECHT、RaphaëlGAUVAIN、であるが、法案の賛成議員は極め多く、政党別で見ると「民主運動(Mouvement Démocrate,)党」、および関連する民主運動党)、リベラル政党である「La Républiqueen Marche(共和国前進)」、および近い議員、Agir ensembleである。

(注2)フランス国民議会の政党名をあげる。

・Groupe Agir ensemble (23名で構成)

・Groupe Mouvement Démocrate (MoDem) et Démocrates apparentés

・Groupe La République en Marche

・Groupe Les Républicains

・Groupe Socialistes et apparentés

・Groupe UDI & Indépendants

・Groupe La France insoumise

・Groupe de la Gauche démocrate et républicaine

・Groupe Libertés et Territoires

・Députés non inscrits

************************************************************

Copyright © 2006-2022 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする