2012年10月27日土曜日

米国IC3やFBIが最近時に見るモバイル携帯OSの「不正プログラム(malware)」および安全対策につき再警告







 10月12日、米国のインターネット不正ソフトや詐欺等の犯罪阻止窓口であるIC3(Internet Crime Complaint Center)およびFBI は、「モバイルフォン・ユーザーはモバイル端末機器を標的とする最近時に検出された2種を例にあげ『不正プログラム(malware)』およびそのセキュリティ侵害(compromise)を阻止すべく具体的な安全対策の理解を深めるべきである」と題するリリースを行った。

 この問題は従来から問題視されているインターネット詐欺の応用形であることには間違いなく、手口自体につき目新しさはない。(筆者注1)しかし、携帯インターネット端末であるモバイル端末の利用時に得られる個人情報をいとも簡単に入手する手口はさらに今後のリスク拡大から見て無視しえない問題と考える。

 その意味で、今回紹介するIC3の警告内容の正確な理解は、わが国のモバイルユーザーの急増に対応して、改めて警告を鳴らす意義があると考え、簡単まとめた。特に、IC3やFBIのリリース文は極めて簡単な内容で、リスクのありかが良く読み取れない部分が多い。このため、筆者なり調べ、米国「VDCリサーチグループ社の解説等で補足した。 
 なお、筆者は1026日付けの“WIRED”でセキュリティ・研究者であるマーカス・ジェイコブスン(Markus Jakobsson)FBI等の警告の不十分性を指摘するレポートCybercrime: Mobile Changes Everything - And No One's Safeを読んだ。詳しい解説は省略するが、要するに従来のPCと携帯端末のハッカーによるセキュリティ・リスクの差異の現実を踏まえ、FBIの警告の無効性を指摘する一方で、具体的防御策を提供するものである。詳しい解析は改めて行うつもりであるが取り急ぎ紹介する。

1.不正プログラム“Loozfon”や“FinFisher”とは

(1)“Loozfon”の手口

自宅でEメールを送信するだけで、いとも簡単に稼げる儲け話である。これらの広告アルバイト話は“Loozfon”に繋がるように設計されたウェブサイトにリンクされる。この不正アプリケーション・サイトは被害者たるユーザーの携帯端末からアドレス帳の通信の詳細や感染した電話番号を盗み取るのである。

(2)“FinFisher”の手口

モバイル端末のコンポーネント機能を利用した乗っ取りを可能とするスパイウェアである。異端モバイル端末にインストールされると、目標の位置の如何を問わず遠隔制御やモニタリングを可能とする。被害者たるユーザーが特定のウェブサイトを訪問したり、システムのアップデートを仮装したテキスト・メッセージを開くとスマートフォン情報をいとも簡単に第三者に送信させてしまう。

 以上の2つは、犯人が違法な釣る言葉を用いて、ユーザーのモバイル端末を極めて危険な状態に陥れる不正プログラムの例である。

2.ユーザーのモバイル端末をこれら犯罪者から保護するためのヒント

①スマートフォンの購入時、デフォルト・セッティング(初期値設定)を含む当該端末の特性を正確に理解する。違法プログラムによる端末の点や面への攻撃(attack surface)を最小化するため不要な端末機能は「オフ」に設定する。

 このモバイル端末(プラットホーム)の点や面への攻撃問題(Attack Surface Problem on Mobile Platforms)とはいかなることをさすのであろうか。わが国における個人だけでなく企業活動の脆弱性問題に関する詳しい解説は皆無と思われる。(筆者注2)
 したがって、ここで米国「VDCリサーチグループ社」のサイト・ブログThe Attack Surface Problem on Mobile Platformsを一部抜粋し、仮訳する。


○デスクトップとの比較では、現時点でモバイル・プラットホームの脅威に関する問題提起数は少ないが、このモバイル端末の増殖のペースはネットワークの終点に関する伝統的な定義を変更し、スマートフォンやタブレット端末に対する危害攻撃の魅力的目標に変えた。これら端末製造メーカーは各デバイス販売の連続的なリリースの中で、ハードウェア上に埋め込んだ安全性を高め続けているが、一方でサイバー犯罪者は従来の戦術の矛先を変え、モバイル・プラットホームやアプリケーションにおける欠陥を利用するのに夢中になっている。

○法人のIT化における別の意味の複雑化は、今日のモバイルOS景観の断片化で見て取れる。リサーチ・イン・モーション(Research In Motion:以下、RIM)のBlackBerry OSはがんばっているが、我々のデータ解析結果では企業は平均して2つのOSをサポートしている。これは、安全性端末の管理の観点からみて問題であり、事実、マルチプラットホーム・モバイル端末環境を効率的に管理することとともに複雑性を増している。

○犯罪者の気持ちから見ると、個人のEmail、コンタクト情報、パスワード、その他保有する個人や法人の情報、高価値の潜在的な金融情報の宝の山等のすべてが攻撃対象となる。(1)フィッシング詐欺(パスワードやその他の個人情報を盗める)、(2)位置GPS情報の追跡、(3)金融不正プログラム等は違法かつ潜在的な犯罪活動を可能にする。

○常に新しい技術プラットホームは新たな脆弱性を導く。モバイルによる解決策の投資から得られる戦略的優位性を認識する挑戦的な組織は、ビジネスの改革を阻害することなしに資産を守り運用効率を維持する。

モバイルを利用した労働環境が広がり続けるとき、これらは不可欠の広がりを続けるであろう。

○モバイル端末の共通的特性は、複数の接続の選択肢であり、このことは法人のネットワークにただ1つの最終評価として現れる従来のPCと異なる。強靭なネットワーク接続に関する選択肢は、モバイル端末を極めて強固なものとし、データの検索と情報の共有は痛みを伴わない。しかしながら、法人内で配備されるとその点はモバイル端末に一連の脅威を与える。

○結論

モバイル・プラットホームへの点や面への攻撃問題の正しい理解は企業にとってモバイル労働環境を拡大するうえで極めて重要な点である。前進的かつ深層防御アーキテクチャー(defense –in-depth architecture)(筆者注3)に基づく脅威に関する向きと大きさのベクトルの開発が必要である。

「将来の証拠(future proof)」となるモバイル技術プラットホームの最大の保護策は、個人的なIT教育だけでなく今日のモバイル・エコシステムに必要とされる継続的に成熟度を持ちかつ保護するための強力なソフトウェア解決に向けた武装化である。


②モバイル端末はそのタイプに従い、OSは可能な暗号化手法を持つ。このことは紛失や盗難時にユーザーの個人情報を保護すべく利用できる。

③モバイル端末の市場の拡大に伴い、ユーザーはアプリケーションを公表した開発者や企業の評価・説明内容を注意深く見なければならない。すなわち、ユーザーはアプリケーションをダウンロードするとき、あなたが与える許可内容を見直し理解する必要がある。

④パスコードは、あなたのモバイル端末を保護する。これは端末の内容を保護する物理的な第一レイヤーにあたる。パスコードとともに2,3分後スクリーンロック機能を可能にする。

⑤あなたのモバイル端末につき破壊工作の保護手段を得ること。

⑥位置情報(Geo-location)を入手させるアプリケーションに十分注意すること。このようなアプリケーションはいかなるところでもユーザーの位置を追跡する。このアプリケーションはマーケティングにも使えるが、他方でストーカーや強盗を引き起こす犯罪者も利用が可能である。

⑦あなたの端末を知らないワイアレス・ネットワークへ接続することは不可である。これらのネットワークは、あなたの所有する端末と合法的なサーバーの間で授受される情報を捕捉する危険なアクセスポイントでありうる。

⑧スマートフォンは、最新版のアプリケーションとファームウェアを求める。ユーザーがこれを怠るとデバイスをハッキングしたり、セキュリティ侵害を引き起こす。


(筆者注1)筆者ブログ: 2009年4月17日「米国IC3やFinCEN等によるインターネット犯罪や不動産担保ローン詐欺の最新動向報告」、2012年9月29日 「米国FBI、IC3が「レヴェトン」名を名乗るランサムウェアの強制インストール被害拡大の再警告 」等を参照。



(筆者注2)  「Attack Surface Analyzer」は、あるシステムの導入前と導入後のシステム設定を比較して、攻撃を受ける恐れのあるコンポーネント、モジュール、サービスなど(Attack Surface:攻撃面)を洗い出すツールをいう。

MicrosoftやSANS Internet Storm Centerなどのブログによると、同ツールではソフトウェアをインストールする前とインストールした後のシステムの状態を比較し、そのソフトウェアがシステムにどんな影響を与えるか、どんなリソースを利用するか、どんな変更を加えるのかをチェックできる。これにより、そのソフトウェアをインストールすることによる「Attack Surface」(攻撃可能な面や点)の変化を検証できるという(ITmediaの解説、「窓の杜」の解説例

(筆者注3) 多層防御 Defense in depth)は、情報技術を利用して、多層(多重)の防御を行う手法と、人員、技術、操作を含めたリソースの配分までを決定する戦略までを含んだものである。これは、情報保証(Information AssuranceIA)戦略の一種である(Wikipedia から抜粋)。なお、“defense–in-depth architecture”に関する専門的解説例としては、例えば情報セキュリティの調査・研究および教育に関する大手専門組織であるThe SANS Institute「多層防御―不法侵入の阻止(Intrusion Prevention - Part of Your Defense in Depth Architecture?)、米国連邦エネルギー省Control Systems Cyber Security:Defense in Depth Strategies等があげられる。



********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.







2012年10月19日金曜日

欧州司法裁判所はオーストリアの情報保護委員会が政府から十分な独立性を維持していないと判示










10月16日、欧州連合司法裁判所(Court of Justice of the European Union:CJEU)(筆者注1)はオーストリアの個人情報保護監視機関であるAustrian Data Protection Authority:Datenschutzkommission:DSK)(筆者注2)の独立性を疑問視した欧州委員会および欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)(筆者注3)からの申立に対し、大法廷はDSKが連邦首相ヴェルナー・ファイマン(Werner Faymann)府内のキャリア組の管理等に中心的な権限を持ち、またそのスタッフが公務員であること、さらに首相がDSKの活動内容に精通している等の事実にもとづき、EU情報保護指令(Directive 95/46/EC)第28条(筆者注4)に違反するとする裁決(判決原本)を行った。

 また、この独立性原則は、同指令のみでなくEU基本権憲章(Charter of Fundamental Rights of EU)およびEUの機能に関する条約(Treaty on the Functioning of the EUTFEU)においても明らかにされている。

 今回ドイツはオーストリアのDSKの擁護に回ったが、CJEUがEU加盟国の情報保護委員の独立性について判示したのは今回が初めてではない。例えば、2010年3月9日に同裁判所は欧州委員会がドイツに対し行った告訴に対し、今回と同様の論理にもとづき、加盟国のEDAsは彼らの責務を履行への影響や政策決定プロセスにおいてあらゆる直接、間接の影響から自由でなければならないと判示している。

 なお、今回のブログは時間の関係でEDPSのリリース文の内容を中心にまとめたが、本ブログでも過去に取り上げた英国の法律事務所Pinsent Masons LLPの「Out Law .com」がより詳しく解説している。ぜひ、参照されたい。

1.EDPSの10月16日のリリース文(Commission v. Austria: Court of Justice says Austrian data protection authority is not independent)

次のとおり仮訳する。
○本日、EU欧州司法裁判所はオーストリアの情報保護委員会(Data Protection Authority(Datenschutzkommisson(DSK))が、1995年EU情報保護指令が概略規定する独立性要件を充足していないと判断した。特に、本法廷はオーストリアの法令の規定に定める政府からのDSKの機能的独立性が十分でなく、連邦政府の首相(Chancellery)との緊密な結びつきを避けることが、DSKが何よりも不公正の疑いであることを防ぐと述べた。EDPSの主席監察官ピーター・ハスティンクス(Peter Hustinx)は次のように述べた。「再度、大法廷は現在のオーストリアにおける情報保護委員会の完全な独立に関する法律上の義務にアンダーラインを引いた」本判決は、国内法令で有効にそれを保護するために基本的な権利と公平の必要性としてデータ保護の重要性を支持するものである。また、データ保護当局の役割を強化しなければならないデータ保護枠組みの見直しに関し、本判決は重要な意義を持つ。」

○大法廷は、連邦政府首相府の中でキャリア組を管理するメンバーのDSKにおける中心的役割を批判した。また、DSKのスタッフは連邦政府首相の下にある公務員である。さらに首相には、DSKのすべての活動について知識・情報が得られる権利がある。しかしながら、大法廷はそういうもののDSKの活動自体は批評しなかった。

○具体的な事例における首相の介入に関する裁判所の判断をEDPSは歓迎する。2番目の事例について、大法廷はデータ保護当局からの独立にそのような重要性を置いた。同法廷は「EUの機能に関する条約(Treaty on the Functioning of the EU:TFEU)」を示すことで、本当に独立したデータ保護当局がデータ保護分野で行われる仕事の本質部分である点を強調した。

〔今回の判決の背景となる関連情報〕

今回のEU指令違反手続き訴訟は、オーストリアに対して欧州委員会によってもたらされた。すなわち、オーストリアの情報保護委員会(DPA)が設置された方法が、EU保護指令に合致しないと信じうるものであるという理由に基づくものである。欧州委員会は、オーストリアのDPAの独立性はDPAと連邦政府の首相との支配的に緊密な結びつきから見て十分確実でないと主張し、本事件は2012年4月25日にCJECに持ち込まれた。そして、EDPSは訴訟参加者(intervening party)として同裁判の審問において欧州委員会を支持するために参加した。

法的な解釈に関連し、本事件は「欧州委員会 対 ドイツ事件(C-518/07)」 (判決文)に匹敵する)。EDPSは同裁判でも、欧州委員会を支持して訴訟参加者としてそこで機能した)。 2010年3月9日のCJEU判決では、同法廷はDPAsには直接または間接的であれいかなる外的影響もあるべきでないと考えた。 外的影響を受けるという単なるリスクは、DPAが完全な独立して行動できないという結論を下すために十分である。 オーストリアDSKに対する今回の裁判では、法廷に対し独立性の要件につき更なる明快さを提供するよう求めた。

2.EUにおける保護委員会等の独立性問題と関係機関の受け止め方

たとえば、2011年にEU基本的人権保護庁(FRA)が取りまとめ公表した「Fundamental rights:challenges and achievements in 2010」(筆者注4)の第3.3章「Data protection authorities:independence ,powers and resources」(59ページ以下)は、2010年5月にFRAが公表した過去の加盟国(ドイツ)における実態を踏まえ、欧州委員会の告訴に基づき、CJEUが判示した内容等を詳しく紹介、解説している。

本ブログではその詳細には立ち入らないが、わが国では独立性を持った「個人情報保護委員会」組織を設置すればすべての問題が解決されるというような安易な議論が議会や関係者から出されている。しかし、長い歴史を持つ欧州でさえこのような運用実態に基づく法令遵守のあり方が、司法、行政機関、議会さらにはWatchdog等を中心に行われていることを改めて注視すべき時期にあると思う。

(筆者注1)欧州司法裁判所(ECJ)は2009年12月1日、リスボン条約の発効により欧州連合司法裁判所(Court of Justice of the European Union:CJEU)に改称され、また「欧州司法裁判所(Court of Justice:ECJ)」 「欧州一般裁判所(General Court)」、専門裁判所(specialised court)たる「欧州公務員裁判所(:Civil Service Tribunal)」の3つの裁判所から構成される(Treaty of European Union:TEU 19条1項)こととなった。


この経緯や各裁判所の裁判管轄などの詳細は、在ルクセンブルグ日本大使館が「欧州連合司法裁判所概要」でEUの公式サイトの内容をもとに解説している。

(筆者注2) 2012年9月24日のブログ「EUの個人情報保護監視機関(EDPS)が欧州委員会の諮問に応えプライバシー規則案の改善に向けた意見書を提出」がEU加盟国の個人情報保護のWatchdogである「欧州個人情報保護監察局(European Data Protection Supervisor:EDPS)(主席監察官ピーター・ハスティンクス:Peter Hustinx)」の活動内容を詳しく紹介している。

(筆者注3) EU情報保護指令(Directive 95/46/EC)第28条は、加盟国の保護監督機関の設置、権限、独立性等に関する規定を定める。以下で原文を挙げる。なお、完全な独立性に関する定めは第1項後段に明記されている。
Article 28 Supervisory authority

1. Each Member State shall provide that one or more public authorities are responsible for monitoring the application within its territory of the provisions adopted by the Member States pursuant to this Directive.

These authorities shall act with complete independence in exercising the functions entrusted to them.

2. Each Member State shall provide that the supervisory authorities are consulted when drawing up administrative measures or regulations relating to the protection of individuals' rights and freedoms with regard to the processing of personal data.

3. Each authority shall in particular be endowed with:

- investigative powers, such as powers of access to data forming the subject-matter of processing operations and powers to collect all the information necessary for the performance of its supervisory duties,

- effective powers of intervention, such as, for example, that of delivering opinions before processing operations are carried out, in accordance with Article 20, and ensuring appropriate publication of such opinions, of ordering the blocking, erasure or destruction of data, of imposing a temporary or definitive ban on processing, of warning or admonishing the controller, or that of referring the matter to national parliaments or other political institutions,

- the power to engage in legal proceedings where the national provisions adopted pursuant to this Directive have been violated or to bring these violations to the attention of the judicial authorities.

Decisions by the supervisory authority which give rise to complaints may be appealed against through the courts.

4. Each supervisory authority shall hear claims lodged by any person, or by an association representing that person, concerning the protection of his rights and freedoms in regard to the processing of personal data. The person concerned shall be informed of the outcome of the claim.

Each supervisory authority shall, in particular, hear claims for checks on the lawfulness of data processing lodged by any person when the national provisions adopted pursuant to Article 13 of this Directive apply. The person shall at any rate be informed that a check has taken place.

5. Each supervisory authority shall draw up a report on its activities at regular intervals. The report shall be made public.

6. Each supervisory authority is competent, whatever the national law applicable to the processing in question, to exercise, on the territory of its own Member State, the powers conferred on it in accordance with paragraph 3. Each authority may be requested to exercise its powers by an authority of another Member State.

The supervisory authorities shall cooperate with one another to the extent necessary for the performance of their duties, in particular by exchanging all useful information.

7. Member States shall provide that the members and staff of the supervisory authority, even after their employment has ended, are to be subject to a duty of professional secrecy with regard to confidential information to which they have access.


(筆者注4) FRA年報「Fundamental rights:challenges and achievements in 2010」は全194頁にわたるものである。筆者は従来からFRAの情報を直接入手しているが、EUがかかえる人権問題を広く取り上げている。参考までに同年報の目次を仮訳する。FRAが有する機能、役割について正確な理解が求められている。

1.難民施設、移民および人種融合(Asylum,immigration and integration)

2. 国境管理およびビザ政策(Border control and visa policy)

3. 情報社会および情報保護(Information society and data protection)

4. 子供の権利および子供の保護(The rights of the child and protection of children)

5. 平等性および差別のない社会(Equality and non-discrimination)

6. 人種差別および民族による差別(Racism and ethnic discrimination)

7. EUの民主機能におけるEU市民の参加(Participation of eu citizens in the union’s democratic functioning)

8. 効率的なアクセスおよび司法の独立性(Access to efficient and independent jusitce)

9. 被害者の保護(Protection of victims)

10. 国際的な責務(International obligations)

********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.



2012年10月17日水曜日

EUの個人情報監視機関・第29条専門委員会とフランスCNILがGoogleの新プライバシー・ポリシーに対し再警告






 本年3月22日の本ブログで「フランスCNILがGoogleの新プライバシー・ポリシー等に対するEU保護指令等から見た懸念や疑問点69項目を提示」と題するレポートを行った。その内容は同ブログで確認されたいが、その後の同委員会(EU指令第29条調査専門委員会:Article 29 Data Protection Working Party)、以下「29条専門委員会」という)と結合したEU加盟国の情報監視機関(European Data Protection Authorities:EDPAs)(筆者注1)やCNILは調査結果を踏まえ、当時のGoogleの回答内容の不完全性や非制御性等、具体的な問題点をまとめた意見書をそれぞれ10月16日付けで公表した。

 本ブログは、29条専門委員会の意見書やCNILのリリース文を中心にそれらの内容を仮訳して紹介するとともに、今後の課題等につき再度取り上げた。なお、本ブログでも過去に取り上げてきたドイツ連邦個人情報保護・情報自由化委員(BfDI)もこの問題を取り上げレポートしている。(筆者注2)これに関し29条委員会の意見書にも引用されているとおり「意見付属書(Appendix)」の内容は重要である。本ブログでは概要のみあげておいたが、読者はぜひ全訳して理解してほしい。



1.29条専門委員会の意見書の内容(仮訳)

 全文を仮訳した。なお、項目立ておよび関連する原データへのリンクは筆者の責任で行った。

(1) 2012年3月1日、Googleはサービスの大部分に適用するプライバシー・ポリシーと利用条件を変更した。この新しいポリシーは、多くの製品固有のプライバシーに関するポリシーを統合して、各サービス横断的なデータの組合わせを一般化する。

 我々は、Googleが新プライバシー・ポリシーにつき様々な情報ツール(Eメール、ポップアップ等)を駆使してユーザーに知らせる大々的な宣伝に着手したことを認める。しかしながら、今回の抜本的なプライバシー・ポリシーの改正に関し、EU加盟国のデータ保護監視委員との十分な議論なしで決めたことは、Googleの改定作業に関して多くの疑問を引き起こしたことを認めざるを得ない。

(2)29条委員会と統合したEDPAs は、EUの個人情報保護法、とりわけ「Data Protection Directive95/46/EC」および「ePrivacy Directive2002/58/EC」へのGoogleの新プライバシー・ポリシーの遵守状況を評価するために徹底的な調査に着手した。29条委員会はその分析作業をリードするようにフランスのData Protection Authority(CNIL)に依頼した。また、Googleは29条委員会の調査で2012年3月19日と5月22日にCNILによって送られた2つの質問アンケートに答えることによって、協力して作業した。 さらに、「アジア太平洋プライバシー監督局連合(Asia Pacific Privacy Authorities)」カナダ連邦プライバシー・コミッショナー等の世界中の他のデータ保護やプライバシー監督当局へ照会を行った。

(3)Googleは、プライバシー関連の習慣の多くが他の米国インターネット会社と異なってはいないと説明した。 我々は、必要であるなら他の会社のこのセクターの運用慣行につき公的にするよう調査した。

 我々は、オンラインの世界のリーダーであるGoogleがプライバシーで先を見越して従事する上でGoogleがあなたの会社がサービスを提供するところの国々の所管官庁との密接な関係が重要であると期待する。 Googleによって実行された幅広い種類の加工作業は、Googleのユーザーが支払うプライバシーにかかる費用でGoogleの開発をしないのを保証する強くかつ永続的な付託を必要とする。したがって、我々はGoogleがいくつかの問題をはっきりさせるために受け入れたのをうれしく思う一方で、Googleが2つのアンケートの答えを分析した後に、なお灰色の領域はまだ残っている。

特に今回のGoogleの回答は、貴社が目的制限、個人情報の品質、個人情報の最小化、比例性および使用に反対する権利という重要な個人情報保護原則を是認する点を示していない。事実、プライバシー・ポリシーは収集の範囲に関する制限・限界規定の欠如と個人的なデータの潜在的用途を示している。我々は公的にこれらの原則を確約するようにGoogleにあえて挑む。

(3)さらに、 我々の調査は新しいプライバシー・ポリシーに関するいくつかの法律問題と個人情報データの組合せの問題点を明らかにした。

 まず第一に、本調査ではGoogleが受け身のユーザーを含む特に処理されるデータの目的とカテゴリーに関し、不十分な情報をユーザーに提供している点を示した。 その結果、Googleのユーザーは、データのどのカテゴリーが自分が利用するサービスで処理されるか、またこれらのデータがどの目的のために処理されるかを決定できない。インターネット会社は複雑過ぎるか、極度に法律指向または過度に長いプライバシー通知を開発するべきでない。しかしながら、簡単さの検索により、インターネット会社がそれらの義務を避けるように導くべきではない。 我々は、すべての大きくてグローバルな会社が自分達のユーザーの情報の運用作業を詳しく述べて、かつ明確に区別化すべきことを求める。


 第二に、本調査はサービス横断的な個人情報の組合せに関する我々の懸念を確認した。 新しいプライバシー・ポリシーで、Googleはいかなる目的のためのいかなるサービスからもありとあらゆる個人情報の結合が可能となる。データの組合わせは、他の個人データに場合と同様、適切な法的な根拠を必要として、これらのデータが集められた目的と両立しなければならない。別紙の意見付属書でさらに詳しく説明するとおり、データの組合わせに関連する目的のいくつかに関し、Googleはユーザーの明白な同意を集めず、また個人の基本的権利と自由の保護に関し、そのような大容量データベースを集めるためにGoogleの合法的な利益や、どんな契約もデータのこの大きい組合わせを正当化しない。Googleは、それ自体がインターネットユーザーに関する膨大な量の個人データを集める権限を与えるが、Googleはこの収集行為がそれらが処理する目的に比例していたことを示していない。

 さらに、Googleはデータの組合わせに関する一定の限界を設定し、かつユーザーがそれを制御できる明確で包括的なツールを提供していない。そのような大規模に個人データを結合すると、ユーザーのプライバシー問題に高い危険を生み出す。 したがって、これらの目的のためのサービス横断的なデータを結合するとき、Googleは、このよう実務慣行を変更すべきである。

 その他の目的に関し、ユーザがサービス(例えば、Calendarでの接触へのアクセス)、安全性または学際研究の観点から横断的にデータの組み合わせを要求したときに改良されたとしても合法的または同意に基づくことが必要である。

 最後にGoogleはそれが処理する個人データに保有にかかる期間を具体的に提供していない。

 データ保護監視委員として、我々はGoogleが情報内容を改良するステップを踏み、データの組合せをはっきりさせて、より一般に、データ保護法や保護原則の遵守を確実にするために必要な措置を取ると期待する。そのために、我々は実務的な勧奨事項を以下に記載する。また、貴社において別紙の意見付属書により詳細な調査結果と詳細な勧奨の概要を見出すであろう。

(4)情報に関して、Googleは各サービスでそれがどう個人的なデータを処理するかを明らかにして、詳しく述べ、各サービスとデータの各カテゴリーのための目的を明確に区別化すべきである。 実際には、Googleは以下の点を実現出来るはずである。

・プライバシー通知の構造を次の3つのレベルに分けてアーキテクチャーを定義する。

第一レベル:製品におけるプライバシー通知と隙間用(interstitial)プライバシー通知

第二レベル:アップデートした現行のプライバシー・ポリシー

第三レベル:製品特有の情報
・容易にポリシーの内容にナビゲートできるユーザーに許す対話的なプレゼンテーション・ツールを開発する。

・ユーザーに重要な影響を与えるデータ(位置情報、クレジットカード情報、ユニークなデバイス識別子、電話番号、生体認証情報等)について追加的かつ正確な情報内容を提供する。

・モバイル端末ユーザーに対する情報を採用させる。

・受け身のユーザーに適切に知りうるよう情報提供を確実化する。

これらの勧奨の実現は、データ主体のための包括的、非侵奪的かつ明確な情報の提供を確実にするであろう。

(5)データの組合せに関して、Googleは目的を明確化させる行動とデータの組合せの手段を取るべきである。 その見解から見て、Googleはより明確にデータがサービス横断的にどう結合されるかを詳しく述べ、彼らの個人的なデータにつきより多くの支配力をユーザーに与えるために新しいツールを開発すべきである。 以下のコントロール(詳細は意見付属書で参照)を実装することによって、これができるであろう。:

・認証されまたは非認証のユーザーのためにオプトアウトメカニズムを簡素化しする。また、1つの場所で彼らを利用可能にする。

・適切なツールとのデータの組合せの目的を差別化する。

・ある目的のためのデータの組合せのために明白な同意を集めること。

・認証されたユーザーにつき、彼らがどのサービスにログインするかを制御する可能手段を提供する。

・受け身のユーザーへのデータの組合せを制限する。

・EUの「e-Privacy指令」5(3)条を実装する。(筆者注3)

ドイツ向けに設計した「Google Analytics」合法化手順を他のすべての国に拡大する。

(5)我々は、オンラインの世界におけるGoogleの重要な役割を認める。私たちの勧奨内容は、 貴社の革新能力を制限して、製品を改良点を求めるのではなく、むしろユーザーの信頼とコントロール権を強化して、データ保護法や諸原則への遵守を確実にすることを求めるものである。
 最終的に、我々はプライバシーのために重要な意義を持つサービスを開発するときは貴社がデータ保護当局に取り組むよう奨励する。我々は、Googleが当方のの推薦を実行するために、プライバシー・ポリシーや商慣行の見直しにつき、本勧奨内容に基づく実装をいかなる方法で、またそのための作業の時間割を示す回答をCNIL宛に送って欲しい。

2. 29条委員会の意見書付属書(Appendix:Google Privacy Policy:Main Finding and Recommendations)の概要


 全9頁である。目次のみあげる。

Outline

Ⅰ.Main findings

1) Legal Framework

2) Information

3) Combination of data across services

4) Retention period

Ⅱ.Recommendations

1) Information

ⅰ.Particular case of mobile users

ⅱ.Particular case of passive users

2) Combination of data

ⅰ.For purposes that have a legal basis for the combination of data(case #1,#3,#5,#8)

ⅱ.For purpose that not have a legal basis for the combination of data(case #2,#4,#6.#7)

ⅲ.Practical case of Google Apps(Free Edition)users

3)  Retention period

Ⅲ.Others

1) Name Policy

2) Facial Recognition

3) International transfer and safe harbor

3.CNIL報告「グーグルの新プライバシー・ポリシー:各サービス横断的な組み合わせの不完全や非制御性の問題」

 10月16日、CNILは自身のサイトで29条委員会のGoogleへの意見書を取り上げ、詳しく問題点を解説している(Règles de confidentialité de Google: une information incomplète et une combinaison de données incontrôlée)。

 CNIL報告は、29条委員会の意見書の内容と大部分は重複しており、本ブログでは具体的に補足すべき点のみ追加することとした。
(1)新プライバシー・ポリシーの下では、ユーザーはこのサービスにおいてどのカテゴリーの個人情報が処理されているかどうか、また正確な処理目的を決めがたい。例えば、プライバシー・ポリシーの文言上、無毒な「検索クエリー(search query)」情報とクレジットカードや電話番号の処理条件は差異がない。すなわち、ポリシー上これらの目的ですべて平等にこれらの情報が使用できる。そのうえ、広告や第三者の受身のユーザー(passive users)のようなGoogleサービスの相互利用者にはこのような情報がまったくない。

(2)新プライバシー・ポリシーではGoogleサービスの横断的利用が一般化された。実際に、Googleを介するオンライン活動(各種サービスやアンドロイドの利用、Googleのサービスを利用する第三者相談等)に関する限り、情報の集約や結合が可能となる。DPAsはこの組合せユーザーが求める提供サービス、商品開発、セキュリティ、広告、Google アカウントや学際的調査において組み合わされる点に着目する。また、Googleに対する調査によると組み合わせのデータ範囲や保持期間が非常に広範囲であることが示された。

 たとえば、 「Google +」を含む単なるサイトでの相談サービスに関する情報は18ヶ月間保有され、Googleの各種サービスで関連付けられる。 「DubleClick」(筆者注4)に関しては2年間保持されまた更新が可能である。

(3)EU加盟国の情報保護法は個人情報のデータ処理にあたり厳格な枠組みを求める。Goggleは、組み合わせる場合の法的根拠を必要とし、また情報の収集はもともとの目的に適合していなければならない。しかしながら、広告を含むこれらの目的に関し、Googleの実務は同意、Googleの合法的利益、契約の履行に依存していない。


(筆者注1) “European Data Protection Authorities”は全EU加盟国の情報保護監督機関からなる協議・決定機関である。最近の決定例では2012年6月12日「European Data Protection Authorities adopt opinion on cookie consent Exemption:Opinion Article 29 Working Party analyses revised cookie-rule」を全体会で決議したことが報じられている。

(筆者注2) ドイツBfDIの本意見書に関するブログ「EU情報保護監督機関の見解:グーグルのプライバシー・ポリシーは不完全な内容である( Europäische Datenschutzbehörden: Googles Datenschutzerklärung mangelhaft)」のみが、10月16日の29条委員会の意見書の付属書(Appendix)をリンクさせているので参照した。
(筆者注3) 「ePrivacy Directive2002/58/EC」の該当内容を、以下抜粋する。

Article 5 Confidentiality of the communications

3. Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller. This shall not prevent any technical storage or access for the sole purpose of carrying out or facilitating the transmission of a communication over an electronic communications network, or as strictly necessary in order to provide an information society service explicitly requested by the subscriber or user.

(筆者注4)Google+とは20116月に発表されたGoogleの新しいWEBサービスである。Google+SNS(ソーシャル・ネットワーキング・サービス)の1つで、インターネット上で現実のような社会的繋がりを作るサービスである。他のSNSと比べて、特に情報の"共有"が簡単にできる。TwitterFacebookとの違いなどを解説している。


 
********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.



2012年10月5日金曜日

ドイツ連邦ネットワーク庁等が電気通信プロバイダーが保有するトラフィック・データの新ガイドライン策定











 9月27日、ドイツ連邦ネットワーク庁(BNetzA)とBfDI (個人情報保護・情報自由化委員は電気通信プロバイダーが保有するトラフィック・データ保持期間や保存情報等の明確化に寄与する新ガイドラインを策定、提示した旨リリースした。

すなわち、ドイツの連邦法である「2004年電気通信法(Telekommunikationsgesetz :TKG)」 (筆者注)のトラフィック・データに関する規定の解釈は頻繁に異なるものであった。同法は例えば、顧客への請求事務、ネットワーク運営者または障害復旧等の目的でトラフィック・データの保存にかかる法的要求規定を含むものである。

しかしながら、これらの規定に関しては解釈が限定されていない。今回のガイドラインは個人情報保護条件に即した同法に基づく統一的解釈を提供することがその策定目的である。

筆者は、このリリース文を読んでその背景や意義につき多くの疑問が湧いた。そこで、これまでの筆者のブログやEUの関係資料などに改めて読み直した。

今回のブログは、連邦ネットワーク庁のリリース文では極めて不足する情報内容を、筆者なりに同ガイドライン原文の仮訳を行った。その内容や背景につきEUの関係資料等をもとに筆者なりに補足しながら、この問題のわが国への適用可能性に言及すべくまとめたものであり、誤訳等に関しては具体的に指摘いただきたい。


1.今回のガイドライン策定の真の背景

前述したような説明ではほとんどの読者は理解できない点が多かろう。以下の内容は、筆者の考えでまとめてみた。

(1)EUの電気通信プロバイダーの情報保持に関する指令の改訂経緯

○ EUの「通信記録データ保持指令(2006/24/EC)」

「2005年9月21日に欧州委員会はテロ対策目的での通信事業者による通信記録の保持(Data Retention)を義務付けるEU 指令案をまとめた。同案は、電気通信または通信ネットワークを提供する事業者に対し、固定電話や携帯電話の通信記録は「1年間(12か月)」、インターネット通信記録情報(インターネット・アクセス、インターネット電話およびインターネットのE-メール)は「半年間(6か月)」の保持を義務付ける等の内容となっており、欧州委員会は、司法当局が重大犯罪やテロについて捜査を行う際に、通信記録は重要な手掛かりになるとの考えを示した。

同案は修正の上、2005 年12 月19 日の欧州議会で可決、2006 年2 月22 日に欧州理事会で承認され、3 月15 日に「EU指令2006/24/EC」として公示された。EU 加盟各国は、18か月以内(2007年9月17日)に指令内容の実施に必要な国内法の措置を講ずるよう求められることとなった。

同指令によれば、ISP 等の通信事業者は、法人・自然人の通信・位置データ(ネットワーク参加者や登録者に関するデータも含む)の保持義務を負う。保持項目は、①発信者、②通信年月日・時刻、③通信手段、④接続時間等であり、プライバシーを守るため通信データの内容そのものの保持は求められていない。保持されたデータは、各国の国内法で定める重大犯罪につながる特定の事例において、管轄国家機関による調査、捜査、訴追を目的とした利用が可能である。」(2010.12.20 筆者ブログから抜粋の上EUのリリース資料(2012.5.31)に基づき補筆)

2011年4月18日、欧州委員会は加盟国が「EU指令2006/24/EC」の国内法化をいかに移行したかにつき解析し、保有データの使用状況およびオペレータや消費者にどのような影響が生じたか等につき評価報告書(IP/11/484))およびFAQ を採択した。

また、ドイツ以外の国に関しては、オーストリアは正式に移行を終え、またスェーデンにつき、現在は移行は終えているものの、部分的には欧州司法裁判所が第2番目の付託事件として判断を下すことが見込まれる。委員会としては同国に対し一括払い(lump sum)およびは罰金(penalty payment)の両方(IP/11/409 )を要求している。

(2)ドイツに対する金銭罰を求める欧州委員会

2012年5月31日、欧州委員会はドイツに対する電気通信プロバイダーのデータ保持にかかるEU指令の国内法化が遅れているドイツに対し、金銭的罰をもって求めた旨リリースしたことである。

事実関係の経緯等を正確に理解するため、EUの本リリース文の概要をここで引用する。

○ドイツは国内法移行時期の2年以上たった後において連邦憲法裁判所は同指令を憲法違反として破棄し、同国は未だにもって同指令を遵守していない。その結果、同委員会は5月31日に司法裁判所に対しドイツに金銭罰(1日当り315036.54ユーロ(約3,150万3,600円))を課すよう審理を付託した。
なお、参考までにドイツの連邦憲法裁判所の違憲判決に関する筆者ブログ(2010.12.20 福田平治ブログ)から、以下一部抜粋する。

「2010年3月2日にドイツ連邦憲法裁判所(Bundesverfassungsgericht:Federal Constitution Court)は、法執行機関が活用できることを目的とする携帯電話や電子メール等の6か月間の通話記録(通信事業者に携帯電話を含む通話記録(日時や相手の電話番号)、IPアドレス、電子メールのメールヘッダ等)の保持を定めた現行通信法(TKG)の規定(§§113a,113b)および刑事訴訟法(§100g)の規定は連邦憲法に違反する可能性が高く、大幅な修正を求める旨判示した。

裁判官は判決文においてデータの保存手続において十分な安全対策が行われておらず、またそのデータの使用目的は十分明確化されていないと指摘した。ただし、原告側はデータ保持法の完全な無効化を求めていたが、裁判所は通信データの保存と利用に関するルールを厳格化したうえで法律を運用すべきだとの判断を示した。具体的には、(1)通信データを暗号化してセキュリティを強化する、(2)データ管理の透明性を高めてデータの利用目的などが明確に分かるようにする、(3)連邦データ保護監察官が通信データの管理プロセスに関与する体制を整える― などの対策を講じるよう求めている。」

2.ドイツ連邦ネットワーク庁がリリース「New guidelines on retaining telecoms traffic data」したガイダンス要旨

9月13日に公開されたものである。このガイドは、電気通信プロバイダーへの提案として作成され、プライバシーに優しくかつ統一的な内容である。TKG法に基づく-「最善の実践内容」の意味の解釈をリードし、データ保持「必要性」の概念の判断基準およびそのチェックの標準内容を提供するものである。電話やSMSサービスとインターネットサービスに区分し、以下の4区分でまとめられている。個別の訳文は省略する。(ガイダンスというが内容はわかりにくい)

①メモリー記憶域のカテゴリー区分(Speicherkategorie)

②法的根拠/最大保持期間(Rechtsgrundlage /max. Speicherdauer)

③プライバシー保護に即した解釈(Datenschutzgerechte Auslegung)

④データ・フィールド(Datenfelder:本一覧の別の表に記載されていない限り、他のサプライヤーへの通信等の機密情報が含まれていない技術的なパラメーターは、追加のデータ フィールドに記載される。ここでいう機密情報とは、位置情報、セルIDまたはIMEI(国際移動体装置識別番号(端末識別番号)」)をいう。

****************************************************************


(筆者注) 「2004年電気通信法(Telekommunikationsgesetz :TKG)」のうちサービス・プロバイダーのトラフィック・データの保持に関する規定は、第96条(Verkehrsdaten)等を参照されたい。



***********************************************************

Copyright © 2006-2012 福田平冶(Heiji Fukuda).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.