2013年9月17日火曜日
カリフォルニア州議会上院は未成年のオンライン利用時のプライバシー保護強化にかかる法案(SB-568)を可決
9月6日、米国ローファームのプライバシー専門情報サイト”Inside Privacy”のブログが手元に届いた。
標記のテーマに関し、「去る8月30日、カリフォルニア州議会上院は満場一致で次の法案を可決した。すなわち、新法第22581条は一定の例外のもとで、ウェブサイト、オンラインサービスおよびアプリケーション、モバイル・アプリケーションのオペレータに対し、(1)未成年者(筆者注1)が掲示した本人を特定する個人情報の除去を求める権利の説明義務、(2)その具体的方法等の開示通知の提供、(3)この除去は入手した情報につき完全または包括的な除去にはあたらないことの説明、(4)オペレータはオリジナルな情報が不可視化されたとしても、第三者が未成年者がすでに投稿内容や情報をコピーしていたら可視化してしまうという同条に基づく苦情を受け付けねばならない」という各種義務を負わせる法案に解説である。
筆者自身、以上の要約にはかなり時間がかかった。その理由は、原文自体の冗長さもさることながら、議会立法顧問局(筆者注2)の法案要約(Legislative Counsel' Digest)の説明もかなり分かりにくいからである。
さらにいえば、カリフォルニア州の直接立法制の正確な理解も必要となってくるからでもある。(筆者注3)
本ブログは、わが国では広く詳しく紹介されることが少ない州法の立法審議過程をつぶさに見る機会として考えたものであり、上院司法委員会の資料等を引用しつつ解説を試みた。
また、同法案の意義、内容の解説のみにとどまらず、最近、各国で問題となりつつある「オペレータの説明義務」内容につき立法論として論じるうえで好材料と考えた。
1.法案の上程議経緯とその内容
(1)法案は上程者は 、ダレル・スタインバーグ(Darrell Steinberg)議員で上院民主党のリーダー的存在である。
(2)法案のダイジェスト
立法顧問局や上院法務委員会がまとめた法案要旨を概観する。なお、この部分のベースとなる内容は立法顧問局の説明を引用したが、法案審議の資料としてはきわめて不十分である。筆者の責任において司法委員会の内容(全文で約10頁)(筆者注4)
*現行州法は、商業ウェブサイトやオンラインサービスを利用したりまたはサイトを訪れるカリフォルニアに居住する個人消費者に関して、個人を特定する情報を集める商業ウェブサイトかオンラインサービスを実行するオペレータに、インターネットを通して指定されたプライバシー・ポリシーを消費者にとって利用可能にするよう求める。
また、既存の連邦法(「1998年子供オンライン・プライバシー保護法(Child Online Privacy Protection Act:COPPA)」は連邦取引委員会(FTC)に対し、具体的規則の制定ならびに執行を求めている)は一定のインターネットウェブサイトやオンラインサービスのオペレーターに対し、(1)ユーザーである子供に関しいかなる情報が集められているか、またその情報がどのように使用されるかについて通知を提供すること、また、(2)子供に関する情報の更なる収集を拒否する機会を子供や子供の両親に与えることにつき、子供から個人情報を集めているという実際の認識を持っているインターネットウェブサイトやオンラインサービスのオペレータに要求する。
*本法案は、2015年1月1日以降、インターネットウェブサイト、オンラインサービス、オンラインアプリケーションまたはモバイルアプリケーションのオペレータに対し、未成年者に対し、一定の指定されたマーケティングや指定された製品やサービス提供に関する広告を行うことを禁ずる。
また、本法案はオペレータが故意に第三者に対し、指定されたマーケティングや指定されたタイプの製品、またはサービスの広告を出す目的で未成年者の個人情報を開示したり、コンパイルしたり、使用を認めることを禁止する。
また、本法案の禁止規定は、サイト、サービスまたはアプリケーションが未成年者に向けられることにつき、インターネットウェブサイト、オンラインサービス、オンラインアプリケーションまたはモバイルアプリケーションのオペレータによって通知される広告サービスの適切化に寄与する。
*本法案は、2015年1月1日以降、インターネットウェブサイト、オンラインサービス、オンラインアプリケーション、またはモバイルアプリケーションの掲示を行うオペレータに、登録ユーザである未成年者をもってその除去を可能にすることを要求するものである。すなわち、その未成年者は、州または連邦法のいかなる他の規定において、オペレータまたは第三者が内容か情報を保守するのを必要とするか、第三者によりアップされた場合、またはオペレータが内容や情報を匿名にした場合を除き、取り外しを要求し得る。
このため、本法案はオペレータは未成年者に対し、指定する内容や情報を取り除来うる旨の通知を提供することを義務付ける。
2.現時点の法案の意義と審議状況のフォローの重要性
カリフォルニア州の公式法案審議のトラッキングサイトを見ておく。なお、関係サイトの内容を読んで読者は気がつくと思うが、この法案は多くの連邦法の場合と同様に体系的な体系をとってはいない。簡単にいうと連邦法(COPPA)やFTC規則改正を先取りした立法行為とも読めよう。
すなわち、最新法案の冒頭に記載されているとおり、本法案は「カリフォルニア州企業・職業法」の第8編(DIVISION 8. SPECIAL BUSINESS REGULATIONS)第22章(CHAPTER 22. INTERNET PRIVACY REQUIREMENTS )の次に第22.1章として22580条を追加するのみの法案である(An act to add Chapter 22.1 (commencing with Section 22580) to Division 8 of the Business and Professions Code, relating to the Internet.)。
その意味で筆者は今回の原稿執筆中にカリフォルニア州の民間ベース法案トラッキングサイト(Beta 版)を見つけた。”Total Capital. com”が提供しているサイトである。最新法案がPDF版、HTML版でチェック可であるし、採決ごとの賛成議員の確認等も簡単である。
いずれにしても、筆者が別途のブログでとりあげたフィンランドの性的虐待に対する検閲合法判決問題と同様、わが国においても業界の自主規制の限界論に矢を射る時期に入っていると考えるのは、筆者だけであろうか。
************************************************************************
(筆者注1)カリフォルニア州における「未成年(minor)」は厳密にいうと法律によりことなるが、一般的には18歳未満(under 18)をいう。
(筆者注2) 立法顧問局は、政治的に中立的な公的機関であり、州民発案に限らず、州の立法に際して助言等を行う機関である。(国会図書館 レファレンス(2009年12月号)から引用)
(筆者注3) 山岡規雄 「カリフォルニア州の直接立法制」 (国会図書館 レファレンス 2009年12月号)参照。
(筆者注4)上院司法委員会の法案分析資料が実務的に参考になる。すなわち、(1)現行州法からみた法案の内容、(2)法案上程者の主張点や判例法、(3)委員会としてのコメントとして、①立法の必要性、②未成年者が購入禁止とする製品やサービスの規定化、(4)未成年者による情報の除去およびその権能に関する本人への通知(一定の場合の適用除外)、等を的確に言及している。
******************************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
フェイスブックが顔認証技術の優先採用やデータ使用ポリシー変更をめぐるプライバシー問題(その2完)
(1)米国のカリフォルニア州北部地区サンノゼ連邦地裁のFacebook に対する和解決定(筆者注7)のロイター記事の仮訳
裁判官は、8月26日にFacebookが行っている取引は子供たちのプライバシーを保護するのにはるかに及ばないとする反対にもかかわらず、同社が未成年者に対するターゲット広告を行ったとする集団訴訟(Fraley, et al. v. Facebook, Inc., et al., Case No. CV-11-01726 RS)につき、Facebookに対し、2,000万ドル(約19億8,000万円)の和解につき、最終的な承認を与えた。
5人の原告は2011年にFacebookに対して集団訴訟を起こした。同裁判において、ソーシャル・ネットワーキングの巨人が2011年1月から提供を開始したSNS版口コミ広告である「Sponsored Story」プログラムにおいて、ユーザーのページにオプト・アウト権を認めることなく友人と特定の広告主が共同して断定的「いいね」の評価広告を行う「Sponsored Stories」プログラムを行ったと主張した。
(筆者追加注)Sponsored Stories program:
2011年1月25日Facebookは、「いいね!」ボタンのクリックやFacebook Placesでの「チェックイン」などのユーザーの行動を広告に変える新しいサービス「Sponsored Stories」を発表した。
Sponsored Storiesでは、広告主はユーザーのFacebookページの右側に、ユーザーの友人の特定の行動――広告主のファンページの「いいね!」ボタンをクリックする、など――を表示することができる。
例えばStarbucksが広告主の場合、友達がStarbucksについて「いいね!」ボタンをクリックしたり、位置情報サービスPlacesを使ってStarbucksの店舗でチェックインすると、Facebookページの右側のSponsored Storiesコーナーに「○○さんがStarbucksについて『いいね!』と言っています」などのメッセージが表示される。
企業の広告が直接表示されるわけではなく、ユーザーは友達が広告主やその商品について「いいね!」と言ったり、広告主の店を訪問しているのを目にするため、口コミ的な宣伝方法になるという。(2011年1月6日ITメディアニュース記事から引用)。
本裁判では、ユーザーへの広告内容を金銭化するために、プライバシーへの懸念とFacebookの運用の間で緊張関係を際立たせた。
Facebookは、和解条件の下で集団訴訟のメンバーに補償するために2,000万ドル(約19億8,000万円)を支払うとともに、ユーザーに彼らの内容がどのように共有されるかに関するより多くの制御をするプログラム内容の変更を加える( 原告弁護士が最高1億4,500万ドルの価値を持つと推定している ) という約束を行った。
Facebookは、2011年1月から2012年8月の間にSponsored Storiesのためにほぼ2億3,400万ドル(約231億6,600万円)を請求したと裁判所は記録している。
また、同裁判において子供の権利擁護団体は、未成年者が彼らの個人情報の内容を広告主と共有してはならないと主張した。
しかし、8月26日の裁判所の和解命令において、サンノゼ連邦地裁のリチャード・シーボーグ(Richard Seeborg)判事は、「今回の和解は反対者の何人かが好むかもしれないすべての特徴を取り入れているというわけではないが、重要な価値を持つ」と書いた。
Facebook、原告または反対者の代表は、この和解命令につきにただちにコメントは行わなかった。
5.2012年8月10日の米国連邦取引委員会(FTC)がFacebookに対し、プライバシー設定を超える個人情報の共有に対する消費者の事前同意等具体的改善内容に関する最終和解(同意命令)
その最終和解(同意命令)についてFTCのリリース文を仮訳するとともに、関係文書のURLにリンクさせる。
*「FTCはFacebookとのプライバシー保護強化に関する最終和解案を承認」
Facebookは定着したプライバシー設定を超えてそれらのユーザー情報を共有する前に、ユーザーの同意を得なければならないこととなった。
FTCは、このほどFacebookにかかるコメント期間に続いて、Facebookとの間で、ユーザーによるFacebookが自分達の情報を私的に保持し、次にそれを共有、公表されるのを繰り返して許容している状態を通じ、Facebookは消費者をだましているという告発を受け入れるべきと指摘する告訴についての最終的な和解案を承認した。
本和解は、未来において、(1)ユーザーに対しプライバシー設定を超えて彼らの個人情報を共有する前に人目を引く通知と彼らの明示の承諾を得ること、(2)ユーザーの個人情報を保護するために包括的なプライバシー・プログラムを維持し、かつ(3)今後20年間にわたり独立した第三者機関による2年に一度のプライバシー監査を得ること、を含むことを各確実にするための数ステップで取ることことをFacebookに求めるものである。
委員会投票では、ジェイ.トーマス・ロッシュ(J. Thomas Rosch)委員が最終案に反対し、またモーリーンK.オーハウゼン(Maureen K. Ohlhausen )委員が不参加であったが、3-1-1で委員会メンバーの最終命令とパブリック・コメントを出した人々への声明文書とともに承認された。
また、FTCは委員長のジョン・D・リーボビッツ(Jon D. Leibowitz )、イーディス・ラミレス( Edith Ramirez )およびジュリー・ブリル(Julie Brill)が書いた見解声明文を公表した。
この委員会声明は、スタッフの広範な調査に基づいて、本解決が公益にかなうと信じる強い理由があり、かつ本命令の各条項がFacebookは広範囲にわたる詐欺的行為に責任があることを明らかにする点を確言した。
ロッシュ委員は、そに独立した声明文に詳しく説明されているように、Facebookの明確な責任否定表明が「公衆のため」であったと「信じる理由」を提供したかどうかを疑って、明確にFacebookでなされたすべての表現をカバーしていないかもしれないという懸念を述べ、同委員は最終的な同意決定の承認に反対した。 ( 2011年11月29日のFTCプレスリリースを参照)
**************************************************************
(筆者注7)常にFacebookの訴訟や裁判所文書などで登場するEdward Palmieri氏の写真はインターネット上では皆無である。ユーザーの写真はこれだけ氾濫している一方で、皮肉なことである。
(筆者注8)クラスアクションの原告が立ち上げた組織(fraleyfacebooksettlement.com)は、クラスアクションの概要、facebookとの間の和解内容について,裁判所の公文書、Q&A等を含め詳しく解説している。
******************************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
フェイスブックが顔認証技術の優先採用やデータ使用ポリシー変更をめぐるプライバシー問題(その1)
8月29日にフェイスブック(Facebook)は会員向けにEメール等で「データ使用ポリシー(data use policy)」の改定につき通知した。(筆者注1)(筆者注2)
この問題は、わが国では必ずしも体系的かつ正確に論じられているとは言いがたいし、さらにEUのタグ付け提案機能(tag suggestions)規制の実態、また犯罪捜査やテロリスト対策等の観点から見た人権問題の解析にいたっては皆無である。
さらなる問題は、本文を読まれて気がつくとおり、Facebook自体のビジネス・ポリシーのいい加減さである。顔認証の「オプトアウト」に関するユーザーの非活性化手順も2010年以降「入れたり・はずしたり」である。セキュリティ専門家でさえ戸惑うような頻繁な手順改定は、一般ユーザーの権利を完全に無視しているといって過言でなかろう。
なお、わが国でこれだけ普及しているFacebookの契約関係にユーザーはどれだけ利用規約やポリシー全体をどれだけ正確に理解していつであろうか。一例として青山学院大学法務研究科(法科大学院)教授 浜辺 陽一郎氏が「日本でFacebookを利用する法的リスクに関する諸問題~利用規約の準拠法、国際裁判管轄の定めはそのまま有効とは限らない 」(2011年4月18日掲載))が参考になるが、本文で述べたとおり、利用規約等は頻繁に改定されている。
また、Facebookのプライバシー使用ポリシー改定問題に関しては、ニューヨークタイムズのIT専門ブログ(Bits)が解説記事を載せ、その中で本年8月26日カリフォルニア北部地区連邦地裁でなされた集団訴訟の和解命令についても、広く問題点に言及している。
さらに、2012年8月10日の米国連邦取引委員会(FTC)がFacebookに対し、プライバシー設定を超える個人情報の共有に対する消費者の事前同意等具体的改善内容に関する最終和解(同意命令)についても本ブログで簡単に言及した。
限られた時間内にまとめたため、データ内容の正確度についてはなお自信がないが、この問題の重要性から見て急遽作業を行った。
今回は2回に分けて掲載する。
1.Facebookの自動顔認証技術導入拡大の経緯
(1)タグ付け提案機能に関するグローバルな提供開始
2010年12月15日、Facebookは自動顔認証機能による写真のタグ付け提案機能の提供を公表し、さらに約半年後の2011年6月8日に日本を含むほぼすべてのFacebook提供国で その利用が可能となった旨リリースした。
このタグ付け提案機能(tag suggestions)の効能はいかなるものであろうか。建前のみでいえば「写真タグづけとは、アップした写真に写っている人の名前をFacebook 上(検索画面)から選択して、写真上に登録して名前を表示させることを言う。具体的な機能は、①自動検索・グルーピング機能、②顔認識機能である」(ビジネスシーズアナリスト 鈴木英広氏の説明から抜粋)。
(2)海外のITセキュリティ企業の対応に関する解説
2013年2月4日、英国に本拠を置くグローバルなITセキュリティ企業”Sophos”は「Facebook、顔認識機能を再度有効に!写真のタグ付けの設定をご確認ください」と題し、次のような日本語解説記事を載せた。一部抜粋する。
*ユーザーがオプトアウトを希望していた場合は、Facebook により、ユーザーがタグ付けされたことが通知されます。しかし、そもそも、このタグ付け機能は、自分が誰であるかを知っていると主張しているにも関わらず、そのオン・オフを選択できないのです。
*この機能については、私自身を含め、不快感を覚える人が多くいました。この機能により、自分の同意がなくてもオンラインで自分が識別されてしまうことになります。よく知らない人でも、自分が誰であるかがわかってしまうのです。
*この顔認識機能については、Facebook が有効にしたり、無効にしたりと紆余曲折がありました。
*昨年(2012年)、Facebook は「技術的な改良を行うため」この機能を一時的に停止しましたが、今回復活することとなりました。」
2.Facebookの顔認証技術会社”Face.com”の買収と プライバシー侵害問題
2012年6月Facebookは顔認証技術会社”Face.com”を5,500万ドル(約53億3,500万円)~6,000万ドル(約58億2,000万円)で買収したことが報じられた。このような動きに対し、その真の目的等に関し、多くの関係機関から懸念の声が上がっている。
3.EUやドイツ、アイルランド等データ保護委員の懸念に対するこれまでの取り組み
(1) ドイツ・ハンブルグ州の情報保護・自由化委員事務局(HambBfDI)のFacebookのバイオ情報である顔認証技術に基づくプライバシー侵害問題への取り組み
EU加盟国は共通してGoogleやFacebookへの厳しい責任追及を行っているが、とりわけドイツは厳しい法的扱いを求めている。
ハンブルグ市情報保護・自由化委員事務局サイトで最近の取組み経緯情報を概観しておく。(なお、同サイトでは限られた範囲ではあるが、リリース文につき英訳化しているので、その旨も注記した)
A.2011年7月21日 HambBfDIはFacebookの利用規約と監督・規制等に関する
意見書を公表
B.2012年1月17日 HambBfDのFacebookの顔認証技術の法的分析およびISP
たるFacebookの責任問題の意見書を公表
C.2012年6月7日 Facebookに対する暫定的な法執行停止のプレスリリース
D.2012年8月15日 Facebookに対する調査手続きを再開する旨のプレスリリース(独語、英語)
E.2012年9月21日 連邦情報保護法(BDSG )第38条 権限にもとづく顔
認証に関する差し止め命令発布
F.2012年11月28日 Facebookの異議に対する回答文書
G.2013年2月7日 Facebookに対する行政手続きの開始プレスリリース
上記Dにつき2012年8月15日のニューヨークタイムズは「ドイツのプライバシー保護委員は、Facebookの新自動顔認証ポリシーに驚愕」と題し監督機関とFacebookの間の詳しいやりとりを紹介している。仮訳する。
2012年8月14日にドイツの個人データ保護監督当局は、ソーシャルネットワーキングの巨人Facebookがユーザーの同意なしに顔写真につき違法にメンバーの巨大なデータベースに収集したと述べ、顔認識技術に関する調査を再度開くことを公表した。
この問題は "個人データに関し重大な影響を持つ"ヨハネス·カスパー・ハンブルク情報保護・情報自由委員が述べた。
同委員は、2012年6月にその調査をいったん中断したが、そのデータ使用ポリシーを変更するためにFacebookを説得しようとする試みが失敗した後に、彼はそれを再度開くと述べた。
"我々は、Facebookにこの問題に関し繰り返し会っているが、個人データのための重大な意味を持つこの問題に協力を得ることができていない、"とカスパー氏はインタビューで語った。
FacebookのメンバーがFacebookにアップロードした写真に基づいて、人間の顔の写真のアーカイブを収集するため分析ソフトウェアの会社の使用することは、データ保護法上、人々が実際に彼らの明確な同意を与えることを必要とするヨーロッパの保護法上で問題があった。
この点に関し、Facebookはこのようなオプト・イン・システムを使用する代わりに、彼らはオプト・アウトをユーザーに求めた。
ハンブルクの保護規制機関は、Facebookに対し、ドイツで収集された顔写真のデータベースを破壊し、それが自分の顔の生体データに基づいて、デジタルファイルを作成する前に、メンバーの明示的な同意を得るために、そのWebサイトのポリシー内容を改訂することを求めた。
2012年9月21日に後述するとおり、EU内での顔認証技術機能に関するユーザーテンプレートを削除する旨伝えてきたことから、HambBfDIのウルリッヒ・クーン(Ulrich Kühn)は保護コミッショナーの技術部門がFacebookが顔認証データが完全にソースコードを見直し、完全に削除されたことを確認しようとしたが、彼はドイツ国内のデータについてのみ調査できないため、Facebookとの協議では、Facebookが実際に削除の確認と証拠を出すよう求めた。
この作業の途中でFacebookはイツの再検査者がチェックのため説明なしにソースコードの一部を違いなく送ってきたのみであったが、更なる追加情報にもとづき検査した結果、HambBfDIは間違いなくFacebookが削除したことの確認ができたと述べた。
これらの手続きを経て、結果としてHambBfDIはFacebookによりユーザの明らかな同意なしに集められ、格納された既存の顔認証データをすすんで保存する意図はないとして2013年8月に再度手続き再開したFacebookの顔認証技術に対する訴訟を2013年2月に取り下げた。Facebook幹部はドイツのデータ保護当局とソースコードの交換ついてはコメントは行わなかったが、EU内では当分の間、顔認証の技術を使用する計画はないと述べている。
(2)アイルランドの情報保護監督機関(Office of the Data Protection Commissioner:ODPC )におけるFacebookの監督面からのドイツとの協調的活動(筆者注3)
A.ODPCは他のEU加盟国を代表しつつ2012年7月、ODPCが2011年9月にまとめたFacebookアイルランド(FB-I)に対する1ダース以上のポリシーの改定やプライバシー保護改善にかかる具体的な勧告等詳細な検査報書をうけて行った再検査結果の報告書を公表した。ODPCの検査報告直後、Facebook Ireland Limitedは次回(2012年7月)のODPCの再監査に向け、米国やカナダ以外の国のユーザーとの契約義務にもとづき改定作業を約した。
また、Facebookは2011年11月米国連邦取引委員会(FTC)との間で取り交わした個人情報の共有化にかかるユーザーからのクレームの集団訴訟の和解をうけた包括的プライバシー・プログラムの実行義務を負うことになった。
ODPCの監査は、データ保持やその情報開示に関する180以上の苦情をカバーするものであった。これらの苦情のうち22はウイーン大学法学部の学生でマックス・シュレム(Max Schrems)が主導したもので、同グループは他の苦情と同様にFacebookはEU法に基づきデータ・コントローラーに対するユーザーの要求に応じすべての保有情報を開示していないというものであった。
監査への対応の一部として、Facebookは同社が保有するユーザー・データにつきユーザーによる閲覧を可能とするダウンロード・ツールを提供することに同意した。しかしながら、そのダウンロード・ツールは各ユーザ-の個人プロファイルからのみダウンロードが可能であった。
欧州Facebookのポリシー責任者であるリチャード・アラン(Richard Allan)は、ユーザーの活動ログのような他のデータと結合されるフェイスブックの「新たなタイムライン機能」(筆者注4)は、他の該当するサービスよりアクセス制御にかかる包括的なセットを提供すると述べた。Facebookはそのプロファイル上で外部ウェブサイトからコンテンツを共有する際に使われるソーシャル・プラグインである「Like(いいね)」ボタンの使用記録に関する手順変更につき合意した。(筆者注5)
すなわち、監査結果においてFacebookは現在10日以内記録しているプラグインのログのIPアドレスの最後のoctet(8バイト)を削除することにした。この点は、広告目的でのFacebookの利用を規制することにある。
さらに、ODPCはFacebookの顔認証機能につき批判した。すなわちそれは自動写真タグ機能のためにユーザーの顔写真にかかる生態認証情報をFacebookが格納することである。この点につきODPCの指摘のもとづきFacebookは早ければ2012年1月の第1週に「tag suggestions」機能を削除するというものであった。
ところで、前述の報告書の概要部分を読むとFacebookの”ODPCのbest practice”を求める勧告、特に顔認証データを削除することに同意したことから、改善につき勧告した以上の結果が得られたと評価している。(ODPCの勧告内容に対し4週間以内に不遵守のときは罰金額は最高10万ユーロ(約1,290万円)というものであった)
Facebookの国際本部があるアイルランドの保護機関の副コミッショナーであるゲイリー・デイビス(Gray Davis)(筆者注6)が公表した内容は、2012年9月21日FacebookアイルランドがEU内のすべての顔認証データ機能をオフにし、また10月15日までに既存のユーザーテンプレートを削除するというものであった。
これに関し、FacebookはEU内での機能オフに伴い、5ヶ月間米国内でも顔認証技術の使用は停止していたが、2013年2月はじめに米国内で再開した。その内容は、停止前となんら変わらないように見える。
なお、ここで筆者が言いたいのは監督機関としてのミッションに対する責任感である。わが国では個人情報保護法施行されてすでに10年が経過したが、本年5月31日にマイナンバー法案(行政手続における特定の個人を識別するための番号の利用等に関する法律)が成立し、その問題と絡んで独立性をもった第三者機関の設置(第6章 特定個人情報保護委員会)が定められた。しかし、第6章の内容をもってEU加盟国や米国のFTC 等と同レベルの機能面で法執行体制が取れるかどうかという問題は別問題であろう。本ブログでは、この問題にこれ以上立ち入らないが、このEU各国の実態の中身を詳しく読むだけでもわが国の課題は理解できよう。
3.本年8月末にドイツHambBfDIが指摘するFacebookのプライバシーポリシーに顔認証に関する条項を加えたことへの対応
2013年8月30日のオーストラリアのIT専門メディアCSO は次のように報じている。
「ハンブルグHambBfDIのカスパー氏は、Facebookの顔認証技術に関し本年2月に裁判手続きを取り下げたが、同氏は今回のFacebookのポリシー改正につき次のように述べている。
*もし仮に再度ドイツ内でFaebookが顔認証技術を実装しようとすれば、明らかに違法である。SNSは常に明確性とユーザーのインフォームド・コンセントに基づくべきであり、ユーザーに対しオプト・イン手続きを提供すべきである」
4.Facebookのプライバシー使用ポリシー改定問題に関するニューヨークタイムズのIT専門ブログが解説記事とその中で引用された本年8月26日カリフォルニア北部地区連邦地裁でなされた集団訴訟の和解命令
(1)Facebookのプライバシー使用ポリシー改定問題に関するニューヨークタイムズのIT専門ブログ(Bits)の内容(仮訳)
Facebookは、2013年9月5日にプライバシー・ポリシーの改定を制定する計画を進めている旨発表した。しかし、ソーシャル・ネットワーク上で難しいプライバシー・コントロールを上手にナビゲートすることは、いささかも簡単にならないであろう。
「新しいデータ使用ポリシー(data use policy)」と「権利と責任に関する声明文言(statement of rights and responsibilities)」の内容のほとんどは、Facebookがユーザーの個人情報について従来から行っていることについてより明確に説明したものである。また、私たちが赤線を引いた部分のアップデート箇所は、今日存在する製品サービスについて、よりよく説明する意味で当社のやり方である」とFacebookのプライバシー問題の副顧問弁護士であるエドワード・パルミエリ氏(Edward Palmieri)はインタビューで述べた。
ある意味では、Facebookは2億人のユーザに関するさまざまな個人的なデータを広告を提供するのに使用することをより明確にしている。それらのデータには、彼らが何が好きであること、それらがどう広告やアプリケーションと対話するか、そしてその他の商品購買層を推論させるデータを含む。
また、Facebookは、彼らの友人が写真で彼らにタグ付けをするのを助けるのに顧客のプロフィール写真を使用するかもしれないと述べた。 それらの写真は既に公開済であるが、Facebookは、現在、写真がサービスに伴いアップロードされるとき、顔を認識するのを助けるのにそれらを使用しません。 パルミエリ氏は「これで、人々にとってFacebookの製品はより良くなるであろうし、かつユーザーは、なお、写真利用につきオプト・アウトができる」
しかし、また、パルミエリ氏はFacebookは特定のプライバシーコントロールにかかる情報を故意に削除している。 そのかわりに、Facebookが、他の様々なページにユーザを送るほうがよい代わりにマンツーマン広告等の関し、プライバシーの問題に関してより学習しかつどのようにコントロールを調整するかにつきを決定した。
すなわち、例えば、データ使用ポリシーでは、広告宣伝方法としてユーザーのサイト名前と活動を友人に送ることをオプト・アウトするというコントロールへの直接的な手立てを提供しないこととした。また、今回Facebookは自身の「own ”Facebook and Privacy ”page」でプライバシーの設定にかかる迷路の単純化に関しては何も行わなかったし、タスクにおいてGraph検索機能は特に役立たせていない。
ユーザによるプライバシー・コントロールは少なくとも6つの異なったメニューにまだ埋められている。 うさぎのちいさな穴で突入するには、自分のものとしてあなたのニュース給送ページの左上コラムの次の小さいロックアイコンをクリックしてください。
パルミエリ氏は、Facebookが補償なしにまたはオプとアウトを認めずに広告にユーザー顧客の個人情報を使用したとする同社に対し2011年に起こされた集団訴訟につき、本年8月26日の2,000万ドルの和解を受けて1つの条項をポリシーに追加したと述べた。。
すなわち、旧使用ポリシーでは「あなたは、あなたの名前とプロフィールの写真がどのようにFacebookによって提供されたり、または高められた商業または、スポンサーされたか、あなたが好きであるブランド等に関連する内容に関係しているかもしれない場合を制限するために、プライバシー設定を使用できる」と、明らかに記載していた。
Facebookの新しいポリシー文言は反対の立場から書き始める。「あなたは、当社にあなたの名前、プロファイル写真、内容、商業、スポンサーや当社が提供したり高めることに関係する内容の使用につき許可を当社にください」と会社は改定し、「それを使用するとき、あなたが内容か情報のために特定の聴衆を選んだなら、当社は、あなたの選択を尊重するつもりである」と述べている。
パルミエリ氏は、2つのバージョンが同じものであると述べた。
それは、ルイス・キャロルの「鏡の国のアリス」の中で擬人化された卵であるハンプティ・ダンプティ(Humpty Dumpty)が威張りくさっていった言葉を聞き手に思い起こさせる。すなわち、ハンプティ・ダンプティは若いアリスに「私が言葉を使うとき、私が選んだ言葉だけを使うのだ。それ以上でも以下でもなく」を。Wikipediaのハンプテイ・ダンプテイの挿絵から引用
**********************************************************
(筆者注1)本文を読むまえに、8月30 日IT media記事「Facebook、ユーザーデータ利用に関する規約改変を発表」を読まれたい。また、 「Facebook規約文書の改定案」の内容も丁寧に読まれたい。果たしてここで言わんとする意図がどこまで読み取れようか。
なお、本ブログ本文と緊密に関係する「写真を含むタグ付け」について改正プライバシーポリシー(案)の内容を一部引用しておく。
*リンクとタグ
誰でも記事にリンクを追加することができます。リンクは、インターネット上のコンテンツへの参照先で、ウェブサイトからFacebookページやFacebookのタイムラインまで、すべてのコンテンツが含まれます。たとえば、ユーザーが記事を書いている場合に、紹介するブログへのリンクや、そのブロガーのFacebookタイムラインへのリンクを含めることができます。別のユーザーのタイムラインへのリンクをクリックしたユーザーは、許可されたすべての情報を見ることができます。
タグは、タグ付けした人にユーザーの記事を紹介して、タイムラインに追加するようすすめる、他のユーザーのタイムラインへの特別な種類のリンクです。タグ付けした人が記事の共有範囲に含まれていない場合は、その記事が表示されるように共有範囲に追加されます。タグ付けは誰でも、どんなコンテンツに対しても実行できます。タグ付けされた人とその友達は、ニュースフィードや検索などで、対象のコンテンツを見ることができるようになります。
自分がタグ付けされた記事をタイムラインに表示するかどうかを選択できます。記事ごとに承認することも、友達からの記事をすべて承認することもできます。タイムラインで、後から承認を取り消すこともできます。
他の人にタグ付けされたくない場合は、その旨を伝えることをおすすめします。それでもタグ付けされてしまう場合は、そのユーザーをブロックすることができます。これにより、その人にタグ付けされることはなくなります。
(筆者注2)フェイスブックのデータ使用ポリシーの確認手順を見ておく。
データの使用に関するポリシー →Facebookが受け取る情報 →他の人と共有した情報 →
ユーザーの氏名、プロフィール写真、カバー写真、性別、ネットワーク、ユーザーネーム、ユーザーIDは、すべてのユーザーに公開することを選択した情報と同様に扱われます。詳細はこちら。 →常に公開されている情報 →プロフィール写真とカバー写真
友達や家族がユーザーを認識するのに役立ちます。これらの写真を公開することに抵抗を感じる場合は、いつでも削除することができます。ユーザーが写真を削除しない限り、新しいプロフィール写真やカバー写真を追加した場合には、古い写真はプロフィール写真またはカバー写真のアルバム内に公開された状態で残ります。
(筆者注3)この項の説明は、2011年12月22日pcworld.idg.com.auの記事「Facebook commits to changes following critical Irish audit」から一部抜粋、引用した。
(筆者注4)新機能である「タイムライン・フューチャー(特性)」について補足する。(参照URL:http://f-
navigation.jp/manual/function/timeline_about.html)
新しいプロフィールページ・タイムラインは言うなれば「自分史」です。自分がFacebook上で投稿した出来事、アップした写真やチェックインしたスポットなどはもちろん、大学の卒業や、結婚といったライフイベント、いままで聞いた音楽や観た映画、作った料理など、自分に関するありとあらゆる事柄がタイムラインに積み重なっていきます。いままで自分の過去の投稿を見るには、ひたすらウォールを遡っていかなくてはなりませんでした。しかし、タイムライン上では、過去の出来事にもあっというまにジャンプすることができます。例えば二ヶ月前に自分がランチでどんなものを食べていたのか、一年前にどんなところに旅行に行っていたのか、過去にあなたがシェアした投稿が、タイムラインでは一目瞭然です。
(筆者注5)ソーシャル・プラグインとは、「いいね!」ボタンをフェイスブック外部のホームページやブログに設置することで、よりたくさんのつながりをもつことができる機能をいう。なお、次のURLにソーシャル・プラグインの設定手順が説明されている。Http://www.facebook-japan.com/iine.html
(筆者注6) 現時点の副コミッショナーはJohn O'Dwyer氏である。ODPCの組織図参照。
********************************************************Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
バッファロー市のパーキングメーター整備士が25セント・コイン・スキミング泥棒で有罪拘禁刑判決
米国FBIはさる8月16日、バッファロー市(ニューヨーク州)の永年勤続込公務員は、8月16日に、8年間にわたるすべて方面で同市の各方面におけるパーキング・メーターから計20万ドル以上を盗んだことを理由に30カ月の拘禁刑判決を言い渡された旨リリースした。
被告は30年以上にわたりバッファロー市の公務員であったが、パーキングメーターん整備士という仕事柄機器を操作できる立場を悪用した不正行為を理由に刑事責任を問われたものである。この種の犯罪は決して少なくないのが事実であるが、米国だけでなく英国メディア(8月17日 Guardian記事)も取り上げていることから、あえて紹介する。
1.事実関係と起訴経緯
ジェームズ・バガローゾ(James Bagarozzo:30年間以上、バッファロー市によって雇用されていた)は2003年にパーキング・メーター整備士になったが、バガローゾと共犯者はメーターを修理する代わりに25セントコインを盗むことができるようにそれら75以上のメーターに違法に別添器具(加工したデバイス)を装備した。
長い時間をかけた被告の小銭犯罪累計額は、つじつまが合ってきた。
FBI のバッファロー部において本事件の捜査を行った特別捜査官ロブ・グロス(Rob Gross)は、被告が出勤した日の半分はバッファロー市から小銭を盗むのに費やされたと述べた。
バガローゾと共犯仲間である市役所職員ローレンス・チャールズ(Lawrence Charles)は、2011年12月に逮捕された。捜査官はバガローゾの自宅で現金と25セント硬貨現金と彼の寝室の天井に隠された4万ドルを含む計約4万7,000ドルを見つけた。
バガローゾらは、パーキング・メーターの整備士として、バッファロー市内の約1,200台の機械的なマシンを調整したり修理すべき任務を負っていたが、それらのコイン・キャニスター(コイン収納ボックス)にアクセスする権限を持たないで、また集金権限も与えられていなかった。
代わりに、彼らはメーター自体に細工を装備していたので、預けられた25セント・コインがコインキャニスターに決して落ちなかった。
そして、被告は自分達のために加工デバイスからコインを回収した。
被告(57歳)は2003年から逮捕される時まで続いて、彼の家に戦利品を移すために何千回もの四半期の彼の車へバッグや深いポケットのついたワークパンツを用いて数千枚の25セント硬貨をしこしこ運んだ(そこでは、彼は、coin wrappers で包装のうえ、銀行でそれを現金と交換した)。
捜査官グロスは銀行はバガローゾが出納係に自分は友人の自動販売機企業と働いているという言ったので、決して疑わなかった。
また、グロスは被告は銀行の出納係との間で結局25セントコインをちょうど500ドル分画入る専用ボックスを彼に与えたほど良い関係を育てた、と述べた。
被告は、1週間の間に銀行に何度か25セントで計500ドル分の箱をもって出向き、帰りに現金を受け取った。
新しい駐車コミッショナーの任命がなければ、被告の詐欺は無期限に続いたかもしれない。(そのコミッショナーは、バッファロー市の機械的なメーター数値と、より新しい電子機械の間の収入の著しい違いに気付いた)。
2010年9月に、バッファロー市のParking Enforcement事業部は、バッファロー警察を含む広げた捜査を開始し、および最終的に市はFBIに支援を求めた。
2週間後に彼が判決を下される予定であるバガローゾとチャールズは、毎日窃盗行為を遂行していた模様がビデオの上で捕捉された。
グロスは、利用者が十分な注意を支払わないかぎり固定メーターに見えたが、被告らはそれを使って窃盗行為を行っていたと述べた。
実際に、彼らはそれらを使い行い公金を盗んでいた。
2012年9月に、バガローゾは違法にフェデラル・ファンド(パーキング収入)を窃取した窃盗罪および21万ドル(約2,058万円)の賠償金を支払う件で有罪答弁を行った。
本事件を担当した連邦連邦検事は、バガローゾは個人的利用と家族の諸費用を払うのにパーキング・メーターの金を使用した点を指摘した。
2.類似の犯罪事例
2009年4月22日、ワシントンポスト紙は次のような記事を載せた。
ヴァージニア州アレキサンドリア市警察は窃盗犯ウィリアム·J・フェル( William J. Fell )を起訴した。被害額は17万ドル(約1,666万円)金種は25セントおよびニッケル(5セント)とダイム(10セント)であった。
被告は約1年以上駐車場のメーターの修理工としてキャニスターから貨幣を盗み、警察が自宅を捜査したところバケツ、ロールやカップからコインが見つかった。
3.国民の信頼を確保の重要性指摘
バッファロー事業部担当の代理特別捜査官リチャード・フランケル(Richard Frankel)は、「本件は公共の不正が国民に役立つ政府の能力にいかに打撃を与えるかに関する典型例であり、今回の事件で正義が実現されたことに感謝するとともに、FBIはあらゆる形態の官吏等による公的不正行為に対し用心深く対応する」と述べた。
***************************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
2013年7月15日月曜日
欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の解釈につきスペイン裁判所に意見書
筆者の手元に米国のローファーム・サイト(Inside Privacy)や英国のローファーム・サイト(Out-Law)から興味深いブログが複数届いた。(筆者注1)
6月25日、欧州司法裁判所(Court of Justice of the European Union:CJEU)のNiilo Jääskinen法務官(Advocate General:AG)が、スペイン裁判所から出されていたスペイン住民のGoogle(検索エンジン・プロバイダー)への検索削除権に関する一連の照会に対し先決裁定意見書(opinion)(筆者注2)を提出したというものである。
CJEUにおけるこの種の意見書は初めてであり、その法的意義もさることながら、特に、(1)「データ主体による削除請求権(right to be forgotten)」(筆者注3)問題は2012年1月25日に公表された欧州委員会の「電子化社会の進展に対応した個人情報処理とこれら情報の自由な移動に関する規則(最終案)( Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (“General Data Protection Regulation”(以下、「データ保護一般規則(案)」という)」との関係、また(2)その実現に向けて検討すべき技術面の課題や限界に関するENISA(European Network and Information Security Agency)の3つの勧奨事項報告書に関する問題を正確に取り上げるべき時期にあると思う。
なお、筆者は2012年3月26日ブログ「EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に2つの勧奨研究成果公表とフォーラムを開催」において欧州委員会の一般保護規則草案の立法化問題とENISAの勧奨報告書の内容につき解説した。今回は、さらにENISAのその後の問題提起内容につき一部重複を覚悟で改めてフォローする意義を考えた。
この問題につき、欧米の関係メディアの今回の先行裁定にかかる解説記事(ブログを含む)を読む限り、これらの点を網羅しているものは皆無であった。その意味で改めて本ブログをまとめることとした。
また、法務官意見書の内容と極めて関連するFasebook等SNSプロバイダーのEU内の本拠地と適用保護法問題に関する2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(OVG)判決の意義を併せて解説する。
さらに、CJEUの裁判制度の特殊性や法務官の先行裁定の意義等についても適宜補足説明する。
1.本先決裁定に係る照会事項のこれまでの裁判経緯
(1)裁定上の論点
①EUデータ保護指令(95/46/EC)の下における領域の範囲と国内適用問題
②検索エンジン・プロバイダーはデータ管理者(data controllers)であるか。
③欧州委員会が提案する「データ主体による削除請求権(right to be forgotten)」が、欧州連合基本権憲章(Charter of Fundamental Rights of the European Union )第8条(Article 8:Protection of personal data)やEUデータ保護指令(95/46/EC)等にいう「データ主体による削除請求権(right to be forgotten)」としてEUの一般保護原則として適用されうるか。
(2)本裁判手続きのこれまでの経緯
1998年前半に新聞記事の報道記事に取り上げられたスペイン人の個人のデータ削除要求問題が引き金となった。
2010年に彼(A氏)はグーグル・スペインに対し、グーグルユーザーが検索エンジンを用いて新聞記事に関し自分の名前を入力してもリンクできないようにするよう申し入れた。彼が接触した新聞社は、関連データの消去を拒否した。このため、A氏はスペインのデータ保護機関(Agencia Española de Protección de Datos: AEPD)に苦情を申し入れた。
AEPDは調査・検討した結果、Googleに対し検索エンジンのインデックスを撤回させるべく必要な手段をとること、また、今後同データへのアクセスを不可能にするよう命じる決定を行った。
Googleはこの問題につき司法裁判所の判決前手続き「先行判決(preliminary ruling)」を求めるべく、スペインの裁判所にこの決定に対する控訴を行った。
(3)AGの意見書内容(EU保護指令における適用地問題と該当国の国内保護法適用問題)(なお、この解説部分(3)と(4)は“Inside Privacy”の解説ブログから引用した。その理由はIT専門的な視点から意見書内容を解説していると考えたことによる)
AGは、Googleの検索エンジンがスペイン人のユーザーの眼が個人の評判を狙ったとしても、そのことはスペインの保護法の適用の引き金とならないと断言した。
特に、EU保護指令第4条第1項(注4)の解釈につき、指令適用の地域を完全に調和させるべく「紛争の重要性から見た中心地(centre of gravity of the dispute)」という新たな判断基準を追加する必要はないと論じた。
むしろ、関連する質問事項であるスペイン国内において、Googleが第4条第1項にいう「データ管理者の設置地における活動の文脈においてデータ処理を行っていたか」という問題であろうと指摘した。
この問題に関し、AGはGoogleの主張点すなわちGoogleの検索エンジンにかかる個人データの処理はスペインで行っておらず、同社の広告機能の商業代表部門としての活動のみであるという意見に好意的な立場を示した。
しかしながら、AGは指令適用地域につき次のような見解を示した。
ビジネスモデルの観点から見てインターネット・プロバイダーをどのように判断するか。通常、キーワード広告(keyword〔……〕 advertising)に基づき決せられる。このキ-ワード広告〔….〕につき責任を負う企業は、インターネット検索エンジンにリンクさせる。〔and〕検索では全国ベースの広告市場の存在を必要とする。
本事件において、Googleスペインはスペインの広告市場に参照する橋として活動しており、AGの見解はその十分な結びつきを提供した。その結果、AGは法廷は個人的な処理がコントローラーの文脈の中で次のように行われたことを明示すべきことを提案した。
「PRや販売広告スペース目的で、EU加盟国にその国の国民に向けた活動に適合する事務所や子会社を設置する目的で検索エンジンの提供を保証しているか。」
重要な点は、AGはEU以外の国で参加しうるであろう技術的なデータ処理運用に含まれる設置が必要であるとは考えていないことである。また、AGは会社グループの場合、別の法人格(単一のデータ管理者概念)ではなく1つの機構として扱われるべきであるという見方を支持し、また経済的に見た運営者は1つの機構として扱われるべきであり、個人データの処理に関する個人的な活動に基づき分断すべきでないと考えていることである。
(4) AGの意見書内容(ISESPはデータ管理者(コントローラー)であるか?)
この問題に関し、AGはGoogleが個人データの処理しているか否かという問題に関しては比較的ぞんざいに対処している。特に、姓名、映像(images)、住所、電話番号、記述文等のコピー、索引付け、キャッシュメモリーに格納(caching)、ソースウェブページの表示(display of source web pages)は「処理(processing)」を構成すると述べているのみである。これら個人データの特性は、インターネット検索サービス・プロバイダーにとって未知のままである、またはソース・ウェブページの中の個人データはある意味で無作為であるという事実はこの結論を変えないであろう。
さらに、検索条件としての所与の姓や名を通じて行う自然人の間接的認証(indirect identification)は、「検索結果〔….〕はインターネット・ユーザーに対し同一名の個人間の区別において限定的なリンクを明らかにする。
ISESPが個人データのプロバイダーであるかどうかに関し、AGはEU保護指令の解釈は「バランスが取れかつ合理的な結果を実現すること」ならびに「実質的にスマートフォン、タブレットやノートPCを持つ人々に対するインターネット環境を踏まえ」行うことを提案する。
AGの意見書はこれらの状況はカバーされていない。とはいうものの、AGは以下の2つに状況を分けて区別した。
(A)AGの見方では、ISESPは第三者のウェブページ上の個人データのコントロールを機能情報位置の提供道具を提供するに過ぎない。
むしろ、その役目は電気通信事業者やその他の放送事業者(これら事業者の場合、主たる管理者は情報プロバーダーである)と類似の機能である。インターネット検索エンジン・サービスは、統計的事実以上の他の意味で個人データの存在に気づいていないし、事実上情報管理者の責務を果たしてもいない。また、ISESPは原則としてキャッシュメモリーのコンテンツを制御しない。
(B)これと対照的に、ISESPはキーワードを関連するURLアドレスにリンクさせる検索エンジンにインデックス中に含まれる個人データのコントローラーではある。また、もし、彼らがウェブページのロボット検索排除プログラム(exclusion codes on a web page)(注5)を遵守しないまたはウェブサイトから受けた要求にも係らずキャッシュのウェブページを更新しないときは、キャッシュメモリーのコンテンツのコントローラーでもある。
これらのケースでは、ISESPは保護指令において次の事項を含むコントローラーに課されるすべての義務を守らなければならない。
・「データ処理に係る法的根拠の要求要件」:AGの見解によるとISESPは原則として指令第7条(f)号に従い合法的利益基準に依存することが出来る。(注6)
・「保護指令第6条にいうデータの品質保持原則」:AGは、検索用語に対応したデータが表示されるかまたはリンクされたウェブページが表示されれば十分であると考える。(注7)
(5) AGの意見書内容(現行保護指令上「忘れられるべき権利」は認められるか?)
AGはデータ主体による自身のデータにつき「削除権」や「ブロック権」、さらに「第三者提供の反対権」、「忘れられるべき権利」という一般的な疑問点につき論議したが、いずれも否定的に答えた。
AGは、特にデータ主体には、自身の情報につきデータ主体の主観的好みに基づいて第三者のウェブページにおいて合法的に公表された情報のインデックスを阻止すべくISESPに向け強制する権利はないとした。
欧州委員会がまとめた保護一般規則(案)と比較して、現行保護指令にはそのような権利は備わっていないとした。
欧州連合基本権憲章(Charter of Fundamental Rights of the European Union)第8条(注8)や欧州人権条約(European Convention for the Protection of Human Rights and Fundamental Freedoms:ECHR)に基づいたとしても同権利は保証されない。それとは反対に個人情報の保護と私生活の権利は絶対的なものではなく、表現の自由、情報の自由やビジネスの自由など他の基本的権利とバランスをとる必要がある。
AGの意見は、忘れられるべき一般的権利はとりわけ結果的に見て、非公開のパーティでの非難されるべき公開されたコンテンツに関する重要な権利を犠牲にするであろうというものである。
(Inside Privacyブログの結論部分)
AGの意見書はEUの保護指令の重要な解釈上の観念や原則につき検索エンジンにみの適用を十分に越える斬新的な方法を含む。
AG自身が意見書で「インターネットと関連してデータ保護の専門家にとり保護指令第4条の解釈はかなりの困難であったことは驚きに当らない。法廷がこれらの点につき判決でいくらかでも光を当てることを期待する」と認めていることが注目される。
2.「データ主体による削除請求権」に関する2012年12月EU委員会による「データ保護一般規則(案)」
(1)規則案の提案の背景、検討経緯
2012年1月25日、欧州委員会は「個人情報保護に関するEUデータ保護一般規則(最終案)( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL:on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」を公表した。
同提案書は全文で119頁である。主な改正事項は、EU加盟国内の規制のあり方につき、(1)これまでの位置づけを「指令」から「規則」へ格上げ、(2) 従来の18年前に策定した「指令(Directive)」から「規則(Regulation) 」に格上げ (個別国に立法を待たずに運用、解釈等の一元化が可能となる)、(3) 個人データ保護の権利の強化(自己情報コントロール権の強化など)、(4) EU域内でのデータ保護ルールの一元化(EU域内企業にとってメリット)、(4) グローバル環境でのデータ保護ルールの詳細化(第三国へのデータ移転ルールの詳細化など)等である。
以上述べた、EU規則案策定に至る経緯やわが国の法制との比較等主な問題点は、2012年4月に(社)電子情報技術産業協会・情報政策委員会「EUデータ保護指令改定に関する調査・分析報告書」のサマリー部分がほぼ網羅しており、加盟国政府や議会資料と比較しても遜色ないと思えることから、あえて本ブログではその説明は省略する。(同報告書は全91頁で、「付録2:EUデータ保護規則案 条文和訳集(仮訳)」が添付されており、貴重な参考資料といえる。本ブログでも、適宜参照した)。また、JIPDEC(一般財団法人日本情報経済社会推進協会)が平成23年度に開催した「個人情報の安心安全な管理に向けた社会制度・基盤の研究会」用に全文を仮訳している。ただし、訳語自体の正確さで見ると疑問が生じる。例えば3.4.4.4. 第4節- データ保護職員 3.4.4.4. Section 4 – Data protection officerの例で見てみる。これは「データ保護担当役員」または「データ保護オフィサー」(前述の「情報政策委員会」の訳文参照)とすべきであろう。
(2)欧州議会「産業・調査・エネルギー委員会(Industry, Research and Energy Committee :ITRE)」の保護規則案の支持意見取りまとめリリースの要旨
2013年2月20日、欧州委員会はITRE(意見書の作成者はショーン・ケリー(Seán Kelly )議員(アイルランド選出))が規則案を支持する意見書をまとめた旨報じた。同時に欧州委員会は目下「市民の自由、司法および域内問題委員会(Civil Liberties ,Justice and Home Affairs Committee)」においてそれまで出された修正意見を統合後、同委員会の意見書案(筆者注9)を本年4月に公表すると発表した。
実際にどうなったかにつき、筆者なりに調べたので、以下のとおり補足する。
①2013年1月16日、「法案修正意見集約報告(DRAFT REPORT on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」(全218頁)が第一読会に提案された。
続いて、3月上旬に次のとおり全10回に分けて各委員からの修正案が取りまとめ役であるドイツ選出で「緑グループ/欧州自由連盟(Greens/European Free Alliance)」会派に属しているジャン・フィリップ・アルブレヒト(Jan Philipp ALBRECHT)(筆者注10)により提出されている。
② 2013年3月4日 「AMENDMENTS (1) 351 – 601」(全173頁)
③ 2013年3月4日 「AMENDMENTS (2)602 – 885」(全155頁)
④ 2013年3月4日 「 AMENDEMENTS (3)886 – 1188」(全163頁)
⑤ 2013年3月4日 「AMENDMENTS (4)1189 – 1492」(全154頁)
⑥ 2013年3月6日 「AMENDMENTS (5)1493 – 1828」(163頁)
⑦2013年3月6日 「AMENDMENTS (6) 1829 – 2090」(全134頁)
⑧2013年3月6日 「AMENDMENTS (7)2091 – 2350」(全129頁)
⑨2013年3月6日 「AAMENDMENTS (8) 2351 – 2617」(全147頁)
⑩2013年3月6日 「AMENDMENTS (9)2951 – 3133」(全175頁)
⑪2013年3月8日 、「AMENDMENTS (10)2951 – 3133」(全111頁)
(3)英国政府や議会の資料内容
EU規則案の検討内容の要約資料として英国議会下院公式ライブラリー注釈(Commons Library Standard Note )である「EU情報保護法規制に関する新たな枠組み(The Draft EU data protection framework)」の内容と注釈文原文(注釈からリンクのみ)を紹介する。
・EUの情報保護法の基本法は1995年データ保護指令(95/46/EC)であり、同指令に基づき英国は「1998年情報保護法(Data Protection Act 1998:ch29)」により適用した。1995年以来、技術進歩とグローバル化がデータ収集、アクセス、使用面において、従来の個人情報規制のあり方の道筋を大きく変えた。
・さらに、EU加盟国は1995年指令について異なる国内法立法を適用したことから、結果においてその具体的な法施行に当り法適用の分岐性が生じた。このため、欧州委員会はオンライン・プライバシー権の強化とEUのデジタル経済の増強を目的として1995年指令の包括的改正案を提案した。
この新規則案の下では、EUの事業者等は1つの情報保護法に対処し、また1つの情報保護機関(企業活動のメインの部署がある国の保護機関)に釈明責任を負うのみでよいことになる。
・本規則案は、規則案と従来の指令の法的効力に関し、95/46/ECは廃止、また2005/58/EC指令(筆者注11)との関係規定の解釈、修正案からなる。
・規則案のうち、例えば(1)7条にいう個人的なデータの処理について明示的な(explicitly)同意を要するとはいかなる定義をいうのか、(2)データ主体の公的なオンライン上のデータの削除を含む17条にいう「削除請求権(right to be forgotten)」)の明確な定義等いくつかの問題点が論議を呼ぶことが判明した。
・欧州委員会の新規則に伴う事業者等の情報管理の財務面からみた効率性向上についてのインパクト・アセスメント(規則案第33条 データ保護への影響評価:Article 33 Data protection impact assessment)推定によると、毎年23億ユーロ(約2,921億円)と見込んでいる。しかし、英国政府はこの査定結果とは意見を異にし、規則案実施時に課されるであろう経済的負担は、欧州委員会が見積もった純利益額よりもはるかに重いものであると信じる旨明示した。
・欧州委員会は、欧州連合理事会(Council)と欧州議会(Parliament)への規則案成立に向けた審議を進めている。前述した問題点等が解決されれば、規則案は2014年に採択され、その2年後の2016年に施行される予定である。
3. 「データ主体による削除請求権」に関するENISAの技術面からの問題指摘報告書
筆者は2012年3月26日のブログ「プライバシー-経済と実務慣行の間にゆれる基本的な人権問題-EU規制機関の取り組み」の前書きにおいて「欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency:ENISA)」は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表したこと。(中略)ENISAの2つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである」と解説した。
その意味で、今回のENISA報告書も関係する2つのレポートの内容もIT技術の急速な進展の中で揺れ動く人権擁護の法規制の今後を見通すうえで極めて重要な課題と認識すべきと考え、ここで併せて要旨のみ紹介する。
(1)ENISA報告書「忘れられる権利―期待と実務(The right to be forgotten - between expectations and practice )」の要旨
忘れられるべき権利(データ主体の削除要求権)は、2012年1月に欧州委員会によって発表された総合個人情報保護規制案に含まれている。同規則は、施行を待つべく欧州議会や欧州連合理事会(司法部会)で審議・採択手続途上にある。(筆者注12)
(報告書全文の前書きおよびリリース文要旨の仮訳)なお、ここでは「忘れられるべき権利」という訳語をあえて使う。
・忘れられるべき(消去またはまさしく忘却させる)権利の異なる法律面については異なった文脈で討論されているが、本報告書はこの範囲を超えている。 この報告において、ENISAは、忘れられるべき権利の他の一面の言及することを目指す。 すなわちENISAは情報システムでその権利を実施できるか、またはそのことを支持するための技術手段に焦点を合わせた。本報告で明らかなとおり、この実現には技術的な限界があり、そしてさらに法的に明確な定義化が必要である。
本報告の主要な推奨事項は以下の通りである。
・各国の政策立案者とデータ保護機関は、忘れられるべき権利(誰が共有された個人的なデータにつきいかなる事情等の下で削除を求めることができるかなどの明確化)の実現を促進するために「その定義の明確化」のために共同して機能すべきである。
さらに、そのような定義の明確化に関し、関連して生じるコストをも考慮する必要がある。
・オープン・システムであるインターネットにおいて、この権利を実施する純粋に技術的な解決策は不可能である。すなわち異なる事業・研究分野相互間協同的なアプローチが必要であり、政策立案者はこの事実を知っておくべきである。
・この権利の実現に向け支援し、かつ実践的なアプローチを行うためには、Google等サーチ・エンジン・オペレータに求めるべきであり、EU領域の内外面に格納された「忘れられるべき」情報の参照に関しフィルターにかけることを求めるべきである。
・これらに関し、破棄されたり、オフラインの記憶装置にある格納された個人情報の削除については、特別な注意を払わなければならない。
(2)Study on data storage and collection
本報告は2012年3月23日に発表された。次の2つの報告書からなる(本リリースから報告全文にリンク可)。
(A)2012年2月28日公表「Study on monetising privacy:An economic model for pricing personal information」(全76頁)
何人かの個人は、彼らのプライバシーに係る個人情報をよりよく保護するオンライン・サービス・プロバイダーに高いコストを支払うことができるくらい評価するか? これはいかなる意味で「ITサービスの個人化(personalisation of services)」(筆者注13)とどのように関連するか?
本研究は「プライバシーの貨幣価値化(monetisation of privacy)」(筆者注14)問題を分析する。貨幣価値化は、購買取引と関連して消費者による個人データの公開または非公開の決定に依存する。このレポートの第一目的はITサービスの個人化、プライバシー面の懸念問題、およびオンライン・サービス・プロバイダー間の競争の相互作用についてより良い理解を可能にすることである。 消費者は、一方では製品の個人化の利益を得るが、他方で1つのサービスに閉じ込められるかもしれない。さらに、個人化はすなわちいったんサービス・プロバイダーにプライバシー面で侵害されるとデータの扱いで妥協せざるを得ないというプライバシー面の危険を冒す。
プライバシーは人権である。プライバシーの経済学的側面について考える場合、この基本的事実は変わらない。このレポートの作者は、個人的なデータに関して私たちの人間の意思決定の理解を改良する上で、プライバシーの経済分析が法的分析を補足すると考える。
(B) 2012年2月23日公表「Study on data collection and storage in the EU」(全60頁)
この研究の目的は、一方では設計原理におけるプライバシーの重要性と他方では、多くのオンライン・サービス・プロバイダーの実践における手ぬるい情報保護の現実の間に明確なコントラストを与え、かつ最小量の公開の原則にかかるEU加盟国の関連する法的枠組みと個人情報の保管にかかる最小の保持時間の分析を提示することである。
本研究は、情報保護立法の法的な複雑な問題の詳細について深く論じることを意図しない。むしろ限られた数の関連使用されるケースの焦点を合わせて、前述の原則がこれらのケースに適合する具体的な法的規定または規制規定においてどのように表現すべきか、またそれらが実際にはどのように遵守されるかを見ようとするものである。
(3) 2012年11月14日公表「Paper on the privacy implications of online behavioural tracking 」(全33頁)
本報告の要旨部分を仮訳する。
インターネット・ユーザーは、ますますアクセス内容を追跡され、かつプロファイルを描かれており、そして、彼らの個人的なデータは利用サービスと引き換えに通貨として手広く使用される。もし、我々がプライバシーへの権利を支援して尊重するなら、私たちが尊重することができるつもりであるなら、この新しい現実がすべての利害関係者によって理解されることが重要である。 本研究は、プライバシーとデータ保護分野におけるENISAのこれまでおよび現在に仕事を補完するものである。ENISAは、運用環境における挑戦すべきテーマを特定して、最も良い実務慣行を開発し、プライバシー概念と技術を促進するために様々な利害関係者の間の対話を支援している。
ENISAによって発表された最近の研究では、我々は、すなわち個人データ保護のための法的必要条件すなわち、個人情報保管の最小量の開示原則と最小の保持時間とオンライン環境における実務慣行の間にギャップがあることを見出した。 プライバシーを高める技術の理解力は低い。 ユーザーには、プライバシーに優しいサービスでいくつかのビジネス利益をもたらすことができたとしても、消費者の小さい、しかし、わずかな割合でプライバシーに優しいサービスに代価を払っても構わないと思うときさえ、実際に彼らにとって多くの選択肢はない。
欧州委員会が法的展望をもってこれらの挑戦を記述する目的で取りまとめた新保護規則案は、意図的にプライバシー保護を強化し、その不履行に対する制裁は含む。本研究は、消費者の行動追跡時の技術的展望を提供する。以下のような質問に答えて、それは包括的な見解を提示する。(1)ユーザーはなぜアクセス行動等を追跡されるのか? (2) どのような技術が使用されているのか? (3) 我々は今日、どんな範囲まで追跡されているのか? (4) その具体的傾向はどのようなものか? (5)リスクとは何か? (6)主体の保護のためいかなる制裁処分が存在するか? (7)保護監視機関は、ユーザー・プライバシーを改善するのをどのような支援策を実行できるか?
追跡メカニズムに関連するプライバシーの危険性を記述する学際的アプローチによる多くの仕事が必要とされる。 本研究の推薦内容は、EU各国の監視機関、政策利害関係者、研究者、および開発者に向けて記述するものである。具体的には以下の通りである。
①追跡防止イニシアチブ・システムの開発とモバイル・アプリケーションのための対処プログラムの開発; ほとんどの追跡防止イニシアチブはモバイル機器に焦点を合わせていないため、モバイル機器のユーザーはさらにプライバシー面のリスクに晒される。
②ユーザーにとって透明性とコントロール向上のための使い易いツールの開発; 気づきは重要であるが、ユーザーが、自身の個人データがどのように収集され、管理され、移動されるかを知りうるよう透明性ツールを機能アップする必要がある。
③ 法執行対策として、ふらちな事をするプレーヤーの行動を阻止し、個人データ保護に関する規則等への遵守を強制するために配備されるべきである; そのメカニズムは規則違反の捜査やそのモニタリングに関するもので、規制監督機関によって定義されるべきである。
④ 意図的にプライバシー保護は促進されるべきである。規制規則等は、重要な役割が、プライバシーを保存する解決策の適合を上げる重要な役割すなわち規則等を実行して、完全かつ準拠性を持ち確固たる有意義なプライバシー・ポリシーの存在を確実にすることである。
4.EU加盟国における“ right to be forgotten”問題の整理
あえてBBC やGuardian 等メディアの解説は省略する。自国の利害を勘案しつつ、本格的に論じていると思われる英国政府の意見書や法律専門家の意見を中心に問題点を整理してみる。
(1)英国法務省「法務特別委員会意見書」や議会で検討課題の概要
2013年1月の英国法務省リリース「大法官および法務大臣名の英国政府の意見書(法務特別委員会が取りまとめ)(Government response to Justice Select Committee’s opinion on the European Union Data Protection framework proposals」のうち、欧州委員会が策定したEU情報保護規則案およびEU指令(95/46/EC)等改正案に対する意見の結論部分を仮訳する。
〔規則案に対する意見(The Committee’s opinion – Regulation)〕
①本規則案は、第一に1995年指令(95/46/EC)の改正と過去および将来のIT技術更新への配慮、第二に「リスボン条約(Treaty of Lisbon)」や「EU基本権憲章(Charter of Fundamental Rights of the European Union)」(2010/C 83/02)が規定する個人情報やプライバシーを保護するために必要な個人の権利を与えるものである。(第102段落)
英国政府の「根拠を明示した意見具申(Government’s Call for Evidence)」に対する応答者の大部分は、特にEUの単一市場の強化に関し、今回の欧州委員会の情報保護立法案を歓迎した。英国政府は、現行EU保護指令が1995年に合意されて以降、個人情報の使用方法が変わったことならびに現行の枠組みの更新が必要であると認識している。
1995年保護指令の制定目的を踏まえて提案された今回のEU規則案は、個人情報の処理における個人を保護することを意図するものである。個人データの保護は「欧州人権条約(ECHR)」(筆者注15)第8条(EU基本権憲章第7条の再規定化したもの)はプライバシーと家族生活の尊重に関する権利の側面でプライバシー保護に特化したものである。
「欧州連合の機能に関する条約(Treaty on the Functioning of the European Union)」第16条第2項はリスボン条約により導入されたデータ保護に関する新たな根拠となるものである。また同条は、欧州議会と欧州連合理事会による個人情報保護の規則を個人的なデータの処理に定めるのに権限を与える。この前提に立ってみると、英国政府は、欧州委員会が立法措置を求めて何とかせねばならないと事例は存在せず、また、現時点で従来の「枠組み決定(framework decisions)」 (筆者注16)を置き換える必要性もないと考える。
英国政府は、適切な公衆保護、経済成長、および革新を考慮する一方で個人の市民的自由を保護するEUデータ保護法律を欲している。 これらは一方かもう片方を犠牲にして達成されるのではなく、2人乗り自転車方式で達成されるべきである。
しかしながら、規則案の内容は民間企業や公権力がこれらの権利が是認されるのを保証するためにいかなるかたちで応じるべきであるかに関して作成するものとしては「過剰規範主義的(over-prescriptive)」である。
政府は、英国の保護機関である情報コミッショナー(Information Commissioner’s Office)が実質的に余分な情報資源を求め、ひいては民間企業は公的機関から求められる多くの管理証拠(筆者注17)負担を主張する。(第103段落)
英国政府は、データ管理者(data controllers)がどう規則案を遵守するかといった条件に関し、提案された規則案が過剰規範主義的であるという情報コミッショナー(ICO)の意見に同調する。英国が擁護するリスク・ベースとする保護モデルの下では、それは法律の遵守を確実にするためにデータ管理者を適所に置き、かつその義務を規定化するであろう。
英国政府は欧州委員会規則案が「だれもその代価を払わない管理体制(a regime which no-one will pay for)」に立つものであるという情報委員の主張に同情的である。英国が実施したImpact Assessmentでは、1年あたり800万ポンド(約11億7,600万円)から2,800万ポンド(約41億1,600万円)のICOによって見積もられた補足的手段の必要性を勘案して、また、ICOへの登録手数料収入の損失というICOの収入損失推計を査定した。(筆者注18)
英国は、欧州委員会には次の選択が可能であると信じる。1つ目は、一般保護規則を通してEU加盟国横断的に一貫性と協力関係(筆者注19)を実行すべく調和させる目的を追求し続けることができる一方で、データ保護当局と欧州保護委員(European Data Protection Board)の思慮深さの遵守に関する詳細を任せている不可欠の要素に焦点を合わせることである。それに代替する別な2つ目は、規則案に含まれているすべての領域で達成したがっていることを実現するのに指令を使用する方法である。しかし、この場合、加盟国に具体的な実現を任せることになり、前述調和や一環性の要素に実現は課題として残される。 (第104段落)
提案された規則案はEU指令として書き直すべきであるという英国政府の立場は、加盟国にとって要求される有利性や柔軟性を考慮することに繋がろう。 欧州委員会のImpact Assessmentは、従来のEU指令の使用によりこの調和させることが達成されることを認めている。
例えば、規則案の中で見出しうる基本的権利の調和の例を挙げよう。すなわち、 データ主体の楽しむ権利、独立性を持った監督機関と欧州保護委員会に関するルールである。また、英国政府は一貫性メカニズムの原理を支持する。我々は、 私たちは、データ保護枠組みにおいて個人の市民的自由を保護するべきであると信じている。このことは、個人的なデータの処理が公正、安全であり、そのデータが必要とされる期間のみ保有されるべきであることを確実にする適所にある規則を定めることを意味する。
EUデータ保護立法は、革新と成長を損なうビジネス慣行を強制することなく個人のプライバシーを保護するものでなければならない。例えば、規則案はデータ管理者がどのようにインパクト・アセスメントを完全なものとしまた保護役員を雇用するかにつき規範的な義務を明記する。
彼らがどう提案されたRegulationに従うかに関して提案されたRegulationは規範的な義務をデータ管理者に置きます、データ保護インパクト・アセスメントを終了して、データ保護職員を雇うのなどように。 これはデータ管理者(小さいオンライン小売業者から多国籍の大きなインターネット会社までの)が規則の遵守を確実にするためにそれら自身の実務慣行を採用できない‘フリーサイズ'アプローチである。 欧州委員会の提案は、プロセスではなく、結果を規制することに焦点を合わせるべきである。
英国議会の「欧州問題監視委員会(European Scrutiny Committee)」の英国政府に対する質問事項すなわち現在上程されている規則案はデータ主体にとって交渉の余地がない基本的権利を付与し、また欧州全体で取引を行う民間企業特に中小企業にとってより遵守しやすい本質的なものである。しかし、委員会はEUが現在提示している手続様式は適切、実践的、容易性および効率性なものとは思えない、という疑問である。(第105段落)
英国政府は欧州問題監視委員会への回答として次のとおり指摘した。政府は個人の市民的自由を保護する意味のデータ保護法を見たがっている。 データ管理者がデータ保護につき、ビジネスが成長するのを防げる極めて高価で官僚的手段に従う必要はなく、データ処理できるのを確実にしている一方で、個人の保護を達成したいと思う。
〔EU指令改正案に対する政府意見(The Committee’s opinion – Directive)〕
データ主体の観点から見て、指令改正案は、保護規則案に比べより弱いレベルのデータ保護を提供する。 政府は、法執行当局による機密の個人的データの取扱いの著しい違いを認めるが、多くの点で、保護のこの低いレベルは正当に見えない。交渉の間で、英国政府は旧指令を修正しようとするべきであるので、データ保護原則はできるだけ2つのEU保護手段(一般保護規則と改正指令)の間で一貫すべきである。 これは、リスボン条約で支持された権利が、是認されるのをさらに確実にするであろう。 (第149段落)
前述したとおり、欧州委員の2つの保護手段の間の一貫性のための委員会の求めに応じ、英国政府は、それが可能である限り2つの手段の間には、パラレルな関係があるべきであると信じている。しかしながら、各手段が提案されたとおり異なった文脈で考えられることが重要である。 規則案は一般データ保護処理のために提案されたが、改正指令は警察の分野と刑事問題における司法協力において適用される。各手段でカバーされる領域での個人データの使用は非常に異なっており、そして、警察の分野のより大きい柔軟性と運用上の要件によるこの領域の司法協力の必要があり、必要であるところでは、これらが2つの手段に反映されるべきである。旧指令の詳細説明(recital )10(筆者注15)は、個人情報の保護のときに刑事問題における司法協力と警察の協力の分野、特定の規則がこの分野での個人情報の保護に必要であるかもしれないと認めたDeclaration21を参照引用している。
規則案とは対照的に、保護指令により保護されるレベルの条件に関してよりフレキシブルな手段提供や基本的人権の供与手段の間で、矛盾は全くない。 例えば、Framework Decisionは最低基準となる手段である。Framework Decisionの詳細説明48は、基本的権利を尊敬する点を確認して、欧州基本的人権憲章によって認識された諸原則を明記する。
英国政府の立場は、Directiveが欧州連合の機能に関する条約プロトコル21第6a条に従い、英国にとって適用を制限してしまうだろうというものである。その場合、我々は、法執行当局がDirectiveの中に含まれる過剰規範的な手段によって縛られないので、それがイギリスに有益になると信じる。また、これは、警官隊等のようにEU法が国内の個人データ処理に適用されないことを意味するであろう。 刑事裁判の場合の国内処理は、引き続き「1998年情報保護法」でカバーされ続けるであろう。 (第150段落)
提案された指令改正案によると、EUの手段の外でのデータ処理に適用しないという政府の立場がある。指令改正案が適用しない分野では、英国の国内法はそのような個人的なデータの処理を治め続けるであろう。
(2)筆者は、5月10日の英国の大手ローファームShepherd and Wedderburnの解説記事「The right to be forgotten – who can decide?」を読んだ。
短いレポートではあるが、この問題のEU加盟国(英国、ドイツ)における議論のポイント(GoogleだけでなくドイツのFacebookの法適用領域問題)は具体例をあげて整理されている。その要旨部を以下、仮訳する。
(略す)
(3) チューリッヒ大学・国際ビジネス法主任教授 Rolf H. Weber「The Right to Be Forgotten :More Than a Pandora’s Box?」(全11頁)2011年公表
JIPITEC, the ”Journal of Intellectual Property, Information Technology and Electronic Commerce Law” 2011年第2巻第2号120~131ページ
(略す)
(4) 2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(Verwaltungsgerichtsbarkeit in Schleswig-Holstein:OVG)判決の意義と内容
2013年4月22日、OVGはフェイスブックがアイルランドに非米国やカナダの運用に関してはアイルランドに本拠を置くことから、フェイスブックのアカウントネーム・利用規約(ポリシー)では本名の使用を義務付ける。この点につき原告ユーザーはシュレスビッヒ・ホルシュタイン個人情報保護委員は同利用規約は保護法違反であるとする決定を下した。
フェイスブックは控訴し、OVGはフェイスブックのEU域内のオペレーションはアイルランドで行われており、そこで適用される保護法はアイルランド保護法のみが適用され、ドイツ保護法は適用されない旨裁決した。
この決定は他国のデータ保護機関に比べプライバシー保護に厳しいドイツの監視機関にとって打撃である。
なお、OVG決定に対し上告される予定であるが、この問題は欧州委員会が目的とする「一環性メカニズム(consistency mechanism)」問題と極めて緊密に関係する問題であることは間違いない。
また、シュレスビッヒ・ホルシュタイン個人情報保護委員(Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein)のプレスリリース「OVG Schleswig-Holstein: For Facebook Germany data protection law does not apply」はOVG判決文の原文等にリンクできる。
************************************************************
(筆者注1)例えば、米国ローファーム・ブログ“Inside Privacy”「Advocate General Submits Opinion in Google Spain Case」、英国ローファーム“Out Law”記事「Google not always a 'data controller' of data processed by search engines, says legal advisor」、 米国CNET記事「EU court lawyer backs Google in 'right to be forgotten' case」、EUobserver記事「EU court: No 'right to be forgotten' in data rules」などがあげられる。
(筆者注2) CJEU法務官の意見書について、リリース文の注記内容をここで仮訳し補足する。
(注)法務官の意見書: 法務官の意見は欧州司法裁判所(Court of Justice)に対し法的拘束力を持たない。法務官の裁定は、完全に独立性をもって責任を負う事件の法的解決において司法裁判所に建議を行うことがその任務である。
司法裁判所の裁判官は、本事件につき現在、彼らの審理を始めており、後日、法的判断を与えることになろう。
NOTE: The Advocate General’s Opinion is not binding on the Court of Justice. It is the role of the Advocates General to propose to the Court, in complete independence, a legal solution to the cases for which they are responsible. The Judges of the Court are now beginning their deliberations in this case. Judgment will be given at a later date.
司法裁判所の先行判決(preliminary ruling)の意義について同裁判所の解説箇所を引用、仮訳する。
注:CJEU先行判決の法的な参照性の意義は、加盟国の裁判所(courts およびtribunals)におけるEU法の解釈および有効性に関して司法裁判所(court of justice)に質問を任せるのにそれらの前に持ち込まれた論争に対し行うことが認められる。 司法裁判所はこの論点自体については決定を行わない。 司法裁判所の決定に応じてケースを判断する際、加盟国の裁判所に支配力を持つ(司法裁判所決定は、他の国家の裁判所における同様の問題につき法的拘束力を持つ)。
裁判所法廷は法廷の審理事件として持ち込まれたケースに関する意見を提示することである8人の法務官から法的アドバイスを受ける。 それらの内容は公開的でありかつ公平なものでなくてはならない。
各裁判官と法務官は任期6年で任命され、この任期は更新が可能である。 EU加盟国の政府は、彼らが裁判官や法務官につきだれを任命するかにつき同意権を持つ。
(筆者注3)“right to be forgotten”とは、個人の事業者や機関に対し自己の情報を削除するよう要求することの出来る権利をいう。「忘れられる権利」と訳されることが多いが、データ主体がもつコントロールの1つである「データ主体の削除要求権」という訳語が適切と考える。本ブログはあえてこの訳語で統一する。
(筆者注4)EU指令第4条第1項の原文を以下、引用する。
Article 4 :加盟国の国内法の適用ルール(National law applicable)
1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:
(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;
(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;
(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.
(注5) 検索エンジンのロボットは、Webページに記述されているリンクを辿ってサイトを巡回し、情報収集、インデキシングをおこなう。Webサーバの管理者やWebサイトの運営者は、自分たちが管理・運営するWebページをWeb検索エンジンに登録されたくない場合などに、ロボットを排除することができる。(Cyber Librarian「ロボット排除」から一部引用)
(注6)保護指令第7条(f)号の訳文を引用しておく。(ECOMプライバシー問題検討WG訳から引用)
第7条
加盟国は、個人データが以下の条件を満たす場合にのみ、処理されることを確保するものとする。
(略)
(f)管理者、データ開示の対象となる第三者、又はその他の当事者の合法的な利益のために、処理が必要である場合。但し、第1条1項に従って保護が要求されるデータ対象者の利益、基本的人権及び自由が上記利益に優先する場合はこの限りではない。
(注7) ECOMプライバシー問題検討WG訳から引用する。
第6条
1.加盟国は、個人データが以下の条件を満たすことを確保するものとする。
(a)公正かつ適法に処理されること。
(b)特定、明確、及び合法的な目的のために収集され、このような目的に反した方法で、処理されることのないこと。歴史、統計、又は科学的目的のための、データの処理は、加盟国が適切な保護条項を規定している限り、目的に反しているとは見なされないものとする。
(c)適切、妥当であること。そのデータが収集された目的、及び/又は、それが処理される目的に関して、過度でないこと。
(d)正確であること。必要な場合には、最新の情報を維持すること。データが収集された目的、又はそれが処理される目的に関して不正確又は不完全なデータが消去又は修正されることを確保するために、全ての合理的な手段が取られなければならない。
(e)データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。加盟国は、歴史、統計、又は科学的利用を目的として、個人データを長期間保存するために、適切な保護条項を規定するものとする。
2.管理者は、第1項の遵守を確保するものとする。
(注8)欧州連合基本権憲章の第8条の原文を挙げる。
Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the
person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
(筆者注9)ここで欧州議会の委員会における法案に対する修正意見、過程の表示・見方につき補足しておく。
〔規則等法案に対する修正内容の表示の見方〕
議会による修正では、規則案(drafts acts)に対する修正箇所は「太字のイタリック体(bold italics)」で強調される。「普通のイタリック体(italics)」による強調個所は、例えば文言上の明白な誤りや脱落があり修正を必要とするであろう規則案の部分に関する指示個所で、規則案の最終版で修正される個所である。この種類の提案された修正部分は欧州委員会等関係部との同意を前提とする。
法案の修正は行われなかったが、議会が修正したがっていた既存の法案における条項は「太字(bold)」で強調される。 議会が審議過程で指摘した削除事項はすべて[...]で示される。
なお、修正事由(justification)について、各修正個所に表記されている。
(筆者注10) アルブレヒト議員の最近の議会での活動はEUの公式サイトで確認できる。最近時のものでは7月3日の議会でのディベートは、欧州委員会の規則制定の役割の重要性も含め極めて興味深い内容であり、公式動画でも確認できるが、その「動画メッセージ」の内容を仮訳する。
なお、筆者が従来から主張しているとおり、議会事務局の最も重要な機能はディベート内容につき常に選挙民がチェックできるITシステムの構築である。20以上の国々の異なる原語翻訳システムをフルに機能させている議会事務局の努力に敬意を表す。
「緑グループ/欧州自由連盟を代表して意見を述べる。親愛なる欧州理事会議長(president)、欧州連合理事会、同胞議員、聴衆および本日ここに来ているおそらくそうであろう米国NSAや英国情報機関(British intelligence )の各位に訴えたい。
我々の政府や欧州大陸の国々は、米国の大規模な量の通信内容の諜報監視や基本的権利や保護原則の侵害はまったくけしからんと説明してきた。 むこうにいるそれらの人々に関しては、この欧州議会は法の支配を回復するという望みと基本的権利の敬意を運びこんだ。 今日のデジタル化・グローバル化している世界では、それらの人権価値の保護が強く情報技術にリンクされるため、プライバシーとデータ保護への権利が不可欠である。 世界中、特にヨーロッパ、米国およびラテンアメリカの主要な市民社会グループは、欧州議会が個人情報の保護を強化し、拘束力がある高い規格に同意するために他の国に圧力を加えるよう呼びかけてきた。 今、行動すべきときである。
私はマンフレード・ウェーバー議員(Manfred Weber)の意見に同意する。我々は、強固なEU一般データ保護規則とEU保護指令の交渉を加速する必要がある。そして、米国という私たちのパートナー国に対しこれらの保護規格に同意することを要求する必要がある。 我々は、米国による基本的権利の大規模な侵害を停止させるとともに特に我々自身の加盟国の情報当局による侵害をも直ちに停止させるのを確実化する必要がある。緑グループのメンバーとして別の会派グループがスキャンダラスな情報活動に関する調査要求に同意したことは歓迎するが、しかしながら別会派が米国が市民や機関等に対するスパイ活動を止めることの保証なしに太平洋を挟んだ貿易合意交渉を認める点については、不適切でありまた無責任であると思う。
まず、最初に基準となる厳格な規定が必要であり、次に我々EUは協力しあわなければならない。
(筆者注11) 「COMMISSION DIRECTIVE 2005/58/EC of 21 September 2005」は、反応性物質としてbifenazate(殺虫剤「ビフェナゼート(bifeazate)」はヒドラジン骨格を有する殺虫剤、ハダニやサビダニに対し速効的な効果を示す)とmilbemectin(殺虫剤 ミルベメクチン。6 員環マクロライド骨格を有する殺虫剤。本剤は、ダニ、昆虫及び線虫の神経-筋接合部位の塩素イオンチャンネルに作用し、殺虫活性を示す。韓国、ニュージーランド、ブラジル等で農薬登録されている。日本では、1990 年11 月に茶を対象に初めて登録されており、原体ベースで年間3.7 トン(平成15 農薬年度)生産されている)を含む理事会指令(Council Directive91/414/EEC)を修正したもの。
(筆者注12) 欧州議会、欧州連合理事会(Council of European Union)における立法手続きを概観する。
1.EU法の種類
EU法は第一次法と第二次法に分類される。第一次法はEUを基礎付ける条約、第二次法は、条約に法的根拠をもち、そこから派生する法である。EU法あるいは派生法と呼ばれる。第二次法(以下、EU法)は適用範囲と法的拘束力の強弱によって、(1)規則(Regulation)、(2)指令(Directive)、(3)決定(Decision)、(4)勧告・意見(Recommendation/Opinion)の4種類が存在する。
(1)規則(Regulation):すべての加盟国を拘束し、直接適用性(採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる)を有する。
(2)指令(Directive):指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任される。指令の国内法制化は、既存の法律がない場合には、新たに国内法を制定、追加、修正することでなされる。一方、加盟国の法の範囲内で、指令内容を達成できる場合には、措置を執る必要はない。加盟国の既存の法体系に適合した法制定が可能になる反面、規則に比べて履行確保が複雑・困難になる。
(3) 決定(Decision):特定の加盟国、企業、個人に対象を限定し、限定された対象に対しては直接に効力を有する。一般的法規というよりは、個別的かつ具体的内容を有する。
(4) 勧告・意見(Recommendation/Opinion):EU理事会及び欧州議会が行う見解表明で、通常は欧州委員会が原案を提案するもので、(1)~(3)とは異なり法的拘束力を持たない。
2.EU法の立法過程における決定手続
・通常、立法手続は次のような過程をとる。欧州委員会が欧州議会と欧州連合理事会に提案を提出する。その後、欧州議会で第一読会が開かれる。欧州議会の意見を受け、欧州連合理事会は欧州議会の意見を承認するか、しないかを決定する。
・承認しない場合は、欧州連合理事会は「共通の立場」を採択し、それを欧州議会に伝える。欧州議会では第二読会が開かれ、そこで承認、否決、修正が行われる。
・修正の場合は再度欧州連合理事会に伝えられ、そこで承認ないしは否決が行われる
(総務省世界情報通信事情:国別に見る「EU」から一部抜粋。なお、同資料では“Council of the European Union”を「EU理事会」と訳しているがこれは明らかに誤訳であり、本ブログでは修正した。立法機関たる欧州連合理事会のHPの解説で正確なところを確認されたい。また保護規則案に関するEUの立法審議専門サイトを読んでほしい。そこでは欧州理事会(European Council)は何等法案につき審議していない)
(筆者注13)“personalisation of services” とプライバシー侵害問題につき、次のような説明が分かりやすかろう。
「情報推薦などの個人化サービスを受けるためにユーザは個人情報を開示する必要がある。多くの個人情報を開示することで,さらに個人化されたサービスを受けることができる可能性があるが,一方で情報漏洩や情報流用などによりプライバシーが侵害される危険性も秘めている。(宮本 崇弘、竹内 亨、奥田剛、春本 要、有吉勇介、下條 真司「GrIP:プライバシとサービス品質のトレードオフを考慮した個人情報制御機構」日本データベース学会 Letters Vol.4, No.1 9から一部抜粋。
(筆者注14) 欧米におけるプライバシー問題の強い関心や規制・保護が論じられる中で基本となる「プライバシーの貨幣価値化」論文は極めて少ないし、書かれたレポートに対する意見も少ない。その中でCISO blogが興味深いレポート「The Monetization of Privacy – Birth of a “Trust Economy」を取り上げている。その内容の中からユーザー情報につき貨幣価値化できる企業は何をなすべきかに関する8項目を仮訳する。個人情報を取扱う事業者であれば極めて当然といえる内容であるが、このレベルでさえ遵守できない事業者が規模の大小を問わず多いことも内外では事実である。なお、2011年からSOLOMOがマーケテング手法として注目されているがこの問題についてはなおプライバシー面からの課題が残されている点を筆者として補足する。
①透明性を確保するー正直に消費者に向け自社は実際どのような事業を行っているかを正確に説明する。
②誰も全部読まない長くて冗長な利用規約(T&Cs)で本質的・重要な点を覆い隠さない。
③ 以下 略す
④
⑤
⑥
⑦
⑧
(筆者注15)立命館大学の安江則子教授が「3.EU リスボン条約における基本権の保護
――ECHR との関係を中心に―」おいてリスボン条約、基本人権憲章、欧州人権条約等の位置づけについて説明されているので、一部抜粋引用する。なお、EU公式サイトへのリンクや正式条約名等は筆者の責任で行った。
「 EU は2000年末に,機関として遵守すべき基本権のリストを示した「基本権憲章(Charter of Fundamental Rights of the European Union:2010/C 83/02)」を採択した。この憲章は,2001年から始まった基本条約改正のためのコンベンション)での議論の結果,欧州憲法条約(2004年調印)に挿入され法的拘束力をもつことになっていた。ところが周知のとおり,憲法条約はフランスとオランダの国民投票で否決され,その後2007年の条約再交渉の結果,「EU条約およびEC 設立条約を改定するリスボン条約」Treaty of Lisbon Amending the Treaty on European Union and the Treaty Establishing the European Community,以下リスボン条約)が採択されている2)。リスボン条約において基本権憲章は,基本条約とは別個の文書として,法的拘束力をもつことが合意されている。さらに新たな条約において,EU が,機関として「欧州人権条約(ECHR, European Convention on the Protection of Human Rights:正式名は“Convention for the Protection of Human Rights and Fundamental Freedoms”)」加入する方針も明確にされた。2007年2月15日には,独立機関としてEU 基本的人権保護庁(FRA, European Union Agency for Fundamental Rights)が欧州連合理事会の決定に基づいて設立されている)。」
なお、FRAの設置経緯等につき、欧州連合理事会のリリースに基づき筆者が独自に仮訳補足する。
・欧州連合理事会は、EU基本権庁の設置に関する理事会規則(COUNCIL REGULATION establishing a European Union Agency for Fundamental Rights)を採択した。
2003年12月欧州評議会(European Council)は1997年の規則に基づき設置した人種差別主義(Racism)および外国人嫌悪主義(Xenophobia)のモニタリング・センターの統治権限を拡大し、その権限をFRAに移行することに同意した。同庁の本部の事務所は引き続きオーストリアのウイーンに残る。
同庁の設置目的は、関係する国や地域内の機関、団体、官公庁等に対し、これら機関が基本的権利を完全に尊重し、それらの権能の範囲内で対策を実施したり行動の方針を定式化するとき、コミュニティ法に即してそれらを支援したり支持するために基本的権利に関連する支援と専門的情報を提供することである。
同庁は、これらの案件に対処しながら、基本的権利の状況の開発のときに客観的かつ信頼できて比較可能な情報を集め、また、尊重すべき点に関する失敗の原因、その結果および効果に関してこれら情報を分析するとともに、これらの手段についての優れた実践例を検証することになろう。
(筆者注16) 「枠組み決定」とは、欧州連合条約第6編に固有の法令形態であって、加盟国または欧州委員会が発議し、理事会の全会一致の議決で定められ、達成されるべき結果については、加盟国を拘束するが、形式や方法の選択は各加盟国に委ねられる(欧州連合条約第34条⑵⒝)。
ここで「枠組み決定」の法的側面につき補足する。国際平成大学の入稲福(いりなふく)智教授のEU法のHPの解説ら一部抜粋・引用した。なお、条約原文へのリンクは筆者の責任で行った。
「(b) 枠組み決定(framework decisions)
これは、国内法規・行政規則を調整する場合に制定される。その効力について、EU条約第34条第2項第b号は、EC条約第249条第3項(EC指令の効力に関する規定)と同じような表現を用い定めている。つまり、枠組み決定の目的に照らし、加盟国は国内法・政策を整備しなければならないが(加盟国はその目的に拘束される)、その方法や手段は加盟国の裁量に任されている。なお、EU条約第34条第2項第b号は、決定の 直接的効力 を明瞭に否認しており、この点で、指令に関するEC条約第249条第3項とは異なる(参照)。」
なお、枠組み決定に関し次の解説も分かりやすい。
(筆者注17) とりわけ英国では“administrative burdens”軽減化に向け官民で取り込んでいる。
その意義等について「ビジネス・イノベーション・技術改革省(BIS)」のサイト解説“Reducing administrative burdens” を見ておく。
「行政事務負担」とは、民会事業会社等ビジネスが他の手段による代替不可の法令を遵守するために負う行為をいう。通常一定の定められた様式のファイリング、記録の保存や要求された様式への回答としてなされる。その手続等の簡素化は、民間ビジネスひいては英国経済全般に対する節約効果に繋がる。.
(筆者注18)英国の1998 年データ保護法では、「データ管理者(data controller)」である組織・法人に対するデータ保護8原則の遵守義務、政府から独立した情報保護監督機関である情報コミッショナーに対しデータ管理者としての登録義務等を課している。さらに2000年3月以降、登録時に一律35ポンド納付が義務付けられていたが、同制度は2009年情報保護規則改正により2009年10月1日から事業者の「規模(従業員数が250人以上)」と「粗利益(turnover)2,590万ポンド(約38億730万円)以上」により従来どおりの35ポンドの納付額(Tier1)の場合に加え、500ポンド(約73,500円)納付の場合(Tier2)が追加され、2本建てに改正された。(公的機関については250人以上はTier2となる)。英国では新基準でも90%以上が35ポンドである。
参考までに同改正規則の原文を引用する。;
Amendment of regulation 7 of the Regulations
3. For regulation 7 of the Regulations (fees to accompany notification under section 18 of the Act) substitute—
“Fees to accompany notification under section 18 of the Act 7. For the purposes of section 18(5) of the Act the prescribed fee is—
(a) for a data controller in tier 1, £35; or
(b) for a data controller in tier 2, £500.
(筆者注19)欧州委員会の一般保護規則案の中でとりわけ重要な制定目的として57条以下で定める「一環性メカニズム(consistency mechanism)」という言葉につき、欧州委員会の司法担当委員サイトで詳しく説明している。この問題につき、規則化の背景や同メカニズムの基本原則、各国の保護監督機関(DPAs)とその支援機能を持つ「欧州データ保護委員会(European Data Protection Board:EDPB)」や欧州委員会との関係である。
この問題は、どういうわけかわが国ではほとんど解説されていない点であり、原資料にもとづき解説を試みる。EUサイトの解説内容はかなり抽象的であるが他に適切な解説文がないためあえて引用した。
・現行保護指令(95/46/EC)の下で、同じ企業活動でありながらEUの複数国で事業展開する事業者は異なる権限を持つ監督機関の異なる権限の下で活動せざるを得ないため、不確実性が極めて増していた。この問題が大きく問題視された例としてはGoogleのStreet View問題であった。各国のDPAsに対し未調整でかつばらばらの対応を行った。
規則案はこれまでの対応の問題を解決すべく一元性と一貫性をもった事業者の監督制度を確立させた。すなわち、第一に1つのDPAのみが、“One Stop Shop”(一連のサービスが1つの場所で提供可能な効率的ビジネス)会社に対して法的に拘束力を持つ決定を行う責任を持つ。
第二に、DPAs間における相互支援・協調活動(55条以下)を義務づけるとともに、EU全体にわたるEDPBによる明確な適用を保証する規則を定め、また欧州委員会の役割という一貫性を持ったメカニズムを創設した。
この一環性メカニズムには次の3つの原則がある。
①DPAsはEU全体への影響をもたない個々の事件のみ決定を行う。
②EU全体に影響を持つ問題についてはEDPBが決定を行う。
③欧州委員会はこの一環性メカニズムが確実の有効になるようバックネットとして行動する。
さらに、もしDPAの決定に対し、EDPBが本規則に正しい適用かどうかが極めて疑わしいと判断する場合のみ、欧州委員会はDPAに対し、規則案により最大12か月の処分停止を請求しうる。この決定は次の2つの特別な事情がある場合のみ認められる。
①DPAとEDPB間において立場の分岐内容の和解を試みる。
②特に問題点が域内市場に対する適切な機能として適用しうる手段を採択するためであること。
(筆者注20) EU指令”の “Recital 10”の原文を引用する。”
10. In Declaration 21 on the protection of personal data in the fields of judicial co-operation in criminal matters and police co-operation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the Conference acknowledged that specific rules on the protection of personal data and the free movement of such data in the fields of judicial co-operation in criminal matters and police co-operation based on Article 16 of the Treaty on the Functioning of the European Union may prove necessary because of the specific nature of these fields.
********************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
2013年7月3日水曜日
米国連邦FDAが違法なオンライン薬局に対し1,677の未承認ウェブサイトの閉鎖等国際的共同法執行措置を発動
去る6月27日、米国連邦保健福祉省・食料医薬品局(U.S.Food and Drug Administration:FDA)は6月18日から25日の間に実施した国際的な規制当局や捜査・法執行機関と共同して消費者に極めて重大な危険性をもたらす違法でありまた未承認の処方薬を販売する96,000以上のウェブサイトに対し、規制・監督機関の警告発布、提供物の押収および世界的規模で違法な医薬品約4,110万ドル(約39億9,900万円)相当に対する法執行活動(第Ⅵ次パンジア作戦:Operation Pangea Ⅵ)を行った旨リリースした。
この情報はわが国では、唯一、ペンネーム(桜下街(おうかがい)ブログ「くすりなひと」がFDAのリリースやCBSニュースに基づき概要を解説している。
また、これまでの世界的にみたパンジア作戦の取組みについて、わが国の一部専門ブログのみが取り上げている。しかし、筆者が見るにこれだけ国際的な規制・法執行活動について、どういうわけかわが国の規制監督機関である厚生労働省や捜査取締機関である警察庁の公式リリースは皆無である。(筆者注1)
筆者が独自に調べた範囲では、鳴り物入りでスタートさせたわが国のインターネットによる医薬品販売の適正化ルールに関し、担当規制機関である厚生労働省医薬食品局総務課が主催する「一般用医薬品のインターネット販売等の新たなルールに関する検討会(1回~11回)」の第9回会合(2013年5月16日)でやっと「資料3:インターネット上の監視強化について:検討課題」という資料が提示されている。要するに日本は担当行政機関の特定も含めこの問題はこれからなのである。
さらに本ブログの執筆にあたりわが国のオンライン薬局特に海外からの輸入医薬品を扱うサイトの内容をつぶさに読んでみた。本文で具体的に紹介するが米国の場合と危険性はまったく変わらない。(筆者注2)
今回のブログでは、FDAのリリースだけでなく国際的な共同作戦である「パンジア作戦」についても国際関係機関のデータを織り込んでまとめてみた。この問題に関するわが国の消費者保護のあり方を改めて考えるきっかけとしたい。
なお、筆者は医薬品問題の専門家ではない。消費者から見たICT世界の適性な発展を期待するが故の問題提起であり、わが国の関係者によるさらに具体的論議が高まることを祈る者である。
1.FDAのリリース要旨
前述したブログ「くすりなひと」が、FDAのリリースに基づき主要な事項は整理しているので参照されたい。ここでは、この問題が国際的な犯罪組織がバックにあるがゆえ手口の専門性やその健康面に極めて重大な悪影響を与えているかについて、FDAのリリース等に基づき補足する。
(1)「第Ⅵ次パンジア作戦」の米国の取組み
FDAの犯罪捜査局(Criminal Investigations)は、6月18日から6月25日の間にコロラド地区連邦検事局と共同し、1,677の違法な薬局ウェブサイトを押収(seized)、閉鎖(shut down)させた。
これらのウェブサイトの多くは一見“Canadian Pharmacies”(筆者注3)に偽者でありながら類似するもので犯罪組織ネットワークの一部として活動しているように見えた。これらのウェブサイトは、「有名ブランド名」や「FDA認可」を名乗った広告手段を用いて米国の消費者に医薬品を購入させるべく、その納得させるため、にせの免許証や認可証を画面上に表示した。
パンジア作戦で対象となる一部受け取った医薬品は、カナダからでなくまたブランド名でもなくFDAの認可も受けていなかった。また、これらのウェブサイトは、米国の消費者に対し米国の主要な小売業者と提携関係があるように信じさせるべく、その名前を詐称した。
現在、消費者が違法な押収ウェブサイトを識別しうるよう、FDA犯罪捜査局サイバー犯罪ユニットは禁止リストを表示した。
ここにいくつかの詐称例を挙げる。
・http://www.canadianhealthandcaremall.com/
・http://www.walgreens-store.com
・http://www.c-v-s-pharmacy.com
FDA犯罪捜査部長ジョン・ロス(John Roth)は、「違法なオンライン薬局は米国の消費者に潜在的に危険な製品を販売することでその健康を危機的状況に置く。これらは米国や海外の諸国による現下の戦いであり、FDAは刑事事件としての法執行や規制監督を続ける。また、FDAは消費者を保護するとともにこの戦いに参加する国際的なパートナー達と関係強化を図るためパンジア作戦に参画したことに満足している」と述べた。
全部で99カ国の法執行機関、税関、規制機関からなる「第Ⅵ次パンジア作戦」の目標は、違法な医薬品や医療機器メーカーやその販売業者を特定し、サプライチェーンからこれらを排除することである。
第Ⅵ次パンジア作戦において具体的な標的として違法なウェブサイトで販売された危険な医薬品例としては次のものがあげられる。
・AVANDARYL(Glimepiride およびRosiglitazone):FDAにより認可されている医薬品は「タイプ2」の糖尿病の治療用の用いられる一方で、体液貯留(fluid retention)による浮腫(edema)、心臓の悪化や心不全を引き起こすリスクが指摘されている。このため、AVANDARYLは認可された医療サービス機関で処方され、また薬物療法ガイドに即して潜在的危険性につき説明をもって認可を受けた薬局で配布されなければならない。(筆者注4)
・GENERIC CELEBREX:オンラインで販売される“GENERIC CELEBREX”はFDA認可医薬品ではない。FDAが認可する“GENERIC CELEBREX”(celecoxib:セレコキシブ)は骨関節炎(osteoarthritis)やリュウマチ様関節炎(rheumatoid arthritis)の兆候に対処するもので成人の激痛を緩和させるために使用される非ステロイド(non-steroidal)の抗炎症剤製品(anti-inflammatory product)である。
一定の長期使用の場合、消化管出血(gastrointestinal bleeding)、心臓発作(heart attack)または脳卒中(stroke)のような関係する潜在的な危険性を最小化するため、GENERIC CELEBREXはこれらの潜在的リスクにつき薬物療法ガイドに基づいた説明の上で配布されねばならない。
・Levitra Super ForceおよびViagra Super Force:Levutra(vardenafil:バルデナフィル)およびバイアグラ(sildeafil:シルデナフィル)は勃起障害(ED)のために使用するFDAにより認可された医薬品であるが、Levitra Super ForceおよびViagra Super ForceはFDAにより認可されておらず、早漏治療薬であるdapoxetine(ダポクセティン)を含むといわれている。FDAはダポクセティンの安全性や効能につき何等の決定を行っていない。一定の心臓に疾患を持つ人はバルデナフィルまたはシルデナフィルを含有するED薬を飲むべきでない。これらの医薬品による危険な薬物相互作用または重大な悪影響の潜在可能性としては「聴覚障害(loss of hearing)」や「視覚障害(loss of vision)」がある。
・Clozapine(クロザピン)(筆者注5):FDAが承認しており、重度な統合失調症(severe schizophrenia)の治療に使用されるが、潜在的に致命的な無顆粒球症(agranulocytosis)(筆者注6)や、重症化したり、生命に危険を及ぼす白血球数の低下をもたらす。
この危険性を最小化するためには、FDAが承認したクロザピンを処方された患者は彼らの白血球数を定期的にモニタリングするため登録しなくてはならない。
FDAはその他の連邦機関と共同作業にしておいて第6次国際インターネット行動週間(6th annual International Internet Week of Action:IIWA)において国際郵便サービス機関を通じて受け取った医薬品のスクリーニングを行った。
予備調査段階で明らかとなったことは、海外からの送られてきた例えば「性機能障害(antidepressants)」、「ホルモン補充療法(hormone replacement therapies)」、「睡眠導入」、その他勃起機能障害(treat erectile dysfunction)、高コレステロール、発作薬(seizures)などが米国の消費者に近づきつつあることを示した。
また、健康リスクに加えてこれらの薬局クレジットカード詐欺、成りすまし、コンピュータウィルスなどを含む非健康関連の危険性も消費者に引き起こす。
FDAは専門サイト“BeSafeRx”を介した違法な薬局ウェブサイトの特定方法やどのようにして安全なオンライン薬局を見つけ出すかに関する情報を提供する。まずは“Know Your Online Pharmacy”を読むことである。
2.近年のパンジア作戦の概要と経緯
2012年3月、国際刑事警察機構(INTERPOL)と世界各国の製薬会社の合意に基づいて、医薬品犯罪プログラムが開設される。これは、インターポールの医薬品偽造・医薬品犯罪 (MPCPC)ユニットに属し、医薬品犯罪の防止、及び違法行為に関与する組織の実態の解明と解体を目的とする。
もう1つの重要な目的は、近年増加するインターネットを利用した医薬品の購入者に、偽造医薬品の危険性に対して注意を促すことである。
2012年に、世界100カ国で繰り広げられた「オペレーション・パンジア5」では、違法な医薬品をオンライン販売する犯罪組織を摘発することを目的とし、結果として逮捕件数が約80、死に至る危険性がある偽造医薬品の押収が375万点、総額1050万ドル相当であった。(2013.3.15 QLife Pro記事「偽造医薬品の撲滅へ インターポールと製薬企業が手を組む」から一部抜粋。2013年3月の第5次パンジア作戦の成果に関するINTAPOLのリリース文 (筆者注7)
3.医薬品業界の偽造医薬品に関する国際的およびわが国の取組み
(1) わが国の医薬品業界の偽造医薬品取締りの取組み
製薬業界は偽造医薬品の取締り強化を実効性を持たせる目的で米国に設置された「インターネット医薬品安全化センター(center for safe internet pharmacies: CSIP)」につき、国際製薬団体連合会(IFPMA) 、米国研究製薬工業協会(PhRMA)、欧州製薬団体連合会(EFPIA)および日本製薬工業協会(JPMA)の4 つの製薬団体は、世界の研究開発型製薬業界を代表し、偽造医薬品取引の対応における重要なステップとして、CSIP をはじめとする幅広い各方面での取り組みを支援した。
(2)わが国のオンライン薬局のウェブサイトで見る危険度、警告
最後に本ブログを執筆するに当り、改めてわが国のオンライン薬局の実態をよく読んでみた。ほんの一部の例ではあるが極めて危険さが浮かび上がってきた。
①わが国の「薬通販ベストケンコー」のバルデナフィルの販売画面
「バルデナフィルの副作用・注意事項に関して」部分を引用する。
「バルデナフィル(vardenafil)の一般に言われる副作用は下記の通りです。
バルデナフィルの一般的な副作用として、「顔のほてり」「目の充血」などがあります。その他に「軽い頭痛」などもございます。副作用の程度は軽く一時的なものです。」FDAが指摘するような視覚障害など危険性の指摘は皆無である。
②海外医薬品の通販サイト「くすりの宅配便」のレビトラ・ジェネリックの商品説明サイト
・副作用など危険性に関する説明文言は一切なし
③オンライン薬局 Japan RX comスーパーピーフォース(ダボキセチン/ダポクセティン)の説明サイト
・副作用など危険性に関する説明文言は一切なし
*********************************************
(筆者注1)厚生労働省が医薬品の輸入に係るリスクに関し何も警告を鳴らしていないとは言っていない。例えば厚生労働省・医薬食品局・監視指導・麻薬対策課「個人輸入において注意すべき医薬品等について」を見ておく。
「下記製品については、有害事象の発生や偽造医薬品の可能性がありますので、個人輸入による安易な使用はお控えください。」という説明の後に海外の保健機関の具体的な警告内容を列挙している。しかし、このような警告を都度確認している消費者はいかほどいるであろうか。また、その説明内容はいかにも専門家向きである。
また、厚生労働省「重篤副作用疾患別対応マニュアル」が参考になる。ただし、患者自身や家族が読むように丁寧に説明されている部分があるが、オンライン薬局で掲示されている医薬品名で検索するにはなお、工夫の余地が大である。FDAのくすりに関する総合専門サイト“Know Your Online Pharmacy”と比較されたい。
(筆者注2) 日本医師会総合政策研究機構(JMARI)調査レポート1999年11月8日号 伊原和人・天池麻由美「普及するインターネット・ビジネス①―インターネット薬局―」は約14年前とはいえ、今日の米国やわが国の現状を踏まえた問題点を先取りしたレポートといえる。
(筆者注3) )確かに筆者の 手元にも“Canadian Pharmacies”を名乗る胡散臭い下手な英語の売り込みメールが時々届く。完全に無視しているが、この手のものであろう。
(筆者注4)FDAは、 AVANDARYL(Glimepiride およびRosiglitazone)に関す専門家(内分泌科、医療専門家)や消費者向けの解説サイトを提供している。ただし、その内容は必ずしも平易とは思えない。
(筆者注5) Clozapine(クロザピン)についてWikipedia の解説を引用する。「クロザピン(Clozapine)は治療抵抗性統合失調症の治療薬であり、非定型抗精神病薬である。元来世界初の第二世代抗精神病薬といわれていて、長く使用されていた言語地域もあるようだ。現在では97ヶ国で承認・使用されている。日本ではクロザリルの名前でノバルティスファーマより発売されている。
しかし無顆粒球症などの副作用もあり、使用する際一週間に一回血中濃度を測定しなければ命が危険になる。」
これだけ危険性が伴う医薬品でありながら、オンライン薬局で販売されている。例えば、
「Japan RX.com」は「クロザピン (クロザリル ジェネリック) 錠」を販売しているが、「効能関連注意」を読んでも具体的な危険性指摘は皆無である。
(筆者注6) 無顆粒球症(agranulocytosis) とは、血液中の白血球のうち、体内に入った細菌を殺す重要な働きをする好中球(顆粒球)が著しく減ってしまい、細菌に対する抵抗力が弱くなった状態のことです。
無顆粒球症になると体内に入った細菌を殺すことができなくなるため、かぜのような症状として「突然の高熱」、「のどの痛み」などの感染に伴う症状がみられます。(2007年6月厚生労働省「重篤副作用疾患別対応マニュアル:無顆粒球症(顆粒球減少症、好中球減少症)」6ページ以下から一部抜粋)
(筆者注7) 2012年INTAPOLの第Ⅴ次パンジア作戦の動画解説参照
<********************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
2013年6月27日木曜日
仏CNIL等がGoogleに対し今後3ヵ月以内にフランスの1978年情報保護法等遵守および制裁予告を通知
筆者は、フランスの個人情報保護監視機関である「情報処理および自由に関する国家委員会(La Commission nationale de l’informatique et des libertés:CNIL)」の2012年3月以降のEU加盟国を代表して行ったGoogleのプライバシー・ポリシー等に対する正式質問状やGoogleの回答内容に関して、2012年3月、同10月で詳しく紹介してきた。
その後につき、この問題は両者の見解の平行線をたどっているように見える。一方、「EU 指令第29条専門調査委員会(Article 29 Working Party)」(以下、「WP29」という)のうち6か国からなるEU特別調査委員会(Task Force)(以下「Task Force」という)メンバーでもあるCNILは、6月10日付けでGoogleに対し、「1978年 情報技術・データファイルおよび市民の自由権に関する法律(Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés:Act N°78-17 of 6 January 1978 on Information Technology,Data Files and Civil Libertés )」(「1978年保護法」という)(筆者注1)今後3ヵ月以内に具体的な措置を求める旨公式文書による予告通知(2013-025)を行った。
後記(筆者注5)で説明するとおり、この予告にしたがって手続きを行わないときは1978年保護法に基づく制裁がなされることになる。さらに特記すべきは、今回の制裁措置はフランスだけでなく、英国(ICO)(筆者注2)、ドイツ(ハンブルグ情報保護・自由委員会: Hamburg ischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) 、イタリア(個人情報保護機関(Garante per la Protezione dei dati Personali:GPDP)(筆者注3)、オランダ(情報保護機関(Dutch DPA:College bescherming persoonsgegevens (CBP)、スペイン(個人情報保護庁(Agencia Española de Protección de Datos (AEPD)といった6か国の監視機関による国際協調の一環として行われている点である。
これらのすべての国におけるGoogleに対する保護機関による制裁通知に係る法執行の内容を網羅するには、なお時間がかかる点もあり、今回はドイツ、スペインの取組みのみ詳しく取り上げることとし、その他の国については各監視機関のサイトで見た参考となるリリースの要旨やURLのみ紹介するにとどめる。
1.CNILの予告通知と制裁内容
(1)2012年2月から10月の間、WP29はEUの個人情報保護法に定める実用条件に合致しているかどうかにつきチェックする目的でGoogleの新プライバシー・ポリシーを調査した。2012年10月16日の公表した調査結果に基づき、WP29はGoogleに対し4ヵ月以内に勧告内容を実行に移すよう求めた。
この期限が切れた後でも、Googleは何等重要な保護法遵守に係る手段を講じていない。GoogleとCNILが主導したTask Force間の意見交換に引き続き、フランス、ドイツ、イタリア、オランダ、スペインおよび英国の保護機関(DPAs)はGoogleに対し、法執行行為に着手した。CNILがリードした前記調査において、Googleのポリシーでは個人が自分の個人情報がいかなる方法で使用されているかを知り得ないし、またその使用をコントロールできないということから「1978年保護法(2004年改正法)」(英語版)に違反することが確認された。
このような背景に基づき、 CNIL委員長イザベル・ファルク・ピエロタン(Isabelle Falque-Pierrotin)(筆者注4)は2013年6月10日付けで、次のようなGoogleヘの改善内容を公式に決定、公表した。(筆者注5)
①ユーザーが自身の個人情報の処理の理解が出来るよう特定かつ曖昧さのない「目的」を定義すること。
②ユーザーに対し、コントローラーが追跡する目的に関し、実行された処理フランス「1978年保護法」第5章 データコントローラー等の責任義務および個人の権利 第1節 データコントローラーの責任義務 第32条に定める法「適用」内容を通知すること。
③収集目的にとって必要な期間を超えない処理対象の個人情報の保持期間を明確化すること。
④ユーザーデータの潜在的な無制限な組合せにつき、法的根拠のない手続きを進めないこと。
⑤Googleの「ダブルクリック(Doubleclick)」(筆者注6)、 「アナリティクス(Analytics)」クッキー、 “+1 ボタン”、その他の訪問したページで利用可能なGoogleサービスの従順なユーザーデータに関し公正なデータ収集・処理を行うこと。
⑥ユーザーの端末に強力なクッキーを行う前にユーザーに通知し、同意を得ること。
本公式通知はGoogleが適用すべき具体的な手段を代用することを目的とするものではなく、むしろGoogleがビジネスモデルまたは革新的能力の妨げることなしに法律の諸原則の遵守させることを意図するものである。
もし、Googleが本公式通知が定めた期限までに遵守しないときは、CNLの特別委員会は1978年保護法違反の責任を問うべくGoogle社に対し、制裁措置を行う。
本制裁措置に関し、フランス以外のTask Force参加5ヵ国は次の国際協同行動に関する調査を実行する。
①スペイン:6月10日、スペインの情報保護法の主要規定違反を理由に制裁手続きに入った旨発表した。
②英国:Googleの新プライバシーポリシーが英国の「1998年保護法」の遵守問題を検討してきており、予備段階で明らかとなった問題点につき近々、Googleに対し確認書面を送る予定である。
③ドイツ:ハンブルグ委員会はGoogleに対し公開行政調査手続きを開始した。すなわち、Googleに対しドイツの保護法令の遵守するための適用手段を求める行政命令の先行手続きとなる行政手続法に基づく「公聴会」を開始した。
④オランダ:DPAはGoogleに関する法執行調査の一環として、予備調査段階で明らかとなった点に関する「第一次機密報告書」を発行し、その中でGoogleに対する質問事項を述べる予定である。制裁内容の判断については、詳細報告書を使用する予定である。
⑤イタリア:DPAは、5月末にGoogleに対する公開聴聞手続きを開催後、Googleからの追加的な詳細説明を待っている状態にあり、近々イタリアの制裁保護法の下で適用可能な法執行手続きを決定するため関係事項の調査を行う予定である。(筆者注7)
(2)今回のCNIL決定の結論部分
今回の正式決定の遵守期限内に、もしGoogle社が本通知に即した遵守手続を取ったときは、本手続きは終了したものとみなし、その旨の通知を送付する。他方、Google社が同社のプライバシー・ポリシーでカバーされるすべてのデータ処理にかかる正式通知内容を遵守しなかったときは「1978年保護法(2004年改正)」第7章第45条(筆者注8)に基づきCNL報告者(rapporteur)が指名され、CNIL特別委員会(la formation restreinte)による聴聞手続きを踏まえた制裁処分が行われる。
2.「ハンブルグ・データ・プライバシー・自由委員会」がまとめた29条委員会の取組みとTask Forceの懸念に基づく緊密な連携活動
今回のブログの原稿を作成する段階で各国の情報保護機関のリリース等を確認したが、フランスや英国を除くと今一明確な取組み姿勢が読み取れなかった。その中で「ハンブルグ・データ・プライバシー・自由委員会」のリリース「2013年4月2日、グーグルのプライバシー・ポリシーにつきEU特別調査委員会(Task Force)がEUレベルでの手続き内容から見た再精査を実施」は短い内容ではあるが、論点を明確に示していた。
そこで、その内容を仮訳しておく。
・「ハンブルグ・データ・プライバシー・自由委員会」は、このほど処理対象であるGoogleユーザの個人情報データに関するGoogle社の現行の実務慣行を再検討するというEU側の意思をGoogleに伝えた。 これらに一連の行動の背景は、2012年3月にGoogleによって実施された新しいプライバシー・ポリシーである。 それらはEU指令第29条専門調査委員会(以下「WP29」という)においてEUレベルとして集約化されたEU加盟国の国家データ保護当局によって述べられていた大きな懸念にもかかわらず、これを実施した点である。
・Googleは、Googleの数多くのサービスにおける各個人ユーザから包括的に情報を収集し、かつすべてのサービス横断的に特定の目的をもって無制限に収集したデータを評価する権利それ自体につき事実を認める。 これらの新しいグーグル・プライバシー規則によると、Googleが手広くそれらの影響を受けることができる人のプロフィールの創造への重要な貢献が方法においてユーザによって提供されたデータを意図的に評価することが可能となる。 特にGoogleが定める曖昧なガイドラインによっては、ユーザーは彼の「同意」の範囲と内容について自身のデータの処理結果を見通すのは完全に不可能といえる。
・事実、Googleにより大部分が無視されたWP29の勧告内容は、EU加盟国の情報保護監視機関にとって大きな懸念の源の1つである。 したがって、各国監視当局はそれぞれの国家の監督官庁が介入の可能性が与えられることになっている一定の手続きの連携方法につき合意した。 主導的立場をとるフランスの監督官庁(CNIL)とイタリアの監督官庁と並んで、オランダ、スペインとイギリスおよびハンブルクデータ・プライバシーおよび自由化委員会は、この共同推進手続きのために設立された特別調査委員会のメンバーになるであろう。
・ハンブルクデータ・プライバシーおよび自由委員会の代表ヨハン・カスパー(Johannes Caspar)は次のとおり述べた。
「フランスのCNILに詳細な分析は、事実Googleによるユーザのデータの処理に関する新しい規則(プライバシー・ポリシー)が正しく法的根拠に基づいているかどうかに関しては、29条委員会が過去数ヵ月に危惧を引き起こす過程の上で集約化された。
様々な国家の法令により認められた約款の評価基準に従って、Task Forceのメンバー国は、現在、これを見直すであろう。 データ保護への懸念が確認されれば、適切な監督施策が個々の加盟国で実施されうるということである。」
3.スペインおけるGoogle問題
わが国では、スペインの情報保護法制度に関する詳細な解説は皆無といってよい。また、知られていないがEU加盟国中、厳格な保護規制国でもある。
時間の関係で限りがあるが、筆者が調べた範囲で解説を試みる。なお、参考としてスペインの情報保護法制度につき正確にリンクが出来ている米国の人権擁護NPOであるEPIC(Electronic Privacy Information Center)等のサイト情報を適宜引用しておく。
(1)スペインの情報保護法制の基礎知識
A. スペイン個人情報保護庁(Agencia Española de Protección de Datos (AEPD):Spanish Data Protection Agency)
8頁の英文のブックレット“Spanish Data Protection Agency”がある。個人情報保護にかかる法令の遵守状況を監視する法執行機関で、行政機関から完全な独立性をもつ政府機関である。その主要部分を仮訳する(リンクは筆者の責任で行った)。
・AEPDは1993年3月26日の国王令第428号(Royal Decree 428/1993)により設立され、個人情報保護法たる「1999年Organic 法(法律第15号)( Ley Orgánica de Protección de Datos de Carácter Personal:LOPD)」6編35条(Artículo 35 Naturaleza y régimen jurídico :Data Protection Agency Article 35. Nature and legal status)に基づき改正がなされた。
この改正は、EU保護指令たるDirective95/46/ECに基づき行われたものである。 政府機関(AEPD)は「1978年スペイン憲法」18条「名誉とスペイン国民の個人および家族のプライバシーを保護するために情報の使用を制限するものとする。裁判所命令がある場合を除き郵便および通信の機密は保護される。これらの権利を保証するため、本法は個人情報の使用を制限する」という文脈において創設された。
Section 18
(1) The right to honour, to personal and family privacy and to the own image is guaranteed.
(2) The home is inviolable. No entry or search may be made without the consent of the householder or a legal warrant, except in cases of flagrante delicto.
(3) Secrecy of communications is guaranteed, particularly regarding postal, telegraphic and telephonic communications, except in the event of a court order.
(4) The law shall restrict the use of data processing in order to guarantee the honour and personal and family privacy of citizens and the full exercise of their rights.
B.スペインの情報保護に関する参考検索データ
・AEPDの保護法令・決定等検索専門サイト(英文版)
・AEPDの「ORGANIC LAW 15/1999 of 13 December on the Protection of Personal Data」の立法経緯および国王令の全文検索サイト
C. 欧州委員会のEUの加盟国の保護機関向けのデータ「加盟国の情報保護法」のスペイン:ORGANIC LAW 15/1999 of 13 December on the Protection of Personal Data
D. 米国プライバシー擁護NPO団体EPICがまとめた「Privacy and Human Rights Report 2006(国別)」の中でスペインの個人情報保護体制に関し詳しく解説するとともに、基本的に参照すべきURLが明記されている。
(2)スペイン憲法裁判所(Tribunal Constitucional:TC)とAEPDの決定の意義
欧州大学院(EUI)(筆者注9)の博士研究員Cristina Blasi CasagranおよびIT・情報保護専門弁護士Eduard Blasi Casagranの共著小論文「Google’s obligation to de-index Constitutional court decisions published in the Spanish Official Journal」(全7頁)がよくまとまっている。導入部分を仮訳する。
・この点で、Googleに対する訴訟数に関する限り、スペインはEU加盟国中多い国の1つである。スペイン情報保護庁(AEPD)は、憲法裁判所が極めて首尾よく行ってきたのと同様に、スペイン法およびEU法の両者が定める情報主体のアクセス権、削除権、訂正権、異議申立権につき法的な執行力を保証してきた。
・しかしながら、AEPDには、常にスペインの官報で発行されるスペイン憲法裁判所の判決の索引に関して悩みの種があった。
・それらの裁判事件に関して、AEPDは常に憲法裁判所(AEPDでなく)のみがGoogle Indexからそのような情報を削除できるか否かを決める唯一かつ十分な権限を持つ機関であると考えていた。 驚いたことに、この解釈は2012年3月31日AEPDの論証(R/00645/2012)において変更された。 すなわち、初めてAEPD自身は、Googleに異議を唱える法的資格(とりわけGoogleにより「インデックス削除(de-indexed)」されたA)憲法裁判所判およびB)官報において宣言された情報に関し)を有する旨の決定を下したのである。
・本稿は、以下の2つの部分でこの決定内容を分析する。まず最初に、AEPDがインデックス削除情報に対し関与してきた従来の事件内容を示す。第2に、憲法裁判所の判決で示された反対する権利の法執行面の制約と、AEPD決定がいかなる形で従来のスペインの判例法において変化を引き起こしたかを論じる。
(3)今回のGoogleの新プライバシー・ポリシーに対する制裁内容
AEPDは、2012年に導入されたGoogleのプライバシー・ポリシーにつき調査した後にサーチエンジン、Gmail、Google+ソーシャルネットワーキングプラットホーム、およびユーチューブを含むその他のサービスを横断的にユーザの活動を追跡するのを可能にしたと述べた。
これを受け、スペインAEPDは6月10日、5つの重大な保護法違反を理由とする制裁手続きを立ち上げた。AEPDは、1つの軽微な違反に対し最高40万ユーロ(約5,080万円)の罰金刑に相当する違反の事実証拠と同様に、各違反行為に対し最高30万ユーロ(約3,810万円)をもって罰金を科する事実を明らかにした。
*****************************************************
(筆者注1)
“Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés”の訳語について改めて考えたい。というのはわが国の専門家による訳語が内容的にみて正確性を伴っていない点があるからである。
確かに仏文科の学生なら「1978年情報処理・データおよび自由に関する法律」という訳語で合格しよう。しかし、ここで問われているのは立法時のコンテンツに基づく訳語であり、時として意訳となるかも知れないが、この場合、立法者の考えを的確に反映した一定範囲での意訳は許されると思う。
その意味で、筆者はフランス法の政府公式サイト“Legifrance gouv.france.”サイトやCNILの法注釈サイトで同法の原文および注釈(Texte annoté)を再度読んでみた。CNILサイトの英訳が「情報技術・データファイルおよび市民の自由権に関する法律」としている背景が理解できよう。仮訳する。
〔第1条注釈〕
情報技術(IT)は、すべての市民のためのサービスである必要がある。その開発は、国際的な協力の枠組みの中で行われなければならない。情報技術は、人間のアイデンティティ(自分は何者かという自己同一性)、人間としての権利、プライバシーまたは個人や公共の自由権を損なってはならない。
〔第2条注釈〕一部抜粋
本法律は、個人情報ならびに個人情報の非自動化処理の処理と同様な自動処理またはコントローラーが行うが第5条に定める条件を満たす純粋に個人的な処理の場合を除き、データ・ファイルに含むことを意図した処理に適用される。
(筆者2) 英国ICOのGoogleに対する制裁措置は遅れているわけではない。筆者が独自に調査した結果では、6月21日付けで「Further action for Google over Wi-Fi data collection」という罰金制裁措置を行う代わりにGoogeの専用車に保持されている個人情報の35日以内の完全削除を命じる「法執行通知」を発した旨リリースした(通知の原本参照)。この問題は、ICOがイギリス国内のGoogleのストリートView車から収集したペイロードデータ(伝送されるパケットのヘッダー部を除いたデータの本体)の収集を行い、さらにその結果ファイルを保持、Google本社に供給したという問題である。(詳細は、英国ローファーム・ブログ:Out-Law「Google escapes fine from ICO over Street View data collection and retention failings」参照)
ICO法執行部門代表であるスティーブン・エッカスリー(Steve Eckersley )は、以下のとおりコメントした。
「本日のICO法執行通知はICOが従来から取ってきた行動を強化する、すなわち35日以内に2012年に特定されたグーグル撮影車に残っているペイロードデータを削除するとともに、さらの何か一層のディスクが見つけられるかどうかを直ちにICOに通知するというGoogleの法的必要条件を課すものである。仮にGoogleが本通知を遵守しないときは、法廷侮辱罪(contempt of court)とみなすことになる」。(法廷侮辱罪は刑事罰の対象)。
なお、2013年4月に ハンブルグ情報保護・自由委員会の制裁実施はGoogleに対し、2008年から2010年の間にグーグル撮影専用車が公開WiFiネットワークを介して収集したEメールやパスワードの保存行為は、ドイツ保護法違反であるという理由により行われた。その他のEU加盟国の制裁内容については、IAPP(International Association of Privacy Professionals)の解説記事参照。
(筆者注3)イタリアGPDPは、6月20日に他のEU加盟国5か国とともにGoogleに対する追加調査を行う旨リリースした。その要旨を一部仮訳する。
「GPDPは2013年4月に米国企業であるGoogleに対しイタリアの個人情報保護法の遵守状況の調査のため引き続きの行動を行った。米国カリフォルニア州マウンテン・ヴューに本部を持つGoogleに対し、イタリア国民のユーザーのいかなる個人情報の保有しているか、とりわけGoogleが保有する個人情報の内容および本人の同意につき、より拡大しより正確な範囲で調査を行った。加えてGGPDPが適切と思われる追加的証拠の調査を行い、もしそれらが不適切と推定されるときは実務慣行的として認めるかまたは制裁の対象になる。
今年の4月のGPDPのリリース(筆者注9 参照)を思い出してほしい」
(筆者注4) Isabelle FALQUE-PIERROTINは、国立行政学院(ENA)の卒業後、国務院(Conseil d'État)の部長職、2009年2月にCNILの副委員長に任命、2011年9月に委員長に指名された。対外活動にも積極的である。例えば、2012年5月8日 開催「 IT FOR BUSINESS FORUM 2012」のゲスト・スピーカー、2012年12月14日 TV番組BMF Business「le 20h30」のインタヴュー等は理論家としての面白い発言がうかがえる。
(筆者注5) フランス個人情報保護法の特色は、独立行政委員会( autorité administrative indépendante )であるCNIL(情報処理および自由に関する国家委員会)に、強力な規制権限を認める点にある。1978 年法は、CNIL が独立行政委員会であることを明記し(11 条)、委員はその権限行使に当たり、いかなる機関の指揮も受けないと定める(21 条1項)。
・CNIL は、以下の委員(計17 名)で構成される(13 条Ⅰ)。いずれも任期5年で再任が可能である(13 条Ⅱ)。委員は、委員会が認めた支障がある場合を除き、解任されない(13条Ⅱ)。なお、2009 年2月4日に、新委員が、前任者の任期切れとともに、新たに任命されている。
ⅰ)議会上院(le Sénat)、下院(L’Assemblée nationale)各2名
ⅱ)経済・社会・環境評議会(Conseil économique, social et environnemental )の委員2名
ⅲ)コンセイユ・デタ(国務院:Conseil d'État)の現職又は元裁判官2名
ⅳ)破毀院( Cour de cassation )の現職又は元裁判官2名
ⅴ)会計院( Cour des comptes ) の現職又は元裁判官2名
ⅵ)有識者15 名上下院議院各
(中略)
(2)義務違反行為に対する制裁権限
本法の定めに反する行為は、刑事罰の対象となるほか(50 条、51 条)、以下のようなCNILによる制裁の対象となる。
(2)-1 通常の制裁
ⅰ)警告(45 条Ⅰ)
ⅱ)処理中止の指示(45 条Ⅱ)
ⅲ)指示に従わない情報処理責任者に対する制裁として、
(a)過料(45 条Ⅰ①)。過料額は、15 万ユーロ(約1,900万円)あるいは30 万ユーロ(約3,800万円)以下、あるいは、30 万ユーロを上限とした総売上額の最大5%(47 条)
(b)届出の対象となる処理の中止命令(45 条Ⅰ②)
(c)CNIL による許可(前述2(1)①(1)-2-2)がなされている場合は、その取消し(45 条Ⅰ)
(消費者庁「諸外国等における個人情報保護制度の実態調査に関する検討委員会・報告書(平成20年度)」(2)フランスの解説文から一部抜粋(正式名や内容の見直し、リンクおよび円換算等は筆者の責任で行った)
(筆者注6):Googleの“DoubleClick”とは、デジタル広告掲載を包括的に強化すべく世界中のデジタル広告の購入者、作成者、販売者を対象に、デジタル広告の作成、取引、管理をサボートする広告技術プラットフォームをいう。
(筆者注7 )イタリアGPDPの2013年4月2日付けリリース要旨(仮訳)
「GPDPは、他の加盟国5カ国(フランス、ドイツ、オランダ、スペイン、英国)とWP29・特別委員会(intrapresa dalla task force)を組成し、加盟27カ国が2012年3月から10月の間に行ったGoogleの新プライバシー・ポリシーがEU保護指令(95/46/EC)に即しているか等を解析した。とりわけ、GmailとYouTubeやGoogle Maps間の無制限の個人情報の結合につき調査した。
この調査結果は2012年10月26日に公表し、各国の保護機関(DPAs)はGoogle社に対し、執行力を持つ立法の内容に即して必要な手続きといえるいくつかの変更を4ヵ月以内に行うよう促した。
この4ヵ月間の調査の終了後、Google社の代表が2013年3月19日に特別委員会を訪問し会合を開いたが、Google社が前向きに取組むと述べていたにもかかわらず改定は行われなかった。このため6か国のDPAsは緊密な協調関係を維持しつつ、更なる別途の公的な優先手続きを取ることとした。」
(筆者注8)フランス1978年個人情報保護法の原文(英語版)の該当条文(第7章第45条)原文を抜粋しておく。
CHAPTER VII: SANCTIONS PRONOUNCED BY THE SELECT COMMITTEE OF THE “COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS”
Article 45
I. – The Select Committee (“formation restreinte”) of the Commission Nationale de l’Informatique et des Libertés may, after due hearing of all parties, issue a warning to a data controller failing to comply with the obligations of this Act. Such warning shall be regarded as a sanction.
The Chairman of the Commission may also serve a formal notice to comply on said data controller to cease the non-compliance within a given deadline. In case of urgency, this deadline may be limited to five days.
If the data controller complies with the notice served, the Chairman of the Commission shall pronounce the procedure to be closed.
Should the data controller fail to comply with the notice served, the Select Committee may pronounce the following sanctions, after due hearing of the parties:
1° Financial penalty, under the conditions provided in Article 47 (amount and collection of a fine), except in
cases where the processing is carried out by the State;
2° Injunction to cease the processing, where applicable under the provisions of Article 22 (notification), or a withdrawal of the authorisation given in application of Article 25.
(筆者注9) 欧州大学院( European University Institute, EUI、伊: Istituto Universitario Europeo, IUE)は、欧州共同体加盟国がヨーロッパ社会の展望について、文化的、科学的な発展に寄与するために設立した、大学院生および博士研究員による国際研究機関。イタリアのフィレンツェに設置されている。EUIは法令により政府間機関とされている。
********************************************************
Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
登録:
投稿 (Atom)