「トランプ大統領 ソーシャルメディア対象の大統領令に署名」と公表者の法理

「トランプ大統領 ソーシャルメディア対象の大統領令に署名」という報道がなされています。

メディア的には、自分のツイートに、ファクトチェックのコメントをつけられた大統領が、これを制限しようと、腹を立てて、大統領令を発令したみたいな流れですが、はたしてそうなのでしょうか。

まずは、原文にあたってみましょう。大統領令は、こちら

第1条は、言論の自由の重要性を強調しています。しかしながら、それらが、

近年のオンライン・プラットフォームの成長は、現代の通信技術に修正第一条の理想を適用することについて重要な疑問を投げかけている。

としています。

第2条は、「オンライン検閲に対する保護」です。

具体的には、(良きサマリア人の法理である)通信品位法(CDA)の第230条(c)項(第230条(c))によって創設された責任の免除が重要な役割を果たしていること、その一方で、その免責の範囲を明確にすべきであると考えていることが主張されています。

この法理は、

オンラインプラットフォームが他人が投稿した一部のコンテンツへのアクセスを制限した場合、名誉毀損などの不法行為の目的で、そのサイトに投稿されたすべてのコンテンツの「パブリッシャー(公表者)」になるとした初期の判例に対処するために考案されたものです

法の下で許される最大限の範囲で、この規定が歪められて、好ましくないコンテンツを削除するために「善意」で行動するのとは程遠い、代わりに(多くの場合、利用規約に反して)同意しない視点を抑圧するために偽善的または口実のある行動をとるオンラインプラットフォームに対する責任保護を提供するように歪められないようにすることが、米国の政策です。

(略)

第230条は、一握りの企業が、開かれた議論の場を促進するという名目で、国の言論の重要な手段を支配する大企業に成長し、その権力を使ってコンテンツを検閲したり、自分たちが嫌いな視点を黙らせたりする場合に、それらの巨大な企業を完全に免責することを許可することを意図したものではありません。 インタラクティブ・コンピュータ・サービス・プロバイダーがコンテンツの削除やアクセス制限を行い、その行為が(c)(2)(A)号の基準を満たしていない場合、そのプロバイダーは編集行為を行っていることになります。 このようなプロバイダは、(c)(2)(A)号に定められている責任限定の盾をに失うのが適切であり、オンライン・プロバイダではない従来の編集者や出版社と同様に責任を問われるべきであるというのが米国の方針です。

というのが、具体的な問題点の提起になります。

そして、具体的な解釈論として明示されるべき事項としては、どうか、というと

(i) 第230条(c)(1)項と(c)(2)項の相互関係、特に、(c)(2)項(A)で特に保護されていない方法でコンテンツへのアクセスを制限する対話型コンピュータサービスのプロバイダは、(c)(1)項の保護を主張できない場合があることを明確にし、決定すること。

(ii) 素材へのアクセスや利用可能性を制限する行為が、第230条(c)(2)(A)号の意味で「善意で行われた」とは言えない条件、特に、以下のような場合に「善意で行われた」と言えるかどうか。

(A) 偽装的、口実的、またはプロバイダの利用規約と矛盾している場合。

(B) 十分な通知、合理的な説明、または意見を聞く有意義な機会を提供しなかった後に取られたもの。

その他適切な場合

第3条は、「連邦納税者の表現の自由を制限するプラットフォームからの保護」です。

連邦政府が、オンラインプラットフォームに対して広告宣伝費として支払っているのを見直すように言っています。

第4条は、不公正もしくは欺瞞的な行為等の見直しです。第5条は、州による見直し、第6条は、立法の準備、第7条は、定義、8条は、一般的規定になります。


ここで、上の通信品位法による責任制限とパブリッシャーの法理との関係を見ていきます。

これらの点については、私の会社のITリサーチアートが総務省からの調査を受託してなした「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負-報告書-」の報告書で明らかになっています。

まずは、上で「「パブリッシャー(公表者)」になるとした初期の判例」というのをみていきます。

パブリッシャーの法理については、報告書123頁で触れています。まず、「公表」とは、意図的又は過失により、ある事項の第三者への伝達に関与し、又は、当該伝達を許可することをいいます。そして、「当該表現を行った者のみならず、当該表現の伝達に関与した者(編集者など)、それを許可した者(出版社)も行為者となる。」のです。

でもって、1990年代にこの法理がインターネットに適用されるか、というのが議論されることになりました。イギリスとアメリカは、別途の発展を遂げます。

アメリカでの判決の発展は、188頁です。Cubby v. CompuServe, 776 F. Supp.
135(S.D.N.Y,1991)、Stratton Oakmont v. Prodigy, No. 31063/94, 1995 WL 805178 (N.Y.Sup. Ct. Dec. 11,1995)があり、通信品位法が制定されました。そして、Zeran判決で、上の230 条(c)が広く適用される契機になりました。

イギリスでは、 Godfrey v Demon Internet Limited 事件 [2001] QB 201 で、プブリッシャーの法理が、ISPに適用されることが確認されています。なので、基本的には、ISPにも名誉毀損が成立するものとされていました。その後、2013年名誉毀損法の成立などがなされます(報告書131頁)

オーストラリアでは、1999年放送サービス法改正法によって、免責が認められて、英国のプブリッシャー法理を否定しました。


230条(c)については、報告書の187頁に記載されています。

問題のある情報を制限・排除する良きサマリア人の保護
(1)公表者としての取扱い
インタラクティブ・コンピュータ・サービスのいかなるプロバイダ又はユーザーも、他のコンテンツ提供者によって提供された情報について、パブリッシャーとして取り扱われてはならない
(2)民事責任
いかなるプロバイダも以下のことを理由として責任を負わされてはならない

(A)下品、わいせつ、煽情的、卑猥、過剰に暴力的、嫌がらせその他問題があるとプロバイダが考える情報(略)に対するアクセス又は当該情報の利用を制限するために善意でとられた行動
(B)前段落所定の情報に対するアクセスを制限する技術的手段を実現するためにとられた行動(略)」

その一方で、インターネットのプレイヤーが、通信について伝達を主とするISPから、自ら、コンテンツを表示する情報コンテンツプロバイダーに変わってきたという事情がありました。

米国では、既に、通信品位法第 230 条(c)が、情報コンテンツプロバイダーかどうかが争われたという事案がありました。Jones v. Dirty world entertainment recordings llc.事件において、裁判所は、同項は、情報インタラクティブ・プロバイダが、問題のコンテンツの情報コンテント・プロバイダでない場合に限って認められるにすぎない、そして、ウェブサイト管理者が、コンテンツの創作若しくは発展(development)に、部分的に影響があれば、その点については、責任を負うべきであること、ただし、主張された違法性に主として貢献する(to materially contributing)」部分に限って判断されること、の判断をなしました。

その意味で、通信品位法第 230 条(c)の適用範囲については、あまり明確ではないのではないかとして議論されていたのだと思います。また、広範囲すぎるのではないか、という議論も出ているということも指摘されていました(報告書189頁)。

なので、大統領の一時的な私怨を晴らすための大統領令という見方は、正確ではないのではないか、というのが私の見方です。

発信者情報開示のデザインの誤りはどこにあるのか?

木村花さんの死亡に関して、ネットワークの匿名性についての見直しがやっと議論になってきています。

総務大臣のコメントは、NHK「ネット上のひぼうや中傷 投稿者特定の仕組み見直しへ 総務相」です。

また、「ソーシャルメディア利用環境整備機構」が、声明をだしました。声明自体は、こちらです

木村さんを追い込んだのがネットワークの匿名性によるわけで、それを見直しましょう、ということになりつつあるかと思います。

ここでいう「匿名性」は、あるかないか、という話ではなくて、「インターネットと匿名性」という論考で定義したのですが「行為者を特定しようとするコストが、社会通念上、合理的なレベルを超えた状態」という状態と定義しています(82ページ以降)。

「行為者を特定しようとする」コストというのは、発信者情報開示制度を用いて、特定するためのコスト(お金だけではなくて手間暇全体の概念です)です。これが非常にかかってしまう、弁護士としても、これを依頼されても、なかなか大変ですよ、でもって、これだけは、費用がかかってしまいますよ、しかも、プロバイダがログをちゃんと保存しているか微妙ですからね、ということになってしまいます。

ただ、遡って考えると、そもそも、ログというのは、もともとは、プロバイダの情報なので、それを開示してね、といって、開示するかどうかは、プロバイダの判断に本当に委ねられる仕組みだったはずです。それを一定のルールを作ったのが、プロバイダ責任制限法4条の発信者情報開示の仕組みなわけです。

この発信者情報開示に関する情報が、整理されているページはこちらです。

プロハイダ責任制限法の解釈に関するもっとも信頼のおける解説・総務省「特定電気通信役務提供者の損害賠償責任の制限及び発信者情報の開示に関する法律-解説-」はこちらになります

ここで注意すべき表現があります。

発信者情報は、発信者のプライバシー及び匿名表現の自由、場合によっては通信の秘密として保護されるべき情報であるから、正当な理由もないのに発信者の意に反して情報の開示がなされることがあってはならないことは当然である。

という表現ですね(31頁)。ログの記載が、それ自体として「プライバシー」の利益で保護されることをうたっていますね、アメリカ法だとプライバシーに関する合理的な期待となって、第三者のもとに保管されている場合については、それ自体、その期待は、合理的なものとはいえないとされることが多いのですが、そのような理論とは関係なしな点が留意点です。

そして、注ⅵですが、

 ただ、プロバイダ等が任意に開示した場合、要件判断を誤ったときには、通信の秘密侵害罪を構成する場合があるほか、発信者からの責任追及を受けることにもなるので、裁判所の判断に基づく場合以外に開示を行うケースは例外的であろう。

という表現ですね。結局、開示を求められても、自発的に開示しないで、裁判所までいってくださいね、というのがデフォルトになって、斯くして、インターネットの「匿名表現の自由」というのが”守られた”という仕組みになっています。

この仕組みについて、プロバイダに早期に開示させるインセンティブの設計がありません。それか、現状を導いているということができるでしょう。

個人的には、早急に開示に対応しない場合は、同法3条1項の解釈論として自ら、「公表者」として責任をおう(公表を幇助している)ことがありうるというのが確認されるべきでしょう。

私の解釈からいうと、発信者情報についての発信者のプライバシーの保護は、その第三者のもとで開示されないという「合理的な期待」がある限りで保護されているにすぎません。しかも、これは、「他人の秘密」として電気通信事業法4条2項で保護されているにすぎません。(1項2項分離論です)

そうでなくても、「合理的な期待」があるのにないと思ったというのは、事実の錯誤になるので故意がなくなるので、(仮に1項で保護されていたとしても)犯罪はもともと成立しませんね(2項に刑事罰がないのはさて置くとしても)。

では、「匿名表現の自由」との関係は、どうなるのかという問題がでてきます。仮名を使って表現するのと、リンクできなくするというのは、全く別なわけです。仮名による表現を匿名表現の自由と読んでしまったところ(McINTYPE vs. OHIO ELECTIONS COMMISSION 115 S.Ct. 1551,1516(1995))に、罪があるわけです。こんなスライド参照

すくなくても、プライバシーは、人権のカタログのなかで最優越的な地位をしめるものではなくて、他の利益と同じ程度のものとして設計されるべきだと思います。そうだとすると、書面で濫用がなされていないか検証ができる形態であれば、開示されてもいいかと思っています。

4条2項におとしこむ解釈論がとれれば、これは、事業者の内部の義務での保護が問題となるので、むしろ、内部の行為規範を作成して、それの遵守を検証する仕組み、これは、消費者行政課が権限を持てることになります。

私が総務大臣だったら、まず、注ⅵを削除させますね。その上で、

発信者情報は、発信者の第三者のもとにおけるプライバシー保護に対する合理的な期待、場合によっては、法に定める他人の秘密として保護されるべき情報であるから、正当な理由もないのに発信者の意に反して情報の開示がなされることがあってはならないことは当然である

と書き換えさせましょう。そうだとすると、「合理的な期待」がない場合には、自発的に開示したとしても問題がなくなりますね。それを行為規範で担保するのがいいのではないか、と思っています。

そして、この解説について12頁をインセンティブの観点から見直すことを推奨するかと思います。丸7の部分ですが、これについては、通知によって、プロバイダに、権利侵害の認識を知らしめてもいいわけなので、その旨を記載しましょう。そして、もし、通知を受けても、意味なく開示しない場合には、侵害の幇助をしていると同様であるという評価をくわえることができそうです。私にいわせれば、上の注ⅵよりは、上品な解釈だと思いますね。

プロバイダが、責任を負うことになるって?その場合には、権利侵害保険を作って、対応その措置をどれだけまじめにやるかで保険料に差をつけるというのがイギリスの昔の制度だったと思います。結局、社会全体で制度設計をしていかなくてはならないのだろうと思います。

法制度の設計は、総合アートですね。内部の文書の修正だけで、この問題に対する解決のメドがたつかと思います。いかがでしょうか。

ケンブリッジアナリティカ事件のスライド

金曜日に近畿大学の山崎重一郎先生の「福岡ブロックチェーンエコノミー勉強会(SSI)」で、テレ勉強会にて、オンライン参加して、報告した私の資料を、Slideshareにあげてあります。

題して、「ケンブリッジアナリティカ事件とは何か?」です。

このスライドは、英国・情報コミッショナー報告書(Investigation into the use of data analytics in political campaigns A report to Parliament 6 November 2018)の要点をまとめたものになります。

いろいろな見方がありますが、法的な問題としては、データ保護の問題です、と捕らえることが一般になります。表面的には、同意の限界ということになります。Facebookのゲームで収集されるデータが友人のものまで含むということは、ほとんど現実には意識されていなかったということすね。

ただ、いろいろなとらえ方ができて、むしろ、このインパクトは、政治的な活動に利用することができて、あたかも、人の心を自由自在に操ることができる技術だ、ということにあるのではないか、という感じがします。

そして、この事件を契機にして、フェークニュースをもとに、政治的な意思決定を操ることは許されるのか、とか、外国の政府が、このような技術をもとに外国の政治的な意思決定を左右することは許されるのか、ということが議論されるようになっている、というのが私の認識です。そして、この問題意識こそが、現代社会で、重要性をもつものとなっていると考えています。

なので、この事件を、わが国の、「個人情報と同意」の問題だけで把握すると、インパクトを正確に理解できないのではないか、というのが私の認識になります。

 

プライバシーのcontextのコンテキスト?

前の岡田仁志「リブラ 可能性、脅威、信認」5章を読まないで、プライバシーを語るなで、プライバシーの認知される価値がcontext(コンテキスト)によって決まるとして、そのコンテキストの要素をあげてみました。

この場合でいうコンテキストって、「主体と周辺の状況の総体」という意味に思えます。

ここで、これを文脈依存的と訳してしまうと、意味が狭くなったりします。たとえば、宮下先生に「プライバシー・個人情報保護の新世代」という論考があるのですが、ここでは、

「プライバシーは、文脈に依存して意味を変えるカメレオンである」といわれてきたのは、そのとおりである

と使われていたりします。これは、プライバシーがどのような意味で、まさに前後の文脈で使われているのか、よく見ましょう、という意味に見えます。

これに対して、大谷卓史「プライバシーの多義性と文脈依存性をいかに取り扱うべきか:Nissenbaumの文脈的完全性とSoloveのプラグマティズム的アプローチの」は、

同じ個人情報がある人AからBに伝達した 場合,さまざまな状況・文脈によって,それがプラ イバシー侵害の懸念を生む場合もあれば,逆に何ら 問題にならない,または何らかの理由から推奨され る場合もある。何がプライバシーであるか,また, 何がプライバシー侵害であるかは,文脈によって左 右されると考えられる。

といっていたりします。

この論文をみていくと、文脈(contexts)、行為者(actors)、(情報の)属性(attributes)、伝達原則(transmission principles)の四つの要素にわけて論じられるということだそうです。ここでは、行為者以下の要素は、コンテキストという用語からは、省かれています。

このコンテキストの分析をなした論文として吉田智彦 「パーソナルデータ取引における本人同意取得の際の経緯に関する考察」(情報ネットワーク・ローレビュー13巻2号)があります。

わが国では、「パーソナルデータの利用・流通に関する研究会」が、以下の文書を紹介していて(報告書は、こちら)、そこでは、contextが、「経緯」と訳されていて(57頁)、例によっての、lost in translationになっていることには、注意しないといけないですね。

米国政府(ホワイトハウス)が、2012年2月に公表した報告書「ネットワーク化された世界における消費者データプライバシー(Consumer Data Privacy in a Networked World)」では、プライバシー権利章典(Privacy Bill of Rights)と消費者保護強化のための方策が示されています。プライバシー権利章典の7つの原則の1つに、「コンテクストの尊重」が盛り込まれています。これは

消費者は企業が自分の個人データを、自分が情報を提供したコンテキストに沿う方法で、収集、使用、開示することを期待する権利を有する(Respect for Context: Consumers have a right to expect that companies will collect, use, and disclose personal data in ways that are consistent with the context in which consumers provide the data.(P15)

というものです。

そして、このような考え方を発展させたものとして急速に変化する時代におけるFTCの「消費者プライバシー保護(Protecting Consumer Privacy in an Era of Rapid Change)」があるわけです。

この報告書では、コンテキストという用語が本当に多用されているわけです

選択を求める実務において、企業は、消費者が、データについて決定をなしうるコンテキストと時機において選択を提供すべきである(60頁)

For practices requiring choice, companies should offer the choice at a time and in a context in which the consumer is making a decision about his or her data.

などと表現されています。

上記吉田論文によると、この報告書においては、「誰に/どのレベル(種別)のデータが/どのように使われるか」という3点を総合的に示すものとしてコンテキストという用語が、使われているとのことです。

特にこのうち「どのように使われるか」(利用目的)という要素は、選択肢の要・不要に影響する重要なものとして、提案されていることが明らかにされています。

コンテキストという用語からみると、行為者(actors)、(情報の)属性(attributes)をも含む用法ということがいえます。私が、「主体と周辺の状況の総体」と定義したものと同一です。というか、この用法を参考にして、コンテキスト的な理解が重要です、といっていたりします。

これで、プライバシーを語るには、消費者にとっての価値の認知が、コンテキストによって左右されることがわかったかと思います。そして、岡田先生のリブラの5章はこの命題をデータで実証しようという、世界でもチャレンジングなプロジェクトなのです。

そうだとすると、あるべきプライバシーと法の関わりは、このコンテキストによる認知価値の変動という仕組みを前提として、プライバシーの取引の際に、提供される選択肢の要否・詳細さ・初期値を調整するための枠組みを提供することなのだろうと思います。(適切なナッジの仕組みの提供ね)

GDPR等の法の枠組みが、コンテキストを無視して、社会的に損失がおおいような初期値を設定することを設けている(たとえば、安全のために利用する場合にも、同意を必要としている-セキュリティのためのDPI活用の議論の混乱をみよ))のは、強く批判されるべきだろうと考えていたりします。

 

 

岡田仁志「リブラ 可能性、脅威、信認」5章を読まないで、プライバシーを語るな

「岡田仁志「リブラ 可能性、脅威、信認」5章を読まないで、プライバシーを語るな」というタイトルにしましたが、まさに、この部分の記述を理解することが、プライバシーを語る場合の基礎知識であるし、そのようになるべきだろうと考えています。

現代社会で、プライバシーもしくは、個人情報保護の文字をみない日は、ありません。人によっては、現代社会で、もっとも重要な人権であるという人もいそうです。

 省庁によっては、国滅びても、秘密が保護されれば、いいというようなところもありそうですが、それは、さておきます。

しかしながら、現代社会で、個人にリンクしうるデータが交換されるときに、その「交換」は、きわめて、いろいろな条件のもとで、なされていること、そして、それは、単純なペン一本が100円です、というような表現がなされない、ということについては、正面から議論されることが、まず、ありません。

岡田先生の本では、この点が、具体的なデータをもとに、そして、その取得方法(コンジョイント分析)の解説とともになされています。

コンジョイント方式については、こちら(私の会社のページ)でも解説しています。

岡田先生の本の210ページで紹介されている報告書は、こちらです。(オープンデータになっているはずなので、研究者の方は、生データをもとに、分析ができるはずです)

この調査は、2010年の春になされているのですが、この段階で、プライバシーにコンジョイント方式を利用して分析するというのは、世界でも2例目でした。Alesandro Acquisiti先生にインタビューをして、誉められたのは、すごい、いい思い出です。(Acqisti先生の業績は、こちら

岡田先生の本は、プライバシーに関するデータの主体にとっての価値が、情報主体の所属クラスタによって変わること(213頁)、人格からの距離というべきデータの性格によって、かなり変わること(218頁)、データの取扱者によって異なること(222頁)、をきちんと論じています。

そして、この研究は、フェースブックなどのドミナントな主体の活躍する市場でなされる場合と、競争がある市場でなされる場合で、主体が認知するプライバシーの価値が異なってくるのではないか、という方向につながることを示唆しているでしょう。(このような研究が、日本では、ほとんど理解されないのは、残念なことです。-実験は費用がかかるので、それがみつからないわけです)

これを図で示しましょう。

 

 

 

 

 

この図は、情報主体のコアのプライバシに関する情報、識別にかかる情報、リンクしうる情報が、主体が社会生活のなかで、取引情報が提示されて、他の取扱の主体に開示されることを示しています。それらの情報は、他の取引の要素(たとえば、検索サービスを、金銭的対価なしで利用する、というようなこと)相まって、取引されるのです。

本来であれば、情報主体に関するプライバシは、取引の一つの要素として、情報主体は、それを評価して、取引すべきかどうか、また、(他の主サービスと込みで)いくらで取引するかというのを決めることになります。

しかしながら、上の岡田先生の本で論じられていたように、取引主体たる情報主体が、財の価値を理解しないで、市場に参加しているのです。プライバシーのパラドックスは、岡田先生の本では211頁からですし、私の解説はこちら

IPA報告書ではクラスターの所属(もしくは、コンジョイントによって認知された個人の重要度の数値、岡田先生の213頁)と、質問紙法におけるプライバシーについての重要度の数値が相関がないことに触れられています(IPA報告63頁)。

これを一言でいうと、情報主体にとってのプライバシーの主観的価値は、「コンテキスト(経緯もしくは文脈)」に依存する、ということになります。

そして、このコンテキストというのは、上の図で表されたように

  • 人的要素(情報主体の感受性、その他、デモグラフィックな要素)
  • 社会的要素(取引についての情報の公平性と巻き戻し可能性、それらの確保可能性)
  • 市場的要素(市場の競争状況)
  • 取引的要素(取引条件、特に、目的の利己性/利他性)

のすべてを包括するものと考えるのが、妥当なように思えます。

まず、自由市場をベースに考えて、そして、プライバシーも、取引の一要素であると考えるのであれば、契約自由の原則が、大原則であること、しかしながら、それが、取引主体の認知の不十分さから、情報の非対称性が生じていること、これをベースに、現代社会におけるプライバシーの公平な取引を考えないといけないことになります。

岡田先生の本は、このようなプライバシーのコンテキスト依存性を実証データによって、解説しているものです。プラットフォームにおけるプライバシー取引についての規制当局のハードなパターナリズム(父権主義)を正当化しようという人であっても、このような事実(エビデンス)を認識する必要があると思います。

このエントリのタイトルで、「5章を読まないで、プライバシーを語るな」というのは、まさに、岡田先生のこの部分が、世界的なプライバシの議論のレベルを分かりやすくコンパクトに示しているからです。

 

 

 

 

 

 

 

 

シンポジウム「データ戦略の課題と未来」

IT法部会と日弁連法務研究財団の共催による「データ戦略の課題と未来」が開催されます。

情報のサイトはこちらです

私も、プログラムのお手伝いをしていますし、データ戦略というのは、今のもっともホットなイシューになるかと思います。

法的な立場からは、個人情報該当時のリスクの話を聞くことは多いのですが、企業等において実際にそのようなリスクをコントロールしながら、どのように進めるか、というのを聞くことはなかなかないので、非常に貴重な機会かと思います。

みなさま 奮ってご参加ください。

 

デジタル法務の実務Q&A 11月上旬発売です

 

 

 

 

 

 

「デジタル証拠の法律実務Q&A」に次ぐ、デジタル法シリーズ第2弾である「デジタル法務の実務Q&A」が、11月上旬に発売になります。

情報ガバナンスをベースに不正調査・個人情報保護、GDPR、仮想通貨、AI、APIなど現代社会で問題になる論点できる限りカバーしています。

あと、刑法の部分がすごく充実しています。デジタル証拠本は、官公庁にも支持されたと聞いています。官公庁さん、この本もよろしくお願いします。

デジタル証拠の本が、これだけ支持されたというのは、社会のデジタル化が、ついに法曹界も無視できないレベルにいたったということなのだろうと思います。しかしながら、社会は、その間に数歩も進んでいます。その社会にキャッチアップするというのが、この本のミッションです。チャットボットの設計図まで公開して、なんちゃってAIの法律問題を検討していたりしています。

ご購入いただけると幸いです。

イタリアにおけるGDPRの国内への統合の概要

イタリアのGDPR施行法が明らかになりました。法案の官報は、こちらからみれます

この点についての記事(「イタリアは、GDPRを国内プライバシー法制に統合」)は、こちらです。

具体的な内容の概要について、簡単に紹介しておきます。

趣旨は、GDPRを国内法に統合するためのものです。

条文は、27条から成り立ちます。

章ごとにみると

1章 2003年データ保護法典の題および規定の変更( 1条 )

2章 2003年データ保護法典の1部に対する変更(2条(1)-(17))

3章 2003年データ保護法典の2部に対する変更(3条-12条)

4章 2003年データ保護法典の3部に対する変更(13条-16条)

5章 手続的規定(17条)

6章 経過、最終および財政的規定(18条-27条)

となっています。

具体的な内容については、次にみていきましょう。

 

 

 

英国データ保護法における越境データ流通の問題

EUデータ保護指令の第Ⅳ章  第三国への個人データの移転で、25条 原則は、

1項で

加盟国は、処理されている、又は後に処理される予定の個人データの第三国への移動は、当該第三国が適切なレベルの保護を提供している場合に限られることを規定するものとする。但し、本指令に従って採択された国内規定に対する遵守を害しないことを条件とする。

としています。
これに対応するのが、98年法の第1表、第1部、8文の第8原則で、「国ないし地域においてパーソナル・データの処理に関連してデータ主体の権利および自由についての適切なレベルの保護が確保されないかぎり、パーソナル・データは、ヨーロッパ経済圏外に、移転されない」とされています。

98年法の法案においては、84年法にもEU指令にも定められなかった「移転」の定義が、盛り込まれていました。それによると、データを開示すること、そうであるなければ、データに含まれる情報を利用可能にすることをいうとされていたのです(法案1条)。この定義自体は、電話やインターネットで通信されるときにも適用されるものであり、適切なものであったと考えられています。
もっとも、この定義は、最終的には、定められることがなく、その理由も明らかなものではありません。

コミッショナーのガイドラインのドラフト(1998年11月)においては、「移転」は、一つの場所から他の場所への通信という通常の意味が与えられるべきとされていました。この移転については、コントロールを失うことであるとされることもあったが、契約等によりコントロールを維持した場合でも移転されたとされることがあります。また、移転というのは、積極的なものをいうので、データが盗まれた場合には、移転とはいわないとされています。

「クロスボーダー」という用語の問題としては、特に、クロスボーダーでデータ収集を行っている会社が問題になります。EEA域内において、本店を有している会社においては、その本店を有している国の法に服するのみであるが、域外に本店を有し、英国内において設備を用いてデータ処理を行っている場合は、英国法に従うと解されています。

この原則のポイントは、移転先に対して、パーソナル・データの「適切なレベル」の保護を要求するものです。

この「適切なレベル」かどうかについては、「共同体の認識」に従って決定される事があることが述べられており、また、パーソナル・データの性質、データに含まれる情報の原産国、その情報の目的国、処理の目的、その機関、問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段などから、判断されます。

くわしく触れると、「データの性質」というのは、センシティブな程度に応じて必要とされるべき保護の程度も変わると言うことが含意されています。
次の「データに含まれる情報の原産国」、「その情報の到達国」についていえば、(到達国の保護のレベルは問題になるとしても、その国自体には)特に意味がないのではないかという立場もある。「処理の目的と期間」については、「データの性質」と対応して問題にされるべき事柄であると考えられる。問題の国ないし地域の実効性を持つ法、その国ないし地域の国際的な義務、関連する強制力を有する行動規範、ルール、データに関するセキュリティ手段については、目的国のデータ保護体制を詳細にデータ管理者が検討することを要求する。

共同体の認識ということですが、第29条データ保護作業部会は、WP12文書(Working Document: Transfers of Personal Data to Third Countries: Applying Articles 25 and 26 of the EU Data Protection Directive (24 July 1998)以下、WP12文書という)を公表しています。この文書については、わが国においては、個人情報保護制度における国際的水準に関する検討委員会・報告書が詳しく検討しています。

また、英国レベルでのガイダンスとしては、情報コミッショナーのガイダンス があります。

ここで、このガイダンスにおいては、データ管理者は、「良き実務のアプローチ」として、(1)共同体の認識(2)移転のタイプの考察に基づく「適切性」の推定(3)「適切性テスト」の採用(4)附則第4条に含まれている規定の適用の検討を検討することが推奨されるとされます(上記ガイダンス9)。(1)については、上述した。(2)は、CBI の6つのリスト分けされたデータ移転の種別ごとにリスクや評価が必要になるにしても「適切性」が推定されることを明らかにしています。もっとも、特に継続的な関係にない販売データの移転については、厳格な判断が必要なことが示唆されています。(3)この「適切性」テストは、一般適切性基準、法的適切性基準の観点から検討され、さらに、契約、行動綱領の利用が加味されることになる。

この第8原則の例外としては、「データ主体の同意のある場合」「契約の実現またはその締結のために必要な場合」「実質的な公共の利益のために必要な場合」「データ主体の生命にかかわる利益を守るために必要な場合」などがあげられています。

この点についてのわが国の報告書としては、国際移転における企業の個人データ保護措置調査報告書が存在しています。