最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 Last Updated:May 16, 2021 　2019.5.12 付けReed Smith LLPのブログ 「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」 が手元に届いた。 　この事件は、 EUの一般データ保護規則(GDPR)が完全実施期限である2018年5月25日の数日前である5月7日に、フランスの個人情報保護機関である 「情報処理及び自由に関する国家委員会(Commissionnationaledel'informatiqueetdeslibertés：CNIL)」審決(Délibération n°SAN-2018-002 ) は、Webサイト上の個人データの保護を怠ったことを理由に、 オプティカル・センター(Optical-center.fr )  (注1) に25万ユーロ(約3,070万円)の罰金を科し、顧客のデータの個人情報および機密情報を含む請求書および購入注文へのアクセスを許可した。 　これに対し、オプティカル・センターは行政最高裁判所である国務院(Conseil d’État)   (注2)  に控訴し、 国務院は2019年4月17日付けの判決(decision No.422575 10 éme -9éme Chambre) で制裁内容を確認したが、罰金の額を20万ユーロ(約2,456万円)に再査定した。 　その点で、国務院による罰金額のわずかな引き下げは、行政最高裁判所による実用的かつ寛容なアプローチを示している。この減額措置は、いかなる理由に基づくものと考えるべきか、今回のブログはCNILの調査の内容、GDPR違反の内容、これからの企業活動への影響などにつき簡単に考察するものである。 １．2018.5.7 CNIL審決に至る経緯 　2019.5.12 Reed Smith LLPのブログ「フランス行政最高裁判所は、CNILによる罰金の額をわずかに減らした。これは氷山の一角であるか？」を 仮訳 する。なお、必要に応じ筆者が関係するリンクを張った。 　CNILが審決した理由は次のとおりである。 　オプティカ...

  ３．リトアニア共和国におけるGDPR適用1年目を概観 (GDPR implementation in Lithuania: Almost a year in review)」  　 IAPPのレポート を以下、 仮訳 する。 　2018年7月11日、リトアニア共和国は 「改正個人情報保護法(Asmens duomenų teisinės apsaugos įstatymo Nr. I-1374)」 を制定した。同法(第3章第7条～第14条)に基づき 2つの監督当局、 すなわち、(1) 国家データ保護総局(State Data Protection Inspectorate)  と(2) ジャーナリスト倫理査察官事務所(Office of the Inspector of journalist Ethics)  が規制の監視と適用を任じられた。 　2018年のこれらの立法努力は主に彼らの諮問および調査の権限を行使することに加えて、EU一般データ保護規則(GDPR)に関連した一般の人々の認識の促進に集中した。2018年、リトアニアのデータ保護当局(以下、「DPA」という)は、データ主体から859件の苦情を受けた(2017年では480件にすぎなかった)。その大部分の苦情は、①ダイレクト・マーケティング目的のデータ処理、②特別なカテゴリーの個人データの処理、および③閉鎖回路テレビ(CCTV)  (筆者注8) に関する問題に関連していた。また、DPAは、100件のデータ侵害通知を受信した一方で、民間と公共の両方を含む1470の団体・組織がデータ保護責任者(data protection officer)の任命につきDPAに通知を行った。 DPAは2018年に職権上の調査をいくつか実施し、GDPRの違反を発見したが、罰金は課さなかった。 　本寄稿は、リトアニア共和国のDPAが最近発表したデータ保護影響評価である「ブラックリスト」を分析し、2019年に予定されている進行中および今後の職権上の調査について議論する勧...

  　5月17日、筆者の手元に大手ローファーム Fox Rothschild LLP  「GDPRのデータ管理違反に対するリトアニア共和国のデータ保護調査に基づき罰金制裁(Lithuanian Data Protection Inspectorate Levies Fine for GDPR Data Management Violations)」 というブログが届いた。 (筆者注1) 　(1)リトアニア共和国の国家データ保護総局(State Data Protection Inspectorate)は、GDPRのデータ最小化、適切なセキュリティ対策、およびデータ漏洩の報告要件の違反について、支払サービス・プロバイダー ”Mistertango”    (筆者注2) に対して61,500ユーロ(約755万円)の罰金を課した、というものである。 　筆者としては、その内容を単に仮訳するだけでなく、リトニア共和国のデータ保護法や保護機関等についても併せ調査したいと考えていたところ、データ保護に取り組む国際的なNPO団体である「国際プライバシー専門家協会 (International Association of Privacy Professionals.：IAPP)」 (筆者注3) の詳しい解説にぶつかった。 　すなわち、　(2) 「リトアニア共和国におけるGDPR適用1年目を概観(GDPR implementation in Lithuania: Almost a year in review)」 というレポートが届いた。また、IAPPは2018年7月16日付けで(3) 「リトアニア共和国が新たな個人情報の法的保護法を適応(Lithuania adopts new Law on Legal Protection of Personal Data )」 を報じている。 　今回のブ...

  　 Last Updated:May 14,  2019 　 去る8月28日付けの本ブログで、筆者は 「米国『スケアウェア詐欺』に見る国際詐欺グループ起訴と国際犯罪の起訴・裁判の難しさ」 を取り上げた。 　9月30日、連邦司法省ニューヨーク南部地区連邦検事局、ニューヨーク郡地方検事局(District Attorney for New York County)、FBIニューヨーク事務所(field office of FBI)等はオンライン・バンキングにおける銀行の機密取引情報を盗み、ACH (筆者注1) と電子通信詐欺(Wire Fraud)を介し、世界中に数百万ドルの被害を引き起こした詐欺グループ37人を逮捕し旨 リリース した。 　犯人グループはキー・ロガーを利用したマルウェア“Zeus Trojan”  (筆者注2) を利用していた。 　一方、英国では9月29日にロンドン警視庁(MPS)のサイバー犯罪特別捜査チーム(PCeU)  (筆者注3 ) が、数千人の銀行顧客口座から最高600万ポンド(約7億6,200万円)以上を盗取した罪で東欧出身者19人を逮捕した旨 発表 した。 　犯罪者グループはマルウェア“Zeus Trojan”を利用し、オンラインバンキングにかかるログオン情報を盗取したうえ、無権限アクセスを行い犯罪組織が管理する海外の口座に送金した。その手先になったのが違法な海外への資金の送金請負人“Money Mules”であった。 　特に海外メディアはコメントしていないが、これら犯罪者たちの年令に注目して欲しい。米国の場合ほとんどが20歳前後である。また英国の場合、20歳代後半から30歳代前半である。彼らが何ゆえこれらの犯罪に引き込まれたのか、どのような国際犯罪組織が暗躍しているのか。英国の起訴犯人グループは年令が米国より上（20歳代後半）であるが、その多くは失業者である。 　 本文を読まれると理解できると思うが、経済的に恵まれない東欧諸国の若者を巻き込んだ詐欺犯罪として従来のサイバー犯罪の類型とは異なる手口である。 　仮に彼らが有罪と判断させたときの最高刑はあまりにも重い気がするが、これが世界の現実である。さらにいえば、わが国の若者がこの手の犯罪グループに安易に巻き込まれない保証はない。 　経済の低迷が続くわ...

  　ワシントン州議会の 「プライバシー保護法案(SB 5376)(以下「WPA」という)」 の審議は2019年4月に州議会委下院で行き詰まり、2020年の立法セッションの議論のため再び登場することはないであろう、という 筆者ブログをさる4月23日に掲載 した。  　予想したとおり、同法案(WPA)は圧倒的支持により上院を通過したが、州議会の議員が予算に関連しない事項を検討するための2019年4月17日の期限前に下院で議決権を行使できなかった。この採決の遅れは、顔認識技術の規制や潜在的な法執行メカニズムなどの重要な問題についてのコンセンサスが得られなかったから生じたように思われる。 　さる5月8日、筆者の手もとにCovington & Burling LLP 「ワシントン州議会の議員はプライバシー法案を通過期限に間に合わなかったが、「漏えい通知法」の改正に関しては合意に達した」というブログ が届いた。また、5月9日には Hunton Andrews Kurth LLP 「Washington Amends Data Breach Notification Law」 が届いた。(後者のほうが内容は詳しい)  　2019年5月7日に、ワシントン州知事 ジェイ・ロバート・インスレー(Jay Robert Inslee)   (筆者注1) は、ワシントン州の 「データ漏洩通知法を改正する法案（ HB 1071 ）」 に署名した。 Governor:Jay Inslee 　今回のブログは、これらブログをもとに今回可決した漏えい通知義務法の改正概要を 仮訳 し、紹介することとする。 １．ワシントン州議会の上下院での情報保護法及び漏えい通知義務法改正案の採決結果 　もし下院が法案を可決したならば、ワシントン州は重要なプライバシー法を制定した米国で2番目の州になったであろう。ＥＵの「一般データ保護規則 (GDPR)」をいくつかの点を反映したこの法案は、データ主体たる消費者のアクセス、修正、削除の権利を与え、対象となる事業につき、開示とリスク...

  　2019年4月23日、第13期 中国全国人民 代表大会常務委員会 は、 不正競争防止法の改正案を採択 し、中国の企業秘密保護法にあたる 「1993年反不正当竞争法」 を大幅に強化した。 中国における知的財産保護の強化は、中国と米国を含む国際社会との間の重要な貿易交渉に先立って行われた。 　なお、国際化という同様の趣旨で中国は商標法の改正法案の改正案も同日、常務委員会で採択している。  　今回のブログは、 2019.5.7 Crowell & Moring LLP「China Strengthens Trade Secret Protections Ahead of Trade Negotiations」 に基づき、そのポイントを 仮訳 、解説する。また、参考までに常務委員会が採決した一連の関連法の改正法うちの7番目の「反不正当竞争法(不正競争防止法)」の改正箇所を筆者なりに 仮訳 し、２．附則として載せる。  　なお、同法は 2017年11月4日に一部改正 を行っている。反不正当竞争法 （2017年改正）は、2017年11月4日、第12期全国人民代表大会常務委員会第30回会議にて可決、公布された。2018年1月1日施行されている。 (注1) 　同時に行われた、商標法改正については、別途本ブログで取り上げる。 １．1993年反不正当竞争法の一部改正内容  不正競争防止法の主な改正項目は、次の点である。  ① 「商業情報」の定義：以前は商業秘密の定義は「技術的または運用上の」情報に限定されていましたが、改訂された定義には現在「商業情報」が含まれ、保護可能な商業秘密の範囲が大幅に広がった。  ② 「侵害者」の定義：改正案は、侵害者の定義を以前のような「事業者(business opreators)」だけでなく、「その他の自然人、法人または法人組織以外の組織」も含むように広げた。新しい定義は、その範囲内に個々のハッカーまたは悪人(bad actor)を明示することによって旧法の定義を明確化した。 ③ 「侵害...

  　近年、偽のフォロワーや偽の同類の慣行がソーシャルメディア全体に広がっている。”Facebook”や”Instagram”などのソーシャルメディア・プラットフォームは、いわゆる「不正行為」を取り締まっていると発表してはいるが、その慣行は依然として普及、拡大している。 　ソーシャルメディアで広告を出しているブランド企業の場合、偽のフォロワーや同類のものにお金を払うのは魅力的である。すなわち消費者の目にブランドの正当性を追加することで競争力を高めることができ、有名人推薦のお得な情報が利用されている。 　しかし、その利点には反面、重大な法的リスクや新たなIT新技術のリスクが伴う。偽の好き嫌いや信者を違法に購入することによって、ブランド企業は方執行機関からの執行措置および競合他社によってもたらされた誤った広告に関し賠償請求等に直面する可能性があるといえる。 　やや古くなるが、2019年1月30日、ニューヨーク州司法長官レティーシャ・ジェームス(Letitia "Tish" A. James )  (筆者注1) が「偽フォロワーの販売は「違法」とする初めての司法判断」と当該業者グループと「和解」を行った旨 公表 した。 (筆者注2) 　筆者は、選挙運動や世論操作等にも関係するこの問題の重要性を理解してはいたが、このほどこれらの問題点を法的にまとめた ロバート・フロイント(Robert Freund )弁護士のレポート を読んだので、その内容を 仮訳 するとともに補足説明することとした。 　また同時に、ソシャル・メディアが次々と新規参入する一方で、米マーケテイング業界代表であるBBB(Better Business Bureau)がいかにに厳しい目でチェックしているかにつき、併せて解説を試みる。 １．ニューヨーク司法長官による画期的な決定「偽造品エンゲージメントの販売は違法 」  (1)司法長官の違反会社デヴ―ミとの和解 　2019年1月30日、ニューヨーク州司法長官 レティーシャ・A・ジェームス(Letitia "Tish" A. James )(61歳)は、問題の会社「Devumi（デヴ―ミ）」は、他人の身元を盗み...