最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

  　 Last Updated:March 1,2022 　筆者は2017年以降中国の国家ｻｲﾊﾞｰ強化やインターネット安全法やプライバシー保護立法の最新動向を紹介してきた ｡(注0) 　その中で 「平成２９年度内外一体の経済成長戦略構築にかかる国際経済　調査事業（デジタル貿易に関連する規制等に係る調査）調査報告書」 を読んだ。経済産業省の委託研究であり、筆者のレベルをはるかに超える網羅した内容であることは否定しがたい。 　しかし、他方で同報告書も含めペーパーベースの報告書の限界も見えてきた。すなわち、同報告書は今から約4年前に作成されたものである。注記で最終アクセス日が記載されており、詳しい最新情報は機密情報を除き独自に調べざるを得ないと考えるが、さらに専門解説書として読んだ場合、不備な点が多く見られた。 　以下で、具体的な中国の最新法令情報の入手や前記報告書の課題点等を例示する。 １．中国の法令の最新情報の入手方法 (1)情報の入手先の拡大 当然ながら中国政府の公式サイトから入手するのが間違いない。しかし、中国の大手ローファームの情報も有益である。JETROや北大法宝（pkulaw）(中国の法律、条約、判例、逐次刊行物等が提供されている法情報データベース： 法律については100%英訳が併記されている。ただしその閲覧対象は限定されている)のみに頼るのではなく、実際に利用してほしい。 　例えば、「中倫(zhong lun)法律事務所」 (注1)(注2) である。同事務所の 「データアウトバウンドセキュリティ評価ガイド(ドラフト)の解釈」 を読まれたい。 要旨を一部引用し、仮訳すると以下のとおりである。 　「2017年5月27日、国家情報セキュリティ標準化技術委員会(以下「安全基準委員会」)は、「情報セキュリティ技術データの出国安全評価ガイドライン(草案)」(以下「評価ガイドライン」)の草案を公表した。 データ出国安全評価の国家推奨基準として、評価ガイドラインは、データ出国安全評価プロセス、評価ポイント、評価方法などを定め、重要なデータ識別ガイドラインを初めて公表し、27の産業における重要なデータの範囲を網羅し、個人情報や重要なデータの出国評価に規範的なガイダンスを提供し、データフローによるセキュリティリスクを防止するためのガイドラインを定める。・以下。略す...

  筆者は2006年12月の ブログ(その1) 、 同(その2完) でスイスのインサイダー取引の法規制について詳しく論じた。一般的にスイスの金融の特徴にインサイダー規制の弱さや顧客の機密保護の強さがよくあげられる。 　今回のブログは前者に的を絞り、スイスが2013年から2016年にかけて大胆に法規制、監督規制機関等の内容を見直しており、その経緯も含め内容を詳しく解説するものである。 　なお、筆者は最近「スイスの銀行秘密法が言論の自由と衝突」という記事を読んだ。その内容については機会を改めたい。 １．スイスのインサイダー取締の法規制のこれまでの経緯  　以下に述べるとおり､三段階にわたり法整備が行われた。 (1) 1988年7月1日 、刑法第161条 で初めてインサイダー取引規制 　米国証券取引委員会(SEC)からの圧力の下で、スイスで最初のインサイダーの罰則規範は1988年7月1日に刑法第161条で明文化され、それ以来「レックス・アメリカーナ(Lex Americana)」というニックネームも付いている。しかし、スイス刑法第161条で当時規制されていた禁止は、インサイダー取引に対する有罪判決を数回しか受け入れられなかったため、インサイダーを取り締る刑法は高い期待に応えたことがなかった。この理由は、繰り返し司法無罪につながった当時のスイス刑法第161条の事実関係判断のあまりにも狭い定式化にあった。 2013年改正前の関係法図 (2) インサイダー取引に関する刑罰法規はスイス刑法(Schweizerisches Strafgesetzbuch ：StGB)から 「証券取引所および証券取引法(SESTA)」 に移管 　2013年1月5日の法改正により、インサイダーに関する刑罰法は 刑法(Schweizerisches Strafgesetzbuch ：StGB) から「証券取引所および証券取引法(SESTA)」 (注1) に移管され、単一の監督権限(スイス金融市場監督局（FINMA）)の中心的な能力と、刑事規範の客観的事実の策定に関する調整が行われた。 Marlene Amstad 氏(FINMA 理事長)2021.1.1 就任 　2013年5月1日、インサイダー取引と相場の違法操作に関するスイスの新しい規制法が発効した。 主な規定は、「改正証券取引所法...

         筆者は 2006年11月18 日付けブログ の更新作業を行う中で大幅に内容を更新する必要を感じ、改めて関係資料を調べてみた。さらにこれと関連し、ドイツの金融機関の構成、機能､ドイツの預金保険や投資家保護法制に関し, EU指令の改正動向やこれを受けたドイツの国内法の改正などについても加筆せざるを得ないと感じた。 　時間の関係で網羅した内容ではないが、わが国では専門的に読める解説が極めて少ないことから、あえてチャレンジした。 １．2020年7月1日にGeldKarte / girogo機能を廃止 　 貯蓄銀行Sparkassサイトの解説 を引用、仮訳する。 　ドイツ貯蓄銀行協会(Deutscher Sparkassen- und Giroverband： DSGV )はGeldKarteとプリペイド支払い機能カードgirogoに別れを告げた。2020年7月1日以降、貯蓄銀行は、GeldKarte / girogo機能とロゴなしのSparkassenカード（デビットカード）のみを発行する 。すでに発行されているSparkassカードは、カードの用語に沿って徐々に新しいカードに置き換えられている。2025年以降、計画によれば、この機能を備えたSparkasseカードはなくなる。 　このGeldKarte / girogo機能を廃止する理由は、市場の状況の変化と、顧客にますます人気が高まっている新しい支払い方法である。これまで、GeldKarte / girogoで支払うには、事前にクレジットを補充する必要があった。  Sparkasseカード（非接触型girocard） 、 Sparkasseクレジットカード 、 スマートフォンを使用した非接触型決済 など、技術的に新しい支払い方法では、この作業は不要になる。 ２．ドイツの金融システムの概要と各銀行協会等の構成とカードシステム等主な機能面の役割 (1)概要 　一般財団法人自治体国際化協会ロンドン事務所の 「ドイツの公営銀行制度の動き」 から、主要部を抜粋する。 　ドイツでは、銀行などの金融機関を三つに大別することができる。民間銀行、公営銀行及び共同組合銀行（Genossenschaftsbank）である。 　　公営銀行は、州立銀行（Landesban...

  2022-02-22 16:39:25  |  国家の内部統制 　2022.2.22 筆者の手元に欧州安全保障協力機構(OSCE) のリリース「ロシアのプーチン大統領がウクライナのドネツクとルハンスクの特定の2地域を国際法で国家として承認(recognize)すると発表したことにつきOSCEウクライナ担当特別代表であるキヌネン特別代表の声明」が届いた。 　その内容は以下で詳しく述べるが、その前提として「ドネツク人民共和国」と「ルガンスク人民共和国」なるものがいかなる国？なのかも理解できなかった。 (注1) 　現にキヌネン特別代表はドネツクとルハンスク地域はウクライナの特別な紛争地域としており、そこで引用された「 ミンスク議定書(Minsk agreements) 」 (注2) は、2014年9月5日にウクライナ、ロシア連邦、ドネツク人民共和国、ルガンスク人民共和国が調印した、ドンバス地域における戦闘（ドンバス戦争）の停止について合意した文書である。これは欧州安全保障協力機構（OSCE） (注3) の援助の下、ベラルーシのミンスクで調印された。しかしドンバスでの休戦は失敗した。2022年2月22日にウラジーミル・プーチン大統領がドネツク・ルガンスク両州の独立を認める書類に署名したことにより、 ミンスク議定書は破綻した といえる。  　今回のブログは、ウクライナの複雑な政治環境の理解に少しでも寄与できるよう急遽まとめたものである。 １．OSCE（Organization for Security and Co-operation in Europe：欧州安全保障協力機構）の概要ならびに「ドネツク人民共和国」「ルガンスク人民共和国」の国際法上の地位 　OSCE（Organization for Security and Co-operation in Europe：欧州安全保障協力機構）は、北米、欧州、中央アジアの57か国が加盟する世界最大の地域安全保障機構である。経済、環境、人権・人道分野における問題も安全保障を脅かす要因となるとの考えから、安全保障を軍事的側面のみならず包括的に捉えて活動している。 　そこで筆者が気が付いたのは、ウクライナはともかく ロシアもOSCEの加盟国である 点である。この点に関し、2月22日の読売新聞オ...

  　 　2月7日、筆者の手元に米内国歳入庁(IRS)からリリース 「IRSは、顔認識を含む民間身元確認技術会社たるサードパーティ(ID.me)の顔認識システムの使用を中止し、別の本人認証システムに移行する旨発表」 が届いた。 　その内容を要約すると、申告シーズン中の納税者の大きな混乱を防ぐために、この中止は今後数週間にわたって行われる。この中止中、IRSは顔認識を伴わない追加の認証プロセスを迅速に開発し、オンライン化する。また IRSは、政府間パートナーと協力して、納税者データを保護し、オンライン・ツールへの幅広いアクセスを保証する認証方法を開発する。 　2月7日発表された ID.meシステム (注1) の使用中止と別認証システムへの移行は、納税者が申告書を提出したり、未払いの税金を支払ったりする能力を妨げるものではない。この期間中、IRSは引き続き税務申告を受け付け、現在の税務シーズンに他の影響はない。人々は通常どおりに税金を申告し続ける必要があるという内容である。 　この問題につき、筆者は2月2日付け本ブログ 「IRSは税務記録にオンラインでアクセスするために納税者に顔認識識別情報の提出を義務付ける認証システムにつき代替システムを検討開始」 　でロン・ワイデン(Ron Wyden)上院議員(民主党：オレゴン州)等超党派連邦議会議員や人権擁護団体、さらには主要メディアの記事や「1:1マッチング(照合)」や「1:Nマッチング(識別)」技術等につき詳しく取り上げている。 　しかし、その一方で(1)民間企業であるID.meのCEOのこの問題に対する不誠実な対応とはいかなるものか､(2)ID.meのサイトの最近のブログ投稿では、会社がIDを検証する方法と、顔を照合するために依存するアルゴリズムに名前を付ける方法について説明している。これには、 Paravision（NISTによってテスト済み） やAmazonが発売した製品である AmazonのRekognition が含まれる。果たして、IRSは本当にかなり精度が低いと言われる顔認識システムの導入をまだあきらめていないのではないか、(3)　米国の警察が使う「アマゾンの顔認識技術」、 その利用の一時停止は大きな転換点になるかといった問題 をどうクリアするのか、すなわち米国の警察当局が採用しているアマゾンの顔認識技...

  　 　2022.2.8のロイター通信、Bloomberg等は　オランダ消費者・市場庁（ACM）は2月７日、米アップルのアプリ配信サービス「アップ・ストア(App Store)」で提供されている出会い系アプリに関して、アプリ･プロバイダーがアップル以外の決済手段を利用できないよう不当に制限しているとして、改めて500万ユーロ（約6億5800万円）の制裁金を科したと発表した。 　アップルに対するACM制裁金命令はこれで３度目であり、ACMは2022年1月15日を期限として是正措置を講じるよう指示したが、同社がその遵守を怠ったとして毎週500万ユーロの制裁金を科している。 　ところでこれだけの大きな問題であるにも拘わらず、筆者は本質的なアップルの違法性の内容が理解できなかった。そもそもアップルがアプリ･プロバイダーにデジタル・コンテンツ(「super likes 」や「boost」など)を販売させた場合とはいったい何を指すのか。筆者自身これまで出会い系アプリを利用したことがなく、そのビジネス自体がどのようなものかが理解できなかった。 https://apps.apple.com/jp/app/super-likes-hashtags-captions/id1403657541 https://apps.apple.com/jp/app/match-boost-for-tinder-see-who-alreadly-liked-you/id1131405194 　今回のブログは、(1)ACMのアップルに対する行政命令および(2)アップルの反論内容、(3)アップルのACMへの暫定差し止め命令要請に対するロッテルダム地方裁判所の予備救済裁判官の決定内容等、今般のACM命令の内容を詳しく整理したいと考え、まとめてみた。 　また、同時にわが国では詳しい解説が皆無ある(4)ネザーランズの裁判制度についても調べた範囲で最後にまとめた。機会をあらためて詳しく解説したい。 １．ACMの役割や任務 　ネザーランズ消費者・市場庁（Autoriteit Consument & Markt：ACM）は、市場が人々と企業にとってうまく機能することを保証することにより、健全な経済の実現に貢献している。市場がうまく機能すれば、企業は互いに公平に競争し、人々や企業は不公正な慣行によって...

   　筆者は、 2020年7月25日､欧州司法裁判所がSchremsⅡ判決でEU市民の第三国へのデータ移送に関しプライバシー・シールド決定の無効判断および標準的契約条項(SCCs)に関する決定の有効性判断(その1) 、 8月9日、同(その2完) で､欧州司法裁判所のSchremsⅡ判決を取りあげた。 　しかし、その後のGoogle やEU内のウェブサイト運営者は依然Google Analyticsを活用することを止めず、他方、米国諜報機関への個人データの流失リスク問題は未可決のままであった。 　このため、オーストリアに本部を置くEU全体のプラーバシー保護・訴訟団体 「None of your business (以下、NOYBという)」    (注1) はオーストリアのデータ保護当局（「Datenschutzbehörde：以下、DSBという）に対し告訴し、そこ決定が2021年12月22日に行われた。 　NOYB　は、2022年1月13日に、2021年12月22日に発行されたオーストリアのDSBの決定を公表した。 その決定において必要に応じて適切なレベルの保護を確保せずにGoogle Analyticsを継続的に使用することにより、米国の諜報機関や関係法は米国の輸入業者であるGoogle LLCに個人データをウェブサイト運営者がエクスポートすることとしており、これは「EU一般データ保護規則（規則（EU）2016/679）（以下、GDPRという）」の規定 GDPRの第V章に基づき、2020年8月にNOYBがDSBに代表する申立人の苦情を受けた「データ保護委員会 v. Facebook Ireland Limited、Maximillian Schrems（C-311 / 18）（「SchremsII事件」）」における 欧州司法裁判所（「CJEU」）の判決 の要件に違反するという告訴内容である。 　DSBの決定は本文で述べるとおりであるが、より詳しく解説すると「DSBは、データ受取人としてのGoogle LLCに対する告訴請求を拒否し、データ移転に関する規則はEUのウェブ運営法人にのみ適用され、米国のデータ受領者には適用されないと判断した。しかし、同時にDSBは、EUのデータ輸出業者による明示的な命令なしにGoogleが米国政府(...