最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  ３．FTCとFCCの規制対象通信事業者やエッジ・プロバーダーの規制の権限と規制の在り方  　この問題と複雑に関連して生じているのがエッジ・プロバイダー等インターネット接続事業者の監督権限をめぐるFCCとFTCの縄張りと規制の在り方問題である。 　より詳しいと思われる米国ローファーム (注7) の解説があるが、本稿では2018.1.11  Thomson Reuters記事 を以下、 仮訳 する。 　ネットの中立性規則を廃止するという連邦通信委員会（FCC）の2017年12月14日の決定 「インターネットの自由秩序の回復に関する命令(以下、「2017 Order」という)」 (注8) は、消費者への潜在的な影響のためにかなりの宣伝効果を得た。この決定が連邦機関による通信事業者など企業の規制環境をどのように変えるかには、一般的にはあまり注意が向けられていないが、この決定により、ブロードバン・インターネット・アクセス・サービス（BIAS）プロバイダのデータのプライバシーとセキュリティの規制が再度FCCから連邦取引委員会（FTC）に移行するのである。  (1)2015年2月以前の規制スキームに戻る 　FTCは、2015年2月26日FCCが”Open Internet Order”(以下「2015 Order」という」)を採択するまで2015年まで、BIASプロバイダーに対する規制当局の権限を保持していた。この”2015 Order”により、BIASプロバイダーはFCCの管轄下に置かれるようになり、電気通信事業者サービスとして再分類された。 FTCは、検索エンジンやソーシャルメディアネットワークを含むカテゴリである、「エッジ・プロバイダー」に対する管轄権を保持していたが、 FCCの2017年12月の決定により、BIASプロバイダーはFTCの管轄下に戻り、2015年以前に存在していた規制構造が再確立されたことになる。また、この決定により、BIASプロバイダーはいわゆるエッジ・ネットワークと同じ規制構造に戻る。この「エッジネットワーク」には、GoogleやBingなどの検索エンジン、およびFacebookやTwitterなどのソーシャルメディアネットワークが含...

  ２．Law 360 「1996年議会審議法はネットの中立性を回復できない」の問題提起  わが国ではＣＲＡの適用に関する解説は限られている。 (注5)  米国において比較的最近時のものとして2018年3月22日のLaw 360  「1996年議会審議法はネットの中立性を回復できない」 の問題提起を概観すべく、以下、 仮訳 する。 　連邦通信委員会(FCC)の 「インターネットの自由秩序の回復にかかる規則(Restoring Internet Freedom Order：2017.12.14 採択)」  (以下、「2017 Order」という)を無効化しようとする彼らの熱意の中で、連邦議会の何人かの議員は議会が連邦行政機関によって発布された規則を覆すことを許可するめったに使われない議会の道具である 「1996年議会審議法（Congressional Review Act (以下、CRA))」 を使った。しかし、CRAは、不承認の決議が連邦議会で可決され、大統領によって署名されたと仮定しても、その提案者が意図して達成しようとしている目的を達成することはできない。 　つまり、CRAは、ブロードバンド・インターネット・アクセス・サービス(BIAS)を情報サービスとして分類するというFCCの決定を元に戻すことはさせない。その「分類」の決定は裁定の結果であり、CRAの対象となる「規則」(Declaratory Ruling)ではなく、命令 (注6) でもって具体化されている。また、CRAは、FCCがインターネットの自由秩序の回復において排除したネットの中立性の規則を回復することを議会に許可することもないであろう。 　本日、FCCはブロードバンド顧客のプライバシーを保護する規則を採決した。また、すべての電気通信事業者に対するFCCの規則と調和させるために、現行の規則を修正する。本命令では、最初にいくつかの背景、規則の必要性を説明し、採用する規則の範囲について話し合う。規則の範囲を議論する際に、FCCはFCC規則の対象となる「電気通信事業者」を定義し、そしてそれらの規則中の「顧客」を保護するように設計されている。ま...

  　筆者は 2016年11月2日付けブログ で連邦通信委員会(FCC)がブロードバンド・インターネット・サービス・プロバイダー(BIAS provider)の顧客のプライバシー保護を監督・統治する立場を前提とする規則案を「規則制定提案告示(Notice of Proposed Rule　Making(以下「NPRM」という)」として採択した旨を取り上げた。 　この問題は従来から連邦取引委員会（FTC）によるサービス・プロバイダーの監督・統治問題と大きくかかわってくる大きなかつ微妙な問題であり、その後、連邦議会の上院、下院が「1996年議会審査法(CRA)」 (注1) に基づき共同の不承認決議を採択し、その結果、同規則を不承認としてトランプ大統領は署名した。 　その結果、(1)米国の各種プロバイダー監督・規制がどのように代わるのか、「ネットの中立性規制」のありかた等、業界との論争、その法的経緯も含めわが国で明確かつ細かに言及しているレポートは皆無である。また、(2)2017年4月以降CRAが連発された背景は、トランプ大統領によるオバマ大統領の最終段階で多発された規則制定の全面否定問題と如何に関連するのか、(3) CRA自体の適用の真の原因解析、多発の運用の背景と議会の行政機関の監視であるGAO運用実態、大統領の独断と議会のねじれ等を踏まえたCRAの運用課題は何か、等を整理する。（第1項と第2項については情報源が異なるため一部重複がある) 　この問題と複雑に関連して生じているのが、インターネット接続事業者の監督権限をめぐるFCCとFTCの縄張り問題である。この問題には、これまで連邦議会、通信業界等を巻き込んだ複雑な動きを展開しており、わが国内での本格的な解説も皆無といえよう。限られた情報源ではあるが、この問題についても、言及する。 　なお、この問題に関連して見えてきた米国ホワイトハウスの運用面での非常に重要な課題が見えてきた。簡単に言うと大統領を中核とするホワイトハウス政権の非連続性や大統領の人事権に振り回される連邦機関のトップの行動の非連続性である。簡単に問題点のみ整理する。 　最後に、本ブログの取材に絡んで、CRAが多用されている真の原因追及研究論文なども筆者なりにチェックした。米国のロースクールやシンクタ...

  　 Last Updated：Feburary 23, 2019 　2月18日付の朝日新聞(ワシントン特派員)は、昨年12月米国の次期国連大使としてトランプ大統領から指名 (筆者注1) されていたヘザー・ナウアート(Heather Nauert)国務省首席報道官が就任を辞退したという記事が大きく掲載された。 　この記事の取材元は、米国メデイアに基づくものと思われるが筆者が毎日国務省のプレスリリースを読んでいたことと大いに関係する重大な政権問題である。すなわち、ナウアート報道官のプレス・ブリーフィングン内容、話し方等もとメディア出身だけあって国務省の個々の外交問題につきタイムリーに姿勢が明確に理解できたのである。 　簡単に負うと彼女は、国務省の長官以上に国務省の「顔」であった気がする。また重任を負いつつ10歳と8歳の2人の男の子 (筆者注2) を育てたキャリアウーマンの典型と感じたのは筆者だけであるまい。 　 しかし、国連大使なると話は別である。前任のニッキー・ヘイリー氏(Nikki Haley) (筆者注3) がサウスカロライナ州知事、下院議員から国連大使になったことと比較して修羅場である国際舞台の場で十二分な活動ができるのか、疑問を持ったのは米国のメディアだけではあるまい。 　彼女の国連大使の就任辞退の本当の理由は筆者もよくわからない。筆者が重要視するのは国連大使の重責を負うべき人物の任命が共和党が多数を占める上院の中でも順調に承認されないとなること自体が大問題と考える。 　また、今回あまり大きく取り上げられていないが、2月14日第85代司法長官としてウイリアム・P・バー(William Pelham Barr (1950年5月23日生まれ)氏の上院での承認、宣誓による就任も重要な問題である。バー長官は1991年から1993年までジョージ・H・W大統領のもとで第77回米国司法長官を務めていたため、今回は2度目の司法長官への就任となる。バー氏はまた、1990年から1991年までは法務副長官、1989年から1990年までは法務顧問弁護士補佐官も務めた。金融機関、公民権、独占禁止法の合併ガイドラインなど、さまざまな分野で新しい執行ポリシーを確立する責任を負っていた。 　 筆者がここで問題視するのは、このようなトランプ政...

  　2月1日付けの Hunton Andrews Kurth LLPのブログ が興味深い記事を載せていた。「欧州委員会がGDPR施行後のEU域内における適用状況を数字で見る”GDPR infographic”を発行」というものである。 　インフォグラフィック (筆者注1) を使ったGDPRの啓蒙サイトはEU加盟国でも普及し始めている。公的機関でいえば、例えば、 欧州委員会の「GDPRの中小・零細事業者向け一般的解説：Data protection ：Better rules for small business」  (筆者注2) 、アイルランドの DPA（Coimisiún Cosanta Sonraí）の[GDPR Infografic]  、 欧州連合理事会の[GDPR Infografic」 などがあげられる。 　本ブログは第1編で 欧州委員会のInfografic を仮訳するが、その内容は決して十分な説明とはいいがたい。したがって、筆者なりの集めた情報やリンク情報を追加するものである。なお、一部の情報はすでに 筆者のブログ で概要を取り上げている。 　第2編は、わが国では本格的に論じられていない、(1)EU加盟国のマーケティング活動や医療活動における匿名化、仮名化さらにはわが国の匿名加工情報の在り方等、(2)CCTV(ドライブレコーダー)の設置と運用等に関する的確なガイダンスの内容について例示的に解説を試みる。 　１．欧州委員会の「インフォグラフィック」の内容 　GDPRが2018年5月25日に施行されて以来、そのフォローを目的として2019年1月25日に欧州委員会（以下「委員会」）は、EUの「一般データ保護規則（GDPR）の遵守および執行および認識に関する 「インフォグラフィック」 を発行し、以下の最新情報を明らかにした。 (1) GDPRに基づくEU市民からの苦情件数と内容 ① GDPRに基づき、95,180件の苦情がEU各国のデータ保護当局（DPA）に提出された。ほとんどの苦情は、CCTVカメラの使用とダイレクトマーケティング活動（テレマーケティングおよび宣伝用Eメ...

  　さる 2月5日付け筆者ブログ で、イタリアの情報保護機関GPDP(Il Garante per la protezione dei dati personali ：Garante)はEU「一般データ保護規則(GDPR)」の国内法準拠の観点から「イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者（MNO〔mobile network operator〕「 Wind Tre S.p.A(以下，Wind Treという)」  (筆者注) は、迷惑ビジネス通知を止めさせるべく、電話や販売促進目的のSMS(promotional sms)を管理するうえでの合併後の手順を見直す必要がある。この措置に伴い、自由意思によりかつ有効な同意を表明していない主体の個人データをマーケティング目的で使用することはできない」という警告を行った点を述べた。 　これを受けた GPDPの具体的な法執行命令 が2019年2月7日にWind Treに下した旨 リリース した。その内容は、テキストメッセージによるものを含む電話マーケティング活動の過程における個人データの保護に関する法律の重大な違反に対し、60万ユーロ(約7,440万円)の罰金の支払い命令を下したというものである。 　今回のブログは、GPDPサイトの2月7日のリリース内容を仮訳するとともに、その違法性判断の根拠等について解説部分を引用するものである。 １．Garanteが明らかにした違法性の根拠 　この制裁処分は、新しいEUのDGPRが2018年5月25日に発効する前に採択された措置の後に行われたものであるが、Garanteは、多数の報告に基づいて、電話会社によって行われたマーケティング目的でのそのようなデータのさらなる使用を行ったとする顧客データの違法な取り扱いの事実の存在を宣言した。Wind Treは、実際には販売促進の目的で「同意なし」に顧客データを使用しており、常に「同意なし」にそれらを商業パートナーのネットワークに伝達していた。ここでいう違法な取り扱いは主に次の2つの違反行為に由来する。 　1つ目は、信用情報機関に...

  Last Updated:Feburary 2,2019 　 筆者の手元にイタリア個人情報保護庁(以下、Garante)から新しいニュースが届いた。筆者のつたない語学力でどこまで正確に仮訳できるか自信はないが、あえてこの機会にEU加盟国でフランスやドイツと異なるイタリアが抱える3つの現下の情報保護面の課題を取り上げる。 　 わが国でイタリアの情報保護法制度につき詳しいものとしては、総務省の委託研究 「EU各国における個人情報保護制度に関する調査研究報告書」(平成30年3月29日) があり、また、GDPRの国内法化については、駒澤綜合法律事務所 IT LAW 「イタリアのGDPR と国内法の統合」 があるが、その他GPDPサイトの英語版も含め 詳しい解説は残念ながら皆無に等しい。 　また、これら2つの報告書はイタリアの情報保護法制を体系的に見た予備知識がないとチンプンカンプンにならざるを得ないし、イタリアの監督機関の現下の関心テーマが浮かび上がってこない。従って、本ブログの後半でDPDPサイトに基づき、(1)GPDPの組織や任務の概要、(2)法律、行動規範、雇用関係等における機微情報等の処理にかかる一般的承認事項、(3)第三国への情報のフローにかかる一般的承認事項、(4)イタリア個人データ保護法典の構成とGDPRの国内法化統合等を概略説明するとともに、これまでのDPDPの主な決定事項に関するリンク情報にも言及する。 　なお、本ブログは2018年7月に一度掲載したが、その後の情報等を追加して再度、掲載する。 １．Garanteの最新トピックス   6月21日Garanteニュース を引用、仮訳する。なお、Garanteの解説には個別に原データへのリンクが張られているが、本ブログでは略す。  (1) Garanteはイタリア移動体通信事業者の合併時の迷惑テレマーケティングの在り方 :データ主体の同意なしにデータの処理を禁止する   　イタリアの移動体通信事業者である「H3G」の子会社である同国の移動体通信事業者（MNO〔mobile network operator 〕「 Wind Tre」   (筆者注1) は、迷惑ビジネス通知を止めさせる...