EU議会が未承認のまま暫定発効したEU米国間のSWIFTを介したテロ資金追跡プログラム利用協定

　
　わが国でも金融決済システムの関係者以外では極めてなじみのない世界的かつ独占的な金融メッセージサービス・プロバイダー(Society for Worldwide Interbank Financial Telecommunication：SWIFT)に関し、2006年6月のニューヨークタイムズはCIAがSWIFTの決済情報を利用して、米国のテロ資金追跡プログラム(Terrorist Finance Tracking Program：TFTP)を秘密裡に活動させているとの記事報道のことを記憶されていよう（2006年10月22日付けで、同紙はTFTPは適正なプログラムでありSWIFTの金融決済データが濫用された形跡はないとする「正式謝罪(Mea Culpa)」を行った）。

　筆者は、EUと米国間のTFTP問題やSWIFTのセーフハーバー・プログラムへの参加問題については必ずしも詳細なフォローは行っていなかった。
　しかし最近時、ドイツ連邦情報保護・情報自由化委員(BfDI) のペーター・シャール(Peter Schaar)氏の発言やEUの人権擁護団体であるEDRI(European Digital Rights)や野党の欧州自由民主同盟(ALDE)等の強い反対運動のメール等を読み、改めてこれらの情報を整理してみた。

　これに関し、日本時間2月5日午後8時すぎに筆者の手元にEU欧州委員会（司法・域内問題委員(freedom, security and justice European Commission)）からEU米国間の協定に関する1月28日付けの公開意見諮問書(consultation paper)が届いた。

　EU議会総会の正式投票は、2月11日であるが議会の各党(保守系の欧州人民党(EPP)、社会民主進歩同盟グループ(S&D)の2大勢力の5政党)(筆者注1)や各国の議員の意見は分裂状態(EurActive)である。

　これらの議会等の積極的な活動の背景にあるものは、2009年12月1日施行された「リスボン条約」に基づく議会の権限強化である。端的にいうと執行機関である欧州委員会や欧州連合理事会(Council of the European Union ：council)(筆者注2)と各国の政党代表からなる欧州議会との鬩ぎ合い(せめぎあい)である。

　今回の問題となったEU・米国間のSWIFTを介したテロ資金追跡プログラム利用(TFTP)協定についてこれだけEU内で多くの意見が交錯し、さらに協定書の欧州連合理事会承認にもかかわらず欧州議会の承認がないまま2010年2月1日から「暫定施行」するなど今後のEUの運営課題も見えてきた。

　また、2009年9月に欧州議会が行った「非立法的解決」の理事会に対する米国との交渉条件指令の内容等は、国際的なビジネス交渉の面からみても極めて基本的な点を踏まえていることが感じられた。

　本ブログは、これらの問題についてわが国では経緯の詳細も含め正確に論じたものがないだけに改めて整理する意義を感じていた中で、本年1月末に麗澤大学の中島真志教授から「国際金融取引におけるSWIFTの役割」と題する報告を聞いたことでさらに重要性を再認識し、まとめたものである。(筆者注3)

１．SWIFTの組織・運営・利用実態の概要
(1)世界200カ国以上、約9,000の金融機関を結んだ国際的な金融メッセージ伝送サービスサービスのベンダーである。利用方法は次の4つである。

①金融機関間の送金メッセージの通信利用
②資金決済システムや証券決済システムのネットワークとして市場インフラにおける利用
③金融機関と事業法人間のネットワーク通信利用
④送信者のメッセージをそのまま送信するだけでなく、データ処理を行う付加価値サービス

(2)1973年 ベルギーで設立された共同組合形式の団体であり、1977年にサービスを開始、高度に安全化された金融メッセージングサービスの提供する機関。日本のユーザー数は2008年末で259社である。日本のユーザー企業数は2008年末で259社。
(3)金融業界の標準化設定・管理機関である。

２．リスボン条約における欧州議会の権限強化
「リスボン条約」の内容と意義等については、慶応大学庄司克宏教授の「リスボン条約(EU)の概要と評価」、同志社大学鷲江義勝教授「リスボン条約の構成と特徴」、欧州委員会日本事務局発刊の「Europe」(2007年秋号)、EUのリスボン条約専門サイト(Treaty of Lisbon)の解説等に詳しく解説されており、ここでは省略する。しかし、加盟国の議会(National Parliament)のEU立法手続きへの関与権や欧州議会の権限強化(欧州委員会委員長の選出権)が重要な改革面であり、また今後のEU全体の運営に向けたターニング・ポイントであることは間違いなかろう。

なお、EU議会本会議が欧州委員会や理事会決議に反対した場合の手続である共同決定(co-decision procedure) (筆者注4)につき、リスボン条約で共同決定を行いうる新しく追加された代表的な政策領域は次の項目である。

・エネルギー(域内市場エネルギーは既に共同決定済である)
・一般的な経済利益サービス
・個人データ保護
・国境でのチェック
・移住: 人身売買と戦い統合の促進
・ヨーロッパの知的所有権
・公衆衛生: 高品質基準を実現する手段
・スポーツ
・宇宙政策
・ヨーロッパ独自の研究領域の実現
・観光

3．SWIFTのネットワーク再編計画
(1) SWIFTのネットワーク再編計画の背景
　麗澤大学中島真志教授のサイト解説や2010年1月末の発表資料等をもとにまとめる次のようなことになろう。
　「SWIFT理事会(25名)は、ネットワークの再編プログラム（System Re-architecture Programme）を暫定的に承認した。
　この動きは、2006年、米国・CIA（中央情報局）が、SWIFTの決済データをテロ対策のために活用した動きへの反応に対応したもの。同年6月にこのことが明らかになって以降、SWIFTは、ベルギーやEUの欧州個人情報監督機関、欧州議会などから、欧州の企業・個人のデータを米国当局に不当に提供したとして批判の的となってきた。

　現在のSWIFTは、欧州センターと米国センターの2センター体制で業務を行っており、バックアップのため、両センターがすべてのデータを同時に共有（mirroring）する体制となっている。今回のネットワークの再編により、どのように変わるのか。

分散データ処理・蓄積の体制が導入される（センターの数を増やすものとみられる）。この分散体制により、欧州域内（intra-European）のデータは、欧州内のセンターでのみ処理・蓄積されることになる見込みである。

　また、このネットワーク再編は、①SWIFTのメッセージ処理能力の拡充、②データ回復など危機対応能力（resilience）の向上、にもつながるものである。」

(2)SWIFTのネットワーク再編成の具体的な内容
　SWIFTの資料のうち公開されている内容（2009年12月公表　SWIFT Messaging Services Distributed Architecture Phase 1 ：White Paper 　Version 1.5の要旨）にもとづきに解説する。この内容を読むとSWIFTがスイスに新たにグローバルな運用センターを設置することがEU市民のプライバシー保護のためのシステム手当につながることが結びつく。

〔要旨〕
　2007年9月、SWIFT理事会はSWIFT上で安全なグローバルな金融メッセージングを強化する重要段階となる世界をマルチゾーン化するメッセージング・アーキテクチャーの提案を可決・承認した。 この新しい分散型アーキテクチャ(筆者注5)は、SWIFTにとって処理容量の増強、改良されたシステムの回復性等危機対応能力(resilience)、長期・継続的なコスト効率およびデータ保護に関し、ユーザー顧客のニーズを満たすことになる。

　SWIFTが2009年末までの完成を予定する「分散型アーキテクチャ化計画(Distributed Architectureprogram) 」の第一フェーズは次の内容である。

①大西洋ゾーンおよびヨーロッパゾーンの2箇所でのトラフィック・データ保存によりメッセージング・サービスを起動させる主要プラットホームを強化する。

②サービス供給停止と危険を減少させ、災害復旧時間を減少させることによって、回復性等危機対応能力を改良することでユーザーへの影響を減少させる。

③ヨーロッパの個人情報保護への懸念を解決すべく、スイスに設置するグローバルな運用センターを機能させる。このオランダに次ぐ第2番目のスイスのSWIFTセンターはFINメッセージング・サービス(筆者注6)がヨーロッパに保存されることを保証する。ヨーロッパの既存センターである オランダの運用センターは第一フェーズの間は太平洋ゾーンとヨーロッパゾーンの両者のサポートセンターとなる。

④ 新しいコマンドセンターをアジア太平洋の香港に設立する。

　SWIFTにアウトソーシングされたアプリケーションソフトは、選択されかつSWIFTと第三者の合意に基づき運用センターに位置することになる。

　分散型アーキテクチャの第二フェーズにおいて、2012年末までに完成する予定であるスイスの新運用センターは太平洋ゾーンおよびユーロッパゾーンのためのグローバルな運用センターとして稼働する。

　分散型アーキテクチャの第一フェーズの適用時には、ユーザーの準拠(compliant)を必要とする新機能を導入する。 本文書では、分散型アーキテクチャの第一フェーズ時にユーザーが取らなければならないのが、現在のアーキテクチャとの相違およびユーザーがとらねばならない行動について、簡単な概要を提供する。

　いくつかの主要な変更がSWIFTNet Link(筆者注7)、ハビング (共有インタフェース(hubbing))、同義語の宛先(synonym destination)、FINCopyサービスおよびFINInformサービス(筆者注8) の領域で生じる。

①ユーザーは新しいSWIFTNet LinkおよびまたはWebStationパッチまたは小規模なSWIFTNetリリース・ソフトをインストールしなければならない。分散型アーキテクチャの第一フェーズで利用可能となるSWIFTNet LinkとWebStationは、トラフィックが適切なゾーンに向けられるのを確実にする。
② 同義語の宛先に向け生成されたFINトラフィックは、マスターの宛先ゾーンで保存・処理される。 ヨーロッパゾーンでの問題となる個人情報データを扱うために、大西洋ゾーンのマスター宛先はヨーロッパゾーンの同義語を操作できない。
③ FINCopyとFINInformメッセージは、発生ゾーンと受信ゾーンの両方に処理・保存される。

4．EU議会や欧州連合理事会のEU米国の協定をめぐる経緯(筆者注9)と議論の内容
(1)2007年6月28日、EUの米国からの公約表明発表
　欧州委員会と欧州連合理事会(Council of the European Union)議長の保証に続き、EUは欧州の企業が米国内で業務展開している場合にSWIFT経由で発信する個人情報に対し、米国連邦財務省が行政召喚令状(administrative subpoenas)を強制する場合、EUのデータ・プライバシー保護原則に合致する方法を遵守する旨の一方的な「公約表明(reprtesentations)」を受け取った旨公表した。

　EUの個人情報保護に関し、この表明の意味するところについて欧州委員会副委員長で「市民の自由、司法および域内問題委員会」委員長であるフラティニ(Franco Frattini)氏は次のように説明した。
　なお、この内容はその後のEU議会の議論でも取り上げられており、正確な理解を期すためあえて紹介する。

「米国財務省の表明は次のとおり重要なプライバシー保護の安全措置を含んでいる。
①財務省は、SWIFTから受領するすべてのデータの使用について反テロ目的に限定することを公約し、この責務は米国の他の法執行機関や第三国との情報共有についても適用する。

②財務省は、反テロ捜査上不要なすべてのデータの特定ならびに削除を行うため継続中のSWIFTから召喚した分析データについての責任を負う。

③厳格なデータ保存義務すなわち特に未使用のデータ（例えば財務省が反テロ捜査上必要と認めていない召喚情報）は当該データ受領後5年以上保有しないし、また本公約の公表前に受領した情報については公表後5年以上保有しないものとする。

④さらに本公約では、財務省の公約を毎年監査する「著名なヨーロッパ人(eminent European)」(筆者注10)を任命する。「著名なヨーロッパ人」はブリュッセルにおけるＥＵ各加盟国大使の集まりである「永久代表委員会(Committee of Permanent Representatives)代表および司法・域内問題委員(freedom, security and justice European Commission)の代表と協議のうえ欧州委員会が任命する。

⑤本公約の透明性と法的確実性を保証するため、文書による送付と受領とともにEUのすべての公用語でEUの官報にあたる「オフィシャル・ジャーナル」で公表する。米国は財務省が「連邦官報(U.S.Federal Register)」で公開すべく尽力する。」(筆者注11)

(2)2009年9月17日、欧州議会におけるセーフハーバー・プログラムへのSWIFTの参加承認採択決議　
　この欧州議会の非立法的解決(non-legislative resolution)の標題は「米国連邦財務省にテロ資金及びテロリスト阻止にかかる金融データ情報の取得を可能とする国際合意の想定的解決」である。

　議会での決議内容は極めて専門的であり、審議経過も分かにくい。従って、ここでは欧州議会の公式議事録である“Legislative Observatory” の内容を引用する。

「この解決案の投票についてはEU議会の主要会派である欧州人民党(EPP)、社会民主進歩同盟(S&D)、欧州自由民主同盟(ALDE)、欧州保守改革(ECR)が投票を留保した。

各議員は各国の安全と基本的人権とのバランスを取る必要および安全目的での第三国へのEU市民の個人情報の移送について手続面や防御権の保証ならびに加盟国やEUの情報保護法を遵守したものでなければならないと言う点を強調した。

議員はSWIFTが2007年10月4日(筆者注12)2009年末までに運用を開始する新たなネットワーク構築を発表し、これによりSWIFTの大多数の金融取引データがもはや米国TFTPへ召喚対象でなくなることを念頭においている。

2009年7月27日に欧州連合理事会は議長に米国TFTPへのSWIFデータの移送に関する米国との国際協定の交渉支持を満場一致で決定した。

一方、議会は「交渉指令（negotiating　directive）」において、理事会法務局(Council’s Legal Service)が法的選択の根拠に関する意見を「EU厳秘(EU Restricted)」扱いとしとして非公開としたため、SWIFTがメッセージネットワークの新たな構築発表後2年間は採択しないとする意見を指摘した。それは、SWIFが管理するデータへのアクセスが違法な活動に関するデータの移送にリンクするだけでなく、関係する個人や国の活動を調査する潜在的可能性があり、さらにこれは大規模な経済活動やスパイ活動という濫用のリスクにつながるというものである。

議会は、本「解決」において国際的協定が絶対的に守るべき範囲に関し、最小限次の条件を満たすべきと主張した。

①当該データテロと戦う目的のためのみ移送・保有されるべきであり、またEUが認めたテロリスト個人およびテロ組織に適用されなければならない。

②移送要求は特定され、対象となる事件・限定された時間かつ司法機関の認可を条件とし、さらにその処理は米国の捜査の下で個人や組織とリンクした開示されたデータでなければならない。

③EU市民および企業は、同一の防御権や手続面の保証ならびにEUに存在する司法上の同一の権利やデータ移送要求の合法性および均衡性(proportionality)
について米国内で公開された司法レヴューを受ける権利を持つ。

④移送されるデータはEU内に保管されるデータに適用されるのと同一の司法救済手続き（個人情報の違法な手続時の補償など）に従う。

⑤本協定はテロ資金にリンクしない米国の法執行機関のSWIFTデータのいかなる使用は禁止され、また当該データのテロ資金に責任を有しない第三者への移送も禁止される。

⑥相互承認メカニズム(reciprocity mechanism)は、要求に基づき関係する金融情報につき管轄権を持つ米国当局から管轄権を持つEU当局へ移送することが厳格に着実に実行されるべきである。

⑦本協定は、12か月を超えない範囲でサンセット条項(廃止期日が明記され、議会で再認可されなければ自動的に廃止される法的合意)により中間的期間に定められるもので、リスボン条約(2009年12月1日発効)の下で既得権を侵すことなくこの分野に関する新たな協定に関する手続きを定めるものとする。(筆者注13)

⑧暫定協定は、リスボン条約発効後米国当局に明確なかたちで提示され、今後可能とする新たな協定はEU議会ならびに加盟国議会を完全に取り込んだかたちで新たなEUの法的枠組みの下で交渉するものとする。」

(3)2009年11月30日、欧州議会理事会の協定案採択
　欧州議会理事会がEU議会の権限強化が明確になる12月1日の前日に採択した意味はEU議会の議員や人権擁護団体からの指摘のとおりであろう。
　また、協定書案に関する法的な問題点は以下の(4)、(5)でEU機関の専門家により分析・問題指摘が行われているので参照されたい。

　いずれにしても、本協定文書の第15条第2項（暫定期間に関する規定）は「EUおよび米国間の本協定第14条(協定の効力終了規定)にもとづき予め停止する場合を除き、本協定は2010年10月31日に効力を停止する」と定める。

　この規定がEU内で「暫定協定」と呼ぶ根拠であるが、後に述べるとおりEU議会や委員会関係者はリスボン条約に基づかない協定としてその審議過程も含め問題視していることは間違いない。

　なお、欧州連合理事会事務局は米国との協定に関する「Q&A」を2009年11月に公表している。詳しくは参照されたい。

(4)2010年1月22日、EUのEU指令第29条専門調査委員会のEU米国間の協定に関する意見書提出
　第29条専門調査委員会(筆者注14)は、「市民の自由、司法および域内問題委員会(Committee on Civil Liberties ,Justice and Home Affaires European Parliament)委員長宛に次の内容の意見書を提出した。

　この意見書はカバーレター、添付意見書(2頁)からなるが、極めて細かな点を問題視している。このような問題指摘を理事会や議員がどのように受け止めるか定かでないが、このような精緻な検討がEUの法律や条約の専門家により行われていることの認識は、わが国関係者としては興味があるところであり、あえて意見書の内容の全文を紹介する。

Ａ．協定の適用範囲に関する問題
　暫定協定の第2条で定義される「テロ」の概念は、2002年6月13日に欧州連合理事会が行ったテロとの戦いの枠組に関する決定（Council Framework Decision on combating terrorism）(2002/475/JHA)で定義されたテロの範囲よりわずかに異なり広い。おそらく、暫定協定では米国にテロリストであると考えられていた人々に関するデータ移送を許容するが、EUでは許容しないであろう。 そこには協定第8条 (TFTPデータに関するEU の米国に対する検索要求と米国の協力義務)(筆者注15) 等他の条項のための含意(implications)があるかもしれない。

Ｂ．データの移送の必要性とその均衡問題。
　第4条第6項に関して特別問題とすべき点を述べる。すなわち同項は、データが「指定されたプロバイダー」が技術的な理由のため要求に応じる特定のデータを特定して、作り出すことができなかったときは、米国に大量(bulk)に移されることを前提とする。 同項が例外として規定されるという事実にもかかわらず、我々は実際にバルク転送規定がルールといえるか疑問に思う。暫定協定の第5条第2項(j)から(m)号の各規定にもかかわらず 本当に、国際的な要求の変数(parameters)に合致しないデータは一体どうなるかが明確でない。

Ｃ．情報保護のレベルの査定評価問題
　さらに暫定協定第6条の文言についてである。暫定協定によると「米国財務省は適正な水準のデータ保護を保証するとみなす」とあるが、この点は専門委員会の委員の中ではある種の当惑を引き起こした。 伝統的な解釈によれば「適切な」とは特定の国や組織によってEU基準に提供された保護のレベルの徹底的な比較により評価される。 少しもそのような査評価定がなければ、我々は米国財務省によって提供された保護のレベルが適切であるか否かにつき考えることができない。我々が知る限り、米国財務省によって提供された保護のレベルの独立的した査定評価は暫定協定の締結前にはまったく行われなかった。

　我々は第10条に定めるEUと米国の共同レヴュー(Joint Review)が、はたしてそのような査定の最初の機会を提供するかどうか疑わしいままである。

　我々は、2008年12月の「Jean-Louis Bruguière報告」を承知している。 「著名なヨーロッパ人」の強制的な設置合意に引続き「TFTPプログラムが、EUが発信するデータの保護について公約どおり実行されているかを確認する」命令が出された。しかしながら、このレポートは秘密裡な本質とその厳格な目的から見て、適合性の評価の代用物とは思えない。

　「共同レヴューの有効性」は、加盟国のデータ保護当局の代表を含むレヴュー調査委員会のメンバーのためにすべての関連情報のアクセシビリティにとって役立つか、またはまったく役に立たないかという点を心にとどめておくべきである。

Ｄ．データ保護当局による適正な救済
　暫定協定の第11条に関し、我々はこの条項が国内法令で定義されるよう情報保護当局の権限、特に法執行機関によるデータへのアクセスに関する既存の手順と同様に、それらの捜査権限に関して決して衝突してはならないことは理解している。 合意第13条に含まれる無効等禁止条項(non‐derogation clause（筆者注16）)は、同協定第13条の説明にあるとおりの考え方を支持する。我々の意見では、これに反対する立場はこの問題についてのEU法(European acquis)の考えに合致しないであろうと言うことになる。

　本暫定協定は、それ自身米国に移送されるデータの処理へのいかなる形式のアクセスも作り出すものではないし、データ主体やEUのデータ保護当局のためのものでもない。それにもかかわらず、本協定は米国法によると、データ主体は有効な管理や司法的救済を求めうると強調されているが、これが実際には欧州市民には可能となるのか、または実践的であると判明できるかどうかという問題は残っている。

　我々は、2009年9月17日のEU議会の非立法的解決(resolution)において欧州議会から出された懸念意見の大部分が暫定協定に関するものであった点に感謝する。 しかしながら、我々は重要な情報保護問題とみなすものをあなたに伝えざるを得ないと感じる。 我々は、前述の懸念が暫定協定の不十分な検討の結果であるする欧州議会からの当然の懸念指摘を受けると信じるものである。

(5)2010年1月25日、欧州個人情報保護監察局のEU米国間協定に関するコメント
　欧州個人情報監察局(European Data Protection Supervisor：EDPS) (筆者注17)は、本年1月25日に①EU米国とEU-AUS PNR(Passenger Name Record：PNR)協定および②EU・米国間の TFTP協定について2つのコメントを「市民の自由、司法および域内問題委員会」あて提出した。

　ここでは後者の内容のみ紹介するが前者も重要な問題ではある。前者の紹介は機会を改めたい。

「II． EU・米国間の TFTP協定について
　「EDPSは、金融データのSWIFTから米国の担当局までの転送システムの開発のすぐあとに続く2009年7月に、EU米国間協定のために委員会によって提案された交渉指令に関するコメントをとりまとめ発布した。 最近時、EDPSは積極的に第29条専門調査委員会および警察・司法専門委員会が準備した共同意見文書にも貢献した。

　このような背景に対し、以下に述べるコメントは、はじめのコメントはWP29/WPPJによって進められたものであり、また主に委員会の手紙から引き出された疑問に焦点を合せたいくつかの追加的なものである。

○必要性、比例性および法的確実性原則
　TFTP協定で考えられた手法は、すべてのヨーロッパ人の私生活(国境界の移動)や増加するヨーロッパ域内の銀行振込の使用の中身まで干渉するもので、プライバシー問題において非常に押しつけがましい内容である。欧州人権条約(European Convention of Human Rights：ECHR)(筆者注18)第8条(私生活、家族生活の保護)およびEU法的枠組みによると、そのような個人への干渉は追求されるべき公益を達成するために必要であり、法によって定められかつ予見性がなくてはならない。

　今までのところEDPSに提供されている証拠では、さらに対象となる既存の手段(EU米国間の相互司法支援と同様に、欧州刑事警察機構(Europol)や欧州司法機構(Eurojust)間の情報交換のための特定の手段を含む)に関して、この必要性と真の付加価値を完全に示していない。 TFTP協定には、PNR協定と対照的に処理される個人データと米国の間には、接続の要素が全くない、すなわち、 データ・コントローラはヨーロッパに置かれ、データベースはヨーロッパにある。そして、米国に移された金融データは、世界中のどんな種類の金融取引(多くは欧州域内支払(intra-European payments)やヨーロッパから第三国の支払など)にも関連する。

　法的な確実性と予見性に関して、本協定では多くの重要なデータ保護要素がなお欠けるか、明確に定義されていない(以下のコメントを参照されたい)。

○目的の制限とデータの品質(データ保有の側面を含む)。
　EDPSが他のいくつかの機会で明らかにしたとおり、その結果、法施行目的での商業的データの処理は、目的制限原則の逸脱であり、制限かつ対象限定でなければならない。このような観点からEDPSは、データのために要求される米国の行政召喚の合法性を査定する際に独立したて司法監査が極めて重要な役割であることを強調して、暫定協定の第4条によって定められたメカニズムがしかるべき方向に向かうことを認める。

　しかしながら、バルク情報の移送は、例外的な問題として協定第4条(6)項によると考えられるが、同条への依存は明らかに限定され、おそらく一般的な法慣行で明らかとなろう。

　データを移すことができる目的の定義は、欧州連合理事会が行った「テロとの戦いの枠組に関する決定（Council Framework Decision on combating terrorism）(2002/475/JHA)」1条で定義されたテロの範囲より広い。

　5年間の非抽出データの格納規定は、この期間が均衡面で問題があるという証拠で支持されない。さらに暫定協定は、抽出データがどれくらい長い間格納されるか明確でない。 それらは抽出できたりまたは非抽出データであれ、特定のテロリストの捜査にもう必要でないと判断したときに削除されることを確実にするメカニズムが備わっていない。

　さらに第三国と同様に他の国内捜査当局との個人的なデータの共有問題について、Convention108とFramework Decision 2008/977基準の両者が必要とするような適格な保証について明確に定義されていなくておらず、またその対象にもされていない。

○これらの手段、説明責任および法的レビューで影響を受ける人々の権利問題
　現在の暫定協定規定内容は、当該データ主体の影響を受ける人々の権利をデータ保護の権利が本協定に従って遵守されるのを保証するためEU内で行われるすべての必要な確認がデータ保護機関により確認されることを第 11条(1)項で記述するのみである。 さらに第11条(3)項は、EU、EU加盟国および米国合衆国の法律に従い協定につき可能といえる不履行の場合の有効な司法面および行政面の救済が利用可能になると述べる。

　これらの条項は、様々な問題を提起する。 まず、第 11条(1)項は、データ保護をうける権利がEUにより尊重されるかいなかに関して検証を制限して、同様にヨーロッパのデータの処理の最もデリケートな処理が行われる合衆国にも保証を与えないのである。 第二に、同じ規定がデータ保護当局がこれらの検証を行う可能性に潜在的な制限を認める。先例を全く持たないしかつそれの論理を理解することが難しい規定である。三番目に、より重要な多くのデータ主体の権利（例えば、データの訂正(ratification)、情報、不法な処理に関する補償、救済）につき-無視されるか、またはArticle 11(3)の非常に一般的な参照規定は別として、協定の両者がそれぞれの法もとづき実施すべき具体的かつ明確な方法も持っていない。

　この点につき、EDPSは、欧州基本権憲章(Charter of Fundamental Rights)の第8条(筆者注19)が、「だれでも自分につき集められたデータへのアクセス権およびそれを訂正させる権利があって、これらの規則の遵守は、独立している機関の制御に従う」と明確に述べている点を強調する。

　このような背景に対して、協定第10条によって定められた「共同レビュー」をEUの法的枠組みによって必要とされる独立した監督の代替機関であるとみなすことができない。

　さらに、協定第10条(2)項は、共同レビューにおけるEUのデータ保護当局の参加する代表者の数を2名に制限を加える。

○法的根拠としての欧州連合の機能に関する条約第16条および将来の協定へのアプローチ
　EDPSは、最新の欧州議会理事会の暫定協定に関する決定(1月21日付け5305/1/10REV1)では、関連する法的根拠の1つとしてあげられていた「欧州連合の機能に関する条約(Treaty on the Functioning of the European Union：TFEU )」第16条(筆者注20)の引用規定が削除されたことを残念に思う。

　この点に関し、EDPSはこの協定が個人データの交換に主に関連するので、TFEU第16条が法執行の協力において他のTFEU条項ほど法的根拠として関連していないというわけではないと強く信じる。 TFEU第16条の重要性（欧州委員会「情報社会とメデイア担当委員」のReding氏もまた「市民の自由、司法および域内問題委員会」の前で意見表明を行っているとおり）は、国際協定が法執行の足かせになることを避けるべきことは明らかである。

　同一線上の問題として、EDPSは現在の暫定協定が限られた審議時間でまとめられたものでかつ先例とはならないと述べている点を歓迎する。 新しい協定は、新しい法的枠組みの下で十分交渉され、したがって新鮮な外観（それは、基本的権利の保護のEU基準によって必要とされるすべての要素を包括的に記述し、完全にこの領域で欧州議会の新しい役割の利益から得られるものである) を必要とするであろう。 差し迫った必要性のため暫定協定を結ぶために適切に記述されていないいくつかの問題は、新しいものとして慎重に記述されなければならない。

〔結論〕
　結論として、EDPSはTFTP協定に関してそのようなプライバシーへの押しつけがましい協定の必要性と均衡性を正当化するためのいかなる意味でも十分な要素が提供されていないと考える。暫定協定は多くの局面で、この領域における既にある既存のEUおよび国際的取り決め文書と重複する。

　そのうえ暫定協定のいくつかの原則は、自分のデータが米国に移されるヨーロッパ人にとって予見できる程度の明確な方法を定義していない。現在の暫定協定第4条によって定められた独立司法監視機関メカニズムである「欧州個人情報保護監察局(EDPS)」が提起したいくつかの協定内容にかかる問題は、この協定が満足かつ系統的にEUのデータ保護の法的枠組みによって必要とされるすべての安全装置を提供しておらず、またTFEUの第16条の見地ならびにリスボン条約によってもたらされた新しい法的枠組みを見落としたままということである。

III． 国際的なデータ交換協定への包括的なアプローチの必要性
　EDPSは、国境を越えた情報交換における第三国特に合衆国とのこれらとのさまざまの協定内容は調和性で不十分でかつ明確な枠組みを備えていない点を強調したい。

　このような関係においては、現在米国と議論している「法施行にかかる大西洋協定(transatlantic agreement on law enforcement)のためにイニシアティブ」の内容は、特別な注目に値する。 この新しい水平的なツールがどのように既に既存の協定に適用されるかはまだ不明である。 しかし、確かにそのような調和の取れた枠組みは法的な確実性を高めるかもしれない。
　EDPSは、暫定協定で提供された保護のレベルが十分高くかつ強い実現手段として見通しがたてばそのようなイニシアティブを支持する。」

(6)2010年2月4日、欧州議会「市民の自由、司法および域内問題委員会」での投票・採決
　「市民の自由、司法および域内問題委員会」は同日採択したが、2月23日に公表された採決文書案「DRAFT EUROPEAN PARLIAMENT LEGISLATIVE RESOLUTION」の内容（法案主旨説明文）を読むと、今までのEU内での審議経緯が改めて説明されている。しかし、本ブログでもこれらの点は詳細に説明しているので省略する。

　なお、1月17日、EU執行部に対する議員(MEPs)からのきびしい問題指摘の内容は「EU議会サイト」で詳しく紹介されている。

(7)2010年 2月5日、欧州議会議長宛の米国財務長官および国務長官連名の親書
　ガイトナー財務長官とクリントン国務長官の欧州議会イェジ・ブゼク議長(元ポーランド首相(President Jerzy Buzek))宛親書の要旨を紹介する。
EUや米国のテロ阻止の基本姿勢を踏まえ、リスボン条約下において引続きEUや米国の市民の安全やプライバシー保護にとって重要な意義をもつTFTPの成立について協力を求め、またこの協議を安全面やプライバシー面からより深めるため技術面や法律の専門家による検討や欧州議会と米国議会の代表によるTFTPの監視責任についてのハイレベル協議の働きかけを提案する内容となっている。

(8)2010年2月9日、欧州連合理事会の暫定協定支持の声明
　同理事会は従来理事会が主張してきた暫定協定の内容が、EU市民の人権保護面からの措置を手当てしているとするものである。しかし最後の部分で、リスボン条約の新体制下で議会とTFTPの長期的検討の重要性を訴えるなど微妙に異なる点もある。


(9)2010年2月11日、欧州議会本会議(plenary session)決議？
　欧州議会本会議では、共同決議になる可能性の意見が出されている。

５．今後のEU米国間の個人情報保護上の課題（私見）
　前述したとおり、米国の政治戦略は依然テロ行為・テロ資金阻止のためには国際的にもあらゆる施策を取ることは間違いなかろう。
　また、本ブログでも紹介してきているとおりEUの議会や保護機関だけでなく各国の保護委員等も保護強化の姿勢はより明確化している。

　一方、わが国ではどうか、個人情報保護法は日本や海外の企業が国民の個人情報を海外に移送することについて何らの規定もないし、監督機関の運用でもこれらが直接問題となったことはない。

　これら問題が今後のわが国の重要な検討課題である点を指摘するにとどめるが、例えばこれから取組が具体化するであろう「クラウド・コンピューテング」を金融機関等が利用し始めた暁には改めて大きな問題となろう。


(筆者注1)欧州議会の複数政党制がとられており、単独政党が政権をとることはなく連立政権を担うことになる。2010年1月現在の政治会派の内訳（議員数）は次のとおりである。
①欧州人民党(European People's Party (Christian Democrats)：EPP)265名
②社会民主進歩同盟(Progressive Alliance of Socialists and Democrats in the European Parliament：S&D)184名
③欧州自由民主同盟(Alliance of Liberals and Democrats for Europe：ALDE)84名
④欧州緑・欧州自由連盟(Greens/European Free Alliance：Greens&EFA)55名
⑤欧州保守改革(European Conservatives and Reformists：ECR)54名
⑥欧州統一左派・北方緑の左派同盟(Confederal Group of the European United Left - Nordic Green Left：GUE-NGL)35名
⑦自由と民主主義ヨーロッパ(Europe of freedom and democracy Group：EFD)31名
⑧無所属　28名
　合計　736名

(筆者注2)「欧州理事会(European Council)」、「欧州連合理事会(Council of the European Union)」および「欧州評議会(Council of Europe)」の基本的理解が重要である。
　「欧州理事会」は加盟国の元首・首脳と欧州委員会委員長で構成される首脳会議で、1974年に設置が決定。各国外相と欧州委員会委員１人がその補佐にあたる。欧州理事会は年に４回会議を開き、EUの将来の方向性を決定し、活動を促す。

　一方、「欧州連合理事会（閣僚理事会）」は各加盟国を代表する閣僚によって構成される。理事会の会議には議題に応じて異なる閣僚が出席し、たとえば、農産物価格の議論なら農相、雇用問題について話し合うなら労働、社会問題担当の閣僚、そして、全般的な政策、対外関係、EUの主要な問題を担当するのは外相である。理事会の本部はブリュッセルに置かれているが、特定の会議はルクセンブルグで開かれる。各加盟国は6カ月ごとに交代で理事会の議長国を務める。

　また、 「欧州評議会(Council of Europe)」は人権・民主主義・法の支配の分野で国際社会の基準策定を主導する汎欧州の国際機関。1949年設立され、加盟国47カ国。

(筆者注3)本ブログの原稿執筆にあたり、都度注書きしなかったがEUの公式資料以外にSWIFTの組織や運用実態などにつき中島教授の発表されたレジュメを基本的に一部参照・引用した。関心のある向きは同教授が2009年に発刊した『SWIFTのすべて』を参照されたい。

(筆者注4) 欧州議会の共同決定手続（co-decision procedure）とは、欧州議会が欧州委員会の提出した案についての欧州議会理事会の決定を否決又は修正した場合には、双方の同数の代表からなる調停委員会が妥協案の作成に努め、それでも合意に至らなかったときは、当該案は採択されない。この手続が適用されるのは、域内市場、労働者の移動、教育、文化など、広範な分野（12）であり、立法措置の半数以上を占める。（2007年「拡大EU －機構・政策・課題－」(国立国会図書館)の古賀豪「欧州議会」から引用）

(筆者注5) 「分散型アーキテクチャ」とは、共有アクセス方式を使用するコンピュータ・システムの設計方法をいう。アーキテクチャとは、あくまでも設計思想、設計方式、基本設計、構築様式などを指すシステムの構造であり、個別具体的な実装そのものや、個々の規約(プロトコル)を指すものではない。

(筆者注6)“FIN”は、SWIFTの中核であるストア&フォワードの方式によるメッセージングサービスを言う。

(筆者注7)“SWIFTNet Link”は、SWIFTNetサービスを使用するために必要な必須ソフトウェア。 “SWIFTNet Link”は、ユーザー間の相互運用性を確保するため、SWIFTサービス上で通信する際に必要となる最小限の機能を提供する。

(筆者注8)“FINCopy”およびFINInformサービスは、FINの付加価値機能であり、選択したメッセージを自動的にコピーして第三者に送信することを可能にする。

(筆者注9)2001年からのEU議会における本問題に関する審議記録が公表されている。

(筆者注10) 「著名なヨーロッパ人(eminent European)」の意味を理解している日本人はまずいないであろう。2009年11月に欧州議会理事会事務局が公表した合意のQ&Aの5で簡単にその解説をしている。仮訳しておく。なお、最終報告を欧州委員会が公式に報告している。

　「欧州委員会は、2008年前半にフランスのテロ専門裁判官Jean-Louis Bruguière氏を米国の保護慣行の監査の目的で任命した。 Bruguière判事は2008年12月に2つの主な結論をもつ報告書を作成した。 まず第1の報告事項は、データ保護慣行に関する米国財務省のEUに対する公約の正確性(accuracy)を確認した。 2番目の報告事項は、TFTPがEUのために重要なセキュリティ上の利益を生じさせたと結論を出した。 特に後者についてBruguière判事はEU当局と共有するTFTPイニシアティブは8年間ヨーロッパで行われているテロ攻撃の捜査において非常に貴重であっただけでなく、ヨーロッパで多くのテロ攻撃を防ぐ手段になっていると報告した。」

　なお、2009年2月18日付けでSWIFTは米国の召喚に基づき入手した情報についての取扱の安全性について、著名なヨーロッパ人(Bruguière判事)の監査最終結果(同日付け)ならびにベルギーの情報保護委員による監査結果(2008年12月)の両者において十分に配慮されている旨の報告をEU「市民の自由、司法および域内問題委員会」に行っているとのリリースを公表した。

(筆者注11)筆者が調べたところ、連邦財務省海外資産管理局(OFAC)が“Federal Register /Vol. 72, No. 204 /Tuesday, October 23, 2007 /Notices”においてEUとの合意を公告(notice)している。

(筆者注12)“Legislative Observatory”が引用しているSWIFTのネットワーク再編計画は2007年10月4日にSWIFTが公表した内容を指す。

(筆者注13) 2009年11月30日のEUと米国の協定書の第15条第2項（暫定期間に関する規定）は次のとおり定める。
「第14条に基づきまたは両当事者の合意により事前に終了させる場合を除き、本合意は2010年10月31日に期限が切れてその法的効果を終了する」
“Unless previously terminated in accordance with Article 14 or by agreement of the Parties, this Agreement shall expire and cease to have effect on 31 October 2010.”

(筆者注14) 「EU指令第29条専門調査委員会」は、1995年EU個人情報保護指令第29条に基づき設置した委員会であり、個人情報保護およびプライバシーに関する独立諮問機関である。その任務の内容は同指令第30条および2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令（Directive 2002/58/EC）」の第15条に規定されている。なお、委員長はアレックス・トュルク(Alex Türk)(フランスの情報処理及び自由に関する国家委員会(CNIL)の委員長)である。

(筆者注15) 協定第8条（ TFTPデータに関するEU の米国に対する検索要求と米国の協力義務）を仮訳する。

「法施行(law enforcement)、治安(public security)または加盟国のテロ取締機関ならびに欧州刑事警察機構(Europol)または欧州司法協力機構(Eurojust)は、Framework Decision (2008/919/JHA)に基づき修正された「テロとの戦いの枠組に関する理事会決定（2002/475/JHA）」の1条から4条で定義される人または組織がテロに結びつきを持っていると信じる理由があると決定するときは、それら機関等はTFTPを通じて得られた関連情報の検索を米国に要求することができる。米国連邦財務省は、そのような要求に対応し第5条に従い即時に検索を行い、関連情報を提供する。」

（訳者注16）第13条「合意による保護法の無効・修正禁止ならびに新たな権利・利益の創造禁止条項」の仮訳は次のとおりである。
「本協定は、米国の法律やEUならびにEU加盟国の法律の無効化や改正を意図するものでもない。本協定は私的または公的な個人や組織に権利や利益を与えるものでない。」

(筆者注17) わが国であまりなじみがない「欧州個人情報保護監察局(EDPS)」の本来的な任務・権限等について簡単に紹介しておく。なお、誤解のないように補足するが同局はあくまで基本はEUの機関や団体における個人情報保護やプライバシーの監査機関であり、EU全体の立法や政策についての助言機関である。
(1)監督
監督任務はEUの機関や団体がEUの官吏やその他に対し適法に個人情報を処理することを保証すること。EDPSは「欧州共同体諸機関による個人情報処理における個人保護および同データの自由移動に関するEC規則(Regulation (EC) No 45/2001)」にもとづき、監視を行う。同規則は次の2つの原則を定める。

①責任あるデータ管理者は、例えばデータ収集時に述べなければならない特定かつ法律に合致した理由がある場合のみ取扱いうるといった責任を負う。
②データ主体は、例えば処理対象データに関する情報を得たり、その修正権など多くの権利を持つ。
　なお、各機関・団体は必ず内部の情報保護責任者(Data Protection Officer)を任命しなければならない。

(2)欧州委員会、議会等への助言
EDPSは保護に関する新立法や情報保護にかかわるその他の問題の提案につき、欧州委員会、欧州議会および欧州連合理事会に対し助言を行う。

(3)EUの他の保護機関（EU指令第29条専門調査委員会など）との協調
EDPSは、欧州全体にわたり一貫した情報保護を促進するため他の情報保護機関等と協調する。データ保護法は一般原則で構築されており、例えばEUの公的データベース「庇護申請者の指紋データベース(Eurodac database)の監督は異なる監督者間で実行される。
（ ユーロダック（Eurodac）は、ダブリン協定に基づき、違法な避難民等の不法入国を阻止するために、避難移民の指紋データベースの管理を行う機関であり、2003年1 月から業務を開始している。所管データの保護は、欧州データ保護監視官局(EDPS)の連携によって管理されている（福井　千衣「EU のテロリズム対策」国立国会図書館「外国の立法 228（2006. 5）」(注22)より引用））
　なお、加盟国の保護監督機関との協調のためのEUの中心となるプラットホームは「EU指令第29条専門調査委員会(Article 29 Working Party)」である。

(筆者注18) 欧州人権条約（European Convention on Human Rights）は1953年発効し、同条約に基づき創設された人権救済機関が欧州人権裁判所 （European Court of Human Rights）である。欧州連合（EU）の欧州裁判所（Court of Justice of the European Communities）とは別の機関である。

(筆者注19) 欧州連合基本権憲章第8条の原文は以下のとおり。
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority.

(筆者注20) 欧州連合の機能に関する条約(TEEU)第16条の原文は次のとおり。 (ex Article 286 TEC)
1. Everyone has the right to the protection of personal data concerning them.
2. The European Parliament and the Council, acting in accordance with the ordinary legislative procedure, shall lay down the rules relating to the protection of individuals with regard to the processing of personal data by Union institutions, bodies, offices and agencies, and by the Member States when carrying out activities which fall within the scope of Union law, and the rules relating to the free movement of such data. Compliance with these rules shall be subject to the control of
independent authorities.
The rules adopted on the basis of this Article shall be without prejudice to the specific rules laid down in Article 39 of the Treaty on European Union.


［参照URL］
http://www.swift.com/about_swift/legal/compliance/statements_on_compliance/swift_board_approves_messaging_re_architecture/index.page?
http://epic.org/privacy/pdf/swift-agmt-2007.pdf
http://europa.eu/rapid/pressReleasesAction.do?reference=IP/07/968&format=HTML
http://www.europarl.europa.eu/oeil/FindByProcnum.do?lang=en&procnum=RSP/2009/2670
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:008:0011:0016:EN:PDF
http://www.statewatch.org/news/2010/jan/eu-art-29-cttee-swift.pdf
http://www.europarl.europa.eu/oeil/FindByProcnum.do?lang=en&procnum=RSP/2009/2670
http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Comments/2010/10-01-25_EU_US_data_exchange_EN.pdf
http://www.europarl.europa.eu/news/expert/infopress_page/019-67946-025-01-05-902-20100125IPR67943-25-01-2010-2010-false/default_en.htm

Copyright (c)2006-2010 福田平冶　All Rights Reserved.