スキップしてメイン コンテンツに移動

EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に2つの勧奨研究成果公表とフォーラムを開催

 

Last Updated: April 8 , 2019

 プライバシー-経済と実務慣行の間にゆれる基本的な人権問題-EU規制機関の取り組み。
欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency:ENISA)」
(注1)は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表した。

 さらに、ENISAは4月24日ドイツのベルリンで「サイバーセキュリティとプライバシーに関するEUフォーラム」を開催し、その中で今回の研究報告について討議される旨公表した。

 本文で述べるとおり、ENISAの2つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである。


1.ENISAの加盟国に対する具体的な取り組み課題を勧告する2つの新たな研究成果
(1)「EUにおける個人情報の収集と保持に関する研究(Study on data collection and storage in the EU)」
 ENISAの事務局長(Executive Director) (ウド・ヘルムブレヒト:Udo Helmbrecht教授) (注2)は同研究で、我々の「EUにおける個人情報の収集と保持の研究」はEUにおける個人情報の保管に関する規則制定のための汎ヨーロッパの視点を提供するものである。」と論評した。

 同研究では、オンライン・ソーシャルネットワーク・サイト、運輸部門におけるオンラインチケット予約および電気通信部門における顧客の移送データの収集と保持に関する登録問題に的を当てて具体的事例を検証した。

 これらの事例研究を通じて個人情報の収集時の「最小限度の情報開示原則(principle of minimal disclosure)」、「情報保持の最小限の保持期間原則(minimal storage period)」およびEUのプライバシーと個人情報保護に係る法的枠組みの基礎となる均等性原則(principle of proportionality ) (注3)の一部につき検証を行った。
 
 本研究は、EUにおける個人情報の収集・保持に関する規則に関する問題と加盟国の立法時における適用に係る汎EUの視点を考えるスタート点を提供するものである。

(2) 「プライバシーの値付けの研究―個人情報の値付けに関する経済モデルー」
 プライバシーは基本的人権としてEUの中で認識されているが、現在の経済面から見た現実問題は何であろうか? オンライン利用顧客は、プライバシーの代価を払っても構わないと思っているであろうか? 個人は彼らのプライバシーをそれらの情報をよりよく保護してくれるサービス・プロバイダーにさらに支払うことができると評価するであろうか? 「プライバシーに値を付けるための研究―個人情報の値付けに関する経済モデルー(Study on monetising privacy―An economic model for pricing personal information)、この世界的に見たプライバシー経済学に関する最大の研究論文は、個人化(personalisation)、プライバシー問題の相互作用とオンラインサービス・プロバイダー間の競争の間の点(dots)を結ぶ。

3.4月24日ドイツのベルリンで開催するENISA主催の「サイバーセキュリティとプライバシーに関するEUフォーラム」の概要
(1)議題
 このパネルは、各種関係者は上記の研究成果につき議論するとともに関係する利害関係者がいかにして新のプライバシーのデザイン化、オンライン環境における初期値などを創造するかにつき、新たな提案やアイデアの提供の場となりうるものである。

(2)パネラー
①ニコラス・デュボア(Nicolas Dubois)欧州委員会・司法局・個人情報保護部・政策企画官


Policy Officer , Data Protection Unit, DG Justice, European Commission

Nicolas Dubois currently works as a policy officer in the Data Protection unit at the European Commission. He joined the European Commission in 2007 as a Security officer for the Schengen and Visa IT systems. Nicolas also worked as a researcher and project manager at Orange in Paris, mainly active in IP networks architecture and security. Nicolas received engineering degrees from Suplec (FR) and from the University of Darmstadt (DE).

②ビジェイ・エラミリ(Vijay Erramilli)
スペインのテレフォニカ・リサーチ研究所のインターネット科学チーム研究員

二コラ・イェンシュ(Nicola Jentzsch)


 ベルリン・ドイツ経済研究所(DIW Berlin)共同経営者:Dr. Nicola Jentzsch is Associate at the DIW Berlin. Her main interests are industrial organization of markets for personal information (economics of identification and privacy).

エレーニ・コスタ(Eleni Kosta)
In June 2011, Eleni obtained the title of Doctor of Law with a thesis entitled (ベルギー・ルーベン大学)"Unravelling consent in European data protection legislation - a prospective study on consent in electronic communications" under the supervision of Prof. Dr. Jos Dumortier.



ロデイカ・ティルティ(Rodica Tirtea)
 ENISAスタッフ(ルーマニア)

**********************************************************************************************************

(注1) ENISA の従来の活動内容については筆者ブログ(1)同(2)等を参照されたい。
 ここでENISAの運営組織を概観しておく。「ヨーロッパの情報セキュリティ対策における協力・連携体制に関する調査研究」から一部抜粋。なお、「エグゼクティブ・ディレクター」「運営ボード」等的確な訳語とは思えないものについては筆者の責任で別途訳語を当てたほか、ENISAサイトに適宜リンクをはった。

・ENISAの体制は、事務局長(Executive Director)、運営理事会(Management Board)、ステークホルダー・グループ(Permanent Stakeholders’ Group)といった常設ポスト、機関が存在する。これらに加えて、ENISA には、数多くのアドホックなワーキング・グループが設置されている。
事務局長
 日常のENISAの運営に関する責任者である。運営理事会によって任命され、活動プログラムや決定事項を遂行するとともに、ENISA の活動の広報活動も行なう。また、ENISA と欧州議会、実業界、消費者団体の間でリエゾンも担っている。

運営理事会
 運営理事会は、欧州委員会によって指名された議長、副議長および各EU 加盟国(27カ国)からの代表(各国の情報セキュリティやネットワーク管理などの監督機関のトップ(例えば、ドイツではBSI長官ミハエル・ヘンゲ(Michael Hange)が任命される)、3名のヨーロッパ経済領域(European Economic Area:EEA3カ国)からのオブザーバー、および以下に示すステークホルダー・グループからの代表によって構成されている。

 この理事会の役割は、ENISA がその義務や役割に基づいて適切に機能しているかを確認する役割を果たしている。年間予算を策定、採択するとともに、ENISAの業務の全般的な方向性を定義し、活動プログラム(work program)を承認するというものである。

常設のステークホルダー・グループ
 事務局長が指名・選択し、ENISA の活動プログラムに係る課題や、エグゼクティブ・ディレクターのパフォーマンスについて事務局長への助言、議論などするためのフォーラムの実施が主な活動目的である。
 メンバーは情報通信業界(Information and communication technologies industry)、消費者グループ(Consumer groups)、ネットワークや情報セキュリティの関連する研究者グループ(Academic experts in network and information security)など、計30名の高度なレベルのエキスパートで構成されている。また、このグループの任期は2.5年である。

(注2) ウド・ヘルムブレヒト(Udo Helmbrecht)教授(ミューヘン連邦軍大学(Universität der Bundeswehr München:UniBwM)の名誉教授)は、2003年から2006年の間、ドイツ連邦情報セキュリティ監督・規制機関である情報セキュリティ庁(Das Bundesamt für Sicherheit in der Informationstechnik :BSI)」の長官であった。その後、2009年10月16日にENISAの事務局長(Executive Director)のポストに着いた。

(注3) EU規則草案で引用された「補完性原則(principle of subsidiarity)」や「加盟国間の均等性原則(principle of proportionality)」についてわが国で解説したものは皆無である。草案を性格に理解するうえで基本事項であり、筆者なりにここで補完しておく。なお、前記2原則については公式には2008年5月9日「EUの条約の適用に関する条約議定書統合版(Consolidated version of the Treaty on European Union - PROTOCOLS - Protocol (No 2) on the application of the principles of subsidiarity and proportionality :Official Journal 115 , 09/05/2008)」などが根拠となる。EU議会の解説サイトが歴史的な面も含め詳しく解説しているが、英国議会の解説文がわかりやすいのでそこから引用・仮訳する。

(1)補完性とは何か?
1. EU条約における文脈中では、「補完性」は行動が取られるべきである統治(EU、加盟国、地域(regional )および地方(local))のレベルに関する概念ある。リスボン条約(TEU)第5条第3項は、同概念を次のとおり法原則に作り変えた。

・欧州連合が排他的な権限の中に入らない領域で行動させるとする「補完性の原則」のもとにおいて、欧州連合は加盟国(中央、地域または地方レベルのいずれかにおいて)が提案された行動目的を唯一で十分達成できない場合で、かつその目的範囲内で欧州連合レベルによることでよりよく達成しうる限りにおいて、提案された方策の規模や効果に即した行動を取ることができる。

 それは、達すべき主題と目的に合致する最も低い統治レベルに即した行動を取るべきであるという推定に基づいている。EUに排他的な権限がある場合でも、必ず必要性原則が適用されるわけではない。

2. 本原則は、EUによるすべての種類の行動に適用されるが、立法措置のみに限定されない(しかしながら、合理的な意見聴取手順(以下のパラグラフ6参照)は、立法措置のみが適用される)

3. 本原則はリスボン条約(Treaty of Lisbon)の施行前はEU法の一部であった。同条約は本原則の意味を変更しない。

(2) 比例性の原則とは何か?
 比例性の原則は、リスボン条約第5条第4項で定義される。
比例性の原動力の下で、欧州連合の行動の内容と形式は条約目的を達成するのに必要なことを超えないことを意味する。補完原則は誰が行動を取るべきであるかに関するものである。一方、比例性はあるべきである行動の本質に関するものである。補完性・チェックは第一に行うものである。提案が応じられるなら(または排他的な権限問題(以下のパラグラフ12参照)であるなら、比例性の原則は通常の精査の一部であるとみなすことができる。実際には、2つの概念は密接に関係する。「補完性」は法的概念であるが、その評価は本質的には政策判断により行われる。

**************************************************************************************************:
Copyright © 2006-2012 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...