最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 Last Updated：February 25,2021 　わが国ではほとんど紹介されていないが、フランスは2010年1月23日施行された国会からの委任による政府立法である 「オルドオナンス(Ordonnance no.2010-76)」  (筆者注1) に基づき、銀行(与信機関)と保険会社を監督する単一機関である「金融健全性規制監督機構(Autorité de contrôle prudentiel：ACP)が発足した。 　フランスの金融規制監督機関制度は従来から複雑な体系を有しており、近年その簡素化を巡る法改正が積極的に行われ、最近では2003年７月17日に 「金融安全に関する法律(Loi de sécurité financière)(以下「金融安全法」という)  が国民議会で可決成立し、同年８月１日に公布された。「金融安全法」で実現した金融規制監督機関の再編の中で最も頻繁に言及されるのは、証券・投資サービス分野における規制監督の一元化であり、また保険分野での監督機関の統一である。ただし、その他にも多くの機関が再編の対象となっており、その全貌はかなり複雑である。 (筆者注2) 　そこで今回のブログは、2003年「金融安全法」に基づく証券規制監督機関の統合すなわち金融市場機構(Autorité des Marchés Financiers：AMF) (筆者注3) に続き、2010年1月21日の発足したACPの統合内容、規制対象金融機関、組織と運営、監督権限およびAMFとの協調関係について概観する。 　なお、筆者はAMFの動向については毎日のように着信する通達内容を見るが、筆者が注目したのは米国の金融監督制度改革論議やEUの監督制度改革との比較という視点のほか、米国のリーマンブラザースに始まったとされる金融破たんの連鎖（システミック・リスク）は世界の金融システムの連鎖的混乱を招き、さらには各国やEU全体の金融監督制度の全面的な見直しのトリガーとなった点である。 　翻って考えると、世界的システミック・リスク問題に関し、わが国の金融監督制度は果たしてまったくの影響なしに過ごせるであろうかという点である。 １．4つのフランスの銀行、金融サービスおよび保険業界の規制・監督機関の廃止 (1)与信機関・投資サービス会社委員会( Comit...

  本ブログでもしばしば紹介してきたとおり、わが国も含め先進国のプライバシーや個人情報保護面の監視体制は制度的には整ってきているといえよう。 　しかし一方で、ITCの分野はさらにその先を行っている。すなわち、2003年頃から 欧米主要国でも最も機微情報を扱う金融機関でのアウトソーシングは小切手処理やコールセンター業務から始まり、さらに国外へのアウトソーシングがごく一般的となっている。 (筆者注1) 　この問題は筆者が現在進めている「クラウド・コンピューテイングの法的検討課題」と極めて緊密な関係がある問題であり、その関連で今回の欧州委員会の決定を知った。 (筆者注2) 　EUやEEAを除き従来各国の法律や裁判制度等の下でのアウトソーシングの運用を前提としてきた監視体制のあり方の抜本的な見直しが必要になる大きな問題であり、急遽まとめることとした。 　内容は本文で述べるとおりであるが、2月5日に採択、2010年5月15日施行する欧州委員会(以下「委員会」という)の標準契約条項はデータ・コントローラー(データ管理責任者)にとって契約上の採用遵守を強制するものではない。しかし、同委員会はEUのデータ管理者がEU/EEA以外の第三国のデータ・プロセッサー（データ処理責任者）に個人情報を移送する契約において本標準契約条項を採用することの優位性は、一方では取扱企業に保護規準の遵守義務を負わせることであり、他方ではEU加盟国の保護監督機関に対し、これらの移送が十分適切な保護にあたることを認めさせるという利点がある点を指摘する。 　また、今回の委員会決定は今後、筆者がまさに問題視しているアウトソーシングやデータの二次使用問題を具体的に解決する具体的なメルクマールとなるともいえる。 　わが国の中ではメディアも含めこの問題の重要性に気づいていないのか、ウェブ上で紹介レポートは 1件  ( 筆者注3 )のみである。 　なお、本原稿をまとめる作業中の3月7日時点で気がついたのであるが、委員会の公式サイトでの説明不足と思われる点も見つけた。あわせて記しておく。 １．今回委員会が採択したEU企業のデータ管理責任者のEU/EEA以外の第三国の情報処理者への個人情報の移送に関する改正標準契約条項 　今回の改正作業に当り産業界を代表して委員会で検討を交渉した「ハントン・ウイリアムズ・ロ...

  ２．欧州委員会サイトの更新作業の遅れや説明不足 (1) 欧州委員会（市民の自由、司法および域内問題委員会(Committee on Civil Liberties ,Justice and Home Affaires European Parliament)のEU/EEA以外の第三国への個人情報の移送に関するモデル契約(Model Contracts for the transfer of personal data to third countries ) 解説サイト の更新の遅れ 　3月初めには改訂されたが、2月末の時点では今回の決定の原文検索のキーとなる情報が欧州委員会のサイトどこにもなかった。当然のことながらリリースもEUの官報にあたるOffice Journalの番号にはまだ言及していない。筆者も一番困ったと思ったのであるが、EUの各法律事務所やローファームも同様の問題指摘を行っている。 (2)標準契約条項に関する委員会決定についての説明不足 　今回の契約条項のもととなるモデル契約条項は2002/16/ECである。前述(および 筆者注3 )のとおり、委員会決定は2種類ある。 　このことは英国の大手ローファームの専門家でさえ理解されていない。例えば、Pinsent Masons LLPの解説サイト“OUT-LAW News”の2月18日付けの 記事 を見て気がついた。この2種類が区別されておらず、今回のモデル契約条項が委員会決定「 2001/497/EC  (controller to controller) に関するもの」の改正版であるように指摘している。重ねて言うが、今回のモデル条項は委員会決定 「 2002/16/EC  (controller to processors) に関するもの」の改正版である。 　このような誤解が生じる最大の原因は、欧州委員会の解説サイトの説明不足であろう。 ただし、3月初めに改訂された新しい解説サイトをよく読むと「第三国におけるデータ処理者への個人情報の移送に係る標準契約条項http://ec.europa.eu/justice_home/fsj/privacy/docs/international_transfers_faq/international_transfers_faq.pdf（...

  ２．「レギュレーションZ」の改正段階別策定状況 　各段階別に改正内容と施行時期についてまとめておく。 (筆者注5) 　なお、FRBは2010年2月22日から施行する新レギュレーションにつきクレジットカードの消費者向けに基づき具体例で解説するサイト 「 What you need to know ：New Credit Card Rules」 を開設した。中央銀行が消費者向けにここまで具体的かつ平易な解説を行うことは欧米でも珍しいような気がする一方で消費者保護の難しさを感じた。少なくとも参考になるサイトといえよう。 (1)第一段階 　2009年7月15日に 暫定最終規則(interim final rule) を公布、2009年8月20日施行した。FRBのリリースによると三段階でレギュレーションZの改正を行うことも明記している。今回の改正主目的は、カード発行者に対しカード保有者に対しクレジットカード口座の金利引き上げや口座の利用条件について重要な変更通知の早期化を求め、あわせて実際条件更実施前の消費者の拒否権を明記したものである。具体的な規定内容は次のとおりである。 ①発行者は、クレジットカード口座の金利(APR)の引上げおよび利用条件の重要な変更を行うときは、書面によりその実施の45日前に消費者に通知しなければならない。 ②発行者は、①の通知においてクレジットカード口座の金利(APR)の引上げおよび利用条件の重要な変更に基づく消費者のカード口座の取消権について通知しなければならない。 　消費者が取消を行うときは、一般的に発行者は金利引上げや条件変更を行うことが禁止される。 ③発行者は、一般的に支払期限の21日前までにクレジットカードや一定額限度内での返済型クレジット(open-end consumer credit accounts)  (筆者注6) について周期的な通知を郵送または交付しなければならない。 (2)第二段階 　2010年1月 最終規則 が公布、2010年2月22日施行した。具体的な規定内容は次のとおりである。 ①一般的にカード利用口座開設の初年度の予期せぬカード金利の引上げや既存カード残高に応じた予期せぬ金利の引上げから消費者を保護する。 ②21歳以下の若者に対するカード口座開設は、本人に必要な支払能力があるとき、または支払につ...

  　米国の金融監督金機関かつ中央銀行である連邦準備制度理事会(FRB)は、3月3日に法外な遅延利息や罰則的手数料からのユーザー保護ならびに適用金利の再考を求める「レギュレーションZ（「貸付真実法(Truth lending Act)」の適用規則）」の改正案を公開し、ひろく意見を 公募 した。 　今回の「レギュレーションZ」の改正は2009年5月22日に成立し、2010年2月22日に大部分が施行された(残りは8月22日施行)  「2009年クレジットカード発行者の説明責任、責務および開示法（Credit Card Accountability Responsibility and Disclosure Act of 2009）H.R.627(以下、“Credit Card Act”という)」  (筆者注1) を受けた2009年7月、2010年1月に続く同規則改正の第三段階に当たるものである。 　筆者は、米国のクレジットカード利用方法の詳細や貸手の規制強化に関する2008年12月の4つのレギュレーション改正の動向について、2009年5月5日付けの本ブログ 「米国FRB,OTS等によるクレジットカード規制の厳格化等に係るレギュレーション等の改正」 で言及した。 　しかし、同時点のレギュレーションZは“Credit Card Act”法が成立する以前の状況下で策定されたものであり（施行時期は4規則とも2010年7月1日）、同法に基づき新たなカード発行者の義務が多数追加された。 　筆者は、同ブログ執筆時点では同法(H.R.627)が2009年末以降具体化している米国の金融監督制度改革（消費者金融保護庁（CFPA）の新設等）の一環であることまでは理解していなかった。そのため法律の具体的内容についてはほとんど言及しておらず、またわが国の同法に関する金融機関系のシンクタンクのレポートを読んでも今一ポイント・問題点が理解できなかった  (筆者注2) （連邦議会調査局の「法案summary」は詳細すぎて使えない）。 　これは米国のシンクタンクのレポートでも同様であり、筆者なりに調べた結果、ホワイトハウスの解説が最も具体的で法案に忠実であったことから、その概要および今回FRBが公開した規則改正案を含む3つの「レギュレーションZ」の改正内容をまとめて...