最新の海外法制、プライバシー保護、セキュリティ強化のガイダンス

 筆者の手元にチェコ個人情報保護庁(uoou.cz)から標記の ニュース が届いた。 さらに調べてみるとPolitico.euやEuronews等もこの問題を取り上げている。 　要約すると、欧州委員会の従業員は、2023年3月15日までに、すべてのビジネス施設だけでなく、ビジネス･ニーズにも使用されている民間施設からも中国のTikTokアプリをアンインストールする必要がある。これは Politico.eu (注1) のサーバーによって報告された。そうしないと、翌日(2023年3月16日)の時点で欧州委員会の内部システムと情報にアクセスできなくなる。 　この問題は単なる従業員のデバイス問題にとどまらない。欧州議会の議員、理事等の活動にかかわる問題であり、さらにEUにおけるTikTok以外のプラットフォームの規制のあり方も含めた明確な施策方針、セキュリティ・リスクの具体的証明が求められる問題であることは間違いない。 　また、わが国のこの問題の取組みはどうなっているのか。わが国のユーザー数は2021年時点で1,690万人となっていると言われる中で､規制強化ははたして可能か。米国に単に追随するのか、アイルランドDPC (注2) のように独自に具体的調査を行っているのか、まだまだ混乱が続くと思われる。 　今回のブログは、現時点の最新情報を提供する。 １． Euronews 「欧州委 員会は、中国政府のサイバーセキュリティの懸念にもとづき TikTok の使用を委員会スタッフに 3 月 15 日までに一時的禁止措置命令」  同記事を抄訳する。 　欧州委員会は、サイバーセキュリティの懸念を引用して、3月16日以降、同委員会の何千人もの従業員が中国が所有するソーシャルメディアアプリTikTokを仕事関連のデバイスで使用することを一時的に禁止した。 　この動きは、中国のテクノロジー企業が北京政府がEU本部があるブリュッセルを含む世界中の機密データの山を集めるのを助けており、その諜報機関が政治的目標に焦点を合わせているという懸念が高まっている中で起きた。 　北京を拠点とする ByteDance が所有し、パンデミック中に人気を博したビデオ共有アプリである “TikTok” は 特に厳しい監視の下 で 大西洋の両側の立法者から、そのユーザーからのデータが中国共産党によ

 2022年６月頃､ロシアのウクライナへの軍事侵攻を巡りロシアと隣接するフィンランドとスウェーデンのNATO加入問題が大きく取り上げられていた。この問題は加盟国中、トルコの反対で中断したことまでがわが国でも報じられていたが、その後の進行が明確に見えなくなっていた。 　まず、2月8日の国務省の米国国務長官とNATO事務総長の共同記者会見のうちフィンランドとスウェーデンにATO加盟問題部分に当たり改めて整理したいと考えた。 　また、わが国の一部メデイアでも報じられたとおり、2022年6月28日 フィンランド、スウェーデンおよびトルコの3か国覚書が締結されたことは加入問題の具体的進展があったことは間違いない。しかしNATO加盟国中トルコとハンガリーの2か国は現在でも批准していない。2022年６月頃､ロシアのウクライナへの軍事侵攻を巡りロシアと隣接するフィンランドとスウェーデンのNATO加盟問題が大きく取り上げられていた。この問題は加盟国中、トルコの反対で中断したことまでがわが国でも報じられていたがその後の進行が明確に見えなくなっていた。 　さらに1月30日から3日間NATO(北大西洋条約機構)の ストルテンベルグ事務総長が訪日 した。公にはなっていないが、対ロシア問題、中国や北朝鮮に対抗したインド太平洋地域の軍事同盟問題も取り上げられたことは間違いない。 　今回のブログは、関係シンクタンクの解析等を参照にこの問題に焦点を当てて詳しく論じるとともに以外にも両国のわが国との軍事面の関わりを論じる。 　 Council on Foreign Relationsから引用 １．NATOや米国にとってのフィンランド、スウェーデンのNATO加盟問題の見方 　去る2月8日､米国DOS 長官とNATO事務総長の国務省での 共同記者会見 のうちフィンランドとスェーデンにATO加盟問題部分を抜粋、以下、仮訳する。 質問 ：ブリンケン長官への質問。バイデン政権にとって、フィンランドだけでなくスウェーデンもNATOに加盟することを許可されていることはどれほど重要であるのか?　そして、トルコのエルドアン大統領 (注1) とのこの議論を解決するために、米国は何をしているのか?　米国は、トルコがその立場を変えることにどのように影響を与えることができるか? ブリンケン国務長官 :最初

 　欧州連合の一般データ保護規則(GDPR)の下では、個々のデータ主体は、データ主体の個人情報に関する情報を共有することをデータ管理者に要求する権利を有する。これには、データ主体の個人データが開示された「受信者または受信者のカテゴリー」を知る権利が含まれる。これまで、データ管理者は、特定の受信者を名前で開示するのではなく、受信者のカテゴリーのみを開示することをデフォルトで行っていた。しかし、それはCJEU判決により変わろうとしている。 　今回のブログは､Bradley Arant Boult Cummings LLPの レポート(著者はBenjamin William Perry氏 & Rachel M. LaBruyere氏) などに基づき欧州司法裁判所判決の重要論点を論じる。 Benjamin William Perry氏 Rachel M. LaBruyere氏 １．要旨 　2023 年１月12日、欧州連合司法裁判所(CJEU)は、データ主体のアクセス要求に応じて、データ管理者は受信者のカテゴリ-だけでなく、受信者を具体的に特定する必要があるとの 判決 を下した。 この判決は、 GDPRの第13条(データ主体のアクセス権) に基づくデータ主体のアクセス要求に特に対処したが、この決定は、 GDPR第15条 に基づく収集時点での必要な開示にも重要な影響を及ぼす。 ２．事件の背景・経緯 　この事件は、オーストリアの個人であるRW氏が、オーストリアの郵便サービスプロバイダーである Österreichische Post AG (以下、OPという) (注1) にデータ主体アクセス要求を提出し、データの受信者の身元を求めたときに始まった。GDPRの第15条に従い、データ主体は「個人データが開示された、または開示される予定の受信者または受信者のカテゴリ-を要求することができる。RWへの回答の中で、OPは、マーケティング目的でRWの個人情報を取引パートナーと共有しているが、特定の受信者を特定することを拒否したと述べた。 　原告RWは受信者の身元を求めて訴訟を起こしたが、GDPRが「個人データが転送される特定の受信者を名前で特定することなく、受信者のカテゴリのみをデータ主体に通知するオプションを管理者に与える」という理由で、訴訟は当初却下された。R

 英国金融行動監視機構(FCA)は、2014年10月から2019年7月までのマネーローンダリング防止(AML)システムと管理上の深刻な脆弱性に対して、 ギャランティ・トラスト・バンク(UK)リミテッド(Guaranty Trust Bank (UK) Limited、以下「 GTバンク 」という) (注1) に7,671,800ポンド(約12億2,720万円)の罰金を科した旨の リリース が筆者の手元に届いた。以下で、筆者なりに補足、仮訳する。 　この関連期間中、GTバンクは適切な顧客リスク評価を実施できず、多くの場合、顧客によってもたらされるマネーローンダリング・リスクを評価または文書化していなかった。 　また同銀行は、顧客取引と取引関係を必要な基準をもって監視していなかった。 　これらの弱点は、FCAを含む内部および外部の情報源によってGTバンクに繰り返し強調されたが、それにもかかわらず、GTバンクはそれらを修正するための適切な措置を講じることを怠った。 　2018年初頭から、GTバンクは新規顧客の獲得を停止した。その年の後半、GTバンクは、FCAの継続的な懸念を考慮して、ビジネスに対するより広範な自主的な制限に同意した。その制限要件は、銀行が独立した第三者によってチェックされた修復計画を完了した後に解除された2021年半ばまで有効であった。 　GTバンクの行為は、同銀行がAML管理に関連して法執行措置に直面したのはこれが初めてではなく、FCAは2013年8月に重大かつ体系的な懈怠に対してGTバンクに525,000ポンド(約8,452万円)の罰金を科したことから、特に悪質といえる。 　FCAは、個人や組織が金融機関を使用して、違法な手段で取得した資産から利益を得るのを防ぐための制限を回避するリスクを軽減するために、効果的なAML管理を実施することを企業に求めている。 　FCAの執行および市場監視担当エグゼクティブディレクターであるマーク・スチュワード(Mark Steward)氏 (注2) は、次のように述べた。 Mark Steward氏 　「GTバンクは、2013年の罰金に続いて、適切なAML管理を実施するために迅速に行動すべきであったが、そうしなかった。GTバンクは、AMLの弱点に対処できる計画を策定しておらず、AMLとより広い市場を金

 2023.2.9 筆者の手元にABC news 「中国製の防犯カメラがスパイウェアの懸念によりオーストラリア戦争記念館から撤去される」 が届いた。この問題はすでに米国や英国で厳しい規制が実施されている問題であるが、一方でこれら企業からもすでに反論が出されている。 　はたして、わが国のこれらデバイスの利用実態はいかがであろうか。機会を改めて論じたい。 　なお、この問題に関し内外の主要メデイアが取り上げており、本ブログであえて解説する意義はないと考えるのは当然である。しかし、問題はそれら記事の精度である。ローファームのブログではありない状況説明が多く、前述のとおり関係法とのリンク等法的、技術的な裏付け解説が弱い。 　このため今回の筆者ブログは、あえて法的な意味での精度をあげるべく、時間をかけて調査し、補足説明を加えた。 １．米国の動向 (1) 2021年安全装置法(H.R.3919)の成立 　2021年に 「2021年安全装置法(H.R.3919 - Secure Equipment Act of 2021)」 すなわちセキュリティの脅威であると判断された企業が米国において新しいデバイス機器ライセンスを取得することを阻止する超党派の法律, 特に中国に関連するものからは2021年11月11日にジョー・バイデン大統領によって 署名 、成立した。 (2)FCCのCovered List.および新｢Report and Order｣の発表 　これを受け、連邦通信委員会(FCC)は2022年9月20日 「セキュアネットワーク法第2条の対象となる機器およびサービスのリスト」 (注1) を公表した。中国の通信企業パシフィック・ネットワークスおよびその子会社コムネットと中国聯合網絡通信（チャイナユニコム）アメリカスの3社の機器・サービスをリストに追加した。これにより、同リスト掲載企業は計11社となった。同リストは、委員会規則のセクション1.50002は、FCC公安・国土安全保障局に、そのような決定のための2つの情報源のいずれかのみに基づいて、米国の国家安全保障または米国人の安全と安全に容認できないリスクをもたらすと見なされる通信機器およびサービスのリスト(以下､カバーリストという)を公表するように指示し、そのような機器またはサービスはセクション2019に列挙された特定