最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  ドイツ連邦情報セキュリティ庁(BSI) の概観写真 Last Updated:April 2,2021  　 11月20日 (金)夜10時頃から厚生労働省のHPへのアクセスが不能となるいわゆる「DDoS攻撃」を受け、国際的ハッカー集団アノニマスが声明を出したというニュースがまことしやかに伝えられている。本ブログ原稿を書いている11月21日(土)午前9時過ぎになってもアクセス不能は解消されていない。同省は対外接続を遮断したのである。 　今回のDDoS攻撃はあきらかに「APT攻撃」である。ATP攻撃とは簡単にいうと「特定の相手に狙いを定め、その相手に適合した方法・手段を適宜用いて侵入・潜伏し、数か月から数年にわたって継続するサイバー攻撃のこと」とされている。もし、このような攻撃が仮にわが国のさらに重要な国家機関、国防機関、基幹産業等への情報インフラ・システムに向けられたとしたら、テロどこではないリスクが発生することは言うまでもない。  　ところで、筆者の手元にこの分野ではわが国以上に感度の高いと思われるドイツの 「連邦情報セキュリティ庁(Bundesamt für Sicherheit in der Informationstechnik：BSI)」 が11月19日に「2015年情報セキュリティ白書(BSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland 2015)」を公表した旨の ニュース が届いた。  　同ブログは、具体的な内容には欠けるものの、国家の基幹インフラのリスク対策問題に疎いとされるわが国のIT関係者やシステム運営責任者等への、今取り組むべき重要課題に関する警告の意味で 仮訳 する。  　○ドイツ連邦情報セキュリティ庁（ Bundesamt für Sicherheit in der Informationstechnik：BSI）  (筆者注1) は 、「ドイツ連邦2015年版　ITセキュリティの現状に関する報告書(...

  　 筆者の手元にコロンビア大学ロースクールのブログ 「ラザム・ワトキンズ法律事務所は、連邦証券取引委員会(SEC)の最終的なクラウドファンディング規則の採択結果につき検討」 が届いた。 　すでに、筆者はSECの10月30日の リリース文 および「 最終規則(Final Crowdfunding Rules)」 等は読んでいたが、本ブログで取り上げるタイミングを考えていた。  (注1)  　そのような中で、コロンビア・ロースクールのほかハーバード・ロースクールの「企業統治と金融規制に関するフォーラム(Harvard Law School Forum on Corporate Governance and Financial Regulation)」サイトのレポート( Andrew J. Foley, Paul, Weiss, Rifkind, Wharton & Garrison LLP  、  ”SEC Adopts Final Rules for Crowdfunding” を読んで、消費者保護等の観点からわが国でもその内容を正確に理解すべくと考え、本ブログを改めて書き始めた。   　特に、本文で述べる「JOB Act立法」や「クラウドファンディング規則」の立法措置の背景には米国の金融政策があることは言うまでもない。証券取引法の例外規定等もあり、十分精査されるべき内容を含む。  　SECの最終規則の内容はわが国でも、関係調査機関等が取り上げ解説を加えるであろうが、先行したかたちでコロンビア・ロースクールのレポートを中心にすえて、取り上げるものである。  (注2) わが国の関係者により一層内容が深化されることを期待する。  　なお、コロンビア・ロースクールのブログ原本は、全11頁と大部である。筆者は別途の業務をかかえているので、本テーマは分割かつ順次取り上げることとする。  １．SEC「クラウドファンディング規則...

  　11月13日のテロ事件は内外の多くのメデイアが取り上げ、人権問題は埒外に飛ばされたように思える。この1年だけを見てもEUが抱える問題は、ギリシャの経済財政危機問題、トルコのEU加盟問題、移民・難民問題等、多くの課題をかける中で今回のテロ事件が起きたといえる。  　このEUテロ対策については、EUの行政機関である欧州委員会、欧州議会等でこの1年間だけを見ても国際協調の中で、多くの決定等がなされているはずであり、筆者も日頃ウォッチしているEU関連サイトでもそのように受け止めていた。  (筆者注1)   　しかし、11月13日以降のEUのリーダー役である欧州連合理事会を中心とする動きを見ていると、必ずしも本気で取り組もうとしているのか、各国の利害が錯綜し、国連やNATOさらにはインターポールや ユーロポール(Europol：欧州刑事警察機構) 等国際的な法執行機関との連携がすすんでいるのかといった点に関する情報を模索していた。 　そのような状況下で、11月20日に筆者の手元にEU議会のシンクタンクである”European Parliamentary Research Service”から簡潔な内容の レポート が届いた。 　個人的(筆者はアニータ・オラフ(Anita orav)  (筆者注2) レポートで簡単ではあるが、筆者が求めていたEUのテロ対策はこれまでたどってきた経緯を概観し、かつその原データへのリンクが網羅的に行われていた。  　今回のブログは、同レポートを仮訳するとともに、これだけのテロ対策に法執行機関等が本気で取り組んでいたのか、さらに言えばわが国もテロ対策訓練や南シナ海等での監視活動から裏返しのテロのリスクに緊急かつ本気で取り組むべき時期に入ったとする考えからまとめた。なお、時間の関係で、リンク先のEUの原典資料の解析は行っていない。APT攻撃（APT）等サイバー対策とも大きく関わる問題でもあり、改めて整理したい。  訳文の本文 「 EU域内で急進・過激な思想や活動を阻止させる」    パリにおける11月13日の悲劇的なテロ攻撃は、再び過激な考えに基づく安全保障への即時的脅威、テロ組織や外国の戦闘員によるEU市民へ...

  　 2015年6月に起こされたフェイスブックの顔認識技術の使用に関するクラス・アクションの最近の状況につき、その分野に詳しい ジェフリー・ニューバーガー弁護士(Jeffrey D.Neuburger ) (注1) 等 が10月 15日付けのブログで 解説 している。ブログという性格上、やむをえないが、やや一般の読者にはイリノイ州法の内容や法解釈上の論点、プライバシー保護面からの問題点等説明不足の感は否めない。  Jeffrey D.Neuburger 氏 　筆者は、同ブログを 仮訳 するとともに、筆者の立場でそれらの問題点を整理してみた。筆者は医療問題の専門家ではなく、あくまで先端IT技術がかかえる新たな人権問題の事例としてこの問題を取り上げた。 　特に同弁護士のブログでも紹介されているとおり、イリノイ州法に関する別のクラスアクション(オンライン写真共有サイトShutterfly事件)が起こされており、SNSが急速に展開しているわが国でも関係者が本格的に取り組むべき問題の予稿としてまとめてみた。  　筆者は、生体認証にかかる各州のデータ保護立法法案の動向を 2017年8月19日のブログ で整理している。 　なお、いつものことであるが、この法解説ブログは 原典へのリンクは十分でないし、専門用語の解説は皆無である。筆者は可能な範囲でそれらを行った。  １．ジェフリー・D・ニューバーガー弁護士の ブログ の 仮訳   ○フェイスブックの顔認識技術については、筆者が2015年6月23日の 本ブログ で投稿したとおり、「暫定集団訴訟( putative class action)」がユーザーのオンライン写真にもとづき「faceprints」を収集し、タグをつける機能（タグ候補：Tag Suggestion)  (注2) がプライバシーの侵害にあたるとし、フェイスブックに対しクラス・アクションを起こした。（例えば、 Licata対フェイスブック社（第2015CH05427 （2015年4月1日にイリノイ郡巡回裁判所に係訴され、その後、同事件はサンフランシスコ連邦地裁に移送された)（同事件は、サンフランシスコ地方裁判所、 Licata対フェイスブック社、No. 15-0...

  Last Updated October 25,2016 (6) RIPAの治外法権問題(extra-territoriality)  　RIPA 第4条は、それがRIPAによる傍受能力の通知、傍受令状と通信データ収集通知を通信サービスを英国市民に提供する非英国企業に適用することができなければならないという政府の懸念に対処しようとする。  　いまから18ヵ月前の2012年12月に発表された「通信データ法草案」（パラグラフ230～243）に関する 合同委員会(Joint Committee on the draft Communications Data Bill)の報告 では、通信データの通知に関しては、この問題は若干の点で検討がなされた。  　DRIP Acの説明では、2つの異なった側面がある。第一は、解釈の問題として、RIPAの令状類と通信データ収集準備が英国の外での行為にあてはまることができるかどうかである。第二は、RIPA令状または通知が英国外での事業体に発布できるかどうかである。そして、事業体がRIPAの下で関連した税の対象となるようになる方法である。彼らが適切な令状または通知で、または、それがあれば仕えられない限りだれもこれらのRIPA準備中で何もしなければならなくない時から、この点は重要となる。  　最初の側面に関して、既存のRIPA規定は令状の下で認可されることができるか、必要とされることができる行為またはデータ発受信される通信の位置に対する明確な領域の制限を含まない。それは、イギリスの中での行為にはっきりと限定される無許可の傍受害が犯罪となることと対照をなす。  　しかし、「発受信の行為の位置」は問題の一部である。英国外に所在する人は、英国の中で行為に従事するかもしれない。英国の中に所在する人は、英国の外で行いに従事するかもしれない。そして、英国外に所在する人は、英国の外で一定の行為に従事するかもしれない。RIPAの異なる面の上のこれらの異なるシナリオ・マップは、なんと理解するのがおそろしく難しい問題であろう。。  ○この問題につき前記合同委員会報告は、以下のように述べた。  　...

  Last Updated : October 25,2016 ４．Graham Smith氏のブログの 仮訳 Graham Smith氏 　2014年7月12日付けの 英国の弁護士Graham Smithの”Cyberleagle”blog「DRIP法を解剖する－緊急的に立法された 「データ保持および捜査権限法案」(Dissecting DRIP - the emergency Data Retention and Investigatory Powers Bill)」 を 仮訳 する 。(筆者注11) なお、本ブログの関係データへのリンクは決して十分ではない。筆者の責任で追加してリンクを張った。  (1)DRIP Actの立法手続きの問題点 　CJEUがEUデータ保持指令を無効として判決の3か月後に、英国政府は 「2009年データ保持規則(2009 Data Retention Regulations)(以下「保持規則」という)」 を代替するための緊急立法により突然大急ぎの対応を開始した。それらの規則（英国の 「1972年欧州共同体法(European Communities Act)」 のもとに作られた）は、まだ名目上は実施されているが、EU保持指令に対するCJEUの審査には非常に弱いものであった。  　DRIP法は、何を目的とする法律か？、それだけの材料がそのような短い通知で現れ、よく考えた分析は難しい。筆者(Graham Smith)は、同法に対する若干の第一印象を本稿で述べる。  ○DRIP法案は、2014年7月11日午後に内務省のウェブサイトに載ったその付随的・暫定的な内容の関係規則草案とともに、無理に四角を円にしなければならなかった。理想的には、同法案はCJEUがECのデータ保持指令が無効であると考えた約15項目のEUの基本的な人権侵害問題に焦点をあて、妥当と考えられる試みが行われるべきであった。しかし、2016年12月末日を期限とするDRIP法の「サンセット条項」が効き始めるまで、内務大臣テレサ・メイは下院宛7月10日付けの声明を送らなければ...