スキップしてメイン コンテンツに移動

英国の情報保護コミッショナー(ICO)が違法な個人情報の収集と共有についてバウンティに40万ポンドの民事制裁金を科す

 

 4月18日に筆者の手元にローファーム”Hunton Andrews Kurth LLP”のブログが届いた。その内容は、4月9日、英国情報保護コミッショナー(以下、”ICO”という)は、1998年のデータ保護法(「DPA」)に基づく最も重要な罰金処分の1つを妊娠および子育てクラブ会社「Bounty(UK)Limited(以下、「バウンティ」という)」に対する40万ポンド(約5,800万円)の民事制裁金(CMP)を科した、というものである。

 筆者は、念のためICOサイトで法解釈を含め、事実関係を確認した。その結果は、同ローファームのレポートは100%正確であり、本ブログでは(1)その内容を注書を含めながら仮訳し、(2)ICOの解説文のうちICO独自の追加解説文を仮訳することとした。

1.ICOのバウンティに対する違法性調査結果

(1) バウンティの事業内容

 バウンティは、新しくて妊婦の母親に商品やサービスの情報やオファーを提供し、個人データをオンラインで、アプリを介して、ハード・コピー・カードを介してオフラインでも収集していた。また、同社はデータ・ブローカー・サービス(data broking service)(筆者注1)にも提供していた。

バウンティのHP(サービスメニューを確認されたい:なお、データ・ブローカー・サービスまでは読み取れない)

 バウンティは、ICOがデータ仲介業界を幅広く継続的に調査している状況で、個人データの「重要な供給者」としてICOの注目を集めた。 

 ICOは、電子マーケティングの目的で、バウンティが1,400万人を超える個人、その大多数の妊産婦または新しい母親とその子供に関する個人データを第三者と共有していることを明らかにした。1年間に17回まで共有されたレコードがあるため、合計3,500万を超える個人データレコードが開示された。ICOはこれを「非常に高い」数とみなし、これが「データ・ブローカー事業体に対するICOの調査の歴史の中でこれまでにない数の影響を受けたデータ主体」であることを表しているとコメントした。

(2) ICOが調べたバウンティの情報提供活動と法違反の内容

 全部で39社がバウンティから個人データを受け取った。ICOの調査の主な焦点となる企業は、①マーケティング・エージェンシーの”Indicia”(筆者注2)、マーケティングおよびプロファイリングの会社”Acxiom”、消費者信用情報機関”Equifax”および電気通信会社”Sky Ltd”(筆者注3)の4社であった。

 調査の結果、ICOは、バウンティが最初のデータ保護原則(現在ではEU一般データ保護規則(GDPR)の第5条第1項に違反し、個人データを公正かつ合法的に処理することを求めていると結論付けた。具体的には、ICOは以下のとおり決定した。 

① バウンティがデータを共有する組織・団体名をデータ主体に開示できなかったため、そのデータ共有は不公平であった。バウンティのプライバシー・ポリシー(筆者注4)では、個人データは特に指定されていない「特定の第三者」と共有される可能性があると述べているだけであった。

② 信用情報機関、マーケティングおよびプロファイリング組織・団体と個人データを共有することも、公正であるという要件を満たすことができていなかった。この点で、ICOはバウンティが経済的利益に動機付けられていると考えた。

③ バウンティはデータ共有のための適切な法的根拠を確立することに失敗した。 バウンティは合法的な根拠として「同意」に頼ろうとしたが、ICOは、データを共有する組織・団体名がプライバシー・ポリシーで指定されていないため、いかなる「同意」も特定と見なすことも通知することもできないと判断した。またICOは、合法的な利益条件が満たされていないことも明らかにした。商品パックの請求カードおよびオフライン登録方法のいずれにも、マーケティング目的でのオプトイン手続きはなかった。 

(3) 民事制裁金の適用の判断 

 金銭罰(行政上の金銭的不利益処分である制裁金 :monetary penalty)を科すべきかどうかを判断するにあたり、ICOはさまざまな要因を考慮した。その主な考慮事項は次のとおりである。

(1)影響を受けたデータ主体の「異常に多い」人数。

(2)個人のデータが複数の組織・団体で複数の機会において共有されていたという事実。

(3)違法行為の持続期間と長期期間であった事実。データ主体に対する権利行使面の潜在的な脆弱性 。

(4)開示が個人情報保護方針の条項に反するものであり、かつ個人の合理的な期待する範囲外である可能性が高いという事実。

(5)該当する個人データの性質。

(7)個人がデータに対する管理上の重大な損失を受けたという事実。

 さらにICOは、その違反が重大な損害または苦痛を引き起こす可能性がある種類のものであるかどうかを具体的に検討した。重大な苦痛のしきい値を超えたとICOが判断した要因には、次のようなものがあった。

(1)プライバシー通知(privacy notice)において個人情報が最も頻繁に共有されている4社についてまったく言及していないこと。

(2)バウンティの透明性の欠如が(組織がどのようにして個人データを入手し、それらを標的にすることができるかについて個人が自信を持っていなかったとき)苦痛をもたらしたかもしれないこと。 

(3)個人の知らないうちに共有されていたデータに対する制御可能性の喪失が知覚されたことによって引き起こされた苦痛の可能性。 

(4)データが複数の組織・団体と何度も共有されたという事実。

(5)影響を受けたデータ主体のきわめて多い人数。 

 ICOは、データを共有する上でのバウンティの行動は意図的なものであったという見解を形成した。それは、法令違反が発生する危険性があり、それが相当な損害または苦痛を引き起こす可能性が高い種類であることを知っているべきであったが、それでもなお違反を防ぐための措置を講じていなかった。

 バウンティは、データ主体の苦情がほとんどなかったこと、およびデータ保護者がプライバシーポリシーを読んだことがほとんどないことを理由に、自分自身を弁護した。

 また、バウンティはデータ主体が苦痛を被ったという証拠はないと主張した。しかし、ICOは、これは主にデータ主体が自分たちのデータがどのように使用されているのかを認識していなかったためであると反論した。

 金銭罰を科すにあたり、ICOは(1)バウンティの財務状態、(2)自社の活動を自発的に中止したこと、そして(3)その後「GDPR」および英国ICOの「プライバシーおよび電気通信規則(Privacy and Electronic Communications Regulations.:PECR)」(筆者注5)に準拠するために自社のデータ実務慣行を大幅に変更した点を考慮した。 

2. ICOの今回のプレスリリース時の編集者へのメモの仮訳

(1) ICOは、データ保護および情報公開の権利法の観点から、公共の利益のために情報権を支持し、公共団体による情報の公開性の促進および個人のデータ・プライバシーを保護するための英国の独立した規制機関である。

(2) ICOは、「2018年データ保護法(以下、DPA2018)」「2000年情報公開法the Freedom of Information Act 2000 (FOIA)」(筆者注6)、EU一般データ保護規則(GDPR)、「2004年公的機関の保有する環境情報の公開規則(EIA)」(筆者注7)、および「2003年プライバシーおよび電気通信規則(PECR)」に定められた特定の責任を負う。

(3) この調査の対象時期のために、民事制裁金は旧保護法である「1998年データ保護法」に基づいて発布された。この旧法の下での民事制裁金の最高罰金額は50万ポンド(約1億4,600万円)である。

(4) 過去および現在の保護法の下で、ICOは個人情報を収集し、使用しおよび保持する組織・団体および個人の行動を変えるための行動をとることができる。これには、刑事訴追、非刑事法執行および監査が含まれる。

(5) GDPRとDPA2018はICOに新たな強化された執行力を与えた。 2018年5月25日以降、ICOはデータ管理者に最大1,700万ポンド(約24億6,500万円)または世界的な売上高の4%の民事制裁金(Civil Money Penalty:CMP)を科す権限を持っている。

(6) GDPRのデータ保護の原則は、旧保護法から発展し、組織の主な責務を明確にしている。GDPRの第5条は、個人データが以下のとおり扱われることを要求している。

① そのデータ主体との関係において、適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない。(「適法性、公正性及び透明性」)

② 特定され、明確であり、かつ、正当な目的のために収集されるものとし、かつ、その目的に適合しない態様で追加的取扱いをしてはならない。公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のために行われる追加的取扱いは、第89条第1項に従い、当初の目的と適合しないものとはみなされない。(「目的の限定」)

③ その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない。(「データの最小化」)

④ 正確であり、かつ、それが必要な場合、最新の状態に維持されなければならない。その個人データが取扱われる目的を考慮した上で、遅滞なく、不正確な個人データが消去又は訂正されることを確保するための全ての手立てが講じられなければならない。(「正確性」)

⑤ その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである。データ主体の権利及び自由の安全性を確保するために本規則によって求められる適切な技術上及び組織上の措置の実装の下で、第89条第1項に従い、公共の利益における保管の目的、科学的研究若しくは歴史的研究の目的又は統計の目的のみのために取扱われる個人データである限り、その個人データをより長い期間記録保存できる。(「記録保存の制限」)

⑥ 無権限による取扱い若しくは違法な取扱いに対して、並びに、偶発的な喪失、破壊又は損壊に対して、適切な技術上又は組織上の措置を用いて行われる保護を含め、個人データの適切な安全性を確保する態様により、取扱われる。(「完全性及び機密性」)

  第5条第2項は、「管理者は、第1項について責任を負い、かつ、同項遵守を証明できるようにしなければならないものとする。(「アカウンタビリティ」) 

  過去および現在の法律に基づく民事制裁金(Civil Monetary Penalties:CMP)は、制裁金が科されること、または通知された制裁金の額に対して、第一層審判所(First-tier Tribunal)の特定分野に係る不服申立事案を管轄する「総合的規制室(General Regulatory Chamber)」に不服を申し立てる権利がある。

*********************************************************************

(筆者注1)パーソナル・データを保有する事業者等からデータを購入したり、インターネット上に掲載されている個人情報を収集したりして蓄積・解析し、主にマーケティング活動用に事業者へデータを販売している事業者のことである。

 このデータブローカーは、日本では、いわゆる「名簿屋」に相当し、主に中小・零細事業者が担っているが、米国では、これを上場企業やベンチャー企業が法令遵守に留意しつつ、巨大な資本を投下して大規模に行っているところに大きな違いがある。(小林慎太郎「EnterpriseZine」2013年6月28日号から一部抜粋)

(筆者注2) 2015.1.15 コニカミノルタ㈱リのリース「コニカミノルタグループの英国Charterhouse社が英国Indicia社を買収~データ分析とクロスメディアを駆使し、顧客エンゲージメントの獲得に向けたサービスを提供~」を以下一部抜粋する。

コニカミノルタ株式会社(本社:東京都千代田区、社長:山名 昌衛、以下 コニカミノルタ)は、新たなサービスの提供を図るため、グループ会社である英国Charterhouse PM Limited(本社:英国 Hertfordshire州、以下CH社)を通じて、英国Indicia Group Limited(本社:英国 Bristol 以下 Indicia社)を買収しましたのでお知らせいたします。

(筆者注3) ”Sky Ltd”は、イギリスのメディア関連企業。衛星放送・ストリーミング放送の運営などを行い、ヨーロッパ最大の有料放送事業者である。

(筆者注4) プライバシー・ポリシー(privacy policy):組織または団体の個人情報の取り扱い慣行を規定する内部声明。 個人情報の利用者を対象としています。 プライバシーポリシーは、データの収集および使用方法、ならびにデータ主体が持つ可能性のある特定の権利について従業員に指示します。

プライバシーに関する通知(privacy notice):組織が個人情報を収集、使用、保持、および開示する方法を説明するデータ主体に対する声明。 プライバシー通知は、プライバシー声明、公正な処理声明、またはプライバシー・ポリシーと呼ばれることがある。 米国のGLBAやCOPPAなどの特定の法律では、特別なプライバシーに関する通知が義務付けられている。(CSOの解説から引用、仮訳した)

(筆者注5) 英国ICOの「プライバシーおよび電子通信規則(Privacy and Electronic Communications Regulations.:PECR)」ガイド・サイトは、電子マーケティング・メッセージ(電話、ファックス、電子メールまたはテキストによる)の送信、クッキーの使用、または一般人向けの電子通信サービスの提供を意図、希望する組織・団体を対象として作成したもの。 

(筆者注6) 英国の「2000年情報公開法( Freedom of Information Act 2000 (FOIA))につき、わが国の訳語をみると100%が「2000年情報自由法」と訳している。国立国会図書館、国立公文書館、JETRO、自治体国際化協会等がいずれもそうである。しかし、果たして同法の内容から見てそのような訳語は適正といえようか。

 例えば、(財)自治体国際化協会の解説を読むと「英国では2000 年11 月に2000 年情報自由法(Freedom of Information Act 2000)が制定され、2005 年1月に個人の開示請求権を含む全規定が施行されました。英国における情報公開制度は施行されてから間もないですが、同法は地方自治体にとって記録管理や住民に対する説明責任の重要性を認識させ、さらには職員の意識改革をもたらしています。以下。略す)

 その解説内容は正しいが、訳語はいただけない。

(筆者注7) 「2004年公的機関の保有する環境情報の公開規則」は、公的機関が保有する環境情報への一般人からのアクセス権を規定する。同規則はこれを2つの方法で行う。

① 公的機関は環境情報を積極的に利用可能にしなければならない。

② 一般の人々は公的機関に環境情報を要求する権利がある。

 この規則は、イングランド、ウェールズおよび北アイルランドの公的機関によって保持されている記録された情報すべてを対象とし、スコットランドの公的機関が保有する環境情報は、「環境情報(スコットランド)規則2004」によってカバーされる。

 その公的機関には、政府部門、地方自治体、NHS(筆者注8)、警察、大学などがあり、また規則は、環境に影響を与える公共事業を行う他のいくつかの機関も対象としている。。簡潔にするために、このガイドでは規制の対象となるすべての組織を「公的機関」と呼ぶ。

 この規則は、公的機関が保有する環境情報にのみ適用され、「2000年情報公開法(Freedom of Information Act 2000 (FOIA)」により、公的機関が保有する他のほとんどの種類の情報に一般の人々がアクセスできるようになっている。(ICOの同規則の解説ガイドサイトがある.)(以上は、ICOガイドを引用し、仮訳した)

 なお、筆者はわが国での同法の訳語につき100%が「環境情報規則」としている点も納得できない(法律の内容が全く読みとれない)。「2000年情報公開法」と同様に意訳すべきであり、本注で筆者が使った「2004年公的機関の保有する環境情報の公開に関する規則」という訳語を使用すべきと考えるが、いかがであろうか。 

(筆者注8) NHSとは1948年からUKで実施されている医療費原則無料の国営医療保険制度です。16歳から年金受給年齢(女60歳・男65歳)まで強制加入、所得に応じて保険料を払う。当初は旅行者まで無料でサービスを受けられましたが、現在はUKに1年以上滞在予定の人が対象になります。(UK国営医療制度 NHS (National Health Service)から一部抜粋)

 NHSの基本精神は「万人への普遍的な医療サービスの提供」であり「患者の医療ニーズに応じて公平なサービスを公的予算で提供」しています。「万人」というからには留学生や移民、外国人観光客たりとも例外ではありません。病気になったり怪我をしたりしたら普通のイギリス人と同様に必要な医療を受けることができます。この医療費というのは予防医療、入院費、リハビリなどすべて含めた費用です。(2018.02.09 「イギリスNHS国民医療制度:移民も外国人旅行者も医療費が無料ってホント?」から一部抜粋)

*********************************************************

Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

コメント

このブログの人気の投稿

ウクライナ共同捜査チームの国家当局が米国司法省との了解覚書(MoU)に署名:このMoU は、JIT 加盟国と米国の間のそれぞれの調査と起訴における調整を正式化、促進させる

  欧州司法協力機構(Eurojust) がウクライナを支援する共同捜査チーム (Ukraine joint investigation team : JIT) に参加している 7 か国の国家当局は、ウクライナで犯された疑いのある中核的な国際犯罪について、米国司法省との間で了解覚書 (以下、MoU) に署名した。この MoU は、ウクライナでの戦争に関連するそれぞれの調査において、JIT パートナー国と米国当局との間の調整を強化する。  このMoU は 3 月 3 日(金)に、7 つの JIT パートナー国の検察当局のハイレベル代表者と米国連邦司法長官メリック B. ガーランド(Merrick B. Garland)によって署名された。  筆者は 2022年9月23日のブログ 「ロシア連邦のウクライナ軍事進攻にかかる各国の制裁の内容、国際機関やEU機関の取組等から見た有効性を検証する!(その3完)」の中で国際刑事裁判所 (ICC)の主任検察官、Karim A.A. Khan QC氏 の声明内容等を紹介した。  以下で Eurojustのリリース文 を補足しながら仮訳する。 President Volodymyr Zelenskiy and ICC Prosecutor Karim A. A. Khan QC(ロイター通信から引用) 1.ウクライナでのJITメンバーと米国が覚書に署名  (ウクライナ)のICC検事総長室内の模様;MoU署名時   中央が米国ガーランド司法長官、右手がICCの主任検察官、Karim A.A. Khan QC氏  MoUの調印について、 Eurojust のラディスラフ・ハムラン(Ladislav Hamran)執行委員会・委員長 は次のように述べている。我々は野心のために団結する一方で、努力においても協調する必要がある。それこそまさに、この覚書が私たちの達成に役立つものである。JIT パートナー国と米国は、協力の恩恵を十分に享受するために、Eurojustの継続的な支援に頼ることができる。  米国司法長官のメリック B. ガーランド(Merrick B. Garland)氏は「米国が 7 つの JIT メンバー国全員と覚書に署名する最初の国になることを嬉しく思う。この歴史的な了解覚書は...

米国連邦取引委員会(FTC)が健康製品に関する新しい拡大コンプライアンスガイダンスを発行

   2022年12月20日、米国連邦取引委員会(以下、FTCという)は、以前の 1998年のガイダンスである栄養補助食品:業界向け広告ガイド(全32頁) を改定および置き換える 健康製品等コンプライアンスガイダンス の発行を 発表 した。 Libbie Canter氏 Laura Kim氏  筆者の手元に Covington & Burling LLPの解説記事 が届いた。筆者はLibbie Canter氏、Laura Kim氏他である。日頃、わが国の各種メディア、SNS、 チラシ等健康製品に関する広告があふれている一方で、わが国の広告規制は一体どうなっているかと疑うことが多い。  FTCの対応は、時宜を得たものであり、取り急ぎ補足を加え、 解説記事 を仮訳して紹介するものである。 1.改定健康製品コンプライアンスガイダンスの意義  FTCは、ガイドの基本的な内容はほとんど変更されていないと述べているが、このガイダンスは、以前のガイダンスの範囲につき栄養補助食品を超えて拡大し、食品、市販薬、デバイス、健康アプリ、診断テストなど、すべての健康関連製品に関する主張を広く含めている。今回改定されたガイダンスでは、1998年以降にFTCが提起した多数の法執行措置から引き出された「主要なコンプライアンス・ポイント」を強調し、① 広告側の主張の解釈、②立証 、 その他の広告問題 などのトピックに関連する関連する例について具体的に説明している。 (1) 広告側の主張の特定と広告の意味の解釈  改定されたガイダンスでは、まず、広告主の明示的主張と黙示的主張の違いを含め、主張の識別方法と解釈方法について説明する。改定ガイダンスでは、広告の言い回しとコンテキストが、製品が病気の治療に有益であることを暗示する可能性があることを強調しており、広告に病気への明示的な言及が含まれていない場合でも、広告主は有能で信頼できる科学的証拠で暗黙の主張を立証できる必要がある。  さらに、改定されたガイダンスでは、広告主が適格な情報を開示することが予想される場合の例が示されている(商品が人口のごく一部をターゲットにしている場合や、潜在的に深刻なリスクが含まれている場合など)。  欺瞞やだましを避けるために適格な情報が必要な場合、改定されたガイダンスには、その適格...

米ノースカロライナ州アッシュビルの被告男性(70歳)、2,200万ドルのポンジ・スキーム(いわゆる「ねずみ講」)等を画策、実施した罪で17.5年の拘禁刑や1,700万ドル以上の賠償金判決

被告 Hal H. Brown Jr. 7 月 10 日付けで米連邦司法省・ノースカロライナ西部地区連邦検事局の リリース   が筆者の手元に届いた。 その内容は「 ノースカロライナ州アッシュビル住の被告男性 (Hal H. Brown Jr., 70 歳 ) は、 2,200 万ドル ( 約 23 億 5,400 万円 ) のポンジ・スキーム (Ponzi scheme : いわゆる「ねずみ講」 ) 等を画策、実施した罪で 17.5 年の拘禁刑 や 1,700 万ドル ( 約 18 億 1,900 万円 ) 以上の賠償金 の判決 を受けた。被告は定年またはそれに近い人を含む 60 人以上の犠牲者から金をだまし取ったとする裁判結果」というものである。 筆者は同裁判の被害額の大きさだけでなく、 1) この裁判は本年 1 月 21 日に被告が有罪を認め判決が出ているのにかかわらず、今時点で再度判決が出された利用は如何、さらに、 2)Ponzi scheme や取引マネー・ローンダリング (Transactional Money Laundering) の適用条文や量刑の根拠は如何という点についても同時に調査した。 特に不正資金の洗浄運び屋犯罪 (Money Mules) の種類 ( 注 1) の相違点につき詳細などを検証した。 さらに裁判官の連邦量刑ガイドラインや具体的犯罪の適用条文等の判断根拠などについても必要な範囲で専門レポートも参照した。 これらについて詳細に解析したものは、米国のローファームの専門記事でも意外と少なく、連邦検事局のリリース自体も言及していなかった。 他方、わが国のねずみ講の規制・取締法は如何、「ネズミ講」と「マルチ商法」の差は如何についてもその根拠法も含め簡単に論じる。いうまでもないが、ネズミ講の手口構成は金融犯罪に欠くべからざるものである。高齢者を狙うのは振込詐欺だけでなく、詐欺師たちは組織的にかつ合法的な似非ビジネスを模倣して、投資をはじめ儲け話しや貴金属ビジネスなどあらゆる違法な手口を用いている。 ( 注 2) 取締強化の観点からも、わが国の法執行機関のさらなる研究と具体的取り組みを期待したい。なお、筆者は 9 年前の 2011.8.16 に...