最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  （執筆途上） Last Updated:April 28,2019 今回は、ドイツである。 　7月20日付けのドイツのメディア 「Spiegel Online」 はドイツの連邦情報局(Bundesnachrichtendienst ：BND)や連邦憲法擁護庁(Bundesamt für Verfassungsschutz ：BfV) (注1) と米国NSA等との監視システムの共同化の実態につきメルケル首相や政府首脳の不明確な態度の背景に関し、新たな スパイ・諜報システム(XKeyscore) の存在を前提とした詳しい解析、解説を行っている。 　また、筆者はBNDやBfVやドイツの6国防機関の機能・法的根拠など解析とりわけ英国と同様に行政、議会、司法等による監査・統制システムにつき法的枠組み (注2) (注3) の解析作業を一部行った。あくまで建前の説明内容ではあるが (注4) 、わが国ではほとんど説明されていない、EU主要国の情報・諜報機関活動の法的根拠などの理解が可能となった。英国と同様に取りまとめ作業に取組んでいる。 　さらに7月24日付けの 「Spiegel Online」 記事は「ドイツ政府は24日、米国が慎重にとりはからった巨大なインターネット監視システムに着目した国連の情報保護規則の強化・改定やセーフハーバー合意の見直しへの取組みを開始：ドイツやEU委員会や主要メンバー、高官の一部は米国とEU関係国間の個人情報交換にかかる条約の見直しの検討開始を希望している」といった記事も引き続き出始めている。 　 その他、時期は以前になるが2011年5月25日付けの 「Spiegel Online」 は、ドイツ軍事防諜局（Militärischen Abschirmdienst ：MAD)は、ドイツ連邦軍内において連邦憲法擁護庁(BfV)や連邦情報局(BND)と同じ役割を担う情報機関で、BNDや BfVに続く第三番目の連邦レベルの情報機関である) (注5)  の存在意義につき、BND等との任務の境界線の不透明化問題をめぐる国防大臣 カール・エルンスト・トーマス・デメジエール（Karl Ernst Thomas de Maizière) の発言等を取り上げている。 　 　以上述べたとおり、ドイツはフランスと同様、諜報活動の国民や世界に向けた情報統治...

  　 筆者は過去において多くの機会を割いてカード犯罪とりわけ詐欺社会への警告と対応問題をサイバー犯罪の中核問題の1つとして取り上げてきた。 　7月18日、IC3は匿名性を持つプリペイド・カード(ギフトカード)のバーコード情報の偽造、商品窃盗・返金請求詐欺 (注1) 、ソーシャル・エンジニアリング (注2) および広告サイト・リンク・ソフト(Adware-Chitka ) (注3) の変種ウイルスにつき新たな 警告 を行った。 　IC3が指摘する問題の中心は、米国のギフトカードは複数の様式があり、アマゾンなど小売サイトが発行するプラスチック・ギフトカード(physical gift card)、e-mail 発行型、モバイル発行型や店頭やオンラインで購入する方式等が上げられる。この複数の利用方式がゆえに、詐欺師による複数のポイントの不正操作を可能とさせる点にある。 　今回のブログは、IC3が取り上げるこれらのギフトカード詐欺等の犯罪手口について、その概要を整理するものである。 １．ギフトカードの不正加工やその利用 (Gift Card Tampering) 〔手口１〕 ・詐欺師は店舗内にある生ギフトカードをいったん盗む。 ・次に、同カードにギフトカード番号とアクセス・コードを入力・記録する。 ・詐欺師は入力済のカードを店舗の元の場所に戻す。 ・正当な顧客は、同ギフトカードを購入する。 ・詐欺師は繰り返しすでに内容を盗み取ったギフトカード番号に基づき、残高ポイントをチェックする。 ・いったん保有者に利用可能残高につき注意喚起がなされると、詐欺師は直ちにオンラインで残高ポイントの消費を開始する。  (注4) 〔手口２〕 ・詐欺師は小売業者が発行したギフトカードのバーコード情報を不正に取得する。 ・次に、UPSジェネレーター(米国商品流通コード作成)・ソフトウェアを使ってコピー版のUPSステッカーを作成する。(このコピー版ステッカーは詐欺師のオリジナル・ギフトカードの内容と合致する) ・詐欺師はそのコピーカードを店舗の未使用カードに貼り付ける。これら情報盗取詐欺師は、アクセスコードやPINの不正操作に習熟するとともに未使用カードの封印を壊さずにギフトカードの不正加工技術を習熟してきている。 ・正規の顧客はそのギフトカードを購入し、そこでの新たなポイント残...

  Last Updated:Feburary 16.2021 4.EU加盟国における“ right to be forgotten”問題の整理 　あえて BBC  や Guardian  等メディアの解説は省略する。自国の利害を勘案しつつ、本格的に論じていると思われる英国政府の意見書や法律専門家の意見を中心に問題点を整理してみる。 (1)英国法務省「法務特別委員会意見書」や議会での検討課題の概要 　2013年1月の英国法務省リリース 「大法官および法務大臣名の英国政府の意見書(法務特別委員会が取りまとめ)(Government response to Justice Select Committee’s opinion on the European Union Data Protection framework proposals」 のうち、欧州委員会が策定したEUデータ保護規則案およびEU指令(95/46/EC)等改正案に対する意見の結論部分を仮訳する。 〔規則案に対する意見(The Committee’s opinion – Regulation)〕 ①本規則案は、第一に1995年指令(95/46/EC)の改正と過去および将来のIT技術更新への配慮、第二に 「リスボン条約(Treaty of Lisbon)」 や 「EU基本権憲章(Charter of Fundamental Rights of the European Union)」(2010/C 83/02) が規定する個人情報やプライバシーを保護するために必要な個人の権利を与えるものである。(第102段落) 　英国政府の「根拠を明示した意見具申(Government’s Call for Evidence)」に対する応答者の大部分は、特にEUの単一市場の強化に関し、今回の欧州委員会の情報保護立法案を歓迎した。英国政府は、現行EU保護指令が1995年に合意されて以降、個人情報の使用方法が変わったことならびに現行の枠組みの更新が必要であると認識している。 　1995年保護指令の制定目的を踏まえて提案された今回のEU規則案は、個人情報の処理における個人を保護することを意図するものである。個人データの保護は「欧州人権条約(ECHR)」  (筆者注15) 第8条(欧州連合基...

  3. 「データ主体による削除請求権」に関するENISAの技術面からの問題指摘報告書 　筆者は2012年3月26日のブログ「 プライバシー－経済と実務慣行の間にゆれる基本的な人権問題－EU規制機関の取り組み」 の前書きにおいて「欧州ネットワーク 情報セキュリティ機関(European Network and Information Security Agency：ENISA)」は、2つの新たな研究成果すなわち、(1)EU域内におけるプライバシーの経済効果および(2)個人情報の収集と保持にかかるオンライン実務に関するケース・スタディ報告書となる推奨的性格を持つレポートを発表したこと。(中略)ENISAの２つの研究報告はあくまで欧州委員会が2012年1月25日に提案した規則草案について、ある意味でフィージビリティ・スタディとなりうる内容を持つものであり、今回のブログはその意義とこれらをめぐるENISAの動向につき最新情報を提供するものである」と解説した。 　その意味で、今回のENISA報告書も関係する2つのレポートの内容もIT技術の急速な進展の中で揺れ動く人権擁護の法規制の今後を見通すうえで極めて重要な課題と認識すべきと考え、ここで併せて要旨のみ紹介する。 (1)ENISA報告書「忘れられる権利―期待と実務(The right to be forgotten - between expectations and practice )」の要旨 　忘れられるべき権利(データ主体の削除要求権)は、2012年1月に欧州委員会によって発表された総合個人情報保護規制案に含まれている。同規則は、施行を待つべく欧州議会や欧州連合理事会(司法部会)で 審議 ・採択手続途上にある 。 (筆者注12) 　(報告書全文の前書きおよびリリース文要旨の 仮訳 )なお、ここでは「忘れられるべき権利」という訳語をあえて使う。 ・忘れられるべき(消去またはまさしく忘却させる)権利の異なる法律面については異なった文脈で討論されているが、本報告書はこの範囲を超えている。 この報告において、ENISAは、忘れられるべき権利の他の一面の言及することを目指す。 すなわちENISAは情報システムでその権利を実施できるか、またはそのことを支持するための技術手段に焦点を合わせた。本報告で明らかなとおり、この実...

  Last Updated:Feburary 16,2021 　 　筆者の手元に米国のローファーム・サイト (Inside Privacy) や英国のローファーム・サイト (Out-Law) から興味深いブログが複数届いた。  (筆者注1) 6月25日、 欧州司法裁判所(Court of Justice of the European Union：CJEU) のNiilo Jääskinen法務官(Advocate General：AG)が、スペイン裁判所から出されていたスペイン住民のGoogle(検索エンジン・プロバイダー)の検索削除権に関する一連の照会に対し 先決裁定意見書(opinion)   (筆者注2) を提出したというものである。 　CJEUにおけるこの種の意見書は初めてであり、その法的意義もさることながら、特に、(1)「データ主体による削除請求権(right to be forgotten)」  (筆者注3) 問題は2012年1月25日に公表された欧州委員会の「電子化社会の進展に対応した個人情報処理とこれら情報の自由な移動に関する規則(最終案)( Proposal for a　Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (“General Data Protection Regulation”(以下、「データ保護一般規則(案)」という)」との関係、また(2)その実現に向けて検討すべき技術面の課題や限界に関するENISA(European Network and Information Security Agency)の3つの勧奨事項報告書に関する問題を正確に取り上げるべき時期にあると思う。 　なお、筆者は2012年3月26日ブログ 「EUのENISAがEU情報保護指令に代替する規則草案等支持を前提に２つの勧奨研究成果公表とフォーラムを開催」 において欧州委員会の保護一般規則(案)の立法化問題とENISAの勧奨報告...