イタリアにおけるGDPRの国内への統合の概要

イタリアのGDPR施行法が明らかになりました。法案の官報は、こちらからみれます

この点についての記事(「イタリアは、GDPRを国内プライバシー法制に統合」)は、こちらです。

具体的な内容の概要について、簡単に紹介しておきます。

趣旨は、GDPRを国内法に統合するためのものです。

条文は、27条から成り立ちます。

章ごとにみると

1章 2003年データ保護法典の題および規定の変更( 1条 )

2章 2003年データ保護法典の1部に対する変更(2条(1)-(17))

3章 2003年データ保護法典の2部に対する変更(3条-12条)

4章 2003年データ保護法典の3部に対する変更(13条-16条)

5章 手続的規定(17条)

6章 経過、最終および財政的規定(18条-27条)

となっています。

具体的な内容については、次にみていきましょう。

 

 

 

日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」について

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料 のその他の「日本IT団体連盟 政策委員会「知的財産戦略本部・インターネット上の海賊版対策に関する検討会議への提案」」をみていきましょう。

これは、「アクセス集中方式 」と名付けられているもので、要は、海賊版サイトにDOS攻撃をしかけてアクセスできないようしましょう、という提言です。
これは、アメリカであれば、SOPA法で議論されたところです。この点については、ITリサーチ・アート「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負-報告書-」報告書の 193頁をごらんください。手続保障やその効果の問題点などから、法的にも、採用し得ないものとして解決されたものと考えたのですが、よみがえってきました。特にサイトが国外のstuffですと、制度設計にもよりますが、その国のポリシによって、武力攻撃と認識されたり、国際的違法行為と認識されうるという問題もでてくるところです。

個人的には、サイバーセキュリティ的な問題に対して、このような手法は、効果的なコントロールのもとで行う方法は適法性を議論してもいいかとは、考え始めてはいるのですが、著作権の侵害については、急迫不正の侵害なのか、という点から、この提案については、非常に疑問を有しています。

あと、これについては、JAIPAが「当協会は全く賛同するものではありません。」というアナウンスをだしていたりします

インターネット上の海賊版対策に関する勉強会 資料(下)

好き続いて「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)の資料をみていきます。

資料9 これは、「アクセス制限に関する請求権の考え方について(森田教授ヒアリングメモ)」になります。

論点1 イギリス等と同様に、アクセスプロバイダ自らが著作権侵害を行っていないにもかかわらず、海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付けることは、日本の民事法上可能か。

「海賊版サイトへのアクセスをブロックする義務を負うと法律上位置付ける」という問題の設定自体が妥当なのか、という気がしますね。そもそも、EUの著作権指令については、プロバイダのモニタリング義務を否定しており、そのなかで、ブロッキングを基本権の衝突のなかで位置づけてます。事務局自体が、モニタリング義務の問題と裁判所の判決にもとずくブロッキングをわけているのか、微妙だったりします。

あと、「日本法の中に類似の権利義務が存在しない」としていますが、私個人的には、ISPのデューデリジェンスの責任が現実の悪意によって生じるという解釈論をとっていて(私のエントリだとここらへん)、この理は、わが国の法理のなかでも、微妙ではあるものの民法717条の土地の工作物等の占有者及び所有者の責任にその意図をみることができる、と考えています。デューデリジェンスの責任についての考え方が、現在、一般的になりつつあることは、ふれるまでもないことかと思います。

論点2 「サイトブロッキング請求権について、実体法上の権利として存在するが訴訟上でのみ行使できる権利、または裁判によって初めて形成される権利とするような制度設計は、どのような場合に採用されることが適当か。著作権侵害についてそのような制度設計を行うことは許容されるか。また、妥当か。」

これも、実体法上の請求権があるけど、他の権利との衝突があるので、裁判所の判断を待ってね、というのは、総務省消費者行政課さんお得意の立て付けですね(eg 発信者情報開示に関する逐条解説をみよ)。
なので、論点の設計が微妙ですね。

資料10-1 「海外事業者を相手方とした発信者情報開示・差止請求について(神田弁護士ヒアリングメモ) 」になります。

これは、現在の法および運用を前提として、CDNに対するケーススタディということですね。解釈論的なものとしての示唆というよりも、実際の実務ということから、非常に参考になります。いま、ひとつは、今回の動きが、このような努力がなされた上の話ではないことを物語っているような感じですね。

資料10-2「Cloudflareに対する差止請求・発信者情報開示請求」になります。

これは、差止請求と発信者情報開示請求に関する個別の論点についての簡単なメモになります。

資料10-3 「ブロッキング問題に関する意見書」です。
これは、「インターネット上の権利侵害に対する被害救済に取り組んでいる弁護士」による意見書になります。
「違法行為を行っている者に対する法的アクション、つまり、海賊版サイト運営者を特定して、海賊版サイトに対する差止め・損害賠償等がなされることが本来的な方法であります。」として、「Whois等から容易にサイト運営者を特定出来る場合もあり、また、プロバイダ責任制限法に基づく発信者情報開示請求等を用いて、サイト運営者を特定することも可能ですので、まずはこれらの措置による方法をコンテンツ事業者が実施すべきだと思います。」としています。
また、「CDN事業者に対する送信防止措置請求や発信者情報開示請求の実効性があるのですから、コンテンツ事業者が送信防止措置や発信者情報開示について十分なスキルを持つ弁護士に依頼をした上で、裁判手続きを行い、実際的な問題点を顕在化させた上で、海賊版サイト対策の在り方の検討していただきたいと考えています」等としています。

この点は、全くそのとおりなので、法的手法があって、それが有効であるかの調査もしないで、政治問題化しようという文化そのものが問われているのかもしれません。

資料11は、次のエントリで。

インターネット上の海賊版対策に関する勉強会 資料(上)

「インターネット上の海賊版対策に関する勉強会」(平成30年8月10日開催)においていろいろな資料があげられています。

1.これまでの海賊版対策の取組

資料1 : Google提出参考資料
これは、Google社が、DMCAなどに基づく法的要請に基づいて、通知を送付していること、法的要請をなす場合の要件、継続的リクエストのためのプログラム、ランキングへの反映、「資金源を追え」への活用などが紹介されています。また、透明性の重視についての説明もなされています。

資料2 : 上沼弁護士ヒアリング結果(事務局資料)
これは、Appleの場合のフィルタリングの話、EMA解散後のモニタリング体制などが紹介されています。なお、EMAのコスト負担について「大手携帯ISP事業者にコスト負担を依頼したが、調整が合意に至らなかった」という記載もあり、興味深いです。
その一方で、違法なサイトをみたいという人がいて、それに見せないというブロッキングのモデルと、親などのみせたくない人がいて、フィルタリングするという場合とでは、インセンティブが全く異なるわけなので、それは、参考になるのかな、というところもありそうです。

2.ブロッキングの手法及び効果

資料3 : 前村委員提出資料
ISOC Board of Trustees 江崎 浩先生の「Internet Society Perspectives on Internet Content Blocking: An Overview」に関してのペーパーです。JPNICの訳も追加されています。
コンテンツ遮断技術は 2 つの主要な欠点を持つ傾向にある:として「1. 問題を解決しない」「2. 副次的被害を引き起こす」ということになります。

3.法制度・運用に関する基礎的情報
資料4 : 総務省提出資料
これは、「電気通信事業法及び通信(信書等を含む)の秘密」という資料です。
法律家が書くのなら「日本国憲法第21条第2項の規定を受け」とか書くな、と突っ込みたいのですが、まあ、世界観が違うのでしょうがないですね。
あとは、内容的にはお約束のものなので、コメントは、省略。

資料5-1 : 総務省提出資料
これは、「プロバイダ責任制限法の運用」という資料です。プロバイダ責任制限法の素人むけ解説なので、解釈論の参考にはならずですね。
個人的には、「具体的な悪意」の場合における導管プロバイダの削除権限というのが、プロバイダ責任制限法との関係でどうなるの?というのを問題提起しているのですが、その点については、コメントはないですね。(当然か)
「送信を防止する措置を講じた場合」というのは、導管プロバイダに適用があるのでしょうかね。EU指令もみて作成されているはずなのでしょうが、用語法において情報社会サービス一般なのか、導管プロバイダへの適用が想定されていたのか、とか個人的には興味をもっていたりします。

資料5-2 : 総務省提出資料
これは、プロバイダ責任制限法の条文。

資料6 : 文化庁提出資料
「著作権等の侵害行為及び「侵害とみなす行為」について」という資料です。ただ、条文の解説ですね。

資料7 : 文化庁提出資料
「違法配信からの私的使用目的の録音録画の違法化について」という資料です。これは、平成21年の著作権法改正についての簡単なコメントです。
個人的には、もともと違法な複製であった(私的複製にはあたらない)のを明らかにしたと位置づけているのですが、その意味では、漫画の複製物とそのダウンロードについての私的複製についての権利制限は、未解決であるということになりますね。

資料8 : 法務省提出資料
「我が国における国際裁判管轄及び準拠法に関する一般的な規律について」という資料です。
余りに一般的すぎて、あまり役にたたないような感じですね。特に著作権法については、どうなるかというところのあてはめは、おもしろいところかもしれません。結果発生地ってどこなか、サーバの存在地のもっている意味は?CDNの所在地は、とかあたりの影響とかも、当てはめてみたいところかもしれません。ただ、基本的には、日本市場においての損害なので、日本でできるだろうし、また、実効性あるところの裁判所に求めればいいのだろうし、その場合に日本国法である日本の低触法の規定を語っても?だったりします。

資料9以下については、次のエントリです。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(3)

(4)マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起です。

ここで問題となっているのは、
「近年、IPアドレスを広範にスキャンしてパスワード設定の不備等の脆弱性を有する端末を即座に感染させるマルウェアも出てきており、インターネットに接続されるカメラやセンサーなどの機器が爆発的に増加」している
という認識を前提にして、

信頼できる第三者機関からの情報提供を受けること

により

ISPが脆弱性を有する端末を認識した場合において、当該端末のIPアドレス及びタイムスタンプと当該IPアドレスの割当て状況を確認して当該端末の利用者を割り出し

電子メールの送付等の方法で個別に注意喚起を図ることが考えられる

という手法です(同8頁)。

この問題について、結局、契約約款等に基づく事前の包括同意であっても、当該注意喚起を行うための通信の秘密に属する事項の利用等について有効な同意があるといえるものと考えられる、としています。また、正当業務行為として許容されるものとされています。

私の立場からするときに、第三者機関からの情報提供をうけることが積極的な取得に該当するのか、という問題についていえば、これ自体が、伝達に必要な取得ということではないので、積極的な取得行為ということになるのかと思います。その意味では、とりまとめと同様の理によって違法性がないという形で整理されることになります。

このとりまとめをみていくときに、もともとの「通信の秘密」が肥大化しているために、正当業務行為の法理にかなりの部分を頼らなくてはならなくなっている、ということができるかと思います。その意味で、正当業務行為自体も肥大化しているわけです。いま一つ、特に取得行為レベルの正当化が考えられているために、注意喚起なのか、遮断なのか、という終局的な行為への注目が弱まっているということもいえるかと思います。

結果としては、正当な結論が導かれており、ISPや総務省の担当課の努力は、甚大なものがあると認識されるわけですが、もともとの枠組がもたらしているセキュリティ維持行為に対する萎縮の効果というのは、否定できないだろうという感を強くします。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」(2)

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」のうち、このエントリの(1)では、マルウェアに感染している可能性が高い端末の利用者に対する注意喚起についてについてみました。

このエントリでは、

(2) マルウェアに感染している可能性が高い端末の検知
(3) C&C サーバである可能性が高い機器の検知
についてみていきます。

(2) マルウェアに感染している可能性が高い端末の検知
これは、手法としては

  • C&Cサーバに関する情報等に基づいてC&Cサーバである可能性が高い機器を把握した上
  • DNSサーバ又はルータ等(以下「DNSサーバ等」という。)において、C&Cサーバである可能性が高い機器のFQDN又はIPアドレス、ポート番号及びタイムスタンプと、DNSサーバ等において把握される通信のFQDN又はIPアドレス、ポート番号及びタイムスタンプとを照合する
  • C&Cサーバである可能性が高い機器と通信している端末を割り出し、当該端末に係るIPアドレス、ポート番号及びタイムスタンプを記録
  • IPアドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出す

という手法が紹介されています(6頁)。

分かりやすくいえば、ダークなサーバを自らの調査や情報提供機関から得た情報でもって、チェックして、ダークとしてマーク、そして、そのサーバと通信している端末を確認、その端末利用者を割り出す、ということです。

割り出してどうするか、問えば、「利用者の通信を識別してC&Cサーバである可能性が高い機器と通信している端末を把握し、当該端末を注意喚起の対象とすることが考えられる」ということになります。

とりまとめでは、16頁以降において、「原則として個別具体的かつ明確な同意を取得することが必要となる」として、その例外である「契約約款等による包括同意を行った当時において予測し得なかった事情が生じた場合についても、随時、利用者が同意内容を変更することができるといえることから、将来、利用者が不測の不利益を被る危険を回避できる」から、包括的同意として、これらの行為が行えるとしています。

また、16頁以下では、緊急避難または、正当防衛としては、整理されることはないとし、また、自主的な取り組みだから、法令に基づく行為には該当しないこと、また、「役務提供に支障が生じるおそれがあるか否かが不明確な段階で、利用者全体を対象として行う取組であるから、行為の必要性、手段の相当性が肯定し難」いとして正当業務行為として整理することは困難としています。

通信データでもって、他の利用者に迷惑を受けている相当の嫌疑があることを判断しているにすぎないわけですし、そして、利用者にあなたの端末が、ネットワーク秩序を乱しているかもしれませんよ、注意してね、という注意喚起をしていることになるわけで、はたして、とりまとめのような整理が妥当なのか、というのは、きわめて疑問に思います。

セキュリティ目的のために、通常のネットワーク管理のためになす通信データの取得の行為は、「積極的な取得」という概念に該当しないといえば、いいような気がします。また、そして、利用者において、ネットワーク秩序違反についての相当な嫌疑があるのであれば、それについて、その通信データを利用して、利用者への周知をすることは、「窃用」(自己または他人の利益のために利用すること)とはいえないように思えます。

そもそも、プロバイダのようなインターネット媒介者の役割を正当なものとして、それを認めて、場合によっては、支援していくべきと認識することが必要かと思います。それこそ、利用者は、そのような行為を支持すると思われます。インターネット媒介者の行為を、基本的に、「通信の秘密」侵害として、正当化事由を、それこそ、総務省担当課が認めた場合でないとできませんよ、というのは、現代社会において健全なインターネットに対してプロバイダがはたすべき役割を過少評価しているように思えます。

(3) C&C サーバである可能性が高い機器の検知

これは、具体的には、

  • マルウェアに感染している可能性が高い端末の通信を割り出し、当該通信の相手方のFQDN又はIPアドレス、ポート番号及びタイムスタンプを記録
  • 記録を対象として、マルウェアに感染している可能性が高い端末が集中的にアクセスしているかといった相関関係の分析等を行う
  • C&Cサーバの可能性が高い機器を割出
  • 当該機器宛ての通信を遮断する方法

いった手法が紹介されています(同7頁)。

C&Cサーバのテイクダウンといわれる手法の一つということになります。

この手法について、とりまとめでは、有効な同意があるといえると整理し、その一方で、違法性阻却事由があると整理するのは、困難であるとしています。

私の立場からはどうなるのか、ということになると、(2)と、比較すると、最後の「当該機器宛ての通信を遮断する」という点での違いが発生することに気がつきます。

積極的な取得に該当しないとしても、このような場合が、「窃用」に該当しないのか、というのは、利用者への連絡というのではなく、通信の遮断という点から検討されるべきことになります。

「利用する」といっても、通信データをもとに、契約条項にもとづいて、通信を遮断するということになるのでしょうから、そのような遮断が許されるのか、厳密に評価されることになるのかと思います。(注意喚起とは、レベルが違う用に思えます)

この場合は、まさに、プロバイダの行為規範が準備されて、それに基づいて遮断がなされるのか、ということになるのだろうと思います。そのような行為規範に基づいた場合が、「窃用」であり、行為規範について一顧だにせずになした場合には、通信の秘密に対する侵害という整理がなされてしかるべきなのであろうと考えます。

「(4) マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起」については、次のエントリで。