デジタル法務の実務Q&A 11月上旬発売です

 

 

 

 

 

 

「デジタル証拠の法律実務Q&A」に次ぐ、デジタル法シリーズ第2弾である「デジタル法務の実務Q&A」が、11月上旬に発売になります。

情報ガバナンスをベースに不正調査・個人情報保護、GDPR、仮想通貨、AI、APIなど現代社会で問題になる論点できる限りカバーしています。

あと、刑法の部分がすごく充実しています。デジタル証拠本は、官公庁にも支持されたと聞いています。官公庁さん、この本もよろしくお願いします。

デジタル証拠の本が、これだけ支持されたというのは、社会のデジタル化が、ついに法曹界も無視できないレベルにいたったということなのだろうと思います。しかしながら、社会は、その間に数歩も進んでいます。その社会にキャッチアップするというのが、この本のミッションです。チャットボットの設計図まで公開して、なんちゃってAIの法律問題を検討していたりしています。

ご購入いただけると幸いです。

「アメリカプライバシー法 連邦取引委員会の法と政策」献本いただきました。

昨年度の総務省の調査でお世話になりました宮下先生、板倉先生が翻訳に参加しております「アメリカプライバシー法 連邦取引委員会の法と政策」を献本いただきました。

米国のプライバシーについて、ある程度分かっているつもりでも、おおよその枠組とFTC5条に基づいた権限行使がなされることくらいしか、了解していなかった私にとって、このような形で、体系的に詳細な知識をまとめて手にいれることができることは非常に助かります。

我が国でも、マーケティング対策活動に対する取り組み(4章)は、なじみがあることかもしれませんが、子供のプライバシー(2章)、情報セキュリティ(3章)、金融プライバシー(5章)における叙述は、きわめて新鮮なのではないでしょうか。

個人的にも、COPPAや公正債務取立法(FDCPA)までは、さすがに調査・研究する機会がなかったので、役に立ちます。また、情報セキュリティ問題についてのFTCの活躍は、非常に興味深いです。特に、情報セキュリティに関する考察は、法と経済などの知識を背景に、深く読み進めると、さらに、理解が進むような気がします。日本において、その分野の研究がほとんどない(というか、どうせ、理解されることはないだろうとあきらめているように思えます)点から、非常に重要な分析です。

世界的には、EUのデータ保護指令から始まって、GDPRのインパクトが非常に強く、ある意味、(データ保護という)理念的なアプローチが強いわけですが、世界的に、みてみると、全く別個のアプローチというのは、興味深いと思います。

なので、プライバシーやセキュリティを語る人は、ぜひとも購入をお薦めします。

 

 

イタリアのGDPRと国内法の統合

イタリアの個人データ保護に関する法が、2003年個人データ保護法典(Codice in Materia di Protezione dei Dati Personal)(Legislative Decree no. 196 of 30 June 2003、2003年政令196号)であること、全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれていることは、ITリサーチ・アートの総務省GDPR報告書に記載されています(100頁)。

統合に関する法は、政令2018年101号になります。名称は、「GDPRの国内法制への適用(l’adeguamento)に関する規定」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101.Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)です。

適用法は、
1 章 個人データ保護法典の名称変更

1条 2003 年個人データ保護法のタイトルと規定の変更
1条は、2003年法の「個人データ」のあとに、「国内法をGDPRに適合させるための規定を含む」という用語がはいることなどを論じています。

2章 個人データ保護法のパート1への変更

2条 パート1、タイトル1の改正

2条は、2003年法の「1部 一般規定  タイトル1 一般原則(1条-6条)」に関する規定になります。
タイトル1が、「原則および一般規定(Principi e disposizioni generali)」に変わり、1条の前に、1章(対象、目的、監督機関(Oggetto, finalità e Autorità di controllo))が挿入されます。
そして、1条が、個人データの取扱は、GDPRによってなされること、2条は、目的として国内法を規則に適合される規定を含むこと、が論じられています。
2条2項以降は、国内法的な観点からの規定が述べられています。
具体的には
2条2項(監督機関)
このあとに
2章(原則)という用語が追加されます。そして、それに該当する規定は、2条3項からになります
同3項(公的利益または、公権力の行使に関する個人データの取扱に関する法的根拠)
同4項(専門職規範)
同5項(情報社会サービスに関する未成年者の同意) これは、14歳以下について、保護者の責任ということが明らかされています。
同6項(公的利益を理由とする特別カテゴリの取扱)
同7項(遺伝・生体・健康データ取扱についての保障手段) これは、GDPR9条4項で追加できるというのに基づくものであって2年ごとに保障する手段がとられるものとされています
同8項(刑事判決および犯罪に関するデータの取扱に関する原則)
同9項(大統領、下院、上院および憲法裁判所における取扱)
同10項(利用し得ないデータ)
このあとに、

2003年法典における
3章(利害関係人の重要な権利の規定-Disposizioni in materia di diritti dell’interessato)

2条11項(利害関係者の権利の制限)
同12項(司法の理由による制限)
同13項(死亡した人の権利)

さらに2003年法典における
4章(取扱権限者および取扱責任者の規定 Disposizioni relative al titolare del trattamento e al responsabile del trattamento)

2条14項(目的のための機能およびタスク)
同15項(公益業務遂行たのめの高リスクの取扱)
同16項(司法権における機能遂行のためのデータ取扱の責任者)
同17項(国家的認証機関)
の規定が定められています。

3章 個人データ保護法典 パート2の改正

2003年法典のパート2は、特定セクターに適用される規定です。これが、上記政令2018年101号によって改正されることが、同政令3条によって明らかにされています。
同条は、「規則9章の取扱規定に含まれない公益の実行における法的義務に必要な/公権力の行使に関連する取扱の特別の規定」とパート1のタイトルを変更することになります。
また、同条によってタイトル1の前にタイトル0.1として司法における規定が挿入さるとともに、法典45条2項(法的根拠) 具体的なき規定は、規則の6条パラ2によることが述べられています。
4条 法典58条のタイトル変更
5条 法典59条の読み替え等
6条 法典75条(情報の特別の条件)の改正
7条 法典96条(教育データの取扱)の改正
8条 法典97条、99条、100条等の改正
9条-12条まで 省略

4章 個人データ保護法のパート3への変更

2003年法典のパート3は、救済および制裁の規定です。これが、上記政令2018年101号によって改正されることが、同政令13条によって明らかにされています。
同条によってタイトル1の前にタイトル0.1として保護のためのその余の形態が挿入さるとともに、法典の141条から144条までが、修正されています。
同14条 法典パート3 タイトル2の修正
これは、独立の監督機関(153条以下156条)の修正規定を定めるものです。
同15条パート3 タイトル3の修正
これは、罰則の規定(法典166条ないし171条)を修正するものです。
同16条 法典附属文書Aの名称の変更

5章 手続的規定
6章 経過規定等

となっています。

政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。

GDPR対応メモ 29条委員会のガイドライン一覧

GDPR対応のために、ちょっとメモを作りました。特に、29条作業委員会のガイドラインのドキュメント番号を付してみました。(本家のニュースルームですが、ちょっと見にくいのは、こちら

テーマというのは、英国の情報コミッショナーの「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」をもとにまとめてみました。EU域内でも大変なことになっているので、いままで、あまり考えていなかった日本の会社さんも大変なことになっているのではないかと考えてしまうところです。

日本企業さんだと、この表に影響度と書いておいたのですが、2018年5月25日の効力発生日にむけて、それまでに対応しなければならない緊急性、従来の指令/国内法体制からみたときに新たな規制となる可能性の高い新規性、日本企業において特に配慮すべきもの要配慮性、の観点から、影響の高い点から、確認をすすめていくということになるかとおもいます。(以下の表で高とつけたのは、あくまでも私の感覚です。)

 

テーマ 具体例 影響度 Art.29 WP
原則 個人の権利/個人データの移転禁止が原則から削除(6原則に)
アカウンタビリティの原則が追加 WP260
考慮すべき重要なエリア 適法な取扱
同意 WP259
児童の個人データ
個人の権利 情報を提供されるべき権利
アクセス権
訂正権
消去権
取扱制限権
データポータビリティの権利 WP242
異議権
自動化された意思決定およびプロファイリングに関する権利 WP251
説明責任およびガバナンス 原則の意義
取扱の記録
データ保護バイ・デザイン
データ保護インパクト評価 WP248
データ保護責任者(オフィサー) WP243
行動規範と認証メカニズム
データ侵害通知 概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備 WP250
データ移転 移転の概念
十分性の概念 WP254256257
保護措置に基づく場合
国ごとの適用免除規定 実施法等との関係
処罰の額の大きさ 世界の売り上げの4パーセント など WP253

なお、その他の注目すべき29条委員会のドキュメントとして、LSA(wp244)があります。