コロナウイルス(Covid-19)とGDPR (4)-欧州データ保護委員会

まずは、ロンドンを訪問するときは、いつもインタビューとかをしてお世話になっているCordery事務所も、コロナウイルスとデータ保護についてのクライアント・アラートを公表しています。具体的な内容については、個々の論点のときにみていくことににしますが、最後に、40国(人も入っています)のデータ保護当局のコロナウイルス対応についてのガイダンスの一覧がついています。

このエントリでは、欧州データ保護委員会の動きをみます。

同委員会は、3月16日に、「Covid-19の感染爆発の文脈における個人データの取扱いに関する欧州データ保護委員会議長のステートメント」を出しています。

このステートメントは、最初に欧州データ保護委員会(EDPB)のアンドレア・イェリネク委員長は次のように述べています、として

データ保護規則(GDPRなど)は、コロナウイルスのパンデミック対策を妨げるものではありません。しかし、このような例外的な時期であっても、データ管理者はデータ主体の個人データの保護を確保しなければならないことを強調しておきたい。したがって、個人データの合法的な処理を保証するために、多くの考慮事項を考慮する必要があります。

と述べています。このステートメントの以下の部分は、3月19日のフォローアップでも論じられているので、以下で検討しましょう。

3月19日に、さらに追加の宣言を出しています。タイトルは、「Covid-19の感染爆発の文脈における個人データの取扱いに関するステートメント(Statement on the processing of personal data in the context of the COVID-19 outbreak. )」です。 https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)。

このステートメントは、1 取扱いの適法性、2 個人テータの取扱いにおける中心原則、3 モバイル移動データの利用、4 雇用、に分けて論じられています。

このうち、3と4については、各論でふれることにして、1と2についてふれると以下のようになります。

1 取扱いの適法性

GDPRは幅広い法規制であり、COVID-19に関連するもののような文脈での個人データの取扱いについて提供しうるルールを規定しています。GDPRは、権限のある公的保健当局や雇用主が、疫病抑止の文脈において、国内法に準拠し、そこに定められた条件の範囲内で個人データを取り扱うことを許容している。例えば、公衆衛生の分野における実質的な公共の利益のために処理を行うことが必要とされる場合、それらの下で状況によっては、個人の同意に頼る必要はありません。(略)

2 個人データの処理に関する基本原則
利用目的の達成に必要な個人情報は、特定され明示的な目的の達成に必要な範囲内で取り扱うものとします。

さらに、データ主体は、実施中のデータの取扱いと(収集したデータの保存期間/処理の目的を含む)主な特徴に関する透明性の高い情報を受け取るべきである。提供される情報は、容易にアクセス可能であり、明確に提供されなければならない と平易な言葉を使うことが大切である。

データが不正に開示されないことを確かにするために適切なセキュリティ対策と機密保持ポリシーを採用することが重要です。現状の緊急時を管理するために実施している対策とその基礎となる意思決定プロセスは、適切に文書化されるべきである。

むしろ、これらの総合的な見方が、具体的な論点でどのように展開されるのか、また、我が国での議論等の動向は、どのように展開するのか、というのは、次のエントリで検討していくことになります。

コロナウイルス(Covid-19)とGDPR (3)

コロナウイルス対応とGDPRの具体的な内容について、まずは、総論的なものからみていきます。(GDPRというよりも個人データ保護ですが)

バード・アンド・バート法律事務所のレポートは、「正式なデータ保護当局のガイダンス」から分析しています。いくつか拾ってみましょう。

オーストラリアのガイダンス

個人情報は、「知る必要」ベースで使用または開示する必要があります
COVID-19を防止または管理するために合理的必要なかぎりで、最小限の個人情報のみが、収集、使用、または開示されえます
職場において、COVID-19の感染が確認済み(もしくは、その疑いがある)場合において対応する際には、個人情報がどのように取り扱われるかをスタッフに通知するための措置を検討してください
従業員がリモートで作業している場所を含めて、個人情報を安全に保つための合理的な手順が整っていることを確認してください

ベルギーのガイダンス

これは、適法性、予防措置と一般原則についての解説、そして、FAQについてのコメントがなされています。

中国のガイダンス(中国語のみ)

興味深いので機会翻訳ですが、訳出してみます。ちなみにこれは、2月10日にだされています(早い)。中央ネットワークセキュリティ情報委員会です

コロナウイルス感染症肺炎の新たな流行状況の共同予防・管理における個人情報保護のため、個人情報を含むビッグデータを積極的に活用し、共同予防・管理業務を支援しています。中央ネットワークセキュリティおよび情報技術委員会の承認を得て、以下のような関連事項が通知される。

1.「中華人民共和国のネットワークセキュリティ法」、「中華人民共和国感染症の予防と管理に関する法」および「公衆衛生上の緊急事態に関する緊急規制」に基づき国務院の保健局により認可された機関を除き、すべての地方自治体および部門は個人情報の保護を重視する必要があります。他の組織または個人は、流行防止および疾病の予防と管理を理由に収集される人物の同意なしに個人情報を収集または使用してはなりません。法律および行政規制に他の規定がある場合、それらはそれらの規定に従って実施されるものとする。

2.共同防衛および共同管理に必要な個人情報の収集は、国家標準「個人情報セキュリティ基準」を参照し、最小範囲の原則を遵守する必要があります。原則として、収集される主体は、感染診断人物、感染が疑わしい人物、濃厚接触などの主要なグループに限定され、特定の領域を一般的に対象とされない。特定の地域の人々に対する事実上の差別の形成を防ぐ必要があります。

3.疫病の予防および疾病の予防と管理のために収集された個人情報は、他の目的には使用されません。共同防衛および共同統制作業の必要性を除き、収集された人物の同意なしに、ユニット、個人が名前、年齢、ID番号、電話番号、自宅住所などの個人情報を開示することは許可されません。

4.個人情報を収集または管理する組織は、個人情報のセキュリティ保護に責任を持ち、厳重な管理と技術的保護措置を講じて盗難や漏洩を防止します。

5.有能な企業に、関連部門の指導の下でビッグデータを積極的に使用して、感染診断者、感染疑い者、および濃厚接触者などの主要人物の流れを分析および予測し、共同の予防と制御のためのビッグデータサポートを提供するように奨励します。

6.個人情報を収集、使用、開示する法令違反を発見した組織または個人は、ネットワークおよび公共セキュリティ部門に適時に報告することができます。ネットワーク情報部門は、個人情報の違反、違法な収集、使用、開示、および中華人民共和国のサイバーセキュリティ法および関連する規制に従って大量の個人情報が漏洩する原因となるインシデントに迅速に対処するものとします。民国。犯罪に関与する公安機関は、法律に従って厳しく取り締まるものとする。

フランスのガイダンス

 してはいけないこと、できることを簡単に解説しています。

ドイツのガイダンス

 現在の状況が、政治家や社会は、データ保護が制限されるべきであるとしているが、それは、理解しうるとしても、基本権の保護は、基本的なものであるとしています。そして、感染とデータ保護が正反対にあるわけではないとしています。(が、このガイダンス自体は、抽象論でとまっています)

イタリアのガイダンス

 これは、感染予防のために、保健省の提供する指示に従って、訪問者や利用者に対して、健康状態や訪問先を聞くようににというガイダンス(3月2日)。ただし、3月14日には、手順についての改正のガイダンスがでています。 

プロトコル自体は、こちら。

シンガポールのガイダンス

「COVID-19接触追跡のための個人データの収集に関する勧告」です。

組織は、2019年のコロナウイルス病(COVID-19)の発生時などの緊急事態が発生した場合に、連絡先の追跡やその他の対応策を目的として、施設への訪問者の個人データを収集する場合があります。

として、

組織はCOVID-19ケースの場合に個人を正確に識別するために国民識別番号を必要とする場合があるため、組織はこの目的で訪問者のNRIC、FIN、またはパスポート番号を収集する場合があります。

というところが特徴的です。また、収集のひな型が準備されています。

英国の情報ハブ

いろいろな情報が集約されています。個別の論点で、見ていったほうがいいかもしれません。

情報主体の観点からと、取扱事業者の観点からとで分析されています。

 

コロナウイルス(Covid-19)とGDPR (2)

では、コロナウイルス対応とGDPRとの関係でどのような問題が起きるのか。この点については、いろいろな分析が公表されています。

例えば、お友達関係では、

コーデリー法律事務所「Life With GDPR: GDPR and Coronavirus」(podcast)

バード・アンド・バート法律事務所「COVID-19 Data Protection guidance」

BHO Legal法律事務所「Datenschutz vs. Corona-Virus」(Linkedinでの同名の考察は、こちら。

とかが、公表されています。

ただ、リンクを発表しているだけではなんなので、具体的な内容についてみていきたいとおもいます。

具体的な内容をどのように見ていこうかということでは、バード・アンド・バートは、ガイダンス、被傭者・労働者、モバイル/ギグエコノミー/自営業、訪問者、一般に分けています。

一方、データ保護コミッショナーについてみると、例えば、アイルランドのデータ保護委員会の3月20日のまとめは、適法性、透明性、機密性、データの最小限化、説明責任を果たすこと(Accountability)などをあげて論じています。

ちなみに英国の情報コミッショナーのまとめは、こんな感じです。

欧州データ保護委員会は、3月19日に宣言を出しています

https://edpb.europa.eu/sites/edpb/files/files/news/edpb_statement_2020_processingpersonaldataandcovid-19_en.pdf)。

 

アイルランドのまとめは,

政府、ならびに公的、私的、および任意の組織は、広がりを抑制し、「コロナウイルス」と広く呼ばれているCOVID-19の影響を軽減するために必要な措置を講じています。これらのステップの多くには、個人の個人データ(名前、住所、職場、旅行の詳細など)の処理が含まれます。これには、多くの場合、機密の「特別なカテゴリ」の個人データ(健康に関するデータなど)が含まれます。

として、それらのデータを取り扱う際に、考慮すべき重要な事項があるとしています。

健康データを含む個人データの使用を含むコロナウイルスに対応して取られた措置は、必要かつ均衡のとれたもの( necessary and proportionate)である必要があります。これに関する決定は、公衆衛生当局または他の関連当局のガイダンスおよび/または指示によって通知されるべきです。

組織は、次の義務も考慮する必要があります。

として、上述の適法性以下の論点を検討しています。

さらに、追加の情報として、健康保護観察センタのサイト、その他の個人データ保護の情報リンクも公表されています。

次のエントリで、個々の点についてみていくことにします。

 

 

 

 

コロナウイルス(Covid-19)とGDPR (1)

コロナウイルス(Covid-19)とGDPRについて、昨年のCODEBLUEで、プレゼンターを努めたMatthias Lachenmann博士が、ちょっとした論考を公表したので、そのご紹介をしてみましょう。

論考は、「データ保護対コロナウイルス(Data protection vs. corona virus – What companies must consider)」です。

1は、「コロナウイルスへの感染から防護するために健康データを取り扱う例」として、会社が従業員がコロナウイルスの症状を示しているという情報を保存している場合、従業員が会社の入り口で体温を記録した場合、または従業員が感染した可能性のある人の名前を会社に伝えた場合、これらが、すでに健康に関するデータとなること、などがふれられています。

II。 GDPRの法的根拠

この場合、健康に関するデータとなると、GDPR9条の特別な種類の個人データの取扱いの規定が適用されることになります。なので、取扱いが原則禁止され、具体的には、明確な同意等のパラグラフ2の個別の規定によって取扱いが許容されるという枠組になります。

(ちなみにGDPRの翻訳は、個人情報保護委員会のによります

GDPRは、もととも パンデミックの脅威が発生した場合に保護を提供することを目的としており、「健康と健康の警告を監視する」ためのデータ取扱いが許可とれています( GDPR前文52)。

公共の利益において行われる場合であり、特に、労働法の分野、年金及び医療保険を含む社会保護法の分野における個人データの取扱い、伝染病及びその他の健康に対する重大な脅威の防止又は管理のための監視及び警戒の目的の場合において、個人データ及びその他の基本的な権利を保護するために、EU 法又は加盟国の国内法の中に定められており、かつ、適切な保護措置に従うものであれば、特別な種類の個人データの取扱いの禁止の例外も認められる。

これが、定められているのが、同9条パラ2の(h)や(i)の規定です。

(h) EU 法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3 項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合

(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU 法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。

このような適法な取扱いの論点に関しては、アイルランドのデータ保護コミッショナーのリリースを引用しましょう。

合法性

GDPR第6条に基づく個人データの処理には多くの法的根拠があり、この文脈で適用可能な第9条に基づく健康データなどの個人データの特別なカテゴリの処理を許可する条件があります。これらのうち、以下が関連する場合があります。

組織が公衆衛生当局またはその他の関連当局のガイダンスまたは指示に従って行動している状況では、適切なセーフガードが実装されているかぎり、GDPR第9条(2)(i)および2018年(アイルランド)データ保護法の53条が、健康データを含む個人データの処理を許可する可能性が高い。このような保護手段には、データへのアクセスの制限、消去の厳密な時間制限、および個人のデータ保護権を保護するための適切なスタッフトレーニングなどの他の手段が含まれます。

雇用主はまた、2005年の労働安全衛生法(改正)の下で従業員を保護する法的義務があります。この義務は、GDPR第9条(2)(b)とともに、健康データを含む個人データを処理する法的根拠を提供します。取り扱われるすべてのデータは機密に扱われる必要があります。つまり、職場でのコロナウイルスの存在に関するスタッフへの連絡は、一般に個々の従業員を特定するものではありません。

次は、個別の行為についてみていくことにしましょう。(続く)

イギリスのICOの個人データ保護とコロナウイルスのページは、こちら

自己主権アイデンティティとケンブリッジアナリティカ事件

前のエントリで紹介したスライドは、もともとは、山崎重一郎先生の「自己主権アイデンティティ」というスライドに対応して、ケンブリッジアナリティカ事件を法的な見地からみてみましょう、というものでした。

ここで、「自己主権アイデンティティ」という用語がでてきます。概念としては、「自己主権型アイデンティティとは何か~ブロックチェーンがもたらす新たな可能性」によると、「特定の中央集権的な管理者を置くことなく各分散ノード(≒ユーザー)自身が各種データの管理を行うことができるということ」を意味するのだそうです。

この概念のモデルとしては、自己が中心となって、情報をコントロールできるということになるそうで、ブロックチェーンを利用しての属性証明などが応用例とされているようです。

用語としては、「主権」というのは、誤解を招きかねないなあ、というのが一番の懸念ですね。主権というのは、通常では、ほかからの独立と、非拘束を意味するとされるわけです。パルマス島事件では、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」とされているわけです。

ユーザにリンクされうるデータは、いろいろいな主体によって取り扱われるわけで、そのデータに対して主権を有するといわれても、取り扱う主体は、困ってしまいます。しかも、そのデータというのは、ユーザの人格中心に直結するものから、おサイフとしてのデータ(例、たとえば、価格にきわめて敏感であるとか)までいろいろいな種類があります。(こんなエントリを書いたこともあります。あと、IPAの調査報告書は、こちら)それらに主権があるというのは、本人たちは、イケてると思っているのかもしれませんが、逆に、大雑把な分析になるような気がします。

確かに、特定の分野で、あたかも主権を有しているような取扱を、技術をもって、おこなうことができるというような外観を可能にする、というのは事実だと思います。それを自己主権型アイデンティティというのは可能だと思います。

が、大きな流れであるとか、今後の方向性であるとかいうのは、注意すべきものであろうと考えています。言葉としては、スローガンにすぎないように思えています。

あと、山崎先生は、そこで、ケンブリッジアナリティカ事件を警鐘として、紹介するわけです。「高精度の心理誘導」を可能にするツールが、現代社会では発展しているということになります。発表では理解しにくかったのですが、多分、自己アイデンティティとして「主権」たりうるべき、最大のものである(政治的な)意思決定が簡単に第三者から誘導されますよという警鐘として紹介されたのかと思います。

ケンブリッジアナリティカ事件を、心理誘導ツールの発展をわかりやすくみせてくれた事件として把握するというのは、私としては大賛成ということになります。ただし、法的な話としては、そもそも、そのような「独立した」自我とでもいうべきものは、フィクションだったのではないの、とか、そのフィクションを前提に、どこまで、そのようなツールの利用は許されるのか、という論点の展開になるのかなあというのが、研究会での私の感想でした。

リモートで研究会をしましたけど、意外にできたなあ、という感想です。その地方のおいしいものをいただくというのが困難ですが、まあ、このようなご時世なので、それは、終息後のお楽しみにというにとにしておきましょう。

岡田仁志「リブラ 可能性、脅威、信認」は、サイバーペイメントを語るには必読です

岡田仁志先生から、新著である「リブラ 可能性、脅威、信認」の献本を受けました。ありがとうございます。出版社さんの紹介のページは、こちら。

第1章 リブラが目指すもの
第2章 リブラはブロックチェーンなのか
第3章 変容する貨幣社会
第4章 ビットコイン、リブラ、CBDC
第5章 仮想通貨の仮名性、匿名性、実名性
第6章 リブラ後の世界
という構成になります。

ちなみに、本になった経緯については、こちらです

まずは、きちんとしたアカデミズムの上に、現状におけるサイバーペイメントの動向を一覧している本であって、その分野を語るのであれば、必読の本であるということがいえると思います。
私も、特に、第5章、第6章でお役にたてたようでうれしく思います。

ビットコインやFintechを語る本は、アカデミズムの根拠なく、表面的な流れを追うということになりがちですが、岡田先生の本は、そのようなことはありません。貨幣概念の整理、仮想通貨概念の分析、ブロックチェーンの分析(概念、必然性)など、きちんとした概念/理論の上に議論が構築されています。

カール大帝から、皇朝十二銭、宋銭、元を経て、中央銀行デジタル通貨、Mペサ、カンボジアの中央銀行デジタル通貨まで、歴史と世界の空間を自由自在に飛び回る記述には、知的好奇心が揺さぶられるはずです。

また、その取り扱われるテーマも、上記のような確固とした概念の上に、現代における通貨主権、プライバシーの文脈的理解、暗号資産という用語の限界、ペイメントとプラットフォームという最新の論点が、もれなく、しかも、詳細に検討されています。これらの論点は、どれ一つをとってみても、それこそ、博士号の題材になりうるようなテーマです。

それらの論点についての現代的な研究の最前線に触れるという意味でも、非常に重要な書籍ということがいえるかと思います。

幸いにして、非常に売れ行きが好調なようで、私としてもうれしいです。私の個人的な観点からは、特に、第5章は、プライバシーの文脈的理解という観点からも非常に重要な記述ではないかと思っています。この点については、エントリを改めて議論したいと思います。

 

 

国際的な行政法規の適用について

前のブログで触れられた報告書の論点のなかで、大きなものとして、行政法規を国外の行為に適用することはできるのか、という論点があります。

ここで、まず、国際法の教科書からのお話です。国際法の教科書的には、国家管轄権は、立法管轄権(国内法を制定することを通じて行為や事実規律をおよぼす権能)と執行管轄権(裁判などを通じて具体的事案に対し法を適用し、さらに法の執行のために強制を行う権能に分けられるとされます。

論者によっては、この執行管轄権が、司法管轄権と執行管轄権とに二分することもあるそうです(以上、現代国際法講義 4版 82頁)

でもって、報告書を執行管轄権という観点から表現をピックアップしていきます。

(3)規律の実効性の確保(37頁以降)
「執行管轄権の観点から、国外事業者に対する罰則や改善命令といった制度を設けることは非常に難しい。 」
「 国外事業者にも法を適用すべきか否かの議論と、規律の実効性の議論は、切り離して考えるべき。実効性が確保されないから、法を適用することをやめるという議論の方
向に傾くべきではない。」
4. 電気通信市場のグローバル化における利用者利益等の確保に向けた具体的方向(38頁)
「電気通信事業法の国外事業者への適用に当たっては、国内事業者とのイコールフッティングの観点に加え、執行管轄権の制約から、国外事業者に対しては公権力の行使となる行
政措置や罰則の適用に課題があり、このことが執行確実性の担保に影響を及ぼす点を踏まえた検討が必要である。」
168頁以降
「執行管轄権の観点から国外事業者に対する罰則等の適用は難しいのではないか、行政上の規律と刑事罰における規律を区別の上検討すべきではないか等の指摘がなされた。」

などが、この執行管轄権についての表現かと思います。

まずは、国際法的には、教科書的な知識である立法管轄権と執行管轄権における切り分けを意識して、議論が進んでいるということがいえるかと思います。執行の実効性という用語とかも、この切り分けが念頭にあるのだろうな、と思って読んだところです。

でもって、それは、いいとして、では、わが国の制定法上、外国に本店をおく事業者にたいして、立法管轄権を及ぼしている例はないのか、ということになります。

議論としていくつかの分野における議論を紹介することができるかと思います。

(1)「証券取引」の分野です。私の論文で「オンライン証券業務の法的問題」という論文があります(http://www.comit.jp/ec/finance/seikyo.doc)。

そこで、「5 証券取引における投資家保護の抵触法的側面」というところで触れておきました。証券取引法において、短期売買利益の返還義務が、国際的な行為についての行政的な執行の参考になるだろうと触れたところです。金融商品取引法をみていくと、課徴金納付命令がなされることが多いです。ところで、この命令が、海外の者にたいしてなされることが禁止されているのか、どうか。国家の権能が、他国の主権を侵害するものとして禁止されるか、どうか、という点については、それが国家の根本的な機能を侵害するかどうか、ということで判断されることになるかと思います。その意味で、命令のみで、執行管轄違反とはされないことになります。

(2)仮想通貨についての勧誘です。この点は、前のブログでも触れたところですが、資金決済法63条の22において「第六十三条の二の登録を受けていない外国仮想通貨交換業者は、国内にある者に対して、第二条第七項各号に掲げる行為の勧誘をしてはならない。」とされています。

そして、細かいところは、金融庁のガイドライン(53頁)がでているところです。

(3)独占禁止法の議論

これについては、最高裁第三小法廷平成 29 年 12 月 12 日判決があります。国外で行われた価格カルテルに対して我が国の独占禁止法の効力が及ぶかというのが議論されて、適用が肯定されています。「本件のような価格カルテル(不当な取引制限)が国外で合意されたものであっても、当該カルテルが我が国に所在する者を取引の相手方とする競争を制限するものであるなど、価格カルテルにより競争機能が損なわれることとなる市場に我が国が含まれる場合には、当該カルテルは、我が国の自由競争経済秩序を侵害するものということができる。」というのです。
でもって、事案を見れば、この事案は、X(原告・上告人)は、マレーシアに本店を置くテレビ用ブラウン管の製造販売業者ですし、課徴金納付命令が下されています。なので、海外の事業者であるから、課徴金を課すことはできないというのは、法的には、誤解に基づくものということがいえるかと思います。

前のブログで「の意味でのわが国での通信に関する保護が、結果として、外国の事業者に適用されることは、何ら、現在の法体系として問題ではないわけです。」といっているのは、そのような意味です。立法管轄権を及ぼすことも可能だし、執行の前提たる課徴金納付命令のような制度をも採用することは十分に可能なわけです。

(4)脆弱性早期警戒パートナーシップ
ここで、私がお手伝いしている脆弱性早期警戒パートナーシップを見てみましょう。「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」は、第1 総則 4 本規定の適用範囲で

本規程は、日本国内で利用されているソフトウエア製品又は主に日本国内からのアクセスが想 定されているウェブサイトで稼働するウェブアプリケーションに係る脆弱性であって、その脆弱 性に起因する影響が不特定又は多数の者に及ぶおそれのあるものに適用する。

としています。実質的なアクセスであることが必要とされるわけ(情報セキュリティ早期警戒パートナーシップガイドライン)ですが、基本的な考え方は、上の独占禁止法などと同様です。「法律面の調査報告書 改訂版」では、不法行為による結果発生地の法によるという規定を参考にして作成されたことが明らかになっています。

その他としては割賦販売法、特定商取引法にも域外適用で注目すべき規定があります。

このようにみていくと、命令までは、可能で、それから先の「強制(coercive)」の行使が不可能ということで整理すべきなのだろうと思っています。(ここは、もうすこし国際法の本を読む必要がありまが)

プラットフォーマー論とプライバシーの落とし穴

「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」が、出ています。

内容としては、いわゆる「デジタル・プラットフォーマー」の特性、独占禁止法の適用、優越的地位の濫用の適用可能性について「はじめに」でふれた後に、

1 優越的地位の濫用規制についての基本的考え方
2 「取引の相手方」の考え方
3 「自己の取引上の地位が相手方に優越していることを利用して」の考え方
4 「正常な商慣習に照らして不当に」の考え方
5  優越的地位の濫用となる行為類型

の各点について、分析がなされています。

プラットフォーマー論が競争法の文脈で語られる場合、特に、優越的地位の濫用の理論を用いた場合には、市場の画定をしなくていいとされるので、競争との関係が、いわば、グダグダになってきます。市場についての分析が厳密になされない、したがって、競争との関係について考慮が及ばないということが一つの落とし穴になっているのではないか、と考えられます。

いわゆるGAFAをみたときに、さて、どのような市場なのでしょうか。
グーグルは、検索+広告市場ですね。アマゾンは、商品購入+広告でしょうか。FBは、SNS+広告。アップルは、アップル(製品)というハードウエアかもしれません。
図解しておきます。

 

ところで、利用者からだと、検索、商品購入、SNSしか見えていなかったりします。つい、この見えやすい市場での競争力を押さえつけるべきだという考え方になりがちではないか、というのが、「落とし穴」といった理由です。

2 「取引の相手方」の考え方について

考え方は、「サービスを利用する際にその対価として自己の個人情報等を提供していると認められる場合は」と記載されています。

まず、大原則「No Free Lunch」です。サービスが提供される場で、これらの情報が、利用者から、サービス提供者に供給される、したがって、取引の相手方ということになるのは、いうまでもないことでしょう。「対価として」ということにどのような意味があるのか、ということです。配達のためだけに提供されて、それ以外にまったく使わなければ、「対価として」とはいえないとなるのかもしれません。

市場の画定の際には、価格を上げた場合の利用者の移行をみるわけですが、サービスの費用がゼロの場合であっても取引の相手方になりうるは、当然といえるかと思います。価格については、インセンティブが与えられる場合もあるわけなのは、私たちのeID 研究で、すでに10年前に明らかにされているところです。

米国で「アマゾンの競争政策におけるパラドックス(Amazon’s Antitrust Paradox)」という論文が独禁法の適用に影響を与えたという記事があるのですが、そのうち、参照してみることにしたいと思います。

次に、ここで、「等」とされているところの意味を考えます。そして、私の特許でも明らかなように、商品選考の判断さえも、貴重な情報になってくるのです。その意味で、個人情報規制プラスが示唆された用語法になります。

3 「自己の取引上の地位が相手方に優越していることを利用して」の考え方
考え方の(1)および(2)は、普通に市場力があるということなので、それは、それでいいかと思われます。(公取委的には、説明法は違いますけどね)

4 「正常な商慣習に照らして不当に」の考え方
これは、解説としては、「公正な競争秩序の維持・促進の立場から是認されるものをいう」といっていますが、ほとんど同義反復ですね。

で、実は、「是認されるか」という問題は、そもそも、「優越的地位の濫用」って「競争」との概念では、どのように整理されるのという問題にさかのぼってきます。
この点については、競争法の世界で、非常に議論のあるところです。

個人的には、「優越的地位の濫用」は、世界的な解釈からみたときに、競争との関係では、説明がつかないものではあるが、日本的な状況から、実務的なものとして運用されていると整理しています。詳しくは、「規約変更によりGeForceのデータセンター利用を制限」を参照ください。

日本において、当事者間の法律関係について、執行が困難であったり、コストがかさんでしまったりする場合に、対応する必要があり、それが競争法に裏口から、忍び込んでいるというところでしょうか。

この点についてのまとめた論文として、参照しやすいものとして加賀見 一彰「「優越的地位の濫用規制」の濫用の規制 : 法・法学と経済学との相互対話を目指して」があります。

以下、このアプローチをもとに検討します。

すると、検索市場の取引関係を見ていくと、以下の図のようになります。

ところで、個人情報等について、これが、提供者に無料で提供されるわけです。

これを検索市場の競争秩序からみたときにどうなるのでしょうか。

競争というのは、需要にたいして種々の供給が提供されて、その種々の提供の間で、選択がなされうる場合ということになるかと思います。

競争法の秩序という観点からみたときには、利用者が、個人情報等の価値について「理解しうる」のであれば、種々の検索サービスで、連携されている商品の価格が安くなるとか、情報を利用しないとか、そのような情報に対する「対価」の差別化を得ることができれば、競争が維持される、ということになるかと思います。

では、「個人情報等」が買いたたかれている、というのは、競争法の秩序からみたときに、公的に是正すべきものとして、介入すべき問題なのでしょうか。規制の効果とそのコストという問題もかんがえないといけないです。

商品の買いたたきの防止、という観点からいくと、労働力の買いたたきの禁止としての最低賃金の定めというアプローチがあることに気がつきます。個人情報等にたいして、そのような「強制的なお節介(ハードなパターナリズム)」をとるべきなのでしょうか。

公的に是正すべき場合には、何らかの手法が、効果が生じうるものであることが必要になる(改善可能性ですね)と思われます。ところが、プライバシーという観点からいくと、個人は、プライバシーが重要だといっていても、実際の選択については、ほとんど気にしない(プライバシーパラドックス)という特徴があります。なので、公的に是正することをいってみても、個人に関連する情報が何か、価値として異なるのかということが、サービスの競争の条件としては意識されることはない、ということになります。

検索市場を例にとってみてみましたが、提供者は、個人情報に関して、利用者の注意を喚起する、そして、法の定める要件を満たすということ以外に、なにか、別途、利用者にたいして、追加の対価を与えるべきなのか、ということは、それを与えるという方向性を示したとしても、利用者に対して、評価されずに、競争という観点からは、効果がない、という宿命が待ち構えているということになります。そもそも、提供者が、いろいろと利用可能な情報を、できるかぎり安価に取得しようというのは、自由主義というか、競争の観点から当然のことです。それに対抗して、何か、特別の義務をプラットフォームに課すべきであるというような議論は、実効性がありうるのか、という問題に直面するわけです。

その上に、そもそも、特別の義務論的なものは、プライバシーとの関係で、どのような意味があるのか、ということが問題になります。市場力を有するサービス提供者によって、取得されるとき、利用者は、プライバシーが(競争市場と比較して)特段に侵害されたと感じるのか、というように問題を言いなおすこともできます。

これは、「プライバシー」をデータ保護、個人に関するデータに関する自己決定権といっているうちは、解決できない落とし穴です。
プライバシーを、「個人の自己に関するデータが他人に了知されることから生じる不安感」と定義し、それが、文脈によって、変動するという実際を認めたときに初めて考えうる問題になってくるか、と思います。

すると、市場力を有しないプロバイダーだとなしうる行為であっても、市場力を有するプロバイダーは、なし得ない行為があるのではないか、ということになります。これは、今後、検討されるべき問題でしょう。

ところで、市場の構造を見てみると、検索市場や、商品販売市場における存在(市場力)を利用して、広告市場において有力な地位を得ようとするのはどうでしょうか。これは、広告市場での競争を減殺させる構造が生じているというよう思われます。ただし、これに対して、何らかの対応をすべきかどうか、というのは、広告市場の市場分析等がなされなければならないかもしれません。広告といっても、弁護士を探す面では、むしろ、弁護士ドットコムのほうが、強いかもしれませんね。どの程度まで細分化された市場を考えるかとかの問題もあります。

このように見てきた場合に、公的規制によって、プラットフォームをめぐる取引関係について、介入すべきではないのではないか、と考えられます。もし、本当に望ましい公的な介入は、むしろ、新規技術を促進し、また、リスクを緩和し、さらに、許容範囲を明確にすることによって、社会の発展をうながすために使われるべきでしょう。

1990年代に、マイクロソフト分割論が、騒がれ、米国政府は、多大なコストを使って、規制をなそうとしました。また、EUは、Windows95のブラウザを後にインストールするような版を作らせました。それがどれだけ競争に効果があったのでしょうか。Chromeは、EUの政策があったからといって、シェアを拡大したわけではないでしょう。技術の進展が、競争を生み出し、社会の進歩を生み出すわけです。

プラットフォームサービスに関する研究会(第5回)配布資料

プラットフォームサービスに関する研究会(第5回)配布資料が公開されています

特に、今回は、新聞的には、GAFAに「通信の秘密の保護規定」の適用を図るということが議論されています(例えば、日経新聞「通信の秘密」海外企業適用へ プラットフォーマー念頭)。

この点については、「従来、電気通信設備を国外のみに設置する者であって、日本国内に拠点を置かない者に対しては、同規定による規律は及ばないものとして運用されてきた」という整理自体が、よく分からないところです。(表現については、 プラットフォームサービスに関する研究会 主要論点(案) 24ページなど)

「通信の秘密」の規程自体は、「電気通信事業者の取扱中にかかる通信」において秘密が保護されるという趣旨の規定ですが、そこでの「電気通信事業者」は、電気通信事業法の第九条の登録を受けた者及び第十六条第一項の規定による届出をした者をいうわけです。

なので、外国の電気通信設備から自己の設備に通信を受信し、その設備で取扱い、他者に送信する事業は、上の定義に該当しないので、規律が及ばないということになります。

が、これって、外国の電気通信設備からの受信だから、適用がなされないということもいえそうですが、その一方で、自己の設備での処理だから、適用されないということもいえます。送信者と取扱者がいて、その送信・受信は、その取扱に関する規程でさだめればいいわけです。宅内については、通信の秘密の規程の適用外です、といわれるのがそれです。

プラットフォーマーは、むしろ、その取扱は、法的には、宅内で処理しているように思えます。すると、電気通信事業法4条の解釈でいじるのは、また、違法性阻却自由の拡大同様に、「大英断」ということになりそうです。

中間伝達者という表現があって、まさにそれらのものは、伝導官(conduit)でなくてはならず、秘密の保護は、そのための規定かと思います。
結局、この資料をみても、上の取扱が、法的に、どのような根拠で、規律が及ばないとされているのかは、整理されていません。

「通信の秘密」は、その保護対象をコンテンツのみではなく、通信データまで肥大化させてきたといってきたのですが、今度は、宅内まで、適用の範囲を広げてきそうかもしれません。判断の安定性のために法的な根拠を詰めて考えてみたいところです。

デジタル法務の実務Q&A 発売になりました。

「デジタル法務の実務Q&A」(日本加除出版)発売になりました。

なお、この発売を記念して、11月10日に、出版記念パーティを開催しました。来ていただいた方々、ありがとうございました。

このこのパーティでライトニングトークということで、購入すべき10の理由をお話しさせていただきました。

  • デジタル法シリーズ 第2弾であること
  • データ戦略本の筆頭編集者 中崎弁護士 渾身の「eスポーツの法と実務」論文が読める
  • サイバーセキュリティのエヴァンジェリスト 北條先生の書き下ろし刑事分析が、こんなに充実して読めるのは、この本だけ
  • 今年の流行語に対応するためには、ぜひこの一冊
  • デジタル証拠の時代における不正調査の実務にふれた唯一の本
  • 横文字語って、ちょっと業界人ぽい感じになれる
  • リスク=機会+(狭義の)リスク/「不確実性」といって、情報のオポチュニティから、ガバナンスを説明しているユニークな本

などの理由をあげさせていただきました。

いい本には、買う理由はいらないというのが本当なところですね。

おかげさまで「電子契約」の観点からの書評もいただいています。この点も購入すべき理由にいれておくべきでした。売れていただければ、第3弾で、デジタル契約とかも、おおきくフィーチャーできるかと思います。