最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  (2)NATOの共同サイバー防御専門機関「Cooperative Cyber Defence Centre of Excellence(CCDCEOE)」サイトの解説   　重要なインフラ・サービスのオペレーターおよびデジタル・サービス・プロバイダ（DSPs）の定義を詳細に 解説 している。海外の大手ローファームでも言及しているものは皆無に等しいので、あえてここで 仮訳 する。  (1)重要なサービスのオペレーター(operator of essential service) 　NIS指令は、「重要な基盤サービスのオペレーター(operator of essential service)」につき、具体的に以下の分野の公的または民間の事業体と定義する。  ①エネルギー分野：例えば電気（供給元、配電系統システムの運営者、送電システムのオペレーター）、石油（石油輸送パイプラインと石油生産（精製と処置施設）のオペレーター、石油の保管と輸送のオペレーター）、ガス（天然ガス精製と処置施設の供給元、配送システムのオペレーター、輸送システムのオペレーター、貯蔵システムのオペレーター、LNGシステムのオペレーター、天然ガス事業のオペレーター））を含むエネルギー部門。   ②運輸分野：航空運輸（航空会社、空港の管理事業体、航空管制管理を担う）、鉄道輸送機関（基盤管理者と鉄道事業）、水の輸送（内陸部、海や沿岸の航路旅客や貨物の輸送、水の空輸、また港の中に含まれる部品と機器を動かす港と事業体と船通行車便のオペレーターの管理）、道路輸送（交通の管理支配に対して責任がある道路管理当局と高度道路交通システムのオペレーター））を含む輸送。  ③銀行業務（信用情報機関を含む）分野 ④金融市場基盤分野（取引施設オペレーター(operators of trading venues)、中央清算機関(central counterparties)を含む)  ⑤健康維持・治療分野（病院や私立診療所を含む）  ⑥飲料水の供給と配布分野（人間の消費を目的とする水の供給元と卸売...

  Last Updated:May 2,2019 　　2016年5月7日、欧州連合理事会は「 ネットワークと情報システムの安全の一般の原則に関する指令(NIS指令：Directive on Security of Network and Information Systems)案 」を採択し、また7月6日、欧州議会は、本会議でその第二読会で取りまとめたEU全体でのNIS指令案を採択した。同指令については、加盟国は21 か月 (2018年5月9日) 以内に国内法化し、27 か月(2018年9月9日)以内にOperator of Essential Service (OES)等を指定する義務が定められた。 (筆者注0) 　同指令の主要な要素は、(1)加盟国ごとのサイバー・セキュリティ能力の確立、(2)加盟国間の具体的協調強化、(3)重要なサービスとデジタル・サービスプロバイダーの明確化とこれらのオペレーターのために特別な義務を課す、等である。  　また、重要な点であるがEU加盟国の国内法化の 追跡サイト がある。ぜひ、参照されたい。 　この問題への取り組みは、2013年2月7日に欧州委員会がプレスリリース「オープンなインターネットとオンラインの自由と機会を保護するEUのサイバー・セキュリティー計画」を公表したことに始まる。すなわち、欧州委員会は、外交問題とセキュリティ・ポリシーに関する上級代表とともに、ネットワークとインフォメーション・セキュリティ（Commission proposed directive on network and information security (NIS).）に関し委員会として提案する指令案ととともに、「サイバー・セキュリティー戦略(cybersecurity strategy)」を 公表 したのである。  (筆者注1)   　 この一連のサイバー対策強化は、EUや米国 (筆者注2) だけでない世界的な潮流であることはいうまでもない。  　一方、わが国の取り組み状況を見るとは、本文で述べるとおり 「日本コンピュータセキュリティインシデント対応チーム協議会(Nippon CSIRT...

  　8月13日付けの米国の企業法務部門向け情報サイト「Find Law」で面白い記事 「オーストラリア連邦裁判所は、中国・オーストラリア石油・ガス会社と同社の前会長Tianpeng Shao氏に有罪判決」 を読んだ。また同時に8月24日付けの「D&O Diary blog」の 記事 を読んだ。  (注1) 　特に後者のタイトルは 「オーストラリアの裁判所により警告判断を受けた英語を読めずかつ理解できない会社の取締役の責任」 というものであった。なお、被告の裁判での発言内容など判決内容の詳細は後者がより詳しいが、本ブログでは略す。  　語学力に自信がない筆者としては、同裁判の意味するところは「奈辺にありや」といったところが当面の関心事であった。 　ところが、この２つの記事をもとに事実関係や関係法さらに被告たる石油・ガス掘削会社の1人のトップ経営者の怠慢さらには同社の経営破綻という事実が見えてきた。  　これらの問題の整理は、単に経営者の恣意的経営とEOR (注2) という石油開発先端技術の国際合弁会社の経営破綻問題に止まらない大きな国際エネルギー問題とも関係することといえる。  　筆者の知識で、とてもこれらの問題をすべて網羅するのは困難であるが、少なくともわが国のメデイアが本格的に取り上げていない今、まとめてみる価値はあると考えた。  １．本裁判の概要 　2016年8月12日、 オーストラリア証券投資委員会（Australian Securities and Investments Commission：ASIC） は、オーストラリア連邦裁判所が「中国・オーストラリア石油・ガス会社（Sino Australia Oil and Gas Limited）（以下「サイノウ(Sino)」  (注3) という）および同社の前CEOである邵天鹏(Tianpeng Shao)氏(以下「Shao氏」という)がオーストラリア会社法(2001年「オーストラリア会社法」(以下「会社法」という))に違反したと判示した旨 発表 した。  2016.8.14 ...

  (3)GAOが見出した問題点  　司法省(DOJ)の連邦捜査局(FBI)は、法執行機関の捜査を支援するために3,000万以上の写真のデータベースを検索できるを顔認証サービスである「次世代型インターステート写真システム（Next Generation Identification-Interstate Photo System (NGI-IPS)」を運用している。 NGI-IPSユーザーはFBIおよび国と地方の法執行機関であり、彼らは、たとえば、監視カメラに写ったの写真を使って見知らぬ人を特定するのを支援するために検索要求を提出することができる。州または地方機関がそのような写真を提出するとき、ユーザー仕様に従い、NGI-IPSはデータベースから2～50の可能性がある候補写真のリストを返すというオートメーション化した手順を使用する。 2015年12月現在、FBIはNGI-IPSを使用した検索を行うべく7つの州と協定をして、アクセスを与えるために、より多くの州に働きかけている。  GAO Reportの図4「FBIの顔認証システムにおける州別分析、比較および評価範囲の一覧図」から抜粋    GAO Reportの図２「FBIの顔認証システムにおける州や地方の法執行機関からの要請および回答の流れ図」から抜粋  　NGI-IPSに加えて、FBIは内部の専門部隊として、とりわけ活発なFBI捜査を支援するため顔認証能力を提供する「顔の分析、比較と評価サービス(Facial Analysis, Comparison and Evaluation (FACE) Services)を置く。FACEサービスは、NGI-IPSにアクセスするだけではなく、国務省、国防総省および16の州によって所有されるデータベースを検索または要請の基づいて行いうる。彼らは自身の顔認証システムをも使用する。生体認証アナリストが、FBI捜査官への捜査の前例として最高でもトップ1またはナンバー2つの写真を返却する前に、写真をレビューする。   　DOJは、連邦機関が個人情報を集める技術...

    Last Updated:October 5,2016 (3) 連邦議会・行政監査局(U.S. Government Accountability Office (GAO)   (筆者注9) の連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等における プライバシー保護強化勧告   　2016年6月15日、連邦議会・行政監査局(GAO)は連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等におけるプライバシー保護強化勧告を行った旨報じた。  　このレポートにつきわが国では紹介したものとしては、イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュース・サイトを翻訳したものがある。2016.7.12  「4億1190万枚の顔写真データにアクセスするFBI」 である。GAOのレポートを引用しながら問題点を取り上げているが、専門家向けとはいいがたい内容である。   　そこで本ブログでは、①FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要、②米国の人権擁護団体の問題指摘・司法長官あての意見書(2014.6.24)、最後に③GAOレポートがあげた主要な問題点等を概観する。   ① FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要   　FBIのNGIについての 解説サイト がある。について逐一訳さないが前書きと項目の...

    ４．米国イリノイ州におけるフェイスブック、シャターフライを被告とする暫定クラス・アクション(putative class action)の動向  　本論に入る前に、「写真のタグ付け」に関するフェイスブックの 「説明サイト」 から一部抜粋する。  「現在Facebookでは、目や鼻、耳の間隔などの顔の特徴に基づいて独自の数(「テンプレート」)を算出するアルゴリズムを使用した顔認識ソフトウェアを使用しています。このテンプレートは、Facebookのプロフィール写真とFacebookでタグ付けされた写真に基づいています。Facebookは、これらのテンプレートを使用して、あなたの友達のタグを提案し、写真へのタグ付けを支援します。写真からタグを削除した場合、その写真はタグが削除された人のテンプレートの作成には使用されません。また、Facebookではテンプレートを使って利用者の画像を再現することはできません」 　この文章でこのサービスはいったい何を意図しているのか、また他情報主体に取っていかなるプライバシーの侵害を引き起こすのか等、ユーザーはまず知りたいであろう。(筆者は、そもそもFacebookのアカウント登録行っていないし、いくつか有している国内グログでも、もとから本名は一切使っていない。」  　そこで参考になるのが 「気をつけよう！ Facebookの「タグ付け」に関する基本マナー」 である。このブログは、2013年6月17日現在で書かれたものであるが、タグ付けについて具体的な事例で説明するとともに、自分の写真が公開されることを好まない場合に、アカウント登録者が気をつけるべき留意点、友達自身が勝手にタグ付けされないようにする手続き等が平易に解説されている。まず一読すべきである。  (1)2015.4.1 シカゴ住民である原告カルロ・リカタ(Carlo Ricata)は、イリノイ州クック郡連邦巡回裁判所に対し、世界的ソーシャルネットワークの巨人であるFacebook被告とする集団訴訟(class action)を起こした。訴因はFacebookが行っている写真タグ付け提案が主体の同意をえることを義務付けるイリノイ州の2008年「 Biometri...

  (2)ドイツ・ハンブルグ州の情報保護・情報自由化委員 ヨハネス・カスパー( Prof. Dr. Johannes Caspar )   (筆者注4) 等を中心としたFace Bookの顔認証による個人情報の収集等への告発     　ドイツ・ハンブルグ州の情報保護機関(HmbBfDI)のフェイスブック顔認識ソフトウェアならびに「仮名・ペンネーム化(pseudonyms)問題」に関する具体的取り組み内容を時間を追って整理する。  ①2011.8.15 The Guardian記事 「 Facebook facial recognition software violates privacy laws, says Germany Social network must stop programme and delete data already collected on users – or face fines up to €300,000, says official」 　ドイツの情報保護機関は「フェイスブック顔認識ソフトウェア (筆者注5)  にもとづくタグ付けはドイツのプライバシー保護法を犯している、社会的ネットワークのプログラムを止めなければならならず、ユーザーにつきすでに集められる個人データはを削除しなければならない。また、放置すれば最高30万ユーロ(約3,360万円)の罰金が科せられる可能性がある」と警告した。  ②2012.8.15 ドイツ・フランクフルター紙記事 「Facebookの中で顔認識のための追加のプロセスを再び」 　ハンブルクのデータ保護監督官ヨハネス・カスパーは、再度フェイスブックの顔認識ソフトウェアに対する保護法から見た警告手続を開始した。  ③2015.7.25 Bloomb...