2013年7月15日月曜日

欧州司法裁判所AGがGoogleを巡るEUデータ保護指令(95/46/EC)等の解釈につきスペイン裁判所に意見書












筆者の手元に米国のローファーム・サイト(Inside Privacy)や英国のローファーム・サイト(Out-Law)から興味深いブログが複数届いた。(筆者注1)
6月25日、欧州司法裁判所(Court of Justice of the European Union:CJEU)のNiilo Jääskinen法務官(Advocate General:AG)が、スペイン裁判所から出されていたスペイン住民のGoogle(検索エンジン・プロバイダー)への検索削除権に関する一連の照会に対し先決裁定意見書(opinion)(筆者注2)を提出したというものである。

CJEUにおけるこの種の意見書は初めてであり、その法的意義もさることながら、特に、(1)「データ主体による削除請求権(right to be forgotten)」(筆者注3)問題は2012年1月25日に公表された欧州委員会の「電子化社会の進展に対応した個人情報処理とこれら情報の自由な移動に関する規則(最終案)( Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (“General Data Protection Regulation”(以下、「データ保護一般規則(案)」という)」との関係、また(2)その実現に向けて検討すべき技術面の課題や限界に関するENISA(European Network and Information Security Agency)の3つの勧奨事項報告書に関する問題を正確に取り上げるべき時期にあると思う。

なお、筆者は2012年3月26日ブログ「EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に2つの勧奨研究成果公表とフォーラムを開催」において欧州委員会の一般保護規則草案の立法化問題とENISAの勧奨報告書の内容につき解説した。今回は、さらにENISAのその後の問題提起内容につき一部重複を覚悟で改めてフォローする意義を考えた。

この問題につき、欧米の関係メディアの今回の先行裁定にかかる解説記事(ブログを含む)を読む限り、これらの点を網羅しているものは皆無であった。その意味で改めて本ブログをまとめることとした。

また、法務官意見書の内容と極めて関連するFasebook等SNSプロバイダーのEU内の本拠地と適用保護法問題に関する2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(OVG)判決の意義を併せて解説する。

さらに、CJEUの裁判制度の特殊性や法務官の先行裁定の意義等についても適宜補足説明する。
 

1.本先決裁定に係る照会事項のこれまでの裁判経緯
(1)裁定上の論点

①EUデータ保護指令(95/46/EC)の下における領域の範囲と国内適用問題

②検索エンジン・プロバイダーはデータ管理者(data controllers)であるか。

③欧州委員会が提案する「データ主体による削除請求権(right to be forgotten)」が、欧州連合基本権憲章(Charter of Fundamental Rights of the European Union )第8条(Article 8:Protection of personal data)やEUデータ保護指令(95/46/EC)等にいう「データ主体による削除請求権(right to be forgotten)」としてEUの一般保護原則として適用されうるか。

(2)本裁判手続きのこれまでの経緯
1998年前半に新聞記事の報道記事に取り上げられたスペイン人の個人のデータ削除要求問題が引き金となった。
2010年に彼(A氏)はグーグル・スペインに対し、グーグルユーザーが検索エンジンを用いて新聞記事に関し自分の名前を入力してもリンクできないようにするよう申し入れた。彼が接触した新聞社は、関連データの消去を拒否した。このため、A氏はスペインのデータ保護機関(Agencia Española de Protección de Datos: AEPD)に苦情を申し入れた。
AEPDは調査・検討した結果、Googleに対し検索エンジンのインデックスを撤回させるべく必要な手段をとること、また、今後同データへのアクセスを不可能にするよう命じる決定を行った。
Googleはこの問題につき司法裁判所の判決前手続き「先行判決(preliminary ruling)」を求めるべく、スペインの裁判所にこの決定に対する控訴を行った。

(3)AGの意見書内容(EU保護指令における適用地問題と該当国の国内保護法適用問題)(なお、この解説部分(3)と(4)は“Inside Privacy”の解説ブログから引用した。その理由はIT専門的な視点から意見書内容を解説していると考えたことによる)

AGは、Googleの検索エンジンがスペイン人のユーザーの眼が個人の評判を狙ったとしても、そのことはスペインの保護法の適用の引き金とならないと断言した。
特に、EU保護指令第4条第1項(注4)の解釈につき、指令適用の地域を完全に調和させるべく「紛争の重要性から見た中心地(centre of gravity of the dispute)」という新たな判断基準を追加する必要はないと論じた。

むしろ、関連する質問事項であるスペイン国内において、Googleが第4条第1項にいう「データ管理者の設置地における活動の文脈においてデータ処理を行っていたか」という問題であろうと指摘した。

この問題に関し、AGはGoogleの主張点すなわちGoogleの検索エンジンにかかる個人データの処理はスペインで行っておらず、同社の広告機能の商業代表部門としての活動のみであるという意見に好意的な立場を示した。
しかしながら、AGは指令適用地域につき次のような見解を示した。
ビジネスモデルの観点から見てインターネット・プロバイダーをどのように判断するか。通常、キーワード広告(keyword〔……〕 advertising)に基づき決せられる。このキ-ワード広告〔….〕につき責任を負う企業は、インターネット検索エンジンにリンクさせる。〔and〕検索では全国ベースの広告市場の存在を必要とする。
本事件において、Googleスペインはスペインの広告市場に参照する橋として活動しており、AGの見解はその十分な結びつきを提供した。その結果、AGは法廷は個人的な処理がコントローラーの文脈の中で次のように行われたことを明示すべきことを提案した。
「PRや販売広告スペース目的で、EU加盟国にその国の国民に向けた活動に適合する事務所や子会社を設置する目的で検索エンジンの提供を保証しているか。」

重要な点は、AGはEU以外の国で参加しうるであろう技術的なデータ処理運用に含まれる設置が必要であるとは考えていないことである。また、AGは会社グループの場合、別の法人格(単一のデータ管理者概念)ではなく1つの機構として扱われるべきであるという見方を支持し、また経済的に見た運営者は1つの機構として扱われるべきであり、個人データの処理に関する個人的な活動に基づき分断すべきでないと考えていることである。

(4) AGの意見書内容(ISESPはデータ管理者(コントローラー)であるか?)
この問題に関し、AGはGoogleが個人データの処理しているか否かという問題に関しては比較的ぞんざいに対処している。特に、姓名、映像(images)、住所、電話番号、記述文等のコピー、索引付け、キャッシュメモリーに格納(caching)、ソースウェブページの表示(display of source web pages)は「処理(processing)」を構成すると述べているのみである。これら個人データの特性は、インターネット検索サービス・プロバイダーにとって未知のままである、またはソース・ウェブページの中の個人データはある意味で無作為であるという事実はこの結論を変えないであろう。
さらに、検索条件としての所与の姓や名を通じて行う自然人の間接的認証(indirect identification)は、「検索結果〔….〕はインターネット・ユーザーに対し同一名の個人間の区別において限定的なリンクを明らかにする。

ISESPが個人データのプロバイダーであるかどうかに関し、AGはEU保護指令の解釈は「バランスが取れかつ合理的な結果を実現すること」ならびに「実質的にスマートフォン、タブレットやノートPCを持つ人々に対するインターネット環境を踏まえ」行うことを提案する。

AGの意見書はこれらの状況はカバーされていない。とはいうものの、AGは以下の2つに状況を分けて区別した。

(A)AGの見方では、ISESPは第三者のウェブページ上の個人データのコントロールを機能情報位置の提供道具を提供するに過ぎない。
むしろ、その役目は電気通信事業者やその他の放送事業者(これら事業者の場合、主たる管理者は情報プロバーダーである)と類似の機能である。インターネット検索エンジン・サービスは、統計的事実以上の他の意味で個人データの存在に気づいていないし、事実上情報管理者の責務を果たしてもいない。また、ISESPは原則としてキャッシュメモリーのコンテンツを制御しない。

(B)これと対照的に、ISESPはキーワードを関連するURLアドレスにリンクさせる検索エンジンにインデックス中に含まれる個人データのコントローラーではある。また、もし、彼らがウェブページのロボット検索排除プログラム(exclusion codes on a web page)(注5)を遵守しないまたはウェブサイトから受けた要求にも係らずキャッシュのウェブページを更新しないときは、キャッシュメモリーのコンテンツのコントローラーでもある。

これらのケースでは、ISESPは保護指令において次の事項を含むコントローラーに課されるすべての義務を守らなければならない。

・「データ処理に係る法的根拠の要求要件」:AGの見解によるとISESPは原則として指令第7条(f)号に従い合法的利益基準に依存することが出来る。(注6)
・「保護指令第6条にいうデータの品質保持原則」:AGは、検索用語に対応したデータが表示されるかまたはリンクされたウェブページが表示されれば十分であると考える。(注7)

(5) AGの意見書内容(現行保護指令上「忘れられるべき権利」は認められるか?)
AGはデータ主体による自身のデータにつき「削除権」や「ブロック権」、さらに「第三者提供の反対権」、「忘れられるべき権利」という一般的な疑問点につき論議したが、いずれも否定的に答えた。

AGは、特にデータ主体には、自身の情報につきデータ主体の主観的好みに基づいて第三者のウェブページにおいて合法的に公表された情報のインデックスを阻止すべくISESPに向け強制する権利はないとした。
欧州委員会がまとめた保護一般規則(案)と比較して、現行保護指令にはそのような権利は備わっていないとした。

欧州連合基本権憲章(Charter of Fundamental Rights of the European Union)第8条(注8)や欧州人権条約(European Convention for the Protection of Human Rights and Fundamental Freedoms:ECHR)に基づいたとしても同権利は保証されない。それとは反対に個人情報の保護と私生活の権利は絶対的なものではなく、表現の自由、情報の自由やビジネスの自由など他の基本的権利とバランスをとる必要がある。
AGの意見は、忘れられるべき一般的権利はとりわけ結果的に見て、非公開のパーティでの非難されるべき公開されたコンテンツに関する重要な権利を犠牲にするであろうというものである。

(Inside Privacyブログの結論部分)
AGの意見書はEUの保護指令の重要な解釈上の観念や原則につき検索エンジンにみの適用を十分に越える斬新的な方法を含む。
AG自身が意見書で「インターネットと関連してデータ保護の専門家にとり保護指令第4条の解釈はかなりの困難であったことは驚きに当らない。法廷がこれらの点につき判決でいくらかでも光を当てることを期待する」と認めていることが注目される。


2.「データ主体による削除請求権」に関する2012年12月EU委員会による「データ保護一般規則(案)」
(1)規則案の提案の背景、検討経緯

2012年1月25日、欧州委員会は「個人情報保護に関するEUデータ保護一般規則(最終案)( Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL:on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」を公表した。

同提案書は全文で119頁である。主な改正事項は、EU加盟国内の規制のあり方につき、(1)これまでの位置づけを「指令」から「規則」へ格上げ、(2) 従来の18年前に策定した「指令(Directive)」から「規則(Regulation) 」に格上げ (個別国に立法を待たずに運用、解釈等の一元化が可能となる)、(3) 個人データ保護の権利の強化(自己情報コントロール権の強化など)、(4) EU域内でのデータ保護ルールの一元化(EU域内企業にとってメリット)、(4) グローバル環境でのデータ保護ルールの詳細化(第三国へのデータ移転ルールの詳細化など)等である。

以上述べた、EU規則案策定に至る経緯やわが国の法制との比較等主な問題点は、2012年4月に(社)電子情報技術産業協会・情報政策委員会「EUデータ保護指令改定に関する調査・分析報告書」のサマリー部分がほぼ網羅しており、加盟国政府や議会資料と比較しても遜色ないと思えることから、あえて本ブログではその説明は省略する。(同報告書は全91頁で、「付録2:EUデータ保護規則案 条文和訳集(仮訳)」が添付されており、貴重な参考資料といえる。本ブログでも、適宜参照した)。また、JIPDEC(一般財団法人日本情報経済社会推進協会)が平成23年度に開催した「個人情報の安心安全な管理に向けた社会制度・基盤の研究会」用に全文を仮訳している。ただし、訳語自体の正確さで見ると疑問が生じる。例えば3.4.4.4. 第4節- データ保護職員 3.4.4.4. Section 4 – Data protection officerの例で見てみる。これは「データ保護担当役員」または「データ保護オフィサー」(前述の「情報政策委員会」の訳文参照)とすべきであろう。

(2)欧州議会「産業・調査・エネルギー委員会(Industry, Research and Energy Committee :ITRE)」の保護規則案の支持意見取りまとめリリースの要旨

2013年2月20日、欧州委員会はITRE(意見書の作成者はショーン・ケリー(Seán Kelly )議員(アイルランド選出))が規則案を支持する意見書をまとめた旨報じた。同時に欧州委員会は目下「市民の自由、司法および域内問題委員会(Civil Liberties ,Justice and Home Affairs Committee)」においてそれまで出された修正意見を統合後、同委員会の意見書案(筆者注9)を本年4月に公表すると発表した。

実際にどうなったかにつき、筆者なりに調べたので、以下のとおり補足する。

①2013年1月16日、「法案修正意見集約報告(DRAFT REPORT on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation))」(全218頁)が第一読会に提案された。

続いて、3月上旬に次のとおり全10回に分けて各委員からの修正案が取りまとめ役であるドイツ選出で「緑グループ/欧州自由連盟(Greens/European Free Alliance)」会派に属しているジャン・フィリップ・アルブレヒト(Jan Philipp ALBRECHT)(筆者注10)により提出されている。

② 2013年3月4日 「AMENDMENTS (1) 351 – 601」(全173頁)

③ 2013年3月4日 「AMENDMENTS (2)602 – 885」(全155頁) 

④ 2013年3月4日 「 AMENDEMENTS (3)886 – 1188」(全163頁) 

⑤ 2013年3月4日 「AMENDMENTS (4)1189 – 1492」(全154頁) 

⑥ 2013年3月6日 「AMENDMENTS (5)1493 – 1828」(163頁) 

⑦2013年3月6日 「AMENDMENTS (6) 1829 – 2090」(全134頁)


⑧2013年3月6日 「AMENDMENTS (7)2091 – 2350」(全129頁)

⑨2013年3月6日 「AAMENDMENTS (8) 2351 – 2617」(全147頁) 

⑩2013年3月6日 「AMENDMENTS (9)2951 – 3133」(全175頁) 

⑪2013年3月8日 、「AMENDMENTS (10)2951 – 3133」(全111頁) 

(3)英国政府や議会の資料内容

EU規則案の検討内容の要約資料として英国議会下院公式ライブラリー注釈(Commons Library Standard Note )である「EU情報保護法規制に関する新たな枠組み(The Draft EU data protection framework)」の内容と注釈文原文(注釈からリンクのみ)を紹介する。

・EUの情報保護法の基本法は1995年データ保護指令(95/46/EC)であり、同指令に基づき英国は「1998年情報保護法(Data Protection Act 1998:ch29)」により適用した。1995年以来、技術進歩とグローバル化がデータ収集、アクセス、使用面において、従来の個人情報規制のあり方の道筋を大きく変えた。

・さらに、EU加盟国は1995年指令について異なる国内法立法を適用したことから、結果においてその具体的な法施行に当り法適用の分岐性が生じた。このため、欧州委員会はオンライン・プライバシー権の強化とEUのデジタル経済の増強を目的として1995年指令の包括的改正案を提案した。

この新規則案の下では、EUの事業者等は1つの情報保護法に対処し、また1つの情報保護機関(企業活動のメインの部署がある国の保護機関)に釈明責任を負うのみでよいことになる。

・本規則案は、規則案と従来の指令の法的効力に関し、95/46/ECは廃止、また2005/58/EC指令(筆者注11)との関係規定の解釈、修正案からなる。

・規則案のうち、例えば(1)7条にいう個人的なデータの処理について明示的な(explicitly)同意を要するとはいかなる定義をいうのか、(2)データ主体の公的なオンライン上のデータの削除を含む17条にいう「削除請求権(right to be forgotten)」)の明確な定義等いくつかの問題点が論議を呼ぶことが判明した。

・欧州委員会の新規則に伴う事業者等の情報管理の財務面からみた効率性向上についてのインパクト・アセスメント(規則案第33条 データ保護への影響評価:Article 33 Data protection impact assessment)推定によると、毎年23億ユーロ(約2,921億円)と見込んでいる。しかし、英国政府はこの査定結果とは意見を異にし、規則案実施時に課されるであろう経済的負担は、欧州委員会が見積もった純利益額よりもはるかに重いものであると信じる旨明示した。

・欧州委員会は、欧州連合理事会(Council)と欧州議会(Parliament)への規則案成立に向けた審議を進めている。前述した問題点等が解決されれば、規則案は2014年に採択され、その2年後の2016年に施行される予定である。

3. 「データ主体による削除請求権」に関するENISAの技術面からの問題指摘報告書
筆者は2012年3月26日のブログ「プライバシー-経済と実務慣行の間にゆれる基本的な人権問題-EU規制機関の取り組み」の前書きにおいて「欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency:ENISA)」は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表したこと。(中略)ENISAの2つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである」と解説した。

その意味で、今回のENISA報告書も関係する2つのレポートの内容もIT技術の急速な進展の中で揺れ動く人権擁護の法規制の今後を見通すうえで極めて重要な課題と認識すべきと考え、ここで併せて要旨のみ紹介する。

(1)ENISA報告書「忘れられる権利―期待と実務(The right to be forgotten - between expectations and practice )」の要旨

忘れられるべき権利(データ主体の削除要求権)は、2012年1月に欧州委員会によって発表された総合個人情報保護規制案に含まれている。同規則は、施行を待つべく欧州議会や欧州連合理事会(司法部会)で審議・採択手続途上にある。(筆者注12)

(報告書全文の前書きおよびリリース文要旨の仮訳)なお、ここでは「忘れられるべき権利」という訳語をあえて使う。

・忘れられるべき(消去またはまさしく忘却させる)権利の異なる法律面については異なった文脈で討論されているが、本報告書はこの範囲を超えている。 この報告において、ENISAは、忘れられるべき権利の他の一面の言及することを目指す。 すなわちENISAは情報システムでその権利を実施できるか、またはそのことを支持するための技術手段に焦点を合わせた。本報告で明らかなとおり、この実現には技術的な限界があり、そしてさらに法的に明確な定義化が必要である。

本報告の主要な推奨事項は以下の通りである。

・各国の政策立案者とデータ保護機関は、忘れられるべき権利(誰が共有された個人的なデータにつきいかなる事情等の下で削除を求めることができるかなどの明確化)の実現を促進するために「その定義の明確化」のために共同して機能すべきである。

さらに、そのような定義の明確化に関し、関連して生じるコストをも考慮する必要がある。

・オープン・システムであるインターネットにおいて、この権利を実施する純粋に技術的な解決策は不可能である。すなわち異なる事業・研究分野相互間協同的なアプローチが必要であり、政策立案者はこの事実を知っておくべきである。

・この権利の実現に向け支援し、かつ実践的なアプローチを行うためには、Google等サーチ・エンジン・オペレータに求めるべきであり、EU領域の内外面に格納された「忘れられるべき」情報の参照に関しフィルターにかけることを求めるべきである。

・これらに関し、破棄されたり、オフラインの記憶装置にある格納された個人情報の削除については、特別な注意を払わなければならない。

(2)Study on data storage and collection

本報告は2012年3月23日に発表された。次の2つの報告書からなる(本リリースから報告全文にリンク可)。

(A)2012年2月28日公表「Study on monetising privacy:An economic model for pricing personal information」(全76頁)

何人かの個人は、彼らのプライバシーに係る個人情報をよりよく保護するオンライン・サービス・プロバイダーに高いコストを支払うことができるくらい評価するか? これはいかなる意味で「ITサービスの個人化(personalisation of services)」(筆者注13)とどのように関連するか?

本研究は「プライバシーの貨幣価値化(monetisation of privacy)」(筆者注14)問題を分析する。貨幣価値化は、購買取引と関連して消費者による個人データの公開または非公開の決定に依存する。このレポートの第一目的はITサービスの個人化、プライバシー面の懸念問題、およびオンライン・サービス・プロバイダー間の競争の相互作用についてより良い理解を可能にすることである。 消費者は、一方では製品の個人化の利益を得るが、他方で1つのサービスに閉じ込められるかもしれない。さらに、個人化はすなわちいったんサービス・プロバイダーにプライバシー面で侵害されるとデータの扱いで妥協せざるを得ないというプライバシー面の危険を冒す。

プライバシーは人権である。プライバシーの経済学的側面について考える場合、この基本的事実は変わらない。このレポートの作者は、個人的なデータに関して私たちの人間の意思決定の理解を改良する上で、プライバシーの経済分析が法的分析を補足すると考える。

(B) 2012年2月23日公表「Study on data collection and storage in the EU」(全60頁)

この研究の目的は、一方では設計原理におけるプライバシーの重要性と他方では、多くのオンライン・サービス・プロバイダーの実践における手ぬるい情報保護の現実の間に明確なコントラストを与え、かつ最小量の公開の原則にかかるEU加盟国の関連する法的枠組みと個人情報の保管にかかる最小の保持時間の分析を提示することである。

本研究は、情報保護立法の法的な複雑な問題の詳細について深く論じることを意図しない。むしろ限られた数の関連使用されるケースの焦点を合わせて、前述の原則がこれらのケースに適合する具体的な法的規定または規制規定においてどのように表現すべきか、またそれらが実際にはどのように遵守されるかを見ようとするものである。

(3) 2012年11月14日公表「Paper on the privacy implications of online behavioural tracking 」(全33頁)

本報告の要旨部分を仮訳する。

インターネット・ユーザーは、ますますアクセス内容を追跡され、かつプロファイルを描かれており、そして、彼らの個人的なデータは利用サービスと引き換えに通貨として手広く使用される。もし、我々がプライバシーへの権利を支援して尊重するなら、私たちが尊重することができるつもりであるなら、この新しい現実がすべての利害関係者によって理解されることが重要である。 本研究は、プライバシーとデータ保護分野におけるENISAのこれまでおよび現在に仕事を補完するものである。ENISAは、運用環境における挑戦すべきテーマを特定して、最も良い実務慣行を開発し、プライバシー概念と技術を促進するために様々な利害関係者の間の対話を支援している。

ENISAによって発表された最近の研究では、我々は、すなわち個人データ保護のための法的必要条件すなわち、個人情報保管の最小量の開示原則と最小の保持時間とオンライン環境における実務慣行の間にギャップがあることを見出した。 プライバシーを高める技術の理解力は低い。 ユーザーには、プライバシーに優しいサービスでいくつかのビジネス利益をもたらすことができたとしても、消費者の小さい、しかし、わずかな割合でプライバシーに優しいサービスに代価を払っても構わないと思うときさえ、実際に彼らにとって多くの選択肢はない。

欧州委員会が法的展望をもってこれらの挑戦を記述する目的で取りまとめた新保護規則案は、意図的にプライバシー保護を強化し、その不履行に対する制裁は含む。本研究は、消費者の行動追跡時の技術的展望を提供する。以下のような質問に答えて、それは包括的な見解を提示する。(1)ユーザーはなぜアクセス行動等を追跡されるのか? (2) どのような技術が使用されているのか? (3) 我々は今日、どんな範囲まで追跡されているのか? (4) その具体的傾向はどのようなものか? (5)リスクとは何か? (6)主体の保護のためいかなる制裁処分が存在するか? (7)保護監視機関は、ユーザー・プライバシーを改善するのをどのような支援策を実行できるか?

追跡メカニズムに関連するプライバシーの危険性を記述する学際的アプローチによる多くの仕事が必要とされる。 本研究の推薦内容は、EU各国の監視機関、政策利害関係者、研究者、および開発者に向けて記述するものである。具体的には以下の通りである。

①追跡防止イニシアチブ・システムの開発とモバイル・アプリケーションのための対処プログラムの開発; ほとんどの追跡防止イニシアチブはモバイル機器に焦点を合わせていないため、モバイル機器のユーザーはさらにプライバシー面のリスクに晒される。

②ユーザーにとって透明性とコントロール向上のための使い易いツールの開発; 気づきは重要であるが、ユーザーが、自身の個人データがどのように収集され、管理され、移動されるかを知りうるよう透明性ツールを機能アップする必要がある。

③ 法執行対策として、ふらちな事をするプレーヤーの行動を阻止し、個人データ保護に関する規則等への遵守を強制するために配備されるべきである; そのメカニズムは規則違反の捜査やそのモニタリングに関するもので、規制監督機関によって定義されるべきである。

④ 意図的にプライバシー保護は促進されるべきである。規制規則等は、重要な役割が、プライバシーを保存する解決策の適合を上げる重要な役割すなわち規則等を実行して、完全かつ準拠性を持ち確固たる有意義なプライバシー・ポリシーの存在を確実にすることである。

4.EU加盟国における“ right to be forgotten”問題の整理

あえてBBC Guardian 等メディアの解説は省略する。自国の利害を勘案しつつ、本格的に論じていると思われる英国政府の意見書や法律専門家の意見を中心に問題点を整理してみる。

(1)英国法務省「法務特別委員会意見書」や議会で検討課題の概要

2013年1月の英国法務省リリース「大法官および法務大臣名の英国政府の意見書(法務特別委員会が取りまとめ)(Government response to Justice Select Committee’s opinion on the European Union Data Protection framework proposals」のうち、欧州委員会が策定したEU情報保護規則案およびEU指令(95/46/EC)等改正案に対する意見の結論部分を仮訳する。

〔規則案に対する意見(The Committee’s opinion – Regulation)〕

①本規則案は、第一に1995年指令(95/46/EC)の改正と過去および将来のIT技術更新への配慮、第二に「リスボン条約(Treaty of Lisbon)」「EU基本権憲章(Charter of Fundamental Rights of the European Union)」(2010/C 83/02)が規定する個人情報やプライバシーを保護するために必要な個人の権利を与えるものである。(第102段落)

英国政府の「根拠を明示した意見具申(Government’s Call for Evidence)」に対する応答者の大部分は、特にEUの単一市場の強化に関し、今回の欧州委員会の情報保護立法案を歓迎した。英国政府は、現行EU保護指令が1995年に合意されて以降、個人情報の使用方法が変わったことならびに現行の枠組みの更新が必要であると認識している。

1995年保護指令の制定目的を踏まえて提案された今回のEU規則案は、個人情報の処理における個人を保護することを意図するものである。個人データの保護は「欧州人権条約(ECHR)」(筆者注15)第8条(EU基本権憲章第7条の再規定化したもの)はプライバシーと家族生活の尊重に関する権利の側面でプライバシー保護に特化したものである。

欧州連合の機能に関する条約(Treaty on the Functioning of the European Union)」第16条第2項はリスボン条約により導入されたデータ保護に関する新たな根拠となるものである。また同条は、欧州議会と欧州連合理事会による個人情報保護の規則を個人的なデータの処理に定めるのに権限を与える。この前提に立ってみると、英国政府は、欧州委員会が立法措置を求めて何とかせねばならないと事例は存在せず、また、現時点で従来の「枠組み決定(framework decisions)」 (筆者注16)を置き換える必要性もないと考える。

英国政府は、適切な公衆保護、経済成長、および革新を考慮する一方で個人の市民的自由を保護するEUデータ保護法律を欲している。 これらは一方かもう片方を犠牲にして達成されるのではなく、2人乗り自転車方式で達成されるべきである。

しかしながら、規則案の内容は民間企業や公権力がこれらの権利が是認されるのを保証するためにいかなるかたちで応じるべきであるかに関して作成するものとしては「過剰規範主義的(over-prescriptive)」である。

政府は、英国の保護機関である情報コミッショナー(Information Commissioner’s Office)が実質的に余分な情報資源を求め、ひいては民間企業は公的機関から求められる多くの管理証拠(筆者注17)負担を主張する。(第103段落)

英国政府は、データ管理者(data controllers)がどう規則案を遵守するかといった条件に関し、提案された規則案が過剰規範主義的であるという情報コミッショナー(ICO)の意見に同調する。英国が擁護するリスク・ベースとする保護モデルの下では、それは法律の遵守を確実にするためにデータ管理者を適所に置き、かつその義務を規定化するであろう。

英国政府は欧州委員会規則案が「だれもその代価を払わない管理体制(a regime which no-one will pay for)」に立つものであるという情報委員の主張に同情的である。英国が実施したImpact Assessmentでは、1年あたり800万ポンド(約11億7,600万円)から2,800万ポンド(約41億1,600万円)のICOによって見積もられた補足的手段の必要性を勘案して、また、ICOへの登録手数料収入の損失というICOの収入損失推計を査定した。(筆者注18)

英国は、欧州委員会には次の選択が可能であると信じる。1つ目は、一般保護規則を通してEU加盟国横断的に一貫性と協力関係(筆者注19)を実行すべく調和させる目的を追求し続けることができる一方で、データ保護当局と欧州保護委員(European Data Protection Board)の思慮深さの遵守に関する詳細を任せている不可欠の要素に焦点を合わせることである。それに代替する別な2つ目は、規則案に含まれているすべての領域で達成したがっていることを実現するのに指令を使用する方法である。しかし、この場合、加盟国に具体的な実現を任せることになり、前述調和や一環性の要素に実現は課題として残される。 (第104段落)

提案された規則案はEU指令として書き直すべきであるという英国政府の立場は、加盟国にとって要求される有利性や柔軟性を考慮することに繋がろう。 欧州委員会のImpact Assessmentは、従来のEU指令の使用によりこの調和させることが達成されることを認めている。

例えば、規則案の中で見出しうる基本的権利の調和の例を挙げよう。すなわち、 データ主体の楽しむ権利、独立性を持った監督機関と欧州保護委員会に関するルールである。また、英国政府は一貫性メカニズムの原理を支持する。我々は、 私たちは、データ保護枠組みにおいて個人の市民的自由を保護するべきであると信じている。このことは、個人的なデータの処理が公正、安全であり、そのデータが必要とされる期間のみ保有されるべきであることを確実にする適所にある規則を定めることを意味する。

EUデータ保護立法は、革新と成長を損なうビジネス慣行を強制することなく個人のプライバシーを保護するものでなければならない。例えば、規則案はデータ管理者がどのようにインパクト・アセスメントを完全なものとしまた保護役員を雇用するかにつき規範的な義務を明記する。

彼らがどう提案されたRegulationに従うかに関して提案されたRegulationは規範的な義務をデータ管理者に置きます、データ保護インパクト・アセスメントを終了して、データ保護職員を雇うのなどように。 これはデータ管理者(小さいオンライン小売業者から多国籍の大きなインターネット会社までの)が規則の遵守を確実にするためにそれら自身の実務慣行を採用できない‘フリーサイズ'アプローチである。 欧州委員会の提案は、プロセスではなく、結果を規制することに焦点を合わせるべきである。

英国議会の「欧州問題監視委員会(European Scrutiny Committee)」の英国政府に対する質問事項すなわち現在上程されている規則案はデータ主体にとって交渉の余地がない基本的権利を付与し、また欧州全体で取引を行う民間企業特に中小企業にとってより遵守しやすい本質的なものである。しかし、委員会はEUが現在提示している手続様式は適切、実践的、容易性および効率性なものとは思えない、という疑問である。(第105段落)


英国政府は欧州問題監視委員会への回答として次のとおり指摘した。政府は個人の市民的自由を保護する意味のデータ保護法を見たがっている。 データ管理者がデータ保護につき、ビジネスが成長するのを防げる極めて高価で官僚的手段に従う必要はなく、データ処理できるのを確実にしている一方で、個人の保護を達成したいと思う。

〔EU指令改正案に対する政府意見(The Committee’s opinion – Directive)〕

データ主体の観点から見て、指令改正案は、保護規則案に比べより弱いレベルのデータ保護を提供する。 政府は、法執行当局による機密の個人的データの取扱いの著しい違いを認めるが、多くの点で、保護のこの低いレベルは正当に見えない。交渉の間で、英国政府は旧指令を修正しようとするべきであるので、データ保護原則はできるだけ2つのEU保護手段(一般保護規則と改正指令)の間で一貫すべきである。 これは、リスボン条約で支持された権利が、是認されるのをさらに確実にするであろう。 (第149段落)

前述したとおり、欧州委員の2つの保護手段の間の一貫性のための委員会の求めに応じ、英国政府は、それが可能である限り2つの手段の間には、パラレルな関係があるべきであると信じている。しかしながら、各手段が提案されたとおり異なった文脈で考えられることが重要である。 規則案は一般データ保護処理のために提案されたが、改正指令は警察の分野と刑事問題における司法協力において適用される。各手段でカバーされる領域での個人データの使用は非常に異なっており、そして、警察の分野のより大きい柔軟性と運用上の要件によるこの領域の司法協力の必要があり、必要であるところでは、これらが2つの手段に反映されるべきである。旧指令の詳細説明(recital )10(筆者注15)は、個人情報の保護のときに刑事問題における司法協力と警察の協力の分野、特定の規則がこの分野での個人情報の保護に必要であるかもしれないと認めたDeclaration21を参照引用している。



規則案とは対照的に、保護指令により保護されるレベルの条件に関してよりフレキシブルな手段提供や基本的人権の供与手段の間で、矛盾は全くない。 例えば、Framework Decisionは最低基準となる手段である。Framework Decisionの詳細説明48は、基本的権利を尊敬する点を確認して、欧州基本的人権憲章によって認識された諸原則を明記する。

英国政府の立場は、Directiveが欧州連合の機能に関する条約プロトコル21第6a条に従い、英国にとって適用を制限してしまうだろうというものである。その場合、我々は、法執行当局がDirectiveの中に含まれる過剰規範的な手段によって縛られないので、それがイギリスに有益になると信じる。また、これは、警官隊等のようにEU法が国内の個人データ処理に適用されないことを意味するであろう。 刑事裁判の場合の国内処理は、引き続き「1998年情報保護法」でカバーされ続けるであろう。 (第150段落)

提案された指令改正案によると、EUの手段の外でのデータ処理に適用しないという政府の立場がある。指令改正案が適用しない分野では、英国の国内法はそのような個人的なデータの処理を治め続けるであろう。

(2)筆者は、5月10日の英国の大手ローファームShepherd and Wedderburnの解説記事「The right to be forgotten – who can decide?」を読んだ。

短いレポートではあるが、この問題のEU加盟国(英国、ドイツ)における議論のポイント(GoogleだけでなくドイツのFacebookの法適用領域問題)は具体例をあげて整理されている。その要旨部を以下、仮訳する。


(略す)


(3) チューリッヒ大学・国際ビジネス法主任教授 Rolf H. Weber「The Right to Be Forgotten :More Than a Pandora’s Box?」(全11頁)2011年公表

JIPITEC, the ”Journal of Intellectual Property, Information Technology and Electronic Commerce Law” 2011年第2巻第2号120~131ページ


(略す)


(4) 2013年4月22日のドイツ: シュレスビッヒ・ホルシュタイン行政裁判所(Verwaltungsgerichtsbarkeit in Schleswig-Holstein:OVG)判決の意義と内容

2013年4月22日、OVGはフェイスブックがアイルランドに非米国やカナダの運用に関してはアイルランドに本拠を置くことから、フェイスブックのアカウントネーム・利用規約(ポリシー)では本名の使用を義務付ける。この点につき原告ユーザーはシュレスビッヒ・ホルシュタイン個人情報保護委員は同利用規約は保護法違反であるとする決定を下した。

フェイスブックは控訴し、OVGはフェイスブックのEU域内のオペレーションはアイルランドで行われており、そこで適用される保護法はアイルランド保護法のみが適用され、ドイツ保護法は適用されない旨裁決した。

この決定は他国のデータ保護機関に比べプライバシー保護に厳しいドイツの監視機関にとって打撃である。

なお、OVG決定に対し上告される予定であるが、この問題は欧州委員会が目的とする「一環性メカニズム(consistency mechanism)」問題と極めて緊密に関係する問題であることは間違いない。

また、シュレスビッヒ・ホルシュタイン個人情報保護委員(Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein)のプレスリリース「OVG Schleswig-Holstein: For Facebook Germany data protection law does not apply」はOVG判決文の原文等にリンクできる。


************************************************************

(筆者注1)例えば、米国ローファーム・ブログ“Inside Privacy”「Advocate General Submits Opinion in Google Spain Case」、英国ローファーム“Out Law”記事「Google not always a 'data controller' of data processed by search engines, says legal advisor」、 米国CNET記事「EU court lawyer backs Google in 'right to be forgotten' case」、EUobserver記事「EU court: No 'right to be forgotten' in data rules」などがあげられる。

(筆者注2) CJEU法務官の意見書について、リリース文の注記内容をここで仮訳し補足する。

(注)法務官の意見書: 法務官の意見は欧州司法裁判所(Court of Justice)に対し法的拘束力を持たない。法務官の裁定は、完全に独立性をもって責任を負う事件の法的解決において司法裁判所に建議を行うことがその任務である。

司法裁判所の裁判官は、本事件につき現在、彼らの審理を始めており、後日、法的判断を与えることになろう。

NOTE: The Advocate General’s Opinion is not binding on the Court of Justice. It is the role of the Advocates General to propose to the Court, in complete independence, a legal solution to the cases for which they are responsible. The Judges of the Court are now beginning their deliberations in this case. Judgment will be given at a later date.

司法裁判所の先行判決(preliminary ruling)の意義について同裁判所の解説箇所を引用、仮訳する。

注:CJEU先行判決の法的な参照性の意義は、加盟国の裁判所(courts およびtribunals)におけるEU法の解釈および有効性に関して司法裁判所(court of justice)に質問を任せるのにそれらの前に持ち込まれた論争に対し行うことが認められる。 司法裁判所はこの論点自体については決定を行わない。 司法裁判所の決定に応じてケースを判断する際、加盟国の裁判所に支配力を持つ(司法裁判所決定は、他の国家の裁判所における同様の問題につき法的拘束力を持つ)。

裁判所法廷は法廷の審理事件として持ち込まれたケースに関する意見を提示することである8人の法務官から法的アドバイスを受ける。 それらの内容は公開的でありかつ公平なものでなくてはならない。

各裁判官と法務官は任期6年で任命され、この任期は更新が可能である。 EU加盟国の政府は、彼らが裁判官や法務官につきだれを任命するかにつき同意権を持つ。

(筆者注3)“right to be forgotten”とは、個人の事業者や機関に対し自己の情報を削除するよう要求することの出来る権利をいう。「忘れられる権利」と訳されることが多いが、データ主体がもつコントロールの1つである「データ主体の削除要求権」という訳語が適切と考える。本ブログはあえてこの訳語で統一する。

(筆者注4)EU指令第4条第1項の原文を以下、引用する。
Article 4 :加盟国の国内法の適用ルール(National law applicable)

1. Each Member State shall apply the national provisions it adopts pursuant to this Directive to the processing of personal data where:

(a) the processing is carried out in the context of the activities of an establishment of the controller on the territory of the Member State; when the same controller is established on the territory of several Member States, he must take the necessary measures to ensure that each of these establishments complies with the obligations laid down by the national law applicable;

(b) the controller is not established on the Member State's territory, but in a place where its national law applies by virtue of international public law;

(c) the controller is not established on Community territory and, for purposes of processing personal data makes use of equipment, automated or otherwise, situated on the territory of the said Member State, unless such equipment is used only for purposes of transit through the territory of the Community.

(注5) 検索エンジンのロボットは、Webページに記述されているリンクを辿ってサイトを巡回し、情報収集、インデキシングをおこなう。Webサーバの管理者やWebサイトの運営者は、自分たちが管理・運営するWebページをWeb検索エンジンに登録されたくない場合などに、ロボットを排除することができる。(Cyber Librarian「ロボット排除」から一部引用)

(注6)保護指令第7条(f)号の訳文を引用しておく。(ECOMプライバシー問題検討WG訳から引用)
第7条
加盟国は、個人データが以下の条件を満たす場合にのみ、処理されることを確保するものとする。
(略)
(f)管理者、データ開示の対象となる第三者、又はその他の当事者の合法的な利益のために、処理が必要である場合。但し、第1条1項に従って保護が要求されるデータ対象者の利益、基本的人権及び自由が上記利益に優先する場合はこの限りではない。

(注7) ECOMプライバシー問題検討WG訳から引用する。
第6条
1.加盟国は、個人データが以下の条件を満たすことを確保するものとする。
(a)公正かつ適法に処理されること。
(b)特定、明確、及び合法的な目的のために収集され、このような目的に反した方法で、処理されることのないこと。歴史、統計、又は科学的目的のための、データの処理は、加盟国が適切な保護条項を規定している限り、目的に反しているとは見なされないものとする。
(c)適切、妥当であること。そのデータが収集された目的、及び/又は、それが処理される目的に関して、過度でないこと。
(d)正確であること。必要な場合には、最新の情報を維持すること。データが収集された目的、又はそれが処理される目的に関して不正確又は不完全なデータが消去又は修正されることを確保するために、全ての合理的な手段が取られなければならない。
(e)データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。加盟国は、歴史、統計、又は科学的利用を目的として、個人データを長期間保存するために、適切な保護条項を規定するものとする。

2.管理者は、第1項の遵守を確保するものとする。

(注8)欧州連合基本権憲章の第8条の原文を挙げる。
Article 8
Protection of personal data
1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the
person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.

(筆者注9)ここで欧州議会の委員会における法案に対する修正意見、過程の表示・見方につき補足しておく。

〔規則等法案に対する修正内容の表示の見方〕

議会による修正では、規則案(drafts acts)に対する修正箇所は「太字のイタリック体(bold italics)」で強調される。「普通のイタリック体(italics)」による強調個所は、例えば文言上の明白な誤りや脱落があり修正を必要とするであろう規則案の部分に関する指示個所で、規則案の最終版で修正される個所である。この種類の提案された修正部分は欧州委員会等関係部との同意を前提とする。

法案の修正は行われなかったが、議会が修正したがっていた既存の法案における条項は「太字(bold)」で強調される。 議会が審議過程で指摘した削除事項はすべて[...]で示される。

なお、修正事由(justification)について、各修正個所に表記されている。

(筆者注10) アルブレヒト議員の最近の議会での活動はEUの公式サイトで確認できる。最近時のものでは7月3日の議会でのディベートは、欧州委員会の規則制定の役割の重要性も含め極めて興味深い内容であり、公式動画でも確認できるが、その「動画メッセージ」の内容を仮訳する。

なお、筆者が従来から主張しているとおり、議会事務局の最も重要な機能はディベート内容につき常に選挙民がチェックできるITシステムの構築である。20以上の国々の異なる原語翻訳システムをフルに機能させている議会事務局の努力に敬意を表す。

「緑グループ/欧州自由連盟を代表して意見を述べる。親愛なる欧州理事会議長(president)、欧州連合理事会、同胞議員、聴衆および本日ここに来ているおそらくそうであろう米国NSAや英国情報機関(British intelligence )の各位に訴えたい。

我々の政府や欧州大陸の国々は、米国の大規模な量の通信内容の諜報監視や基本的権利や保護原則の侵害はまったくけしからんと説明してきた。 むこうにいるそれらの人々に関しては、この欧州議会は法の支配を回復するという望みと基本的権利の敬意を運びこんだ。 今日のデジタル化・グローバル化している世界では、それらの人権価値の保護が強く情報技術にリンクされるため、プライバシーとデータ保護への権利が不可欠である。 世界中、特にヨーロッパ、米国およびラテンアメリカの主要な市民社会グループは、欧州議会が個人情報の保護を強化し、拘束力がある高い規格に同意するために他の国に圧力を加えるよう呼びかけてきた。 今、行動すべきときである。

私はマンフレード・ウェーバー議員(Manfred Weber)意見に同意する。我々は、強固なEU一般データ保護規則とEU保護指令の交渉を加速する必要がある。そして、米国という私たちのパートナー国に対しこれらの保護規格に同意することを要求する必要がある。 我々は、米国による基本的権利の大規模な侵害を停止させるとともに特に我々自身の加盟国の情報当局による侵害をも直ちに停止させるのを確実化する必要がある。緑グループのメンバーとして別の会派グループがスキャンダラスな情報活動に関する調査要求に同意したことは歓迎するが、しかしながら別会派が米国が市民や機関等に対するスパイ活動を止めることの保証なしに太平洋を挟んだ貿易合意交渉を認める点については、不適切でありまた無責任であると思う。

まず、最初に基準となる厳格な規定が必要であり、次に我々EUは協力しあわなければならない。

(筆者注11) 「COMMISSION DIRECTIVE 2005/58/EC of 21 September 2005」は、反応性物質としてbifenazate(殺虫剤「ビフェナゼート(bifeazate)」はヒドラジン骨格を有する殺虫剤、ハダニやサビダニに対し速効的な効果を示す)とmilbemectin(殺虫剤 ミルベメクチン。6 員環マクロライド骨格を有する殺虫剤。本剤は、ダニ、昆虫及び線虫の神経-筋接合部位の塩素イオンチャンネルに作用し、殺虫活性を示す。韓国、ニュージーランド、ブラジル等で農薬登録されている。日本では、1990 年11 月に茶を対象に初めて登録されており、原体ベースで年間3.7 トン(平成15 農薬年度)生産されている)を含む理事会指令(Council Directive91/414/EEC)を修正したもの。

(筆者注12) 欧州議会、欧州連合理事会(Council of European Union)における立法手続きを概観する。

1.EU法の種類

EU法は第一次法と第二次法に分類される。第一次法はEUを基礎付ける条約、第二次法は、条約に法的根拠をもち、そこから派生する法である。EU法あるいは派生法と呼ばれる。第二次法(以下、EU法)は適用範囲と法的拘束力の強弱によって、(1)規則(Regulation)、(2)指令(Directive)、(3)決定(Decision)、(4)勧告・意見(Recommendation/Opinion)の4種類が存在する。

(1)規則(Regulation):すべての加盟国を拘束し、直接適用性(採択されると加盟国内の批准手続を経ずに、そのまま国内法体系の一部となる)を有する。

(2)指令(Directive):指令の中で命じられた結果についてのみ、加盟国を拘束し、それを達成するための手段と方法は加盟国に任される。指令の国内法制化は、既存の法律がない場合には、新たに国内法を制定、追加、修正することでなされる。一方、加盟国の法の範囲内で、指令内容を達成できる場合には、措置を執る必要はない。加盟国の既存の法体系に適合した法制定が可能になる反面、規則に比べて履行確保が複雑・困難になる。

(3) 決定(Decision):特定の加盟国、企業、個人に対象を限定し、限定された対象に対しては直接に効力を有する。一般的法規というよりは、個別的かつ具体的内容を有する。

(4) 勧告・意見(Recommendation/Opinion):EU理事会及び欧州議会が行う見解表明で、通常は欧州委員会が原案を提案するもので、(1)~(3)とは異なり法的拘束力を持たない。

2.EU法の立法過程における決定手続

・通常、立法手続は次のような過程をとる。欧州委員会が欧州議会と欧州連合理事会に提案を提出する。その後、欧州議会で第一読会が開かれる。欧州議会の意見を受け、欧州連合理事会は欧州議会の意見を承認するか、しないかを決定する。

・承認しない場合は、欧州連合理事会は「共通の立場」を採択し、それを欧州議会に伝える。欧州議会では第二読会が開かれ、そこで承認、否決、修正が行われる。

・修正の場合は再度欧州連合理事会に伝えられ、そこで承認ないしは否決が行われる

(総務省世界情報通信事情:国別に見る「EU」から一部抜粋。なお、同資料では“Council of the European Union”を「EU理事会」と訳しているがこれは明らかに誤訳であり、本ブログでは修正した。立法機関たる欧州連合理事会のHPの解説で正確なところを確認されたい。また保護規則案に関するEUの立法審議専門サイトを読んでほしい。そこでは欧州理事会(European Council)は何等法案につき審議していない)

(筆者注13)“personalisation of services” とプライバシー侵害問題につき、次のような説明が分かりやすかろう。

「情報推薦などの個人化サービスを受けるためにユーザは個人情報を開示する必要がある。多くの個人情報を開示することで,さらに個人化されたサービスを受けることができる可能性があるが,一方で情報漏洩や情報流用などによりプライバシーが侵害される危険性も秘めている。(宮本 崇弘、竹内 亨、奥田剛、春本 要、有吉勇介、下條 真司「GrIP:プライバシとサービス品質のトレードオフを考慮した個人情報制御機構」日本データベース学会 Letters Vol.4, No.1 9から一部抜粋。

(筆者注14) 欧米におけるプライバシー問題の強い関心や規制・保護が論じられる中で基本となる「プライバシーの貨幣価値化」論文は極めて少ないし、書かれたレポートに対する意見も少ない。その中でCISO blogが興味深いレポート「The Monetization of Privacy – Birth of a “Trust Economy」を取り上げている。その内容の中からユーザー情報につき貨幣価値化できる企業は何をなすべきかに関する8項目を仮訳する。個人情報を取扱う事業者であれば極めて当然といえる内容であるが、このレベルでさえ遵守できない事業者が規模の大小を問わず多いことも内外では事実である。なお、2011年からSOLOMOがマーケテング手法として注目されているがこの問題についてはなおプライバシー面からの課題が残されている点を筆者として補足する。

①透明性を確保するー正直に消費者に向け自社は実際どのような事業を行っているかを正確に説明する。

②誰も全部読まない長くて冗長な利用規約(T&Cs)で本質的・重要な点を覆い隠さない。

③ 以下 略す











(筆者注15)立命館大学の安江則子教授が「3.EU リスボン条約における基本権の保護

――ECHR との関係を中心に―」
おいてリスボン条約、基本人権憲章、欧州人権条約等の位置づけについて説明されているので、一部抜粋引用する。なお、EU公式サイトへのリンクや正式条約名等は筆者の責任で行った。

「 EU は2000年末に,機関として遵守すべき基本権のリストを示した「基本権憲章(Charter of Fundamental Rights of the European Union:2010/C 83/02)」を採択した。この憲章は,2001年から始まった基本条約改正のためのコンベンション)での議論の結果,欧州憲法条約(2004年調印)に挿入され法的拘束力をもつことになっていた。ところが周知のとおり,憲法条約はフランスとオランダの国民投票で否決され,その後2007年の条約再交渉の結果,「EU条約およびEC 設立条約を改定するリスボン条約」Treaty of Lisbon Amending the Treaty on European Union and the Treaty Establishing the European Community,以下リスボン条約)が採択されている2)。リスボン条約において基本権憲章は,基本条約とは別個の文書として,法的拘束力をもつことが合意されている。さらに新たな条約において,EU が,機関として「欧州人権条約(ECHR, European Convention on the Protection of Human Rights:正式名は“Convention for the Protection of Human Rights and Fundamental Freedoms”)」加入する方針も明確にされた。2007年2月15日には,独立機関としてEU 基本的人権保護庁(FRA, European Union Agency for Fundamental Rights)が欧州連合理事会の決定に基づいて設立されている)。」 

なお、FRAの設置経緯等につき、欧州連合理事会のリリースに基づき筆者が独自に仮訳補足する。


・欧州連合理事会は、EU基本権庁の設置に関する理事会規則(COUNCIL REGULATION establishing a European Union Agency for Fundamental Rights)を採択した。

2003年12月欧州評議会(European Council)は1997年の規則に基づき設置した人種差別主義(Racism)および外国人嫌悪主義(Xenophobia)のモニタリング・センターの統治権限を拡大し、その権限をFRAに移行することに同意した。同庁の本部の事務所は引き続きオーストリアのウイーンに残る。

同庁の設置目的は、関係する国や地域内の機関、団体、官公庁等に対し、これら機関が基本的権利を完全に尊重し、それらの権能の範囲内で対策を実施したり行動の方針を定式化するとき、コミュニティ法に即してそれらを支援したり支持するために基本的権利に関連する支援と専門的情報を提供することである。


同庁は、これらの案件に対処しながら、基本的権利の状況の開発のときに客観的かつ信頼できて比較可能な情報を集め、また、尊重すべき点に関する失敗の原因、その結果および効果に関してこれら情報を分析するとともに、これらの手段についての優れた実践例を検証することになろう。

(筆者注16) 「枠組み決定」とは、欧州連合条約第6編に固有の法令形態であって、加盟国または欧州委員会が発議し、理事会の全会一致の議決で定められ、達成されるべき結果については、加盟国を拘束するが、形式や方法の選択は各加盟国に委ねられる(欧州連合条約第34条⑵⒝)。

ここで「枠組み決定」の法的側面につき補足する。国際平成大学の入稲福(いりなふく)智教授のEU法のHPの解説ら一部抜粋・引用した。なお、条約原文へのリンクは筆者の責任で行った。

「(b) 枠組み決定(framework decisions)

これは、国内法規・行政規則を調整する場合に制定される。その効力について、EU条約第34条第2項第b号は、EC条約第249条第3項(EC指令の効力に関する規定)と同じような表現を用い定めている。つまり、枠組み決定の目的に照らし、加盟国は国内法・政策を整備しなければならないが(加盟国はその目的に拘束される)、その方法や手段は加盟国の裁量に任されている。なお、EU条約第34条第2項第b号は、決定の 直接的効力 を明瞭に否認しており、この点で、指令に関するEC条約第249条第3項とは異なる(参照)。」

なお、枠組み決定に関し次の解説も分かりやすい。

(筆者注17) とりわけ英国では“administrative burdens”軽減化に向け官民で取り込んでいる。

その意義等について「ビジネス・イノベーション・技術改革省(BIS)」のサイト解説“Reducing administrative burdens” を見ておく。

「行政事務負担」とは、民会事業会社等ビジネスが他の手段による代替不可の法令を遵守するために負う行為をいう。通常一定の定められた様式のファイリング、記録の保存や要求された様式への回答としてなされる。その手続等の簡素化は、民間ビジネスひいては英国経済全般に対する節約効果に繋がる。.

(筆者注18)英国の1998 年データ保護法では、「データ管理者(data controller)」である組織・法人に対するデータ保護8原則の遵守義務、政府から独立した情報保護監督機関である情報コミッショナーに対しデータ管理者としての登録義務等を課している。さらに2000年3月以降、登録時に一律35ポンド納付が義務付けられていたが、同制度は2009年情報保護規則改正により2009年10月1日から事業者の「規模(従業員数が250人以上)」と「粗利益(turnover)2,590万ポンド(約38億730万円)以上」により従来どおりの35ポンドの納付額(Tier1)の場合に加え、500ポンド(約73,500円)納付の場合(Tier2)が追加され、2本建てに改正された。(公的機関については250人以上はTier2となる)。英国では新基準でも90%以上が35ポンドである。

参考までに同改正規則の原文を引用する。;

Amendment of regulation 7 of the Regulations

3. For regulation 7 of the Regulations (fees to accompany notification under section 18 of the Act) substitute—

“Fees to accompany notification under section 18 of the Act 7. For the purposes of section 18(5) of the Act the prescribed fee is—

(a) for a data controller in tier 1, £35; or

(b) for a data controller in tier 2, £500.

(筆者注19)欧州委員会の一般保護規則案の中でとりわけ重要な制定目的として57条以下で定める「一環性メカニズム(consistency mechanism)」という言葉につき、欧州委員会の司法担当委員サイトで詳しく説明している。この問題につき、規則化の背景や同メカニズムの基本原則、各国の保護監督機関(DPAs)とその支援機能を持つ「欧州データ保護委員会(European Data Protection Board:EDPB)」や欧州委員会との関係である。

この問題は、どういうわけかわが国ではほとんど解説されていない点であり、原資料にもとづき解説を試みる。EUサイトの解説内容はかなり抽象的であるが他に適切な解説文がないためあえて引用した。

・現行保護指令(95/46/EC)の下で、同じ企業活動でありながらEUの複数国で事業展開する事業者は異なる権限を持つ監督機関の異なる権限の下で活動せざるを得ないため、不確実性が極めて増していた。この問題が大きく問題視された例としてはGoogleのStreet View問題であった。各国のDPAsに対し未調整でかつばらばらの対応を行った。

規則案はこれまでの対応の問題を解決すべく一元性と一貫性をもった事業者の監督制度を確立させた。すなわち、第一に1つのDPAのみが、“One Stop Shop”(一連のサービスが1つの場所で提供可能な効率的ビジネス)会社に対して法的に拘束力を持つ決定を行う責任を持つ。

第二に、DPAs間における相互支援・協調活動(55条以下)を義務づけるとともに、EU全体にわたるEDPBによる明確な適用を保証する規則を定め、また欧州委員会の役割という一貫性を持ったメカニズムを創設した。

この一環性メカニズムには次の3つの原則がある。

①DPAsはEU全体への影響をもたない個々の事件のみ決定を行う。

②EU全体に影響を持つ問題についてはEDPBが決定を行う。

③欧州委員会はこの一環性メカニズムが確実の有効になるようバックネットとして行動する。

さらに、もしDPAの決定に対し、EDPBが本規則に正しい適用かどうかが極めて疑わしいと判断する場合のみ、欧州委員会はDPAに対し、規則案により最大12か月の処分停止を請求しうる。この決定は次の2つの特別な事情がある場合のみ認められる。

①DPAとEDPB間において立場の分岐内容の和解を試みる。

②特に問題点が域内市場に対する適切な機能として適用しうる手段を採択するためであること。

(筆者注20) EU指令”の “Recital 10”の原文を引用する。”

10. In Declaration 21 on the protection of personal data in the fields of judicial co-operation in criminal matters and police co-operation, annexed to the final act of the intergovernmental conference which adopted the Treaty of Lisbon, the Conference acknowledged that specific rules on the protection of personal data and the free movement of such data in the fields of judicial co-operation in criminal matters and police co-operation based on Article 16 of the Treaty on the Functioning of the European Union may prove necessary because of the specific nature of these fields.



********************************************************

Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

2013年7月3日水曜日

米国連邦FDAが違法なオンライン薬局に対し1,677の未承認ウェブサイトの閉鎖等国際的共同法執行措置を発動






去る6月27日、米国連邦保健福祉省・食料医薬品局(U.S.Food and Drug Administration:FDA)は6月18日から25日の間に実施した国際的な規制当局や捜査・法執行機関と共同して消費者に極めて重大な危険性をもたらす違法でありまた未承認の処方薬を販売する96,000以上のウェブサイトに対し、規制・監督機関の警告発布、提供物の押収および世界的規模で違法な医薬品約4,110万ドル(約39億9,900万円)相当に対する法執行活動(第Ⅵ次パンジア作戦:Operation Pangea Ⅵ)を行った旨リリースした。

 この情報はわが国では、唯一、ペンネーム(桜下街(おうかがい)ブログ「くすりなひと」がFDAのリリースやCBSニュースに基づき概要を解説している。

 また、これまでの世界的にみたパンジア作戦の取組みについて、わが国の一部専門ブログのみが取り上げている。しかし、筆者が見るにこれだけ国際的な規制・法執行活動について、どういうわけかわが国の規制監督機関である厚生労働省や捜査取締機関である警察庁の公式リリースは皆無である。(筆者注1)

 筆者が独自に調べた範囲では、鳴り物入りでスタートさせたわが国のインターネットによる医薬品販売の適正化ルールに関し、担当規制機関である厚生労働省医薬食品局総務課が主催する「一般用医薬品のインターネット販売等の新たなルールに関する検討会(1回~11回)」の第9回会合(2013年5月16日)でやっと「資料3:インターネット上の監視強化について:検討課題」という資料が提示されている。要するに日本は担当行政機関の特定も含めこの問題はこれからなのである。

 さらに本ブログの執筆にあたりわが国のオンライン薬局特に海外からの輸入医薬品を扱うサイトの内容をつぶさに読んでみた。本文で具体的に紹介するが米国の場合と危険性はまったく変わらない。(筆者注2)

 今回のブログでは、FDAのリリースだけでなく国際的な共同作戦である「パンジア作戦」についても国際関係機関のデータを織り込んでまとめてみた。この問題に関するわが国の消費者保護のあり方を改めて考えるきっかけとしたい。 

 なお、筆者は医薬品問題の専門家ではない。消費者から見たICT世界の適性な発展を期待するが故の問題提起であり、わが国の関係者によるさらに具体的論議が高まることを祈る者である。

1.FDAのリリース要旨

前述したブログ「くすりなひと」が、FDAのリリースに基づき主要な事項は整理しているので参照されたい。ここでは、この問題が国際的な犯罪組織がバックにあるがゆえ手口の専門性やその健康面に極めて重大な悪影響を与えているかについて、FDAのリリース等に基づき補足する。

(1)「第Ⅵ次パンジア作戦」の米国の取組み

FDAの犯罪捜査局(Criminal Investigations)は、6月18日から6月25日の間にコロラド地区連邦検事局と共同し、1,677の違法な薬局ウェブサイトを押収(seized)、閉鎖(shut down)させた。

これらのウェブサイトの多くは一見“Canadian Pharmacies”(筆者注3)に偽者でありながら類似するもので犯罪組織ネットワークの一部として活動しているように見えた。これらのウェブサイトは、「有名ブランド名」や「FDA認可」を名乗った広告手段を用いて米国の消費者に医薬品を購入させるべく、その納得させるため、にせの免許証や認可証を画面上に表示した。

パンジア作戦で対象となる一部受け取った医薬品は、カナダからでなくまたブランド名でもなくFDAの認可も受けていなかった。また、これらのウェブサイトは、米国の消費者に対し米国の主要な小売業者と提携関係があるように信じさせるべく、その名前を詐称した。

現在、消費者が違法な押収ウェブサイトを識別しうるよう、FDA犯罪捜査局サイバー犯罪ユニットは禁止リストを表示した。

ここにいくつかの詐称例を挙げる。

・http://www.canadianhealthandcaremall.com/

・http://www.walgreens-store.com

・http://www.c-v-s-pharmacy.com

FDA犯罪捜査部長ジョン・ロス(John Roth)は、「違法なオンライン薬局は米国の消費者に潜在的に危険な製品を販売することでその健康を危機的状況に置く。これらは米国や海外の諸国による現下の戦いであり、FDAは刑事事件としての法執行や規制監督を続ける。また、FDAは消費者を保護するとともにこの戦いに参加する国際的なパートナー達と関係強化を図るためパンジア作戦に参画したことに満足している」と述べた。

全部で99カ国の法執行機関、税関、規制機関からなる「第Ⅵ次パンジア作戦」の目標は、違法な医薬品や医療機器メーカーやその販売業者を特定し、サプライチェーンからこれらを排除することである。

第Ⅵ次パンジア作戦において具体的な標的として違法なウェブサイトで販売された危険な医薬品例としては次のものがあげられる。

・AVANDARYL(Glimepiride およびRosiglitazone):FDAにより認可されている医薬品は「タイプ2」の糖尿病の治療用の用いられる一方で、体液貯留(fluid retention)による浮腫(edema)、心臓の悪化や心不全を引き起こすリスクが指摘されている。このため、AVANDARYLは認可された医療サービス機関で処方され、また薬物療法ガイドに即して潜在的危険性につき説明をもって認可を受けた薬局で配布されなければならない。(筆者注4)
・GENERIC CELEBREX:オンラインで販売される“GENERIC CELEBREX”はFDA認可医薬品ではない。FDAが認可する“GENERIC CELEBREX”(celecoxib:セレコキシブ)は骨関節炎(osteoarthritis)やリュウマチ様関節炎(rheumatoid arthritis)の兆候に対処するもので成人の激痛を緩和させるために使用される非ステロイド(non-steroidal)の抗炎症剤製品(anti-inflammatory product)である。

一定の長期使用の場合、消化管出血(gastrointestinal bleeding)、心臓発作(heart attack)または脳卒中(stroke)のような関係する潜在的な危険性を最小化するため、GENERIC CELEBREXはこれらの潜在的リスクにつき薬物療法ガイドに基づいた説明の上で配布されねばならない。

・Levitra Super ForceおよびViagra Super Force:Levutra(vardenafil:バルデナフィル)およびバイアグラ(sildeafil:シルデナフィル)は勃起障害(ED)のために使用するFDAにより認可された医薬品であるが、Levitra Super ForceおよびViagra Super ForceはFDAにより認可されておらず、早漏治療薬であるdapoxetine(ダポクセティン)を含むといわれている。FDAはダポクセティンの安全性や効能につき何等の決定を行っていない。一定の心臓に疾患を持つ人はバルデナフィルまたはシルデナフィルを含有するED薬を飲むべきでない。これらの医薬品による危険な薬物相互作用または重大な悪影響の潜在可能性としては「聴覚障害(loss of hearing)」や「視覚障害(loss of vision)」がある。

・Clozapine(クロザピン)(筆者注5):FDAが承認しており、重度な統合失調症(severe schizophrenia)の治療に使用されるが、潜在的に致命的な無顆粒球症(agranulocytosis)(筆者注6)や、重症化したり、生命に危険を及ぼす白血球数の低下をもたらす。

この危険性を最小化するためには、FDAが承認したクロザピンを処方された患者は彼らの白血球数を定期的にモニタリングするため登録しなくてはならない。

FDAはその他の連邦機関と共同作業にしておいて第6次国際インターネット行動週間(6th annual International Internet Week of Action:IIWA)において国際郵便サービス機関を通じて受け取った医薬品のスクリーニングを行った。

予備調査段階で明らかとなったことは、海外からの送られてきた例えば「性機能障害(antidepressants)」、「ホルモン補充療法(hormone replacement therapies)」、「睡眠導入」、その他勃起機能障害(treat erectile dysfunction)、高コレステロール、発作薬(seizures)などが米国の消費者に近づきつつあることを示した。

また、健康リスクに加えてこれらの薬局クレジットカード詐欺、成りすまし、コンピュータウィルスなどを含む非健康関連の危険性も消費者に引き起こす。 

FDAは専門サイト“BeSafeRx”を介した違法な薬局ウェブサイトの特定方法やどのようにして安全なオンライン薬局を見つけ出すかに関する情報を提供する。まずは“Know Your Online Pharmacy”を読むことである。

2.近年のパンジア作戦の概要と経緯

2012年3月、国際刑事警察機構(INTERPOL)と世界各国の製薬会社の合意に基づいて、医薬品犯罪プログラムが開設される。これは、インターポールの医薬品偽造・医薬品犯罪 (MPCPC)ユニットに属し、医薬品犯罪の防止、及び違法行為に関与する組織の実態の解明と解体を目的とする。
もう1つの重要な目的は、近年増加するインターネットを利用した医薬品の購入者に、偽造医薬品の危険性に対して注意を促すことである。

2012年に、世界100カ国で繰り広げられた「オペレーション・パンジア5」では、違法な医薬品をオンライン販売する犯罪組織を摘発することを目的とし、結果として逮捕件数が約80、死に至る危険性がある偽造医薬品の押収が375万点、総額1050万ドル相当であった。(2013.3.15 QLife Pro記事「偽造医薬品の撲滅へ インターポールと製薬企業が手を組む」から一部抜粋。2013年3月の第5次パンジア作戦の成果に関するINTAPOLのリリース文 (筆者注7)

3.医薬品業界の偽造医薬品に関する国際的およびわが国の取組み

(1) わが国の医薬品業界の偽造医薬品取締りの取組み

製薬業界は偽造医薬品の取締り強化を実効性を持たせる目的で米国に設置された「インターネット医薬品安全化センター(center for safe internet pharmacies: CSIP)」につき、国際製薬団体連合会(IFPMA) 米国研究製薬工業協会(PhRMA)欧州製薬団体連合会(EFPIA)および日本製薬工業協会(JPMA)の4 つの製薬団体は、世界の研究開発型製薬業界を代表し、偽造医薬品取引の対応における重要なステップとして、CSIP をはじめとする幅広い各方面での取り組みを支援した。

(2)わが国のオンライン薬局のウェブサイトで見る危険度、警告

最後に本ブログを執筆するに当り、改めてわが国のオンライン薬局の実態をよく読んでみた。ほんの一部の例ではあるが極めて危険さが浮かび上がってきた。

①わが国の「薬通販ベストケンコー」のバルデナフィルの販売画面

「バルデナフィルの副作用・注意事項に関して」部分を引用する。

「バルデナフィル(vardenafil)の一般に言われる副作用は下記の通りです。

バルデナフィルの一般的な副作用として、「顔のほてり」「目の充血」などがあります。その他に「軽い頭痛」などもございます。副作用の程度は軽く一時的なものです。」FDAが指摘するような視覚障害など危険性の指摘は皆無である。

②海外医薬品の通販サイト「くすりの宅配便」のレビトラ・ジェネリックの商品説明サイト

・副作用など危険性に関する説明文言は一切なし

③オンライン薬局 Japan RX comスーパーピーフォース(ダボキセチン/ダポクセティン)の説明サイト

・副作用など危険性に関する説明文言は一切なし

  *********************************************

(筆者注1)厚生労働省が医薬品の輸入に係るリスクに関し何も警告を鳴らしていないとは言っていない。例えば厚生労働省・医薬食品局・監視指導・麻薬対策課「個人輸入において注意すべき医薬品等について」を見ておく。

「下記製品については、有害事象の発生や偽造医薬品の可能性がありますので、個人輸入による安易な使用はお控えください。」という説明の後に海外の保健機関の具体的な警告内容を列挙している。しかし、このような警告を都度確認している消費者はいかほどいるであろうか。また、その説明内容はいかにも専門家向きである。

また、厚生労働省「重篤副作用疾患別対応マニュアル」が参考になる。ただし、患者自身や家族が読むように丁寧に説明されている部分があるが、オンライン薬局で掲示されている医薬品名で検索するにはなお、工夫の余地が大である。FDAのくすりに関する総合専門サイト“Know Your Online Pharmacy”と比較されたい。

(筆者注2) 日本医師会総合政策研究機構(JMARI)調査レポート1999年11月8日号 伊原和人・天池麻由美「普及するインターネット・ビジネス①―インターネット薬局―」は約14年前とはいえ、今日の米国やわが国の現状を踏まえた問題点を先取りしたレポートといえる。

(筆者注3) )確かに筆者の 手元にも“Canadian Pharmacies”を名乗る胡散臭い下手な英語の売り込みメールが時々届く。完全に無視しているが、この手のものであろう。

(筆者注4)FDAは、 AVANDARYL(Glimepiride およびRosiglitazone)に関す専門家(内分泌科、医療専門家)や消費者向けの解説サイトを提供している。ただし、その内容は必ずしも平易とは思えない。

(筆者注5) Clozapine(クロザピン)についてWikipedia の解説を引用する。「クロザピン(Clozapine)は治療抵抗性統合失調症の治療薬であり、非定型抗精神病薬である。元来世界初の第二世代抗精神病薬といわれていて、長く使用されていた言語地域もあるようだ。現在では97ヶ国で承認・使用されている。日本ではクロザリルの名前でノバルティスファーマより発売されている。

しかし無顆粒球症などの副作用もあり、使用する際一週間に一回血中濃度を測定しなければ命が危険になる。」

これだけ危険性が伴う医薬品でありながら、オンライン薬局で販売されている。例えば、

「Japan RX.com」は「クロザピン (クロザリル ジェネリック) 錠」を販売しているが、「効能関連注意」を読んでも具体的な危険性指摘は皆無である。

(筆者注6) 無顆粒球症(agranulocytosis) とは、血液中の白血球のうち、体内に入った細菌を殺す重要な働きをする好中球(顆粒球)が著しく減ってしまい、細菌に対する抵抗力が弱くなった状態のことです。

無顆粒球症になると体内に入った細菌を殺すことができなくなるため、かぜのような症状として「突然の高熱」、「のどの痛み」などの感染に伴う症状がみられます。(2007年6月厚生労働省「重篤副作用疾患別対応マニュアル:無顆粒球症(顆粒球減少症、好中球減少症)」6ページ以下から一部抜粋)

(筆者注7) 2012年INTAPOLの第Ⅴ次パンジア作戦の動画解説参照

<********************************************************

Copyright © 2006-2013 福田平冶(Heiji Fukuda).All rights reserved. You may display or print the content for your use only.

You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.