スキップしてメイン コンテンツに移動

欧州委員会がクラウド・コンピューティングの信頼性強化と安全・公平な契約条件等の策定専門家グループ募集

 


 2012年10月1日の本ブログは、欧州委員会が2012年9月27日にモデル契約約款および新標準策定最終作業を2013年末までに行うことを公表した旨説明した。
   
 しかし、その時点では筆者の手元に限られた情報しかなく、また筆者自身十分な問題意識もないままに経過してきた。
 ところで、去る6月21日、欧州委員会は司法委員(Viviane Reding)を中心とした委員会事務局スタッフによる検討結果をふまえ、8月2日を応募期限とするクラウド・コンピューティング契約等とりまとめ案策定に関する専門家グループ(Expert Group:個人および団体)の組成に向けた公募を開始した。
   
 今回の公表資料はこれまでの経緯、資料等も含め網羅されていることもあり、またわが国では公開された解説資料もごく限られることから、改めて本ブログで取り上げた。
 なお、今回の検討問題の背景にはEUの基本戦略「Europe 2020」
(注1)、その下で2010年5月に立ち上げた7つの重要課題(flagships)の1つ目が「Digital Agenda for Europe」である。ここには7つ重点優先課題にかかる101の具体的行動をまとめた。さらに、2012年12月18日、更なるEUの成長と雇用の拡大を作り出すべく刺激策として「2013-2014年においてしなければならない優先アジェンダ(Digital"to-do"List:new digital priorities for 2013-2014)」をあらたに7領域を取りまとめ公表した。(注2)
 この6番目の領域が「公的購買力を介したクラウド・コンピューティングの加速」である。
(注3)

 クラウド・コンピューティング契約問題の重要性や専門性等から見て遅きに失した感がないでもないが、いずれにせよわが国でも正面からの取組みは避けては通れない問題である。


1.欧州委員会の専門家への参加募集通知
 
 欧州委員会は6月21日、クラウド・コンピューティング(以下「クラウド」という)の信頼性向上と欧州経済の生産性アップ等のためクラウド・サービスにかかる消費者個人や法人の消極的姿勢を解決すべく2012年9月27日にモデル契約約款および新標準策定を2013年末までに行う趣旨の「(EUにおけるクラウドコンピューテイングの発生にかかる相互対話(Communication on ”Unleashing the potential of cloud computing in Europe)」と題したリリース文Q&Aを受けて、専門家グループの組成手続きに入る旨リリースした。
   
 欧州委員会のリリース文に関する参考情報は次の内容である。
(1)参加条件の詳細は公募書面のとおり。
*能力・専門性
①個人的な専門的資質を有する者
②クラウドのプロバイダーや顧客といった公益を代表者する個人
③クラウド・サービス提供業者、顧客および法律事務所

*構成:専門家のカテゴリーと定員数
①クラウド・コンピューティングサービス提供事業者の代表(8名)
②クラウ・コンピューティングの利用者顧客の代表(8名)
③法律専門家・学識経験者(合計で4名)
④個人情報保護専門家(10名)

*専門家グループの構成のバランス
 委員会は次の点を考慮し最終構成員を決定する。
①地域的バランス
②EU域内の法システム
③ジェンダー

*申込書類など
①申込書(A motivation letter);2ページ以内
別添様式(Annex)の完全記入別添様式Ⅲに基づく履歴書(CV)

(2)専門家グループ組成後の欧州委員会の通知文書雛形

(3)欧州委員会の契約法問題全般に関する専門サイト

(4)欧州委員会のクラウド問題にかかる専門サイト

2.欧州委員会の検討状況と具体的内容

 2012年9月27日に公表した主要資料「COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS:Unleashing the Potential of Cloud Computing in Europe(COM(2012) 529 final)」の内容をチェックしてみた。全文16頁であるが、その大部分はクラウドに関する基礎知識といえるものである。
 今回問題となるクラウドの信頼性強化と安全・公平な契約条件等に関する部分として該当するのは10頁以下の部分3.2および3.4であろう。その部分を仮訳する。

3.2
委員会のクラウド・コンピューテイング環境整備にかかる主な具体的行動
 欧州委員会はこれらの最終目標にいたるため、クラウドに関する次の3つ具体的行動を行うこととした。
多様かつ複雑な各種クラウド標準の大胆な整理(Cutting through the Jungle of Standards))
(2)安全かつ公平な契約条件(Safe and Fair Contract Terms and Conditions)策定
(3)公的部門から改革や成長を引き出すEU全体にわたるクラウドのパートナーシップの確立(stablishing a European Cloud Partnership to drive innovation and growth from the public sector)

3.4
  安全かつ公平な契約条件の策定( Key Action 2: Safe and Fair Contract Terms and Conditions)
 伝統的なITアウトソーシング協定の内容は、データ保存の処理施設とサービスに関連するもので詳細にあらかじめ定義しかつ通常交渉が行われてきた。 一方、クラウド・コンピューティング契約は、本質的にはユーザーのニーズに応じたスケーラブルでかつフレキシブルなIT能力に無限に近づく手段を持つというフレームワークを作成する。 しかしながら、現在の伝統的なアウトソーシング契約と比較したとき、クラウド・コンピューティングのより大きい柔軟性のメリットは、顧客にとってクラウド・プロバイダーと間の不十分な特定性やバランスのとれた契約という上でしばしば確実性を減少させることにより相殺される。

 クラウド・サービス・プロバイダーのための法的枠組みの複雑さと不確実性は、しばしば大規模な注意書きや複雑な契約内容やサービスレベル契約を使用することを意味する。 申し出に対して受けるか否か、それ以上の交渉は受けないというという標準契約(take-it-or-leave-it" standard contracts )の使用は、プロバイダーのためのコスト節減であるかもしれないが、最終消費者を含むユーザにとってしばしば望ましくない。
 また、そのような契約は、プロバイダーにのみ好都合な準拠法の選択を選べたり、またはデータ回復を抑制するかもしれない。さらに大きい会社といえども、交渉権がほとんどなく、さらにその契約はデータ保全、秘密性またはサービスの継続性に関し、しばしば責任規定を明記しない場合がある。

 プロのユーザーの契約の場合を想定したとき、プロのユーザーにとってサービスレベル契約(SLA)(注4)のクラウド・コンピューティングのモデル利用条件の開発は、交渉・協議プロセスの間で起こる最も重要名な事項のひとつであ。 SLAは、クラウド・プロバイダーと専門家の利用者との関係を決定して、その結果、本質的にはユーザがサービスを提供するクラウド・プロバイダーの提供能力を判断するうえで信用の基礎を提供する。

 消費者と小企業に関しては、デジタル信用を築き上げるのを目的とする行動に関する欧州委員会の「欧州共通販売法に係る欧州議会及び理事会規則(案)(Regulation on a Common European Sale Law)」(注5)提案に関して統一した一連のルールを契約当事者に提供することで、加盟国の法律から分岐したの語幹{ごかん}解釈(stemming)障害問題に向けた寄与が可能になる。同提案は、クラウドコンピューティングのいくつかの局面をカバーするデジタル・コンテンツの供給に適合させられるた規則内容を含む。

 欧州共通販売法を超えるこれらの問題に対する特別な補足的作業がクラウドコンピューティングサービスにおいて、同様の任意の道具アプローチをもって関連する他の契約上の質問をカバーできるのを確実にすることが必要である。 この補足的な仕事は契約の終了、データ保存、データの公開とおよび完全性、データ位置と転送、調節・間接の責任、データの所有権、プロバイダーによるサービスの変化および下請け等をカバーすべきである。

 既存のEU法律はクラウド・サービスのユーザを保護するが、消費者はしばしば民事や商業適用法の件における準拠法と裁判管轄を含む明らかないつをもって契約上問題が生じるかなど関連する権利に気づかない。
 委員会のモデル契約条件の開発は、これらの問題を克服するのにおいて望ましいとして意見公募のもとで特定された。 産業界のユーザーや供給者は自己規制契約または規格化を求めた。 消費者と小企業との契約においては、任意の契約法の道具に基づくEUモデル契約条件が、透明で公正なクラウド・サービス契約を作成するのに必要であろう。
 
 モデル契約条件の点で最も良い実務慣行を特定して、見込み客の信頼を増強することによりクラウドコンピューティングが広めるとことの加速につながる。
 
 また、契約条件への適切な行動は、データ保護の重要な部門で支援する。前述したとおり、個人情報保護に関する委員会の規則案は、個人のためにEUとEEAの外に個人情報を移送するとき、とりわけ、クラウドに優しい拘束力がある法人の規則の採用のための必要となる条件の国際的なデータ転送を支配する標準の契約条項を通して保護の連続を確実にすることによって、高いレベルのプライバシー保護を保証するであろう。 これらの変化は、EUのデータ保護規則がクラウド・コンピューティングの地理的、技術的な現実性を満たすことを確実にするであろう。本委員会は2013年末までに次の項目の検討を終えるであろう。

(1)この分野で展開しているEU法規範体系(EU acquis)を考慮に入れて、クラウド・プロバイダーとプロのクラウド・ユーザ間の契約のためのクラウド・コンピューティング・サービスレベル契約のための利害関係者モデル契約条件を開発する。

(2)欧州共通販売法案の意見交換等に合致したかたちで、消費者や小企業に対し、欧州共通販売法案に落とし込めるようモデル契約条件を提案する。この主要な契約条件を標準化目的は「デジタル・コンテンツ」の供給に関連づけられた局面で最も良い実務慣行を提供することである。

(3)この目的に沿い、2013年末までに消費者と小企業のための、安全で公正な契約条件を特定するとともに、欧州共通販売法を超えるクラウド関連問題に関し、同様のオプショナルな道具にもとづき産業界を含専門家グループを組成する任務を課す。

(4)クラウド・コンピューティングのグローバルな成長に関し、次の事項につきヨーロッパへの積極参加を行う。
①必要に応じ、第三国への個人情報の移送とそのクラウドサービスの適用に関し標準の契約条項を再検討する、②そして、加盟国の国家のデータ保護当局に対しクラウド・プロバイダーのために「Binding Corporate Rules」(注6)を承認するよう要求する。

(5)クラウド・コンピューティング・プロバイダーが法的確実性と一貫性を確実にすることを保証するため、EU指令第29条専門委員会が認める情報保護規則の一定の適用をサポートするように行動規範とEU法の間の統一性を保証するため、行動規範に同意するよう産業界に働きかける。

*************************************************************************************************************
(注1) ”Europe 2020”について欧州委員会バロッソー委員長のコメントを記しておく。
*「Europe 2020」は、1998年にEUがまとめた今後の10年間におけるEUの成長戦略である。
変化する世界では、我々は、EUが「賢明」、「持続可能」でかつ「包括的」な経済になって欲しいと期待する。 互いにプライオリティを補強するこれらの3つの柱は、EUと加盟国が高いレベルの雇用、生産性および社会的一体性を提供するのを支援すべきである。

 具体的にいうと、EUは、雇用、革新、教育、社会的一体性、および気候/エネルギーに関する5つの野心的目的に2020年までに達するように設定した。 各加盟国はそれぞれのこれらの領域にそれ自身の各国家の目標を採用した。 EUと各国レベルにおいて具体的な活動を固めるため戦略を支持する。

(注2) 国会図書館海外立法情報調査室 植月献二「欧州デジタルアジェンダ:2013~2014 年の重点分野」(外国の立法 (2013.2))から一部抜粋する。

「欧州委員会は、2010 年に策定した欧州デジタルアジェンダの実施状況の調査結果に基づき、2012 年12 月18 日、2014 年末までにデジタル経済を更に活性化させるために7 つの重点分野を特定する政策文書を採択した。
「欧州デジタルアジェンダ」(COM(2010)245 final)は、欧州連合(EU)の成長戦略「欧州2020」(2010年3月策定)に掲げた7つの主要事業のうちの1つである。同事業は、2020年までにインターネットを基盤とする経済活動(デジタル経済)を繁栄させ、デジタル革命の恩恵を全ての人に広めることを目的とするもので、①デジタル分野の市場統合、②標準規格及び相互運用性の改善、③インターネットの信頼性及び安全性の向上、④インターネットアクセス確保と高速化、⑤最新技術の研究開発、⑥デジタルデバイドの解消、⑦多目的な技術開発の7つの目標を掲げている。」

(注3)2012年11月19日付け 駐日欧州連合代表部「デジタルアジェンダ: 官民のトップで構成されるEUのクラウドコンピューティングに関する委員会が始動」を参照されたい。欧州クラウドコンピューティング・パートナーシップ(ECP)の運営委員会が、本日ブリュッセルにおいて初会合し、欧州クラウドコンピューティング戦略に応じた、欧州連合(EU)のデジタル単一市場を構築するための、官民合同の作業を起動させた旨記されている。

(注4) SLAの定義として次の例がある。(2004年3月 独立行政法人情報処理推進機構「情報システムに係る政府調達へのSLA導入ガイドライン」
「ITサービスの提供者と委託者との間で、ITサービスの契約を締結する際に、提供するサービスの範囲・内容及び前提となる諸事項を踏まえた上で、サービスの品質に対する要求水準を規定するとともに、規定した内容が適正に実現されるための運営ルールを両者の合意として明文化したもの。 」

(注5) 2012年10月1日筆者ブログ「欧州委員会はクラウド・コンピューテイ ング・サービスのモデル契約約款と新標準策定を2013年末までに予定」の(注1)で、欧州委員会の「欧州共通販売法に係る欧州議会及び理事会規則(案) (Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a Comm on European Sales Law:CESL)」全文訳のURL等を参考として記している。

(注6) 2003 年初めに、EU指令第29 条特別専門調査委員会は、原則として「国際移転のための拘束力のある企業規則(binding corporate rules for international transfers)」の使用を承認する書面を発行した。これにより、会社が国際的に移転された情報が適切に保護されることを確保する企業グループ内の原則を準備することが予想される。ただし、これらの原則により、個人が関連するグループ会社に対して行使できる法的権利を与えられることが条件となる。言い換えれば、そのような原則には法的実効力がなくてはならない。(JETRO「EUおよび英国における情報保護法の重要性」ら一部抜粋(一部筆者の責任で補筆・リンクを張った)。(本レポートは、2003 年10 月21 日にジェトロ・ロンドンが主催した法務・労務セミナーにおいて、クリフォード・チャンス法律事務所が、情報保護法について講演した要旨を取りまとめたものである)

**********************************************************************************************************:

Copyright © 2006-2013 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...