AI時代の証券取引(その1)

「オンライン証券業務の法律問題」などの論考(正協レポート 5(3), 17-31, 2001-08)から、15年、証券取引も、全く、その姿を変えてしまいました。ネットワーク化によって、もっとも変わった分野の一つということができるでしょう。

オンライン取引が一般化して、証券市場は、断片化(多数の市場が開設されるとともに私設取引システムも開設される、また、気配情報を公表しない取引の場であるダークプールが発展)してきています。さらに自律的なアルゴリズム取引が、非常に、市場の過半をしめるように発展してきています。

アルゴリズム取引とは、一般的に、事前に策定していたプログラムに応じて、株式売買のタイミングや数量を決めて注文をなす取引のことをいうものと定義することができます。このなかで、高速・高頻度でなされる取引の全体が高頻度取引(HFT)と呼ばれています。機関投資家等が、このような取引を行うようになっており、現実の証券取引において、きわめて大きな存在感を示すようになってきています。

このような高頻度取引は、価格発見機能の効率化、流動性の提供などのメリットがあるとされています。その一方で、いろいろいな問題点があるのではないか、と指摘されるようなってきています。IOSCOの「技術革新が市場の健全性・効率性に及ぼす影響により生じる規制上の課題」(なお、概要版 日本語) は、市場の効率性のリスク、市場の公正性・堅牢性に対するリスク、市場の弾力性・安定性に対するリスクを述べています。また、これら以外にも、最良執行上の問題、市場参加者の範囲を狭める、プログラムによる市場操作、規制コストの問題などが指摘されています。

ところで、このアルゴリズム取引と、いま流行りの「AIを用いた証券取引」というのを考えてみましょう。

そもそも、AIというのは、あまりにも一般的な名称であり、具体的な技術をひとくくりにしたもので、それ自体が、なにか生産的な結論を導くものとはいえません。友だちの間では、AIというのは、幼名であって、元服すると、自然言語解析とか、画像認識とかの具体的な名称がつく、という、「AI元服理論」を語っているのですが、大学の教授の中でも、意外に支持してくれる人がおおいです。

それは、さておき、AIと証券取引という形で論じると、二つの方向性があるということは考えていていいかと思います。一つは、顧客に対して資産運用のアドバイスを行うために人工知能を用いるものであり、いまひとつは、証券取引のアルゴリズムの動作に関して、人工知能による分析結果を利用しうるものにするということです。

前者については、いわゆるロボアドバイザー・サービスということになり、その法律問題も検討されています(長谷川紘之「証券分野にみるFinTechとその法的課題」NBL1081巻71頁(商事法務、2016))。

後者については、人工知能による分析結果を利用するのに関して、具体的に、どのような人工知能技術(元服した名称)を、どのように利用するのか、ということから、具体的に語ることができます。

ビジネス的に公表されているものとして
株価騰落予測システム
時系列株価データをRNN(リカレントニューラルネットワーク)により解析するシステム
などが公表されています。

また、学術的には、
モメンタム取引戦略への応用
自然言語解析を用いたイベント基盤の株価予測への応用
などのこのAI技術の範疇にはいるでしょう。

では、このようなAI 技術の証券取引の応用について、具体的な法律問題として、どのようなものがあげられるのか、具体的に検討していきましょう。

英語ページを子ドメインにしました

英語ページを子ドメインにしました。 

駒澤綜合法律事務所の英語の情報のページをhttp://eng.komazawalegal.orgから始まるドメインにまとめました。

 コンテンツとしては、まだ、十分ではありませんが、これから充実させていきたいですし、英語自体も上達しないといけません。また、英語のチャットボットを実験することもできます。

 

 

使用者の保存された電子メールの調査権限に関する日本の判決例について(N社事件)

F社事件に続いて、N社事件(東京地裁・平成14年2月26日判決・労働判例825号50頁)を紹介します。

この事件の事実関係は、
(事実関係)
(1)被告会社Yにおいて、関連会社の管理部長Bの名前を語り、この会社の営業第2部のAを誹謗中傷する内容の電子メールが複数回送られ、Aが、Yのシステム委員会の委員に対して苦情を述べるという事件があった。

(2)Yにおいて、調査したところ、Y社の営業部が共有する端末から、フリーメールサービスの電子メールアドレス(以下、便宜上、共有メールアドレスという)を用いてAの社内の電子メールアドレスに対して、Aと営業部所属の契約社員のC(女性)とが接近することを阻害する目的をもってAを非難するメールが送られており、かつ、共有メールアドレスからXの社内電子メールアドレスに電子メールが送信されていること、逆にそのXの社内電子メールアドレスから、共有メールアドレスに対して電子メールが送信されていること、 その上、共有メールアドレスから、X個人のメールアドレスに対して電子メールが送信されていることが判明した。

(3)また、Xの机の上の端末を使用して、Xの社内電子メールアドレスからX個人のメールアドレスに対して電子メールが転送さていた事実が判明したため、被告会社Yは、誹謗中傷メールの送信者がXである可能性が著しく高いと判断して、原告に対して事情聴取を実施することにした。

(4)Yは、被告Z1、Z2、Z3に対して、平成11年12月17日午後6時ころから約30分間、被告会社の応接室でXに対して誹謗中傷メールについて事情聴取をさせた(以下、第1回事情聴取という)。また、Yは、Y所有のパソコンサーバーを調査したが、誹謗中傷メール事件に関する有力な資料はみあたらなかった。

(5)Yは、XとCとの間の交信である電子メールファイル(私用メール)を発見し、それを印刷して、Yの社長、被告Z1、システム委員が閲覧した。

(6) これらの誹謗中傷メールと上記私用メールについて、平成12年1月13日午後2時から午後3時にかけてYにおいては、Z1、Z2、Z3、Z4が、Xを取り囲んで、1時間程度の事情聴取をなした。

(7) 結局、Yは、Xを1月14日、私用メールが就業規則に反するとして譴責処分とした。Xは、同日、退職願いを提出した。Xの退職については、退職日、個人情報の削除、出勤しないことを命じたことなどに関連し、XとYの間で、若干のトラブルがあったが、結局、Xは、3月1日付けで退職した。
というものです。

(双方の主張)
原告は、
(1)第1回事情聴取について、被告Z1、Z2、Z4が、誹謗中傷メール事件の犯人であるとして厳しい口調で詰問、追求をしたので、その行為が、名誉権、人格権を侵害する不法行為である

(2)被告会社Yの所有するファイルサーバー内の原告しかアクセスできない保存領域に原告に無断で侵入し、原告所有のフロッピイディスクを原告に無断で奪い、原告所有の原告の約1年間にわたる電子メールによる私的な通信データに関する情報等の個人情報の全てを奪い取って持ち去っている。また、被告Z2およびZ3らは、XとCとの間の私的な交信記録を印刷して、自ら閲読するとともにY内において、多数の関係者にも閲覧させているので、原告の私的生活における個人情報に対する所有権およびプライバシー権(自己情報のコントロール権)を著しく侵害する不法行為である。私用メール等の探索、奪取、閲覧等については、調査の必要性があったとしても、業務上の合理的理由、手段の相当性のほか、他の従業員と平等に扱うこと、事前に規定を設けて従業員に告知しておおくことなどの要件が具備して適法となるものであり、勤務時間中の私用メールの交信が黙認されてきたから、調査自体が違法である

(3)Z2らは、Xの弁明を全く信用せず、誹謗中傷メールの実行者と決めつけ、大声で怒鳴りつけ、ののしり、非難した。その行為が、名誉権、人格権を侵害する不法行為である
(4)Z2は、Xに対して転職して前歴照会がきても、いいことはいわないなどといったり、厳しい口調で直ちに退職の意思表示をするように迫ったりしたことを、Xの人格権、退職の意思決定の自由等を著しく侵害する不法行為である
などと主張しました。

これらの主張に対して、被告は、それぞれ
(1)Xは、厳しい口調で詰問したというが、Xを強く追求することなく事情聴取を終了した、また、誹謗中傷メール事件については、調査の必要性があり、原告との結びつきも是認しうるので、許容される調査行為である。

(2)事後的な調査においてファイルサーバーを調査し、そのバックアップテープから情報を入手しただけであり、原告所有ないし専用パソコン機器または原告所有のプロッピィディスクを調査したことはない。また、Xのいう原告しかアクセスできない領域というのは、「個人私用」領域であるが、これは、複数の社員が、一つの文書ファイルを共用したりする必要がない各社員の業務文書を保管するようにして、作成者を明確にしたという意味でしかない。したがってこのような「個人領域」をYが、業務上の必要性に応じてファイルを調査することは当然のことである。また、データ収集行為の適法性についていえば、Xが、電子メール等の個人情報が、Yのファイルサーバーに保存したことをもって、プライバシー権等を放棄があるとみるべきこと、調査の経緯から、調査の必要性があったことから適法である。

(3)Xが否認したため、強く追求はしていない。また、Xは、当時、大量の私用メールについて反省している旨を伝えている。さらに調査の必要性が存在した。

(4)感情的な発言をした事実はあるが、出勤停止を強要するというほどのものではなかった。
と主張しました。

(裁判所の判断)
裁判所は、
使用者の行う企業秩序違反事件の調査に対する労働者の協力義務についてこれを肯定した後、「しかしながら、上記調査や命令も、それが企業の円滑な運営上必要かつ合理的なものであること、その方法態様が労働者の人格や自由に対する行きすぎた支配や拘束ではないことを要し、調査等の必要性を欠いたり、調査の態様等が社会的に許容しうる限界を超えていると認められる場合には労働者の精神的自由を侵害した違法な行為として不法行為を構成することがある。」とし、本件誹謗中傷メールの送信は、「企業秩序を乱す行為であり、就業規則(略)に照らして懲戒処分の対象となる可能性があるから、その観点からいっても速やかに調査の必要がある」とし、「原告が誹謗中傷メールの送信者であると疑う合理的理由があったから、原告に対し事惰聴取その他の調査を行う業務上の必要があったということができる」との一般論を述べました。
(1)の問題について、「上記認定事実に基づいて検討するに、本件は、社内における誹謗中傷メールの送信という企業秩序違反事件の調査を目的とするもので、かつ、原告にはその送信者であると合理的に疑われる事情が存するのであるから、原告から事情聴取をする必要性と合理性は強く認められる。また、その態様を見ると、質問の声が大きく、また、仮に同じ質問が繰り返してなされたとしても、他方、事情聴取の時間は30分程度であること、原告が送信者であればその監督責任を追及されるべき立場の被告Z4が同席していること、冒頭に事情聴取の趣旨を説明した上で開始していること、質問内容等も特に不適切なものではなく、強制にわたるものとまでは認めがたいことからすると、第一回事情聴取は社会的に許容しうる限界を超えて原告の精神的自由を侵害した違法な行為であるとはいえない」としています。

(2)については、被告会社としては、まず、誹謗中傷メール事件について、合理的に疑われる事情が存したこと、その疑いをぬぐい去ることができなかったことから、さらなる調査の必要があり、事件が社内でメールを使用して行われたことからすると、その犯人の特定につながる情報が原告のメールファイルに書かれている可能性があり、その内容を点検する必要があった。また、私用メール事件についても、原告の私用メールの量は、仕事の合間に行ったという程度ではないのであるから、これについて新たに調査する必要が生じたと判断しています。

そして、調査の相当性については、ファイルサーバー上のデータの調査は、「業務に何らかの関連を有する情報が保存されていると判断されるから、上記のとおりファイルの内容を含めて調査の必要が存する以上、その調査が社会的に許容しうる限界を超えて原告の精神的自由を侵害した違法な行為であるとはいえない。原告に調査することを事前に告知しなかったことは、事前の継続的な監視とは異なり、既に送受信されたメールを特定の目的で事後に調査するものであること、原告が誹謗中傷メールと私用メールという秩序違反行為を行ったと疑われる状況があり、事前の告知による調査への影響を考慮せざるを得ないことからすると、不当なこととはいえない。」としている。「結果としては誹謗中傷メール事件にも、私用メール事件にも関係を有しない私的なファイルまで調査される結果となったとしても、真にやむを得ないことで、そのような情報を入手してしまったからといって調査自体が違法となるとはいえない。」のである。
 また、閲覧させた行為について不必要な者にまで閲覧させたことはないとしているし、上記各種データについての保存行為・返還しない行為についても、処分事案に関する調査記録は、当該事案に関連する紛争に備えて、あるいは同種事案への対応の参考資料として相当期間保管の必要があり、上記のとおり違法に入手したものではない以上、これを削除する義務はないと考えられるし、また、原告が必要に迫られているとか、原告がそれを保有していないなどの事情があれば格別、そうでない場合には、返還しないことが違法になるわけではないとされています。

(3)および(4)の論点についても、それぞれ、調査等の必要性と合理性の強い存在から社会的に許容しうる限界を超えたとはいえないことなどから、Xの主張が、それぞれ排斥されている。
 結局、原告Xの主張は、なんら成り立たず、請求が完全に棄却されています。

実は、この判決は、事後的に不祥事調査において、その調査の必要性と相当性という観点から判断されていることに注目がなされるべきだと考えています。F社事件が、不祥事調査において、リアルタイム(受信前の通信内容に対する積極的な)取得という論点であるのに対して、むしろ、事後的に保存されている通信内容に対する調査という点で異なるわけです。

もっとも、この点は、一般に「電子メールのモニタリングの可否」という曖昧な言葉で議論されるのですが、私としては、企業秩序違反調査の契機をもつ取得とそれ以外とでは、きちんと分けるべきだと考えています。ECHRの判断とF社事件/N社事件が事件として異なっているというのは、そのような意味です。事実関係を見ながら、判決の射程を見極める枠組みを探し出すのが法律家であって、法律の条文を引っ張るのとは、まったく次元が異なるというのを理解してもらいたいものです。

使用者の電子メールのモニタリング権限に関する日本の判決例について(F社事件)

前のエントリで、使用者の電子メールのモニタリング権限についてのヨーロッパ人権裁判所の判断を紹介したときに、日本の事件についてコメントしているので、あまり、判決例を事例から、分析していない人のために、ちょっと解説しておきます。

関連する二つのリーディングケースがあります。F社事件(東京地裁判決・平成13年12月3日労働判例826号76頁)は、

被告のセクハラ行為等につき送受信を行った原告とのその夫との私的な電子メールを原告らの許可なく被告が、閲読したことを理由とする損害賠償につき、原告らの電子メール私的使用の程度は限度を超えており、被告による監視という自体を招いた原告の責任、監視された電子メールの内容、事実経過を総合すると被告の監視行為は社会通年上相当な範囲を逸脱したとはいえず、原告らが法的保護(損害賠償)に値する重大なプライバシー侵害を受けたとはいえないとして棄却された

という事件です。

具体的な事実関係は

(1)原告X1は、F社の事業部に勤務しており、原告X2は、その夫であり、被告は、F社の事業部の部長である。

(2)X1は、被告Yに対して「女性同士の人間関係にまで口を出す上司」と強い反感を持つに至った。

(3)被告Yは、原告X1に対して「時間を裂いて戴き当事業部の問題点等を教えていただきたいと思っていますので宜しく」という電子メールを送ったことがあった。

(4)これを受けた原告X1は、このメールを仕事にかこつけての誘いであるという強い反感を持ち、X2に対して「日頃のストレスは、 新事業部長にある。細かい上に女性同士の人間関係にまで口を出す。いかに関わらずして仕事をするかが今後の課題。まったく単なる呑みの誘いじゃんかねー。胸の痛い嫁」というメールを送ろうとしたが、誤って被告Yに送ってしまった。

(5)原告X1は、友人に相談後、夫X2 にも相談したが、その際、X2は、「これはセクハラである」「辞める必要はない」という内容の電子メールを送信した。

(6)被告Yは、平成12年3月1日、上記の誤送信メールを読み、原告X1の電子メールの使用を監視し始めた。

(7)同3月6日ころ、原告X1が、パスワードを変更したため、被告YにおいてIT部に対して、電子メールを自動転送するよう依頼し、その後はこの方法により原告X1あてに着信する電子メールを監視した。

(8)X2は、被告がX1に対して、セクシャルハラスメントの行為をしたので告発することも辞さないという警告メールを起案し、また、X1は、このころから複数の知人に対して本件について言及した電子メールを送信した(もっとも実際にメディアに取り上げられたことはない)。

(9)3月7日にX2は、文言を修正した警告メールを被告に送信した。その後、4月に入ると、原告代理人が、被告に対してセクシャルハラスメント行為を行っているとして書面で回答を求める趣旨の内容証明郵便を送り、これに対して被告は反論の内容証明を送付した。そのような行為のなか本件訴訟が提起された。
というものです。

双方の主張
原告らは
(1)被告Yが、X1に対してセクシャルハラスメント行為をなした。
(2)被告Yは、X1とX2との間で、相互に送受信した私的電子メールおよび原告らが第三者との間でそれぞれ送受信した私的電子メールを、原告らの承諾を得ることなく、大量かつ長期間にわたり閲読した、
を根拠に損害賠償を求める
というものでした。
これに対して被告は、
(1)原告らに対して原告らが存在しないセクシャルハラスメント行為を捏造し、その内容を雑誌等に掲載させる意図で出版社の広告部に在籍する知人に対して電子メールで送信したこと、
(2)その内容を社内の同僚に電子メールで送信したことにより被告の所属する事業部以外の部署の者にまでそれが知られるようになったこと、
を理由として不法行為にもとづく損害賠償を求める
というものでした。

裁判所の判断
(1)のセクシャルハラスメントについては、原告らの主張に沿う証言をなした証人について変遷や曖昧さがあること、供述自体が不自然であること、また、原告についても糾弾行為が唐突であること、誤送信メール事件以前の態度がセクシャルハラスメントに深く悩まされているという状況は全く伺えないことなどから、セクシャルハラスメント行為を受けて精神的な苦痛を感じていたという事実について証明がないとして原告らの請求を認めなかった。

(2)については、裁判所は
従業員が社内ネットワークを用いて電子メールを私的に使用する場合に期待し得るブライバシー保護の範囲は、通常の電話装置における場合よりも相当程度低減されることを甘受すべきであ[る]」。そして、「監視目的、手段およびその態様等を総合考慮し、監視される側に生じた不利益を比較衡量の上、社会通念上相当な範囲を逸脱した監視がなされた場合に限り、プライバシー権の侵害となると解するのが相当である」。
として
Yの「地位および監視の必要性については、一応これを認めることができる」。として
「原告らによる社内ネットワークを用いた電子メールの私的使用の程度は・・・限度を越えているといわざるを得ず、Yによる電子メールの監視という事態を招いたことについてのX1側の責任、結果として監視された電子メールの内容および既に判示した本件におけるすべての事実経過を総考慮すると、Yによる監視行為が社会通念上相当な範囲を逸脱したものであったとまではいえず、X1らが法的保護(損害賠償)に値する重大プライバシー侵害を受けたとはいえないというべきである」。として、原告の請求を棄却しました。

ヨーロッパ人権裁判所における使用者の電子メールモニター権限に関する判決

ヨーロッパ人権裁判所における使用者の電子メールモニター権限に関する判決についての記事がでています。

そうは、いってもなんといっても原文を読まないとしょうがいないので、きちんと原文にあたりましょう。

事件名は、 Bărbulescu v. Romania事件 。ECHRにおける判決のページは、こちらですね。

プレスリリース、あと、Q&Aもあります

判決文は、こちらです。

事案としては、

(1)原告は、2004年-2007年6月までルーマニアの民間企業のセールス・エンジニアとして勤務していた従業員で、雇用主の求めにしたがって、ヤフー・メッセンジャーのアカウントを顧客からの質問に対して対応するために作成していました。

(2)2007年7月3日に、雇用主は、ある従業員が、インターネット、電話、コピーを使用に利用していたことを理由に懲戒解雇されたという通知を、回覧しました。

(3)2007年7月3日に、原告は、雇用主から、ヤフーメッセンジャーの通信については、モニターされていて、個人的に利用したのではないかとの調査をうけました。

(4)原告は、私的利用を否定したのですが、7月5日から12日までの証拠を提示されました。

(5)8月1日に、彼は、会社の資産を個人的な目的に利用するのを禁じた会社の内部規定の違反でもって、懲戒解雇しました。

という事案です。

原告は、雇用主は、彼の通信の権利(right to correspondance)を、刑法・憲法に違反して侵害するので無効であるとして訴えました。 ブカレストカウンティコートは、彼の訴えを認めず、また、控訴審もカウンティコートの判断を支持しました。これに対して、特に、ヨーロッパ人権条約8条の適用の問題を根拠に、ヨーロッパ人権裁判所に対して、国内裁判所がプライベートライフおよび通信の権利を保護するのを怠ったとして訴えたわけです。

ヨーロッパ人権条約8条ですが、その条文(同条1項)は「すべての者は、その私的及び家庭生活、住居及び通信を尊重される権利を有する。」というものです。

大法廷が、2017年9月5日に判決をしました。判決は、長いので、プレスリリースをもとに分析します。(法律家的にいいのか?>自分)

(1)裁判所は、8条が適用されることを認めました。雇用主のインターネットについての制限的な利用に関する規定のなかで、合理的なき期待を有し得たかは、疑問であるものの、雇用主の指示は、仕事場において、個人の社交的な生活をゼロにするものではないとしました。

(2)裁判所は、加盟国の裁判所によって、懲戒解雇を導いた通信のモニタリングが、認められているので、加盟国の積極的な義務が果たされているかという点に基づいて判断されるとしました。

(3) 加盟国の裁判所が、企業の円滑な経営という利益と、原告の私的生活の尊重という利益とを十分なバランスを図ったかという問題に基づいて検討される。

(4)裁判所としては、加盟国の裁判所が、雇用主が、モニタリングシステムを導入しうるということを事前に通知していたかどうかというのを決定するのを怠っている。国際的・ヨーロッパ的標準からするときに、雇用主からの事前の通知が必要になるのに関わらず、原告は、事前にその通知を受けていないとした。

(5)また、加盟国の裁判所は、原告の通信をモニタリングするのを正当化する根拠があるかどうかを正当に評価していないとした。また、より、制限的ではない手段によって、その目的が実現しうるかについても判断していないとした。

これらの判断のもとに、加盟国の当局は、原告の権利を保護していないということになるとしました。

この点についての日本の先例は、N社事件(東京地裁・平成14年2月26日判決・労働判例825号50頁)、F社事件(東京地裁判決・平成13年12月3日労働判例826号76頁)になります。もっとも、これらの事件は、企業秩序に対する侵害が疑われる事象が起きたあとに電子メール等を雇用主がモニタリングした事件ということになります。

あまり、明確に意識されて議論されていませんが、一般的なモニタリング(サーベイランス)と企業秩序維持からする調査権の行使は、峻別されて議論されるべきと考えています。

この枠組みからいくと、 Bărbulescu v. Romania事件 は、 一般的なモニタリングの可否が、懲戒の効果に影響を与えた事件ということになります。

その意味で、N社事件、F社事件が、他の事実から、会社の秩序違反が疑われた時点以降の問題であるのと、事件としては異なっているということがいえます。

国際的な動向としては、

1)ILOの「従業員の個人データの保護に関する実務規範(Code of Practice on the Protection of Workers‘ Personal Data of 1997 )」

2)Recommendation CM/Rec (2015)5 of the Committee of Ministers of the Council of Europe to member States on the processing of personal data in the context of employment

があるということです。

 

TV SuitsとチャットボットThe Donna

米国弁護士もののお気に入りのSuits シーズン6で、お話に、The Donnaというスーパー秘書のAIスピーカーが登場します。

ドナ・ポールセンの言い回しと能力を備えたAIスピーカー(?)という設定ですが、昨年来のAIスピーカーブームをうかがわせますね。

自分としては、音声認識と相談アルゴリズムを組み合わせるというのは、興味深いので、そういうのからも面白がっていました。もっとも、ネットでの評判は、ストーリーからはずれているのでは、という声も多いみたいですが。

 

テナント弁護士募集中です

所属事務所の決まっていない修習生の方々

駒澤綜合法律事務所では、テナント弁護士を募集中です。(何年かの経験のある弁護士さんも歓迎します)

俗に、いわゆるノキ弁というスタイルになるかと思います。条件については、事務所の法律相談のページからお問い合わせください。

所長 高橋郁夫

弁護士ドットコムの取材を受けました

弁護士ドットコムさんの取材を受けたのが記事になりました。「無線機で他人の「家庭用コードレス電話機」の会話が聴ける…これって法的に問題なし?」という記事です。

電波法の「通信の秘密」というのは、電気通信事業法の通信の秘密とちょっと違うのに気がついてもらいたいですね。

ちなみに、「無線通信を愛好する法律家協会(JQ1ZOR)」という団体がありまして、その監事を務めさせていただいています。

相続・離婚から、IT関係まで、幅広く対応しております。(刑事は、事務所の他の弁護士さんが対応してます)

お気軽にご相談ください。

高橋郁夫

英国におけるGDPR対応の状況-情報コミッショナーの対応

英国の情報コミッショナーにおける対応

(1)概要

情報コミッショナー(ICO)は、GDPRの適用について、「データ保護改革(Data protection reform)」として、専門に解説をなしています。

また、情報コミッショナーは、2017年5月25日に、企業に対して、30年来でもっとも大きなデータ保護法の変革であるとして、準備に遅れることは許されないと(ブログで)発言しています

情報コミッショナーは、GDPRの適用までの準備については、三つのフェーズで準備されるということを明らかにしています(Guidance: what to expect and when
具体的には、
フェーズ1  精通し基礎を固めること(Familiarisation and key building blocks)
フェーズ2 ガイダンス構築およびマッピング、過程の検討および関連ツールの発展( Guidance structure and mapping, process review and initial development of associated tools)
フェーズ3 大量のガイダンスの最新か/提出および検討(Bulk guidance refresh/production and review)
ということになります。

現時点においては、英国は、第1段階から、第2段階に移行する途上であると認識されています。

現時点までに、情報コミッショナーは、
GDPRに備える、現在なすべき12のステップ(Preparing for the GDPR: 12 steps to take now)」
GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」
プライバシー通知、透明性およびコントロール(Privacy notices, transparency and control)」(プライバシー通知実務規範)
同意ガイドライン・パブリックコメント案
プロファイリング・パブリックコメント案
ビッグデータ分析(バージョン2)
を公表しています。

(2)「GDPRに備える、現在なすべき12のステップ(Preparing for the GDPR: 12 steps to take now)」

「GDPRに備える、現在なすべき12のステップ」は、まさにGDPRに備えるために気をつけるべき12のステップを明らかにするものです。
具体的には、
(1)意識(2)保持している情報(3)プライバシー通知(4)個人の権利(5)主体のアクセス要求(6)個人データ処理のための法的根拠(7)同意(8)児童(9)データ侵害(10)データ保護バイ・デザイン、データ保護インパクト評価(11)データ保護責任者(オフィサー)(12)国際関係
にわけて、GDPRに対応するためにとるべき行為をまとめています。

(3)「GDPRの概要(Overview of the General Data Protection Regulation (GDPR))」

GDPRの概要は、組織において、GDPRの重要なテーマを明らかにして、新しい法的枠組を理解するのに一助としようというものです。

具体的に、原則、考慮すべき重要なエリア、個人の権利、説明責任およびガバナンス、データ侵害通知、データ移転、国における適用免除から成り立っています。

原則については、個人の権利/個人データの移転禁止が原則としては記載されていないこと、アカウンタビリティの原則が追加されていることが触れられています。

考慮すべき重要なエリアについては、適法な処理、同意、児童の個人データがあげられています。

個人の権利については、情報を提供されるべき権利、アクセス権、訂正権、消去権、処理制限権、データポータビリティの権利、異議権、自動化された意思決定およびプロファイリングに関する権利について説明がなされています。

説明責任およびガバナンスにおいては、その原則の意義、処理の記録、データ保護バイ・デザイン、データ保護インパクト評価、データ保護責任者(オフィサー)の選任時期、行動規範と認証メカニズムが議論されています。

データ侵害通知においては、その概念、監督機関への通知義務の発生、個人への通知の要否、通知方法、準備について触れられています。

データ移転においては、データ移転が許容されるのが、十分性決定に基づく移転の場合と、適切な保護措置に従った移転があるのか説明されています。

国における適用免除については、GDPR23条が、制限規定を有していること、同9章が、適用除外・例外を定めていることが論じられています。

(4)プライバシー通知、透明性およびコントロール

これは、個人データの取得に際して明らかにされるプライバシー通知(告知されるプライバシーの取扱等に関する情報)に関して、良き実務についてガイダンスを与えようとする行動規範ということになります。

内容としては、効果的なプライバシー情報を提供する理由、プライバシー通知に含まれるべきもの、個人に告知される場所、告知されるべき時機、記載される方式、テストおよび調査、チェックリスト、実際、GDPRとの関係にわけて検討されています。

(5)同意ガイドライン・パブリックコメント案

(6)プロファイリング・パブリックコメント案

これらについては、またの機会ということにしましょう。

英国におけるGDPR対応の状況-政府の対応

GDPRについて、英国政府は、2017年4月17日には、「GDPR除外規定に関するコメント募集(Call for views on the General Data Protection Regulation derogations)」を公開しています。英国政府は、事業に対して、不必要な負担を課さないように、交渉を行った旨の見解を明らかにしています、また、GDPRは、(それ自体が、規則であって、柔軟性に乏しいとはいうものの)特定の規定が適用される場合について各国が国内法で、除外規定を定めることについて、英国がやはり裁量を行使しうることになります。

このパブリックコメントは、回答方法・背景のあとに諮問項目が掲載されています。

もっとも、この諮問項目自体は、テーマ1 監督機関 テーマ2 制裁 テーマ3 コンプライアンスの顕示 テーマ4 データ保護オフィサー テーマ5 保管および調査 テーマ6 第三国移転  テーマ7 機微個人データおよび例外 テーマ8 刑事制裁 テーマ9 権利および救済 テーマ10 オンラインサービスについての子供の個人データ テーマ11 メディアにおける表現の自由 テーマ12 データ処理 テーマ13 制約 テーマ14 教会および信仰集団に関するルール に大きくわけて、関連する条文のみが記載されているにすぎません。
このパブリックコメント募集に対しては、324の応募があり、これらの意見は、公開されています 。

また、2017年5月には、「GDPRのもとで、個人データ権の定量化の調査および分析(Research and analysis to quantify the benefits arising from personal data rights under the GDPR)」という報告が公開されています。

この報告は、GDPRの改正によって充実する情報主体の権利について、消費者は、それらが、採用されることについて、5-10パーセントの価格に匹敵するものと考えていること、また、高額な罰金の存在が非常に高く評価されていることを述べている。

8月7日には、データ保護法案の趣旨説明(statement of intent)が明らかにされています。
この趣旨説明は、デジタル担当大臣からの序に続いて、1 デジタルエコノミー 2 私たちのデータ保護改革 3 改革の実装 4 前向指向 という構成になっています。

2 私たちのデータ保護改革は、概観、個人の保護(プライバシー、データアクセスの改善、データポータビリティ、忘れられる権利、プロファイリング)、組織の保護(アカウンタビリティ、データ保護侵害のリスク低減支援、簡単なルール)、タフな規制当局(調査権限、民事制裁、刑事制裁、ジャーナリスト・内部告発社の保護)、法執行目標のためのあつらえ対応枠組から成り立っており、それらについて、それぞれ詳細な叙述があります。

3 改革の実装は、国内のデータ保護法を位置づけることは、重要であるとして、GDPR、データ保護法執行指令、欧州評議会個人データの自動処理に係る個人の保護に関する条約との一貫性がとられていなければならないとするものです。

この章において、GDPRは、新たな権利とデータコントローラとプロセッサーに対する義務を導入していると説明しています。

そこでの新たな権利は、アクセスの権利、データポータビリティ、忘れられる権利、法的救済である。
また、新たな義務としては、データ侵害通知義務、通知通告の廃止、データ保護インパクト評価、データ保護オフィサー、行政的制裁があげられています。
そして、データ保護法については、GDPRにおける適用免除の行使、一般的データについてのデータ保護標準の適用、データ保護法1998の廃止が述べられています。そして、パブリックコメントの結果が報告されています。
また、適用除外の議論として、児童をオンラインで保護するための同意の問題、刑事判決・犯罪データの処理、自動的個人判断生成の問題、メディアにおける表現の自由の問題、調査の問題が議論されています。

4 前向指向 においては、サイバーセキュリティとデータ保護、データ・貿易・ヨーロッパ共同体が議論されています。