国際的な行政法規の適用について

前のブログで触れられた報告書の論点のなかで、大きなものとして、行政法規を国外の行為に適用することはできるのか、という論点があります。

ここで、まず、国際法の教科書からのお話です。国際法の教科書的には、国家管轄権は、立法管轄権(国内法を制定することを通じて行為や事実規律をおよぼす権能)と執行管轄権(裁判などを通じて具体的事案に対し法を適用し、さらに法の執行のために強制を行う権能に分けられるとされます。

論者によっては、この執行管轄権が、司法管轄権と執行管轄権とに二分することもあるそうです(以上、現代国際法講義 4版 82頁)

でもって、報告書を執行管轄権という観点から表現をピックアップしていきます。

(3)規律の実効性の確保(37頁以降)
「執行管轄権の観点から、国外事業者に対する罰則や改善命令といった制度を設けることは非常に難しい。 」
「 国外事業者にも法を適用すべきか否かの議論と、規律の実効性の議論は、切り離して考えるべき。実効性が確保されないから、法を適用することをやめるという議論の方
向に傾くべきではない。」
4. 電気通信市場のグローバル化における利用者利益等の確保に向けた具体的方向(38頁)
「電気通信事業法の国外事業者への適用に当たっては、国内事業者とのイコールフッティングの観点に加え、執行管轄権の制約から、国外事業者に対しては公権力の行使となる行
政措置や罰則の適用に課題があり、このことが執行確実性の担保に影響を及ぼす点を踏まえた検討が必要である。」
168頁以降
「執行管轄権の観点から国外事業者に対する罰則等の適用は難しいのではないか、行政上の規律と刑事罰における規律を区別の上検討すべきではないか等の指摘がなされた。」

などが、この執行管轄権についての表現かと思います。

まずは、国際法的には、教科書的な知識である立法管轄権と執行管轄権における切り分けを意識して、議論が進んでいるということがいえるかと思います。執行の実効性という用語とかも、この切り分けが念頭にあるのだろうな、と思って読んだところです。

でもって、それは、いいとして、では、わが国の制定法上、外国に本店をおく事業者にたいして、立法管轄権を及ぼしている例はないのか、ということになります。

議論としていくつかの分野における議論を紹介することができるかと思います。

(1)「証券取引」の分野です。私の論文で「オンライン証券業務の法的問題」という論文があります(http://www.comit.jp/ec/finance/seikyo.doc)。

そこで、「5 証券取引における投資家保護の抵触法的側面」というところで触れておきました。証券取引法において、短期売買利益の返還義務が、国際的な行為についての行政的な執行の参考になるだろうと触れたところです。金融商品取引法をみていくと、課徴金納付命令がなされることが多いです。ところで、この命令が、海外の者にたいしてなされることが禁止されているのか、どうか。国家の権能が、他国の主権を侵害するものとして禁止されるか、どうか、という点については、それが国家の根本的な機能を侵害するかどうか、ということで判断されることになるかと思います。その意味で、命令のみで、執行管轄違反とはされないことになります。

(2)仮想通貨についての勧誘です。この点は、前のブログでも触れたところですが、資金決済法63条の22において「第六十三条の二の登録を受けていない外国仮想通貨交換業者は、国内にある者に対して、第二条第七項各号に掲げる行為の勧誘をしてはならない。」とされています。

そして、細かいところは、金融庁のガイドライン(53頁)がでているところです。

(3)独占禁止法の議論

これについては、最高裁第三小法廷平成 29 年 12 月 12 日判決があります。国外で行われた価格カルテルに対して我が国の独占禁止法の効力が及ぶかというのが議論されて、適用が肯定されています。「本件のような価格カルテル(不当な取引制限)が国外で合意されたものであっても、当該カルテルが我が国に所在する者を取引の相手方とする競争を制限するものであるなど、価格カルテルにより競争機能が損なわれることとなる市場に我が国が含まれる場合には、当該カルテルは、我が国の自由競争経済秩序を侵害するものということができる。」というのです。
でもって、事案を見れば、この事案は、X(原告・上告人)は、マレーシアに本店を置くテレビ用ブラウン管の製造販売業者ですし、課徴金納付命令が下されています。なので、海外の事業者であるから、課徴金を課すことはできないというのは、法的には、誤解に基づくものということがいえるかと思います。

前のブログで「の意味でのわが国での通信に関する保護が、結果として、外国の事業者に適用されることは、何ら、現在の法体系として問題ではないわけです。」といっているのは、そのような意味です。立法管轄権を及ぼすことも可能だし、執行の前提たる課徴金納付命令のような制度をも採用することは十分に可能なわけです。

(4)脆弱性早期警戒パートナーシップ
ここで、私がお手伝いしている脆弱性早期警戒パートナーシップを見てみましょう。「ソフトウエア製品等の脆弱性関連情報に関する取扱規程」は、第1 総則 4 本規定の適用範囲で

本規程は、日本国内で利用されているソフトウエア製品又は主に日本国内からのアクセスが想 定されているウェブサイトで稼働するウェブアプリケーションに係る脆弱性であって、その脆弱 性に起因する影響が不特定又は多数の者に及ぶおそれのあるものに適用する。

としています。実質的なアクセスであることが必要とされるわけ(情報セキュリティ早期警戒パートナーシップガイドライン)ですが、基本的な考え方は、上の独占禁止法などと同様です。「法律面の調査報告書 改訂版」では、不法行為による結果発生地の法によるという規定を参考にして作成されたことが明らかになっています。

その他としては割賦販売法、特定商取引法にも域外適用で注目すべき規定があります。

このようにみていくと、命令までは、可能で、それから先の「強制(coercive)」の行使が不可能ということで整理すべきなのだろうと思っています。(ここは、もうすこし国際法の本を読む必要がありまが)

プラットフォーマー論とプライバシーの落とし穴

「デジタル・プラットフォーマーと個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方(案)」が、出ています。

内容としては、いわゆる「デジタル・プラットフォーマー」の特性、独占禁止法の適用、優越的地位の濫用の適用可能性について「はじめに」でふれた後に、

1 優越的地位の濫用規制についての基本的考え方
2 「取引の相手方」の考え方
3 「自己の取引上の地位が相手方に優越していることを利用して」の考え方
4 「正常な商慣習に照らして不当に」の考え方
5  優越的地位の濫用となる行為類型

の各点について、分析がなされています。

プラットフォーマー論が競争法の文脈で語られる場合、特に、優越的地位の濫用の理論を用いた場合には、市場の画定をしなくていいとされるので、競争との関係が、いわば、グダグダになってきます。市場についての分析が厳密になされない、したがって、競争との関係について考慮が及ばないということが一つの落とし穴になっているのではないか、と考えられます。

いわゆるGAFAをみたときに、さて、どのような市場なのでしょうか。
グーグルは、検索+広告市場ですね。アマゾンは、商品購入+広告でしょうか。FBは、SNS+広告。アップルは、アップル(製品)というハードウエアかもしれません。
図解しておきます。

 

ところで、利用者からだと、検索、商品購入、SNSしか見えていなかったりします。つい、この見えやすい市場での競争力を押さえつけるべきだという考え方になりがちではないか、というのが、「落とし穴」といった理由です。

2 「取引の相手方」の考え方について

考え方は、「サービスを利用する際にその対価として自己の個人情報等を提供していると認められる場合は」と記載されています。

まず、大原則「No Free Lunch」です。サービスが提供される場で、これらの情報が、利用者から、サービス提供者に供給される、したがって、取引の相手方ということになるのは、いうまでもないことでしょう。「対価として」ということにどのような意味があるのか、ということです。配達のためだけに提供されて、それ以外にまったく使わなければ、「対価として」とはいえないとなるのかもしれません。

市場の画定の際には、価格を上げた場合の利用者の移行をみるわけですが、サービスの費用がゼロの場合であっても取引の相手方になりうるは、当然といえるかと思います。価格については、インセンティブが与えられる場合もあるわけなのは、私たちのeID 研究で、すでに10年前に明らかにされているところです。

米国で「アマゾンの競争政策におけるパラドックス(Amazon’s Antitrust Paradox)」という論文が独禁法の適用に影響を与えたという記事があるのですが、そのうち、参照してみることにしたいと思います。

次に、ここで、「等」とされているところの意味を考えます。そして、私の特許でも明らかなように、商品選考の判断さえも、貴重な情報になってくるのです。その意味で、個人情報規制プラスが示唆された用語法になります。

3 「自己の取引上の地位が相手方に優越していることを利用して」の考え方
考え方の(1)および(2)は、普通に市場力があるということなので、それは、それでいいかと思われます。(公取委的には、説明法は違いますけどね)

4 「正常な商慣習に照らして不当に」の考え方
これは、解説としては、「公正な競争秩序の維持・促進の立場から是認されるものをいう」といっていますが、ほとんど同義反復ですね。

で、実は、「是認されるか」という問題は、そもそも、「優越的地位の濫用」って「競争」との概念では、どのように整理されるのという問題にさかのぼってきます。
この点については、競争法の世界で、非常に議論のあるところです。

個人的には、「優越的地位の濫用」は、世界的な解釈からみたときに、競争との関係では、説明がつかないものではあるが、日本的な状況から、実務的なものとして運用されていると整理しています。詳しくは、「規約変更によりGeForceのデータセンター利用を制限」を参照ください。

日本において、当事者間の法律関係について、執行が困難であったり、コストがかさんでしまったりする場合に、対応する必要があり、それが競争法に裏口から、忍び込んでいるというところでしょうか。

この点についてのまとめた論文として、参照しやすいものとして加賀見 一彰「「優越的地位の濫用規制」の濫用の規制 : 法・法学と経済学との相互対話を目指して」があります。

以下、このアプローチをもとに検討します。

すると、検索市場の取引関係を見ていくと、以下の図のようになります。

ところで、個人情報等について、これが、提供者に無料で提供されるわけです。

これを検索市場の競争秩序からみたときにどうなるのでしょうか。

競争というのは、需要にたいして種々の供給が提供されて、その種々の提供の間で、選択がなされうる場合ということになるかと思います。

競争法の秩序という観点からみたときには、利用者が、個人情報等の価値について「理解しうる」のであれば、種々の検索サービスで、連携されている商品の価格が安くなるとか、情報を利用しないとか、そのような情報に対する「対価」の差別化を得ることができれば、競争が維持される、ということになるかと思います。

では、「個人情報等」が買いたたかれている、というのは、競争法の秩序からみたときに、公的に是正すべきものとして、介入すべき問題なのでしょうか。規制の効果とそのコストという問題もかんがえないといけないです。

商品の買いたたきの防止、という観点からいくと、労働力の買いたたきの禁止としての最低賃金の定めというアプローチがあることに気がつきます。個人情報等にたいして、そのような「強制的なお節介(ハードなパターナリズム)」をとるべきなのでしょうか。

公的に是正すべき場合には、何らかの手法が、効果が生じうるものであることが必要になる(改善可能性ですね)と思われます。ところが、プライバシーという観点からいくと、個人は、プライバシーが重要だといっていても、実際の選択については、ほとんど気にしない(プライバシーパラドックス)という特徴があります。なので、公的に是正することをいってみても、個人に関連する情報が何か、価値として異なるのかということが、サービスの競争の条件としては意識されることはない、ということになります。

検索市場を例にとってみてみましたが、提供者は、個人情報に関して、利用者の注意を喚起する、そして、法の定める要件を満たすということ以外に、なにか、別途、利用者にたいして、追加の対価を与えるべきなのか、ということは、それを与えるという方向性を示したとしても、利用者に対して、評価されずに、競争という観点からは、効果がない、という宿命が待ち構えているということになります。そもそも、提供者が、いろいろと利用可能な情報を、できるかぎり安価に取得しようというのは、自由主義というか、競争の観点から当然のことです。それに対抗して、何か、特別の義務をプラットフォームに課すべきであるというような議論は、実効性がありうるのか、という問題に直面するわけです。

その上に、そもそも、特別の義務論的なものは、プライバシーとの関係で、どのような意味があるのか、ということが問題になります。市場力を有するサービス提供者によって、取得されるとき、利用者は、プライバシーが(競争市場と比較して)特段に侵害されたと感じるのか、というように問題を言いなおすこともできます。

これは、「プライバシー」をデータ保護、個人に関するデータに関する自己決定権といっているうちは、解決できない落とし穴です。
プライバシーを、「個人の自己に関するデータが他人に了知されることから生じる不安感」と定義し、それが、文脈によって、変動するという実際を認めたときに初めて考えうる問題になってくるか、と思います。

すると、市場力を有しないプロバイダーだとなしうる行為であっても、市場力を有するプロバイダーは、なし得ない行為があるのではないか、ということになります。これは、今後、検討されるべき問題でしょう。

ところで、市場の構造を見てみると、検索市場や、商品販売市場における存在(市場力)を利用して、広告市場において有力な地位を得ようとするのはどうでしょうか。これは、広告市場での競争を減殺させる構造が生じているというよう思われます。ただし、これに対して、何らかの対応をすべきかどうか、というのは、広告市場の市場分析等がなされなければならないかもしれません。広告といっても、弁護士を探す面では、むしろ、弁護士ドットコムのほうが、強いかもしれませんね。どの程度まで細分化された市場を考えるかとかの問題もあります。

このように見てきた場合に、公的規制によって、プラットフォームをめぐる取引関係について、介入すべきではないのではないか、と考えられます。もし、本当に望ましい公的な介入は、むしろ、新規技術を促進し、また、リスクを緩和し、さらに、許容範囲を明確にすることによって、社会の発展をうながすために使われるべきでしょう。

1990年代に、マイクロソフト分割論が、騒がれ、米国政府は、多大なコストを使って、規制をなそうとしました。また、EUは、Windows95のブラウザを後にインストールするような版を作らせました。それがどれだけ競争に効果があったのでしょうか。Chromeは、EUの政策があったからといって、シェアを拡大したわけではないでしょう。技術の進展が、競争を生み出し、社会の進歩を生み出すわけです。

プラットフォームサービスに関する研究会(第5回)配布資料

プラットフォームサービスに関する研究会(第5回)配布資料が公開されています

特に、今回は、新聞的には、GAFAに「通信の秘密の保護規定」の適用を図るということが議論されています(例えば、日経新聞「通信の秘密」海外企業適用へ プラットフォーマー念頭)。

この点については、「従来、電気通信設備を国外のみに設置する者であって、日本国内に拠点を置かない者に対しては、同規定による規律は及ばないものとして運用されてきた」という整理自体が、よく分からないところです。(表現については、 プラットフォームサービスに関する研究会 主要論点(案) 24ページなど)

「通信の秘密」の規程自体は、「電気通信事業者の取扱中にかかる通信」において秘密が保護されるという趣旨の規定ですが、そこでの「電気通信事業者」は、電気通信事業法の第九条の登録を受けた者及び第十六条第一項の規定による届出をした者をいうわけです。

なので、外国の電気通信設備から自己の設備に通信を受信し、その設備で取扱い、他者に送信する事業は、上の定義に該当しないので、規律が及ばないということになります。

が、これって、外国の電気通信設備からの受信だから、適用がなされないということもいえそうですが、その一方で、自己の設備での処理だから、適用されないということもいえます。送信者と取扱者がいて、その送信・受信は、その取扱に関する規程でさだめればいいわけです。宅内については、通信の秘密の規程の適用外です、といわれるのがそれです。

プラットフォーマーは、むしろ、その取扱は、法的には、宅内で処理しているように思えます。すると、電気通信事業法4条の解釈でいじるのは、また、違法性阻却自由の拡大同様に、「大英断」ということになりそうです。

中間伝達者という表現があって、まさにそれらのものは、伝導官(conduit)でなくてはならず、秘密の保護は、そのための規定かと思います。
結局、この資料をみても、上の取扱が、法的に、どのような根拠で、規律が及ばないとされているのかは、整理されていません。

「通信の秘密」は、その保護対象をコンテンツのみではなく、通信データまで肥大化させてきたといってきたのですが、今度は、宅内まで、適用の範囲を広げてきそうかもしれません。判断の安定性のために法的な根拠を詰めて考えてみたいところです。

デジタル法務の実務Q&A 発売になりました。

「デジタル法務の実務Q&A」(日本加除出版)発売になりました。

なお、この発売を記念して、11月10日に、出版記念パーティを開催しました。来ていただいた方々、ありがとうございました。

このこのパーティでライトニングトークということで、購入すべき10の理由をお話しさせていただきました。

  • デジタル法シリーズ 第2弾であること
  • データ戦略本の筆頭編集者 中崎弁護士 渾身の「eスポーツの法と実務」論文が読める
  • サイバーセキュリティのエヴァンジェリスト 北條先生の書き下ろし刑事分析が、こんなに充実して読めるのは、この本だけ
  • 今年の流行語に対応するためには、ぜひこの一冊
  • デジタル証拠の時代における不正調査の実務にふれた唯一の本
  • 横文字語って、ちょっと業界人ぽい感じになれる
  • リスク=機会+(狭義の)リスク/「不確実性」といって、情報のオポチュニティから、ガバナンスを説明しているユニークな本

などの理由をあげさせていただきました。

いい本には、買う理由はいらないというのが本当なところですね。

おかげさまで「電子契約」の観点からの書評もいただいています。この点も購入すべき理由にいれておくべきでした。売れていただければ、第3弾で、デジタル契約とかも、おおきくフィーチャーできるかと思います。

デジタル法務の実務Q&A 11月上旬発売です

 

 

 

 

 

 

「デジタル証拠の法律実務Q&A」に次ぐ、デジタル法シリーズ第2弾である「デジタル法務の実務Q&A」が、11月上旬に発売になります。

情報ガバナンスをベースに不正調査・個人情報保護、GDPR、仮想通貨、AI、APIなど現代社会で問題になる論点できる限りカバーしています。

あと、刑法の部分がすごく充実しています。デジタル証拠本は、官公庁にも支持されたと聞いています。官公庁さん、この本もよろしくお願いします。

デジタル証拠の本が、これだけ支持されたというのは、社会のデジタル化が、ついに法曹界も無視できないレベルにいたったということなのだろうと思います。しかしながら、社会は、その間に数歩も進んでいます。その社会にキャッチアップするというのが、この本のミッションです。チャットボットの設計図まで公開して、なんちゃってAIの法律問題を検討していたりしています。

ご購入いただけると幸いです。

「データ戦略と法律 攻めのビジネスQ&A」献本いただきました。

「データ戦略と法律 攻めのビジネスQ&A」中崎先生より献本いただきました。ありがとうございます。

一弁 IT法部会の最初の企画の時から、この本については、知っておりまして、「データ戦略」という観点から、編集され、しかも、データというもっとも重要な経営資源を、積極的な機会(オポチュニティ)として捉えていくというのは、非常にいい企画であると思っておりました。がきわめてお忙しくしているのを横目でみながら、完成は、遠くなるのかなと思っておりましたところ、怒濤のラストスパートで、10月に公刊されたということで、非常に、すばらしいと思っています。

なんといっても、IT関係の書籍は、生鮮食料品ですので、企画から、公表まで、如何にタイムロスをなくせるのか、ということが重要ですし、特に「データ戦略」という、さすが日経さんの企画、という感じを与えるためには、適時であることがもっとも重要と思います。帯にも「日本企業よ、後れをとるな!」とあります。

内容についてですが、

  • 1章 総論
  • 2章 積極的なデータの利活用
  • 3章 経営管理等とデータの活用
  • 4章 セキリティ管理、有事対応
  • 5章 データ戦略と関連する法律

となっています。

データ戦略という用語の解説が、最初にないので、ちょっと、とっつきにくいかもしれませんが、データマネジメント(1-3)の説明は、理解を進めてくれるでしょう。「デジタル証拠の法律実務Q&A 」などを読んでいる人は、理解が進むかとおもいます。フレームワークの説明(1-5)、法務との関係(1-6)は、基本的な知識として重要ですし、また、データのライフサイクルに関連してのまとめのアプローチ(1-7)は、参考になります。個人的には、文書の電子化についてのまとめは参考になります(1-12、13)。

2章では、データのライセンス契約(2-3)、企業ポイントの利用(2-5)、DMP(2-7)などのテーマは、きわめてオリジナルなテーマ設定、解説といえるでしょう。

3章以降についても、きわめてタイムリーなテーマが選ばれており、購入を強くお薦めします。

私的には、日経さんに、むしろ、この本と対になるような「データ戦略」の実務として、

  • 企業におけるデータには、どのようなものがあるのか
  • それをどのような手法で取得できるのか
  • 分析の手法はどのような原理/プロセスか
  • それを経営にどのように役立てているのか

というのを説明する本を作ってもらいたいと思いました。

そのような実務の手ほどきを受けながら、それらの法的な裏付けを、この本で補充するというのが理想的な使い方になるのではないか、と考えたところです。

 

 

 

「アメリカプライバシー法 連邦取引委員会の法と政策」献本いただきました。

昨年度の総務省の調査でお世話になりました宮下先生、板倉先生が翻訳に参加しております「アメリカプライバシー法 連邦取引委員会の法と政策」を献本いただきました。

米国のプライバシーについて、ある程度分かっているつもりでも、おおよその枠組とFTC5条に基づいた権限行使がなされることくらいしか、了解していなかった私にとって、このような形で、体系的に詳細な知識をまとめて手にいれることができることは非常に助かります。

我が国でも、マーケティング対策活動に対する取り組み(4章)は、なじみがあることかもしれませんが、子供のプライバシー(2章)、情報セキュリティ(3章)、金融プライバシー(5章)における叙述は、きわめて新鮮なのではないでしょうか。

個人的にも、COPPAや公正債務取立法(FDCPA)までは、さすがに調査・研究する機会がなかったので、役に立ちます。また、情報セキュリティ問題についてのFTCの活躍は、非常に興味深いです。特に、情報セキュリティに関する考察は、法と経済などの知識を背景に、深く読み進めると、さらに、理解が進むような気がします。日本において、その分野の研究がほとんどない(というか、どうせ、理解されることはないだろうとあきらめているように思えます)点から、非常に重要な分析です。

世界的には、EUのデータ保護指令から始まって、GDPRのインパクトが非常に強く、ある意味、(データ保護という)理念的なアプローチが強いわけですが、世界的に、みてみると、全く別個のアプローチというのは、興味深いと思います。

なので、プライバシーやセキュリティを語る人は、ぜひとも購入をお薦めします。

 

 

イタリアのGDPRと国内法の統合

イタリアの個人データ保護に関する法が、2003年個人データ保護法典(Codice in Materia di Protezione dei Dati Personal)(Legislative Decree no. 196 of 30 June 2003、2003年政令196号)であること、全体が、1部(一般規定)、2部(特定セクター)、3部(救済及び制裁)と附則A及びBに分かれていることは、ITリサーチ・アートの総務省GDPR報告書に記載されています(100頁)。

統合に関する法は、政令2018年101号になります。名称は、「GDPRの国内法制への適用(l’adeguamento)に関する規定」(DECRETO LEGISLATIVO 10 agosto 2018, n. 101.Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129)です。

適用法は、
1 章 個人データ保護法典の名称変更

1条 2003 年個人データ保護法のタイトルと規定の変更
1条は、2003年法の「個人データ」のあとに、「国内法をGDPRに適合させるための規定を含む」という用語がはいることなどを論じています。

2章 個人データ保護法のパート1への変更

2条 パート1、タイトル1の改正

2条は、2003年法の「1部 一般規定  タイトル1 一般原則(1条-6条)」に関する規定になります。
タイトル1が、「原則および一般規定(Principi e disposizioni generali)」に変わり、1条の前に、1章(対象、目的、監督機関(Oggetto, finalità e Autorità di controllo))が挿入されます。
そして、1条が、個人データの取扱は、GDPRによってなされること、2条は、目的として国内法を規則に適合される規定を含むこと、が論じられています。
2条2項以降は、国内法的な観点からの規定が述べられています。
具体的には
2条2項(監督機関)
このあとに
2章(原則)という用語が追加されます。そして、それに該当する規定は、2条3項からになります
同3項(公的利益または、公権力の行使に関する個人データの取扱に関する法的根拠)
同4項(専門職規範)
同5項(情報社会サービスに関する未成年者の同意) これは、14歳以下について、保護者の責任ということが明らかされています。
同6項(公的利益を理由とする特別カテゴリの取扱)
同7項(遺伝・生体・健康データ取扱についての保障手段) これは、GDPR9条4項で追加できるというのに基づくものであって2年ごとに保障する手段がとられるものとされています
同8項(刑事判決および犯罪に関するデータの取扱に関する原則)
同9項(大統領、下院、上院および憲法裁判所における取扱)
同10項(利用し得ないデータ)
このあとに、

2003年法典における
3章(利害関係人の重要な権利の規定-Disposizioni in materia di diritti dell’interessato)

2条11項(利害関係者の権利の制限)
同12項(司法の理由による制限)
同13項(死亡した人の権利)

さらに2003年法典における
4章(取扱権限者および取扱責任者の規定 Disposizioni relative al titolare del trattamento e al responsabile del trattamento)

2条14項(目的のための機能およびタスク)
同15項(公益業務遂行たのめの高リスクの取扱)
同16項(司法権における機能遂行のためのデータ取扱の責任者)
同17項(国家的認証機関)
の規定が定められています。

3章 個人データ保護法典 パート2の改正

2003年法典のパート2は、特定セクターに適用される規定です。これが、上記政令2018年101号によって改正されることが、同政令3条によって明らかにされています。
同条は、「規則9章の取扱規定に含まれない公益の実行における法的義務に必要な/公権力の行使に関連する取扱の特別の規定」とパート1のタイトルを変更することになります。
また、同条によってタイトル1の前にタイトル0.1として司法における規定が挿入さるとともに、法典45条2項(法的根拠) 具体的なき規定は、規則の6条パラ2によることが述べられています。
4条 法典58条のタイトル変更
5条 法典59条の読み替え等
6条 法典75条(情報の特別の条件)の改正
7条 法典96条(教育データの取扱)の改正
8条 法典97条、99条、100条等の改正
9条-12条まで 省略

4章 個人データ保護法のパート3への変更

2003年法典のパート3は、救済および制裁の規定です。これが、上記政令2018年101号によって改正されることが、同政令13条によって明らかにされています。
同条によってタイトル1の前にタイトル0.1として保護のためのその余の形態が挿入さるとともに、法典の141条から144条までが、修正されています。
同14条 法典パート3 タイトル2の修正
これは、独立の監督機関(153条以下156条)の修正規定を定めるものです。
同15条パート3 タイトル3の修正
これは、罰則の規定(法典166条ないし171条)を修正するものです。
同16条 法典附属文書Aの名称の変更

5章 手続的規定
6章 経過規定等

となっています。

政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書

「政府各府省のウェブサイトにおけるクッキー使用に関する質問主意書」という質問主意書がでています。(ページは、こちら。主意書自体は、こちらです)

政府のウエブサイトのうち、ユーザーからのアクセス時にクッキー使用について明示的な同意を求めるものがあれば、府省名および同意を求める形式を示されたい、ということだそうです。

GDPRの実施に伴って、いろいろなウエブサイトで、広告に関する同意バナーを目にするようになりました。あと、私のホームページは、Googleのアドセンスを利用しているのですが、そこでは、「EU ユーザーの同意ポリシー」というタイトルのもと「EU ユーザーの同意ポリシーに準拠する 広告配信オプションを選択し、ユーザーの同意を取得する」場合についてヘルプで記載されています
(なので、もし、私のブログで、役に立つなと思いましたら、遠慮なく、広告をクリックしていただけると幸いです。広告があるからこそ、無料で享受しうるサービスもたくさんありますというのが私のポリシです-結構、現実主義者)

そこで、「サイト運営者様がこのポリシーで定められた義務を遂行できるよう、Google は欧州経済領域のユーザーに対する広告配信について以下の選択肢をご用意しています」ということで、「パーソナライズされていない広告の配信について各ユーザーが自分で選べるようにする場合は、[パーソナライズド広告] を選択したうえで、パーソナライズされていない広告をリクエストに基づいて配信するための手順を実施してください。」ということになります。

要は、EUユーザの同意のバナーがでるように設定することができるわけです

でもって、GDPRについては、その立法管轄権の観点から、日本におけるウエブサイトにも適用がなされるわけです。そこで、同意バナーをたくさん目にするようなったものだろうと考えます。
ただ、厳密に考えると、クッキーの問題なのか、広告に関する同意バナーなのか、ということもありそうです。(あまり、いままで考えてなかったのですが、文言とかも注意しないといけませんね)

あと、クッキーと考えたときに、クッキーは、GDPRのもとでどう整理されたのか、というのがすごく気になりました。

EU域内で、クッキーについては、eプライバシー指令で、同意をとることが求められて、EU域内では、クッキーバナーの設置が義務づけられていました。

GDPRおいて、クッキーがどのように位置づけられているのかと思ったところ、
クッキーが監視として整理されていること
ただし、
GDPRでは、前文30において1回触れられているにすぎないだそうです。(Luke Irwin ”How the GDPR affects cookie policies”)

要は、cookieは、per seでは、Personal Dataとは認識されていないで、個別具体的な状況で、Personal Dataか、否かが判断されるということだそうです。これだと、データ保護指令の場合と変化がないということになりそうです。(この点について「いよいよ明日施行!欧州GDPR:「Cookie」のBefore/Afterで考える5つのポイント」は、cookieは、per seでは、Personal Dataとなるかのような表現に読まれますが、厳密には、ごまかしていると読んでいます。もっとも、eプライバシー規則のもとでは、あまり議論の意味がなくなりますが。)

広告だしているほうは、一意の消費者である必要はないので、Personal Dataでない場合もありうるのでしょう(ただし、すべてのクッキーが、ユーザを識別しうる利用のされ方をするわけではない-しかし、大多数は、GDPRに従うであろう-Not all cookies are used in a way that could identify users, but the majority are and will be subject to the GDPR. とされていますね)。

そうだとすると、どのような回答になるのでしょうか。立法管轄権の問題を適切にクリアし、クッキーの位置づけを適切に回答するように、というのが採点者のキモになりそうですね。