2012年3月27日火曜日

米国連邦金融監督機関が連名でレバレッジ・ファイナンスの改正ガイダンスを11年ぶりに発布



 3月26日、連邦準備制度理事会(FRB)、預金保険公社(FDIC)および財務省通貨監督庁(OCC)は各種債務比率、キャッシュ・フロー倍率(注1)やその他の比率により計算される業界の標準を大幅に超える財務レバレッジ(筆者注2)ならびにキャッシュ・フロー・レバレッジ(筆者注3)に基づく融資先の融資判断取引をカバーすべく改正草案を連名でリリースした。

 今回の改正の背景には、これら監督機関が金融危機の引き金となったレバレッジに基づく与信取引量および規制監督の対象外の投資家の市場参加の急増に注目したことが上げられる。

 今回のブログは本通達内容を仮訳することにある。時間の関係で十二分に吟味した翻訳作業とは言えないが、わが国の関係者に対する問題提起として読んでいただきたい。


1.要旨
 米国における金融危機の間、レバレッジ融資を手控えることがあった一方で、良識ある引受け実務は退化してきた。金融市場が発展段階にあるとき、債務契約は比較的限られた貸し手保護に関する特性、すなわち重要な維持特約の欠落や貸し手の融資実行力の弱体化したときの頼みの綱に影響を与えるその他の特性を包含するなどをしばしば含んでいた。
 さらに、いくつかの取引において資本構成と返済見通しは契約の新規創設の場合や分配方式かにかかわらずきわめて攻撃的であった。いくつかの金融機関では経営情報システム(management information system:MIS)はタイムリーなベースでみた正確に実際の情報開示を実現していたかという点で不十分であることが証明された。また、多くの金融機関ではリスクのある資産の重大な減少に関する買い手の要求が行われたとき、彼らは自分がハイリスクの取組みパイプラインを握っていることを認識した。

 レバレッジ・ファイナンスは経済にとって重要な形態であり、銀行の経営において与信を可能とし、その与信活動における投資家を組織化する統合的な役割を担う。銀行が、五体満足に安全かつ健全な方法で信用にたる借り手に融資手段を提供することは重要である。

 市場の発展の観点から、連邦金融監督機関は2001年に策定した「レバレッジ・ファイナンス・ガイダンス」に置き換わる次の項目からなる改正ガイダンスをこのたび提案するものである。

①健全なリスク管理の枠組みの構築
 連邦監督機関は、経営者や取締役会が当該金融機関のレバレッジ・ファイナンスに関するリスク選好を特定し、適切な与信限度を確立のうえ信頼にたる監視と承認手続きを確実にすることを期待する。

②引受け条件の標準化
 本ガイダンスは、キャッシュ・フローの限度容量、分割償還(amortization)、契約の保護、担保管理および各取引に関するビジネス契約書(business premise)は健全な内容でなければならず、資本構成は融資契約が新規創設の場合か分配方式を問わず持続可能でなければならない点を強調した。

③評価基準
 本ガイダンスは、意思決定時の健全な方法論確立の重要性と企業価値の定期的な再評価問題に集中する。

④パイプライン管理
 時宜に即した適切な開示の必要性、融資取引が失敗したとき、一般的な金融市場の破綻時の政策や手続きの準備することの重要性およびパイプラインに関する定期的なストレス・テストの実施を強調している。

⑤報告と分析
 本ガイダンスは、主要な債務者特性に関するMISの必要性を強調するとともに時宜の応じた形でのビジネスラインおよび法人全体にわたり横断的に統合する点を強調する。また、報告と分析方法に関し、定期的なポートフォリオに関するストレス・テストの実施をもって補強する。

2.コメント期限
 本ガイダンスに関する関係者の意見は、2012年6月8日までに連邦金融監督機関に提出しなければならない。

3.添付資料
「Proposed Guidance on Leveraged Lending」(全文25頁)


(筆者注1)「キャッシュ・フロー倍率(cash flow ratio)」とは、「株価キャッシュフロー倍率(PCFR=Price Cash Flow Ratio)ともいわれ、株価収益率(PER=Price Earnings Ratio)とともに株式市場平均や収益力の同業他社との比較をする際に用いられる。
キャッシュ・フローは利益から税を引いた額から配当金や役員賞与などの社外流出分を除いた額に、減価償却費をくわえたもののことをいう。株価を一株あたりキャッシュ・フローで割ることで「キャッシュ・フロー倍率」が算出される。企業によっては、有税償却し内部保留を行ったり、設備投資で減価償却費が増加している場合もあるので、キャッシュ・フロー倍率(cash flow ratio)は、その企業の収益力を判断する際の尺度になる。(「資産運用まるわかり辞典」から引用)

(筆者注2)負債がまったくない企業の財務レバレッジ(financial leverage ratio)比は1であり、その比率数値が高まるにつれ、負債が多いということになる。

(筆者注3)レバレッジは、一部の金融資産の契約上のキャッシュ・フローの特性である。レバレッジは、契約上のキャッシュ・フローの変動性を増大させ、レバレッジ効果を含む契約上のキャッシュ・フローは、利息としての経済的特徴がなくなる。このため、契約上のキャッシュ・フロー特性テストをパスできない可能性がある。
 なお、企業分析におけるフリーキャッシュ・フロー特性分析に関し、企業の本源的価値(実態価値)を計算するときには、その企業が将来に亘って生み出すであろうフリーキャッシュ・フローを推定することが必要となる。最も単純なケースでは、当期利益に非資金項目である減価償却費や引当金計上などの費用項目を足し戻し、最後にビジネスを継続していくうえで必要となる設備投資(資本的支出)を差し引いたものが該当する(企業が稼いだ利益のうち最終的に手元に現金として残る部分)。(マネックスラウンジから引用)


********************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年3月22日木曜日

フランスCNILがGoogleの新プライバシー・ポリシー等に対するEU保護指令等から見た懸念や疑問点69項目を提示






フランスの個人情報保護法の監視機関であるとともにEU全体の保護機関でもあるCNIL(La Commission nationale de l’informatique et des libertés: 情報処理および自由に関する国家委員会)(筆者注1)は、2月28日に標記の問題につき引き続きEU全体の監視機関である「EU 指令第29条専門調査委員会(Article 29 Working Party)」(以下、「29条委員会」という)(筆者注2)とともに調査を行う旨リリースしたことはわが国のメディアでも報じられたとおりである。

同リリースでは、3月中旬までにCNILとしての正式な質問状をGoogle宛に行うと予告していたのであるが、CNILは去る3月19日、3月16日付けでGoogleのCEO宛に来る4月5日を回答期限とする「正式な質問状(questionnaire détaillé:全69項目)」を送付した旨リリースした。

今回のブログはCNILが29条委員会とともに取り組んできた詳細な疑問、問題点等につきCNILの質問状の内容・項目に則してまとめてみる。
特に筆者が感じた点は、単なる人権擁護問題にとどまらず、ITベンダーとしての実務的な不透明性を徹底的に追求している点である。
単純に比較すること自体酷であるが、わが国の経済産業省と総務省が2月29日に連名で行った「注意喚起文書」と比較してほしい。

なお、2月28日および今回のCNILのリリース内容を読む限り、Googleから十分な検討の時間が与えられていない中でポリシーの改定ならびにサービス内容の見直しが進められていないことは事実である。また、筆者の手元には現時点で正確な情報はないが、Google自体の検索サービス自体が一体どこがどのようにかわったのか、内外の主権者たるユーザーはなお把握できていないのが実態であろう。


1.EUの29条委員会による改正ポリシーの実施時期延期の申入れとGoogleの具体的反論
(1) 29条委員会の委員長ジェイコブ・コーンスタム(Jacob Kohnstamm)(オランダ個人情報保護委員会・委員長:プロフィール参照)によるGoogleへの申入れ
次のような1枚ものである。

「拝啓 ラリー・ペイジ 殿
「EU指令第29条専門調査委員会(Art.29 Data Protection Working Party)」を代表して、私は本委員会が貴社の個人情報保護遵守指針(プライバシー・ポリシーや利用規約、以下本ブログでは「プライバシー・ポリシー」という」)等の来たる3月1日の改正実施を問題視していることをあなたに通知したい。
貴社のプライバシー・ポリシーの改正は、提供するサービスの広い範囲およびこれらのサービスの普及に支えられて、EUの加盟国の大部分あるいはすべての市民に影響するかもしれないものである。
本委員会は加盟国による統合的な手続きによりこれらの市民の個人情報の保護が有効に可能なものかその結果をチェックしたい。このため、本委員会はこの問題の検討につきリード役となるようフランスの国家情報保護監督機関であるCNIL(情報処理および自由に関する国家委員会)に依頼した。
CNILは快くこの任務を受理しており、EUのデータ保護機関のために貴社との接点になるであろう。
上記の理由から見て、我々はグーグルのプライバシー・ポリシーの改正にかかる取組みがユーザーやEU市民の情報自由権に対する利益に関して誤解がないことを保証するため、EU内で十分な分析を終えるまで、改正ポリシーの実施の停止を要求する。」

(2) Googleの回答・反論
2月2日、 Googleのグローバル・プライバシー担当顧問弁護士ペーター・フレイシャー(Peter Fleischer)の29条委員会・委員長ジェイコブ・コーンスタムへの回答文書 以下の回答文は29条委員会に先立って提出された米国の連邦議会超党派議員8名のGoogleに対する公開質問書へのGoogleの回答内容につき、米国ピッツバーグ大学ロー・スクールの解説サイト(JURIST)から仮訳して引用した。内容は29条委員会に対する回答文書と同趣旨なため、ここで引用するものである。

「Googleが1月31日、連邦議会の超党派議員8名に対する回答文書を提出した(原文プレス・リリース)。この世界的規模の探索エンジン・サービス会社は新しい「個人情報保護遵守指針(privacy policy)」等によって影響を受ける消費者のプライバシー権に関する連邦議会議員によって投げかけられた懸念に対応したものである。その回答文書で、Googleはエドワード・マーキー(Edward Markey)(D-MA)下院議員ほか7名の議員からのCEOラリー・ペイジ(Larry Page)に対する11項目にわたる特定の質問に答えた。

Googleの回答文書で、今回の自社プライバシー・ポリシー改正の動機に関する背景的事項に加えて、ユーザーがGoogle Accountを閉じる場合の個人データ削除の手順の記述、グーグル・アカウントへ署名せずに利用することができるサービスの一覧、グーグルの製品間でユーザーのデータを共有する理由および新しいポリシーの実施前に新しいタイプの個人データが集められないだろうという確証を含んでいた。Googleは、新ポリシーを用意した理由は、それを消費者のためにより理解しやすいものとし、かつすべてのグーグル製品・サービスを横断的にわたるユーザー体験を改善するためのポリシーの簡素化・単純化であると主張した。

2.2月28日および3月19日CNILのGoogleに対する問題指摘に係るリリース文
(1) 2月28日のCNILのリリース文
CNILと29条委員会は、Googleにおける各種ポリシーの能率化と簡素化に係るイニシアティブを取ることを歓迎する一方で、この努力は透明性や包括性を犠牲にして行われるべきではないと信じる。各種サービスにかかるポリシーを統合化することにより、かえってGoogleは特定のサービスにおいて使用する目的、個人情報、受け手やアクセス権等の正しい理解を不可能にさせるといえる。すなわち、Googleの新ポリシーはデータ主体に提供しなければならない情報に関し、1995年EU情報保護指令(95/46/CE)に定める必要条件を満たしていない。

Googleは、特定の処理および目的に係る情報を持って既存の情報を補完すべきである。さらにいうと、新ポリシーは透明性を促進させるより、むしろ新ポリシーの用語やサービス横断的に個人情報を統合するということはGoogleの実際の実務においてユーザーに恐怖や疑問を投げかける。

新ポリシーの下で、ユーザーはGoogleがAndroid、Analysticsや広告サービス等のサービスにおいて彼らの行動の大部分の追跡(track)と統合(combine)を可能にするであろうと理解するであろう。例えば、新ポリシーの下で、GoogleはAndroid 電話利用アクセス情報(personal number、calling party numbers、date and time of calls)(筆者注3)や位置情報等ユーザーの行動内容に関する情報を元にYoutube 広告画面上に表示することになろう。

EUにおけるGoogleの各種市場における圧倒的なシェアー(検索エンジンでは80%以上、スマートフォン市場では約30%、グローバルなオンラインビデオ市場では40%、グローバルなオンライン広告市場では40%以上)から見てもプライバシーと個人情報保護への影響はとりわけ重要である。

また、Google AnalyticsはEUでも最も人気がある解析ツールである。さらに、とりわけこれらのサービス上で組み合わされたクッキーは、改正されたEU指令(ePrivacy Duirective:2002/58/CE)に定める「同意原則(principle of consent)」に対するGoogleの遵守問題を引き起こす。

これらの問題につきCNILは懸念を明らかにする目的で2月27日、準備段階の書面をGoogleに送付した。

(2)3月19日のCNILのリリース文
A.2月28日のリリースを受けて、CNILは新プライバシー・ポリシーに関する詳細質問状・意見書(全12頁)を3月16日にGoogle宛送付した。
同アンケートは緊密な質問を含むものでかつ全69項目からなる質問項目は、ユーザーが「グーグル・アカウント」を持っているか、認証適用を受けないユーザーか、あるいは広告や利用者解析等他のウェブサイト上でGoogleサービスを受けとる受身のユーザーであると否かにかかわらず、新ポリシーの真の結果を明確化することにある。Googleの回答は、各種横断的なサービスの組み合わせがEUの個人情報保護の法的な枠組みに準拠するものであるかを調査する上で役立つものとなろう。
CNILは来る4月15日までに書面での回答を行うよう求めた。なお、今回の行動は29条委員会の指定に基づくものである。

B.詳細な質問状・意見書の概要
質問事項Q1~Q12までを仮訳しておく。Q13~Q69については項目のみ挙げる。

1.本質問状で使用する「用語」の定義

2.新プライバシーへの移行上の疑問点
(質問1) 2012年1月24日の新しいプライバシー・ポリシーの発表以来Googleがユーザーから質問に答えるためにいかなる過程を実行したかどうかを示してほしい。
(質問2) 2012年1月の新しいプライバシー・ポリシーの発表に続いて、Googleに向けて発せられた苦情、要求、質問件数の概数を提供してほしい。
(質問3)
a) Googleのプライバシー問題に関するメインサイト( http://www.google.com/intl/en/policies/ and localized versions)(筆者注4)を専念して訪問したユニーク・ビジター数を提供してほしい。
b) Googleのウェブサイトの総ユニーク・ビジターとそれを比較してほしい。
c) ポリシー改正前の2010年10月の同じ条件の数値を提出してほしい。

3.各種サービスによる個人情報の収集の相違点
(質問4) Googleのプライバシー・ ポリシーは、「情報(information)」、「個人情報(personal information)」や「個人特定情報(personal identifiable information)」等様々な用語を使用する。 新しいプライバシーに関する方針の目的のために、それらがすべて「個人的なデータ」に同等なものとしてエンドユーザによって理解されるべきであることを確認してほしい(本質問状の冒頭の定義を参照されたい)。

(質問5)
a) 新しいプライバシー・ポリシーがカバーするGoogleの「処理」と「サービス」に関する全リストを提供してほしい。
b)また、各処理につき、それが特定のGoogleサービス(例えば、セキュリティに関連する処理は数個かすべてのサービスをカバーするかどうかなど)に対応したものであるかどうかを示してほしい。
(質問6) データの以下のカテゴリに関し、各サービスにおいてどのようなデータが処理されるか、またその処理の目的を詳しく述べてほしい:
A)クレジット・カード・データ
B)端末特定情報(device-specific information)
C)電話ログイン情報(telephony log information)
D)現在位置情報(location information)
E)ユニークな端末特定情報(unique device identifiers)

(質問7) 新しいプライバシー・ポリシーは、「私たちがあなたのGoogleから受けるサービスの使用時に得る情報」のリストについて説明する中の記述には、「端末情報」、「ログ情報」、「現在位置情報」、「ユニークな端末特定番号」および「クッキーと匿名の識別子(Cookies and anonymous identifiers)」を含んでいる。このリストが包括的であるかどうか、またGoogleがユーザーのサービスの使用に関連する追加データを集める可能性について説明してほしい。(筆者注5)

(質問8)Googleの新しいポリシーは、以下の通り記述するが、次の点を確認したい。 「私たちはあなたがGoogle Accountの設定を求められる私たちが提供するサービスのすべてに関しGoogle Profileにあなたが提供する名前を使用しうる。」 「さらに、あなたの私たちのすべてのサービスの横断的な利用目的であなたのGoogleに関連している過去の名前のGoogle Accountを新しいものに置き換えることができる。」
a) ユーザーがすでにGoogle Profileを設定していない場合、ユーザーはこれらのポリシー文言によって関係が集約されるのか、また彼がどう影響を受けるかもしれないかを詳しく述べてほしい。
b) すべてのユーザーが彼らのGoogle Profileを完全に削除できるのかにつき確認したい。
c) Google Profileなしで利用可能なサービスのリストを示してほしい。

(質問9) 新しいプライバシー・ポリシーは「私たちはどんな機密性のある個人情報の共有のために「オプトイン同意」を必要とする。」のとおり記述するが、次の質問がある。
a)Googleは、 いつ、どのような方法でまたいかなるサービスにおいて機微情報を収集するのか具体的に記載してほしい。
b) そのような機微情報の収集目的を提供してほしい。
c) この質問状の冒頭で記載したようなGoogleにおける「機微情報」の定義を記載してほしい。

(質問10.)微情報の共有に関し、いかなる方法でまたいかなる場合に「オプト・イン同意(opt-in consent)」が集められるかにつき説明してほしい。

(質問11) Googleは新しいプライバシー・ポリシーにおいて「顔認証(face recognition)」に言及しない。これは、Googleが顔認識処理を使用しないか、またはそのような処理を行うときには、特定のポリシーを適用することになるのか?。その場合、Googleはユーザーによりアップロードされる写真やその他の素材(例えばGoogleアカウントに使用される写真やGoogle+のユーザー代表または第三者の ための写真)について先立って顔認証について明白な同意を求めるのか?

(質問12) 多くのGoogleサービスの使用は、以下の例等のように「PREFクッキー(Googleの表示設定クッキー)」の作成結果をもたらす。
PREF=ID=3a391cb61c62dbb1:TM=1331203931:LM=1331203931:S=ZRtXLvbm7vQc3jbR;expires=Sat, 08 Mar 2014 10:52:12 GMT; path=/; domain=.google.com

a)ほとんどのオンラインGoogleサービス(そして、特にgoogle.comドメインでのサービス)の使用時にサービスの相互作用(典型的にはHTTPの要求)により、ユーザー端末装置に"PREF"と呼ばれるクッキーの格納とアクセスをもたらすことになるのか、または1つまたは複数のGoogle アカウントに関し、ログインまたはログアウトするとき、このクッキーは変更されないか、確認したい。
b)いつどのように、いかなる目的でクッキーで集められたどの情報が使用されているかにつき説明されたい。
c) このクッキーの中における「ID」コンポーネントの役割を詳しく述べてほしい。

4. 各種利用目的から見た疑問点
Q13~Q18

5.個人情報の保持
Q19~Q21

6.データ主体の権利と同意
Q22~Q26

7.Googleの利用規約対プライバシー・ポリシーの関係
Q27~Q28

8.Googleの提供サービス間のデータ接続の合法性問題
(1)周辺的問
Q29~Q41
(2)データ主体の同意と同意しない権利(一般原則)
Q42~Q49
(3)クッキー
Q50~Q51
(4)広告(ユーザーの利用形態による実質的にオプトアウト権が否定されている一覧表)
Q52~Q57
(5)ブラウザの設定
Q58~Q60
モバイル・ユーザーのプラットフォーム設定
Q61~Q64

9.Googleの各サービスにおける広告宣伝情報、手段の内容
Q65~Q68

10.その他追加的に説明しておくべき所見事項
Q69

*******************************************************

(筆者注1)CNILに初めてアクセスした時のサイト画面の上部に注目してほしい。次のメッセージがあり、閲覧者に対する「クッキー」の同意確認ボタンがある。従来はなかった文言であり、これらの対応は英国のICOと同様、EUの保護指令の改正や規則制定等一連の保護強化の流れであることは間違いない。

「匿名の読者の統計情報を実現するために、CNILは、お使いのコンピュータにCookieを配置したいと考えています。あなたは、統計を訪問することにより、いつでも、または詳細については、それを削除することができます。
「いいえ、クッキーを拒否します」または「受け入れます」の選択ボタン
CNILは、クッキーに関する選択記録を保存します。」
ちなみに「拒否」した場合の閲覧内容に具体的にどのような差が出るのかが不明である。筆者としては、改めてCNILに対し質問する予定である。

(筆者注2) 「EU指令第29条専門調査委員会」は、1995年EU個人情報保護指令第29条に基づき設置した委員会であり、個人情報保護およびプライバシーに関する独立諮問機関である。その任務の内容は同指令第30条および2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令(Directive 2002/58/EC)」の第15条に規定されている。
なお、わが国では同委員会につき原文(Article 29 Data Protection Working Party)に忠実すぎるためか「29条情報保護作業部会」と訳す例が一般的である。しかしその任務や根拠に関する公文書で引用されるおよび根拠規定は次の通りであり、訳語としては上記の通り「EU指令第29条専門調査委員会」と訳すべきと考える。

(任務の説明の表題)
Articles 29 and 30 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data1

(本文)
"Article 29
Working Party on the Protection of Individuals with regard to the Processing of Personal Data
1. A Working Party on the Protection of Individuals with regard to the Processing of
Personal Data, hereinafter referred to as 'the Working Party', is hereby set up. It shall
have advisory status and act independently.
2. The Working Party shall be composed of a representative of the supervisory authority or authorities designated by each Member State and of a representative of the authority or authorities established for the Community institutions and bodies, and of a representative of the Commission.
Each member of the Working Party shall be designated by the institution, authority or
authorities which he represents. Where a Member State has designated more than one supervisory authority, they shall nominate a joint representative. The same shall apply to the authorities established for Community institutions and bodies.
3. The Working Party shall take decisions by a simple majority of the representatives of/the supervisory authorities.
4. The Working Party shall elect its chairman. The chairman's term of office shall be two years. His appointment shall be renewable.
5. The Working Party's secretariat shall be provided by the Commission.
6. The Working Party shall adopt its own rules of procedure.
7. The Working Party shall consider items placed on its agenda by its chairman, either on his own initiative or at the request of a representative of the supervisory authorities or at the Commission's request.

Article 30
1. The Working Party shall:
(a) examine any question covering the application of the national measures adopted under this Directive in order to contribute to the uniform application of such measures;
(b) give the Commission an opinion on the level of protection in the Community and in third countries;
(c) advise the Commission on any proposed amendment of this Directive, on any additional or specific measures to safeguard the rights and freedoms of natural persons with regard to the processing of personal data and on any other proposed Community measures affecting such rights and freedoms;
(d) give an opinion on codes of conduct drawn up at Community level.1. The 2. If the Working Party finds that divergences likely to affect the equivalence of protection for persons with regard to the processing of personal data in the Community are arising between the laws or practices of Member States, it shall inform the Commission accordingly.
3. The Working Party may, on its own initiative, make recommendations on all matters
relating to the protection of persons with regard to the processing of personal data in the Community.
4. The Working Party's opinions and recommendations shall be forwarded to the
Commission and to the committee referred to in Article 31.
5. The Commission shall inform the Working Party of the action it has taken in response to its opinions and recommendations. It shall do so in a report which shall also be forwarded to the European Parliament and the Council. The report shall be made public.
6. The Working Party shall draw up an annual report on the situation regarding the
protection of natural persons with regard to the processing of personal data in the
Community and in third countries, which it shall transmit to the Commission, the
European Parliament and the Council. The report shall be made public.”

2002年「個人情報の処理および電子通信部門におけるプライバシー保護に関する指令(Directive 2002/58/EC)」の第15条
Application of certain provisions of Directive 95/46/EC

1. Member States may adopt legislative measures to restrict the scope of the rights and obligations provided for in Article 5, Article 6, Article 8(1), (2), (3) and (4), and Article 9 of this Directive when such restriction constitutes a necessary, appropriate and proportionate measure within a democratic society to safeguard national security (i.e. State security), defence, public security, and the prevention, investigation, detection and prosecution of criminal offences or of unauthorised use of the electronic communication system, as referred to in Article 13(1) of Directive 95/46/EC. To this end, Member States may, inter alia, adopt legislative measures providing for the retention of data for a limited period justified on the grounds laid down in this paragraph. All the measures referred to in this paragraph shall be in accordance with the general principles of Community law, including those referred to in Article 6(1) and (2) of the Treaty on European Union.

2. The provisions of Chapter III on judicial remedies, liability and sanctions of Directive 95/46/EC shall apply with regard to national provisions adopted pursuant to this Directive and with regard to the individual rights derived from this Directive.

3. The Working Party on the Protection of Individuals with regard to the Processing of Personal Data instituted by Article 29 of Directive 95/46/EC shall also carry out the tasks laid down in Article 30 of that Directive with regard to matters covered by this Directive, namely the protection of fundamental rights and freedoms and of legitimate interests in the electronic communications sector.

以上を読んで指令の内容や委員の構成等から見て「作業部会」とする訳語は適切と思えないのは筆者だけであるまい。

(筆者注3) Googleの新ポリシー(日本語版)の文言を一部抜粋しておく。
サービスのご利用時に Google が収集する情報:
○端末情報
Google は、端末固有の情報(たとえば、ハードウェア モデル、オペレーティング システムのバージョン、端末固有の ID、電話番号などのモバイル ネットワーク情報)を収集することがあります。Google では、お客様の端末の ID や電話番号をお客様の Google アカウントと関連付けることがあります。

○ログ情報
お客様が Google サービスをご利用になる際または Google が提供するコンテンツを表示される際に、サーバー ログ内の特定の情報が自動的に収集および保存されます。これには以下の情報が含まれることがあります:

・お客様による Google サービスの使用状況の詳細(検索キーワードなど)
・電話のログ情報(お客様の電話番号、通話の相手方の電話番号、転送先の電話番号、通話の日時、通話時間、SMS ルーティング情報、通話の種類など)
・インターネット プロトコル アドレス
・端末のイベント情報(クラッシュ、システム アクティビティ、ハードウェアの設定、ブラウザの種類、ブラウザの言語、お客様によるリクエストの日時、参照 URL など)
・お客様のブラウザまたはお客様の Google アカウントを特定できる Cookie

○現在地情報
現在地情報を有効にした Google サービスをお客様がご利用になる場合、Google は、お客様の現在地に関する情報(携帯端末から送信される GPS 信号など)を収集して処理することがあります。Google は、たとえば、お客様の端末のセンサー データから提供される近くの Wi-Fi アクセス ポイントや基地局に関する情報など、他にもさまざまな技術を使用して現在地を判定することがあります。

○固有のアプリケーション番号
サービスによっては、固有のアプリケーション番号が割り当てられています。この番号とお客様のインストール情報(オペレーティング システムの種類、アプリケーションのバージョン番号など)は、お客様が当該サービスをインストールまたはアンインストールする際に Google に送信されることがあります。また、当該サービスが Google のサーバーに定期的にアクセスする際(自動更新の際など)にも送信されることがあります。

○ローカル ストレージ
Google は、ブラウザ ウェブ ストレージ(HTML 5 など)やアプリケーション データのキャッシュのようなメカニズムを使用して、収集した情報(個人情報を含む)をお客様の端末にローカルに保存することがあります。

○Cookie と匿名 ID
お客様が Google サービスにアクセスされると、Google はさまざまな技術を使用して、情報を収集して保存します。その際、Google からお客様の端末に一つまたは複数の Cookie や匿名 ID を送信することもあります。広告サービスや他のサイトに表示される Google 機能のように、Google がパートナーに提供しているサービスの利用の際に、Google が Cookie や匿名 ID を使用することもあります。


(筆者注4)CNILの質問状のURL1はエラーとなる。内容から見て次のURLが正しいと思う。
http://www.google.com/intl/en-GB/policies/privacy/

(筆者注5)Googleのポリシー解説サイトでもキーワードに関する説明がある。しかし、厳密な意味でCNILの疑問に答えるものではないようだ。

********************************************************
Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

2012年3月20日火曜日

英国の個人情報保護監視機関における重大な保護法違反への刑罰強化の制度改革および運用実態の課題(その1)



 本ブログでも過去紹介してきた英国のロー・ファーム(Pinsent Masons)が主催するブログ“ Out-Law.com”が興味深い問題を取り上げた。
 英国の個人情報保護および公的機関の情報開示の独立監督機関として有名な「Information Commissioner Office:ICO)」が実際に刑罰(罰金刑)強化の決定にどのように取り組んでいるか、Pinsent Masonsが情報公開法に基づき請求した結果をこのほど明らかにした。

 英国における情報保護法違反者への法執行および刑罰の実態についてわが国では詳細な調査は少ない。
 実は、筆者は2010年1月に「英国政府が個人情報保護法違反取扱管理者に対し最高50万ポンドの罰金刑処分規則を決定・施行」と題するブログを掲載する予定で原稿を一部書き上げていたのであるが、ほかの案件問題でそのまま放置したままとなっていた。

 今回、標記の問題を取り上げるにつきその前提として2010年以降の英国の情報保護違反に対する厳格な法執行(罰金刑の適用)が制度的にどのように変遷してきているかの理解がまず前提であることから、今回はその問題をまず取り上げ、その後にICOの罰則処分にかかる運用実態の調査結果を紹介することにする。

 なお、わが国の経済産業省は3月16日付リリースで事業委託先である野村総合研究所が配信先アドレス(2,350名)がBCCとせず見える形で配信していたことが明らかとなり、同研究所に対し厳重な注意と再発防止策の策定を指示したと報じた。英国ICOであればどのような処分が行われるであろうか。ICOに直接聞いてみたい気がする。


1.英国ICOの罰金処分手続きに関する規則制定と罰金刑適用ガイダンスの公布
 英国政府は、情報公開および情報保護委員(Information Commissioner Office:ICO)(筆者注1)による「1998年個人情報保護法(Data Protection Act 1998:DPA)」違反犯罪に対し最高50万ポンド(約6,350万円)の罰金刑処分手続に関する規則(2010年4月6日施行)(筆者注2)を決定、議会が承認した。
 また、本規則を受けてICOはDPAの個人情報取扱管理者である「情報管理者(data controller)」への後述する「罰金刑適用ガイダンス」(筆者注3)
を公布した。

 2010年の英国の法規制強化は、2006年の本ブログ(2011年2月28日付けで一部改訂)でも取り上げたとおり、データ主体の権利( 「1998年情報保護法(Data Protection Act 1998:DPA )」10条(筆者注4)に基づくいわゆるプライバシー権や私法上の救済権)に基づく直接的な保護や規制に加え、“data controller”の保護法の保護8原則(筆者注5)に違反する重大な取扱責任を直接問うもので、その責任追及の根拠としてデータ主体の実質的な金銭的損害または精神的苦痛等を拠りどころとするものである。
 一方、英国の情報保護法の規定や運用が、わが国の個人情報保護法(個人情報の保護に関する法律(2003年5月30日法律第57号))に一部共通している、すなわち罰金刑通知発布の事前措置としての改善勧告等が定められている点、他方、英国ICOの場合、今回の罰則強化の前提として「改善・停止命令(enforcement)」が頻繁に出され厳しい運用が行われていることも、わが国の保護法運用のあり方と比較する上で重要な点と考えた。

 英国ICOの「改善・停止命令」は、1か月に平均3回程度出されている。公表されている例はすべて“data controller”(筆者注6)からの「改善同意確約書(Undertaking)」を得ている。一方、わが国の改善命令等の実態はどうであろうか。わが国の主務官庁にはICOが管理しているような登録データベースがない。さらにいうと主務官庁は一応命令を発したときは、根拠条文にもとづきリリースは行うが、当該情報はたまたまメデイアが取り上げないかぎり、まず一般人の眼にとまることはない。筆者なりに各省庁別に調べてみたがこの約5年間で数件である(厚生労働省のように機微情報を扱う医療機関の監督機関でありながらゼロ件の場合もある)。

 また、研究者として興味も持ったのは今回の英国のガイドラインに規定方法も含め分かりやすさへの配慮、さらに拘禁刑の論議はどうなったのか、最高罰金刑の50万ポンドによるデータ管理者の適正運用強化に向けた効果面の評価等、多くの検討すべき点が見えてきたからである。

 今回、筆者の整理した論点はあくまでたたき台であるが、関係者の活発な論議を期待したい。

2.情報公開および情報保護委員(ICO)の設置の根拠法と権限
(1)ICOの権能を改めて取り上げた背景
 筆者は、2006年5月28日付けの本ブログ「ICO報告書「What price privacy?(副題は『機微個人情報をめぐる違法取引の実態』)(2011年2月28日に改訂)」で、その厳格化のため処罰強化を含めた具体的取組みを議会や関係者に訴えている旨の情報を取り上げた。これらの動きは、その後のICOの権限強化等個人情報をめぐる英国内の議論のきっかけとなるといえよう。
 ただし、今読み返してみるとかならずしもICOに関する法的な説明文としては不十分な感もあり、さらに言えば英国の個人情報保護法(DPA)の規定の考え方や運用を含め、わが国と比較研究する意義は十分あると考えた。(筆者注7)

 もう1点は、ICOの役割を正確に理解することは筆者が従来から強い関心をもつ欧米の「行政情報公開制度」とも緊密に関係してくることから、改めて説明し直すこととしたこともある。

(2)ICOの役割、権限、責任、主務官庁等に関する根拠法や規則
 最近時の調査としては2011年3月内閣府がまとめたレポートがあるが、その内容は決して十分とはいえない。また、2006年6月に(財)自治体国際化協会「英国の情報開示と保護―情報自由法とデータ保護法を中心としてー」は情報公開法に関する説明が中心ではあるが、ICOのHPの説明内容に比べ参考にはなりがたい。
 ここで、改めてICOの説明内容にもとづき重要な点を整理する。

A.情報保護委員の権限・活動の根拠法
 次の3つの法律および2つの規則である。
「1998年個人情報保護法」および「同法注釈集(改正内容等)」が中心となる。

「2003年プライバシーおよび電子通信に関する規則(Privacy and Electronic Communications (EC Directive) Regulations 2003)」
 同規則は、英国が「Directive on privacy and electronic communications (2002/58/EC) (通信部門における個人データ処理及びプライバシー保護に関する欧州議会及び理事会指令)」を国内法化したものである。

「情報公開法(Freedom of Information Act 2000)」および「環境情報規則(Environmental Information Regulations 2004)」

B.情報保護委員の責任と義務の内容
① 情報取扱い事業者や団体等の行動、実践内容につき具体的な行動規範に基づき政策や法執行を行う(Taking action)。
② DPAが規定するデータ管理者の公的登録事務(氏名、住所、取扱う個人データの種類が対象)を維持、管理する(Register of data controllers)。(ICOサイト参照)
③ 監査(Audits)、助言・勧告のための訪問(Advisory visits)および自己問診(Self assessments)等により事業者、団体等の取扱い内容の適正化を支援する。(ICOサイト参照)
④ 苦情受付処理(Handling complaints)
 毎年、数千の苦情を受け付ける。
⑤ 公的部門全体にかかる「モデル公表手順」の採用と運営内容につき遵守状況のモニタリングと報告を行う(Monitoring compliance)。
⑥ EU機関、欧州委員会および他のEU加盟国と国際的な協力関係を含む国際的な役割を担う(International duties)。

(3)前記B.①(Take Action)のICOの任務を大別すると、(ⅰ)個人情報保護と電気通信の安全保護(data protection and privacy and electronic communications)、(ⅱ) 情報開示と環境情報保護(freedom of information and environmental information)となる。
 ICOサイトでは活動内容として、この両者それぞれにつき説明している。ここでは(ⅰ)の機能を中心に説明するが、(ⅱ)については下記(4)およびICOサイトで確認されたい。なお、取扱い案件に関する詳細な解説も記載されているがここでは主な法執行の取扱件数のみ上げる。

①情報管理者等がDPA等の遵守内容を改善するためにとるべき一連の行動に関する「改善同意確約書(Undertaking)」を発行する。(11件)
②違法な事実が認められる情報取扱団体・機関等に対し、法令遵守のため特定の手段をとるべきことを求める「法執行通知(enforcement notices)」および「即時停止命令(“stop now” orders)」を発布する。(3件)
③団体・機関等に対する法令遵守に関する「同意に基づく検査(監査)(consensual assessments)の実施
④団体等が行っている個人情報の取扱手続(情報保護問題のみ)が良き実践内容といえるかどうかの調査を行うため強制検査に関する「検査通知(assessment notices)」を発布する。
⑤2010年4月6日以降におけるDPAの重大な違反行為または「プライバシーおよび電気通信規則(Privacy and Electronic Communications Regulations)」の重大な違反を理由として団体・機関等に対し最高50万ポンドの民事罰則金(civil monetary penalties)を課す罰金刑通知(monetary penalty notices)を発布する。(14件)
⑥DPAの下で犯された刑事犯罪人に対する刑事告訴(prosecute)を行う。(5件)
⑦社会的に問題となる個人情報保護違反について議会への報告

 これらICOの法執行通知についての異議申立ては、一次裁定機関(First-Tier Tribunal)の一般規制部(General Regulatory Chamber:GRC)で受け付けられ、裁決通知(decision notices)および関係情報通知(information notices)は情報保護委員から発布される。
 なお、ICOサイト(Take Action)3/18⑦ではさらに「データ保護規制行動方針(Data Protection Regulatory Action Policy)」、「査定通知に関する実践規範(Assessment Notices Code of Practice)」および「民事罰金刑適用に関するガイダンス(Monetary penalties guidance)」等にリンクして直接参照できる。(筆者注8)

 以上の項目につき、わが国で詳しく説明しているものは皆無である。下記に項目立てして詳しく述べる。

(4)公的機関による情報自由法の適正運用の推進と同法の実施基準の提供
 この問題について、今回は詳細な解説は略すが、前述した(財)自治体国際化協会「英国の情報開示と保護―情報自由法とデータ保護法を中心としてー」から一部抜粋する。

① 国民に対し情報自由法の情報提供
② 情報請求開示者からの不服申立の審査
③ 情報自由法に基づく、毎年国会に対する自らの機能実施状況についての報告

より具体的に情報委員の権限を整理すると次のとおりである。
① 情報開示請求に関する公的機関の判断について、請求者から不服申立があった場合、当該機関が情報自由法を遵守しているか否かについて裁決を行うこと( 裁決通告:decision notice)。この通告には公的機関がとるべき措置やその期間を明記しなければならない。
② 公的機関に対し特定の情報を提供するよう要求(情報通告:information notice)すること。
③ 情報自由法が遵守されていないと判断される公的機関に対し同法を遵守のための措置
を講ずることを要求(執行通告:enforcement notice)すること。
④ 公開計画の承認に関すること。
⑤ 公的機関に対する助言・報告書の提供、また公的機関の同意があれば当該機関が情報自由法の適正な運用を行っているかどうか評価すること。

(5)2011年5月26日施行された「改正2003年プライバシーおよび電子通信に関する規則(revised Privacy and Electronic Communications Regulations:PECR)」の主な内容
 改正の中心は必ずしも大幅なものではないが、重要な要素を含んでおり、ICOサイトでは次のとおり解説している。

A.新クッキー・ガイダンスの制定(筆者注9)
 改正規則6条はクッキーの使用に関する新規定を定める。同規定の具体的な運用ルール等を明確化すべくICOは「Guidance on the rules on use of cookies and similar technologies(全27頁)」(ICOサイトからリンク可)を定めるとともにサイト上で次の説明を行っている。(筆者注10)


○データ管理者(data controller)は過度に個人情報の処理を行うことを禁止するDPAの第3原則が求める要件を含む。個人情報の収集時、データ管理者は効率面からも見ても匿名の処理を考えるべきであり、たとえばウェブサイトの訪問者数をカウントするなど、ユーザーが直接目的とした内容以外の目的を持って情報を保有する場合がそれに当たる。
○通信内容の機密性とスパイウエアに関し、本改正規則の意図は内密のオンライン監視メカニズムに関する懸念をも反映したものである。ここで問題となるのは合不適なオンラインビジネスで収集される個人情報ではなく加入者やユーザーが知らないままに情報の入手、保存、行動内容を追跡するものであり、それらはしばしば犯罪目的で行われるものである。
○改正規則はサービス・プロバイダーが提供すべきクッキー情報に関し具体的に記述していない。しかし、クッキー通知文言は当該情報主体においてクッキー情報の保存やアクセスを認めた場合の潜在的結果について理解できる程度の十分かつ明確な情報内容でなければならない。これはDPAにいう第一原則である「透明性原則」に該当する。
○クッキーの拒否権行使の例外規定
 改正規則は次にあげる特定のアクセスデバイスについてはクッキーにつき同意は不要と定める。
①電子通信ネットワーク上で通信手段の実行または支援目的の場合
②当該データの保存やアクセスが加入者やユーザーにより要求されたもので情報社会サービスの提供上厳格な意味で必須である場合

○加入者とユーザーが異なる場合のクッキー同意の相手方
 改正規則6条はクッキーに関し加入者やユーザーから同意を得ることを定めるが、それらが異なる場合にいずれが優先するかについては明記していない。
 おそらく、加入者(たとえば雇い主)が特定の業務遂行目的でデバイスを従業員に行わせる手続きの遂行を優先させるという雇い主の意向を優先させることは不合理とは言えないであろう。

B.公的サービス・プロバイダーに対する個人データ保護の侵害事故におけるICOへの報告の義務化(personal data breaches)
 サービス・プロバイダーのこの義務を履行する上での報告義務の内容は次のとおり定められている。補足するとデータのセキュリティ事故の通知とは次の場合に通知義務が生じるということになる。
(i)データのセキュリティ事故が発生し、その結果、不作為または不正により個人情報が破壊されもしく消失した場合または個人情報に不正アクセスがあった場合には、そのセキュリティ事故を、およびそれに伴い提案または実施された是正措置の詳細を情報コミッショナーに通知し、(ii)当該セキュリティ事故が加入者または個人の個人情報またはプライバシーに悪影響を及ぼす可能性が高い場合には、当該加入者または個人に事故を通知し、より詳しい情報の入手先を連絡するとともに、発生し得る悪影響を軽減するための措置を提案すること。
(Herbert Smith法律事務所の解説から一部抜粋)

①個人情報の侵害事故に関する次のログ内容を報告する義務を負う。
・侵害の周辺で起きた事実
・侵害の影響範囲
・実際に取られた改善・救済措置

②ICOへの通知内容は次の内容が含まれねばならない。
・侵害の事実の重大性
・侵害の結果
・侵害に対する措置としてプロバイダーが取った具体的手段

 この報告手続きをより簡素化するため、ICOはプロバイダーに毎月単位で報告を行うよう勧奨している。なお、侵害通知義務を怠ったプロバイダーに対しては1,000ポンド(約128,000円)の罰金が課される。
さらにICOは侵害が重大な事故に関わるか否かの判断に関し次の点に十分配慮することを勧める。
・そこに含まれる個人情報のタイプと機微性
・データ主体にとって苦悩や困惑等の影響度合い
・金銭的な損失、詐欺やなりすましにあうリスク

③加入者、ユーザーに対する次の通知が義務化された。
・侵害の事実の性格、重大性
・データ主体が更なる詳細情報を得るためのプロバイダーたる団体、機関等の連絡窓口
・侵害の事実とその影響をどのように軽減化できるか具体的方法

C.情報委員への改正規則に基づく法執行権限の付与(enforce these regulations)
○ICOに付与された新たな法執行権限は次の項目である。
①重大な規則違反に対する最高50万ポンドの民事罰則金
②公的サービス・プロバイダーに対する監査の実施
③同サービスの安全性強化に関する指導
④侵害事故時の通知義務や報告の遵守指導

○侵害時の通知義務を怠った場合の一律1,000ポンドの民事罰則金を課す。
○必要に応じプロバイダーの遵守状況を調査するため関係する第三者機関に情報提供させる。


(筆者注1)わが国では99%の専門家が” Information Commissioner”を「情報委員」 と訳している。本ブログでは、あえて法律内容の正確さを優先させて「情報公開および情報保護委員」という訳語を用いた。

(筆者注2) 英国政府の“Order”とは、いわゆる省令(行政規則)であり、Act(本件の場合は1998年個人情報保護法(Data Protection Act 1998 ))によって授権された担当大臣(本件の場合は国務大臣および法務大臣)の名で具体的な規則を定めた“Statutory Instruments”(国会で簡略的な承認手続きを経て策定されるもの)である。

(筆者注3)罰金刑通知のガイダンスの原文に即していうと” seriously contravened the data protection principles and the contravention was of a kind likely to cause substantial damage or substantial distress”となる。

(筆者注4) 英国DPAの10条は、データ主体の権利として“Right to prevent processing likely to cause damage or distress”を定める。また、DPAの11条(Right to prevent processing for purposes of direct marketing)はデータ管理者に対するデータ主体の権利すなわちいかなる手段を問わずダイレクト・マーケティングの中止や開始を阻止する権利を定める。

(筆者注5)英国DPAの“Schedule”に定める「個人情報保護8原則」は極めて重要な保護規則である。なお、「附則1に規定されているデータ保護原則(Data Protection Principles)の要約は、ICO によると、次のようになっている。日本の法律と異なり、附則に重要な事項が規定されていることに注意する必要がある(本稿では、Schedule を「附則」と訳しているが、日本の法律の附則とは異なることに注意されたい。イギリスの制定法の特徴である。」解説
(筆者注6)わが国の行政機関の個人情報保護は「行政機関の保有する個人情報の保護に関する法律(平成15年5月30日法律第58号)」により規制されているが、英国の場合は法律上「官民」の区別がない。従って、例えばロンドン市(City of London)の1998年個人情報保護法の解説サイトでは、同市自身が“data controller”であると説明している。

(筆者注7) 内閣府国民生活局「個人情報保護」サイトで紹介されている「諸外国等における個人情報保護制度の運用実態に関する検討委員会・報告書」ではイギリスのICOにつき次のような説明が行われている。
「ICO は、マンチェスター郊外に本部事務所を構えるほか、北アイルランド、ウェールズ、
スコットランドにも地域事務所を置いている。ICO は、1998 年データ保護法のみならず、2000 年情報自由法、2003 年プライバシー及び電子通信(EC 指令)規則(Privacy and Electronic Communications (EC Directive)Regulations 2003)、2004 年環境情報規則(Environmental Information Regulations 2004)に基づく任務を担っている。権限拡大に伴い、毎年スタッフを増員し、組織を拡大させているとのことである。」
 確かにICOのHPを直訳するとこうなる。しかし、作業した担当者は各法律や規則の原文を読んでいるのであろうか。あえて正確さを期すためコメントしておく。

【例】①マンチェスターの前に「イングランド」が必要であろう。グレート・ブリテンはいうまでもなくイングランド、ウェールズ、北アイルランド、スコットランドからなる連合王国である。
②「2000年情報自由法」はどのような法律であろうか。ICOサイトでは“The Freedom of Information Act gives you the right to obtain information held by public authorities unless there are good reasons to keep it confidential.”すなわち日本でいう「行政機関の保有する情報の公開に関する法律(平成11年5月14日法律第42号)」に部分的に該当する法律である。同法の内容に即して補足すると、国立国会図書館「外国の立法」216号では「2000年情報自由法(Freedom of Information Act 2000)は、これまでの制定法によらない政府情報のアクセスに関する実施要領に代わるものであり、政府の省、議会、地方公共団体等の公的部門が保有する記録情報に対するアクセス権を創設するものである。この法律の主な特徴は、①法律の定める条件及び除外規定に基づく、情報に対する広く一般的なアクセス権を創設したこと、②除外規定が適用される場合であっても、公益のために裁量的開示が考慮される必要があるとしたこと、③情報の公開が義務付けられたこと、④独立の情報コミッショナー及び情報審判所による執行権限を定めたことである。」と説明されている(国会図書館やその他の外国法専門家が一般的に使う「情報自由法」と言う訳語は内容からみておかしいと思うが?)。本ブログではあえて「公共部門保有情報公開法」と意訳する。当然ながら同法は「言論の自由に関する法律」ではない。
③“EC directive”の訳語は「EC指令」ではない。わが国の個人情報保護法の検討の最も参考とされた「個人データ処理に係る個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の指令」 (95/46/EC)」を「EC指令」と言う専門家はいない。ちなみに欧州連合(EU)は2009年12月1日に改革条約である「リスボン条約」が発効した。その中で「ECの名称はすべてEUに置き換えられる」とあり、今後“EC( European  Community ) directive”は“EU(European Union) directive”となる。
④2004年環境情報規則(Environmental In- formation Regulations 2004 (S.I. 2004/ 3391))
の基本的な説明が欠如している。すなわち、同規則は「ヨーロッパでは、国連欧州経済委員会(UNECE)の枠組の中で「環境問題についての情報の入手、意思決定における国民参加及び司法制度の利用に関する条約」(Convention on Access to Information, Public Participation in Decision-Making and Access to Justice in Environmental Matters)を制定した。この条約は、1998 年6 月25 日、オーフス(デンマーク)で開催された第4回汎欧州環境閣僚会議において採択されたものであり、それに因んで「オーフス条約」(Århus (Aarhus) Convention)」と呼ばれる。環境情報規則(2004年12月21日制定、2005年1月1日施行)は同条約および2003/4/EC指令ならびに“Freedom of Information Act 2000”に基づいている。」(日本大学岩田元一氏(2006年現在の所属)「環境情報に関するヨーロッパの制度とわが国の現状」より一部抜粋引用)。なお、近畿大学 林 晃大氏「イギリスにおける環境情報開示と2004年環境情報規則」も参考になる。
 
(筆者注8) わが国で法令の解釈を補完するICOガイダンスに該当するものは各省庁が定める「保護法ガイドライン」であろう。2009年10月9日付けで経済産業省は「個人情報の保護に関する法律についての経済産業分野を対象とする改正ガイドライン」を告示した。4年半の間で築いたノウハウはこれだけか。内容は極めて微調整である。
 また、金融庁も2009年7月10日付けで「金融分野における個人情報保護に関するガイドライン」改正案を公表している。主務官庁の中で一番多く改善命令を出していることもあり、ガイドラインの見直しの範囲や説明の充実も他省庁より多い。ただし、英国のような抜本的な罰則強化策とはいえない。

(筆者注9)ICOは、自身のサイトの上部で下記のような注意書きと明示的なクッキー許諾を求めている。
「ICOは、私たちのウェブサイトを改良する目的であなたのコンピュータの情報保存にクッキー技術を使用したいと思います。私たちが使用するクッキーの1つは、サイトが作動するのに不可欠なものであり、既にセットされています。あなたはこのサイトからすべてのクッキーを削除して、クッキーをブロックすることができますが、サイトは機能しないでしょう。
私たちが使用するクッキーとどのようにそれらを削除するかについて詳しくはICOの「プライバシー通知(privacy notice)」をご覧ください。

I accept cookies from this site.
□私はこのサイトからクッキーを受け入れます。」

(筆者注10) クッキーへのユーザー同意:ウェブサイト上で「クッキー」を利用している企業は今後、クッキー利用についてユーザーの同意を得なければならず、今までのように、同意を望まない場合はユーザー自身に「オプトアウト(能動的に拒否すること)」してもらうことができなくなりました。新規制では同意の要件が曖昧なため、情報コミッショナーは、ガイダンスを発表し(こちらのリンクをご参照下さい)、企業に「対策を講じるために」1 年間の猶予期間を認めています。(Herbert Smith法律事務所の解説から一部抜粋)

************************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.