スキップしてメイン コンテンツに移動

米国の連邦議会行政監査局(GAO)が個人情報再販業者に対する機密情報安全性監督の強化策を勧告

 

Last Updated: March 5.2021

〔再登録にあたり〕
 本ブログは2006年9月24日(木)にgooブログにアップしたものである。しかし、数年を経過し法改正や内容の陳腐が目立つ。このため必要な範囲で内容の更新・見直しと併せ、新たにリンクを張るなど読みやすさにも配意して改訂を行った。

 また、2021年3月5日の筆者は更新にあたり、GAOサイトを再度検証したところ2013年9月25日に再度、上院銀行、住宅・都市問題委員会」に「INFORMATION RESELLERS:Consumer Privacy Framework Needs to Reflect 
Changes in Technology and the Marketplace」勧告報告を行っていることが判明した。ただし、今回は内容にはあえて言及しない。

米国連邦議会行政監査局(United States Government Accountability Office;GAO)は、2006年6月26日に開催された連邦議会上院「銀行、住宅・都市問題委員会(Committee on Banking ,Housing and Urban Affairs ,U.S. Senate)」において、連邦や州の金融監督機関が行う“Gramm-Leach-Bliley Act;GLBA”等個人情報保護に関する重要な法律の運用に関し、最近急成長しつつある個人情報の再販事業者(Information Resellers)(筆者注1)が行うべき安全対策に関して、有効な監督機能を果たしていないとする勧告報告(  Personal Information:Key Federal Privacy Law Do Not Require Information Resellers to Safeguard All Sensitive Dataを行った。

 GAOの活動や権限について、本ブログでも数回取り上げたことがあるが、GAOの連邦議会への発言力すなわち上院・下院議員への影響力は極めて強く、また取扱う問題の範囲が広く米国の行政機関への横断的な影響度は大といえる。

 特にGAO報告の特徴は、関係企業、監督機関、消費者等からの情報収集が徹底されており、その説得力は他の連邦監督機関が無視し得ないものといえる。以下、紹介するとおり、法律の守備範囲と監督業界間の縦割りの弊害は米国でも現実の問題であり、この分析手法はわが国でも参考とすべき点といえよう。

 なお、わが国では個人情報保護法の全面施行後約1年を経過した2006年7月に、金融庁は金融機関における顧客情報の管理体制に係る一斉点検の結果(筆者注2)を、また内閣府は事業者の取組実態調査結果を公表している。(筆者注3)米国における金融機関の再販事業者の利用原因の1つが、「愛国者法(USA PATRIOT ACT)」(筆者注4)におけるマネロン阻止やなりすまし詐欺の防止に関する法令遵守の要請である。

 わが国ではマネロン阻止強化の観点から2007年9月22日に本人確認法施行令等が改正され、2007年1月4日以降10万円超の現金によるATM振込が原則不可となった。また、2008年3月1日以降、「犯罪による収益の移転防止に関する法律(平成19年法律第22号)」(「犯罪収益移転防止法」)に基づき、金融機関に対し本人確認が義務づけられるとともに、「本人確認法」は廃止された(本人確認の内容は変更されていない)。これと関連し名義人へのなりすましチェックも強化されるなど、状況が類似しており、「他山の石」とすべきであろう。(筆者注5)

1.GAO勧告の内容
連邦議会は次の3点について具体的に検討すべきである。
(1)個人情報の再販事業者が保有する機微個人情報(sensitive personal information)の安全対策について情報提供を求める。

(2)現行の金融機関の個人情報保護法である“Gramm-Leach-Bliley Act;GLBA”(15 USC 6801)や「公正信用報告法(the Fair Credit Reporting Act:FCRA)」の遵守監督機関である連邦取引委員会(FTC)について、法執行機関として有効な制裁手段といえる民事制裁権(civil penalty authority)(筆者注6)を付与するよう見直しを行う。

(3)保険会社を監督する州の監督官の全米規模の組織体である全米保険監督官協会(the National Association of Insurance Commissioners;NAIC)においてもGLBAの遵守監督を行う。

2.GAOの調査・研究の背景
 米国における個人情報再販事業者は、(1)公的な機関が保有する記録(生年月日、資産記録等)(Public records)、(2)一般に公表されている情報(電話帳等)(Public available information)、(3)個人信用情報報告書のキー情報であるcredit header data (筆者注7)や加入者リスト(subscription lists)を情報源としてこれらデータの統合を行う。その結果、成果物として「本人確認報告」、「保険金請求記録報告」、「潜在的顧客情報」、「信用情報報告」が作成され、最終的に金融機関等に提供されるのである。
 
 米国のこれら企業は米国国民のほとんどすべてといえる膨大な消費者の個人情報を収集し、その結果、この数年明らかになっているとおり、ChoicePointLexisNexis等大規模な漏洩事件が生じている。

3.GAOが取組んだ調査内容
(1)GAOは銀行、クレジットカード会社、証券会社や保険会社が次のような理由から再販事業者からの個人情報を入手、利用していると見る。
A. 利用者の法適合性
B.愛国者法等の法令遵守
C.なりすましなど詐欺の予防
D.自社の商品の市場性

(2)GAOは、公正信用報告法(FCRA)およびグラム・リーチ・ブライリー法(GLBA)の適用により再販事業者への情報提供は制限されていると解している。すなわち、FCRAは与信や保険契約時における法適合性判断のための第一次的情報の収集や使用時に適用され、またGLBAは同法に規定する金融機関によって取得される個人情報について適用される。
 これら2法には情報保護・セキュリティに関する規定があるにもかかわらず、消費者(再販事業者からの購入利用者のこと)は再販事業者からあらゆる機微情報の入手が可能という拡大解釈の恩典をうけている。

(3)すなわち、連邦取引委員会(FTC)はこれら2つの法律のプライバシーやセキュリティに関して再販事業者が行うべき遵守に関して第一義的な監督責任を持つ連邦機関である。1972年以降、FTCは全米規模の3大信用情報機関(Equifax 、ExperianTransUnion)を含め、FCRA違反を理由として再販事業者に対し、20件以上の正規の法執行行為を行っている。しかしながら、FTCは GLBAに基づくプライバシー保護に関する規定(これらの規定は、法律に基づき大量の漏洩事件 違反行為に対して有効な法執行を担保することになる)に基づく民事制裁権を持たない。

(4)米国のプライバシー保護法等の遵守状況を概観すると、銀行や証券会社の連邦規制監督機関は遵守ガイダンスを発布するとともに検査を行い、その他公式・非公式の法執行行為を行っている。最近時にNAICの協力により行われた調査では、保険会社においてGLBAの不遵守の事例がみられたが、州の監督機関はNAICとともにこれらの問題に対応する明確な計画を有していなかった。(筆者注8)

*********************************************************************************************

(筆者注1) GAO報告によると、再販事業者名として本ブログで紹介したほかに、eFund(預金取扱機関に対し預金取引の履歴情報を提供)、Thompson West and Regulatory DataCorp(企業に対し詐欺やその他のリスクの軽減情報を提供)、ISO(保険会社に対し保険契約履歴情報その多詐欺要望商品を販売:http://www.iso.com/)等が紹介されている。

(筆者注2) http://www.fsa.go.jp/news/newsj/17/f-20050722-4.pdf

(筆者注3) 内閣府は、調査結果の詳細を2006年7月28日開催の「国民生活審議会個人情報保護部会」の資料として配布している(内閣府のHPで同資料を探すのに、無駄な時間がかかってしまった。特に従来から気になっている点であるが、わが国の電子政府の中核である内閣府のサイトには「検索」機能がない)。資料が全部で158頁と大部(要旨では企業の検討材料として不十分)のためか、5分冊となっており、企業にとって個人情報漏洩防止に関心の高い漏洩原因の分析は第3分冊の中にある。第3分冊のURLは以下の通り。
http://www5.cao.go.jp/seikatsu/shingikai/kojin/20th/20060728kojin3-2-3.pdf

(筆者注4) 正式名は“UNITING AND STRENGTHENING AMERICA BY
PROVIDING APPROPRIATE TOOLS REQUIRED TO INTERCEPT AND OBSTRUCT TERRORISM (USA PATRIOT ACT) ACT OF 2001”( Pub. L. No. 107-56, 115 Stat. 272 (2001)) である。直訳すると「テロ行為阻止のための適切な手段の提供よる米国民の団結強化に関する法律」(なぜ「愛国者法」というかが理解できよう)となるが、2001年9月11日の連続テロ事件を背景に成立した法律である。しかし、テロ阻止を理由とする犯罪捜査や盗聴を一定の場合認めるなど人権制限法としての性格が強く、合衆国憲法修正やその他の法律等との関係で人権擁護団体等から多くの問題が指摘されている。具体例として本ブログでも取り上げてきた米国EPIC(Electronic Privacy Information Center;EPIC)は“The USA PATRIOT Act”と題する専門的解説コーナーを設けており、そこで同法の歴史的経緯、法的分析・問題点、最新の関連法の改正動向等を取り上げて解説している。

(筆者注5) 本人確認法(正確には「金融機関等による顧客等の本人確認等及び預金口座等の不正な利用の防止に関する法律(平成14年法律第32号)」の施行令、施行規則の改正に伴う解説および「犯罪収益移転防止法」に基づく本人確認の内容が金融庁のサイトで確認できる。

(筆者注6)GAOの資料にある“civil penalty”とは正確には行政機関により行政手続を通じて行われる“Administrative civil penalty”であると思う。米国における法律・規則違反等の違反行為に課される罰金(Fine)であり、広義の意味ではこのほかに民事裁判手続を通じて裁判所によって算定・賦課されるCivil judiciary penaltyとがある。なお、内閣府大臣官房独占禁止法基本問題検討室が担当している「独占禁止法基本問題懇談会」の取組は、最近時、EUをはじめ海外でも民事制裁に関する研究・審議が進んでいる分野との整合性を意識したものといえよう。
「独占禁止法における違反抑制制度の在り方等に関する論点整理」参照。
http://www8.cao.go.jp/chosei/dokkin/
わが国の経済界もその動きに神経質になっており、経団連経済法規委員会は本年8月1日付けで『「独占禁止法基本問題」に関するコメント』を公表している。
http://www.keidanren.or.jp/japanese/policy/2006/057.html

(筆者注7) “credit header data”とは、「姓名(姓名の変更を含む)、住所(旧住所を含む)、電話番号(知られている場合、非表示の番号も含む)、生年月日(通常生年月までに限定)、社会保障番号」をいう。この情報は、個人信用情報の生成過程で発生するが、FTCはそれが顧客の取引履歴の一部でないとして、FCRAでは規制されていない。この問題は1997年1月30日に人権擁護団体である「Privacy Rights Clearinghouse」でも取り上げられており、米国では従来から問題視されていたといえる。
http://www.privacyrights.org/ar/fedres.htm

(筆者注8)米国の保険監督上、「保険」は1944年以前において商業(commerce)とみなされず、連邦法の規制対象外であった。しかし、連邦最高裁判所が連邦議会に実質的に州際の保険事業についての立法権を認め、成立した法律が”McCarran-Ferguson Act(15 U.S.C. §1011)”である。しかし、同法はいくつかの州の保険業規制を定めているが、Sherman Act、Clayton Actおよび連邦取引委員会法(FTCA)では州法によって規制がなされない範囲で、連邦法が適用されるというかたちがとられている。http://www.law.cornell.edu/wex/index.php/

〔参照URL〕
Personal Information: Key Federal Privacy Laws Do Not Require Information Resellers to Safeguard All Sensitive Data (gao.gov)
Information Resellers: Consumer Privacy Framework Needs to Reflect Changes in Technology and the Marketplace (gao.gov)
**************************************************************************************

Copyright © 2006-2010 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission.



コメント

コメントを投稿

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...
コメントを投稿
続きを読む

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...
コメントを投稿
続きを読む

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...
コメントを投稿
続きを読む