最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 イタリアのデータ保護庁（Garante） は、GDPRの下での適切なセキュリティ対策の実施を欠如したプラットフォーム事業者に対し罰金5万ユーロ(約620万円)命令をもって挑戦した 。 　 最初のEU「一般データ保護規則(GDPR)」にもとづく”Garante”の罰金命令 は、Movimento 5 Stelle Webサイトを運営しているいわゆる「ルソー・プラットフォーム(Rousseau platform)(以下、「ルソー」という)」でのデータ漏洩によるプライバシー保護措置の実施策の欠如を理由に、”Garante”によって発布された。  　これまでの”Garante”の罰金命令について、筆者は2019.2.8 ブログ 「イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す」 で詳しく解説したところであるが、今回の罰金はその10分の１以下であり、その差が法の違法性判断か、具体的にどのように出てきたかを検証したいと考えた。 　まず、初めに”Garante”のウェブサイトからチェックしたが、 リリース文 はすぐに見つかったもののイタリア語が不得意な筆者にとって、その 仮訳 はかなりの困難を伴うものであった。したがって簡便な手法ではあるが、イタリアの弁護士ジュリオ・コラージョ(Giulio Coraggio)の解説サイト 「イタリアで発行された最初のGDPRに基づく罰金」 を引用、以下のとおり 仮訳 することとした。 　なお、政党の活動や電子投票におけるウェブサイトのセキュリティ対策の徹底についても、”Garante”のリリース文は重要な内容を含んでいることは間違いない。大部ではあるが、機会を改めて執筆する予定である。  １．ルソー・プラットフォームに関連する事件の事実関係  　イタリアの政党「5つ星運動(Movimento 5 Stelle)」 (筆者注1) に加入している多数のウェブサイトが、 「ルソー(Rousseau)」 という名前のプラットフォームを介して、データ・プロセッサによって運営されている。このプラットフォームは、2017年夏の間に起きたデータ漏えい事件を受け、透...

  　3月6日、ワシントン州の 「プライバシー保護法案(SB 5376)(以下「WPA」という)」 は、賛成46、反対 1の投票でワシントン議会上院を通過した（2人の議員は退席、棄権）。その通過に先立って、上院は、法律のいくつかのより厄介な規定から企業にとって重要な救済を提供するであろう重要な法案改訂と明確化をふまえ採択した。 　テクノロジー業界からの支援およびこのような上院議会でのほぼ全会一致の支援にもかかわらず、”SB 5367”は、現在の立法会議である4月17日の期限までにワシントン議会を通過できなかったために消滅した。ワシントン州政府の完全な民主的統制に照らして確かなことだと多くの人が考えているこの法案は、顔認識(facial recognition)に関する保護義務の強化を含む消費者のプライバシーの向上を目的とした大幅な改正が下院で提案された後、先に進めなくなった。 　このような書き出しのブログ 「ワシントン州のプライバシー保護法が上院をクリア」 および 「ワシントン州議会はプライバシー法の制定に失敗 」 という2つのブログを読んで筆者はより本格的なブログを探した。しかし、5本位のブログを見出したが、その内容は一長一短であったため、筆者独自にそれらを統合した独自の原稿を作成すべく挑戦を試みた。 　いずれにしても、(1)法案の検討推移(下院での審議の渋滞理由)、(2)法案の詳細情報、(3)GDPRとの比較、(4)カリフォルニア州やイリノイ州など他州の既存および最近時に出されている法案との比較など検討課題をすべて網羅してはいないとは思えるが、筆者が今後取組みたいと考えている米国の州立法の研究の一環として取りまとめてみた。 １.法案の概要 (1)WPAの下での事業者の義務 　WPAはGDPRから管理者および処理者のて定義を借用し、これらの各役割の義務を識別する。すなわち 「管理者」は個人データの処理の目的と手段を決定し、また「処理者」は管理者に代わって個人データを収集、使用、保存、開示、分析、削除、または修正すると定める。 　同法案が可決、署名、成立した場合、WPAは管理者に対して以下のことを確認すべき要求を円滑に進めるよう要求することになる。 ① 消費者の個人データが処理されているか...

  　4月18日に筆者の手元にローファーム ”Hunton Andrews Kurth LLP”のブログ が届いた。その内容は、4月9日、英国情報保護コミッショナー（以下、”ICO”という）は、1998年のデータ保護法（「DPA」）に基づく最も重要な罰金処分の1つを妊娠および子育てクラブ会社「Bounty（UK）Limited（以下、「バウンティ」という）」に対する40万ポンド(約5,800万円)の民事制裁金(CMP)を科した、というものである。 　筆者は、念のため ICOサイト で法解釈を含め、事実関係を確認した。その結果は、同ローファームのレポートは100%正確であり、本ブログでは(1)その内容を注書を含めながら 仮訳 し、(2)ICOの解説文のうちICO独自の追加解説文を 仮訳 することとした。 １．ICOのバウンティに対する違法性調査結果 (1) バウンティの事業内容 　バウンティは、新しくて妊婦の母親に商品やサービスの情報やオファーを提供し、個人データをオンラインで、アプリを介して、ハード・コピー・カードを介してオフラインでも収集していた。また、同社はデータ・ブローカー・サービス(data broking service) (筆者注1) にも提供していた。 バウンティのHP(サービスメニューを確認されたい:なお、データ・ブローカー・サービスまでは読み取れない) 　バウンティは、ICOがデータ仲介業界を幅広く継続的に調査している状況で、個人データの「重要な供給者」としてICOの注目を集めた。  　ICOは、電子マーケティングの目的で、バウンティが1,400万人を超える個人、その大多数の妊産婦または新しい母親とその子供に関する個人データを第三者と共有していることを明らかにした。1年間に17回まで共有されたレコードがあるため、合計3,500万を超える個人データレコードが開示された。ICOはこれを「非常に高い」数とみなし、これが「データ・ブローカー事業体に対するICOの調査の歴史の中でこれまでにない数の影響を受けたデータ主体」であることを表しているとコメントした。 (2) ICOが調べたバウンティの情報提供活動と法違反の内容 　全部で39社がバウンティから個人データを受け取った...

  　 Last Updated ：April 11,2019 　筆者は 別のブログ で、①4月8日に英国政府(担当省は「デジタル・文化・メディア・スポーツ省と内務省)からの 通知 を受信した点、②その表題は「Open consultation：Online Harms White Paper(意見公募「オンラインを介した加害行為に関する政府の対策白書」)」であり、提出期限は本年7月1日である点、③白書本文(PDFで102頁)および主要論点整理(Executive Summary)へのリンクが可能であるが、白書の内容は多岐にわたりかつその本文のボリューム(PDFで102頁)であることから、筆者はその解析を行ったうえで改めてブログに投稿する予定である旨書いた。 　今回のブログは、(1)英国政府のオンラインサイトの諮問の告示内容、(2)デジタル、文化、メディア＆スポーツ省と内務省の共管によるプレスリリースを 仮訳 する。なお、 「白書の主要論点整理( Executive summary」 についても仮訳する予定でいたが、(1)(2)と重複するので略す。   なお、大手ローファームLatham & Watkins LLPの解説ブログ 「UK’s Proposed “Online Harms” Compliance and Enforcement Regime Will Target Platforms」 を参照されたい。 １．2019.4.8 英国政府オンライン・サイトから受信内容 　英国政府の公開諮問 「オンラインを介した加害行為からのユーザ保護に関する政府の対策白書」 を以下、 仮訳 する。 　なお、今回の諮問は「デジタル・文化・メディア＆スポーツ省」および「 内務省」の共管であり、内務大臣(Rt Hon Sajid Javid MP )   および「デジタル、文化、メディア＆スポーツ大臣( Rt Hon Jeremy Wright MP)   が...

  　筆者は、さる 1月29日付けブログ 前文でこの問題につき主要な事案を簡単に紹介し、詳しい内容は別途まとめる旨予告した。 　筆者は現在デンマークの罰則事案の解説原稿を執筆中であるが、その途上で各国の詳しい法執行内容の解説サイト ”GDPR Enforcement Tracker” を見出したので取り急ぎ公表する。なお、同サイトは各加盟国の監督機関の公式サイトにリンクされている。また、以下の注記がある。 「このウェブサイトには、EU内のデータ保護当局がEU一般データ保護規則（GDPR、DSGVO）に基づいて科した罰金額および事案概要が含まれている。我々の目的は、このリストをできるだけ最新に保つことであるが、すべての罰金処分が公表されているわけではないので、このリストはもちろん完全なものになることはない」 １．GDPR Enforcement Trackerの一覧項目 ①国名、②監督当局名、③処分の公表日、④罰金額、⑤被告名、⑥GDPRの根拠規定、⑦事案の概要、⑧監督機関へのリンク、である。 ２．被告の範囲 　これまでの筆者の認識ではデジタル・マーケテイング企業、Google等IT大手、タクシー会社等で顧客数も大規模なものが中心であると考えていた。 　しかし、このサイトで見ると、1)レストランに設置したデータ主体の同意を得ていないCCTV録画の事例、2)市長室(Mayer’s Office)が公益通報者の個人情報を違法に開示した事例、3)データ主体からの個人情報の削除要求を無視した債権回収業者の事例、4)公有地活用局が10GB以上の大量の個人情報についてGoogleでもって簡単に閲覧可な状態を放置した事例、5)誤ってクレジットカード債務に関するSMSメッセージを他の人に電話番号を送信した金融機関の事例、6)私人が2カ月間、200弱の個人のメールアドレスをすべての受信者が閲覧可能状態を放置した事例(罰金額は2,000ユーロ(約250,000円)等きわめて多様である。 　これらの事例の背景にはデンマークの場合を除くとEU加盟国の監督機関の独自の行政処罰権に基づく法運用の曖昧さがあるとも思われる。 　次回以降で、GDPR Enforcement Trackerのサイトの内容の 仮訳 をはじめ、こ...