2012年10月27日土曜日

米国IC3やFBIが最近時に見るモバイル携帯OSの「不正プログラム(malware)」および安全対策につき再警告







 10月12日、米国のインターネット不正ソフトや詐欺等の犯罪阻止窓口であるIC3(Internet Crime Complaint Center)およびFBI は、「モバイルフォン・ユーザーはモバイル端末機器を標的とする最近時に検出された2種を例にあげ『不正プログラム(malware)』およびそのセキュリティ侵害(compromise)を阻止すべく具体的な安全対策の理解を深めるべきである」と題するリリースを行った。

 この問題は従来から問題視されているインターネット詐欺の応用形であることには間違いなく、手口自体につき目新しさはない。(筆者注1)しかし、携帯インターネット端末であるモバイル端末の利用時に得られる個人情報をいとも簡単に入手する手口はさらに今後のリスク拡大から見て無視しえない問題と考える。

 その意味で、今回紹介するIC3の警告内容の正確な理解は、わが国のモバイルユーザーの急増に対応して、改めて警告を鳴らす意義があると考え、簡単まとめた。特に、IC3やFBIのリリース文は極めて簡単な内容で、リスクのありかが良く読み取れない部分が多い。このため、筆者なり調べ、米国「VDCリサーチグループ社の解説等で補足した。 
 なお、筆者は1026日付けの“WIRED”でセキュリティ・研究者であるマーカス・ジェイコブスン(Markus Jakobsson)FBI等の警告の不十分性を指摘するレポートCybercrime: Mobile Changes Everything - And No One's Safeを読んだ。詳しい解説は省略するが、要するに従来のPCと携帯端末のハッカーによるセキュリティ・リスクの差異の現実を踏まえ、FBIの警告の無効性を指摘する一方で、具体的防御策を提供するものである。詳しい解析は改めて行うつもりであるが取り急ぎ紹介する。

1.不正プログラム“Loozfon”や“FinFisher”とは

(1)“Loozfon”の手口

自宅でEメールを送信するだけで、いとも簡単に稼げる儲け話である。これらの広告アルバイト話は“Loozfon”に繋がるように設計されたウェブサイトにリンクされる。この不正アプリケーション・サイトは被害者たるユーザーの携帯端末からアドレス帳の通信の詳細や感染した電話番号を盗み取るのである。

(2)“FinFisher”の手口

モバイル端末のコンポーネント機能を利用した乗っ取りを可能とするスパイウェアである。異端モバイル端末にインストールされると、目標の位置の如何を問わず遠隔制御やモニタリングを可能とする。被害者たるユーザーが特定のウェブサイトを訪問したり、システムのアップデートを仮装したテキスト・メッセージを開くとスマートフォン情報をいとも簡単に第三者に送信させてしまう。

 以上の2つは、犯人が違法な釣る言葉を用いて、ユーザーのモバイル端末を極めて危険な状態に陥れる不正プログラムの例である。

2.ユーザーのモバイル端末をこれら犯罪者から保護するためのヒント

①スマートフォンの購入時、デフォルト・セッティング(初期値設定)を含む当該端末の特性を正確に理解する。違法プログラムによる端末の点や面への攻撃(attack surface)を最小化するため不要な端末機能は「オフ」に設定する。

 このモバイル端末(プラットホーム)の点や面への攻撃問題(Attack Surface Problem on Mobile Platforms)とはいかなることをさすのであろうか。わが国における個人だけでなく企業活動の脆弱性問題に関する詳しい解説は皆無と思われる。(筆者注2)
 したがって、ここで米国「VDCリサーチグループ社」のサイト・ブログThe Attack Surface Problem on Mobile Platformsを一部抜粋し、仮訳する。


○デスクトップとの比較では、現時点でモバイル・プラットホームの脅威に関する問題提起数は少ないが、このモバイル端末の増殖のペースはネットワークの終点に関する伝統的な定義を変更し、スマートフォンやタブレット端末に対する危害攻撃の魅力的目標に変えた。これら端末製造メーカーは各デバイス販売の連続的なリリースの中で、ハードウェア上に埋め込んだ安全性を高め続けているが、一方でサイバー犯罪者は従来の戦術の矛先を変え、モバイル・プラットホームやアプリケーションにおける欠陥を利用するのに夢中になっている。

○法人のIT化における別の意味の複雑化は、今日のモバイルOS景観の断片化で見て取れる。リサーチ・イン・モーション(Research In Motion:以下、RIM)のBlackBerry OSはがんばっているが、我々のデータ解析結果では企業は平均して2つのOSをサポートしている。これは、安全性端末の管理の観点からみて問題であり、事実、マルチプラットホーム・モバイル端末環境を効率的に管理することとともに複雑性を増している。

○犯罪者の気持ちから見ると、個人のEmail、コンタクト情報、パスワード、その他保有する個人や法人の情報、高価値の潜在的な金融情報の宝の山等のすべてが攻撃対象となる。(1)フィッシング詐欺(パスワードやその他の個人情報を盗める)、(2)位置GPS情報の追跡、(3)金融不正プログラム等は違法かつ潜在的な犯罪活動を可能にする。

○常に新しい技術プラットホームは新たな脆弱性を導く。モバイルによる解決策の投資から得られる戦略的優位性を認識する挑戦的な組織は、ビジネスの改革を阻害することなしに資産を守り運用効率を維持する。

モバイルを利用した労働環境が広がり続けるとき、これらは不可欠の広がりを続けるであろう。

○モバイル端末の共通的特性は、複数の接続の選択肢であり、このことは法人のネットワークにただ1つの最終評価として現れる従来のPCと異なる。強靭なネットワーク接続に関する選択肢は、モバイル端末を極めて強固なものとし、データの検索と情報の共有は痛みを伴わない。しかしながら、法人内で配備されるとその点はモバイル端末に一連の脅威を与える。

○結論

モバイル・プラットホームへの点や面への攻撃問題の正しい理解は企業にとってモバイル労働環境を拡大するうえで極めて重要な点である。前進的かつ深層防御アーキテクチャー(defense –in-depth architecture)(筆者注3)に基づく脅威に関する向きと大きさのベクトルの開発が必要である。

「将来の証拠(future proof)」となるモバイル技術プラットホームの最大の保護策は、個人的なIT教育だけでなく今日のモバイル・エコシステムに必要とされる継続的に成熟度を持ちかつ保護するための強力なソフトウェア解決に向けた武装化である。


②モバイル端末はそのタイプに従い、OSは可能な暗号化手法を持つ。このことは紛失や盗難時にユーザーの個人情報を保護すべく利用できる。

③モバイル端末の市場の拡大に伴い、ユーザーはアプリケーションを公表した開発者や企業の評価・説明内容を注意深く見なければならない。すなわち、ユーザーはアプリケーションをダウンロードするとき、あなたが与える許可内容を見直し理解する必要がある。

④パスコードは、あなたのモバイル端末を保護する。これは端末の内容を保護する物理的な第一レイヤーにあたる。パスコードとともに2,3分後スクリーンロック機能を可能にする。

⑤あなたのモバイル端末につき破壊工作の保護手段を得ること。

⑥位置情報(Geo-location)を入手させるアプリケーションに十分注意すること。このようなアプリケーションはいかなるところでもユーザーの位置を追跡する。このアプリケーションはマーケティングにも使えるが、他方でストーカーや強盗を引き起こす犯罪者も利用が可能である。

⑦あなたの端末を知らないワイアレス・ネットワークへ接続することは不可である。これらのネットワークは、あなたの所有する端末と合法的なサーバーの間で授受される情報を捕捉する危険なアクセスポイントでありうる。

⑧スマートフォンは、最新版のアプリケーションとファームウェアを求める。ユーザーがこれを怠るとデバイスをハッキングしたり、セキュリティ侵害を引き起こす。


(筆者注1)筆者ブログ: 2009年4月17日「米国IC3やFinCEN等によるインターネット犯罪や不動産担保ローン詐欺の最新動向報告」、2012年9月29日 「米国FBI、IC3が「レヴェトン」名を名乗るランサムウェアの強制インストール被害拡大の再警告 」等を参照。



(筆者注2)  「Attack Surface Analyzer」は、あるシステムの導入前と導入後のシステム設定を比較して、攻撃を受ける恐れのあるコンポーネント、モジュール、サービスなど(Attack Surface:攻撃面)を洗い出すツールをいう。

MicrosoftやSANS Internet Storm Centerなどのブログによると、同ツールではソフトウェアをインストールする前とインストールした後のシステムの状態を比較し、そのソフトウェアがシステムにどんな影響を与えるか、どんなリソースを利用するか、どんな変更を加えるのかをチェックできる。これにより、そのソフトウェアをインストールすることによる「Attack Surface」(攻撃可能な面や点)の変化を検証できるという(ITmediaの解説、「窓の杜」の解説例

(筆者注3) 多層防御 Defense in depth)は、情報技術を利用して、多層(多重)の防御を行う手法と、人員、技術、操作を含めたリソースの配分までを決定する戦略までを含んだものである。これは、情報保証(Information AssuranceIA)戦略の一種である(Wikipedia から抜粋)。なお、“defense–in-depth architecture”に関する専門的解説例としては、例えば情報セキュリティの調査・研究および教育に関する大手専門組織であるThe SANS Institute「多層防御―不法侵入の阻止(Intrusion Prevention - Part of Your Defense in Depth Architecture?)、米国連邦エネルギー省Control Systems Cyber Security:Defense in Depth Strategies等があげられる。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.







2012年10月19日金曜日

欧州司法裁判所はオーストリアの情報保護委員会が政府から十分な独立性を維持していないと判示










10月16日、欧州連合司法裁判所(Court of Justice of the European Union:CJEU)(筆者注1)はオーストリアの個人情報保護監視機関であるAustrian Data Protection Authority:Datenschutzkommission:DSK)(筆者注2)の独立性を疑問視した欧州委員会および欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)(筆者注3)からの申立に対し、大法廷はDSKが連邦首相ヴェルナー・ファイマン(Werner Faymann)府内のキャリア組の管理等に中心的な権限を持ち、またそのスタッフが公務員であること、さらに首相がDSKの活動内容に精通している等の事実にもとづき、EU情報保護指令(Directive 95/46/EC)第28条(筆者注4)に違反するとする裁決(判決原本)を行った。

 また、この独立性原則は、同指令のみでなくEU基本権憲章(Charter of Fundamental Rights of EU)およびEUの機能に関する条約(Treaty on the Functioning of the EUTFEU)においても明らかにされている。

 今回ドイツはオーストリアのDSKの擁護に回ったが、CJEUがEU加盟国の情報保護委員の独立性について判示したのは今回が初めてではない。例えば、2010年3月9日に同裁判所は欧州委員会がドイツに対し行った告訴に対し、今回と同様の論理にもとづき、加盟国のEDAsは彼らの責務を履行への影響や政策決定プロセスにおいてあらゆる直接、間接の影響から自由でなければならないと判示している。

 なお、今回のブログは時間の関係でEDPSのリリース文の内容を中心にまとめたが、本ブログでも過去に取り上げた英国の法律事務所Pinsent Masons LLPの「Out Law .com」がより詳しく解説している。ぜひ、参照されたい。

1.EDPSの10月16日のリリース文(Commission v. Austria: Court of Justice says Austrian data protection authority is not independent)

次のとおり仮訳する。
○本日、EU欧州司法裁判所はオーストリアの情報保護委員会(Data Protection Authority(Datenschutzkommisson(DSK))が、1995年EU情報保護指令が概略規定する独立性要件を充足していないと判断した。特に、本法廷はオーストリアの法令の規定に定める政府からのDSKの機能的独立性が十分でなく、連邦政府の首相(Chancellery)との緊密な結びつきを避けることが、DSKが何よりも不公正の疑いであることを防ぐと述べた。EDPSの主席監察官ピーター・ハスティンクス(Peter Hustinx)は次のように述べた。「再度、大法廷は現在のオーストリアにおける情報保護委員会の完全な独立に関する法律上の義務にアンダーラインを引いた」本判決は、国内法令で有効にそれを保護するために基本的な権利と公平の必要性としてデータ保護の重要性を支持するものである。また、データ保護当局の役割を強化しなければならないデータ保護枠組みの見直しに関し、本判決は重要な意義を持つ。」

○大法廷は、連邦政府首相府の中でキャリア組を管理するメンバーのDSKにおける中心的役割を批判した。また、DSKのスタッフは連邦政府首相の下にある公務員である。さらに首相には、DSKのすべての活動について知識・情報が得られる権利がある。しかしながら、大法廷はそういうもののDSKの活動自体は批評しなかった。

○具体的な事例における首相の介入に関する裁判所の判断をEDPSは歓迎する。2番目の事例について、大法廷はデータ保護当局からの独立にそのような重要性を置いた。同法廷は「EUの機能に関する条約(Treaty on the Functioning of the EU:TFEU)」を示すことで、本当に独立したデータ保護当局がデータ保護分野で行われる仕事の本質部分である点を強調した。

〔今回の判決の背景となる関連情報〕

今回のEU指令違反手続き訴訟は、オーストリアに対して欧州委員会によってもたらされた。すなわち、オーストリアの情報保護委員会(DPA)が設置された方法が、EU保護指令に合致しないと信じうるものであるという理由に基づくものである。欧州委員会は、オーストリアのDPAの独立性はDPAと連邦政府の首相との支配的に緊密な結びつきから見て十分確実でないと主張し、本事件は2012年4月25日にCJECに持ち込まれた。そして、EDPSは訴訟参加者(intervening party)として同裁判の審問において欧州委員会を支持するために参加した。

法的な解釈に関連し、本事件は「欧州委員会 対 ドイツ事件(C-518/07)」 (判決文)に匹敵する)。EDPSは同裁判でも、欧州委員会を支持して訴訟参加者としてそこで機能した)。 2010年3月9日のCJEU判決では、同法廷はDPAsには直接または間接的であれいかなる外的影響もあるべきでないと考えた。 外的影響を受けるという単なるリスクは、DPAが完全な独立して行動できないという結論を下すために十分である。 オーストリアDSKに対する今回の裁判では、法廷に対し独立性の要件につき更なる明快さを提供するよう求めた。

2.EUにおける保護委員会等の独立性問題と関係機関の受け止め方

たとえば、2011年にEU基本的人権保護庁(FRA)が取りまとめ公表した「Fundamental rights:challenges and achievements in 2010」(筆者注4)の第3.3章「Data protection authorities:independence ,powers and resources」(59ページ以下)は、2010年5月にFRAが公表した過去の加盟国(ドイツ)における実態を踏まえ、欧州委員会の告訴に基づき、CJEUが判示した内容等を詳しく紹介、解説している。

本ブログではその詳細には立ち入らないが、わが国では独立性を持った「個人情報保護委員会」組織を設置すればすべての問題が解決されるというような安易な議論が議会や関係者から出されている。しかし、長い歴史を持つ欧州でさえこのような運用実態に基づく法令遵守のあり方が、司法、行政機関、議会さらにはWatchdog等を中心に行われていることを改めて注視すべき時期にあると思う。

(筆者注1)欧州司法裁判所(ECJ)は2009年12月1日、リスボン条約の発効により欧州連合司法裁判所(Court of Justice of the European Union:CJEU)に改称され、また「欧州司法裁判所(Court of Justice:ECJ)」 「欧州一般裁判所(General Court)」、専門裁判所(specialised court)たる「欧州公務員裁判所(:Civil Service Tribunal)」の3つの裁判所から構成される(Treaty of European Union:TEU 19条1項)こととなった。


この経緯や各裁判所の裁判管轄などの詳細は、在ルクセンブルグ日本大使館が「欧州連合司法裁判所概要」でEUの公式サイトの内容をもとに解説している。

(筆者注2) 2012年9月24日のブログ「EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善に向けた意見書を提出」がEU加盟国の個人情報保護のWatchdogである「欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)(主席監察官ピーター・ハスティンクス:Peter Hustinx)」の活動内容を詳しく紹介している。

(筆者注3) EU情報保護指令(Directive 95/46/EC)第28条は、加盟国の保護監督機関の設置、権限、独立性等に関する規定を定める。以下で原文を挙げる。なお、完全な独立性に関する定めは第1項後段に明記されている。
Article 28 Supervisory authority

1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.

These authorities shall act with complete independence in exercising the functions entrusted to them.

2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.

3. Each authority shall in particular be endowed with:

- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,

- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,

- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.

Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.

4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.

5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.

6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.

The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.

7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.


(筆者注4) FRA年報「Fundamental rights:challenges and achievements in 2010」は全194頁にわたるものである。筆者は従来からFRAの情報を直接入手しているが、EUがかかえる人権問題を広く取り上げている。参考までに同年報の目次を仮訳する。FRAが有する機能、役割について正確な理解が求められている。

1.難民施設、移民および人種融合(Asylum,immigration and integration)

2. 国境管理およびビザ政策(Border control and visa policy)

3. 情報社会および情報保護(Information society and data protection)

4. 子供の権利および子供の保護(The rights of the child and protection of children)

5. 平等性および差別のない社会(Equality and non-discrimination)

6. 人種差別および民族による差別(Racism and ethnic discrimination)

7. EUの民主機能におけるEU市民の参加(Participation of eu citizens in the union’s democratic functioning)

8. 効率的なアクセスおよび司法の独立性(Access to efficient and independent jusitce)

9. 被害者の保護(Protection of victims)

10. 国際的な責務(International obligations)

********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.



2012年10月17日水曜日

EUの個人情報監視機関・第29条専門委員会とフランスCNILがGoogleの新プライバシー・ポリシーに対し再警告






 本年3月22日の本ブログで「フランスCNILがGoogleの新プライバシー・ポリシー等に対するEU保護指令等から見た懸念や疑問点69項目を提示」と題するレポートを行った。その内容は同ブログで確認されたいが、その後の同委員会(EU指令第29条調査専門委員会:Article 29 Data Protection Working Party)、以下「29条専門委員会」という)と結合したEU加盟国の情報監視機関(European Data Protection Authorities:EDPAs)(筆者注1)やCNILは調査結果を踏まえ、当時のGoogleの回答内容の不完全性や非制御性等、具体的な問題点をまとめた意見書をそれぞれ10月16日付けで公表した。

 本ブログは、29条専門委員会の意見書やCNILのリリース文を中心にそれらの内容を仮訳して紹介するとともに、今後の課題等につき再度取り上げた。なお、本ブログでも過去に取り上げてきたドイツ連邦個人情報保護・情報自由化委員(BfDI)もこの問題を取り上げレポートしている。(筆者注2)これに関し29条委員会の意見書にも引用されているとおり「意見付属書(Appendix)」の内容は重要である。本ブログでは概要のみあげておいたが、読者はぜひ全訳して理解してほしい。



1.29条専門委員会の意見書の内容(仮訳)

 全文を仮訳した。なお、項目立ておよび関連する原データへのリンクは筆者の責任で行った。

(1) 2012年3月1日、Googleはサービスの大部分に適用するプライバシー・ポリシーと利用条件を変更した。この新しいポリシーは、多くの製品固有のプライバシーに関するポリシーを統合して、各サービス横断的なデータの組合わせを一般化する。

 我々は、Googleが新プライバシー・ポリシーにつき様々な情報ツール(Eメール、ポップアップ等)を駆使してユーザーに知らせる大々的な宣伝に着手したことを認める。しかしながら、今回の抜本的なプライバシー・ポリシーの改正に関し、EU加盟国のデータ保護監視委員との十分な議論なしで決めたことは、Googleの改定作業に関して多くの疑問を引き起こしたことを認めざるを得ない。

(2)29条委員会と統合したEDPAs は、EUの個人情報保護法、とりわけ「Data Protection Directive95/46/EC」および「ePrivacy Directive2002/58/EC」へのGoogleの新プライバシー・ポリシーの遵守状況を評価するために徹底的な調査に着手した。29条委員会はその分析作業をリードするようにフランスのData Protection Authority(CNIL)に依頼した。また、Googleは29条委員会の調査で2012年3月19日と5月22日にCNILによって送られた2つの質問アンケートに答えることによって、協力して作業した。 さらに、「アジア太平洋プライバシー監督局連合(Asia Pacific Privacy Authorities)」カナダ連邦プライバシー・コミッショナー等の世界中の他のデータ保護やプライバシー監督当局へ照会を行った。

(3)Googleは、プライバシー関連の習慣の多くが他の米国インターネット会社と異なってはいないと説明した。 我々は、必要であるなら他の会社のこのセクターの運用慣行につき公的にするよう調査した。

 我々は、オンラインの世界のリーダーであるGoogleがプライバシーで先を見越して従事する上でGoogleがあなたの会社がサービスを提供するところの国々の所管官庁との密接な関係が重要であると期待する。 Googleによって実行された幅広い種類の加工作業は、Googleのユーザーが支払うプライバシーにかかる費用でGoogleの開発をしないのを保証する強くかつ永続的な付託を必要とする。したがって、我々はGoogleがいくつかの問題をはっきりさせるために受け入れたのをうれしく思う一方で、Googleが2つのアンケートの答えを分析した後に、なお灰色の領域はまだ残っている。

特に今回のGoogleの回答は、貴社が目的制限、個人情報の品質、個人情報の最小化、比例性および使用に反対する権利という重要な個人情報保護原則を是認する点を示していない。事実、プライバシー・ポリシーは収集の範囲に関する制限・限界規定の欠如と個人的なデータの潜在的用途を示している。我々は公的にこれらの原則を確約するようにGoogleにあえて挑む。

(3)さらに、 我々の調査は新しいプライバシー・ポリシーに関するいくつかの法律問題と個人情報データの組合せの問題点を明らかにした。

 まず第一に、本調査ではGoogleが受け身のユーザーを含む特に処理されるデータの目的とカテゴリーに関し、不十分な情報をユーザーに提供している点を示した。 その結果、Googleのユーザーは、データのどのカテゴリーが自分が利用するサービスで処理されるか、またこれらのデータがどの目的のために処理されるかを決定できない。インターネット会社は複雑過ぎるか、極度に法律指向または過度に長いプライバシー通知を開発するべきでない。しかしながら、簡単さの検索により、インターネット会社がそれらの義務を避けるように導くべきではない。 我々は、すべての大きくてグローバルな会社が自分達のユーザーの情報の運用作業を詳しく述べて、かつ明確に区別化すべきことを求める。


 第二に、本調査はサービス横断的な個人情報の組合せに関する我々の懸念を確認した。 新しいプライバシー・ポリシーで、Googleはいかなる目的のためのいかなるサービスからもありとあらゆる個人情報の結合が可能となる。データの組合わせは、他の個人データに場合と同様、適切な法的な根拠を必要として、これらのデータが集められた目的と両立しなければならない。別紙の意見付属書でさらに詳しく説明するとおり、データの組合わせに関連する目的のいくつかに関し、Googleはユーザーの明白な同意を集めず、また個人の基本的権利と自由の保護に関し、そのような大容量データベースを集めるためにGoogleの合法的な利益や、どんな契約もデータのこの大きい組合わせを正当化しない。Googleは、それ自体がインターネットユーザーに関する膨大な量の個人データを集める権限を与えるが、Googleはこの収集行為がそれらが処理する目的に比例していたことを示していない。

 さらに、Googleはデータの組合わせに関する一定の限界を設定し、かつユーザーがそれを制御できる明確で包括的なツールを提供していない。そのような大規模に個人データを結合すると、ユーザーのプライバシー問題に高い危険を生み出す。 したがって、これらの目的のためのサービス横断的なデータを結合するとき、Googleは、このよう実務慣行を変更すべきである。

 その他の目的に関し、ユーザがサービス(例えば、Calendarでの接触へのアクセス)、安全性または学際研究の観点から横断的にデータの組み合わせを要求したときに改良されたとしても合法的または同意に基づくことが必要である。

 最後にGoogleはそれが処理する個人データに保有にかかる期間を具体的に提供していない。

 データ保護監視委員として、我々はGoogleが情報内容を改良するステップを踏み、データの組合せをはっきりさせて、より一般に、データ保護法や保護原則の遵守を確実にするために必要な措置を取ると期待する。そのために、我々は実務的な勧奨事項を以下に記載する。また、貴社において別紙の意見付属書により詳細な調査結果と詳細な勧奨の概要を見出すであろう。

(4)情報に関して、Googleは各サービスでそれがどう個人的なデータを処理するかを明らかにして、詳しく述べ、各サービスとデータの各カテゴリーのための目的を明確に区別化すべきである。 実際には、Googleは以下の点を実現出来るはずである。

・プライバシー通知の構造を次の3つのレベルに分けてアーキテクチャーを定義する。

第一レベル:製品におけるプライバシー通知と隙間用(interstitial)プライバシー通知

第二レベル:アップデートした現行のプライバシー・ポリシー

第三レベル:製品特有の情報
・容易にポリシーの内容にナビゲートできるユーザーに許す対話的なプレゼンテーション・ツールを開発する。

・ユーザーに重要な影響を与えるデータ(位置情報、クレジットカード情報、ユニークなデバイス識別子、電話番号、生体認証情報等)について追加的かつ正確な情報内容を提供する。

・モバイル端末ユーザーに対する情報を採用させる。

・受け身のユーザーに適切に知りうるよう情報提供を確実化する。

これらの勧奨の実現は、データ主体のための包括的、非侵奪的かつ明確な情報の提供を確実にするであろう。

(5)データの組合せに関して、Googleは目的を明確化させる行動とデータの組合せの手段を取るべきである。 その見解から見て、Googleはより明確にデータがサービス横断的にどう結合されるかを詳しく述べ、彼らの個人的なデータにつきより多くの支配力をユーザーに与えるために新しいツールを開発すべきである。 以下のコントロール(詳細は意見付属書で参照)を実装することによって、これができるであろう。:

・認証されまたは非認証のユーザーのためにオプトアウトメカニズムを簡素化しする。また、1つの場所で彼らを利用可能にする。

・適切なツールとのデータの組合せの目的を差別化する。

・ある目的のためのデータの組合せのために明白な同意を集めること。

・認証されたユーザーにつき、彼らがどのサービスにログインするかを制御する可能手段を提供する。

・受け身のユーザーへのデータの組合せを制限する。

・EUの「e-Privacy指令」5(3)条を実装する。(筆者注3)

ドイツ向けに設計した「Google Analytics」合法化手順を他のすべての国に拡大する。

(5)我々は、オンラインの世界におけるGoogleの重要な役割を認める。私たちの勧奨内容は、 貴社の革新能力を制限して、製品を改良点を求めるのではなく、むしろユーザーの信頼とコントロール権を強化して、データ保護法や諸原則への遵守を確実にすることを求めるものである。
 最終的に、我々はプライバシーのために重要な意義を持つサービスを開発するときは貴社がデータ保護当局に取り組むよう奨励する。我々は、Googleが当方のの推薦を実行するために、プライバシー・ポリシーや商慣行の見直しにつき、本勧奨内容に基づく実装をいかなる方法で、またそのための作業の時間割を示す回答をCNIL宛に送って欲しい。

2. 29条委員会の意見書付属書(Appendix:Google Privacy Policy:Main Finding and Recommendations)の概要


 全9頁である。目次のみあげる。

Outline

Ⅰ.Main findings

1) Legal Framework

2) Information

3) Combination of data across services

4) Retention period

Ⅱ.Recommendations

1) Information

ⅰ.Particular case of mobile users

ⅱ.Particular case of passive users

2) Combination of data

ⅰ.For purposes that have a legal basis for the combination of data(case #1,#3,#5,#8)

ⅱ.For purpose that not have a legal basis for the combination of data(case #2,#4,#6.#7)

ⅲ.Practical case of Google Apps(Free Edition)users

3)  Retention period

Ⅲ.Others

1) Name Policy

2) Facial Recognition

3) International transfer and safe harbor

3.CNIL報告「グーグルの新プライバシー・ポリシー:各サービス横断的な組み合わせの不完全や非制御性の問題」

 10月16日、CNILは自身のサイトで29条委員会のGoogleへの意見書を取り上げ、詳しく問題点を解説している(Règles de confidentialité de Google: une information incomplète et une combinaison de données incontrôlée)。

 CNIL報告は、29条委員会の意見書の内容と大部分は重複しており、本ブログでは具体的に補足すべき点のみ追加することとした。
(1)新プライバシー・ポリシーの下では、ユーザーはこのサービスにおいてどのカテゴリーの個人情報が処理されているかどうか、また正確な処理目的を決めがたい。例えば、プライバシー・ポリシーの文言上、無毒な「検索クエリー(search query)」情報とクレジットカードや電話番号の処理条件は差異がない。すなわち、ポリシー上これらの目的ですべて平等にこれらの情報が使用できる。そのうえ、広告や第三者の受身のユーザー(passive users)のようなGoogleサービスの相互利用者にはこのような情報がまったくない。

(2)新プライバシー・ポリシーではGoogleサービスの横断的利用が一般化された。実際に、Googleを介するオンライン活動(各種サービスやアンドロイドの利用、Googleのサービスを利用する第三者相談等)に関する限り、情報の集約や結合が可能となる。DPAsはこの組合せユーザーが求める提供サービス、商品開発、セキュリティ、広告、Google アカウントや学際的調査において組み合わされる点に着目する。また、Googleに対する調査によると組み合わせのデータ範囲や保持期間が非常に広範囲であることが示された。

 たとえば、 「Google +」を含む単なるサイトでの相談サービスに関する情報は18ヶ月間保有され、Googleの各種サービスで関連付けられる。 「DubleClick」(筆者注4)に関しては2年間保持されまた更新が可能である。

(3)EU加盟国の情報保護法は個人情報のデータ処理にあたり厳格な枠組みを求める。Goggleは、組み合わせる場合の法的根拠を必要とし、また情報の収集はもともとの目的に適合していなければならない。しかしながら、広告を含むこれらの目的に関し、Googleの実務は同意、Googleの合法的利益、契約の履行に依存していない。


(筆者注1) “European Data Protection Authorities”は全EU加盟国の情報保護監督機関からなる協議・決定機関である。最近の決定例では2012年6月12日「European Data Protection Authorities adopt opinion on cookie consent Exemption:Opinion Article 29 Working Party analyses revised cookie-rule」を全体会で決議したことが報じられている。

(筆者注2) ドイツBfDIの本意見書に関するブログ「EU情報保護監督機関の見解:グーグルのプライバシー・ポリシーは不完全な内容である( Europäische Datenschutzbehörden: Googles Datenschutzerklärung mangelhaft)」のみが、10月16日の29条委員会の意見書の付属書(Appendix)をリンクさせているので参照した。
(筆者注3) 「ePrivacy Directive2002/58/EC」の該当内容を、以下抜粋する。

Article 5 Confidentiality of the communications

3. Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.

(筆者注4)Google+とは20116月に発表されたGoogleの新しいWEBサービスである。Google+SNS(ソーシャル・ネットワーキング・サービス)の1つで、インターネット上で現実のような社会的繋がりを作るサービスである。他のSNSと比べて、特に情報の"共有"が簡単にできる。TwitterFacebookとの違いなどを解説している。


 
********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.



2012年10月5日金曜日

ドイツ連邦ネットワーク庁等が電気通信プロバイダーが保有するトラフィック・データの新ガイドライン策定











 9月27日、ドイツ連邦ネットワーク庁(BNetzA)とBfDI (個人情報保護・情報自由化委員は電気通信プロバイダーが保有するトラフィック・データ保持期間や保存情報等の明確化に寄与する新ガイドラインを策定、提示した旨リリースした。

すなわち、ドイツの連邦法である「2004年電気通信法(Telekommunikationsgesetz :TKG)」 (筆者注)のトラフィック・データに関する規定の解釈は頻繁に異なるものであった。同法は例えば、顧客への請求事務、ネットワーク運営者または障害復旧等の目的でトラフィック・データの保存にかかる法的要求規定を含むものである。

しかしながら、これらの規定に関しては解釈が限定されていない。今回のガイドラインは個人情報保護条件に即した同法に基づく統一的解釈を提供することがその策定目的である。

筆者は、このリリース文を読んでその背景や意義につき多くの疑問が湧いた。そこで、これまでの筆者のブログやEUの関係資料などに改めて読み直した。

今回のブログは、連邦ネットワーク庁のリリース文では極めて不足する情報内容を、筆者なりに同ガイドライン原文の仮訳を行った。その内容や背景につきEUの関係資料等をもとに筆者なりに補足しながら、この問題のわが国への適用可能性に言及すべくまとめたものであり、誤訳等に関しては具体的に指摘いただきたい。


1.今回のガイドライン策定の真の背景

前述したような説明ではほとんどの読者は理解できない点が多かろう。以下の内容は、筆者の考えでまとめてみた。

(1)EUの電気通信プロバイダーの情報保持に関する指令の改訂経緯

○ EUの「通信記録データ保持指令(2006/24/EC)」

「2005年9月21日に欧州委員会はテロ対策目的での通信事業者による通信記録の保持(Data Retention)を義務付けるEU 指令案をまとめた。同案は、電気通信または通信ネットワークを提供する事業者に対し、固定電話や携帯電話の通信記録は「1年間(12か月)」、インターネット通信記録情報(インターネット・アクセス、インターネット電話およびインターネットのE-メール)は「半年間(6か月)」の保持を義務付ける等の内容となっており、欧州委員会は、司法当局が重大犯罪やテロについて捜査を行う際に、通信記録は重要な手掛かりになるとの考えを示した。

同案は修正の上、2005 年12 月19 日の欧州議会で可決、2006 年2 月22 日に欧州理事会で承認され、3 月15 日に「EU指令2006/24/EC」として公示された。EU 加盟各国は、18か月以内(2007年9月17日)に指令内容の実施に必要な国内法の措置を講ずるよう求められることとなった。

同指令によれば、ISP 等の通信事業者は、法人・自然人の通信・位置データ(ネットワーク参加者や登録者に関するデータも含む)の保持義務を負う。保持項目は、①発信者、②通信年月日・時刻、③通信手段、④接続時間等であり、プライバシーを守るため通信データの内容そのものの保持は求められていない。保持されたデータは、各国の国内法で定める重大犯罪につながる特定の事例において、管轄国家機関による調査、捜査、訴追を目的とした利用が可能である。」(2010.12.20 筆者ブログから抜粋の上EUのリリース資料(2012.5.31)に基づき補筆)

2011年4月18日、欧州委員会は加盟国が「EU指令2006/24/EC」の国内法化をいかに移行したかにつき解析し、保有データの使用状況およびオペレータや消費者にどのような影響が生じたか等につき評価報告書(IP/11/484))およびFAQ を採択した。

また、ドイツ以外の国に関しては、オーストリアは正式に移行を終え、またスェーデンにつき、現在は移行は終えているものの、部分的には欧州司法裁判所が第2番目の付託事件として判断を下すことが見込まれる。委員会としては同国に対し一括払い(lump sum)およびは罰金(penalty payment)の両方(IP/11/409 )を要求している。

(2)ドイツに対する金銭罰を求める欧州委員会

2012年5月31日、欧州委員会はドイツに対する電気通信プロバイダーのデータ保持にかかるEU指令の国内法化が遅れているドイツに対し、金銭的罰をもって求めた旨リリースしたことである。

事実関係の経緯等を正確に理解するため、EUの本リリース文の概要をここで引用する。

○ドイツは国内法移行時期の2年以上たった後において連邦憲法裁判所は同指令を憲法違反として破棄し、同国は未だにもって同指令を遵守していない。その結果、同委員会は5月31日に司法裁判所に対しドイツに金銭罰(1日当り315036.54ユーロ(約3,150万3,600円))を課すよう審理を付託した。
なお、参考までにドイツの連邦憲法裁判所の違憲判決に関する筆者ブログ(2010.12.20 福田平治ブログ)から、以下一部抜粋する。

「2010年3月2日にドイツ連邦憲法裁判所(Bundesverfassungsgericht:Federal Constitution Court)は、法執行機関が活用できることを目的とする携帯電話や電子メール等の6か月間の通話記録(通信事業者に携帯電話を含む通話記録(日時や相手の電話番号)、IPアドレス、電子メールのメールヘッダ等)の保持を定めた現行通信法(TKG)の規定(§§113a,113b)および刑事訴訟法(§100g)の規定は連邦憲法に違反する可能性が高く、大幅な修正を求める旨判示した。

裁判官は判決文においてデータの保存手続において十分な安全対策が行われておらず、またそのデータの使用目的は十分明確化されていないと指摘した。ただし、原告側はデータ保持法の完全な無効化を求めていたが、裁判所は通信データの保存と利用に関するルールを厳格化したうえで法律を運用すべきだとの判断を示した。具体的には、(1)通信データを暗号化してセキュリティを強化する、(2)データ管理の透明性を高めてデータの利用目的などが明確に分かるようにする、(3)連邦データ保護監察官が通信データの管理プロセスに関与する体制を整える― などの対策を講じるよう求めている。」

2.ドイツ連邦ネットワーク庁がリリース「New guidelines on retaining telecoms traffic data」したガイダンス要旨

9月13日に公開されたものである。このガイドは、電気通信プロバイダーへの提案として作成され、プライバシーに優しくかつ統一的な内容である。TKG法に基づく-「最善の実践内容」の意味の解釈をリードし、データ保持「必要性」の概念の判断基準およびそのチェックの標準内容を提供するものである。電話やSMSサービスとインターネットサービスに区分し、以下の4区分でまとめられている。個別の訳文は省略する。(ガイダンスというが内容はわかりにくい)

①メモリー記憶域のカテゴリー区分(Speicherkategorie)

②法的根拠/最大保持期間(Rechtsgrundlage /max. Speicherdauer)

③プライバシー保護に即した解釈(Datenschutzgerechte Auslegung)

④データ・フィールド(Datenfelder:本一覧の別の表に記載されていない限り、他のサプライヤーへの通信等の機密情報が含まれていない技術的なパラメーターは、追加のデータ フィールドに記載される。ここでいう機密情報とは、位置情報、セルIDまたはIMEI(国際移動体装置識別番号(端末識別番号)」)をいう。

****************************************************************


(筆者注) 「2004年電気通信法(Telekommunikationsgesetz :TKG)」のうちサービス・プロバイダーのトラフィック・データの保持に関する規定は、第96条(Verkehrsdaten)等を参照されたい。



***********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.




2012年9月29日土曜日

米国FBI、IC3が「レヴェトン」名を名乗るランサムウェアの強制インストール被害拡大の再警告



 「ランサムウェア」とは一般に、感染するとユーザーのコンピュータ内にある任意のファイルを暗号化し、元に戻すための暗号解除アプリケーションを売りつける、いわば身代金要求型不正プログラムである(ランサム = 身代金)。近ごろは、これに偽セキュリティソフトを絡めた多重アプローチが見られるようになり、より手の込んだ不正活動が目立つようになってきた。(筆者注1)

 2012年9月28日、FBIはテネシー州東部でもレヴェトン(Reveton)」名を名乗るランサムウェアの被害が広がっている旨市民に警告を再度流している。その犯罪手口の具体的内容は本文で述べるが、本年5月30日、米国のサイバー犯罪に関する苦情申立窓口機関であるIC3(Internet Crime Complaint Center)は米国やカナダにおけるレヴェトンの手口を詳しく紹介した。

 一方、ほぼ同時期の2012年5月、セキュリティ専門会社であるトレンドマイクロの研究員はPC破壊工作ウィルスソフトを法執行機関の警告メッセージで始まることから「警察をかたるトロイの木馬(Police Trojan)」と名づけた。

 この“Police Trojan”」は2011年に西ヨーロッパのドイツ、スペイン、フランス、オーストリア、ベルギー、イタリアや英国のユーザーをターゲットとして広がった。

 本ブログは、同犯罪の手口の内容や新規手口を紹介するとともに、そのような勧誘ウェブサイトに遭遇したときにユーザーが被害者にならないための留意事項を述べておく。

1.ランサムウェアの犯罪手口

 IC3はランサムウェアをもぐりこませるための新しいシタデル・マルウェア・プラットホーム(Citadel Malware platform)「レヴェトン」を認識した。ランサムウェアは不正な自動ダウンロード(drive-by download)の仕組みを用いて犠牲者をダウンロード用ウェブサイトに釣る。そのときにランサムウェアはユーザーのPCにインストールされる。一旦このマルウェアが設定されるとPCはフリーズし、その画面にはユーザーは連邦法に違反したと表示される。そこでは、さらにユーザーのIPアドレスはIC3によりチャイルド・ポルノやその他違法な内容先にアクセスしたと明言する。

 被害者はそのロック状態を解除するため“Ukash”(筆者注2)や“Paysafecard”(筆者注3)というプリペイド・マネーカード・サービスを使って連邦司法省に罰金100ドル(約7,800円)を支払うよう命じられる。

ユーザーのIPアドレスの地理的位置は、どのような支払いサービスが命じられるかを決める。ランサムウェアに加え、シタデル・マルウェアは危険さらされたコンピュータに作用し続け、さらにオンライン・バンキング詐欺やクレジットカード詐欺を犯すときにも用いられる。

2.被害を認識したときのユーザーの対処策

 もしウィルスに感染していると判断されるときは、マルウェアの削除を各地方のコンピュータの専門家に連絡する必要がある。

 そのためには、次のような対処策が考えられる。

①IC3サイト(www.IC3.gov.)に苦情申立するとともに、同サイトで「ランサムウェア」に関する説明の最新更新版を探す。

②マルウェアを削除するため、地方のコンピュータの専門家に連絡する。

③少額といえども、絶対にお金を支払ったり、個人情報を提供しないこと。

④自分でPCのフリーズが解除できたとしても、まだマルウェアが裏で作動しているかもしれないことを忘れないこと。

⑤キーストローク・ログ・プログラムを介して、ユーザー名、パスワード、クレジットカード番号等を得ることが知られている。

3.裏話(補足)

 “Network World”はランサムウェアに関し、次のような記事を補足している。

 2012年2月にIDG News ServiceグループのPCworldは、シタデル・マルウェアの製作者がオープンソース開発モデルを採用したことから急速に広がった旨公表した。シタデルは、最も古くかつ人気が高いオンラインバンキング・トロイの木馬の1つである「ゼウス(Zeus)」をベースにしている。ゼウスは2010年後半に製作者により権利放棄され、そのソース・コードはその数ヵ月後にオンラインで漏えいした。公共の場にリリースされた後、ゼウス・コードは“Ice Ⅸ(Ice 9)”(筆者注4)や「シタデル」等他のトロイの木馬の開発の基礎となっている。
 したがって、親マルウェアと同様にシタデルは犯罪違法クライムウェア・ツールキット(crimeware toolkit)は 闇市場において売買されている。このツールキットを用いて詐欺師は彼らのニーズ、コマンドやコントロールインフラ等に関しカスタマイズ設定が可能となる。


(筆者注1) トレンドマイクロ・Security blogの説明から一部抜粋した。その他の解説としては次のようなものもあげられる。

「ランサムウェアとは、マルウェア(悪意のあるソフトウェア)の一種で、ユーザーのデータを「人質」にとり、データの回復のために「身代金」(ransom)を要求するソフトウェアのことである。

 ランサムウェアの多くは、トロイの木馬としてパソコン内部に侵入し、勝手にファイルを暗号化したり、パスワードを設定したりして、正常にデータにアクセスできないようにしてしまう。ユーザーがデータにアクセスしようとすると、アクセスが不可能になっていることを警告し、正常にアクセスできるよう復元する(復号鍵やパスワードを教える)ための対価として、ユーザーに金銭を支払うように要求する。」(IT用語辞典バイナリから抜粋)

(筆者注2) “Ukash”はオンラインショッピングを現金決済できる、引換券形式の支払いシステムです。Ukash引換券は、認可された店舗にて、現金やその他のクレジット形式にて購入することができます。Ukash引換券はヨーロッパの何千という店で購入することができます。(NETELLERサイトのFAQ解説から一部抜粋)

(筆者注3)“Paysafecard” は、オンライン ショッピング用のプリペイド カードです。このカードを使用することで、カード保有者は安全かつ簡単に決済を行うことができます。カードは、たばこ屋、ガソリンスタンド、家電販売店、指定のインターネット カフェで容易に購入できます。個人情報、家計の状況、銀行口座、クレジット カード番号などの質問に回答する必要はありません。(E-cash directサイトの解説から一部抜粋)

(筆者注4) Ice 9は、メモリ常駐型のファイル感染ウイルスで、「.COM」ファイルに感染するが、COMMAND.COMには感染しない。 感染すると、Ice 9ウイルスは、1,136バイトの終了後常駐型(TSR)プログラムとして、低位のシステムメモリに常駐するようになり、割り込み21をフックする。また、いったんメモリに常駐すると、「.COM」ファイルが実行されるか開かれた場合に、そのファイルに感染する。(McAfee の解説から一部抜粋)。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.



2012年9月23日日曜日

米国大手銀行等に対するイランが後ろ盾のサイバー攻撃やイスラエルの銀行等に対する攻撃とその対応問題







 

米国の「イスラム教徒の無実(The Innocence of Muslims)」フィルム問題に端を発したイスラム教の国々の反発はドイツやフランス等にも急速に拡大している。

 このような政治環境のもとで米国の大手銀行やニューヨーク証券取引所等に対するサイバー攻撃が行われた旨、連邦議会上院ジョー・リーバーマン(Joe Lieberman)元議員(コネチカット州選出:元上院国土安全保障・政府問題委員会(former Senate Committee on Homeland Security and Governmental Affairs)の委員長:2013年1月に議員を退任している )が9月21日、議会中継CATVサイトである“C-SPAN”(筆者注1)の“newsmakers”(主要メディア別のインタビュー記録)で述べた内容である。また、この問題は、米国サイバー・セキュリティの専門家の指摘や金融サービスの安全性に関する格付け機関も脅威レベルを引き上げるなど多くの関係機関を巻き込んでいる。

 このインタビューにつき逐次解説するのは、筆者の語学力から見てあまりにも負担が大きいのでダラス・ニュース(Dallass News)の記事をここでは引用する(この記事の内容を良く読むと、サイバー攻撃を行っているのはイランだけではない。米国やイスラエルも“Stuxnet”を使ってのサイバー攻撃を仕掛けており、ある意味で「サイバー戦争」のやりとりを垣間見ることが出来る)(筆者注2)
  なお、“Voice of America”は連邦議会上院が9月22日、米国上院はイランが核兵器を開発するのを止めるため、米国の努力を再び決意する決議を圧倒的賛成で承認した旨報じた。

 上院の土曜日の決議は、土曜日に内容は軍事力使用の許可または宣戦布告と解されるべきでない法的拘束力がない手段(no-binding measure)であるが、賛成90(反対1)の投票で支持された。この決定は前記リーバーマン委員長のイラン告発の1日後となる。

1.イランのサイバー攻撃の実態

(1)リーバーマン議員の説明の概要を引用しておく。なお、補足説明すべき点があるので筆者の責任で適宜注記せずに補足した。

イラン革命防衛隊(Revolutionary Guard)の精鋭特殊部隊「Quds Force」が今週、米国のJPMorgan Chaise & Co.やBank of America等に対する攻撃を仕掛けた。これらの行為は単にハッカーの仕業ではなく自身がサイバー攻撃の展開能力を持つ「Quds Force」が行っていると思われる。同サイバー攻撃は核兵器の製造能力の開発を阻止するため米国主導で行った経済制裁に対する措置として行われた可能性がある。イランは、米国やイスラエルが“Stuxnet”として知られているマルウェアを利用して核開発計画を故意に妨害したと非難した。

なお、JPMorgan やBank of Americaの責任者はリーバーマンの発言につき、コメントを避けている。また、FBIスポークスマンのポール・ブレッソン(Paul Bresson)、ホワイトハウス国家安全保障会議のスポークスウーマンのケイトリン・ヘイデン(Caitlin Hayden)さらに国土安全保障省のスポークスマンであるピーター・ボーガード(Peter Boogaard)はコメントを断っている。(筆者注3)

(2)一方、ヴァージニア州アーリントンに本部を置くグッド・ハーバー・コンサルテイングLLCヤコブ・オルコット(Jacob Olcott)は、「米国とイランはますますサイバー攻撃の破壊的やり取りという危険を冒しつつある。また、攻撃に取り組むことの問題は、誰が仕返しを行ってくるか決してわからないという点である。イラン人は彼らに対し攻撃を行った国に対し報復を欲することは驚くにあたらない。」と述べている。

(3)米国の基幹インフラである金融機関のサイバー・セキュリティやその脆弱性に関する情報を共有すべく設置された「Financial Services - Information Sharing and Analysis Center 」は、9月19日、最近の最新情報「Current Financial Services Sector Threat Levels」でCyber Threatについて「High」に引き上げ警告を鳴らした。(筆者注4)

(4)米国のイランに対するサイバー攻撃や米国の当局の見方
2010年にマルウェアStuxnetは、イランのコンピュータシステムや以前はうまく機能していた遠心分離装置を破壊した。2012年5月に、イランは今までで最も複雑なサイバー脅威とされる“Flame”を防御するツールを開発したと報じた。(筆者注5)

また、7月にはイランの核施設はコンピュータをシャットダウンさせて、かつロックバンドの音楽を演奏させるといったサイバー攻撃を受けた。

NBCニュースは、9月16日の週にDHSの官吏は銀行の対するサイバーDOS攻撃の背景にイラン政府があると特定できなかったと述べたと報じた。すなわち、そのような攻撃は極めて初歩的なコンピュータへの不正アクセスであり、誰でも可能であるとの理由である。

2.イスラエルの大手銀行に対するサイバー攻撃の実態と対応

2012年5月20日付けのイスラエルのメディアHaarez Onlineはイスラエルの中央銀行(Bank of Israel)がサイバー戦争の専門家を探しているという記事を掲載した。その同行における監査部門の新たな任務と責任は、サイバー戦争やテロから銀行の重要基盤を守るためのガイドラインの策定、そのモニタリングや潜在的な脅威を特定することである。

その専門家は国家情報セキュリティ庁および新たに民間銀行のコンピュータ部門の監督機関となる「国家安全庁(Shin Bet security Service)」(イスラエルの防諜および国内保安担当機関)(筆者注6)と緊密に連絡を取ることになる。


(筆者注1) C-SPANのNewsmakerサイトの右側でvideo playlistでLiebermanを選ぶと、Bloombergの記者によるインタヴュー・ビデオに繋がる。

(筆者注2) http://www.tanakanews.com/120608cyberwar.htm
2012.6.8 ブログ田中 宇「ウイルス『フレーム』サイバー戦争の表と裏 」やや内容の信頼性に問題はあろうが、詳しい。

(筆者注3) 連邦議会における官民の重要インフラ資産保護強化に関する法案につき最近数年間多くの法案が上院の国土安全保障・政府問題委員会等で論議や聴聞会が開催されている。その詳細については同委員会のサイトを見てほしい。これに関しては、ホワイトハウスのスポークスマンのケイトリン・ヘイデンは「意図的攻撃が新しい立法に対する感謝をすべての上院議員に提供することを意図する場合、それは、米国政府がサイバー攻撃に防いで、よりすばやく応じるのを助けることになろうと述べ、また上院は合衆国の重要インフラネットワークに対する仮定したサイバー攻撃に対する機密の打ち合わせを受けることになろうと言い足している。

(筆者注4) “Financial Services - Information Sharing and Analysis Center”(FS-ISAC) は1998年の大統領令(Presidential Directive 6)に基づき設立された。さらに同指令は2003年の国土安全保障に関する大統領令(Presidential Directive 7)により改正された。この指令は、米国の公的部門や民間部門の基幹部門の重要インフラの保護を支援すべく物理面ならびにサイバー・セキュリティの脆弱性の情報の共有が義務化されたものである。FS-ISACは金融サービス事業者、商業警備会社、連邦や州や自治体の機関、法執行機関、その他信頼性の高い機関から情報をタイムリーに収集している。

(筆者注5) “Flame”に関しては、欧米一般メディアも取り上げている。The RegisterBBC AFP等である。

(筆者注6) イスラエルのメディアHaarez Onlineの記事では、民間銀行や中央銀行はShin Betの権限拡大には海外投資家が逃げるなど当初反対が強かったが、イスラエルの銀行監督機関とShin Bet協議を進め、国家としての重要性から前向きに検討が行われる一方で、5月にはパレスチナ自治区、シリア、イランやその他中東、ヨーロッパで政府機関を明らかに狙い撃ちする先駆的コンピュータウィルス“Flame”が現れたことが報道された。2011年にイスラエルはサイバー攻撃にさらされ、例えばサウジアラビアのハッカーが約15000のイスラエルのクレジットカード番号をオンライン上に掲示した事件がある。イスラエルの3つのクレジットカード会社(Isracard、Leumi CardoおよびCal)はすべて銀行保有であることから、この攻撃は銀行に対するものといえる。この攻撃の間、ハッカーは証券取引所やエル・アル航空など基幹ウェブサイトを閉鎖に落とし込んだ。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.





2012年9月20日木曜日

米国FBI等がソーシャルメディアを悪用したギャング・グループによる少女売春を厳しく訴追した事案













 米国だけでなく世界中の国で子供からソーシャル・ネットワーク・サイトを介した被害の防止が最大の課題となっていることはいうまでもない。

 今回のブログはこのほどFBIが中心となって実施した女子高校生を標的として潜在的売春被害者を漁るべくヴァージニア州のストリート・ギャング・グループが行った性犯罪行為の取締りの実態を紹介する。(筆者注1)

 筆者がこの問題にこだわるのは、わが国も含めソーシャル・ネットワークのあり方に関する十分な啓蒙活動が行われていない現実を改めて考える機会を提供したいと考えた結果である。

 したがって、今回のブロでは連邦司法省ヴァージニア東部地区連邦検事局(Eastern District of Virginia )および9月14日のFBIのリリース内容の概要を紹介するとともに、そこで指摘されている両親等保護者が子供のSNS利用に関する日常的な監視のあり方等留意すべき点をFBIの資料をもとに整理する。

1.事件の概要とFBIの対処内容

(1) 連邦司法省ヴァージニア東部地区連邦検事局が2012年3月29日にリリースした犯罪手口の概要は次のとおりである。

○ヴァージニア州フェアファックス郡(Fairfax County)の本拠地を置く“Underground Gangster Crips”(筆者注1)の5人が女子高校生をソーシャル・ネットワークや学校を通じて募り、暴力で恐喝し買春ビジネスを経営していたとして逮捕、起訴された。また、今回を含め2011年以来現在進行中の捜査の一部として未成年の性売買に関し地域のギャング11人を告発した。

この犯罪の捜査の中心的役割を担ったヴァージニア州東部地区担当連邦検事ニール・H.マクブライド(Neil H.Macbride)は、「若い少女の性売買は言うに耐えないトラウマを引き起こす不道徳な犯罪である。これらギャングのメンバーは多くのエリアで女子高校生は堕落した買春の世界に釣り込み、契約書により性的奴隷として拘束するため暴力や脅迫を行った。」と述べている。

○刑事告訴の宣誓供述書(Criminal Complaint Affidavit)(筆者注2)によると、今回の犯罪の主犯はUnderground Gangster Cripsのリーダーであるジャステイン・ストルム(Justin Strom:26歳)通称“Jae”または“J-Dirt”である。被告等は売春婦として働かせるため10代の少女を誘い込んだ。被告等は、学校やフェイスブック、無料の出会い系サイト“DatHoolUp.com”その他ソーシャルネットワーキング・サイトを通じて被害者たる少女の美貌を利用して、買春を介した金儲けを勧誘した。さらに共謀メンバーは、バス停や駅等で少女に近づき買春ビジネスの勧誘を行った。

 本捜査が2011年に始まって以来、16歳から18歳の少なくとも10人の女子高校生が潜在的被害者として特定され、彼女等は売春婦として働き出す前に「適性検査(try out)」や「手ほどき(initiation)」と称して共謀メンバーとセックスを強制させられた。その際、違法薬物やアルコールが提供された。

○同供述書によるとストロムと他の共謀者は「クレイグス・リスト(craigslist.org)」(筆者注3)や買春系ウェブサイト“Backpage.com”(筆者注4)に広告を出した。ストロムは顧客の「In-callサービス(買い手がService Provider(つまり売春婦のこと)の元に出向いてサービスを受けるもの)」を担当していた。すなわち、ストロムはクライアントがセックスを行うことに関し、自身の家の使用を許した。アパートやタウンハウスの顧客を集めてドアツードアで顧客を勧誘する方法をとり、ストロムや仲間はその近隣の車の中で監視していた。

 仮に少女等が言うことを聞かなかった場合、多くの犠牲者は暴力で脅迫された。この中にはストロムによりレイプされ、その後見知らぬ14人の男と性交渉させられた1人の被害者が含まれる。ストロムはクライアントから約1,000ドル(約77,000円)を受け取っていた。

ストロムと3人の共犯は共謀して年少者を搬送し商業性行為を行わせたとして、有罪となる場合、最高刑では終身刑となる。

○共犯者は次の3人である。
・マイケル・タヴォン・ジェフリーズ(Michael Tavon Jefferies)は、ヴァージニア州のウッドブリッジ住で21歳である(通称Loc)。事業の資金管理を担当するとともにボディガードと運転手を担当していた。ビジネス中は武器を搬送も行っていた。2012年3月27日の夜に逮捕された。

・ドニエル・ドーヴ(Donyel Dove)は、同州アレキサンドリア住で27歳である(通称Bleek)。少女等の売春時のボディガードと搬送を担当していた。2012年3月28日の早朝に逮捕された。3月24日より前にウォレン郡で別事件で逮捕され現在は州刑務所に収監されている。

・ヘノック・ギール(Henock Ghile)は同州スプリングフィールド住で23歳である(通称Knocks)で顧客の予約場所に少女らを搬送していた。2012年3月28日の早朝にストロムとともに逮捕された。

(2)事件は2012年3月までの3年間、ヴァージニア州の町のギャング(Underground Gangster Crips(筆者注1):UGC)の違法行為に関する両親等による厳しい監視の結果に基づくものである。州や連邦の複数の捜査機関による捜査の後、全部で5人の被告が性的人身売買の共謀(sex trafficking conspiracy)に関する連邦法違反を理由とする告発につき有罪答弁(pleaded guilty)を行った。

 この結果、この町のギャングのリーダーであるジャステイン・ストローム(Justin Strom:27歳)は9月14日の判決では40年の拘禁刑を、また残りの4人については合計で53年の拘禁刑が言い渡された。

2.ソーシャルネットワークサイトから子供を保護するには
FBIのアドバイスは次のような内容である。

①オンラインやオフラインで食い物にされる危険性について子供と話し合う。

②あなたの子供のプライバシー保護設定が確実なようにすること、さらに子供が現住所、電話番号や社会保障番号等の機微情報の提示に十分注意すべき点に留意させる。

③あなたの子供のオンライン友達が誰であるかを確認すること。個人的に良く知っている友達からの要請のみ受けいれるようにアドバイスする。

④10代の子供がオンラインで行っていることは常に正直であるというわけでないことを正しく理解する。例えば、ある者につき両親には「友達」というが、別のオンラインでは両親に隠すスペースを確立させる場合がある。

⑤両親が近くにいると子供は次のようなインターネット・スラング(internet language)を使う。例えば、“ PAWor PRW”(Parents are watchingの略)、“PIR”(Parents in roomの略)、“POS”(Parent over shoulder「肩越しに見ている」の略)、“LMRL”(Let’s meet in real life:「実際に会いましょう」の略)


(筆者注1) 調査報告「海外風俗事情~アメリカ合衆国編~」by ヘンケン・ベッケナー氏の記事を見つけた。かなりストレートな説明内容であるが本ブログを読むのには参考になる。特に、「エスコート・サービス(Agencyによる派遣):一番無難とされているのがエスコート・サービス(我が国でいうところのデリヘルサービスであるが本番がデフォルト)のこと。なんらかのAgencyが関与する形態をいいます。IncallとOutcallの2種類のタイプがあり、Incallは買い手がService Provider(つまり売春婦のこと。略してSPという。)の元に赴いてサービスを受け、OutcallとはSPが客の家や宿泊先に来てくれるというもの」の部分を参照されたい。

(筆者注2)“Crips” とは簡単に言うと、1960年代後半にロスアンゼルスで若いアフリカ系アメリカ人が中心となって組織化された“street gang”の別語で最も暴力的でかつ違法性の強い活動を行っていたのであるが、その後、他の民族が加わりさらに対抗する“Blood”が組織化されるなど、これらは日本人は理解できまい。多様な人種からなる米国のアンダーグラウンドの世界を一言で言い表すことは難しい。ここでの詳しい説明は省略するが、米国の“gang”に関する体系的解説としてはFBIがまとめた「2011年全米ギャングにかかる脅威調査―最新動向(2011 National Gang Threat Assessment – Emerging Trends)」が最も体系的かつ新しい内容と思う。また、スタンフォード大学がまとめた解説「Los Angeles Crips and Bloods: Past and Present」も参考になる


(筆者注3) 「宣誓供述書」とは、通常は、法律により宣誓(oath)を行わせる権限を与えられた者の前で宣誓の上作成した陳述書をいう。より正確に言うと、「逮捕する相当な理由にかかる宣誓供述書とは、裁判官がなぜ逮捕や家宅捜索令状に承諾すべきであるか、または進行中の犯罪の間にされた逮捕が、いかに検挙者が犯罪を犯しそうだった人であるという確実な証拠に基づいたかという事実上の正当化について説明する司法警察官によって通常作られる書面をいう(An affidavit of probable cause is a sworn statement, typically made by a police officer, that outlines the factual justification for why a judge should consent to an arrest or search warrant or why an arrest made during a crime-in-progress was based on solid evidence that the person in custody is the person who is likely to have committed the crime. )」。

(筆者注4)クレイグス・リスト(craigslist.org)は、米国、カナダや欧州で行われている各種の個人売買やら取引などを掲載している巨大オンライン掲示板である。

(筆者注5) 2012年5月22日の米国メディア「スーパーテレグラフ」が報じたニュースでアメリカで売春の囮捜査をやっていた警察の網に、よりによって49歳の新聞社の役員(トッド・R・コイテ:Todd R. Keute,)が引っかかってしまい、逮捕されました。裁判となり、執行猶予刑の判決が下されました。ザ・レイク・スペリオール・麻薬ギャング対策班は11月8日に、次のような広告をwww.backpage.comという売春系ウェブサイトに載せました。「セクシーな22歳のブロンド娘を味わってみませんか」(“Put me ur TO DO list, sexy blonde, 22.”)。そこに引っかかったのがコイテ被告とのことである。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.





2012年9月16日日曜日

米国連邦預金保険公社が行った第2次非銀行取引世帯調査結果と米国の経済弱者支援強化に向けた更なる課題








 本ブログでは、2010年5月15日付けで「米国の低所得者給付金支払デビット・カード化完全移行と銀行非取引世帯救済対策の現状と課題」と題するレポートを掲載した。


 この中で紹介した連邦預金保険公社(FDIC)が連邦商務省国勢調査局(U.S. Census Bureau)に委託し2009年1月に実施し、その結果を同年12月に還元した「全米銀行口座非保有世/帯追加調査(2009 FDIC National Survey of Unbanked and Underbanked Households)」につき、このほど2011年6月に実施した第2次調査結果(2011 FDIC National Survey of Unbanked and Underbanked Households )が公表された。(筆者注1)
 米国連邦政府(オバマ政権等)が従来から取り組んできた経済弱者の銀行取引開始に向けた諸施策については前記ブログで詳しく述べたが、米国経済の活性化の金融面からの支援やその効果が本物か改めて問う意味で今回の調査結果および“Economic Inclusuion gov.”の最新動向を概観するものである。 

 なお、2010年5月の本ブログでは必ずしも詳細に説明していなかった、銀行口座非保有世帯の定義等調査の正確性にかかわる用語について補足的に解説を加えた。

1.「2011 FDIC National Survey of Unbanked and Underbanked Households」の概要

 2011年6月にFDICは第2次となる「全米銀行口座非保有世帯調査」を後援した。同調査は米国内の銀行口座非保有世帯数、人口統計学特性(demographic characteristics)および非銀行取引である理由等に関するデータを収集した。この調査は連邦商務省国勢調査局が人口現況調査(Current Population Survey:CPS)の補足調査として行われた。

 富裕層や地理的データはCPSを通じて条件つけられ、本調査以前は不可能であった非銀行取引世帯につき全米、州および大都市統計圏(large metropolitan statistical area:MSA)レベルで利用可能となった。

2011年の調査結果に見る総合的に見た主要なポイントは次のとおりである。

①全米の世帯のうち8.2%は非銀行取引世帯である。これは全米で見た場合12世帯中1世帯にあたり約100万世帯である。

②非銀行取引世帯数は2009年の前回調査に比して微増している。推定で0.6%増は82万1000世帯を表す。

③全世帯の20.1%が“underbanked”である。これは5世帯に1世帯が該当することを意味し約2400万世帯に当たる。2011年調査の“underbanked”世帯数は2009年調査比で18.2%増となるが、2つの調査内容が必ずしも同一でないことからその割合は単純比較できない。

④29.3%の世帯は貯蓄口座を保有しておらず、また約10%の世帯は当座預金口座を保有していない。一方、約3分の2の世帯は当座および貯蓄口座の両方を保有している。

⑤全世帯の4分の1の世帯が過去1年間も少なくとも1回AFS商品を利用し、また10世帯に1つは2回以上AFS商品を利用している。全体的に見て、12%の世帯がこの30日以内にAFS商品を利用し、その10世帯に4世帯は非銀行取引世帯であった。

 なお、完全な報告書(全155頁)のURLは次のとおりである。
http://www.fdic.gov/householdsurvey/2012_unbankedreport.pdf
2.FDIC“Economic Inclusuion gov.”の最新動向

 同サイトを改めて見ておく。特徴的な点は次の内容である。いずれにしてもFDICは金融に関する多様な教育・啓蒙活動に積極的に取り組んでいる事実は理解できよう。

(1)全米規模、州別、4地区別、MSAに分けてそれぞれの調査結果の詳細が見れる。

(2)全世帯に対する銀行取引の位置づけや“underbanked”“unbanked”等の割合が一覧で見れる。

(3) 2011年調査で初めて当座預金口座や貯蓄口座の所有形態と割合につき調査を行った。当座預金口座を保有する世帯は88.5%であり、貯蓄口座は69.2%と当座取引より一般的でなかった。さらに貯蓄口座に関してみると完全な銀行取引世帯では78.4%保有である一方、非取引世帯(underbanked)では67.8%であった。

3.国勢追加調査にかかる用語解説

 わが国ではほとんど詳しく解説されていない用語が多く、また金融専門用語に関しても同様といえる。ここではFDICの“Economic Inclusion.gov”のGlossaryに基づき出来るだけ正確な内容を理解できるよう工夫してみた。いずれにしても、従来から指摘されているとおり、米国の消費先行型の金融システムの抜本的改革は喫緊の課題といえよう。

①“Unbanked ”:世帯内のいずれも銀行等の当座預金口座や貯蓄口座を保有しない場合

②“Underbanked”:世帯内に当座預金口座や貯蓄口座を保有しているが、実際は代替の金融サービス、すなわち(1)ノンバンクが発行するマネー・オーダー(要求定時払いで一定金額を受け取ることを指名された個人や団体に与える銀行や郵郵便局やその他機関が発行する証書。そのメリットの1つはプリペイドであることからパーソナル・チェックより信頼性が高いことが挙げられる。その発行には小額の発行手数料がかかる。国際送金等でも利用される。)、(2)ノンバンクの小切手現金化サービス、(3)ノンバンクの送金(non-bank remittances)、(4)ペイディ・ローン(payday loans:極めて高利の消費者金融をいう。経済弱者を対象とし、また各種法規制を掻い潜る商法が大きな社会問題となっている)(筆者注2)、(5)レント・ツー・オウン契約(rent-to-own agreements):消費者と売り手の間で消費者が定めた期間の間に家具、電化製品や器具や他の商品を賃借できる合意契約をいう。消費者は、単に1週間や1カ月等と同じくらい短い予め定めた期間内に周期的にレンタル料金を支払う責任が生じるが、消費者はその更新するのを選ぶなら、その継続をなしうる。また、一時払い金を支払うことによって賃借された商品を購入する機会を消費者に提供する。同契約は、高価な商品等につき頭金なしに即座に使用できる機会を信用度の低い消費者に許容するので、人気がある。ただし、消費者は買った金額の2倍になるレンタル料を支払うといった問題も指摘されている)、(6)質屋(pawn shop)、(7)税還付見越しローン(refund anticipation loans:米国商事改善協会(BBB)はペイディローンと同様に50~500%の高利な短期貸付であり、貸し手は管理手数料を隠蔽したりしており、また還付金計算が誤っていたときは借り手は罰金や手数料を支払わねばならない旨警告している。なお、2010年の本ブログで述べたとおり、2011年から連邦税課税庁(IRS)は銀行口座を保有しない納税者への還付方法としてプリペイドでビットカードを選択できるようにした)、を過去12ヶ月間に1回利用した場合。

③「代替的金融サービスプロバイダー(Altenative Financial Services (AFS)Providers)」:
 連邦政府による保険で保証される銀行や信用組合以外の金融サービスを提供する多くの機関をさす。具体的には小切手割引業者(Check-cashing outlets)、送金業者(money transmitters)、ペイディ貸金業者(payday lenders)、質屋、レント・ツー・オウン・販売店(rent-to-own stores)等はすべてAFSと呼ぶ。


(筆者注1) FDICが今回行ったリリース文に誤りがある。第1次調査の実施時期は2011年1月とあるが、正しくは「2009年1月」である。筆者は別途FDICの担当者に訂正依頼文を送った。

(筆者注2)ペイディ・ローンの例として、米国ではいわゆる(AFS)だけでなく、アラバマ州に本部を置く地方銀行「リージョンズ・バンク(Regions Bank)」が2011年5月以降、年利365%の高金利を当然としているペイディ・ローン類似商品(商標名:Regions Ready Advance)を持ち出した融資姿勢の問題を、全米規模のNPO団体“Center for Responsible Lending”が10月7日のブログなどで取り上げている。8月31日の「WRAL .com」の記事や9月19日付けの 「Newsobserver.com」の記事http://www.wral.com/news/state/nccapitol/story/11493239/が詳しい。

 また、ノースカロライナ州司法長官ロイ・クーパー(Roy Cooper)は他州司法長官40名とともに消費者保護に危害をあたえるペイディ・ローン問題への対処法案にかかる共同意見書を提出している。

 この問題は、本来的には金融機関監督規制法である「グラム・リーチ・ブライリー法(GLBA)」の第731条に絡んだ複雑な問題を抱える。わが国でこの問題を正面から解説したものは皆無である。詳しくは別途、本ブログで解説する予定である。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年9月13日木曜日

米国連邦商務省国勢調査局が実施する「2012年経済国勢調査」の意義とわが国ビジネス等にとっての研究課題



 わが国の製造・サービス産業等にとって米国市場は海外進出の観点から見た最大のビジネス目標であることはいうまでもなかろう。広大な国土を持ち異なる商習慣や制度等を持つことからビジネス展開の在り方研究はわが国の関係業界にとって極めて重要な経営課題である。

このような観点から考察する上で重要な情報源といえるのが、5年ごとに連邦商務省国勢調査局が実施する「経済国勢調査(Economic Census)」である。

 今回のブログは、わが国で行われている詳細な情報分析の前提となる米国の産業・経済分析の実態を正確に理解する意味で重要な意義をもつ「経済国勢調査」に連邦政府がどのように取り組んでいるかにつき概観する。

 なお、2012年3月に日本貿易振興機構(ジェトロ)が「米国有望製品・サービス市場調査 ~米国市場を目指す日本企業の取り組み事例~」9/12⑥を公表している。本資料は、2011年1月~2012年3月にかけて、ジェトロが発行する世界のビジネスニュース日刊通商弘報に掲載された企業などの対米展開事例集である。全316頁にわたる大部な資料であるが、その解析内容は極めて意味のあるものといえる。(筆者注)

1.「2012年経済国勢調査」実施の概要

 本調査は合衆国法典第13編「国勢調査」(Title 13,U.S.Code)9/12⑦に基づき義務化されているもので、約400万社以上の企業が対象となる。2012年10月以降に大中企業は最小規模の企業に送られる記載見本と同様の記入用紙を受け取る。なお、記入回答方法は紙または電子的報告による選択肢が用意される。

本調査結果は、2013年2月12日に還元される。

2.経済国勢調査に向けた国勢調査局の対応・準備

 同調査局は2012年9月10日、経済国勢調査の実施促進目的で“business census.gov”サイト9/12③を立ち上げた。同サイトは商業組合、商工会議所、メディア、公的機関が公表するために使用できるようビデオ、概要説明、物語性を持った考えおよび多くの人が関心を寄せるであろうポイントを含む。また、地域コミュニティや企業のオーナーに対する経済発展、経営意思決定および戦略計画立案等を提供する情報をも提供する。

 さらに、同サイトは特定の産業分野のビジネスに合致した形での情報資産を提供する。これら情報供給資産の1つである“business.census.gov/franchising.”9/12④は米国内の300以上のフランチャイジィング産業のビジネスをカバーする。

同時に、本サイトは各企業が2012年秋の調査対応を準備すべく経済国勢調査にかかる書式のサンプルへの直接リンク可能である。

 さらに、前回調査である「2007年経済国勢調査」からフランチャイズに関する包括的報告のハイライト部分および国際フランチャイズ協会代表取締役Stephen J. Caldeira 9/12⑧のビデオメッセージの閲覧も可能である。

3.経済国勢調査の意義と目的

 経済国勢調査は経済指標の基本的構成要素となる正確な評価基準(ベンチマーク)である国内総生産(GDP)、月間小売売上高(monthly retail sales)および生産者価格指数(Producer Price Index)等を提供する。また、同調査は米国における民主主義を形成するものとして州、地方政府、連邦議会やコミュニティのリーダーにとっての決定にかかる詳細な情報を提供する。



(筆者注) これらの業種についてまとめるに当たり、同報告書では地域区分として、「全体」には米国全体につき、「地域」には原則として米国国勢調査(Census)が利用している次の4地域区分を採用している。(1)西部地区(West):人口 7,157万人(米国全体の23.3%) GDP 3兆4,420億ドル 1人当たりGDP 4万8,000ドル 、(2)南部地区(South):人口 1億1,332万人 (米国全体の37.0%) GDP 4兆8,553億ドル 1人当たりGDP 4万2,800ドル 、(3)北東部地区(Northwest): 人口 5,528万人 (米国全体の18.0%) GDP 2兆8,764億ドル 1人当たりGDP 5万2,000ドル 、(4) 中西部地区(Midwest):人口 6,684万人 (米国全体の21.8%) GDP 2兆8,539億ドル 1人当たりGDP 4万2,700ドル 。


********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年5月10日木曜日

米国連邦取引委員会がプライバシー保護面からビジネス業者が取るべき要求事項や立法措置に関する最終報告書を公表



全米にわたるプライバシー・ポリシーと法執行に係る中心的規制・監督機関である連邦取引委員会(FTC)は、2010年12月1日にプライバシー保護面からビジネス業者が取るべき実践要求事項に関する報告書草案を公表していたが、2012年3月26日、広く関係者からの意見等を踏まえた最終報告書「急速に変化する環境下におけるプライバシー保護:ビジネス界および連邦議会への勧告(事務局案)(Protecting Consumer Privacy in an Era of Rapid Change:Recommendations for Businesses and Policymakers)(全112頁)」を取りまとめた旨、リリースした。

筆者は、2010年12月31日の本ブログでこの報告書問題を取り上げた。当時の準備報告書の英文タイトルは“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Business and Policymakers ”であった。その後も、2012年に入りGoogleの新プライバシー問題やEUの情報保護規則案の公表等、プライバシー保護をめぐる監督機関とマーケティングやIT業界等ビジネス界との鬩ぎ合いはますます混迷の度合いを深めている。

実は、2010年の報告書の取りまとめ目的は、第一に連邦議会に対し、(1)包括的なプライバシー保護立法、(2)個人情報データの安全性とその漏えい時のデータ主体などへの通知義務立法、(3)個人情報のブローカー規制立法に向けた具体的な行動を勧告することにある。また、同時に消費者の個人情報を扱う企業等がプライバシーを保護するために遵守・実行すべき準則・自主的行動基準を明示するものであった。
一方、2012年2月23日のWSJ記事等に見るとおり最近時、連邦政府(ホワイトハウス)、商務省、FTCや連邦議会の具体的な動きの中で、従来消極的であったウェブ運営会社のトラッキング規制への自主的取組みが具体化したことが今回のFTCの最終報告取りまとめの背景にあげられる。

今回のブログは、(1)先の予備的報告書に対する関係先からの各種意見、指摘事項を踏まえ見直し項目や内容、および(2)連邦議会による包括的なデータ主体のコントロール権等を踏まえたFTCが考える保護強化策の内容についての解説である。業界の規制・監視機関であるFTCの政策判断や法執行の詳細は、わが国の保護政策強化等に向けた参考となりうるとの判断でまとめた。
また、併せてウェブ業界が直面するプライバシー面の課題と米国の約400以上の企業、団体が取組みを開始した“Digital Advertising Alliance”のオンライン行動に基づく業界自主規制マーケティング・プログラム等の概要を紹介する。(筆者注)
なお、筆者自身大変気になるわが国のウェブ広告業者における「行動ターゲティング広告の説明と無効化」手続きについて「楽天」グループを例に最後にまとめて説明する。
 

1.FTCの意見公募結果等に基づく準備報告書の見直しの概要
  最終報告書は、準備報告書(preliminary staff report:2010年12月公表)の勧告内容に関し450以上にわたる関係先からのコメントに基づき取りまとめた点は特記すべきである。すなわち、FTCは2010年12月以降の技術的進歩と産業界の開発に沿い、以下述べる3つの領域で勧告内容を見直した。

(1)ガイダンスの適用範囲の見直し
準備報告書は、特定の消費者、コンピュータやその他の端末に接続する形で消費者情報を収集、使用するあらゆる民間企業に対する規制の枠組み案を適用すべく勧告内容としていた。しかし、中小企業の潜在的な負担を考え、最終報告は年間5,000人未満でしか個人情報を扱わず、かつ非機微情報のみを移送しない会社については枠組みの適用対象外とした。
また、最終報告は、関係機関や個人から指摘された技術進歩に伴い、ますます多くのデータが消費者やコンピュータやその他のデバイスにつき「合理的に考えてリンクされた」の定義を採用して見直した。すなわち、もし会社が非特定化(de-identify)のための合理的な方法を取り、かつ再特定を行わず、また川下の受け手にその内容の再特定化(re-identify)を禁じている場合は「合理的に考えてリンクされた」には該当しないとの結論を下した。

(2)個人情報に関する選択肢の提供時期の明確化
最終報告は、提供会社が消費者に対し、自身の個人情報が使用に関する「選択肢」をどのように、いつ提供するかについてのガイダンスをより明確化した。
その選択肢とは、実務慣行が取引の文脈または企業との既存の関係または法が要求したり、特に承認した内容と合致する範囲を明確化するという意味の選択肢であると明記した。これらの慣行は製品内容の充足と詐欺の阻止を含む。

(3) 個人情報のブローカーに関する重要な勧告内容
最終報告書は、個人情報のブローカーに関する重要な勧告内容を含む。すなわち、データ・ブローカーが消費者の個人情報を買い、集約化し、高額で販売していることに注目した。消費者は自身の情報を利用しているブローカーの存在に気づいていない。このため報告書はこのような取引慣行に透明性を増強するため、次の2つの勧告を行った。
ⅰ)FTCは、データ・ブローカーが保持する情報に対するデータ主体のアクセス権に関する立法措置の優先性をあらためて繰り返した。
ⅱ)データ・ブローカーに消費者が彼らの実践内容とその利用に関する選択権が適切に行使できるよう中央化されたウェブサイトの創設を探求すべく、マーケット目的に関する消費者データを集約化するよう求めた。

2.連邦議会への立法強化の働きかけや業界への指導強化
連邦議会がプライバシー保護立法を検討している一方で、FTCは個々の会社や業界団体が従来実行を伴っていない今回提示したプライバシーの枠組みに含まれる諸原則の採用を迅速化すべく、働きかけてきた。
2013年に向けての過程で、FTCの事務局スタッフは次の項目に焦点を合わせた消費者のプライバシー保護に向けた勧告を実践する予定である。

(1)Do-Not-Track監視制度の構築
FTCは、近年この分野において際立った進展を見たと賞賛している。すなわち、ブラウザ・ベンダーは、すでに消費者による自身に関するトラッキング情報の収集を制限するツールを開発済みである。また、米国の主要なブラウザや検索会社など約400社以上が参加する「デジタル広告連盟(Digital Advertising Alliance:DAA)」は自身のアイコン・ベースのシステムを開発済であり、またブラウザ・ツールを実行すべく取り組んできた。さらにウェブ技術の標準化と推進を目的とした、会員制の国際的な産学官共同コンソーシアム「W3C( World Wide Web Consortium )」は”Do-Not-Track”システムを開発済である。
同レポートは、準備報告書をさらに詳細な内容に昇華させたもので、消費者個人情報を扱う会社等がプライバシー保護のために実装すべき事項として以下の項目の実践を勧奨している。

(2)製品・サービス開発における計画的に実現するプライバシー保護施策(Privacy by Design):会社は製品開発におけるあらゆる段階においてプライバシー保護の手立てを行うべきである。そこでは、消費者の個人情報に関する合理的なセキュリティ対策、限定的な範囲での情報収集と保持、データの正確性の向上のための合理的な手順を含む。

(3)企業や消費者にとっての選択肢の簡易化
企業はどのような個人情報を共有しまた誰と共有するかにつきについて選択の場を消費者に与えるべきである。このことは、”Do-Not-Track” メカニズムは消費者が自身野オンライン活動の追跡をコントロールすることにつき、シンプルかつ容易であることを含む。

(4)より深化した意味での透明性の確保
企業は消費者情報の収集、利用の細部につき開示せねばならないし、また収集した情報につき消費者によるアクセス権を与えねばならない。

3.米国ウェブ企業や業界団体によるトラッキング広告規制に関するマーケティング自主規制プログラムの具体化とその前提となるFacebookやGoogleの和解問題
(1)米国ウェブ企業や業界団体によるトラッキング広告規制の取組み
2月23日、米国の約400以上のウェブ企業や業界団体のからなる自主規制団体“Digital Advertising Alliance”はホワイトハウス、商務省やFTCが取り組んできたオンライン行動情報に基づくマーケティング自主規制プログラムによりウェブのヘッダーでの追跡拒否の選択肢を順次開始すると発表した。
業界の自画自賛的な内容が気にはなるが、いずれにしても規制強化法による監視が予想される中、また1年以上にわたるウェブ業界の強い抵抗にもかかわらず、 2011年11月29日のFTCとFacebookの和解案提示(和解案の原文参照)、GoogleがApple社のウェブ・ブラウジング・ソフト(safari)のプライバシー設定を無効化していた事実を認めたことなど、ユーザーのトラッキング阻止設定の回避機能をめぐる人権擁護団体(ACLU、Consumer Union等)プライバシー侵害論議、さらに“Mozilla”Firefox ブラウザ、マイクロソフトのIE、Appleの最新OS“Mountain Lion”)のようにトラッキング回避のための対抗策が続いて行われていることが背景にある。

(2)DAAの具体的な提案内容
DAAサイトは“White House ,Doc and FTC Command DAA’s Self-Regulatory Program to Protect Consumer Online Privacy: DAA Announces Plans to Expand Program Consumer Choice Mechanisms”という表題で概要次のとおり解説している。

2012年2月23日、デジタル広告業界のリーダーと経済政策担当大統領補佐官のジーン・スパーリング(Gene Sperling)、商務省長官ジョン・ブライソン( John Bryson)および連邦取引委員会委員長のジョン・リーボビッツ(Jon Leibowitz)がホワイトハウスに集い、DAAおよび過去3年間にわたり取り組んできた消費者のための強力なプライバシー保護の重大な進展を褒め称えた。

2009年7月1日、DAAは「オンライン行動に基づく広告活動(Online Behavioral Advertising:OBA)7原則(全48頁)」を導入・実施すべく業界自主規制プログラムを立ち上げた。2010年、DAAは詳細な実務慣行すなわち‘広告Option Icon'を発表・公開した。これは Iconをクリックすることによって、個人は彼らが参加企業から提供される関心テーマ等に基づく広告に関して選択権行使を可能にする明確な「開示説明書」に基づき、消費者による選択権のページにリンクする。

さらに、DAAは消費者がDAA7原則の下で自身の選択の意思を明確に追加的手段としてウェブのブラウザベースのヘッダー操作を追加する旨発表した。

以下で、OBA7原則の内容を概観しておく。
①Education Principle:企業にOBAの意義の周知や選択権等具体的な消費者教育への参加を求める原則である。
②Transparency Principle:OBAに関連するデータ収集と使用に関して明確に消費者に知らせるためには、多重的な展開が必要である。本原則は、ODAにより情報を収集、使用する企業に適用するとともに、ウェブサイト上で集められたデータが第三者において利用されることのウェブ広告上での透明性をもった開示原則である。
③Consumer Control Principle:ユーザーに対し、ODAのためデータを収集するウェブサイト上でODA目的のため非関係会社に当該データを移送することにつき選択権の行使を可能とすべき原則をさす。それらの権利の行使メカニズムについては企業自身のウェブサイトまたは業界が作成したサイト上で提供されるという原則である。

Transparency原則とConsumer Control 原則には、ODAに関与する「サービスプロバイダー」のための別途の条項がある。これらの原則の下でサービス・プロバイダーは、彼らの提供サービスの使用で起こるODAに関して追加的通知を行うとともに、オンライン行動の広告に従事する前にユーザーの同意を得て、その目的に使用されるデータを非特定化(de-identify)するための手続きを用意しなければならない。 さなわち、インターネット・アクセス・サービスプロバイダーやデスクトップ・アプリケーション・プロバイダーがウェブ・ブラウザの「ツールバー」等でその手続きを用意すること等が例にあたる。

④Data Security Principle:ODAにおける情報の収集、使用に対し適切な安全対策を提供するとともに、保有情報の限定的な適用を保証するとする原則である。

⑤Material Changes Principle:ODAを行う企業に対し、彼らのODAに関しその内容の変更前のユーザー同意を得ること、またその変更前に収集した情報についてはより制限的な方針で臨むとする原則である。

⑥Sensitive Data Principle:ODAで収集、使用するデータ処理に関し異なる扱いを求めるものである。すなわち、子供のデータのために児童オンラインプライバシー保護法で詳しく説明された保護処分を適用することによって、高められた保護レベルを高める場合があり、また特定の個人に関する金融取引にかかる銀行口座番号、社会保障番号、調剤の処方箋またはカルテの収集については事前の同意を必要とするという原則である。

⑦Accountability Principle:この原則は、オンライン行動の広告生態系で広範囲の活動する企業が、これらの原則の遵守をより促進するためにポリシーとプログラムを開発、実行するよう要求する。 ダイレクト・マーケティング協会(Direct Marketing Association(3,500以上のメンバーがいる)は、長期間有効な自己規制プログラムと各種原則の統合を示唆してきた。成功した説明責任プログラムの長い歴史の中で、Better Business Bureau Council はこれらの原則に関する周辺的な原則について新プログラム開発ニーズを示唆してきた。


(3)2011年11月29日、FTCとFacebookとの間で行われたプライバシー関係情報に関する合意条項(privacy premises)違反を理由とする和解案の内容
A.FTCのリリース文の概要
ソーシャルネットワーク・サービスを提供するフェイスブックは、11月29日にFTCとの間でフェイスブック利用時において会員の個人情報はプライベートに扱われるが、次には繰り返し第三者により共有されまた広く公開されることを許すという点で消費者をだましたとするFTCの8訴因に基づく告訴にかかる責任につき和解に至った。

(a)FTCの告訴理由
FTCの告訴状による合意条項違反の事例は次のとおりである。

①209年12月、フェイスブックはウェブサイト上で「ユーザーのList for Friend」 というプライベートと指定する一定の情報公表を公開したが、この公開にあたりユーザーへの警告や事前承認を得なかった。
②フェイスブックは、ユーザーがインストールする第三者アプリケーションはアプリの運用上必要なときのみユーザー情報にアクセスすると表示していたが、実際は必要でない場合もアクセスしていた。
③フェイスブックは、限られた読者たとえば「友達のみ(Friends Only)限定」データの共有できると説明していたが、事実上、「Friends Only」を選択しても第三者アプリケーションがその情報を共有するのを阻止できなかった。
④フェイスブックは、「認証されたアプリケーション」または参加する第三者アプリケーションのセキュリティにつき認証されたものに限るとしていたが、事実はそうでなかった。
⑤フェイスブックは、ユーザーの個人情報につき広告主の共有しないと約束していたが、実際はそうではなかった。
⑥フェイスブックは、ユーザーがアカウントを非活性化したり削除したときは彼らの写真やビデオはアクセス不可になると主張していたが、非活性化や削除後でもアクセスは可能であった。
⑦フェイスブックは、米国とEU間情報保護の移送にかかる政府間協定の枠組み(U.S.-EU Safe Harbour Framework)を遵守すると主張していたが、遵守していなかった。

(b)和解案原本 
和解内容の概要は次のとおりである。
①消費者のプライバシーまたはセキュリティに関する不当表示(misrepresentation)の禁止
②消費者のプライバシーの優先度の変更に伴い変更の実施前にそのことを肯定する消費者の同意の意思を得ること
③ユーザーが自身のアカウントの削除後、30日以降のユーザーの資料にかかるアクセスを阻止すること
④新規ならびに既存の製品やサービスにかかるプライバシー・リスク・プログラムの構築する包括的プライバシー・プログラムの確立と維持、および顧客情報に関するプライバシーと信頼性の保護を求めること
⑤本決定の180日以内にかつ今後20年以上2年ごとに独立した第三者機関によるFTCの保護命令を満たすまたはそれ以上であることの認証を求めること

これらのFTC命令は命令の遵守記録のモニタリングを認める標準的記録保存規定を含む。

4.楽天グループの例における「行動ターゲティング広告」の説明および無効化手順の説明
(1)楽天スーパーDBターゲティング広告の説明と無効化手順
最長1年間蓄積した消費者のアクセス情報に基づく最適広告配信サービスである。当広告の無効化手続きは「無効化(オプトアウト)」ボタンをクリックする。

(2)楽天オーデエンス社技術に基づくターゲティング広告と無効化手順
最長1年間蓄積した消費者のアクセス情報に基づく最適広告配信サービスである。当広告の無効化手続きは「無効化(オプトアウト)」ボタンをクリックする。

(3)楽天モーションウィジェットの「おすすめ商品」設定と無効化

*******************************************************************************************************


(筆者注) 米国商務省、FTC等の米国におけるトラッキング情報に基づくマーケティング活動につきプライバシー保護面等からみた問題を解説したブログとして3月28日のブログ:吉野内 崇「FTCが新プライバシー・ポリシーを発表。年内に行動データ収集をユーザが拒否できる機能追加を約束」を読んだ。在カリフォルニアのコンサルタントである筆者によるもので、最新情報として内容がよくまとめられていると感じたが、基本的に疑問な点がある。
「米連邦取引委員会(FTC)は、3月26日、インターネット上の行動データ収集に関する新たなプライバシー・ポリシーを発表した。今月から施行されたグーグルの新プライバシー・ポリシーへの賛否が全米で議論されている中、ユーザ側に立ったプライバシー・ポリシーの導入と順守を関連企業に求める内容となっている」
同ブログでは、このFTCの「プライバシー・ポリシー」のリンク先はFTCのプレスリリース「FTC Issues Final Commission Report on Protecting Consumer Privacy:Agency Calls on Companies to Adopt Best Privacy Practices」である。今回FTCが発表したのはあくまで報告書であり、企業のプライバシー・ポリシーの雛形を直接論じてはいない。

********************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年3月27日火曜日

米国連邦金融監督機関が連名でレバレッジ・ファイナンスの改正ガイダンスを11年ぶりに発布



 3月26日、連邦準備制度理事会(FRB)、預金保険公社(FDIC)および財務省通貨監督庁(OCC)は各種債務比率、キャッシュ・フロー倍率(注1)やその他の比率により計算される業界の標準を大幅に超える財務レバレッジ(筆者注2)ならびにキャッシュ・フロー・レバレッジ(筆者注3)に基づく融資先の融資判断取引をカバーすべく改正草案を連名でリリースした。

 今回の改正の背景には、これら監督機関が金融危機の引き金となったレバレッジに基づく与信取引量および規制監督の対象外の投資家の市場参加の急増に注目したことが上げられる。

 今回のブログは本通達内容を仮訳することにある。時間の関係で十二分に吟味した翻訳作業とは言えないが、わが国の関係者に対する問題提起として読んでいただきたい。


1.要旨
 米国における金融危機の間、レバレッジ融資を手控えることがあった一方で、良識ある引受け実務は退化してきた。金融市場が発展段階にあるとき、債務契約は比較的限られた貸し手保護に関する特性、すなわち重要な維持特約の欠落や貸し手の融資実行力の弱体化したときの頼みの綱に影響を与えるその他の特性を包含するなどをしばしば含んでいた。
 さらに、いくつかの取引において資本構成と返済見通しは契約の新規創設の場合や分配方式かにかかわらずきわめて攻撃的であった。いくつかの金融機関では経営情報システム(management information system:MIS)はタイムリーなベースでみた正確に実際の情報開示を実現していたかという点で不十分であることが証明された。また、多くの金融機関ではリスクのある資産の重大な減少に関する買い手の要求が行われたとき、彼らは自分がハイリスクの取組みパイプラインを握っていることを認識した。

 レバレッジ・ファイナンスは経済にとって重要な形態であり、銀行の経営において与信を可能とし、その与信活動における投資家を組織化する統合的な役割を担う。銀行が、五体満足に安全かつ健全な方法で信用にたる借り手に融資手段を提供することは重要である。

 市場の発展の観点から、連邦金融監督機関は2001年に策定した「レバレッジ・ファイナンス・ガイダンス」に置き換わる次の項目からなる改正ガイダンスをこのたび提案するものである。

①健全なリスク管理の枠組みの構築
 連邦監督機関は、経営者や取締役会が当該金融機関のレバレッジ・ファイナンスに関するリスク選好を特定し、適切な与信限度を確立のうえ信頼にたる監視と承認手続きを確実にすることを期待する。

②引受け条件の標準化
 本ガイダンスは、キャッシュ・フローの限度容量、分割償還(amortization)、契約の保護、担保管理および各取引に関するビジネス契約書(business premise)は健全な内容でなければならず、資本構成は融資契約が新規創設の場合か分配方式を問わず持続可能でなければならない点を強調した。

③評価基準
 本ガイダンスは、意思決定時の健全な方法論確立の重要性と企業価値の定期的な再評価問題に集中する。

④パイプライン管理
 時宜に即した適切な開示の必要性、融資取引が失敗したとき、一般的な金融市場の破綻時の政策や手続きの準備することの重要性およびパイプラインに関する定期的なストレス・テストの実施を強調している。

⑤報告と分析
 本ガイダンスは、主要な債務者特性に関するMISの必要性を強調するとともに時宜の応じた形でのビジネスラインおよび法人全体にわたり横断的に統合する点を強調する。また、報告と分析方法に関し、定期的なポートフォリオに関するストレス・テストの実施をもって補強する。

2.コメント期限
 本ガイダンスに関する関係者の意見は、2012年6月8日までに連邦金融監督機関に提出しなければならない。

3.添付資料
「Proposed Guidance on Leveraged Lending」(全文25頁)


(筆者注1)「キャッシュ・フロー倍率(cash flow ratio)」とは、「株価キャッシュフロー倍率(PCFR=Price Cash Flow Ratio)ともいわれ、株価収益率(PER=Price Earnings Ratio)とともに株式市場平均や収益力の同業他社との比較をする際に用いられる。
キャッシュ・フローは利益から税を引いた額から配当金や役員賞与などの社外流出分を除いた額に、減価償却費をくわえたもののことをいう。株価を一株あたりキャッシュ・フローで割ることで「キャッシュ・フロー倍率」が算出される。企業によっては、有税償却し内部保留を行ったり、設備投資で減価償却費が増加している場合もあるので、キャッシュ・フロー倍率(cash flow ratio)は、その企業の収益力を判断する際の尺度になる。(「資産運用まるわかり辞典」から引用)

(筆者注2)負債がまったくない企業の財務レバレッジ(financial leverage ratio)比は1であり、その比率数値が高まるにつれ、負債が多いということになる。

(筆者注3)レバレッジは、一部の金融資産の契約上のキャッシュ・フローの特性である。レバレッジは、契約上のキャッシュ・フローの変動性を増大させ、レバレッジ効果を含む契約上のキャッシュ・フローは、利息としての経済的特徴がなくなる。このため、契約上のキャッシュ・フロー特性テストをパスできない可能性がある。
 なお、企業分析におけるフリーキャッシュ・フロー特性分析に関し、企業の本源的価値(実態価値)を計算するときには、その企業が将来に亘って生み出すであろうフリーキャッシュ・フローを推定することが必要となる。最も単純なケースでは、当期利益に非資金項目である減価償却費や引当金計上などの費用項目を足し戻し、最後にビジネスを継続していくうえで必要となる設備投資(資本的支出)を差し引いたものが該当する(企業が稼いだ利益のうち最終的に手元に現金として残る部分)。(マネックスラウンジから引用)


********************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年3月22日木曜日

フランスCNILがGoogleの新プライバシー・ポリシー等に対するEU保護指令等から見た懸念や疑問点69項目を提示






フランスの個人情報保護法の監視機関であるとともにEU全体の保護機関でもあるCNIL(La Commission nationale de l’informatique et des libertés: 情報処理および自由に関する国家委員会)(筆者注1)は、2月28日に標記の問題につき引き続きEU全体の監視機関である「EU 指令第29条専門調査委員会(Article 29 Working Party)」(以下、「29条委員会」という)(筆者注2)とともに調査を行う旨リリースしたことはわが国のメディアでも報じられたとおりである。

同リリースでは、3月中旬までにCNILとしての正式な質問状をGoogle宛に行うと予告していたのであるが、CNILは去る3月19日、3月16日付けでGoogleのCEO宛に来る4月5日を回答期限とする「正式な質問状(questionnaire détaillé:全69項目)」を送付した旨リリースした。

今回のブログはCNILが29条委員会とともに取り組んできた詳細な疑問、問題点等につきCNILの質問状の内容・項目に則してまとめてみる。
特に筆者が感じた点は、単なる人権擁護問題にとどまらず、ITベンダーとしての実務的な不透明性を徹底的に追求している点である。
単純に比較すること自体酷であるが、わが国の経済産業省と総務省が2月29日に連名で行った「注意喚起文書」と比較してほしい。

なお、2月28日および今回のCNILのリリース内容を読む限り、Googleから十分な検討の時間が与えられていない中でポリシーの改定ならびにサービス内容の見直しが進められていないことは事実である。また、筆者の手元には現時点で正確な情報はないが、Google自体の検索サービス自体が一体どこがどのようにかわったのか、内外の主権者たるユーザーはなお把握できていないのが実態であろう。


1.EUの29条委員会による改正ポリシーの実施時期延期の申入れとGoogleの具体的反論
(1) 29条委員会の委員長ジェイコブ・コーンスタム(Jacob Kohnstamm)(オランダ個人情報保護委員会・委員長:プロフィール参照)によるGoogleへの申入れ
次のような1枚ものである。

「拝啓 ラリー・ペイジ 殿
「EU指令第29条専門調査委員会(Art.29 Data Protection Working Party)」を代表して、私は本委員会が貴社の個人情報保護遵守指針(プライバシー・ポリシーや利用規約、以下本ブログでは「プライバシー・ポリシー」という」)等の来たる3月1日の改正実施を問題視していることをあなたに通知したい。
貴社のプライバシー・ポリシーの改正は、提供するサービスの広い範囲およびこれらのサービスの普及に支えられて、EUの加盟国の大部分あるいはすべての市民に影響するかもしれないものである。
本委員会は加盟国による統合的な手続きによりこれらの市民の個人情報の保護が有効に可能なものかその結果をチェックしたい。このため、本委員会はこの問題の検討につきリード役となるようフランスの国家情報保護監督機関であるCNIL(情報処理および自由に関する国家委員会)に依頼した。
CNILは快くこの任務を受理しており、EUのデータ保護機関のために貴社との接点になるであろう。
上記の理由から見て、我々はグーグルのプライバシー・ポリシーの改正にかかる取組みがユーザーやEU市民の情報自由権に対する利益に関して誤解がないことを保証するため、EU内で十分な分析を終えるまで、改正ポリシーの実施の停止を要求する。」

(2) Googleの回答・反論
2月2日、 Googleのグローバル・プライバシー担当顧問弁護士ペーター・フレイシャー(Peter Fleischer)の29条委員会・委員長ジェイコブ・コーンスタムへの回答文書 以下の回答文は29条委員会に先立って提出された米国の連邦議会超党派議員8名のGoogleに対する公開質問書へのGoogleの回答内容につき、米国ピッツバーグ大学ロー・スクールの解説サイト(JURIST)から仮訳して引用した。内容は29条委員会に対する回答文書と同趣旨なため、ここで引用するものである。

「Googleが1月31日、連邦議会の超党派議員8名に対する回答文書を提出した(原文プレス・リリース)。この世界的規模の探索エンジン・サービス会社は新しい「個人情報保護遵守指針(privacy policy)」等によって影響を受ける消費者のプライバシー権に関する連邦議会議員によって投げかけられた懸念に対応したものである。その回答文書で、Googleはエドワード・マーキー(Edward Markey)(D-MA)下院議員ほか7名の議員からのCEOラリー・ペイジ(Larry Page)に対する11項目にわたる特定の質問に答えた。

Googleの回答文書で、今回の自社プライバシー・ポリシー改正の動機に関する背景的事項に加えて、ユーザーがGoogle Accountを閉じる場合の個人データ削除の手順の記述、グーグル・アカウントへ署名せずに利用することができるサービスの一覧、グーグルの製品間でユーザーのデータを共有する理由および新しいポリシーの実施前に新しいタイプの個人データが集められないだろうという確証を含んでいた。Googleは、新ポリシーを用意した理由は、それを消費者のためにより理解しやすいものとし、かつすべてのグーグル製品・サービスを横断的にわたるユーザー体験を改善するためのポリシーの簡素化・単純化であると主張した。

2.2月28日および3月19日CNILのGoogleに対する問題指摘に係るリリース文
(1) 2月28日のCNILのリリース文
CNILと29条委員会は、Googleにおける各種ポリシーの能率化と簡素化に係るイニシアティブを取ることを歓迎する一方で、この努力は透明性や包括性を犠牲にして行われるべきではないと信じる。各種サービスにかかるポリシーを統合化することにより、かえってGoogleは特定のサービスにおいて使用する目的、個人情報、受け手やアクセス権等の正しい理解を不可能にさせるといえる。すなわち、Googleの新ポリシーはデータ主体に提供しなければならない情報に関し、1995年EU情報保護指令(95/46/CE)に定める必要条件を満たしていない。

Googleは、特定の処理および目的に係る情報を持って既存の情報を補完すべきである。さらにいうと、新ポリシーは透明性を促進させるより、むしろ新ポリシーの用語やサービス横断的に個人情報を統合するということはGoogleの実際の実務においてユーザーに恐怖や疑問を投げかける。

新ポリシーの下で、ユーザーはGoogleがAndroid、Analysticsや広告サービス等のサービスにおいて彼らの行動の大部分の追跡(track)と統合(combine)を可能にするであろうと理解するであろう。例えば、新ポリシーの下で、GoogleはAndroid 電話利用アクセス情報(personal number、calling party numbers、date and time of calls)(筆者注3)や位置情報等ユーザーの行動内容に関する情報を元にYoutube 広告画面上に表示することになろう。

EUにおけるGoogleの各種市場における圧倒的なシェアー(検索エンジンでは80%以上、スマートフォン市場では約30%、グローバルなオンラインビデオ市場では40%、グローバルなオンライン広告市場では40%以上)から見てもプライバシーと個人情報保護への影響はとりわけ重要である。

また、Google AnalyticsはEUでも最も人気がある解析ツールである。さらに、とりわけこれらのサービス上で組み合わされたクッキーは、改正されたEU指令(ePrivacy Duirective:2002/58/CE)に定める「同意原則(principle of consent)」に対するGoogleの遵守問題を引き起こす。

これらの問題につきCNILは懸念を明らかにする目的で2月27日、準備段階の書面をGoogleに送付した。

(2)3月19日のCNILのリリース文
A.2月28日のリリースを受けて、CNILは新プライバシー・ポリシーに関する詳細質問状・意見書(全12頁)を3月16日にGoogle宛送付した。
同アンケートは緊密な質問を含むものでかつ全69項目からなる質問項目は、ユーザーが「グーグル・アカウント」を持っているか、認証適用を受けないユーザーか、あるいは広告や利用者解析等他のウェブサイト上でGoogleサービスを受けとる受身のユーザーであると否かにかかわらず、新ポリシーの真の結果を明確化することにある。Googleの回答は、各種横断的なサービスの組み合わせがEUの個人情報保護の法的な枠組みに準拠するものであるかを調査する上で役立つものとなろう。
CNILは来る4月15日までに書面での回答を行うよう求めた。なお、今回の行動は29条委員会の指定に基づくものである。

B.詳細な質問状・意見書の概要
質問事項Q1~Q12までを仮訳しておく。Q13~Q69については項目のみ挙げる。

1.本質問状で使用する「用語」の定義

2.新プライバシーへの移行上の疑問点
(質問1) 2012年1月24日の新しいプライバシー・ポリシーの発表以来Googleがユーザーから質問に答えるためにいかなる過程を実行したかどうかを示してほしい。
(質問2) 2012年1月の新しいプライバシー・ポリシーの発表に続いて、Googleに向けて発せられた苦情、要求、質問件数の概数を提供してほしい。
(質問3)
a) Googleのプライバシー問題に関するメインサイト( http://www.google.com/intl/en/policies/ and localized versions)(筆者注4)を専念して訪問したユニーク・ビジター数を提供してほしい。
b) Googleのウェブサイトの総ユニーク・ビジターとそれを比較してほしい。
c) ポリシー改正前の2010年10月の同じ条件の数値を提出してほしい。

3.各種サービスによる個人情報の収集の相違点
(質問4) Googleのプライバシー・ ポリシーは、「情報(information)」、「個人情報(personal information)」や「個人特定情報(personal identifiable information)」等様々な用語を使用する。 新しいプライバシーに関する方針の目的のために、それらがすべて「個人的なデータ」に同等なものとしてエンドユーザによって理解されるべきであることを確認してほしい(本質問状の冒頭の定義を参照されたい)。

(質問5)
a) 新しいプライバシー・ポリシーがカバーするGoogleの「処理」と「サービス」に関する全リストを提供してほしい。
b)また、各処理につき、それが特定のGoogleサービス(例えば、セキュリティに関連する処理は数個かすべてのサービスをカバーするかどうかなど)に対応したものであるかどうかを示してほしい。
(質問6) データの以下のカテゴリに関し、各サービスにおいてどのようなデータが処理されるか、またその処理の目的を詳しく述べてほしい:
A)クレジット・カード・データ
B)端末特定情報(device-specific information)
C)電話ログイン情報(telephony log information)
D)現在位置情報(location information)
E)ユニークな端末特定情報(unique device identifiers)

(質問7) 新しいプライバシー・ポリシーは、「私たちがあなたのGoogleから受けるサービスの使用時に得る情報」のリストについて説明する中の記述には、「端末情報」、「ログ情報」、「現在位置情報」、「ユニークな端末特定番号」および「クッキーと匿名の識別子(Cookies and anonymous identifiers)」を含んでいる。このリストが包括的であるかどうか、またGoogleがユーザーのサービスの使用に関連する追加データを集める可能性について説明してほしい。(筆者注5)

(質問8)Googleの新しいポリシーは、以下の通り記述するが、次の点を確認したい。 「私たちはあなたがGoogle Accountの設定を求められる私たちが提供するサービスのすべてに関しGoogle Profileにあなたが提供する名前を使用しうる。」 「さらに、あなたの私たちのすべてのサービスの横断的な利用目的であなたのGoogleに関連している過去の名前のGoogle Accountを新しいものに置き換えることができる。」
a) ユーザーがすでにGoogle Profileを設定していない場合、ユーザーはこれらのポリシー文言によって関係が集約されるのか、また彼がどう影響を受けるかもしれないかを詳しく述べてほしい。
b) すべてのユーザーが彼らのGoogle Profileを完全に削除できるのかにつき確認したい。
c) Google Profileなしで利用可能なサービスのリストを示してほしい。

(質問9) 新しいプライバシー・ポリシーは「私たちはどんな機密性のある個人情報の共有のために「オプトイン同意」を必要とする。」のとおり記述するが、次の質問がある。
a)Googleは、 いつ、どのような方法でまたいかなるサービスにおいて機微情報を収集するのか具体的に記載してほしい。
b) そのような機微情報の収集目的を提供してほしい。
c) この質問状の冒頭で記載したようなGoogleにおける「機微情報」の定義を記載してほしい。

(質問10.)微情報の共有に関し、いかなる方法でまたいかなる場合に「オプト・イン同意(opt-in consent)」が集められるかにつき説明してほしい。

(質問11) Googleは新しいプライバシー・ポリシーにおいて「顔認証(face recognition)」に言及しない。これは、Googleが顔認識処理を使用しないか、またはそのような処理を行うときには、特定のポリシーを適用することになるのか?。その場合、Googleはユーザーによりアップロードされる写真やその他の素材(例えばGoogleアカウントに使用される写真やGoogle+のユーザー代表または第三者の ための写真)について先立って顔認証について明白な同意を求めるのか?

(質問12) 多くのGoogleサービスの使用は、以下の例等のように「PREFクッキー(Googleの表示設定クッキー)」の作成結果をもたらす。
PREF=ID=3a391cb61c62dbb1:TM=1331203931:LM=1331203931:S=ZRtXLvbm7vQc3jbR;expires=Sat, 08 Mar 2014 10:52:12 GMT; path=/; domain=.google.com

a)ほとんどのオンラインGoogleサービス(そして、特にgoogle.comドメインでのサービス)の使用時にサービスの相互作用(典型的にはHTTPの要求)により、ユーザー端末装置に"PREF"と呼ばれるクッキーの格納とアクセスをもたらすことになるのか、または1つまたは複数のGoogle アカウントに関し、ログインまたはログアウトするとき、このクッキーは変更されないか、確認したい。
b)いつどのように、いかなる目的でクッキーで集められたどの情報が使用されているかにつき説明されたい。
c) このクッキーの中における「ID」コンポーネントの役割を詳しく述べてほしい。

4. 各種利用目的から見た疑問点
Q13~Q18

5.個人情報の保持
Q19~Q21

6.データ主体の権利と同意
Q22~Q26

7.Googleの利用規約対プライバシー・ポリシーの関係
Q27~Q28

8.Googleの提供サービス間のデータ接続の合法性問題
(1)周辺的問
Q29~Q41
(2)データ主体の同意と同意しない権利(一般原則)
Q42~Q49
(3)クッキー
Q50~Q51
(4)広告(ユーザーの利用形態による実質的にオプトアウト権が否定されている一覧表)
Q52~Q57
(5)ブラウザの設定
Q58~Q60
モバイル・ユーザーのプラットフォーム設定
Q61~Q64

9.Googleの各サービスにおける広告宣伝情報、手段の内容
Q65~Q68

10.その他追加的に説明しておくべき所見事項
Q69

*******************************************************

(筆者注1)CNILに初めてアクセスした時のサイト画面の上部に注目してほしい。次のメッセージがあり、閲覧者に対する「クッキー」の同意確認ボタンがある。従来はなかった文言であり、これらの対応は英国のICOと同様、EUの保護指令の改正や規則制定等一連の保護強化の流れであることは間違いない。

「匿名の読者の統計情報を実現するために、CNILは、お使いのコンピュータにCookieを配置したいと考えています。あなたは、統計を訪問することにより、いつでも、または詳細については、それを削除することができます。
「いいえ、クッキーを拒否します」または「受け入れます」の選択ボタン
CNILは、クッキーに関する選択記録を保存します。」
ちなみに「拒否」した場合の閲覧内容に具体的にどのような差が出るのかが不明である。筆者としては、改めてCNILに対し質問する予定である。

(筆者注2) 「EU指令第29条専門調査委員会」は、1995年EU個人情報保護指令第29条に基づき設置した委員会であり、個人情報保護およびプライバシーに関する独立諮問機関である。その任務の内容は同指令第30条および2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令(Directive 2002/58/EC)」の第15条に規定されている。
なお、わが国では同委員会につき原文(Article 29 Data Protection Working Party)に忠実すぎるためか「29条情報保護作業部会」と訳す例が一般的である。しかしその任務や根拠に関する公文書で引用されるおよび根拠規定は次の通りであり、訳語としては上記の通り「EU指令第29条専門調査委員会」と訳すべきと考える。

(任務の説明の表題)
Articles 29 and 30 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data1

(本文)
"Article 29
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
1. A Working Party on the Protection of Individuals with regard to the Processing of
Personal Data, hereinafter referred to as 'the Working Party', is hereby set up. It shall
have advisory status and act independently.
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
Each member of the Working Party shall be designated by the institution, authority or
authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
3. The Working Party shall take decisions by a simple majority of the representatives of/the supervisory authorities.
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
5. The Working Party's secretariat shall be provided by the Commission.
6. The Working Party shall adopt its own rules of procedure.
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.

Article 30
1. The Working Party shall:
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
(b) give the Commission an opinion on the level of protection in the Community and in third countries;
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
(d) give an opinion on codes of conduct drawn up at Community level.1. The 2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
3. The Working Party may, on its own initiative, make recommendations on all matters
relating to the protection of persons with regard to the processing of personal data in the Community.
4. The Working Party's opinions and recommendations shall be forwarded to the
Commission and to the committee referred to in Article 31.
5. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
6. The Working Party shall draw up an annual report on the situation regarding the
protection of natural persons with regard to the processing of personal data in the
Community and in third countries, which it shall transmit to the Commission, the
European Parliament and the Council. The report shall be made public.”

2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令(Directive 2002/58/EC)」の第15条
Application of certain provisions of Directive 95/46/EC

1. Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Article 5, Article 6, Article 8(1), (2), (3) and (4), and Article 9 of this Directive when such restriction constitutes a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security, and the prevention, investigation, detection and prosecution of criminal offences or of unauthorised use of the electronic communication system, as referred to in Article 13(1) of Directive 95/46/EC. To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. All the measures referred to in this paragraph shall be in accordance with the general principles of Community law, including those referred to in Article 6(1) and (2) of the Treaty on European Union.

2. The provisions of Chapter III on judicial remedies, liability and sanctions of Directive 95/46/EC shall apply with regard to national provisions adopted pursuant to this Directive and with regard to the individual rights derived from this Directive.

3. The Working Party on the Protection of Individuals with regard to the Processing of Personal Data instituted by Article 29 of Directive 95/46/EC shall also carry out the tasks laid down in Article 30 of that Directive with regard to matters covered by this Directive, namely the protection of fundamental rights and freedoms and of legitimate interests in the electronic communications sector.

以上を読んで指令の内容や委員の構成等から見て「作業部会」とする訳語は適切と思えないのは筆者だけであるまい。

(筆者注3) Googleの新ポリシー(日本語版)の文言を一部抜粋しておく。
サービスのご利用時に Google が収集する情報:
○端末情報
Google は、端末固有の情報(たとえば、ハードウェア モデル、オペレーティング システムのバージョン、端末固有の ID、電話番号などのモバイル ネットワーク情報)を収集することがあります。Google では、お客様の端末の ID や電話番号をお客様の Google アカウントと関連付けることがあります。

○ログ情報
お客様が Google サービスをご利用になる際または Google が提供するコンテンツを表示される際に、サーバー ログ内の特定の情報が自動的に収集および保存されます。これには以下の情報が含まれることがあります:

・お客様による Google サービスの使用状況の詳細(検索キーワードなど)
・電話のログ情報(お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時、通話時間、SMS ルーティング情報、通話の種類など)
・インターネット プロトコル アドレス
・端末のイベント情報(クラッシュ、システム アクティビティ、ハードウェアの設定、ブラウザの種類、ブラウザの言語、お客様によるリクエストの日時、参照 URL など)
・お客様のブラウザまたはお客様の Google アカウントを特定できる Cookie

○現在地情報
現在地情報を有効にした Google サービスをお客様がご利用になる場合、Google は、お客様の現在地に関する情報(携帯端末から送信される GPS 信号など)を収集して処理することがあります。Google は、たとえば、お客様の端末のセンサー データから提供される近くの Wi-Fi アクセス ポイントや基地局に関する情報など、他にもさまざまな技術を使用して現在地を判定することがあります。

○固有のアプリケーション番号
サービスによっては、固有のアプリケーション番号が割り当てられています。この番号とお客様のインストール情報(オペレーティング システムの種類、アプリケーションのバージョン番号など)は、お客様が当該サービスをインストールまたはアンインストールする際に Google に送信されることがあります。また、当該サービスが Google のサーバーに定期的にアクセスする際(自動更新の際など)にも送信されることがあります。

○ローカル ストレージ
Google は、ブラウザ ウェブ ストレージ(HTML 5 など)やアプリケーション データのキャッシュのようなメカニズムを使用して、収集した情報(個人情報を含む)をお客様の端末にローカルに保存することがあります。

○Cookie と匿名 ID
お客様が Google サービスにアクセスされると、Google はさまざまな技術を使用して、情報を収集して保存します。その際、Google からお客様の端末に一つまたは複数の Cookie や匿名 ID を送信することもあります。広告サービスや他のサイトに表示される Google 機能のように、Google がパートナーに提供しているサービスの利用の際に、Google が Cookie や匿名 ID を使用することもあります。


(筆者注4)CNILの質問状のURL1はエラーとなる。内容から見て次のURLが正しいと思う。
http://www.google.com/intl/en-GB/policies/privacy/

(筆者注5)Googleのポリシー解説サイトでもキーワードに関する説明がある。しかし、厳密な意味でCNILの疑問に答えるものではないようだ。

********************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.