通信教育会社情報漏えい事件についての最高裁判決

通信教育会社情報漏えい事件についての最高裁判決(平成29年10月23日)がでています。オリジナルは、こちら。

新聞記事としてはたくさんありますね。(たとえば、産経

事件としては、平成26年6月までの情報漏えい事件です。

判決上の認定された事実関係は、
(1) 上告人は,未成年者であるBの保護者であり,被上告人は,通信教育等を目的とする会社である。

(2) 被上告人が管理していたBの氏名,性別,生年月日,郵便番号,住所及び電話番号並びにBの保護者としての上告人の氏名といった上告人に係る個人情報(以下「本件個人情報」と総称する。)は,遅くとも平成26年6月下旬頃までに外部に漏えいした(以下「本件漏えい」という。)。

(3) 本件漏えいは,被上告人のシステムの開発,運用を行っていた会社の業務委託先の従業員であった者が,被上告人のデータベースから被上告人の顧客等に係る大量の個人情報を不正に持ち出したことによって生じたものであり,上記の者は,持ち出したこれらの個人情報の全部又は一部を複数の名簿業者に売却した。
というものです。

原審は、「上告人が迷惑行為を受けているとか,財産的な損害を被ったなど,不快感や不安を超える損害を被ったことについての主張,立証がされていないから,上告人の請求は,その余の点について判断するまでもなく理由がない」としたのを最高裁は、
「本件個人情報は,上告人のプライバシーに係る情報として法的保護の対象となるというべきであるところ(最高裁平成14年(受)第1656号同15年9月12日第二小法廷判決・民集57巻8号973頁参照),上記事実関係によれば,本件漏えいによって,上告人は,そのプライバシーを侵害されたといえる。」
として
「不法行為における損害に関する法令の解釈適用を誤った結果,上記の点について審理を尽くさなかった違法がある」ので、「被上告人の過失の有無並びに上告人の精神的損害の有無及びその程度等について更に審理を尽くさせる」としたものです。

なお、平成15年9月12日第二小法廷判決は、早稲田大学後援会名簿提出事件の判決です。「本件個人情報を警察に開示した同大学の行為は,上告人らが任意に提供したプライバシーに係る情報の適切な管理についての合理的な期待を裏切るものであり,上告人らのプライバシーを侵害するものとして不法行為を構成するというべきである。原判決の説示する本件個人情報の秘匿性の程度,開示による具体的な不利益の不存在,開示の目的の正当性と必要性などの事情は,上記結論を左右するに足りない。」として、具体的な損害の立証は、必要ではないという趣旨が明らかにされています。

ちょっと、比較法的な観点からいくと、米国においては、深刻なデータ漏洩によって個人の経済的、プライバシー、評価、信用評価に影響をあたえた場合に損害が評価されるように思えます。最高裁は、このような考え方を否定して、上記個人情報自体が、プライバシー情報であるとして、漏洩の事実のみで、損害を認めたという点で、意味があると分析されるのかなとおもいます。米国だとこんなクラスアクションのページがあるんですね。

漏洩事件と和解額の一覧もあります。ASHLEY MADISON だと、そこから漏洩したというだけで、立証はいらないような気もしますがどうなのでしょうか。

あと、「精神的損害の有無及びその程度等」についての審理の必要性を書いているので、それによって損害額が、左右されるという意味があります。

総務省でサイバーテロ対策会議-技適マーク基準見直し

「東京五輪狙うサイバー攻撃対策、技適マーク基準見直しへ」という記事がでています。

「電話やインターネットのルーター、スマートフォンなどに総務省が与える「技術基準適合(技適)マーク」の基準見直し」がポイントとなっています。

この点については、私の経営するシンクタンクであるITリサーチ・アートの「「総務省-サイバー防衛で公的認証」と無線機器の責任分界点」でふれています。

法の解釈論的な問題点としては、無線設備の技術基準適合証明、端末設備の接続の技術基準の基準自体が、問題となります。

記事では、「現行の基準の主眼は通信障害を防ぐことに置かれている」とされています。

この点について、今までに調べたことのある無線設備についてメモしておきましょう。

電波法の第3章 無線設備は、電波の質、受信設備の条件や、義務船舶局の無線設備の機器について定めています。
同法38条は、その他の技術基準として「無線設備(放送の受信のみを目的とするものを除く。)は、この章に定めるものの外、総務省令で定める技術基準に適合するものでなければならない。」と定めています。そして、無線設備の技術基準については、「送信設備に使用する電波の周波数の偏差及び幅、高調波の強度等電波の質は、総務省令で定めるところに適合するものでなければならない」( 28 条)「受信設備は、その副次的に発する電波又は高周波電流が、総務省令で定める限度をこえて他の無線設備の機能に支障を与えるものであってはならない」(同法 29 条)という定めがあります。

そして、総務省令で定める技術基準の詳細については「無線設備規則」等において定められています。

「無線設備規則」は、電波法28条(電波の質)、第29条(受信設備の条件)、38条(その他の技術基準)及び100条(高周波利用設備)の規定に基づいています。

同規則は、無線設備及び高周波利用設備に関する条件を定めることを目的として、総則、送信設備、受信設備、業務別又は電波の型式及び周波数帯別による無線設備の条件、高周波利用設備の5つの章から成り立っています。

総則は、電波の質 (周波数の許容偏差、占有周波数帯域の許容値など)、保護装置(電源回路のしゃ断等)、混信防止機能などを定めています。
混信防止機能については、個別の無線局の態様ごとに具体的なさだめがなされている。たとえば、特にIoTでの活用が期待される特定小電力無線局 を例にとるときは、周波数等によって電波法施行規則第六条の二第3ないし5号に規定する機能を定めなければならないとされています(無線設備規則9条の4)。電波法施行規則6条の2・3号は、「同一の構内において使用される無線局の無線設備であつて、識別符号を自動的に送信し、又は受信するもの」と定め、同4号は、「電気通信回線に接続しない無線局の無線設備であつて、利用者による周波数の切替え又は電波の発射の停止が容易に行うことができるもの」、5号は、「受信した電波の変調方式その他の特性を識別することにより、自局が送信した電波の反射波と他の無線局が送信した電波を判別できるもの」と定めています。

送信設備は、空中線電力に関する規定、送信装置の各種条件、送信空中線の仕様等を定めています。

受信設備は、副次的に発する電波等の限度、その他の条件(内部雑音、感度など)を定めています。

業務別又は電波の型式及び周波数帯別による無線設備の条件は、種々の無線局の態様ごとに条件を定めています。特定省電力無線局を例にして検討すると、第4節の11 特定小電力無線局の無線設備(49条の14)は、無線設備に関する基準として、周波数、筐体、発信方式、アンテナの利得、給電線・設置装置を有しないこと、などについて定めているのです。

これらの規定をみていけば、まさに上の「現行の基準の主眼は通信障害を防ぐことに置かれている」という意味がわかるかとおもいます。

いわゆるIoTのセーフティという問題で考えられているのは、通信に有体物が接続されており、その有体物が、本来の利用目的等とは別の動作をなすということから生じる弊害をいかに減らすかということだとおもわれます。

そのために、このような混信等を発生させないように、などの観点から作成されている基準に対して、どのように基準をアレンジして、通信のトラストを保全していくのか、非常に興味深いものだということができるでしょう。

まずは、無線設備の責任分界点をはっきりさせること、機器という有体物と脆弱性の関係を整理させることか必要になるとおもわれます。

ステマに対するFTCの態度

連邦取引委員会は、ソーシャルメディアの有名なインフルエンサーに対して、オンラインギャンブルサービスを宣伝したとして、和解をしたという報道がなされています

具体的な和解の文書は、こちらです。

Trevor Martin と Thomas Cassellは、CSGOLOTTO, INC., という会社の役員でありながら、関係ないふりをして、ソーシャルメディアで宣伝していたということです。訴状は、こちら

請求原因は、

独立したレビューという虚偽の表示をしたこと、宣伝しているものが所有者・役員であることを明らかにするのを詐欺的に怠ったこと、報酬が払われていることを詐欺的に怠ったこと、であり、これらは、FTC法5条に違反するとされています。

わが国では、ペニオークション詐欺事件などがありました。

消費者庁は、一般的に「インターネット上の広告表示」というページがあります。

あと、「インターネット消費者取引に係る広告表示に関する景品表示 法上の問題点及び留意事項」を明らかしています(改定 平成24年5月9日)。そこでは、「商品・サービスを提供する事業者が、顧客を誘引する手段として、口コミサイト に口コミ情報を自ら掲載し、又は第三者に依頼して掲載させ、当該「口コミ」情報が、当該 事業者の商品・サービスの内容又は取引条件について、実際のもの又は競争事業者に係るも のよりも著しく優良又は有利であると一般消費者に誤認されるものである場合には、景品表 示法上の不当表示として問題となる。 」とされています。

 

 

 

英国データ保護法における越境データ流通の問題

EUデータ保護指令の第Ⅳ章  第三国への個人データの移転で、25条 原則は、

1項で

加盟国は、処理されている、又は後に処理される予定の個人データの第三国への移動は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。但し、本指令に従って採択された国内規定に対する遵守を害しないことを条件とする。

としています。
これに対応するのが、98年法の第1表、第1部、8文の第8原則で、「国ないし地域においてパーソナル・データの処理に関連してデータ主体の権利および自由についての適切なレベルの保護が確保されないかぎり、パーソナル・データは、ヨーロッパ経済圏外に、移転されない」とされています。

98年法の法案においては、84年法にもEU指令にも定められなかった「移転」の定義が、盛り込まれていました。それによると、データを開示すること、そうであるなければ、データに含まれる情報を利用可能にすることをいうとされていたのです(法案1条)。この定義自体は、電話やインターネットで通信されるときにも適用されるものであり、適切なものであったと考えられています。
もっとも、この定義は、最終的には、定められることがなく、その理由も明らかなものではありません。

コミッショナーのガイドラインのドラフト(1998年11月)においては、「移転」は、一つの場所から他の場所への通信という通常の意味が与えられるべきとされていました。この移転については、コントロールを失うことであるとされることもあったが、契約等によりコントロールを維持した場合でも移転されたとされることがあります。また、移転というのは、積極的なものをいうので、データが盗まれた場合には、移転とはいわないとされています。

「クロスボーダー」という用語の問題としては、特に、クロスボーダーでデータ収集を行っている会社が問題になります。EEA域内において、本店を有している会社においては、その本店を有している国の法に服するのみであるが、域外に本店を有し、英国内において設備を用いてデータ処理を行っている場合は、英国法に従うと解されています。

この原則のポイントは、移転先に対して、パーソナル・データの「適切なレベル」の保護を要求するものです。

この「適切なレベル」かどうかについては、「共同体の認識」に従って決定される事があることが述べられており、また、パーソナル・データの性質、データに含まれる情報の原産国、その情報の目的国、処理の目的、その機関、問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段などから、判断されます。

くわしく触れると、「データの性質」というのは、センシティブな程度に応じて必要とされるべき保護の程度も変わると言うことが含意されています。
次の「データに含まれる情報の原産国」、「その情報の到達国」についていえば、(到達国の保護のレベルは問題になるとしても、その国自体には)特に意味がないのではないかという立場もある。「処理の目的と期間」については、「データの性質」と対応して問題にされるべき事柄であると考えられる。問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段については、目的国のデータ保護体制を詳細にデータ管理者が検討することを要求する。

共同体の認識ということですが、第29条データ保護作業部会は、WP12文書(Working Document: Transfers of Personal Data to Third Countries: Applying Articles 25 and 26 of the EU Data Protection Directive (24 July 1998)以下、WP12文書という)を公表しています。この文書については、わが国においては、個人情報保護制度における国際的水準に関する検討委員会・報告書が詳しく検討しています。

また、英国レベルでのガイダンスとしては、情報コミッショナーのガイダンス があります。

ここで、このガイダンスにおいては、データ管理者は、「良き実務のアプローチ」として、(1)共同体の認識(2)移転のタイプの考察に基づく「適切性」の推定(3)「適切性テスト」の採用(4)附則第4条に含まれている規定の適用の検討を検討することが推奨されるとされます(上記ガイダンス9)。(1)については、上述した。(2)は、CBI の6つのリスト分けされたデータ移転の種別ごとにリスクや評価が必要になるにしても「適切性」が推定されることを明らかにしています。もっとも、特に継続的な関係にない販売データの移転については、厳格な判断が必要なことが示唆されています。(3)この「適切性」テストは、一般適切性基準、法的適切性基準の観点から検討され、さらに、契約、行動綱領の利用が加味されることになる。

この第8原則の例外としては、「データ主体の同意のある場合」「契約の実現またはその締結のために必要な場合」「実質的な公共の利益のために必要な場合」「データ主体の生命にかかわる利益を守るために必要な場合」などがあげられています。

この点についてのわが国の報告書としては、国際移転における企業の個人データ保護措置調査報告書が存在しています。

英国データ保護法1998のデータ保護の原則

具体的なデータ保護の原則について見ていきましょう。

1  8つの原則

英国98年法における個人データ保護の原則は、以下のようなものです。

(1)個人データは、公正かつ合法的に処理されるものとし、とくに、個人データは、附則2条の最低でも1つの条件を満たし、かつ、センシティブな個人データの場合には、少なくても附則3条の条件の最低でも1つの条件を満たした場合でなければ処理されない。

(2)個人データは、1つまたは2つ以上の特定された合法的な目的に限り取得されるものであり、かかる目的に矛盾する方法により処理されない。

(3)個人データは、目的に関して、適切、関連するものであり、過度であってはならない。

(4)個人データは正確で、必要な場合は最新のものに更新される。

(5)ある目的のために処理された個人データは、かかる目的のために必要な期間を超過して保存されない。

(6)個人データは、同法に基づくデータ主体の権利に従って処理される。

(7)個人データの無権限または不法な処理、個人データの紛失、破損、損傷に対して、適切な技術的・組織的手段が講じられる。

(8)欧州経済地域以外の国等において、個人データの処理に関してデータ主体の権利及び自由のための適切な保護レベルが保障されていない場合は、係る国等に個人データを移転しないものとする。

なお、84年法においても、8つの原則が定められていました。比較すると、処理の概念が広まり、獲得および開示が含まれたために、非開示原則が消えています。その一方で、トランスボーダーへの移転禁止原則が設けられているために原則の数自体は8で変わらないままになっています。

また、この二つの違いとしては、84年法の原則が、登録局と登録したデータユーザーの問題であったのに、98年法では、登録局に対する登録と、処理の適法性というリンクが切れているということと、98年法においては、「公正な処理」についての解釈論が進んできており、それを反映しているということがあげられています。

2 原則の基本概念と84年法との比較

ドイツにおける「情報の自己決定権」の概念が、98年法の基本的なアプローチになっていると評されています。

84年法においては、データ・ユーザーが、行為の詳細を登録していたかということが、処理の実質的な側面について適法な処理か否かという唯一の判断基準でした。98年法の附則2条は、この状況を変えています。

附則3条は、管理者が、センシティブ・データを処理しようという場合において、より制限的な規定を満たさなければならないという規定を含んでいます。さらに98年法は、個人に特定のデータ処理について、特にダイレクト・マーケッティングの目的のために用いることに対して異議を唱える権利を認めています。

3 「公正かつ合法的に処理」 (第1原則)

附則2条は、「個人データは、公正かつ合法的に処理されるものとし、とくに、個人データは、附則2条の最低でも1つの条件を満たし、かつ、センシティブな個人データの場合には、少なくても附則3条の条件の最低でも1つの条件を満たした場合でなければ処理されない。」として適法な個人データの処理のために必要な条件を述べています。

84年法においてはデータ保護の原則の第1原則はデータの取得行為と処理の行為について別々に言及していました。すなわち第1原則はデータの取得についてのみ関するものであり、データ保護審判所は、2つの行為における区別を見出し、行為が適正か否かを決定するのにあたって異なった要因が影響するとしていました。これにたいして、98年法とEU指令においては、データは「公正かつ適法に」「処理」されなくてはならないと定めています。

「適法に」という用語の定義は、「公正に」という用語の含む意味と比較して、定義しやすいといえます。すなわち、制定法に違反してなされる処理は、「適法に」処理されるとはいえないということになります。また、「適法性」の問題を惹起する具体的な例として、「コモンロー違反」「機密性(コンフィデンシャリティ)違反」「権限ゆ越(ウルトラ・バイレェス)」「契約違反」などがあげられます。

個人データは、適法に取得されたかどうかを基準とするほうが直接的なものですが、98年法もEU指令も、「公正」基準をも必要であるとして、より主観的な問題を、この点について提起しているということができます。

98年法は、「データが取得される方法について、取得される本人が、データ処理の目的について欺罔を受けたり、誤解させられたりすることがないこと」という基準を準備しデータが公正に取得されたかどうかを決定するようにしています。

「公正に」という意味は、解釈に問題を含みがちであるということができますす。そして、98年法において、最も解釈論が発展したところということができよう。

コミッショナーのガイドライン(1994)によれば、公正性の判断基準としては、「コモン・マン」の視点に立つのであり、その結果、データユーザーが、不公正な処理をしているつもりがなく、そして、その認識をしていなくても、不公正な処理は起こりうるということになります。

また、名前を含む情報は、データ主体が、データの使用について十分に情報を得ているときであっても、公正性のためには十分でなく、それに加えて、特定の処理に対して異議を直ちに唱える権利が与えられなくてはならないとされています。

4  「公正かつ適法に取得」 (第2原則)

第2原則は、「個人データは、1つまたは2つ以上の特定された合法的な目的に限り取得されるものであり、かかる目的に矛盾する方法により処理されない。」としています。そして、第2原則は、データの処理の目的については、データ主体に対する「適時の通知」ないしはコミッショナーに対する通知によって特定されることになるのです。

この「適時の通知」については、英国では、Innovations (Mail Order)対データ保護登録局事件において、通信販売の業者は、電話などでの販売に際しては、事前にデータ・ブローカーにデータが渡されることについて承諾を得ていない場合には、「適時の通知」とはいえないとされています。

データの使用および開示についての特別の規定は、存在しませんが、この第2原則が、相当するものと考えられます。「開示」という概念は、「処理」という概念に包括されると考えられています。したがって、この原則を解釈する際には、「個人データの開示が、データの取得された目的と両立しうるか否かを決める際には、開示された者により個人データが処理されようと意図された目的に注意が払われなければならない」という点が顧慮されて、合法性が決められることになります。

結局、実質的には、84年法の非開示ルールと釣り合うことになります。実質的にこの規定が例外が認められていて、98年法も、「同意」「重大な利益」「犯罪捜査・課税」などの例外を認めています。

もっとも、この第2原則については、必要性について疑問があるという見解がある 。というのは、第1原則において、すでにデータ管理者が、データ主体に対して、データ処理の目的について、通知していることを要求しているのである。特定された情報の提供なしの処理は、不公正だと認識されるのであり、第2原則に違反するだけではなくて、第1原則にも違反するものと認識されるのである。

5 「取得された情報の関連性およびスケール」 (第3原則)

第3原則は、「個人データは、目的に関して、適切、関連するものであり、過度であってはならない。」として、データは、「適切、関連あり、過度でない」ことが必要とされています。

これは、EU指令において用いられている用語と同一であり、また、84年法にも同様な用語があります。 84年法のもとでは、人頭税の登録局が、不動産の種別(フラット、バンガロー、キャラバンなど)のデータを保持するのが、妥当かが争われた事案があります 。 この原則について、データ管理者が、幾人かにしか関連して用いられず、または有用でないデータを保持しているとしたら、それは、過度で、関連性のないものとなるとされています。また、データがどのように利用されるか審査されず、将来、有用になるかもしれないという根拠でデータを保有する場合も許容さないことになります。それゆえ、データを収集する様式も定期的に見直されなければならず、また、必要であれば再構築されて、適切な情報の量とタイプが得られる様になされなければならないのです。

6  「正確性およびデータの最新性」 (第4原則)

第4原則は、「個人データは、正確で、最新でなくてはならない」ということです。これは、84年法の第5原則と同じです。

情報は、不正確(incorrect)であるか、または、事実について誤解を生じるときに情報は不正確(inaccurate)とされます(第70条2項)。したがって、単なる意見は、事実の叙述を有しない場合には、この不正確さを理由として問題にされることはありません。

個人データが不正確なときにデータ主体は、訂正を求めることができ、一定の事件においては、与えられた損害または心痛に対して、損害賠償が支払われます。

もっとも、何をもって虚偽というかは問題がある。そして、第4原則については「データ管理者が、目的に関連して、データの取得および処理について、データが正確であるように合理的なステップを踏んでいる場合」もしくは、「もし、データ主体がデータ管理者にデータ主体のデータが不正確であるという見解を伝えて、その正確性に関するデータ主体の見解が記録されている場合」において、データ主体もしくは第3者から、正確にデータ管理者が個人データを記録している際は、この正確性の要求に反するものではないと解されている。ようするに、98年法は、管理者に信頼に足りるというソースからデータを確認する義務を課するのみではなく、現実的に情報を検証するための適切なステップを採用するように義務づけているのである。
また、最新性の要素については、98年法において、特段に拡張されたということはない。この点については、情報の性質とその目的によって、アップデートの必要性が定まってくるとされている。

7 「適切な期間」(第5原則)

第5原則は、「データは、目的のために必要な期間以上に保管されない」としています。これも、84年法の第6原則と同じです。

EU指令においては、これらに対応する表現があるが、若干異なっています。EU指令の6条(1)(e )は、「データが収集された目的、又はそれが処理される目的のために必要なだけの期間、データの対象者の特定が可能な形式で保存すること。」と定めていて、この定めは、データ管理者に、より広範な裁量を与えているように思えます。この点については、EU指令においても、98年法も拡張をなしていませんが、特定の期間にわたり管理をすべき義務があると解されています。

84年法のもとでデータ保護登録官が、「データユーザーは、個人データを定期的に見直し、もはや必要ではなくなった情報を削除すべきこと」「かなりの量の個人データを保持しているデータユーザーは、データ消去のシステム的な消去ポリシーを採用すること」「個人データが、データ主体とデータユーザーの関係に基づいて記録されたのであれば、その情報を保持する必要性は、その関係が消滅した際に検討されるべきである」という内容のアドバイスをしていたのですが、実質的には、この原則の内容を明らかにするものとして注目されるでしょう。

8 主体の権利についての原則(第6原則)

第6原則は、「個人データは、同法に基づくデータ主体の権利に従って処理される」というものである。ここでは、この原則が、データ主体の権利として認識されている点が特徴となる。詳細は、別のエントリで紹介します。

9 データ・セキュリティ(第7原則)

第7原則は、「個人データの無権限または不法な処理、個人データの紛失、破損、損傷に対して、適切な技術的・組織的手段が講じられる。」というものです。EU指令において、同指令17条(1)が、「特に、処理がネットワーク上でのデータの伝送を伴う場合、及びその他の全ての不法な処理形式に対して、管理者が個人データを不慮の又は不法の破壊、不慮の損失及び無許可の変更、開示又はアクセスから保護するために、適切な技術的及び組織的措置を取らなければならない」としており、これに匹敵するものと考えられます。登録官は、物理的セキュリティ、コンピューターシステムのセキュリティ手段、被傭者のトレーニングおよび監視のレベル、データ及び器具の処理方法などのデータ・セキュリティに関連する種々の事情を明らかにしています。また、ECは、92年に「情報システムセキュリティ分野における決定」 を採択していますし、また、データ登録官は、97年11月には、BS7799を特に参照したコンサルテーションペーパーを公表しています。

10 適切なレベルの保護を持たない領域へのデータ移転禁止(第8原則)

第8原則は、個人データは、データ主体の権利および自由についての「適切な」保護のレベルを確保していない限りは、そのような国家または領域に対する個人データの移転を許容しないというものである。

84年法の第12条は、データ保護原則と衝突する、または、そうなるであろう地域に対するデータの移転に対して、データ保護官が、登録されたデータユーザーに対して、その移転の禁止の通知をなす事ができると定めていた。もっとも、その運用においては、1件の通知がなされたにすぎなかった。98年法の目的も84年法ととても類似しており、その法域をデータが出る際にもデータ保護原則を守るべきであるというものである。しかしながら、その重点は、大変異なっているとされています。特に、わが国において、かかる観点は、きわめて興味深いものと考えられるで、この越境データ流通については、エントリを変えて触れることにしましょう。

 

データポータビリティの意味

生貝先生の「EU新規則案データローカライゼージョン法の禁止と「非個人データのデータポータビリティ」という記事がでています。

まずは、原文を押さえておきましょう「EUにおける非個人データの自由な流通フレームワーク規則」(REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the free flow of non-personal data in the European Unionになります。

データローカライゼーションというのも、非常に、注目すべきもの(といっても、これは、EU域内だろうというツッコミは、さておき)ですが、むしろ、データポータビリティに注目します。

データポータビリティというのが、非常に大事なものになるだろうというのは、全く、そのとおりだろうとおもいます。
まず、最初に確認しておくべきことなのは、データというのが、これからの情報処理については、まさに、燃料となるべきものであるということです。

たとえば、それは、「ディープラーニングによるラーメン二郎全店舗識別と生成」というスライドを見てもらえれば、わかることですが、ラーメン二郎のラーメンを分類するのに目視で、自撮りや店舗概観等を除去していかなければならなかったということです。

また、ドキュメントレビューにおいては、サブセットに対する関連性の判断が、「ファインチューニング」(スライド 28頁)の役割を果たします。その場合に、その関連性の判断は、それなりの経験を積んだレビューアー・弁護士がするので、関連性の判断のデータセットは、それ自体、非常に、価値のあるものになります

ところで翻って、実際のこのような判断ツールで、手間暇かけて作成したデータセットをそのまま、判断ツールの運営者に渡してしまうというのがいいのか、という問題が生じます。
そのような手間暇かけたデータセットは、その手間の分に釣り合う価格が提示されてしかるべきではないか、と考えられるのです。しかしながら、実際は、判断ツールが、競争のもとで自由に選択することができるということがなかなかないように思えます。そのような場合に、やむを得ず、クオリティの低い判断ツールを使わなくてはならなくなったり、手間にきちんとした価格が支払われなくて、手間がかけられなくなったりするのではないか、ということが考えられるのです。

実感したところで、説明メモに移ります。

提案目的では、クラウド、ビッグデータ、AI、IoTなどが、理由としてあげられています。特に機会学習を通じて、効率が上がっていくことに注目がなされています。

規制当局が、データに対してアクセスしうることを求めることを確保しやすくするということなのですが、いままで、そのような理由から、国内にデータがあることを求めていたりしています。そのアクセスを保証する代わりに、データの移動を改善しましょうというのです。

いま一つは、プロバイダーを移転しやすくするというのは、重要なことである

とされています。

この提案は、European Cloud initiativeを含むDigitising European Industry (DEI) policyパッケージ

European Interoperability Framework
の見直しの上になりたっているとされているのですが、このあたりの分析は、またの機会にしましょう。

条文としては、6条ですね。
1項 委員会は、プロバイダーの切り替えを促進するためのベストプラクティスに関するガイドラインを定義し、専門家にデータの保存と処理の契約が締結される以前に、十分詳細で明確かつ透明な情報を提供することを保証するために、連合レベルでの自己規制の行動規範の開発を促進し容易化する。以下の論点のとおり。
(a)プロのユーザーが別のプロバイダに切り替えるか、またはデータバックアップのプロセスと場所を含む独自のITシステムにポートデータを戻したい場合に適用されるプロセス、技術要件、時間枠および料金。これらは、利用可能なデータ形式とサポート、必要なIT設定と最小限のネットワーク帯域幅;移植プロセスを開始する前に必要な時間、およびデータが移植可能な状態になるまでの時間、およびプロバイダの破産の場合のデータにアクセスするための保証、を含む。
そして
(b)ユーザーがデータをスイッチまたは移植するのに十分な時間をもつことができる、構造化され、一般的に使用され、機械可読なフォーマットでデータをスイッチまたはポートするための操作上の要件。

2項 委員会は、本規則の適用開始後1年以内に第1項に規定する行動規範を効果的に実施するよう、事業者に奨励するものとする。
3項 欧州委員会は、この規範の適用開始後2年以内に、このような行動規範の開発と効果的な実施、および提供者による情報の効果的な提供を検討しなければならない。

昔は、データポータビリティというと、クラウドのロックイン効果があって、それに対しての緩和効果という文脈で語られたものでした。が、今だと、機械学習の文脈で語ったほうが実感を持ってもらえるという感じかなとおもいました。覚えさせる労力はだれのものかとか、プライバシーポリシーが適用されないとかは、エントリで紹介してきたので、そのような文脈でとらえられる規則案が出てきたのは、注目に値するといえるでしょうね。

個人情報の価値 考え直せ グローバル・ビジネス・コラムニスト ラナ・フォルーハー

日経新聞に、グローバル・ビジネス・コラムニスト ラナ・フォルーハー氏の「個人情報の価値 考え直せ」という論説が掲載されています。

主たる要旨は、
(1)米IT(情報技術)大手が独占的な力を有している
(2)消費者は、その対価をただで、その貴重な情報を譲り渡している
(3)市場の情報へのアクセスは平等とは言えない
(4)情報に対する対価という面でも透明性が確保されていない
(5)これらの問題点を克服するために、データから生み出されるあらゆる経済的価値についても明確な権利を持つべき
というものです。

(1)、(2)、(4)については、私としては、「プライバシーはなぜ難しいか」とか、「プライバシーパラドックス」でふれているとおりですし、また、IPAの研究報告書でも、その旨は、実際の実験とともに明らかにされているところですね。全くもって、同意します。

(これが公表されたのは、2010年なんですけどね)

(3)なのですが、ラナさんが、いっているのは、どの市場なのでしょうか。市場といっている以上は、価格をすこしあげても、他のところに移らないという一定の範囲になるわけです。

Googleに関していえば、オンライン広告市場というのは、確かに考えられるでしょう。しかしながら、その利用者は、企業であって消費者ではありません。

EUが、いろいろと認定している市場は、「一般的検索サービス市場」「ライセンス可能なスマートフォンOS市場」「アンドロイド・モバイルOS市場におけるアプリケーション・ストア市場」になるのですが、後ろ二つは、信者の存在を前提としての話になりますね。

「一般的検索サービス市場」は、消費者に対して、価値の分配をする競争者が現れるべきであるというのでしょうか。それは、そのとおりだと思いますし、消費者のプライバシーが安売りされているので、競争者がでて、1検索あたり、マイクロポイントがもらえるようになるべきだというのは、正論です。

しかしながら、それをどのように実現するのか、というところで、彼女は、いままでの鋭い分析が嘘のように、トリッギーな論説にいきます。

「データから生み出されるあらゆる経済的価値についても明確な権利を持つべき」というのです。消費者は、検索したときに、上記のようなマイクロポイントを有しているのだから、それを請求できるというのでしょうか。そのマイクロポイントのいくらが正当で、それをどのように実現しようというのでしょうか。それとも、Gは、分割されるべきというのでしょうか。まさに「固いパターナリズム」です。

IBMやMSとの分割をめぐる論争が、ほとんど何も生み出さなかった(弁護士業界には、利益があったでしょうけど)のを忘れてはいけないと思います。

要は、消費者のプライバシーが適正な価格で取引されるようにするためには、それは、消費者に対するナッジをする、もしくは、同意におけるデフォルト値を最適に設定するようにすることであって、それによって、適切な競争状態のもとで、取引がなされるように仕向けることが精一杯でしょう(いわゆる、ソフト・パターナリズムです)。

もっとも、プライバシーパラドックスは、どうせ解消できないので、いっそのこと、データに税金をかけて、それを、ベーシック・インカムの財源にすればいいのではないかという気もしますね。

 

 

 

 

英国データ保護法1998の構造 84年法との比較・構造・主体客体

1 データ保護法1998の構造

1.1. 84年法との変化

84年法のもとでは、データ保護については「データ・ユーザー」「コンピューター・ビューロー」「データ主体」の概念のもとで論じられていました。

98年法においては、基本的な構造は、維持されたのですが、用語法が異なり、また、基本的な定義および要件について変更がなされています。特に84年法では個人データの処理は、事前に登録局に登録しておかなくてはならず、そして、それが法制の適用の前提条件となっていたのですが、このリンクは98年法で断ち切られています。

1.2.  98年法の構造

98年法の構造を図示すると、以下のようにまとめることができます。

すなわち、データに関連して、データを管理する者と個別にデータを処理する者は、データ保護8原則に従わなくてはなりません。そして、データ主体は、そのデータについてコントロールする具体的な権限を有することになります。それらを監督するために独立の情報コミッショナーが執行の役割を担い、裁判所が一定の役割のもとそれに関与するというものです。

以下において、この仕組みを詳しくみていくことにしましょう。

なお、98年法は、6部(75条)と16の附則からなり立っています。

「序」において、「センシティブ個人データ」「データ保護原則」「法の適用」「コミッショナーおよび審判所」などの基本的な概念が説明されています。

「データ主体の権利など」(2部)において「個人データへのアクセス権」「差止請求権」「訂正・抹消請求権」などがさだめられています。

「データ管理者の通知」(3部)においては、「登録なしの処理の禁止」「変更の通知義務」「犯罪」「コミッショナーの事前評価」などが定められています。

4部は、「例外」規定となり、5部は、「執行」の規定となっています。

6部においては、「コミッショナーの機能」「個人データの違法取得」「データ主体のアクセス権のもとで取得された記録」などについての規定がおかれています。

2 主体・客体

2.1.主体

98年法に関するデータ保護をめぐる当事者としては、従来の「データ・ユーザー」「コンピューター・ビューロー」「データ主体」の用語に取って代わって「データ管理者」「データ処理者」「データ主体」の用語が用いられることになりました。この点について、以下、詳述します。

(1)「データ管理者(data controller)」

84年法においては、データの内容及び使用についてコントロールできる当事者を「データ・ユーザー」としていたが、98年法における「データ管理者」は、内容において、ほとんど変化がありません。

そこでは、データ管理者は、「(単独で、または、共同し、または、他の者と共同して)個人データのあり方、または、処理の目的および手法を決定」するものをいうとされています。

具体的には、ビジネスに関するすべての記録を管理しているビジネス人を例にあげることもできます。彼が、そのデータを会計士にデータを渡して処理を依頼すれば、データ管理者とされます。また、会計士自体もデータの管理を維持する点でデータ管理者と考えられます。

(2)「データ処理者(data processor)」

84年法における「コンピューター・ビューロー」に代えて「データ処理者」が用語として用いられるようになります。「データ処理者」は、「データ管理者のためにデータを処理するもの(データ管理者の被傭者以外のもの)」をいいます(98年法第1条(1)項)。

84年法において「コンピューター・ビューロー」は、活動の詳細についての登録をなすことなどが要求されました。

これに対して、98年法では、適切なセキュリティ要件を満たすためにデータ管理者に対して負担が課せられることになりました、その一方で、「データ管理者」は、通知要件(第17条)に従うものではありません。

データ管理者が、セキュリティに関して十分な保証を提供しうる処理者を選択する責任があります。そして、この際には、書類による契約がなされなくてはならないとされています。

(3)「データ主体」(data subject)

データ主体という用語は、1984年法と相変わらずであり、そこでは、「個人データの主体である個人」と定義されています(同法第1条(1)項)。

データ主体のもっとも重要な権利は、疑いもなく管理者により保管されているデータに対するアクセス権であり、それらの誤りに対する訂正要求権です。

2.2.客体等

データ保護法における重要な概念としては、「データ」「個人データ」「処理」などがあります。それらのうち、特に重要な用語について若干の説明をなすと以下のようになります。

(1)「データ」(data)

98年法において、「データ」は、

「(a )処理目的の指示に従って自動的に処理する設備の手段によって処理される

(b)上記の設備によって処理される目的をもって記録される

(c)関連するファイルシステムの部分または、それを構成する意図をもって記録される」

情報と定義されています。

ここでは、データが自動的に集積しただけでは、98年法の適用対象にはなるものではなく、自動的に処理する意図を有したときに初めて適用対象となるとされているのである。また、(c)によって、マニュアルレコードに対して適用が拡張されることになったのである。

(2)「個人データ」(Personal data)

データから個人が識別されないのであれば、プライバシーに対する侵害や法制化の正当性というのは、考えがたいことになります。

そうだとすると、逆にどのような情報をもって個人を識別させる情報というかということが重要になります。

EU指令では、

「(a)『個人データ』とは、識別できる、又は識別できない自然人(データの対象者)に関する全ての情報を意味するものとする。識別できる人物とは、特に身元確認番号の参照によって、又はその人物の肉体的、生理的、精神的、経済的、文化的、経済的アイデンティティーによって、直接又は間接に識別することができるものを意味する。」

と定義されています(同第2条(a)項)。

98年法においては、この実装のために

「『個人データ』は、

(a )それらのデータから

または、

(b)それらのデータおよびデータ管理者の保有する、または、その保有することになるであろう他の情報から

生活する個人を識別することができるのに関連するデータを意味し、個人の意見の表現、個人の観点からするデータ管理者または他の者の何らかの意図の表現を包含する」と定義されている。

この概念は、識別可能性と識別性の二つの概念をカバーするとされています。識別可能性については、何人であるか追跡ができうることをいい、識別性は、「日常の用語でいえば、名前と住所を知ることで達成される」とされています。

「何らかの意図の表現を包含する」という部分ですが、84年法においては、データについては、「事実データ」「意見データ」「意図データ」の3種があり、そのうち、データ・ユーザーの意図については、これを除外すると定義されていました。

が、98年法においては、「意図データ」についても、これを含み、保護の対象とされることになりました。

もっとも、「意図データ」として、従来は、「解雇しようと考える」とか「エクゼクティブの器ではない」などのキャリアについての個人記録があげられていたのですが、98年法においては、「マネジメント予測」の定義のもと例外規定が設けられています(附則7条)。

でもって、この概念の識別可能性と識別性というのは、重要な考え方になるので、別のエントリで、分析するのがいいかと思います。

(3)「センシティブ・データ」(sensitive  data)

84年法においては、人種的出自、政治的信条、宗教ないしは信条、肉体的または精神的健康、性生活または刑事宣告に関するデータについてデータ保護原則を強化する規制をなす権能を準備ていました。しかしながら、この権能は用いられませんでした。

98年法は、センシティブ・データについての取扱を法制の中心とし、他形式のデータの場合よりも、処理についてさらなる要求に従わせることとしました。

98年法におけるセンシティブ・データの定義は、

(a )データ主体の人種的・民族的出自

(b)政治的意見

(c)宗教的信念またはそれに類似する信念

(d)労働組合のメンバーであるか否か

(e)肉体的または精神的健康ないしコンディション

(f)性生活

(g)犯罪についての前科・前歴・容疑

(h)犯罪についての手続き、または、被疑事件についての手続き、その手続きにおける処理または手続きにおける裁判所の宣告

とされています。

これらのセンシティブ・データについては、「明確な同意」「雇用についての必要性」「重大な利益」「特別団体による処理」「パブリック・ドメイン」「法的手続きおよび裁判権の行使」「医学目的のための処理」「民族的モニタリング」「国務大臣の命令」などの場合において、一定の条件のもとに処理が認められているにすぎないのです。

(4)「処理(processing)」

EU指令も98年法も、特定の主体に関連して処理することを必要とはしていません。定義としては広いものであるということができます。

処理行為とは、

「情報またはデータの取得、記録、または保持、もしくは、データについての操作の実行または操作のセットをいい、以下の

(a )情報またはデータの組織化、適合、変更

(b)情報またはデータの検索、調査 、使用

(c)送信、拡散、またはその他の利用可能にする行為による情報またはデータの開示

(d)情報またはデータの整列、合成、妨害、消去または破壊を含む」

と定義されています(98年法第1条(1)項)。

この定義は、きわめて広いもので、すべてのデータに対する操作が含まれるとされています。

 

英国データ保護法1998の歴史的経緯

英国においてデータ保護法案2017が提案されていて、それを検討する前に、データ保護法1998を復習してみましょう。

第1章 英国データ保護法制

第1 データ保護の必要性と歴史的経緯

1 制定まで

英国においては、1970年代になるとプライバシー権の主張と平行して、個人情報保護がとなえられるようになっていっきました。

1975年には、ヤンガー報告書に対して、政府は「個人情報をコンピューターで取り扱っている者に対して自分たちのシステムがプライバシーに対して十分な保護をなしていると判断する唯一の裁判官であり続けさせることはできない」として、データ保護局の法制化を認めることになりました。

このデータ保護局の公正等についてリッドップ卿を議長とするデータ保護委員会が構成され、1978年には、データ保護法の立法提案をおこない、この提案は、高価で官僚的であるとして拒絶されたものの、1984年にデータ保護法1984(以下、84年法ともいう)の制定がなされています。

そして、1995年のEU指令により、英国は、1998年にデータ保護法1998(以下、98年法ともいう)を制定しました。

2 データ保護法1998の特徴

データ保護法1998は、データ保護法1984と比較した場合に、きわめて大部であり(84年法は、43条と附則4条に対して、98年法は、75条と附則16条)、また、データ保護法1998は、フレームワークにすぎずデータ保護法84よりも制定法により決定さるべきところがより多いという特徴があります。その上、データ保護法98は、手作業による記録(マニュアル・データ)にも及ぶなど、明らかにその適用範囲を広げました。そして、法案には、説明および財政的なメモが付されているのですが、それによれば、新しい体制に適合するために、その開始コストは、民間部門で8億3600万ポンド、公的部門で、1億9400万ポンドになると見積もられていました。

3 98年法の客観的状況

98年法の状況は、いわば孤立した存在であった84年法とは異なり、同一のフィールドの3部作と見られています。

他のふたつとは、人権法(Human Rights Act 1998)と英国における政府の情報自由法制の導入とです。

人権法は、ヨーロッパ議会の「人権および基本的自由条約」を国内法化しなくてはならず、また、同条約の8条1項(「すべての者は、プライベートな生活、家族の生活、家庭および通信を尊敬してもらう権利を有する」)が、個人データへのアクセスを含むと解されているのです。また、人権法と98年法とは、メディアに対する扱い(データ保護の適用除外)について議論を呼んだところでもあります。

また、情報自由法制は、政府に対する情報公開請求の80%は、個人のデータに関連する(諸外国の制度を参考)のであり、この限りで、情報自由法制が98年法を補完することになります。もっとも、請求者以外のものに関する限り、情報自由法制は、その目的と客体においてデータ保護法と衝突を起こしかねないともいわれています。

4 98年法の実装

英国は、他のEU諸国と同様に、98年の10月24日までにデータ保護指令を実装しなければならなったのですが、結局は、間に合わず、2000年3月からの施行となりました 。また、マニュアル・データ保護の局面と、現存するユーザーとの関係については経過規定が設けられています。