国際的な行政法規の適用について

前のブログで触れられた報告書の論点のなかで、大きなものとして、行政法規を国外の行為に適用することはできるのか、という論点があります。

ここで、まず、国際法の教科書からのお話です。国際法の教科書的には、国家管轄権は、立法管轄権(国内法を制定することを通じて行為や事実規律をおよぼす権能)と執行管轄権(裁判などを通じて具体的事案に対し法を適用し、さらに法の執行のために強制を行う権能に分けられるとされます。

論者によっては、この執行管轄権が、司法管轄権と執行管轄権とに二分することもあるそうです(以上、現代国際法講義 4版 82頁)

でもって、報告書を執行管轄権という観点から表現をピックアップしていきます。

(3)規律の実効性の確保(37頁以降)
「執行管轄権の観点から、国外事業者に対する罰則や改善命令といった制度を設けることは非常に難しい。 」
「 国外事業者にも法を適用すべきか否かの議論と、規律の実効性の議論は、切り離して考えるべき。実効性が確保されないから、法を適用することをやめるという議論の方
向に傾くべきではない。」
4. 電気通信市場のグローバル化における利用者利益等の確保に向けた具体的方向(38頁)
「電気通信事業法の国外事業者への適用に当たっては、国内事業者とのイコールフッティングの観点に加え、執行管轄権の制約から、国外事業者に対しては公権力の行使となる行
政措置や罰則の適用に課題があり、このことが執行確実性の担保に影響を及ぼす点を踏まえた検討が必要である。」
168頁以降
「執行管轄権の観点から国外事業者に対する罰則等の適用は難しいのではないか、行政上の規律と刑事罰における規律を区別の上検討すべきではないか等の指摘がなされた。」

などが、この執行管轄権についての表現かと思います。

まずは、国際法的には、教科書的な知識である立法管轄権と執行管轄権における切り分けを意識して、議論が進んでいるということがいえるかと思います。執行の実効性という用語とかも、この切り分けが念頭にあるのだろうな、と思って読んだところです。

でもって、それは、いいとして、では、わが国の制定法上、外国に本店をおく事業者にたいして、立法管轄権を及ぼしている例はないのか、ということになります。

議論としていくつかの分野における議論を紹介することができるかと思います。

(1)「証券取引」の分野です。私の論文で「オンライン証券業務の法的問題」という論文があります(http://www.comit.jp/ec/finance/seikyo.doc)。

そこで、「5 証券取引における投資家保護の抵触法的側面」というところで触れておきました。証券取引法において、短期売買利益の返還義務が、国際的な行為についての行政的な執行の参考になるだろうと触れたところです。金融商品取引法をみていくと、課徴金納付命令がなされることが多いです。ところで、この命令が、海外の者にたいしてなされることが禁止されているのか、どうか。国家の権能が、他国の主権を侵害するものとして禁止されるか、どうか、という点については、それが国家の根本的な機能を侵害するかどうか、ということで判断されることになるかと思います。その意味で、命令のみで、執行管轄違反とはされないことになります。

(2)仮想通貨についての勧誘です。この点は、前のブログでも触れたところですが、資金決済法63条の22において「第六十三条の二の登録を受けていない外国仮想通貨交換業者は、国内にある者に対して、第二条第七項各号に掲げる行為の勧誘をしてはならない。」とされています。

そして、細かいところは、金融庁のガイドライン(53頁)がでているところです。

(3)独占禁止法の議論

これについては、最高裁第三小法廷平成 29 年 12 月 12 日判決があります。国外で行われた価格カルテルに対して我が国の独占禁止法の効力が及ぶかというのが議論されて、適用が肯定されています。「本件のような価格カルテル(不当な取引制限)が国外で合意されたものであっても、当該カルテルが我が国に所在する者を取引の相手方とする競争を制限するものであるなど、価格カルテルにより競争機能が損なわれることとなる市場に我が国が含まれる場合には、当該カルテルは、我が国の自由競争経済秩序を侵害するものということができる。」というのです。
でもって、事案を見れば、この事案は、X(原告・上告人)は、マレーシアに本店を置くテレビ用ブラウン管の製造販売業者ですし、課徴金納付命令が下されています。なので、海外の事業者であるから、課徴金を課すことはできないというのは、法的には、誤解に基づくものということがいえるかと思います。

前のブログで「の意味でのわが国での通信に関する保護が、結果として、外国の事業者に適用されることは、何ら、現在の法体系として問題ではないわけです。」といっているのは、そのような意味です。立法管轄権を及ぼすことも可能だし、執行の前提たる課徴金納付命令のような制度をも採用することは十分に可能なわけです。

(4)脆弱性早期警戒パートナーシップ
ここで、私がお手伝いしている脆弱性早期警戒パートナーシップを見てみましょう。「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」は、第1 総則 4 本規定の適用範囲で

本規程は、日本国内で利用されているソフトウエア製品又は主に日本国内からのアクセスが想 定されているウェブサイトで稼働するウェブアプリケーションに係る脆弱性であって、その脆弱 性に起因する影響が不特定又は多数の者に及ぶおそれのあるものに適用する。

としています。実質的なアクセスであることが必要とされるわけ(情報セキュリティ早期警戒パートナーシップガイドライン)ですが、基本的な考え方は、上の独占禁止法などと同様です。「法律面の調査報告書 改訂版」では、不法行為による結果発生地の法によるという規定を参考にして作成されたことが明らかになっています。

その他としては割賦販売法、特定商取引法にも域外適用で注目すべき規定があります。

このようにみていくと、命令までは、可能で、それから先の「強制(coercive)」の行使が不可能ということで整理すべきなのだろうと思っています。(ここは、もうすこし国際法の本を読む必要がありまが)

デジタル法務の実務Q&A 11月上旬発売です

 

 

 

 

 

 

「デジタル証拠の法律実務Q&A」に次ぐ、デジタル法シリーズ第2弾である「デジタル法務の実務Q&A」が、11月上旬に発売になります。

情報ガバナンスをベースに不正調査・個人情報保護、GDPR、仮想通貨、AI、APIなど現代社会で問題になる論点できる限りカバーしています。

あと、刑法の部分がすごく充実しています。デジタル証拠本は、官公庁にも支持されたと聞いています。官公庁さん、この本もよろしくお願いします。

デジタル証拠の本が、これだけ支持されたというのは、社会のデジタル化が、ついに法曹界も無視できないレベルにいたったということなのだろうと思います。しかしながら、社会は、その間に数歩も進んでいます。その社会にキャッチアップするというのが、この本のミッションです。チャットボットの設計図まで公開して、なんちゃってAIの法律問題を検討していたりしています。

ご購入いただけると幸いです。

「アメリカプライバシー法 連邦取引委員会の法と政策」献本いただきました。

昨年度の総務省の調査でお世話になりました宮下先生、板倉先生が翻訳に参加しております「アメリカプライバシー法 連邦取引委員会の法と政策」を献本いただきました。

米国のプライバシーについて、ある程度分かっているつもりでも、おおよその枠組とFTC5条に基づいた権限行使がなされることくらいしか、了解していなかった私にとって、このような形で、体系的に詳細な知識をまとめて手にいれることができることは非常に助かります。

我が国でも、マーケティング対策活動に対する取り組み(4章)は、なじみがあることかもしれませんが、子供のプライバシー(2章)、情報セキュリティ(3章)、金融プライバシー(5章)における叙述は、きわめて新鮮なのではないでしょうか。

個人的にも、COPPAや公正債務取立法(FDCPA)までは、さすがに調査・研究する機会がなかったので、役に立ちます。また、情報セキュリティ問題についてのFTCの活躍は、非常に興味深いです。特に、情報セキュリティに関する考察は、法と経済などの知識を背景に、深く読み進めると、さらに、理解が進むような気がします。日本において、その分野の研究がほとんどない(というか、どうせ、理解されることはないだろうとあきらめているように思えます)点から、非常に重要な分析です。

世界的には、EUのデータ保護指令から始まって、GDPRのインパクトが非常に強く、ある意味、(データ保護という)理念的なアプローチが強いわけですが、世界的に、みてみると、全く別個のアプローチというのは、興味深いと思います。

なので、プライバシーやセキュリティを語る人は、ぜひとも購入をお薦めします。

 

 

イタリアのGDPRと国内法の統合

イタリアの個人データ保護に関する法が、2003年個人データ保護法典(Codice in Materia di Protezione dei Dati Personal)(Legislative Decree no. 196 of 30 June 2003、2003年政令196号)であること、全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれていることは、ITリサーチ・アートの総務省GDPR報告書に記載されています(100頁)。

統合に関する法は、政令2018年101号になります。名称は、「GDPRの国内法制への適用(l’adeguamento)に関する規定」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101.Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)です。

適用法は、
1 章 個人データ保護法典の名称変更

1条 2003 年個人データ保護法のタイトルと規定の変更
1条は、2003年法の「個人データ」のあとに、「国内法をGDPRに適合させるための規定を含む」という用語がはいることなどを論じています。

2章 個人データ保護法のパート1への変更

2条 パート1、タイトル1の改正

2条は、2003年法の「1部 一般規定  タイトル1 一般原則(1条-6条)」に関する規定になります。
タイトル1が、「原則および一般規定(Principi e disposizioni generali)」に変わり、1条の前に、1章(対象、目的、監督機関(Oggetto, finalità e Autorità di controllo))が挿入されます。
そして、1条が、個人データの取扱は、GDPRによってなされること、2条は、目的として国内法を規則に適合される規定を含むこと、が論じられています。
2条2項以降は、国内法的な観点からの規定が述べられています。
具体的には
2条2項(監督機関)
このあとに
2章(原則)という用語が追加されます。そして、それに該当する規定は、2条3項からになります
同3項(公的利益または、公権力の行使に関する個人データの取扱に関する法的根拠)
同4項(専門職規範)
同5項(情報社会サービスに関する未成年者の同意) これは、14歳以下について、保護者の責任ということが明らかされています。
同6項(公的利益を理由とする特別カテゴリの取扱)
同7項(遺伝・生体・健康データ取扱についての保障手段) これは、GDPR9条4項で追加できるというのに基づくものであって2年ごとに保障する手段がとられるものとされています
同8項(刑事判決および犯罪に関するデータの取扱に関する原則)
同9項(大統領、下院、上院および憲法裁判所における取扱)
同10項(利用し得ないデータ)
このあとに、

2003年法典における
3章(利害関係人の重要な権利の規定-Disposizioni in materia di diritti dell’interessato)

2条11項(利害関係者の権利の制限)
同12項(司法の理由による制限)
同13項(死亡した人の権利)

さらに2003年法典における
4章(取扱権限者および取扱責任者の規定 Disposizioni relative al titolare del trattamento e al responsabile del trattamento)

2条14項(目的のための機能およびタスク)
同15項(公益業務遂行たのめの高リスクの取扱)
同16項(司法権における機能遂行のためのデータ取扱の責任者)
同17項(国家的認証機関)
の規定が定められています。

3章 個人データ保護法典 パート2の改正

2003年法典のパート2は、特定セクターに適用される規定です。これが、上記政令2018年101号によって改正されることが、同政令3条によって明らかにされています。
同条は、「規則9章の取扱規定に含まれない公益の実行における法的義務に必要な/公権力の行使に関連する取扱の特別の規定」とパート1のタイトルを変更することになります。
また、同条によってタイトル1の前にタイトル0.1として司法における規定が挿入さるとともに、法典45条2項(法的根拠) 具体的なき規定は、規則の6条パラ2によることが述べられています。
4条 法典58条のタイトル変更
5条 法典59条の読み替え等
6条 法典75条(情報の特別の条件)の改正
7条 法典96条(教育データの取扱)の改正
8条 法典97条、99条、100条等の改正
9条-12条まで 省略

4章 個人データ保護法のパート3への変更

2003年法典のパート3は、救済および制裁の規定です。これが、上記政令2018年101号によって改正されることが、同政令13条によって明らかにされています。
同条によってタイトル1の前にタイトル0.1として保護のためのその余の形態が挿入さるとともに、法典の141条から144条までが、修正されています。
同14条 法典パート3 タイトル2の修正
これは、独立の監督機関(153条以下156条)の修正規定を定めるものです。
同15条パート3 タイトル3の修正
これは、罰則の規定(法典166条ないし171条)を修正するものです。
同16条 法典附属文書Aの名称の変更

5章 手続的規定
6章 経過規定等

となっています。

政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。

GDPR対応メモ 29条委員会のガイドライン一覧

GDPR対応のために、ちょっとメモを作りました。特に、29条作業委員会のガイドラインのドキュメント番号を付してみました。(本家のニュースルームですが、ちょっと見にくいのは、こちら

テーマというのは、英国の情報コミッショナーの「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」をもとにまとめてみました。EU域内でも大変なことになっているので、いままで、あまり考えていなかった日本の会社さんも大変なことになっているのではないかと考えてしまうところです。

日本企業さんだと、この表に影響度と書いておいたのですが、2018年5月25日の効力発生日にむけて、それまでに対応しなければならない緊急性、従来の指令/国内法体制からみたときに新たな規制となる可能性の高い新規性、日本企業において特に配慮すべきもの要配慮性、の観点から、影響の高い点から、確認をすすめていくということになるかとおもいます。(以下の表で高とつけたのは、あくまでも私の感覚です。)

 

テーマ 具体例 影響度 Art.29 WP
原則 個人の権利/個人データの移転禁止が原則から削除(6原則に)
アカウンタビリティの原則が追加 WP260
考慮すべき重要なエリア 適法な取扱
同意 WP259
児童の個人データ
個人の権利 情報を提供されるべき権利
アクセス権
訂正権
消去権
取扱制限権
データポータビリティの権利 WP242
異議権
自動化された意思決定およびプロファイリングに関する権利 WP251
説明責任およびガバナンス 原則の意義
取扱の記録
データ保護バイ・デザイン
データ保護インパクト評価 WP248
データ保護責任者(オフィサー) WP243
行動規範と認証メカニズム
データ侵害通知 概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備 WP250
データ移転 移転の概念
十分性の概念 WP254256257
保護措置に基づく場合
国ごとの適用免除規定 実施法等との関係
処罰の額の大きさ 世界の売り上げの4パーセント など WP253

なお、その他の注目すべき29条委員会のドキュメントとして、LSA(wp244)があります。