コロナウイルス(Covid-19)とGDPR (1)

コロナウイルス(Covid-19)とGDPRについて、昨年のCODEBLUEで、プレゼンターを努めたMatthias Lachenmann博士が、ちょっとした論考を公表したので、そのご紹介をしてみましょう。

論考は、「データ保護対コロナウイルス(Data protection vs. corona virus – What companies must consider)」です。

1は、「コロナウイルスへの感染から防護するために健康データを取り扱う例」として、会社が従業員がコロナウイルスの症状を示しているという情報を保存している場合、従業員が会社の入り口で体温を記録した場合、または従業員が感染した可能性のある人の名前を会社に伝えた場合、これらが、すでに健康に関するデータとなること、などがふれられています。

II。 GDPRの法的根拠

この場合、健康に関するデータとなると、GDPR9条の特別な種類の個人データの取扱いの規定が適用されることになります。なので、取扱いが原則禁止され、具体的には、明確な同意等のパラグラフ2の個別の規定によって取扱いが許容されるという枠組になります。

(ちなみにGDPRの翻訳は、個人情報保護委員会のによります

GDPRは、もととも パンデミックの脅威が発生した場合に保護を提供することを目的としており、「健康と健康の警告を監視する」ためのデータ取扱いが許可とれています( GDPR前文52)。

公共の利益において行われる場合であり、特に、労働法の分野、年金及び医療保険を含む社会保護法の分野における個人データの取扱い、伝染病及びその他の健康に対する重大な脅威の防止又は管理のための監視及び警戒の目的の場合において、個人データ及びその他の基本的な権利を保護するために、EU 法又は加盟国の国内法の中に定められており、かつ、適切な保護措置に従うものであれば、特別な種類の個人データの取扱いの禁止の例外も認められる。

これが、定められているのが、同9条パラ2の(h)や(i)の規定です。

(h) EU 法又は加盟国の国内法に基づき、又は、医療専門家との契約により、かつ、第3 項に定める条件及び保護措置に従い、予防医学若しくは産業医学の目的のために、労働者の業務遂行能力の評価、医療上の診断、医療若しくは社会福祉又は治療の提供、又は、医療制度若しくは社会福祉制度及びそのサービス提供の管理のために取扱いが必要となる場合

(i) データ主体の権利及び自由、特に、職務上の秘密を保護するための適切かつ個別の措置に関して定めるEU 法又は加盟国の国内法に基づき、健康に対する国境を越える重大な脅威から保護すること、又は、医療及び医薬品若しくは医療機器の高い水準の品質及び安全性を確保することのような、公衆衛生の分野において、公共の利益を理由とする取扱いが必要となる場合。

このような適法な取扱いの論点に関しては、アイルランドのデータ保護コミッショナーのリリースを引用しましょう。

合法性

GDPR第6条に基づく個人データの処理には多くの法的根拠があり、この文脈で適用可能な第9条に基づく健康データなどの個人データの特別なカテゴリの処理を許可する条件があります。これらのうち、以下が関連する場合があります。

組織が公衆衛生当局またはその他の関連当局のガイダンスまたは指示に従って行動している状況では、適切なセーフガードが実装されているかぎり、GDPR第9条(2)(i)および2018年(アイルランド)データ保護法の53条が、健康データを含む個人データの処理を許可する可能性が高い。このような保護手段には、データへのアクセスの制限、消去の厳密な時間制限、および個人のデータ保護権を保護するための適切なスタッフトレーニングなどの他の手段が含まれます。

雇用主はまた、2005年の労働安全衛生法(改正)の下で従業員を保護する法的義務があります。この義務は、GDPR第9条(2)(b)とともに、健康データを含む個人データを処理する法的根拠を提供します。取り扱われるすべてのデータは機密に扱われる必要があります。つまり、職場でのコロナウイルスの存在に関するスタッフへの連絡は、一般に個々の従業員を特定するものではありません。

次は、個別の行為についてみていくことにしましょう。(続く)

イギリスのICOの個人データ保護とコロナウイルスのページは、こちら

脅威インテリジェンスサービスの利用とコンプライアンス(4)

脅威インテリジェンスサービスの利用とコンプライアンス(3)の続きです。

4の続きは、シナリオ2 脆弱性の購入です。

この部分は、ガイダンスをそのまま翻訳することにしましょう。

セキュリティの脆弱性とマルウェアはコンピューター犯罪を犯すために頻繁に使用されており、犯罪行為を支援するために販売される場合は連邦犯罪ですが、セキュリティの脆弱性またはマルウェアの単なる購入は単独で、犯罪目的なしの場合には、一般的に違法ではありません。

ただし、2つの例外があることは、言及する必要があります。

一に、電子通信をひそかに傍受するように設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性があります。同法は、「主たる目的が、密かに、有線、口頭、電子的通信を傍受するために設計されたことを知って、もしくは知りうる場合に、電子、機械、またはその他のデバイスを意図的に所有すること」を禁止します。電子通信を傍受するように設計された特定のマルウェアは、この定義に該当するため、所有することは違法である可能性があります。購入した場合の法的リスクを最小限に抑える最良の方法は、2512条に該当する可能性のあるマルウェアは取引が発生する前に法執行機関に問い合わせ調整することです

2番目の例外は、売り手が指定された外国のテロ組織、またはIEEPAに基づく経済または貿易制裁の対象となる個人または団体であるため、購入が禁止されている場合です。 これらの懸念は、購入時に生じるものと同じです。盗まれたデータにおける IEEPAなどの当局の下での法的責任とその最善の対処方法を説明した上記の説明を参照してください。

あと、いままでに見たような具体的なガイダンス以外に

「常に守るべき二つのルール」

「オンラインフォーラムで適法にインテリジェンスを収集するためのティップス」

「ベストプラクティス」

などのアドバイスがなされています。

このベストプラクティスのところで、「法執行機関は、インテリジェンスを収集している無辜の人と犯罪者を区別できないので、調査の対象となりかねない。してがってFBIのフィールドオフィスやシークレットサービスと継続的な関係を締結しておくこと」と提唱されています。

日本だとこのようなガイダンスが出ることはなさそうだなあ、と思っていたりします。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(3)

脅威インテリジェンスサービスの利用とコンプライアンス(2)からの続きです。

4サイバーセキュリティを目的とした盗難データと脆弱性の購入がテーマになります。

ダークマーケットで、漏洩したデータが取引されていたり、また、脆弱性が売買されていたりします。それらを購入する場合の法的なリスクについて検討しています。

シナリオ1:盗まれたデータの購入

この点を検討するのに際して、以下の3点から検討することとしています。具体的には

・購入者がデータの正当な所有者であるかどうか:盗まれたデータは、データ所有者またはデータ所有者の認定エージェントによって購入されていますか?

・販売されているデータの種類:盗まれたデータは、連邦法によって転送または所有が禁止されている情報の種類(たとえば、盗まれたクレジットカード情報や企業秘密)ですか?

・売り手の身元:売り手は、連邦法によりデータ所有者がビジネスを取引することを禁止している人ですか?

です。

(1)データの保有権限

ダークマーケットで売買されているデータについては、自分(購入者)がそもそも保有することかできないデータが含まれていることが一般です。

そのようなデータを購入したとしても、それ自体としては、刑事訴追を受けることはありませんが、違法な方法でデータを使用する意図があるのではないか、という嫌疑を受けた場合には、そのようなリスクが出てくることになります。

許可や権限なしに他人の盗まれた情報を購入すると、購入者の動機を決定するための調査精査を促す購入者の意図に関する質問を引き起こす可能性があります。このリスクを管理するには、購入したデータに所有する権利を持たない情報の場合、購入者は速やかにそれを隔離し、さらにアクセス、レビュー、または使用しないでください。その後、購入者は直ちに法執行機関に連絡し、データを提供するか、データを所有していると判断できる範囲で実際のデータ所有者に通知する必要があります。これらの手順を踏むことで、刑事訴追に必要とされる意図を欠いていることを立証するのに役立ちます。

(2)データの性質

たとえば、パスワード、口座番号、およびその他の個人を特定できる情報などのダークマーケットで販売される傾向のある盗まれたデータのタイプに関連する連邦刑法の多くは、さらに別の犯罪の意図がある場合にのみ適用されます。たとえば、情報を詐取する目的で使用する場合です。このため、犯罪の動機を欠く盗まれたデータの購入者は、これらの法律の下で起訴される可能性は低い。

ただし、その人の許可なしに他人の盗まれたデータを故意に購入することは法的リスクをもたらす可能性があります。特に企業秘密が関係している場合、購入者の動機に関する質問を提起し、法執行機関と正当なデータ所有者から精査される可能性がはるかに高くなります。

販売者が購入者に属さない資料を作成しないようにすることは、別として、他者に属する盗まれたデータを意図せずに購入した場合に調査および起訴されるリスクを軽減する最良の手段は、そのような外部データに迅速に連絡し、法執行機関および/または正当なデータ所有者に引き渡すことです。そうすることにより、購入者が意図せずにそのようなデータを所有することが犯罪行為と誤解されたり、民事責任を発生させたりというリスクを最小限に抑えることができます。

(3)売り手の性質

米国では、国際緊急経済力法(IEEPA)2339B条の下で、米国政府によって指定された特定の個人または団体から盗まれたデータを購入することを禁じています。過去数年間で、米国政府はサイバー関連の違法行為を含む国家安全保障上の理由で、イラン、北朝鮮、ロシアの個人および団体を制裁する執行命令を発行しています。

また、同法は、民事責任をも定めており、米国財務省の外国資産管理局(OFAC)が、米国の経済および貿易制裁制度の民事執行を担当しています。  IEEPAの民事執行は「厳格責任」に基づいて課せられる場合があります。つまり、たとえ当事者が貿易または経済制裁の対象である個人または団体との取引に関与していることを知らなかったという場合でも、不正な取引規制により、民事罰が科せられる場合があります。

このようなリスクを抑えるには、

OFACは、経済的または貿易制裁の禁止の対象となる個人、地域、または国と取引するリスクを軽減するために、企業にリスクベースのコンプライアンスプログラムを実装することを推奨します。一般市民を支援するために、OFACは、リスクベースの制裁コンプライアンスプログラムの5つの必須コンポーネントのフレームワークを組織に提供することを意図して、そのウェブサイトで、ドキュメント「OFACコンプライアンスコミットメントのフレームワーク」を公開しました。

取引が行われている外国の当事者が経済的および貿易的制裁の対象となるかどうかをチェックする手段を含む合理的なコンプライアンスプログラム(または「エンゲージメントルール」)を実施することは、刑事責任を回避する賢明な方法ですし、IEEPAおよび民事責任の可能性も軽減する可能性があります。 OFACは、米国の対象となる特別指定国民およびブロックされた人物を特定するのに役立つツールも提供します。

一般の方は、OFAC Hotlineフリーダイヤル1(800)540-6322またはローカル(202)622-2490に電話するか、ofac_feedback @ treasury.govに電子メールを送信して、OFACに直接連絡できます。

さらに、特定のライセンスのリクエストは、OFACのWebサイトwww.treasury.gov/ofacからオンラインで送信できます。保留中のライセンスリクエストに関するお問い合わせは、(202)622-2480。

 

脅威インテリジェンスサービスの利用とコンプライアンス(2)

脅威インテリジェンスサービスの利用とコンプライアンス(1)からの続きになります

3 サイバー脅威インテリジェンス収集 は、CsU(司法省サイバーセキュリティユニット)のサイバー脅威インテリジェンスに対する認識から始まります。

CsUは、積極的な防御(アクティブディフェンス)について産業界へのアウトリーチ中に学んだように、多くのサイバーセキュリティ組織は、サイバー脅威の収集をサイバーセキュリティ活動の中で最も実り多いものとなる知性とかんがえています。

サイバー脅威インテリジェンスを収集する組織は、場合によっては複数のソースからそれを収集します。その中には、オンラインフォーラムやその他の通信チャネルが含まれ、そこでは、違法行為が計画され、違法行為のためにマルウェアが販売され、盗難データが販売されています。これらのソースから収集された情報は、過去、現在、または将来のサイバー攻撃または侵入に関するサイバー脅威インテリジェンスおよびネットワーク防御情報の豊富なソースになります。具体的には、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、および手順、および攻撃および侵入に関与する個人のエイリアスとアイデンティティなどがあります。

このような認識を前提に、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)、B シナリオ 2(犯罪者フォーラムにおいて質問をなす)、C シナリオ 3 (フォーラムにおいて他人と情報を交換する)について検討しています。

具体的には、A シナリオ1 (サイバー脅威インテリジェンスを収集するフォーラムへの「潜入」)においては、フォーラムの投稿を読むのみである場合、また、仮名を作成して、なりすまして、情報を交換することも、それ自体としては、連邦刑法に違反することはありません。

B シナリオ 2(犯罪者フォーラムにおいて質問をなす)については、

実務家が違法行為に関する情報を求めるフォーラムに問い合わせを投稿することにより、より積極的に情報を収集することを決定した場合、実務家の行動は犯罪捜査の対象になるリスクを高めます。

とされています。

コンピューター犯罪の勧誘または勧誘は、実務家を刑事責任にさらす可能性があります。実務家がフォーラムで得られた情報を使用して連邦刑事違反を犯すつもりがない場合、フォーラムで質問をしたり、アドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は、犯罪行為が行われているフォーラムや、犯罪行為に関する質問をしたり、犯罪行為に関する助言を求めることが犯罪が発生している可能性のあるフォーラムを調査しています。その結果、犯罪行為の議論に関係していると思われるフォーラムでの実務者の照会および他者とのやり取りが、実務者をフォーラムまたはそのメンバーの犯​​罪捜査に巻き込む可能性があります。

でもって、このような場合に、リスクが高いですよ、注意しましょうねで終わらないのが、アメリカのガイダンスの好きなところです。ガイダンスによると、

たとえば、サイバー脅威インテリジェンスの収集を実行するための運用計画を文書化し、オンライン活動と情報の収集および使用方法の記録を保持できます。犯罪捜査の場合、そのような記録は、彼らの行為が正当なサイバーセキュリティ活動であったことを立証するのに役立ち、従事する不正な従業員が、違法行為の行動をおこなったように見えるのとは対照的に、法執行機関が、会社の正当なサイバーセキュリティ操作を促進するために実行者の行動が実行されたと判断するのに役立ちます。

また、

また、組織は、フォーラム(およびその他の場所)で従業員および請負業者の活動を指導するために、責任ある弁護士と精査をなしたポリシーとプロトコルを確立する必要があります。

「エンゲージメントルール」または「コンプライアンスプログラム」を吟味することで、従業員が誤ってまたは意図せずに組織とその従業員を法的な危険にさらしたり、セキュリティを危険にさらすことを防ぐことができます。

これらのインテリジェンス収集活動に従事する前に、地元のFBI現地事務所またはサイバータスクフォースおよび現地の米国シークレットサービス現地事務所または電子犯罪タスクフォースとの継続的な関係を構築することにより、法執行機関に通知することも有益です。

法執行機関との早期の関与は、実務家の活動が、進行中または予想されることを意図せずに妨げないことを保証するのにも役立ちます。

法執行機関による調査。連絡先情報は、このドキュメントの最後に記載されています。

と記載されています。

会社での「サイバー犯罪に対する法執行のシステム的対応」というエントリでも触れたのですが、グレイゾーンでの活動を一線を超えないように、その線をはっきりとさせるためにシステムとして対応するというのがここにも出ています。その一方で、情報セキュリティに関する会社は、ちゃんとリーガルカウンセル(責任ある弁護士と訳しておきました)にお金を払って、エンゲージメントルールを完備するということが必要かと思います。

 ということでお仕事お待ちしています。

C シナリオ 3 (フォーラムにおいて他人と情報を交換する)

実務家がフォーラムのアクティブなメンバーになり、情報を交換し、他のフォーラムメンバーと直接通信すると、プラクティショナーは注意しないとすぐに違法行為に巻き込まれる可能性があります。覆面実務家は、実務家の「ペルソナ」を信頼することを学んだフォーラムの情報源から情報を抽出する方が簡単かもしれませんが、信頼を築き、仲間の犯罪者として善意を確立するには、犯罪を犯すのに、有用な情報、サービス、または使用可能なツールを提供する必要があるかもしうれません。このような活動に従事すると、連邦刑法に違反する可能性があります。

とされています。そして、

通常、犯罪が発生したかどうかは、個人の行動と意図にかかっています。実務家は、フォーラムで他人の犯罪目的を助長するような行為を避ける必要があります。実務家は犯罪を犯すつもりはないが、犯罪行為に従事している他の人を支援することは、連邦政府の教唆と幇助の犯罪となる可能性がある。それ自体で合法的な行為でさえ-犯罪を助長するものであり、犯罪の委任を促進する意図で行わる積極的行為をなした場合は、それ自体、連邦犯罪の教唆または幇助の責任を問われうる

とされています。また、共謀罪にも注意しなければならないとされています。

要するに、セキュリティ実務者は、犯罪の委員会で他の人を支援したり、犯罪が発生することに同意するような行動をとらないように注意する必要があります。この種の情報収集活動に従事する実務者は、犯罪行為を促進するために存在するオンラインサイトの文脈で、また犯罪を犯そうとしている個人とのコミュニケーションと行動が発生していることに留意する必要があります。実務家は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供することは避けてください。

実務家が連邦刑事捜査の標的になった場合、捜査官はおそらく、外因的および状況的証拠を使用して意図を決定しようとするでしょう。したがって、上記で提案したように、実務者とその雇用者は、フォーラムでの実務者の行動と実務者の活動に対する合法的なビジネス目的を記録した記録を維持し、合法的な動機を確立し、違法な活動を避けるための措置を講じる必要があります。

とされています。

 

 

 

脅威インテリジェンスサービスの利用とコンプライアンス(1)

私の情報セキュリティ上の法律相談で一番難問の一つに「ダーク市場で、会社のデータが流通しているようだが、それに金員を支払って購入していいのか」というものがあります。

この問題について検討した書類が、米国の司法省のサイバーセキュリティユニットから公表されています。

タイトルは、「オンラインサイバー脅威インテリジェンスを収集し、不法な情報源からデータを購入する際の法的考慮事項(Legal Considerations when Gathering Online Cyber Threat intelligence and Purchasing Data from Illicit Sources)」です。

この書類は、一種のガイダンスということになるかと思います。なので、脅威インテリ等ガイダンスとでもいえるかもしれません。

このガイダンスは、1 序 2 シナリオの前提 3 サイバー脅威インテリジェンス収集 4サイバーセキュリティを目的とした盗難データと脆弱性の購入 5 結論 からなりたっています。

1 序においては、このガイダンスが、司法省のサイバーセキュリティユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織が提起した質問に応えて、この文書を作成したこと、その一方で、このガイダンスの事実関係については、小さな変更が法的変更をもたらすことがあるために、責任ある弁護士(リーガルカウンセル)と相談の上、このガイダンスを利用することが推奨されることが触れられています。

2 シナリオの前提においては、このガイダンスが、情報(つまり、サイバー脅威インテリジェンス、盗難データ、セキュリティ脆弱性、マルウェア)を取得する情報セキュリティ実務者対象としていること、ダークネットにおけるフォーラムにおいて上記の情報が取得されること、このフォーラムへのアクセス手法も問題とされることがありうることなどが議論されています。

次のエントリでは、3 以下について検討することにします。

 

 

自己主権アイデンティティとケンブリッジアナリティカ事件

前のエントリで紹介したスライドは、もともとは、山崎重一郎先生の「自己主権アイデンティティ」というスライドに対応して、ケンブリッジアナリティカ事件を法的な見地からみてみましょう、というものでした。

ここで、「自己主権アイデンティティ」という用語がでてきます。概念としては、「自己主権型アイデンティティとは何か~ブロックチェーンがもたらす新たな可能性」によると、「特定の中央集権的な管理者を置くことなく各分散ノード(≒ユーザー)自身が各種データの管理を行うことができるということ」を意味するのだそうです。

この概念のモデルとしては、自己が中心となって、情報をコントロールできるということになるそうで、ブロックチェーンを利用しての属性証明などが応用例とされているようです。

用語としては、「主権」というのは、誤解を招きかねないなあ、というのが一番の懸念ですね。主権というのは、通常では、ほかからの独立と、非拘束を意味するとされるわけです。パルマス島事件では、「国家主権とは、国家間における独立を意味するものである。地球の部分における、それらを行使して、他国やその機能を排除する権能を意味する」とされているわけです。

ユーザにリンクされうるデータは、いろいろいな主体によって取り扱われるわけで、そのデータに対して主権を有するといわれても、取り扱う主体は、困ってしまいます。しかも、そのデータというのは、ユーザの人格中心に直結するものから、おサイフとしてのデータ(例、たとえば、価格にきわめて敏感であるとか)までいろいろいな種類があります。(こんなエントリを書いたこともあります。あと、IPAの調査報告書は、こちら)それらに主権があるというのは、本人たちは、イケてると思っているのかもしれませんが、逆に、大雑把な分析になるような気がします。

確かに、特定の分野で、あたかも主権を有しているような取扱を、技術をもって、おこなうことができるというような外観を可能にする、というのは事実だと思います。それを自己主権型アイデンティティというのは可能だと思います。

が、大きな流れであるとか、今後の方向性であるとかいうのは、注意すべきものであろうと考えています。言葉としては、スローガンにすぎないように思えています。

あと、山崎先生は、そこで、ケンブリッジアナリティカ事件を警鐘として、紹介するわけです。「高精度の心理誘導」を可能にするツールが、現代社会では発展しているということになります。発表では理解しにくかったのですが、多分、自己アイデンティティとして「主権」たりうるべき、最大のものである(政治的な)意思決定が簡単に第三者から誘導されますよという警鐘として紹介されたのかと思います。

ケンブリッジアナリティカ事件を、心理誘導ツールの発展をわかりやすくみせてくれた事件として把握するというのは、私としては大賛成ということになります。ただし、法的な話としては、そもそも、そのような「独立した」自我とでもいうべきものは、フィクションだったのではないの、とか、そのフィクションを前提に、どこまで、そのようなツールの利用は許されるのか、という論点の展開になるのかなあというのが、研究会での私の感想でした。

リモートで研究会をしましたけど、意外にできたなあ、という感想です。その地方のおいしいものをいただくというのが困難ですが、まあ、このようなご時世なので、それは、終息後のお楽しみにというにとにしておきましょう。

ケンブリッジアナリティカ事件のスライド

金曜日に近畿大学の山崎重一郎先生の「福岡ブロックチェーンエコノミー勉強会(SSI)」で、テレ勉強会にて、オンライン参加して、報告した私の資料を、Slideshareにあげてあります。

題して、「ケンブリッジアナリティカ事件とは何か?」です。

このスライドは、英国・情報コミッショナー報告書(Investigation into the use of data analytics in political campaigns A report to Parliament 6 November 2018)の要点をまとめたものになります。

いろいろな見方がありますが、法的な問題としては、データ保護の問題です、と捕らえることが一般になります。表面的には、同意の限界ということになります。Facebookのゲームで収集されるデータが友人のものまで含むということは、ほとんど現実には意識されていなかったということすね。

ただ、いろいろなとらえ方ができて、むしろ、このインパクトは、政治的な活動に利用することができて、あたかも、人の心を自由自在に操ることができる技術だ、ということにあるのではないか、という感じがします。

そして、この事件を契機にして、フェークニュースをもとに、政治的な意思決定を操ることは許されるのか、とか、外国の政府が、このような技術をもとに外国の政治的な意思決定を左右することは許されるのか、ということが議論されるようになっている、というのが私の認識です。そして、この問題意識こそが、現代社会で、重要性をもつものとなっていると考えています。

なので、この事件を、わが国の、「個人情報と同意」の問題だけで把握すると、インパクトを正確に理解できないのではないか、というのが私の認識になります。

 

Alert:Telecommunication Business Law amendment in Japan and Foreign Legal Persons

This is English version of my blog entry.

“A bill to partially amend the Telecommunications Business Law and Nippon Telegraph and Telephone Corporation Law” has been published. Link(Japanese) is here.

This bill is aiming to ensure the enforcement of telecommunication business law against foreign telecommunication provider such as Google .

According to the press, “Cabinet Decided Extra-Territorial  Application of Secrecy of Telecommunications “( in Japanese)

I discussed in detail in my blog titled  “Read the report of the Ministry of Internal Affairs and Communications Experts’ Meeting, which try to apply the”secrecy  communication clause to foreign capital company.”

Let’s take a look at the overview.

It states, “There is a limit to the enforcement of the Telecommunications Business Law against foreign corporations, etc.”  and “Not enough protection to subscribers in Japan””Not equal competition conditions between domestic and foreign providers.”

And the figure in the overview,

 

 

 

 

 

This figure shows that “service provision in Japan” can be the connection point of domestic law of legislative jurisdiction and the Telecommunications Business Law of Japan can be  applied as long as connecting point exists in Japan.

Even a foreign corporation (definition is described below)  is obliged to register and submit as telecommunication business provider as long as it provides telecommunication business service toward service subscriber in Japan. That is the principle of the Telecommunications Business Law in Japan. This is, as mentioned in the blog above, the same as the logic of Article 63-22 of the Financial Payment Services Act.

In short,it is obvious that legislative jurisdiction extends to foreign corporations.Strictly speaking ,from international law concerns,the enforcement is another issue. That is the reason why the outline of the amendment slide slides emphasized that “to ensure the enforcement of the Telecommunications Business Law against foreign corporations, etc. ”

So if you’re a lawyer, you shouldn’t use the phrase “extraterritorial application” to “foreign corporations” contrary to the press saying.

Next,make  analysis based on articles of the bill.

First, in the context of Article 2 of the Revised Act, a foreign corporation is defined as “a foreign corporation , organization or  an individual with an address in a foreign country.”

Article 9 of the Business Law states

A person that intends to operate a telecommunications business must obtain a registration from the Minister for Internal Affairs and Communications; provided, however, that this does not apply to the following cases:

and Article 10 sets out that

(1) A person that intends to obtain a registration as set forth in the preceding Article must, pursuant to the provisions of Order of the Ministry of Internal Affairs and Communications, file a written application describing the following particulars with the Minister for Internal Affairs and Communications:

and amendment bill add article 10-2 in the following

10-2 In the case of foreign legal persons etc.(omit) , the name and adress of its representative in Japan  ;

In short, as long as service provider provides  substantial telecommunications business services to subscribers in Japan substantially,such provider owes an obligation to register as telecommunications business services.

The next issue is whether  search service and the e-mail service is regarded as “substantial telecommunications business service” or not.

I mentioned in the blog above in detail.

This amendment seem to acknowledge following issues in the followings.

1)Effect of failure of registry of foreign legal persons

2)engorcement jurisdiction issues

3) interpretation of  substantial ” telecommunications business”

and so on.

I would like to analyse these iuues further. Research funds may be necessary. Please contact via contact form.

 

外国法人に対する電気通信事業法改正案

「電気通信事業法及び日本電信電話株式会社等に関する法律の一部を改正する法律案」が公表されています。リンクは、こちら。

報道としては、「通信の秘密、域外適用 法案を閣議決定です。

外国法人に対しての電気通信事業法の改正について検討した私のブログは、「「通信の秘密」外資にも適用の総務省有識者会議の報告書を読む」になります。

概要を見ていきましょう。

そこでは、「外国法人等に対する電気通信事業法の執行には限界があり」とか「外国法人等に対する規律の実効性を強化するため」と記載されていますね。

あと、その下の図ですが、

 

 

 

 

これは、「日本国内へのサービス提供」という連結点がキモになって、電気通信事業法が適用されますよ、ということをいっているように読めるかと思います。

外国法人(定義としては、外国の法人及び団体並びに外国に住所を有する個人をいうとされています)であっても、実質的な電気通信事業者であれば、登録・届出の義務があるよ、というのが、電気通信事業法の認識であるということになります。この点は、上のブログで触れたように、資金決済法63条の22の理屈と同じということになります。

要は、立法管轄権は、外国法人についても及んでいるんだけど、「執行ができないんだよね」ということをいいたいのが、概要のキモなのかなとか思っています。なので、法律家であれば、「外国法人」に対しても「適用」されるようになった、という表現は、しないようにしましょうね、ということです。

でもって、条文です。

まずは、改正法2条関係で、「外国の法人及び団体並びに外国に住所を有する個人をいう」と外国法人等の定義がなされています。

事業法9条で「電気通信事業を営もうとする者は、総務大臣の登録を受けなければならない。」とされていて、10条で「前条の登録を受けようとする者は、総務省令で定めるところにより、次の事項を記載した申請書を総務大臣に提出しなければならない」とされています。

今回の改正は、この10条2号について

外国法人等(外国の法人及び団体並びに外国に住所を有する個人をいう。以下この章及び第百十八条第四号において同じ。)にあつては、国内における代表者又は国内における代理人の氏名又は名称及び国内の住所

として、外国法人の登録義務を明確にしようというものになります。

要は、登録義務があって、それを懈怠して、わが国の利用者に対して、実質的な電気通信事業サービス(私としては、業として、電気通信役務を他人の需要に応ずる役務を提供することをいうと定義しています)を行うことは許されませんよ、ということになるかと思います。

でもって、検索サービスや電子メールサービスは、この「実質的な電気通信事業サービス」なのかという論点になるのだろうと思います。Gメールは、該当するんじゃないのということは、上のブログで触れておきました。

ところで、メディアなどで、普通にいっている「通信の秘密」は、電気通信事業法4条の(秘密の保護)

「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。

2 電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする。」

になるわけです。

今回、この部分の改正はありません。ところで、1項についていえば、「電気通信事業者の取扱中に係る通信の秘密」なので、外国法人が、上の登録をしていない場合には、この「通信の秘密」の規定の適用の方策がないですね。

というのは、「電気通信事業者 電気通信事業を営むことについて、第九条の登録を受けた者及び第十六条第一項の規定による届出をした者をいう。」(同法2条5号)となるので、登録を受けてなければ適用がなしえないからです。

では、2項は、どうなの、ということになって、これは、1項と2項の関係について、どう考えるのか、ということによるかと思います。高橋説は、1項と2項をわけて考えています。

そのような立場だと我が国の電気通信事業法が日本市場の利用者に密接な関連を有する外国法人に対しても適用しうるということになるので、2項は、登録していない外国法人に対して、他人の秘密を守るべき義務の根拠法制としうるということになりそうです。ここら辺はよくわからないところですね。

基本的には、消費者行政課が、インターネット時代の電気通信事業法の逐条解説をだして、立法管轄権について、どう考えるのか、事業法4条1項2項の解釈をどうするのかとか、明らかになると、もうすこし分かりやすくなるのでしょうね。(混乱が増えるだけかもしれませんが)