スキップしてメイン コンテンツに移動

英国のビジネスに役立つフランスCNILのGDPRブロックチェーン・ガイダンスを読んでみる(blockchainと欧州における情報保護(GDPR ) )

 

 筆者の手元に5月13日付けの英国大手ローファームPinsent Masons LLPのレポート“French GDPR blockchain guidance useful for UK businesses”が届いた。すなわち、英国のブロックチェーン・ユーザーは、EUの一般データ保護規則(GDPR)や英国の1998年データ保護法の遵守を支援するためにフランスで開発された「よく書かれかつ有用な」ガイダンスとして2018年9月24日にCNILが公表した“Blockchain et RGPD : quelles solutions pour un usage responsable en présence de données personnelles ?”(同年11月6日に英語版が公表)に対し保護当局である情報保護コミッショナーズ事務局(ICO)は大手ローファームである Masons LLPのOut-Law編集者に語ったとある。

 つまり、英国ICOは「他国(フランス)の規制当局のガイダンス」を正式に承認するものではないが、英国は「近い将来」のブロックチェーンおよびデータ保護法の使用に固有のガイダンスを公開する予定はないとし、フランスのデータ保護機関であるCNILが作成した英文ガイダンスは、「この分野で働く人々に役立つ」と説明した。

 一方、ブロックチェーンとGDPRの関係に関する研究は欧州議会STOA研究報告が2019年7月に公表されているほか、世界的企業コンサルタント会社であるOneTrust DataGuidance Limited.などが解説を試みている。

 他方、わが国でブロックチェーン技術とGDPRについて正面から取り組んだレポート(注1)は皆無に近いが、欧米では研究者の専門論文(SSNR)(注2)かなりのレポートが見られる。その意味で今回のブログではCNILガイダンス概要を概観するにとどめるが、後日改めてSTOA報告やSSRNの詳しい内容について解説を試みたい。

1.Pinsent Masons のCNILのブロックチェーンの使用時のGDRP遵守の関するガイダンスの解説要旨
 ブロックチェーン技術の使用が「一般データ保護規則(GDPR)」に準拠していることを確認するためのCNILガイダンスは、フランス情報保護当局(CNIL)によって英語に翻訳(2018.11.6:Blockchain and the GDPR: Solutions for a responsible use of the blockchain in the context of personal data)された。(注3)

 Out-Lawサイトの運営法律事務所であるPinsent Masonsのデータ保護法の専門家であるRif Kapadi氏は、次のように述べている。「ICOはCNILのブロックチェーン・ガイダンスを正式に承認していないが、それが多くの異なる組織がブロックチェーン・テクノロジーを使用することは、データ保護コンプライアンスの問題に対処するのに役立つものである。このガイダンスは、コア・コンプライアンス・ガバナンスの質問を含む、ブロックチェーン開発に中心的なGDPR要件がどのように適用されるかについての歓迎の意思と分析を提供する。また、ビジネスが直面している主な落とし穴にフラグを立てます個人データが関係するブロックチェーンを使用する」

 パリのPinsent Masonsオフィスのアナベル・リシャール(Annabelle Richard)とポーリン・ビネリ(Pauline Binelli)は、ブロックチェーンに関するCNILのガイダンスは、保健機関や金融機関を含む多くの組織・団体からの要求によって促されたと2018年10月に説明している。

 すべてのブロックチェーンプロジェクトが個人データの処理に関与するわけではないが、個人データに関与するブロックチェーン・プロジェクトの場合、CNILはデータ保護のリスクに対処するために「設計によるプライバシー」の原則を提唱している。

 また、CNILは、ブロックチェーンを使用している企業は、データ管理者が誰であるかを特定し、データ主体のさまざまな権利を提供し、処理に関する適切な保護手段を確立し、データセキュリティに関する義務を果たす必要があると述べ、下請契約に関連するGDPR義務の実施と個人データの国際転送を管理するルールは、特にパブリック・ブロックチェーンが使用されている場合は特に注意が必要であると述べている。

****************************************************************************
(注1) 西村あさひ法律事務所「ヨーロッパニューズレター」2018年11月号 の該当箇所を以下、引用する。
(2)BlockchainとGDPRに関するガイドラインの公表  2018年9月24日、CNILは、ブロックチェーンとGDPRの関係に関するガイドラインを公表した20。その中では、どのようなブロックチェーンであればGDPRに抵触するリスクが生じ得るのか、ブロックチェーンに参加するどの主体がGDPR上の責任を負い得るのか、どのようにGDPRに抵触するリスクを低減できるか等について検討がなされている。欧州委員会でも2018年2月1日にEU  Blockchain  Observatory  and  Forumが設置され21、2018年6月8日にはブロックチェーンとGDPRとの関係等についてのWorkshopが開催されるなど、議論が進んでいる22。  EUに限らず、特定の主体が個人情報を管理することと、個人データの訂正・削除を求めることができることとを特徴とする各国の個人情報保護法制と、分散管理とデータの削除を認めないこととを特徴とするブロックチェーンとの間には相容れないように見える点がある。両者の間でどのような調和が目指されるべきかについては、今後世界各国で議論が活発化するものと思われる。

(注2) Pinsent Masons LLPのレポートにspelling errorがあった。以下の赤字箇所である。同事務所には筆者は連絡する予定である。
The CNIguidance, which seeks to ensure the use of blockchain technology complies with the General Data Protection Regulation (GDPR), has been translated into English by the French authority.

(注3) SSRNはオープンアクセスのオンライン前刷りコミュニティで、主要な学術団体や政府機関に貴重なサービスを提供している。SSRNは主に経済学、法学、コーポレートガバナンス、人文科学などの社会科学を専門としていたが、他の科学分野も対象とするようになっている。学者に対して、初期の研究を掲載し、理論や発見についてコラボレーションし、査読前にアイディアに対して評価を受けられる機会を提供している。
SSRNは博士号過程履修者、教授、機関職員が、学術ジャーナルに出版する前に、初期段階の研究を掲載する開始地点として役に立っている。

********************************************************************
Copyright © 2006-2020 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

 

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...