(4)マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起です。

ここで問題となっているのは、
「近年、IPアドレスを広範にスキャンしてパスワード設定の不備等の脆弱性を有する端末を即座に感染させるマルウェアも出てきており、インターネットに接続されるカメラやセンサーなどの機器が爆発的に増加」している
という認識を前提にして、

信頼できる第三者機関からの情報提供を受けること

により

ISPが脆弱性を有する端末を認識した場合において、当該端末のIPアドレス及びタイムスタンプと当該IPアドレスの割当て状況を確認して当該端末の利用者を割り出し

電子メールの送付等の方法で個別に注意喚起を図ることが考えられる

という手法です(同8頁)。

この問題について、結局、契約約款等に基づく事前の包括同意であっても、当該注意喚起を行うための通信の秘密に属する事項の利用等について有効な同意があるといえるものと考えられる、としています。また、正当業務行為として許容されるものとされています。

私の立場からするときに、第三者機関からの情報提供をうけることが積極的な取得に該当するのか、という問題についていえば、これ自体が、伝達に必要な取得ということではないので、積極的な取得行為ということになるのかと思います。その意味では、とりまとめと同様の理によって違法性がないという形で整理されることになります。

このとりまとめをみていくときに、もともとの「通信の秘密」が肥大化しているために、正当業務行為の法理にかなりの部分を頼らなくてはならなくなっている、ということができるかと思います。その意味で、正当業務行為自体も肥大化しているわけです。いま一つ、特に取得行為レベルの正当化が考えられているために、注意喚起なのか、遮断なのか、という終局的な行為への注目が弱まっているということもいえるかと思います。

結果としては、正当な結論が導かれており、ISPや総務省の担当課の努力は、甚大なものがあると認識されるわけですが、もともとの枠組がもたらしているセキュリティ維持行為に対する萎縮の効果というのは、否定できないだろうという感を強くします。

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」のうち、このエントリの(1)では、マルウェアに感染している可能性が高い端末の利用者に対する注意喚起についてについてみました。

このエントリでは、

（２） マルウェアに感染している可能性が高い端末の検知
（３） C&C サーバである可能性が高い機器の検知
についてみていきます。

（２） マルウェアに感染している可能性が高い端末の検知
これは、手法としては

• C&Cサーバに関する情報等に基づいてC&Cサーバである可能性が高い機器を把握した上
• DNSサーバ又はルータ等（以下「DNSサーバ等」という。）において、C&Cサーバである可能性が高い機器のFQDN又はIPアドレス、ポート番号及びタイムスタンプと、DNSサーバ等において把握される通信のFQDN又はIPアドレス、ポート番号及びタイムスタンプとを照合する
• C&Cサーバである可能性が高い機器と通信している端末を割り出し、当該端末に係るIPアドレス、ポート番号及びタイムスタンプを記録
• IPアドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出す

という手法が紹介されています(6頁)。

分かりやすくいえば、ダークなサーバを自らの調査や情報提供機関から得た情報でもって、チェックして、ダークとしてマーク、そして、そのサーバと通信している端末を確認、その端末利用者を割り出す、ということです。

割り出してどうするか、問えば、「利用者の通信を識別してC&Cサーバである可能性が高い機器と通信している端末を把握し、当該端末を注意喚起の対象とすることが考えられる」ということになります。

とりまとめでは、16頁以降において、「原則として個別具体的かつ明確な同意を取得することが必要となる」として、その例外である「契約約款等による包括同意を行った当時において予測し得なかった事情が生じた場合についても、随時、利用者が同意内容を変更することができるといえることから、将来、利用者が不測の不利益を被る危険を回避できる」から、包括的同意として、これらの行為が行えるとしています。

また、16頁以下では、緊急避難または、正当防衛としては、整理されることはないとし、また、自主的な取り組みだから、法令に基づく行為には該当しないこと、また、「役務提供に支障が生じるおそれがあるか否かが不明確な段階で、利用者全体を対象として行う取組であるから、行為の必要性、手段の相当性が肯定し難」いとして正当業務行為として整理することは困難としています。

通信データでもって、他の利用者に迷惑を受けている相当の嫌疑があることを判断しているにすぎないわけですし、そして、利用者にあなたの端末が、ネットワーク秩序を乱しているかもしれませんよ、注意してね、という注意喚起をしていることになるわけで、はたして、とりまとめのような整理が妥当なのか、というのは、きわめて疑問に思います。

セキュリティ目的のために、通常のネットワーク管理のためになす通信データの取得の行為は、「積極的な取得」という概念に該当しないといえば、いいような気がします。また、そして、利用者において、ネットワーク秩序違反についての相当な嫌疑があるのであれば、それについて、その通信データを利用して、利用者への周知をすることは、「窃用」(自己または他人の利益のために利用すること)とはいえないように思えます。

そもそも、プロバイダのようなインターネット媒介者の役割を正当なものとして、それを認めて、場合によっては、支援していくべきと認識することが必要かと思います。それこそ、利用者は、そのような行為を支持すると思われます。インターネット媒介者の行為を、基本的に、「通信の秘密」侵害として、正当化事由を、それこそ、総務省担当課が認めた場合でないとできませんよ、というのは、現代社会において健全なインターネットに対してプロバイダがはたすべき役割を過少評価しているように思えます。

（３） C&C サーバである可能性が高い機器の検知

これは、具体的には、

• マルウェアに感染している可能性が高い端末の通信を割り出し、当該通信の相手方のFQDN又はIPアドレス、ポート番号及びタイムスタンプを記録
• 記録を対象として、マルウェアに感染している可能性が高い端末が集中的にアクセスしているかといった相関関係の分析等を行う
• C&Cサーバの可能性が高い機器を割出
• 当該機器宛ての通信を遮断する方法

いった手法が紹介されています(同7頁)。

C&Cサーバのテイクダウンといわれる手法の一つということになります。

この手法について、とりまとめでは、有効な同意があるといえると整理し、その一方で、違法性阻却事由があると整理するのは、困難であるとしています。

私の立場からはどうなるのか、ということになると、(2)と、比較すると、最後の「当該機器宛ての通信を遮断する」という点での違いが発生することに気がつきます。

積極的な取得に該当しないとしても、このような場合が、「窃用」に該当しないのか、というのは、利用者への連絡というのではなく、通信の遮断という点から検討されるべきことになります。

「利用する」といっても、通信データをもとに、契約条項にもとづいて、通信を遮断するということになるのでしょうから、そのような遮断が許されるのか、厳密に評価されることになるのかと思います。(注意喚起とは、レベルが違う用に思えます)

この場合は、まさに、プロバイダの行為規範が準備されて、それに基づいて遮断がなされるのか、ということになるのだろうと思います。そのような行為規範に基づいた場合が、「窃用」であり、行為規範について一顧だにせずになした場合には、通信の秘密に対する侵害という整理がなされてしかるべきなのであろうと考えます。

「（４） マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起」については、次のエントリで。

 

 

「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会第三次取りまとめ」（案）が公表されています。

このとりまとめは「電気通信事業者が通信の秘密等に配慮した適切な対応を行うことが可能となるよう、ワーキンググループを設けて技術的・制度的な観点から議論を行った上で、電気通信事業者がより能動的にサイバー攻撃に対処できるような取組の実施に向けて条件や留意点等を整理した。」というものです。

さかのぼれば、14年前に「通信の秘密」の憲法の意味についての調査をなして、インターネットウィーク2005で、議論の重要性を説いたことからみると「通信の秘密」のもつ意味に対して社会の注目やら総務省の留意等は、まるっきり別物というべきくらいに変化してきました。

「大量通信等ガイドライン」(2007)から、「サイバー攻撃ガイドライン」への進化(2011)をへて、そのベースとなっている研究会のとりまとめも第三次にいたっています。

このとりまとめは、第1章 最近のサイバー攻撃に係る課題と対策例 と第2章 具体的な検討 第3章 おわりに、という構成になっています。

第1章 最近のサイバー攻撃に係る課題と対策例 においては、

（１） マルウェアに感染している可能性が高い端末の利用者に対する注意喚起
（２） マルウェアに感染している可能性が高い端末の検知
（３） C&C サーバである可能性が高い機器の検知
（４） マルウェアに感染し得る脆弱性を有する端末の利用者に対する注意喚起

について、それぞれの他の手法との経緯、伝統的な通信の秘密の解釈との衝突点などが紹介されています。
そして、第2章具体的検討 第2節以下 において、それぞれの行為について違法性阻却事由が検討されています。

なお、同章 第1節 通信の秘密の利用等に関する違法性阻却事由等について では、お約束の伝統的な立場(といっても、単に昭和62年以降である点について誰もふれないのですが)からの一般抽象論がふれられています。抽象論としては、同意、正当業務行為、正当防衛・緊急避難なわけです。

なお、ここで、「伝統的な立場」といっていますが、実は、有効な同意論で、事前の同意でもいい場合があるというのは、結構新しかったりします。この有効な同意のためには、個別具体的な同意でなければならないというのがきちんとうちだされたのは、「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」(いわゆるライフログ研究会)第二次提言なので、2010年5月のことなわけです。(DPIをめぐるぐだぐたは、さておくとしましょう)。

もっとも、よく考えたら、私は、批判ばっかりで、どうも野党的な感じのスタンスになっちゃっているので、きちんと解釈論をたてないとなあ、ということも思ったりします。

「積極的な取得」や「漏えい」「自己または他人の利益のため」の解釈でもって、個別具体的な妥当性を考えるという立場なのですが、論文にまとめていないので、ごめんなさいとしかいいようがないです。通信の秘密の論考をまとめてキンドル出版するときにでも、まとめましょう。来年の夏の課題でしょうか。(今年の夏の課題は、日本初のアマゾンの法律スキルだったのですが、クリアして気持ちが大きくなっているとしかいいようがないです)

ということで、具体的に、個別の部分をみていきましょう。

まずは、(1) マルウェアに感染している可能性が高い端末の利用者に対する注意喚起 になります。

一次とりまとめ(2014)では、「攻撃者が用意した C&C サーバに記録されたマルウェア感染端末の IP アドレスとタイムスタンプの情報等に基づいて、マルウェア感染端末の利用者に注意喚起を行うことについて整理がなされ」たとされています。

このブログでも、ボットネット対策のエントリで、テイクダウンについてふれたことがあります。たとえば、ドイツのテイクダウンについては、「対ボットネットの法律問題の総合的考察　その4－法執行機関の積極的行為」や「同 その7 -ドイツにおけるハニーポットとC＆Cサーバのテイクダウンの合法性」でふれています。

学問的には、テイクダウンという用語は、DNS名称の消去、宛先トラフィックのブラックホールへの移動による利用停止、物理的差押、　ISP等のプロバイダによる接続停止を含む多様な用語になります。

でもって、一次とりまとめをみると、「ISP と連携したセキュリティ事業者や捜査機関等が C&C サーバ等をテイクダウン」する事例もでてきている、として論じられています。そこでは、テイクダウンの説明について「C&C サーバやボットネットの機能を停止させる行為を指す。」とされています(9頁)。失効後のドメインを合法的に買い取ってしまえば、通信の状況とかは見えるのですけど、この場合については、発信者と受信者の間のC&Cサーバの通信ログになりますね。セキュリティ事業者がISPや警察と連携して、失効後のドメインの買い取りをして、このような履歴を分析して、ボットになっているユーザに注意喚起ということになるわけで、一次とりまとめとしては、緊急避難として、整理されています。個人的には、この場合においては、行為としては、セキュリティ事業者としては、自らのサーバとして運営するので、その端末における他人の秘密の取得ということになります。でもって、自らの端末なので、電気通信事業者の取扱中の通信にかかるのか？というが問題になると思います。実は、一次とりまとめも「テイクダウン」という言葉の影で、見逃していたことがあったような気もします。

それは、さておき、三次とりまとめです。「マルウェアに感染している可能性が高い端末が把握できた時点における対策の実施」について検討する必要があるとしています。

そして、

「信頼できる第三者機関からの情報提供を受けること、自ら調査を行うこと等により、ISP がマルウェアに感染している可能性が高い端末を認識した場合」において、

「当該端末による通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況を確認して当該端末の利用者を割り出し、電子メールの送付等の方法で個別に注意喚起を行う方法が考えられる」としています。

「信頼できる第三者機関からの情報提供を受けること」は、多分、NICT法のことをいっているのだよね、(ITリサーチ・アートのエントリね) という感じでしょうか。

この注意喚起の方法については、上記の「通信の送信元 IP アドレス、ポート番号及びタイムスタンプと当該 IP アドレス及びポート番号の割当て状況」については、通信の秘密として保護されるので、どのような場合であれば、許容されるのか、を検討する必要があるとしています(5頁)。

でもって、この場合は、契約約款等によるであって有効な同意といえる、また、正当業務行為ということがいえると整理されています(15頁)。

実質論としては、ミライボットネットの事件でも問題になったように、特定のIoT機器がボット化するわけで、それは、ネットワーク管理をしていれば、客観的にデータとして取得できる(積極的に取得するわけではない)ということがいえると思います。それを教えてあげるのに、法的なお墨付きが必要(違法性阻却事由に該当することをわざわざ明らかにしないといけない)というのは、どうも、根本的な枠組が、ずれているような感じがします。

(理論的には、信頼しうる主体が、安全のために行為を行うのは、消費者からすると効用と理解されるので、ISPという主体に負担をかけるのは、社会厚生からいって妥当ではありません-って、誰が、この意味理解できるのかな)

なお、契約約款等による同意ですが、伝統的には、通信両当事者の同意でなければならなかったはずなのですが、ここ何年かは、この解釈論は、どこかに消えている(今度、調べておきます)ので、それは、OKになっているかと思います。

個人的には、通信データ部分なので、「他人の秘密」の利用ということになるかと思います。この場合、ISPは、「他人の秘密」を託されるのは、当然のことなので、それを利用するのは、「自己または他人の利益」のためでなければ、許されると介しています。そして、具体的には、情報セキュリティ行為規範とかを消費者行政課が全面的に作成して、それに基づいている限りは、ISPは、情報セキュリティ的な活動をなしうる、解釈論としては、「窃用」には、該当しないとしたほうがスマートだよね、と思っています。

(2)以下は、次のエントリで。

無法協での勉強会でのお話を電波法からみる「通信の秘密」としてまとめてみました。（１）　（２）、（３）、（４）です。

そして、「通信の秘密」を通信データ部分と内容にわけて考えるべきではないかという観点から、ｅ証拠規則・指令も検討しました。（通信のデータについてのクラスわけ（１）（２）（３）（４）（５）　（６））

実際の勉強会では、このあとに、著作権に基づくブロッキングと比較法的な検討も紹介しました。

この件については、スライド、会社の報告書がありますので、再度ふれることは省略します。

このような基礎的な調査も基づいていくと

「通信の秘密」に該当するとされるデータについて「内容」に関する事実と「存在」に関する事実をわけて、その保護のレベルに、差異を認めるべきではないか

ということがいえるわけです。

保護のレベルに差異というのは、

• 「存在」に関する事実については、社会的に許容される手法による場合には、それ自体が「積極的な」取得とは解されない
• 他の基本権との衝突時においては、「存在」に基づいて、合理的な規制をなすことが許容されるのではないか

ということです。

それと、

• 許容されたルールに基づく機械的な処理については、「自己または他人の利益のために」という要件を満たさないといえないか。

とか、

• 一般的な探知禁止と「具体的な悪意」の告知時は別なのではないか、

という理論を組み合わせていくと、現代社会においてインターネット媒介者の合理的な役割を果たすべき枠組を構築することができるのではないか、ということが考えられるのです。

研究会でも、いろいろなご指摘をいただきました。

• 電気通信事業法の解釈については、確立した解釈なので、動かすのは、なかなか厳しいのではないか。
• 憲法が出てくるのは、法律を制定するときであって、政府による「義務づけ」をするときには、「知る権利」との関係があろう。
• 司法によるブロッキングが有効なのは、プロバイダの市場構成（欧州では、寡占化が進んでいる）に大きくよるのではないか。
• 　諸外国では、「通信の秘密」の問題とは解されていない。逆に、表現の自由との関係ではないか。
• 結局は、プロバイダを導管とみるのか、もうすこし、社会のなかで役割を果たすべきものとみるのか、費用負担もフランスでも、プロバイダに費用負担させてもかまわないという判断がなされている。
• 周波数帳は、どうなるのだろうか、とか、でれでも聞ける無線通信というのの秘密というのは、なんなのだろうか、という議論もなされました。
• 通信の結果の公表は、どうなのだろうか、（片側当事者の同意でいくのだろうか）というのも面白い論点でした。

などの意見をいただきました。私にとっても、非常に勉強になりました。意見をいただきました先生方、勉強会の場を設定いただいた無法協には、本当にありがとうございます。

 

e証拠規則については、特に、国境をまたぐ警察権の行使とかの問題もでてきて、非常に重要な問題を提起していたわけですが、e証拠指令についてもみてみましょう。

e証拠指令は、「刑事手続において証拠を収集するための法的代表者の指名に関する調和されたルールに関する欧州議会および委員会の指令」(DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down harmonised rules on the appointment of legal representatives for the purpose of gathering evidence in criminal proceedings)ということになります。原文は、こちらです。

構成は、
前文
1条 対象および範囲
2条 定義
3条 法的代表者
4条 通知および言語
5条 制裁
6条 調整メカニズム
7条 移行
8条 評価
9条 施行
10条 名宛人
となっています。

この指令は、題名のとおり、刑事訴訟において管轄国の当局による証拠収集を目的とする決定を受領し、遵守し、執行するための法的代表者を指定することを加盟国に義務付けています。

この指令の趣旨を要約すると、

現在、サービスプロバイダーに課された義務、特に刑事訴訟では、加盟国間でさまざまなアプローチがあります。特定のサービスプロバイダは、犯罪犯罪の調査と遂行に関連する情報を格納しているため、特に、電子的な証拠に断片化が出現しています。この断片化は関係者に法的な不確実性をもたらし、サービス提供者を国家間、国境を越えて、または連邦外から提供するかどうかによって、サービス提供者を異なる、時には相反する義務および制裁制度に置きうることになってている。

という事実認識のもと、

この指令は、連合において、サービス提供の自由の障害を軽減するために、刑事訴訟において管轄国の当局による証拠収集を目的とする決定を受領し、遵守し、執行するための法的代表者を指定することを義務付けている。障害を減少することによって、自由、安全、正義という共通の領域が発展するのと、一貫性のある方法で、内部市場がより良い機能を果たすことを確保することができる。

ということになっています。

2条の定義では、「法的代表者」「サービスプロバイダ」「加盟国におけるサービスの提供」「企業」「グループ」が定義されています。

3条では、刑事手続における証拠収集のために、権限ある当局からの決定・命令を受領し、遵守し、執行する法的代表者を選任することを加盟国は、確かにすると定めています。これは、加盟国内において設立されていないプロバイダであっても、欧州連合でサービスを提供している場合には、同様であるとされています。

あとの規定については、省略します。

加盟国は、欧州提出命令・欧州保全命令およびそれらに関する守秘義務を実効的にするために違反に対する金銭的制裁を課することができます(13条)。

また、受領者が、期限内に欧州提出命令認定書を遵守していない場合または欧州保全命令認定書を遵守しない場合においては、発行機関は、認定書 付きの欧州提出命令/認定書付きの欧州保全命令などを実施国の管轄機関に移管して、執行することになります(14条)。

４章　救済の規定は、非常に興味深い論点を扱います。それは、このようないわば、越境的な命令が、執行される国における他の法的規定と交錯した場合にどのような問題がおきるのか、ということです。

この点は、事件としては、提出命令と(執行される)国内法の矛盾というテーマで、このブログ(セキュリティに関するITリサーチ・アートのほうがおおいですが)でも何度となく論じられてきた点になります。

この点についてのケースとしては、昔から、マーク・リッチ事件、Nova Scotia事件などがあったわけですが、一定の解決方法を提案しているように思えます(すみません。何度となく、エントリ書くぞ、といいながら、この点についてのまとめができていません)。

A国が、Ｂ国のプロバイダに欧州提出命令を送付したとします。その場合には、Ｂ国のプロバイダが、取り扱っている個人の基本権や、国家の国家安全保障又は防衛に関する基本的な利益に反して、開示を禁止する法律がある場合だと判断したとします。

この場合には、上記プロバイダは、理由付けの異議を提出することになります。この場合には、そのＡ国の裁判所で審理がなされることになります（１５条（１）ないし（３））。

そして、実際に紛争があるか、どうかの裁定がなされて、紛争が存在する者となった場合には、Ｂ国の中央当局に対して連絡がなされ（同（５））、中央当局が、その連絡に対して、提出命令の実施に異議をとどめた場合には、その提出命令は、解除されるものとされています（同（６））。

この部分については、以下、３項以下の条文をあげておきます。

3　発行当局は、理由つき異議申立に基づいて欧州の提出命令を審査するものとする。発行機関が欧州提出命令を維持しようとする場合、発行当局は、その加盟国の管轄裁判所による審査を要求するものとする。命令の執行は、審査手続が完了するまで中断する。

管轄裁判所は、まず紛争が存在するかどうかについて、

（a）第三国の法律は、当該事件の特定の状況に基づいて適用されるのか、

これが、肯定される場合、

（b）当該第三国の法律は、当該事件の特定の状況に適用される場合において、当該データの開示を禁止するかどうか

に基づいて、最初に裁定する。

4.この裁定を実施するにあたり、裁判所は、国家安全保障または防衛に関する第三国の基本的権利または基本的利益を保護することを意図するかどうかというよりも、むしろ、第三国法が明示的に求めるかどうか、または、刑事捜査の文脈で違法行為を法執行機関の要求から保護することを考慮すべきである。

5.管轄裁判所は、第1項及び第4項の意味の中に関連する紛争が存在しないと認めるときは、命令を支持しなければならない。管轄裁判所は、第1項及び第4項の意味の中で関連する紛争が存在することを立証した場合、その査定を含む当該事実に関するすべての事実及び法的情報を当該第三国の中央当局に、送信する。その国の中央当局は、15日以内に対応しなければならない。第三国中央当局からの合理的な要請があった場合、締切日は30日延長されることがありうる。

6.加盟国の第三国中央当局が、この場合に欧州提出命令の執行に異議を唱した場合、管轄裁判所はその命令を解除し、発行当局と受取人に通知するものとする。管轄裁判所は、（延長された）期限内に異議がない場合は、第三国中央当局に5日以上応答し、その旨を通知しない旨の通知を送付するも​​のとする。この追加期限内に異議がない場合、管轄裁判所は命令を支持するものとします。

7.管轄裁判所は、命令が維持されることを決定した場合は、発行機関と受領者に通知しなければならない。受領者は、命令の執行を進めるものとする。

 

１５条は、個人の基本権や国家の安全などとの衝突の場合ですが、それ以外の衝突というのも考えうることになります。企業秘密が脅かされるおそれがあれば、それについては、１５条の範疇にはおさまらないことになるのでしょう。

この場合には、16条の規定によることになります。

名宛人が、欧州提出指令を遵守することが第15条で言及されている以外の理由により第三国の当該データの開示を禁止する適用法と相反すると考えた場合には、名宛人は、発行当局に対し、第9条第5項に規定する手続に従って欧州提出命令を実施しないことを通知するものとされています（１６条（１）。

その理由付け異議には、第三国の法律に関するすべての関連する詳細、当事者への適用可能性および矛盾する義務の性質が含まれていなければなりません。が、第三国において、提出命令発行の条件、手続き、手続に関する同様の規定が存在しないことやデータが、第三国に保管されているということのみを理由とすることはできません（１６条（２））。

発行当局は、理由付け異議申立に基づいて欧州提出命令を審査することになります。この場合、もし、発行機関が欧州提出命令を維持しようとする場合には、発行当局は、その加盟国の管轄裁判所による審査を要求するものなります。命令の執行は、審査手続が完了するまで中断します（同（３））。

管轄裁判所の審査においては、まず紛争が存在するかどうかについて、

（a）第三国の法律は、当該事件の特定の状況に基づいて適用されるかどうか、

もし、適用されるのであれば、

（b）当該第三国の法律は、当該事件の特定の状況に適用される場合、当該データの開示を禁止するものであるか

を審査することになります（同（４））。

管轄裁判所は、第1項及び第4項の意味の中に関連する紛争が存在しないと認めるときは、提出命令を支持しなければなりません。その一方で、管轄裁判所は、第三国の法律が審査中の事件の特定の状況に適用された際に、関係するデータの開示を禁止すると判断した場合、特に次の要因に基づいて秩序を維持するか撤回するかを決定するものとされています。その場合に判断される要因は、以下のとおりです（同（５））。

（a）データの開示を禁止することによる第三国の利益を含む、第三国の関連法によって保護されている利益。

（b）命令が発行された刑事手続の、2つのいずれかの法域のへの関連性の程度。

データが求められている人物、および/または被害者の場所、国籍、居住地、問題の犯罪が行われた場所。

（c）サービス提供者と当該第三国との間の関連性の程度。この状況では、データ保存場所自体は、実質的な関連性の程度を確立するのに十分ではない。

（d）犯罪の重大性と速やかに証拠を入手することの重要性に基づいて、関係する証拠を入手する際の調査国の利益。

（e）名宛人またはサービスプロバイダが欧州提出命令を遵守した場合に発生しうる結果（発生する可能性のある制裁を含む）。

この判断の結果、管轄裁判所は、命令を撤回するにせよ、命令が維持するにせよ決定した場合は、発行当局と名宛人に通知することになります（同 （６））。

 

 

 

 

 

e証拠規則の全体像と定義を前のエントリで見たわけですが、いよいよ、提出命令・保全命令についてみていくことになります。

２章　欧州提出命令、欧州保全命令、認証、法的代表

２章は、欧州提出命令、欧州保全命令、認証、法的代表の規定です。

これらを分析するのには、簡単な表を作成してみましょう。

	性質	対象	発令権限者	対象犯罪
欧州保全命令	後続の提出命令を考慮して電子的証拠を保全するよう命じる拘束力のある決定	限定なし	裁判官、裁判所、捜査裁判官又は関係する事件において管轄する検察官　など	すべての刑事犯罪
欧州提出命令	サービスプロバイダに対して電子的証拠を提出するように命じる加盟国の発行機関による拘束力のある決定	加入者データ／アクセスデータ	裁判官、裁判所、捜査裁判官又は関係する事件において管轄する検察官　など	すべての刑事犯罪
		トランザクションデータ／コンテンツデータ	該当する場合に管轄する裁判官、裁判所又は捜査裁判官　など	最高3年以上の拘禁刑により処罰される刑事犯罪の場合、または （b）情報システムによって全体的または部分的に犯された場合、

欧州保全命令

欧州保全命令が、電子的証拠を保全するよう命じる拘束力のある決定であることは、２条の定義でふれたところです。

この発令権限者は、原則として当該事件について正当な権限を有する裁判官、裁判所、捜査裁判官又は検察官になります。特定の場合には、国内法に従って証拠収集を命じる権限を有する刑事訴訟手続における捜査機関としての能力を有する発行国が定めるその他の権限を有する当局が権限を有します。 この場合、欧州保全命令は、この規則の下で欧州保全令を発するための条件の遵守を審査した後、裁判官、裁判所、捜査裁判官または発行国の検察官によって認証されます（４条３）。

発令の条件については、６条が記載しています。

同（２）においては、

欧州保全命令は、事後的に、相互法的援助、欧州捜査令、または欧州提出命令を通じてデータの提出要求がなされることを考慮して、データの削除、削除または変更を防止するために、必要かつ比例する場合に発行される。 データを保存するための欧州保全命令は、すべての刑事犯罪について発行することができる。

と定められています。必要性のあること、比例原則に基づいていることは、要件になりますが、コンテンツ等に関する場合のように対象の刑事犯罪について一定の重さ以上であることなどは定められていません。

保全命令の記載事項は、６条（３）において定められていて、

欧州保全命令は、以下の情報を含むものとする。

• （a）発行機関、適用可能であれば、検証機関
• （b）第7条にいう欧州保全令の名宛人。
• （c）命令の唯一の目的が人を特定する場合を除き、データを保存する者。
• （d）保存されるべきデータカテゴリ（加入者データ、アクセスデータ、トランザクションデータまたはコンテンツデータ）。
• （e）該当する場合、保存が要求された時間範囲。
• （f）発行国の刑法の適用される規定。
• （g）措置の必要性と比例性の根拠。

とされています。

ブダペスト条約（サイバー犯罪条約）では、16条で保存されたコンピュータデータの迅速な保全を述べ、17条で、トラフィックデータについての迅速な保全と部分開示を述べています。16条は、保存されたコンピュータデータについて、そのデータの種別を問わずに、保全を命じる措置をとることを定めているので、その規定に対応するということになります。

執行される国において、問題となる行為が違法になることは要件とは考えられていません。これは、後述するように提出命令の段階で検討されれば、足りるということになります。

名宛人の問題は、別の項目で。

• 送付方法

欧州保全命令は、欧州保全命令認定書（European Preservation Order Certificate,EPOC-PR）を通じて送付されます(8条(1))。この書式は、規則提案の附属文書Ⅱとされています。

規則提案においては、電子的な送信が念頭におかれており、そのための真正性確保・安全性の確保の規定などが同条(2)に記載されています。

• 保全命令の執行

欧州保全命令認定書が送付されると受領者は、要求されたデータを保存しなければなりません。その後の提出要求が開始されたことを確認しない限り、保存は60日後に終了します(10条(1))。不完全な場合の対応(同条(4))、不可抗力の場合(同条(5)の定めもあります。(ブダペスト条約では、90日間を限度としています-16条2項)

欧州提出命令

「欧州提出命令」とは、EU内でサービスを提供し、他の加盟国で設立または代理されてサービスプロバイダに対して電子的証拠を提出するように命じる加盟国の発行機関による拘束力のある決定をいうことは、規則提案２条で論じられています。

提出命令で興味深いのは、加入者データ／アクセスデータとトランザクションデータ／コンテンツデータで、取扱が別れているということです。(ブダペスト条約では、トラフィック・データ(外務省訳では、通信記録)という概念のみ-定義としては、1条d項) になります)

加入者データ／アクセスデータ

加入者データ／アクセスデータについてみていきましょう。

•    発令権限について

（a）関係する事件において正当な権限を有する裁判官、裁判所、捜査裁判官又は検察官。または

（b）特定の場合には、国内法に従って証拠収集を命じる権限を有する刑事訴訟手続における捜査機関としての能力を有する発行国が定めるその他の権限を有する当局。

この欧州提出命令は、この規則の下で欧州提出命令を発行するための条件との適合性を審査した後、裁判官、裁判所、捜査裁判官または発行国の検察官によって検証されるものとする。

という規定があります（４条（１））。

•      発行条件（対象犯罪・双罰性・その他）

加入者データ／アクセスデータについての提出命令を発令するためには、特に対象となる犯罪は限定されていません（５条（３））。

 トランザクションデータ／コンテンツデータ

• 発令権限について(4条)

２　トランザクションデータおよびコンテンツデータの欧州提出命令は、以下のものによって発令される。

（a）該当する事件について正当な権限を有する裁判官、裁判所又は捜査裁判官。

または

（b）特定の場合には、国内法に従って証拠収集を命じる権限を有する刑事訴訟手続における捜査機関としての能力を有する発行国が定めるその他の権限を有する当局。

この欧州提出命令は、本規則に基づく欧州提出命令の発行条件との適合性を審査した後、発行国の裁判官、裁判所又は捜査裁判官により検証されるものとする。

とされています。加入者データ／アクセスデータの場合と比較して、検察官が除外されているのが異なるといえます。検証機関からも、検察官が除かれています。

• 発行条件（対象犯罪・その他）

トランザクションデータおよびコンテンツデータの欧州提出命令　については、対象犯罪が限られることになる。具体的には

4.トランザクションデータまたはコンテンツデータを作成する欧州の提出命令を発行することができるのは、以下のとおり

（a）発行国において最高3年以上の拘禁刑により処罰される刑事犯罪の場合、または

（b）情報システムによって全体的または部分的に犯された場合、以下の犯罪について：

– 理事会フレームワーク決定2001/413 / JHA47の第3条、第4条および第5条に定義されている犯罪。(combating fraud and counterfeiting of non-cash means of payment)

－欧州議会および理事会の指令2011/93 / EUの第3条から第7条に定義されている犯罪。(児童に対する性的搾取等・チャイルドポルノ関係)

– 指令2013/40 / EU、欧州議会および理事会の第3条から第8条に定義されている犯罪。(情報システム犯罪)

（c）欧州議会および理事会の指令（EU）2017/541の第3条から第12条および14条に定義されている刑事犯罪の場合。(テロリズム犯罪)

と定められています。

欧州提出命令一般の事項

• 国内における措置の相当性

欧州提出命令は、欧州保全命令とは異なり、「同種の国内状況において同じ犯罪に対して同様の措置が利用可能である場合にのみ発行することができる。」とされている点に特徴があります（５条（2)）。保全命令には、このような定めがありません。

国内法における定めの仕方は、それぞれになりますが、それでも、提出命令を裁判所等が命じうることが前提となっています。そのような場合であれば、欧州提出命令も可能になるのです。

• 双罰性との関係

刑事共助ですと、双罰性(双方可罰性)といわれることもありますが、欧州提出命令は、本来であれば、発行国が刑事司法に関して直接の管轄が及ばない構成国においてサービスを提供しているプロバイダに提出を命じるものになります。しかしながら、欧州提出命令では、双罰性についての配慮はなされておらず、同種の国内状況において同じ犯罪に対して利用可能であることのみで足りるとされています。

• 記載事項

また、提出命令に含まれるべき記載事項としては

（a）発行機関、適用可能であれば、検証機関。

（b）第7条にいう欧州提出命令の名宛人。

（c）命令の唯一の目的が人を特定する場合を除き、データが要求されている人。

（d）要求されたデータカテゴリ（加入者データ、アクセスデータ、トランザクションデータまたはコンテンツデータ）。

（e）該当する場合、提出が要求された時間範囲。

（f）発行国の刑法の適用される規定。

（g）緊急時または早期開示の要請があった場合、その理由。

（h）求められたデータが、自然人以外の会社または企業に対してサービスプロバイダが提供するインフラの一部として保管または処理される場合においては、第6項に従って命令が行われたことの確認;

（i）措置の必要性と比例性の根拠。

があげられています。

なお、発令の条件に関しては、6項で、インフラの一部における場合においては、会社・企業に対してのみでは不適切な場合に限って許されること、7項では、免除特権・非開示特権に該当する場合、または、国家の基本的な利益に相反する場合の取扱が定められています。

• 送付方法

欧州提出命令は、欧州提出命令認定書（European Production Order Certificate,EPOC）を通じて送付されます(8条(1))。この書式は、規則提案の附属文書Ⅱとされています。

規則提案においては、電子的な送信が念頭におかれており、そのための真正性確保・安全性の確保の規定などが同条(2)に記載されています。

• 提出命令の執行

欧州提出命令認定書が送付されると受領者は、EPOCに示されているように、10日以内に、要求されたデータが発行機関または法執行機関に直接送信されることを確かにするものとされています(9条(1)、緊急事態の場合は、これが6時間以内になります-同条(2))。

不完全な場合の対応(同条(3))、不可抗力の場合(同条(4))の定めもあります。

名宛人

上記命令の名宛人については、7条が定めています。同条は、

1.欧州提出命令および欧州保全命令は、刑事訴訟において証拠を収集する目的で、サービスプロバイダが指定した法的代理人に直接提出されるものとする。

2.専属の法的代理人が任命されていない場合、欧州提出命令及び欧州保全命令は、サービスプロバイダの欧州連合における組織に送達することができる。

3.法的代理人が第9条（2）に従って緊急事態においてEPOCを遵守しない場合、EPOCは、サービスプロバイダの欧州連合における組織に送達することができる。

4.法的代理人が第9条または第10条に基づく義務を遵守せず、発行当局がデータの損失の重大なリスクがあるとみなす場合、欧州提出命令または欧州保全命令は、サービスプロバイダの欧州連合における組織を名宛人とすることができる。

としています。

3章以下の規定については、また、別エントリで検討しましょう。

ｅ証拠規則は、こちらです。

構成は、説明覚書と提案から成り立っています。説明覚書は、さらに以下のような構成になります。

１　提案の文脈

• 提案の理由および目的
• 政策分野におけるＥＵの法的枠組とサイバー犯罪条約の一貫性
• 提案の要約

２　法的根拠、補充性および比例原則

• 法的根拠
• 手法の選択
• 補充性
• 比例原則

３　公表後評価、利害関係者諮問及び影響評価

• 利害関係者諮問
• 影響評価
• 基本権

４　予算的示唆

５　その他の要素

• 実施計画および監視・評価および報告設定
• 特定の提案規制の詳細な説明

から成り立っています。

規則提案は、さらに６６項からなる前文と５章２５条からなる規則本体からなりたっています。条文と前文の関係を示した表は、以下のようになります。

 

	条文	前文
１　対象事項、定義および範囲	１　対象事項	１－１５
	２　定義	１６－２３
	３　範囲	２４－２７
２　欧州提出命令、欧州保全命令、認証、法的代表	４　発令機関	３０
	５　欧州提出命令発令の条件	２８－２９、３１－３５
	６　欧州保全命令発令の条件	３６
	７　欧州提出／保全命令の名宛人	３７
	８　欧州提出／保全命令の認定証	３８－３９
	９　欧州提出命令の認定証の執行	４０－４１
	１０　欧州保全命令の認定証の執行	４２
	１１　機密性および利用者情報	４３
	１２　諸費用のコスト	なし
３　制裁および執行	１３　制裁	なし
	１４　執行の手続	４４－４５、５５
４　救済	１５および１６　第三国における義務の衝突がおきる評価過程	４７－５３
	１７効果的救済	５４
	１８　執行国家における非開示特権および免除特権を確かにするために	３５
５　最終規定	１９　監視および報告	５８
	２０　認定証／様式の改訂	５９－６０
	２１　委任の行使	６０
	２２　通知	なし
	２３　欧州捜査命令（EIO）との関係	６１
	２４　評価	６２
	２５　効力発生

 

検討および分析

　１章　対象事項、定義および範囲

1章は、対象事項、定義および範囲になります。これらを具体的にみていきましょう。

１条　対象事項

この条項は、欧州連合の管轄裁判所がEU内でサービスを提供するサービス提供者に対し、欧州提出/保存命令を通じた電子的証拠の提出または保全を命じる規則を定める提案の一般的範囲と目的を定めています。

規則１（１）条において、決定的な接続要素としてデータの場所から離れていること、すでにある国内法の権限を制限するものではないこと、が論じられています。

規則１（２）条は、欧州統合条約６条の基本権／法的原則を尊重する義務に影響するものではないことを物語っています。

２条　定義

具体的な定義としては、「欧州提出命令」「欧州保全命令」「サービスプロバイダ」「欧州連合において提供されているサービス」「企業」「電子証拠」「加入者情報」「アクセスデータ」「交信データ（transactional data）」「コンテントデータ」「情報システム」「発令国」「執行国」「執行当局」「緊急事案」についての定義がなされています。

ここで、重要と思われる定義についてピックアップしていきましょう。

（1）「欧州提出命令」とは、EU内でサービスを提供し、他の加盟国で設立または代理されてサービスプロバイダに対して電子的証拠を提出するように命じる加盟国の発行機関による拘束力のある決定を意味する。

（2）「欧州保全命令」とは、EUにおけるサービスを提供し、別の加盟国において設立または代理されたサービス提供者に、後続の提出命令を考慮して電子的証拠を保全するよう命じる加盟国の発行機関による拘束力のある決定を意味する。

（4）「欧州連合におけるサービスの提供」とは、

（a）1以上の加盟国の法人または自然人が上記（3）（サービスプロバイダの意）に記載のサービスを利用することを可能にする。かつ

（b）（a）で言及された加盟国との実質的なつながりを有する。

（６）「電子的証拠」とは、提出または保全命令書（production or preservation order certificate）を受領した時点で、サービスプロバイダによってまたはサービスプロバイダのために電子形式で保管されたものであって、保存された加入者データ、アクセスデータ、取引データおよびコンテンツデータからなる証拠をいう。

（7）「加入者データ」とは、

（a）提供された名前、生年月日、郵便または地理的住所、請求および支払いデータ、電話または電子メールなどの加入者または顧客の身元（identity）。

（b）加入者または顧客によって使用または提供される技術的データ／技術的手段またはインタフェースを特定するデータを含むサービスの種類およびその期間、および、サービス利用の検証に関連するデータ（ただし、使用されるパスワードまたはユーザによって提供されるか、またはユーザの要求によって作成されるパスワードの代わりに利用されるその他の認証手段を除く）

（8）「アクセスデータ」は、サービスへのユーザアクセスセッションの開始および終了に関連するデータを意味する。これは、サービスのユーザを特定する目的だけではなく、使用日時など、インターネットアクセスサービスプロバイダによってサービスのユーザに割り当てられたIPアドレス、使用されたインタフェースを識別するデータ、およびユーザIDとともに、サービスへのログインおよびログオフを含む。これには、[私的生活の尊重と電子通信における個人データの保護に関する規則]第4条（3）のポイント（g）で定義された電子通信メタデータが含まれる。

（9）「トランズアクション（交信）データ」とは、サービスに関するコンテキストまたは追加情報を提供する／サ―ビスプロバイダの情報システムによって生成される、サービスの提供に関するデータを意味する。メッセージ／他のタイプの対話の発信元／送信先、機器の場所、日時、時間、持続時間、サイズ、経路、フォーマット、使用されるプロトコル、および圧縮のタイプなどであってアクセスデータを構成しないものである。これには、[私的生活の尊重と電子通信における個人データの保護に関する規則]第4条（3）のポイント（g）で定義された電子通信メタデータが含まれる。

（10）「コンテンツデータ」とは、加入者データ、アクセスデータ、トランザクションデータ以外のテキスト、音声、映像、画像、音声などのデジタル形式のあらゆる保存されたデータを意味する。

３条　範囲

３条は、この規則の適用範囲を定めています。

規則は、連合においてサービスを提供するサービスプロバイダに適用されることとされています。

さらに、３（１）条は、サービスプロバイダが、欧州連合内に設立されていない場合でも、規則が適用されること、法的代理人の指定は、サービスプロバイダの設立をしていることには、直ちにならないことも論じられています。

さて、次は、具体的に、欧州提出命令、欧州保全命令をみてみましょう。

通信にかかるデータをクラス分けしましょうという考え方は、ｅ証拠規則および指令でも、明確になるわけですが、その前にｅ証拠規則および指令をみてみましょう。

ｅ証拠規則および指令についての一般的な情報は、EU委員会の移民・内務総局の「組織犯罪および人身売買」対応のなかで、ｅ証拠として、説明されています。

このような規則および指令の提案にいたった理由としては

「欧州委員会は、法執行機関や司法当局が犯罪者やテロリストを捜査し、最終的に起訴するために必要な電子的証拠を入手するのを容易かつ迅速にするために、2018年4月17日に規則と指令の形で新しい規則を提案した。」

とのことです。

そのために（１）提出命令の創設（２）欧州保全命令の創設（３）個人データ保護措置（４）プロバイダに欧州連合内に法的代理人を指名することを義務づけ（５）企業やサービスプロバイダーへの法的確実性の提供が提案されています。

具体的には、

（１）欧州提出命令

これにより、ある加盟国の司法機関は、他の加盟国におけるサービスプロバイダ／法的代理人から電子証拠（電子メール、テキストまたはメッセージ、アプリ内の犯人を識別する情報など）を直接入手することができます（10日以内／緊急事態の場合には、6時間以内）（既存の欧州捜査命令の場合は120日以内、相互法的援助の場合は平均10ヵ月間）

（２）欧州保全命令

欧州加盟国の司法機関が、他の加盟国のサービスプロバイダまたはその法定代理人に、その後の相互司法共助、欧州連合捜査命令または欧州の提出命令を通じて提出してもらうことを念頭に保全命令をなすことを認めるものです。

（３）強力な保障措置

新しい規則は、個人データの保護のための保護措置を含む、基本権の強力な保護を保証する。データが求められているサービス提供者および個人は、様々な保障措置の恩恵を受けるとともに法的救済措置を講じる権利を有します。

（４）欧州連合における法的代理人指名の義務づけ

その本部が第三国にあるとしても、連合でサービスを提供するすべての提供者が、決定や命令の受領、遵守、執行のための同じ義務を負うことを確かにするために、法的代理人の指名を義務づける。

（５）企業やサービスプロバイダに法的確実性を提供する

現在、法執行当局は、その必要とする証拠を渡してもらうのに、サービスプロバイダの善意に依存しているが、将来的にはすべてのサービスプロバイダへのアクセスに同じ規則を適用することで、法的確実性、明快さを向上させる。

この提案に至る過程も案内されています。

（１）2015年4月－欧州連合（EU）「セキュリティ調査の欧州議題にに関するコミュニケ」

（２）2016年4月20日「テロリズムと闘うための欧州の安全保障上の課題に関するコミュニケ」で確認

（３）2016年6月9日「サイバースペースにおける刑事司法の改善に関する結論」

（４）審議会は、委員会に対し、2016年12月までに中間結果を報告し、2017年6月までに成果物を提示するよう要請した。

（５）2017年7月に欧州委員会は、諮問プロセス開始

（６）12月8日のJHA理事会－第1次進捗報告提供。

（７）テクニカルドキュメントの準備

（８）2017年6月8日の司法・家事審議会において、委員会に対し、一連の実践的措置の実施を進め、具体的な立法案を提出するよう要請。

（９）ジュロヴァ委員は、2018年初めに欧州委員会の立法措置を採択する意思を表明。

（１０）欧州委員会は2017年8月4日にインパクトアセスメントを発表

（１１）パブリック・コンサルテーション開始（質問事項書はこちら）

が、主な公表されているドキュメントということになります。

 

 

電波法の規定から、「通信の秘密」の現代的な意味についてかんがえてみました。電気通信事業法について、電波法の示唆を踏まえて考えるべきだろうということをふれたのですが、ここで、インターミッションとして、通信のデータについてのクラスわけの論点を考えてみましょう。

「通信に関するクラスわけ」というのは、通信内容のデータ、ルータやサーバの通信ログ、サーバ上のログ、データ領域のメール、課金データ、料金明細書、トラフィック分析書…などの通信に関する種々の情報について、一定の観点から分類をして、その保護の程度について、その分類を関連させるべきではないか、という考え方ということができるでしょう。

論文形態のものとしては、私としては、「「通信の秘密」の比較法的研究・序説」でまとめています。

電波法を改めてみたときに、「通信の存在に関する事項」も、電波法の通信の秘密として漏えい・窃用からの保護の対象になるとされていることは、今回の気づきだったことは、この「電波法からみる「通信の秘密」（3）」でふれたとおりです。

上記通信に関するデータを分類したものとしては、私としては、よく英国の2000 年捜査権限規制法 （Regulation of Investigatory Powers Act 2000 ）
(RIPA2000という）の第２章（Chapter２） 21 条の定めを引用してきました。私の寄稿した部分として情報セキュリティ大学院大学「インターネット時代の「通信の秘密」各国比較　International Comparison of ‘Secrecy of　Communication’ in the Internet Age 」（39頁）です。

RIPA2000は、現時点では、通信に関する部分は、Investigatory Powers Act 2016になっており、しかも、これを欧州法との関係があって、書き換えが必須となっています。（RIPAとIPA2016の関係については、「英国 IPA（Investigatory Powers Act）2016　に関する調査報告書 」があります。この７頁）

「「トラフィックデータ」、「サービス利用情報」、「加入者データ」の 3 種類からなりたっている(RIPA 法 21 条(4)項)。」とか昔は、書いていたのですが、いまだと、ちょっと検索したら、英国の政府のページで、通信データについての説明のページができていました。（でも、公表が、2015年３月なのでちょっと古い）

IPA2016の書き換えについての検討は、また、そのうちに、ということで、IPA2016にいう「通信データ（Communications data）」についてみていきましょう。

定義は、IPA2016の２章　解釈（261条以下）に記載されています。261条以下は、電気通信に関する定義です。

同条（5）は、
「通信データ」とは、電気通信事業者、電気通信サービスまたは電気通信システムに関連して、エンティティデータまたはイベントデータであって、
かつ
（a）電気通信事業者によって／そのために、保持され／取得されている（またはされうる）

（i）電気通信サービスが提供される／当該サービスの規定に関連するエンティティに関するもの、
（ii）通信が送信されている／されうる手段たる電気通信システムのために、（送信者であるにせよ、それ以外にせよ）通信に含まれるか、その一部として含まれる／添付されるもの、
（iii）（i）または（ii）に該当しないが電気通信サービスまたは電気通信システムの使用に関連するもの

（b）電気通信システムから直接入手可能であり、かつ上の（a）（ii）に該当するもの

または
（c）

（i）電気通信事業者によって／そのために保持され／取得されている（またはされうる）もの
（ii）電気通信システムのアーキテクチャに関するものであり、

　かつ
（iii）特定の人に関するものではないもの

であって、通信のコンテンツを含んでいないか、または（6）（b）項ではない場合にコミュニケーションの内容となりうるものは含まない。

とされています。

これらの概念と従来の「トラフィックデータ」、「サービス利用情報」、「加入者データ」との関係については、もうすこし分析してみないといけません。が、その範囲については、あまり変更がないような気がします。

日本法との関係でいうと、通信の構成要素であるデータ以外にも、エンティティデータ（この定義は、同条（３）ですが省略）が含まれるということになります。この部分に限っていえば、要は、アカウント情報ということになります。

ただ、日本的には、前の分類のほうがしっくり来たなあという感想をいだいたところで、EUで、e-Evidence 提案がなれたことを知りました。これは、4つのデータタイプとして、顧客、アクセス、通信、内容に分類して、刑事事件の手続を規則で定めましょうという提案だそうなので、非常にインパクトがありそうなので、今後は、こっちの用語を使おうかなと考えています。そこで、その内容については、次のエントリで。