最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  (5) ICOに参加するかどうかを決定する際に考慮すべきいくつかの要点 　もしICOに参加することを検討している場合は、考慮すべき事項がいくつかある。  　事実や状況によっては、投資の公募には有価証券の売買が含まれる場合がある。その場合、バーチャル・コインまたはトークンの投資の公募および販売は、それ自体がSECに登録されなければならず、または正規な登録の免除が行われなければならない。ICOに投資する前に、バーチャル・トークンまたはコインが有価証券であるかどうか、またそれらを売っている人物がSECに公募を登録しているかどうかを尋ねなくてはならない。この登録について心に留めておくべきことは次の点である。  ① もし投資の公募が登録されている場合は、 SEC.govから EDGAR(米国SEC企業財務情報電子開示システム」 )   (注11) までの情報（登録票または "Form S-1"など）を見つけることができる。  ② プロモーションに登録が免除され、認定された投資家ではないと述べた場合、ほとんどの免除には純資産または所得要件が適用される。  ③ ICOは、時折、クラウドファンディング契約(crowdfunding contracts)と呼ばれることもあるが 、「Crowdfunding規則」   (注12)  や連邦証券法の要件に準拠せずに提供されたり、販売されている可能性がある。  ④ あなたのお金がどのように使用されるのか、バーチャル・コインまたはトークンがあなたに提供する具体的権利の内容を尋ねるべきである。プロモーターは、あなたが読むことができ、かつ理解できる明確なビジネスプランを持っていなければならない。トークンやコインがあなたに与える権利は、白紙や開発ロードマップの中に明確にレイアウトする必要がある。あなたは、あなたがそのようにしたい場合に、いつ、どのようにしてあなたのお金を元に戻すことができるのかを具体的に尋ねるべきである。たとえば、トークンやコインを会社に返還する権利や払い戻しを受ける権利があるか？または、コインまたはトークンを再販することはできるか？ コインや...

  　筆者の手元に7月25日付けの 米国証券取引委員会のIB(投資家向け公示：Investor Bulletin：Initial Coin Offerings(ICO)) が届いた。筆者としては、”Bitcoin”や”Ripple”など決済の国家による最終的な保証がないものを「仮想通貨」と訳すこと自体誤解を招くし (注1)、 他方、これまで金融当局や中央銀行が法制度や決済制度問題としてまともに取り上げてこなかったこと自体、怠慢であったとしか言いようがない。  (注2)  　その背景を解析すると、わが国の金融・決済システムと特殊性、すなわち、(1) 比率が下がってるとはいえ、ATMを中心とする現金決済システムの充実度、(2) ほぼ100%セントの成人が金融機関に口座を有していること(送金手段が確保されている)、(3) 円の国際通貨としての強さ、(4) 海外送金のニーズが個人では限られる点、(5) テロ資金・マネロン資金供与にかかるリスク感覚の弱さなどから、この新しい通貨・決済制度は、新しい投資手段というという点を除けばあまり問題とならなかったというのも一面うなずける。  　しかし、米国をはじめ諸外国の通貨・決済事情は大きく異なる。ここでいちいち詳しく論じないが、いよいよ米国などでも本格的に監督機関等が法的な意味で位置づけを明確化するとともに、投資上のリスクの明確化や詐欺被害阻止に向けた取り組みを始め た 。 (注3) なお、IBの最後の部分でSECは詐欺師の被害阻止の留意事項を丁寧に説明している。 　すなわち、「イノベーションと新技術を使用して不正な投資スキームを生む。詐欺師は、この最先端の空間に乗り出す方法としてICO投資の「機会」を宣伝し、高い投資利益を保証または保証することによって投資家を誘惑する可能性がある。投資家は、業界用語が盛り込まれた口上、強引なセールスおよび超過剰なリターン(もうけ)の約束等は常に疑うべきである。また、実際には詐欺にもかかわらず、ブロックチェーン技術を使用して誰かが印象的なICOを作成するのは比較的簡単であるということも疑うべきである。さらに、バーチャル・カレンシー、バーチャル・トークンまたはコインを保有する他の事業体は...

  (2) 承認されたユーザープロセスを利用   　承認されたユーザープロセスは、ほとんどの合成IDがどのように作成されるかである。 承認されたユーザーをアカウントに追加することは合法であり、クレジットカード発行者が許可する。これは通常、配偶者や子供の追加などの正当な目的で使用される。   　詐欺師は、承認されたユーザープロセスを利用し、カード所有者を積極的に募集して、未知の人物/身元をカードに追加する。正当なカード所有者は、この技術を使用して、「ピギーバック(piggybacking)」  (筆者注5) と呼ばれることがある。正当なカード所有者は、承認されたユーザーIDを自分のアカウントに追加するための手数料を受け取る。 承認されたユーザーにクレジットカードは発行されない。ある期間クレジットアカウントに座り、カード所有者のクレジット履歴を「継承」する。  　credit line (トレード・ライン)がCRAに報告されると、承認されたユーザーとしてアカウントから合成アイデンティティを削除できるが、クレジット履歴は保持される。 詐欺師は複数のカード発行者にクレジットを申請する。 複数のクレジットラインを獲得することで、詐欺師はギフトカードやスマートフォンなどの貴重な商品や簡単に売れるエレクトロニクスなどの商品を購入することで、すべてのクレジットラインを最大限に活用する。  　この例では、詐欺師はまた、クレジットラインが最大化され、価値のないまたは偽造品の小切手で払い戻され、小切手の支払いが返される前に再び最大化されるバスト・アウト・スキーム  (筆者注5-2) を実行することができる。これにより、元の与信限度の2倍のエクスポージャーが発生する。よく組織された犯罪者は、このプロセスを複数回繰り返すことができる。  　承認されたユーザーを追加するために募集されたカードの所有者は、一度に50人までアカウントに登録される。 カード所有者は、他の人が信用を確立したり修復するのを助けるために、良き信用履歴を寄付していると信じているかもしれない。ドナーとクレジット・アシスタンスを必要とする多くのクレジット...

  Last Updated: Marh 15 ,2019 2017年7月26日付けの米国連邦議会の連邦行政機関のWatchdogである「行政監査局(GAO)」が参加した「Combating Synthetic Identity Fraud：Forum」の概要報告が手元に届いた。  　過去にさかのぼるが、GAOは2017年3月30日付けで 「 Identity Theft Services：Services Offer Some Benefits but Are Limited in Preventing Fraud」   (注1) と題する報告を連邦議会あてに行っている。 　この犯罪類型は、犯罪者が実在（通常は盗んだ）ID情報と偽のID情報を組み合わせて新しいアイデンティティを作成する詐欺の一種である。不正に銀行口座を開設し、詐欺的な商品やサービス等を購入、不正に受給をするために使用される。この合成身元情報の詐称は、犯罪者が偽のIDに基づいてクレジットカード会社や貸し手から金銭を違法に盗むことを可能にするだけでなく、国の給付金の不正受給、テロ資金のマネローンダリング等、その適用範囲は極めて広い。したがって、GAOや連邦取引委員会(FTC)などの危機感が極めて高まっていることがその背景にある。  　当時、筆者は、(1) そこで指摘された問題の大きさを十分理解できなかったこと、(2) 日本の場合、マイナンバーを利用する際には厳格な本人確認が義務付けられており、マイナンバーに加えて、運転免許やパスポート、健康保険証などで身元を確認することで、マイナンバーが漏えいした場合もなりすましを防止しうるという点等から、当面わが国での同様のリスクがあり得ないと感じたこともあり、あえて本ブログでは取り上げなかった。  　しかし、マイナンバーの利用範囲が立法時に想定した範囲から次第に広がるリスクもありうる。すなわち金銭的なりすまし詐欺にあうリスク(勝手にクレジットカードが作られて引き落としされる、引き落としを止めようにも止められない、他人の借金を背負わされる)は比較的少ないものの、...

  　 2013年1月18日、米国ローファーム”Morgan, Lewis & Bockius LLP”は 標記ブログ を掲載した。米国のプライバシー保護やセキュリティ保護にかかる法制の独自性は筆者が従来から取り上げているので、読者もある程度理解されていると思うが、この際改めて正確な内容を整理する意味で仮訳した。  　なお、わが国では2013年12月に日本クラウドセキュリティアライアンス/健康医療情報管理ユーザーワーキンググループが 「米国HIPAA／HITECH総括規則の動向(「CSA Cloud Bytes: An Overview of the HIPAA Omnibus Rule」（2013年6月）」の日本語訳 を行っている。包括規則の最終確定に至るこれまでの経緯のほか、本ブログとは異なる観点から取りまとめたものであり、本グログと併読されたい。  １．最終規則の取りまとめの目的 　最終規則は、事業提携者(Business Associates：BA)に対し、直接、新しいプライバシーとセキュリティ上の義務を課し、データ漏えいの定義の修正およびリスクアセスメントで考慮すべき要素等提案されたルールの多くの条項を最終的に確定した。  ２．HHS/OCRが包括的最終規則を公表 　2013年1月17日、米国連邦保健福祉省（HHS）・公民権局（Office for Civil Rights：OCR）は、期待され待望の包括的最終規則（以下「最終規則(Final Rule)」という）を公表した。この最終規則は 、「経済的及び臨床的健全性のための医療情報技術に関する法律(Health Information Technology for Economic and Clinical Health Act ：HITECH Act)」   (注1) のもとで「HIPPA」、FTCの「Breach Notification Rule(医...