スキップしてメイン コンテンツに移動

EU保護指令第29条専門家会議が欧州EU保護指令第29条専門家会議が欧州司法裁判所判決を受け検索エンジンと「忘れられる権利」の実装対応の検討

  

Last Updated :August 9 ,2018

  欧州司法裁判所判決やEU情報保護規則草案が定める「忘れられる権利」に対する英国議会上院EU問題特別委員会・F小委員会の第二次報告については、別途本ブログで言及すべく作業中である。 

 一方、EU全加盟国28か国の個人情報保護機関等が構成メンバーである「EU保護指令第29条専門家会議」(以下、「WP29」という)は、主要検索エンジン企業3社(Google、 Microsoft(bing)、Yahoo!)との間で判決内容を統一的に実装・対応すべくガイドライン策定の材料の整理等のための会合を重ねている。 

 今回のブログは、この問題につきWP29のプレス・リリース(7月17日、同25日)および同会議の議長であるフランスCNIL(「情報処理および自由に関する全国委員会:Commission nationale de l'infromatique et des libertes)サイトにもとづき公表している具体的検討内容を紹介するものである。 

 なお、国立国会図書館カレントアウェアネス・ポータル2014年7月28日「EUのデータ保護指令第29条作業部会(筆者注1)が、Google、Microsoft、Yahoo!と会合:“忘れられる権利”をめぐるEUの裁定に関して」が同委員会の7月25日付けリリース等の概要およびURL、解説記事のURL等を紹介している。ただし、残念ながらリンクしているのはURLのみで内容について具体的な解説的訳文はない。 

1.第29条専門家会議(WP29)のプレス・リリースの内容

(1)7月17日付けWP29リリース

 わが国では詳しく論じられていない内容でかつ実務上の重要な論点でもあり、ここで仮訳する。 

 7月15日、全EU加盟28カ国の情報保護当局で構成されるWP29は、2014年5月13日に欧州司法裁判所(CJEU)において下された判決(Case C‑131/12)すなわちインターネットにおけるデータ主体の「忘れられる権利」に関して意見を交換する目的で、ブリュッセルに集合した。その目的は、データ主体の検索作業上(indexing)の削除要求に対し、エンジンが消極的対応を行ったときの監督機関に対する苦情への論理的ガイダンスを策定することにある。 

 この欧州司法裁判所の判断のヨーロッパ市民への統一的実現をすべく見方の中で各国のデータ保護当局は彼らの国籍、居住地および被る被害にかかわらず、個人に検索エンジンに検索作業上の削除を認める異なる法的根拠を分析した。また、この忘れられる権利を実行することへのサーチエンジンの潜在的拒否と同様に忘れられるべき権利を行使のための正確な手法を徹底的に研究した。 

 この議論はとりわけ、削除権を効率的に実施するには、データ主体において欧州連合法に従うと検索エンジンは合法的に請求を拒否できる正確な理由等の全体的理解が必要である点がハイライトであった。 

 また、保護当局は考慮に入れるべき評価基準許容、ある場合には前述の情報にアクセスすることへの公益につき記述した。データ保護当局は、7月24日にそれらと議論するため主要サーチエンジンとCJEU判決を実装するための主要な原則の実務的な問題につき論議する。WP29は、2014年秋にWP29ガイドラインを策定する予定である。 

(2) 7月25日WP29リリース

 同ガイドラインは、データ保護機関が検索エンジンがリストからの削除拒否に伴う苦情をデータ主体から持ち込まれた際に、一貫した取扱いを保証することが目的であり、かつ前記判決内容に応じて検索エンジン会社が一貫しかつ統一的に実装することを確実化するものである。

  なお、今後追加的会合がこの3社以外も加わって行われる可能性が指摘されており、最終的に同ガイドラインをとりまとめる時期は2014年秋が予定されている。 

2.同会議と検索エンジン企業間で行われている質疑応答の具体的内容

 同会議の委員からは、次の質問が出されている。

①貴社は、データ主体からのURL閲覧リストからの削除要求受付時にいかなる正当理由を求めるか。また、貴社はデータ主体の要求を具体化するために更なる動機を求めるか。

②貴社は、データ主体の現在位置、国籍および居住地情報等一定の請求につきふるいにかけるか。

③貴社は、検索結果で得られた次のものは削除するか。

a.EU/EEA のドメインのみ

b.EU/EEAからアクセス可能またはEU/EEA地域の居住者にかかる全ドメイン・ページ

c.世界的規模での全ドメイン

④貴社において、検索で得られる情報のアクセスにおいて貴社の経済利益および(または)公益目的とデータ主体の忘れられる権利とのバランスにおいて削除権を行使する基準はいかなるものか。

⑤貴社は、特定のURLに付き削除を拒否する場合、データ主体に提供する説明や理由はいかなる内容か。

⑥貴社はウェブサイト発行元に対し削除した旨の通知を行うか、また行う場合、どのような法的根拠を発行元に通知するか。 

◎2014年7月31日までに書面により回答すべきとした追加的な質問事項

⑦貴社は、より容易にアクセス可なウェブページにつき削除手順の関する適切な情報を提供するか?。

⑧データ主体の削除要求は、貴社が提供する電子的書式のみに限定されるか、またはその他の手段・方法の利用が可能か?。

⑨データ主体の削除請求は、彼自身の使用言語で行いうるか?。

⑩もし貴社が現在位置情報、国籍または居住地に基づき一定の削除要求をふるいにかける場合、データ主体はいかなる情報を自身の国籍や(または)居住地を証明するために開示なければならないか?。

⑪削除要求者に対し本人たる固有性証拠または一定の認証形式を求めるか、またもし求める場合はいかなるものを求めるか。その理由はいかなるものか?。削除要求に応じた手続目的に関し個人情報保護を実施するための安全装置はどのようなものか?。

⑫貴社は新たなレポートにリンクするすべての検索結果の削除といった概括的な削除要求を受け入れるか?。

⑬貴社が削除要求を受け入れるとする場合、貴社は実際いかなる情報を削除するか。削除要求に反対するため、除去要求への対応としてハイパーリンク (筆者注2)を永久に削除したことがあるか?。

⑭貴社はデータ主体の氏名のみまたはその他の検索用語との組み合わせ(例:Costeja and La Vangaurdia)に基づき削除するか?。

⑮データ主体の氏名がもはや含まれないページ(例示:匿名化原則にそったハイパーリンク)へのハイパーリンクに関する削除要求をどのように扱うか。貴社は、削除要求後、直ちに検索用インデックスに登録するためにファイルまたはウェブサイトに再度アクセス(recrawl)するか?。

⑯データ主体がウェブ上投稿した情報の作者である場合は、削除要求を拒否するか。仮にそうであるなら、当該要求を拒否する根拠は何か?。

⑰削除要求の受理または拒否の関する明確な自動化された手順を有しているか?。

⑱検索結果で示されていない削除の適用合意の材料へのリンクを確たるものにするために使用する技術的解決策を有しているか?

⑲削除要求に関係するため考慮しなければならないし貴社のサービスとはいいかなるものか?。

⑳一定の結果がEU規則に従い削除する点につき検索結果ページを介してユーザーに通知するか。通知を行う場合、その法的根拠はいかなるものか。厳格な意味でのポリシーはいかなるものか。特にその削除要求がデータ主体からの削除要求を欠く場合でも通知を表示するか。貴社は実際の事例で確認または排除しうるか。もしそうであるなら、適用可能な基準を詳しく述べることが可能か?。

(21)貴社は別の検索エンジンプロバイダーと検索結果の削除の共有に関し検討を行ったことがあるか?。

(22)削除要求に対応するための処理平均時間はどのくらいか。

(23)現時点での削除受け入れ/部分的な受け入れ/拒否のパーセンテージ統計はいかなるものか。全体でいかなる件数を回答しているか。1日あたりの回答件数は何件か?。

(24)今後、貴社は全削除要求や削除合意に関するデータベースを作成する予定があるか?。

(25)2014年5月付けのCJEU判決の適用にあたり直面する特別な問題はいかなるものか。特別な問題を投げかける削除要求のカテゴリーが存在するか?。

(26)WP29に対し、特別な事例において貴社との間で意見交換するための連絡窓口情報を提供いただきたい。

    *****************************************************************************

(筆者注1) 国会図書館のWP29(Article 29 Working Party)の訳語「データ保護指令第29条作業部会」については、従来から筆者は異論がある。その理由は次の点にある。情報処理および情報の自由な移送問題につき諮問的立場を有しかつ欧州委員会等EU執行機関から独立した機関である。なお、欧州委員会の立場を反映する機関ではない。その構成メンバーは、①全EU加盟国(28カ国)が指名した国内の保護・監督機関の代表、②EU機関や団体のための保護監督機関(欧州個人情報保護観察局(European Data Protection Supervisor:EDPS)の代表、欧州委員会事務局の代表である。議長、副議長の任期は2年で再任を妨げない。(欧州委員会サイトの欧州委員会・司法担当 ”Article 29 Working Party”から引用)

 なお、筆者は従来、「EU保護指令第29条専門調査委員会」という訳語を使用してきたが、今後は「第29条専門家会議」の訳語を使用することとする。 

(筆者注2) ハイパーリンク ( hyperlink ):文書内に埋め込まれた、他の文書や画像などの位置情報。ハイパーリンクを用いて複数の文書、および関連する画像などのオブジェクトを関連付けたシステムをハイパーテキストという。WWWはハイパーテキストの代表例で、Webブラウザで文書を表示し、リンクのある場所を,マウスでクリックすると、関連づけられたリンク先にジャンプするようになっている。(IT用語辞典e-Wordsから引用)  

 ************************************************************************************
Copyright © 2006-2018 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. 
You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

コメントを投稿

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...
コメントを投稿
続きを読む

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...
コメントを投稿
続きを読む

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...
コメントを投稿
続きを読む