最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　北欧の金融グループである スベア・エコノミー(Svea Ekonomi)    (注1) の金融実務に関する2つの問題が、フィンランドの データ保護オンブズマン局(Tietosuojavaltuutetun toimisto) で処理され、その結果、4月1日付けでデータ保護オンブズマン局(以下、「オンブズマン局」という)は、Svea Ekonomiに対し、30日以内にデータ主体自身の信用度の評価、自身の個人データを調査する権利および通知慣行に関連する個人データの処理にかかる実務慣行を修正するよう同社に命じた。 　この決定はEUの 欧州データ保護会議(EDPB)取り上げている問題 でもあり、本ブログではオンブズマン局の公表内容等に基づき、本質的な部分を補足を踏まえ仮訳する。なお、フィンランドのオンブズマン局のサイトを読んで気がつくであろうが、詳細データにわたり各種データの表示が英語版にパラレルに訳されている。 　なお、「国立差別禁止・平等審判所」の役割、機能は興味深いので第2項でまとめて説明する。 １．事実関係と問題の背景 　Svea Ekonomiに関する案件の1つは、単一のデータ主体による苦情として、オンブズマン局で処理された。それは信用度を評価するために使用される個人データとそれらに関するデータを調査するデータ主体の権利に関係していた。さらに、オンブズマン局は、自身のイニシアチブに基づいてSvea Ekonomiの通知慣行に関する問題を処理し始めた。 (1) Svea Ekonomiのクレジット申請時の信用度評価にかかる説明不足 　その決定命令において、オンブズマン局は、信用度の評価におけるカテゴリー的な上限年齢の使用は、信用情報法に定められた信用情報の定義の下では受け入れられないと述べた。クレジット申請者の単なる年齢は、彼らの支払能力、支払う意思、または彼らのコミットメントに対処する能力について説明していない。Svea Ekonomiが提出した口座に基づくと、クレジット申請の自動処理では、クレジット申請者の財政状態はまったく考慮されていない。 　また、オンブズマン局は、同Svea Ekonomiのオンライン信用決定サービスは、EU 「一般...

  　今回の措置は、個々のピアツーピア仮想通貨交換所に対するFinCENの最初の罰金処分ではあるが、デジタル資産の分野ではFinCENが最初に発行したペナルティではない。たとえば、2017年7月に、FinCENと司法省は、米国内の顧客とのプラットフォームの取引およびMSBとして登録し、効果的なAMLプログラムを実施することを怠ったとして、米国外の仮想取引プラットフォームに対して1億1000万ドル(約122億1000万円)以上の罰金を科すことに協力して行動した。 (注9) 　FinCENの最初のP2pペナルティは、仮想通貨空間の小規模事業者がレーダーの下を飛ぶことを期待すべきではなく、代わりにFinCENの2013年ガイダンスを考慮する必要があるというシグナルである。これらのコンプライアンスを遵守していない（または関係している）と思われる人は、金銭的制裁と業界の弁護士費用の危険を冒すことになる。  ２．ペンシルバニア州銀行証券局が仮想通貨は「お金」ではないとするガイダンスを発表     2019年1月25日 のBallard Spahr LLPレポート 「典型的な仮想通貨の交換業は、ペンシルバニア州の送金業者免許(Money Transmitter Licenses)を必要としない」 を 仮訳 する。 　典型的な仮想通貨の交換業は、ペンシルバニア州の送金業者免許(Money Transmitter Licenses)を必要としない。  　2019年2月17日、ペンシルベニア州銀行証券局（「DoBS」）は、「Bitcoinを含む」仮想通貨は、「 ペンシルベニア州の送金事業許可法（MONEY TRANSMISSION BUSINESS LICENSING LAW：Act of Nov. 3, 2016, P.L. 1002, No. 129「Money Transmitter Act：MTA」とも呼ばれる）4/25⑯の下では「貨幣」とは見なされないと宣言したガイダンス 「Money...

  　2019年4月18日、米国の金融犯罪法執行ネットワーク（Financial Crime Enforcement Network:FinCEN(以下、”FinCEN”という )は、仮想通貨を交換するためのピア・ツー・ピア交換所  (注1) として活動した個人に対する最初の罰金を科した旨発表した。被告エリック・パワーズ( Eric Powers)は、「銀行等に対する機密性が高くまたは不審な現金払いおよび海外との金融取引等に関する報告義務法（Bank Secrecy Act：BSA） (注2) に故意に違反している点に基づく「登録」、「プログラム」および「報告の要件」義務違反を理由に告発された。 　筆者は、2013年に公表されたFinCENの 「仮想通貨の管理、交換、または使用へのFinCEN規則の適用(FIN-2013-G001)」（以下、「2013年ガイダンス」）」 を読んでいたし、また米国法曹協会(American Bar Association)の司法作業部会が2019年3月にまとめた白書 「デジタルおよびデジタル資産：連邦および州の管轄権問題」 を読んでおり、今回の法執行についいついては特に驚くには値しなかった。しかし、一方では2019年2月17日、ペンシルベニア州銀行証券局（「DoBS」）は、「Bitcoinを含む仮想通貨は、 「 ペンシルベニア州の送金事業許可法（MONEY TRANSMISSION BUSINESS LICENSING LAW：Act of Nov. 3, 2016, P.L. 1002, No. 129「Money Transmitter Act：MTA」とも呼ばれる） の下では「貨幣」とは見なされないと宣言したガイダンス 「Money Transmitter Act Guidance for Virtual Currency Businesses」 を発表した。 　 したがって、同ガイダンスによると、典型的な...

  　 イタリアのデータ保護庁（Garante） は、GDPRの下での適切なセキュリティ対策の実施を欠如したプラットフォーム事業者に対し罰金5万ユーロ(約620万円)命令をもって挑戦した 。 　 最初のEU「一般データ保護規則(GDPR)」にもとづく”Garante”の罰金命令 は、Movimento 5 Stelle Webサイトを運営しているいわゆる「ルソー・プラットフォーム(Rousseau platform)(以下、「ルソー」という)」でのデータ漏洩によるプライバシー保護措置の実施策の欠如を理由に、”Garante”によって発布された。  　これまでの”Garante”の罰金命令について、筆者は2019.2.8 ブログ 「イタリアGaranteが違法なテレマーケティング行為を理由に”Wind Tre”に60万ユーロの罰金命令を下す」 で詳しく解説したところであるが、今回の罰金はその10分の１以下であり、その差が法の違法性判断か、具体的にどのように出てきたかを検証したいと考えた。 　まず、初めに”Garante”のウェブサイトからチェックしたが、 リリース文 はすぐに見つかったもののイタリア語が不得意な筆者にとって、その 仮訳 はかなりの困難を伴うものであった。したがって簡便な手法ではあるが、イタリアの弁護士ジュリオ・コラージョ(Giulio Coraggio)の解説サイト 「イタリアで発行された最初のGDPRに基づく罰金」 を引用、以下のとおり 仮訳 することとした。 　なお、政党の活動や電子投票におけるウェブサイトのセキュリティ対策の徹底についても、”Garante”のリリース文は重要な内容を含んでいることは間違いない。大部ではあるが、機会を改めて執筆する予定である。  １．ルソー・プラットフォームに関連する事件の事実関係  　イタリアの政党「5つ星運動(Movimento 5 Stelle)」 (筆者注1) に加入している多数のウェブサイトが、 「ルソー(Rousseau)」 という名前のプラットフォームを介して、データ・プロセッサによって運営されている。このプラットフォームは、2017年夏の間に起きたデータ漏えい事件を受け、透...

  　 筆者は、これまで中国のサイバーセキュリティ法やガイドライン草案および関係法制整備の動向につき、順次とりあげてきた。 (筆者注1) その後の中国の動向を見るとサイバーセキュリティ規則案の意見公募等の具体的な取組として2018年6月27日、中国の 中华人民共和国公安部（以下、「MPS」という） は、パブリックコメントのために、サイバー・セキュリティ・マルチレベル保護スキームに関する規則案（以下「規則案」）を発表した。 　また、2018年9月30日、中国の公安部は、公安機関によるインターネットセキュリティの監督及び検査に関する規則（以下「規則」と称する）を発表した。 2018年11月1日の施行であった。 　筆者は、中国のサイバー・セキュリティ問題、インターネット・セキュリティ問題と進んできたが、残された重要問題は個人情報保護であろうと考えていたところ、2019年4月19日、中国のMPSが 「インターネット個人情報セキュリティ保護のためのガイドライン(《互联网个人信息安全保护指南》) （以下、「ガイドライン」という）」 の最終版を発表した旨の記事が手元に入ってきた。 　 同ガイドラインの以前のバージョンは、2018年11月30日に一般のコメントのためにリリースされている。  　 今回のブログは、このニュースにつきローファームのブログ 「China’s Ministry of Public Security Issues New Personal Information Protection Guideline」 の内容を中心に 仮訳 、概観する。 １．中国の当局のサイバーセキュリティ法規制にかかるこれまでの取組み 　中国のサイバー・セキュリティ法（以下、「CSL」という）では、MPSはサイバーセキュリティの保護とサイバー犯罪の防止を目的とした主要な規制当局となる。「サイバーセキュリティ・マルチレベル保護スキームに関する規則案(draft Regulations on Cybersecurity Multi-level Protection Scheme...

  　3月6日、ワシントン州の 「プライバシー保護法案(SB 5376)(以下「WPA」という)」 は、賛成46、反対 1の投票でワシントン議会上院を通過した（2人の議員は退席、棄権）。その通過に先立って、上院は、法律のいくつかのより厄介な規定から企業にとって重要な救済を提供するであろう重要な法案改訂と明確化をふまえ採択した。 　テクノロジー業界からの支援およびこのような上院議会でのほぼ全会一致の支援にもかかわらず、”SB 5367”は、現在の立法会議である4月17日の期限までにワシントン議会を通過できなかったために消滅した。ワシントン州政府の完全な民主的統制に照らして確かなことだと多くの人が考えているこの法案は、顔認識(facial recognition)に関する保護義務の強化を含む消費者のプライバシーの向上を目的とした大幅な改正が下院で提案された後、先に進めなくなった。 　このような書き出しのブログ 「ワシントン州のプライバシー保護法が上院をクリア」 および 「ワシントン州議会はプライバシー法の制定に失敗 」 という2つのブログを読んで筆者はより本格的なブログを探した。しかし、5本位のブログを見出したが、その内容は一長一短であったため、筆者独自にそれらを統合した独自の原稿を作成すべく挑戦を試みた。 　いずれにしても、(1)法案の検討推移(下院での審議の渋滞理由)、(2)法案の詳細情報、(3)GDPRとの比較、(4)カリフォルニア州やイリノイ州など他州の既存および最近時に出されている法案との比較など検討課題をすべて網羅してはいないとは思えるが、筆者が今後取組みたいと考えている米国の州立法の研究の一環として取りまとめてみた。 １.法案の概要 (1)WPAの下での事業者の義務 　WPAはGDPRから管理者および処理者のて定義を借用し、これらの各役割の義務を識別する。すなわち 「管理者」は個人データの処理の目的と手段を決定し、また「処理者」は管理者に代わって個人データを収集、使用、保存、開示、分析、削除、または修正すると定める。 　同法案が可決、署名、成立した場合、WPAは管理者に対して以下のことを確認すべき要求を円滑に進めるよう要求することになる。 ① 消費者の個人データが処理されているか...

  　4月18日に筆者の手元にローファーム ”Hunton Andrews Kurth LLP”のブログ が届いた。その内容は、4月9日、英国情報保護コミッショナー（以下、”ICO”という）は、1998年のデータ保護法（「DPA」）に基づく最も重要な罰金処分の1つを妊娠および子育てクラブ会社「Bounty（UK）Limited（以下、「バウンティ」という）」に対する40万ポンド(約5,800万円)の民事制裁金(CMP)を科した、というものである。 　筆者は、念のため ICOサイト で法解釈を含め、事実関係を確認した。その結果は、同ローファームのレポートは100%正確であり、本ブログでは(1)その内容を注書を含めながら 仮訳 し、(2)ICOの解説文のうちICO独自の追加解説文を 仮訳 することとした。 １．ICOのバウンティに対する違法性調査結果 (1) バウンティの事業内容 　バウンティは、新しくて妊婦の母親に商品やサービスの情報やオファーを提供し、個人データをオンラインで、アプリを介して、ハード・コピー・カードを介してオフラインでも収集していた。また、同社はデータ・ブローカー・サービス(data broking service) (筆者注1) にも提供していた。 バウンティのHP(サービスメニューを確認されたい:なお、データ・ブローカー・サービスまでは読み取れない) 　バウンティは、ICOがデータ仲介業界を幅広く継続的に調査している状況で、個人データの「重要な供給者」としてICOの注目を集めた。  　ICOは、電子マーケティングの目的で、バウンティが1,400万人を超える個人、その大多数の妊産婦または新しい母親とその子供に関する個人データを第三者と共有していることを明らかにした。1年間に17回まで共有されたレコードがあるため、合計3,500万を超える個人データレコードが開示された。ICOはこれを「非常に高い」数とみなし、これが「データ・ブローカー事業体に対するICOの調査の歴史の中でこれまでにない数の影響を受けたデータ主体」であることを表しているとコメントした。 (2) ICOが調べたバウンティの情報提供活動と法違反の内容 　全部で39社がバウンティから個人データを受け取った...