2018年5月26日 (土曜日)

Advertising fraud

下記の記事が出ている。

 Ad fraud is out of control -- billions lost by media industry, says a new report
 ZDNet: May 25, 2018
 https://www.zdnet.com/article/ad-fraud-is-out-of-control-billions-lost-by-media-industry-says-a-new-report/

| | コメント (0)

VPNFilter

下記の記事が出ている。

 FBI tells router users to reboot now to kill malware infecting 500k devices
 ars technica: May 26/2018
 https://arstechnica.com/information-technology/2018/05/fbi-tells-router-users-to-reboot-now-to-kill-malware-infecting-500k-devices/

| | コメント (0)

個人情報保護委員会のGDPR日本語訳

日本国の個人情報保護委員会によるGDPR翻訳作業が完了し,PDFファイルでその対訳形式の翻訳物が公開されている。

  https://www.ppc.go.jp/enforcement/cooperation/cooperation/GDPR/

今後は,GDPRの運用面における研究が重要性を増す。

その場合には,例えば,第三国移転の関係では外交の実務に関する知識・経験が重要になり,管理者や処理者の関係では企業法務の実務に関する知識・経験が重要になる。それは,現在の実務の大半が「本当はダメなのだ」ということを現場の実務担当者はよく知っていることによるもので,「現在の実務が良い」からではない。このことは,関連弁護士事務所等から出版されている書籍の中に書かれていることでも同じである。

それゆえ,実務の知識・経験だけでは足りず,常に総合的な判断を心掛けることが求められる。

それと同時に,EUにおいては,個人データ保護や情報セキュリティと関連する法令が今後もどんどん制定・改廃され,関連する政策文書がどんどん公表されることになるので,それらを素早く精読し,理解することも必須となる。

個人データ保護と情報セキュリティは,情報法の分野において横断的に存在するプロトコル層の一部を構成するというのが私の理解であり(「情報社会の素描」参照),この分野の研究者にとって避けることの決して許されない検討対象の集合を構成している。

今後も勉強を継続しなければならない事柄が山積している。

| | コメント (0)

2018年5月25日 (金曜日)

GDPR参考訳・再訂版

昨年,GDPR参考訳の改訂版を出した。その前文の部分はKDDI総研で公開されている版に反映されている。

その後,更に発見されたミスタイプ等を修正し,勉強不足のために誤解のあった部分等を改め,加えて,個人情報保護委員会で使用されている訳語を尊重して訳語の一部を一括修正した再訂版を法と情報雑誌3巻5号で公表した。

2018年5月25日のGDPRの適用(施行)にどうにか間に合わせることができた。

この雑誌は,同人誌として,ごく少ない部数だけ発行しているものだ。通巻23号となったので,2年間続いたことになる。

明治大学の図書館の納本方針を尊重して納本していないので,明治大学の図書館にはバックナンバーがそろっていない。しかし,国会図書館の担当課に相談したところ,受け入れてもらえることになったので,ISSN番号を取得し,納本を続けており,国会図書館にはバックナンバーがそろっている。

この雑誌で提供している参考訳は,速報性を重視していることもあって,誤記や誤訳を含み得るという前提で,関連研究者の参考のために少数部だけ提供しているものだ。それゆえ,「仮訳」ではなく「参考訳」という名称を用いている。

その分野の専門家であれば,誤訳や誤記等があっても,原文を参照して自分でそのように理解することができるであろう。

なお,これまで発見された誤記等については正誤表を公開している。ただし,改訂版により一括修正したものについては,正誤表に反映されていないことがある。

  http://cyberlaw.la.coocan.jp/index2.html

法と情報雑誌は,紙媒体のみで発行しており,特に依頼を受け合意を得た場合を除き,公衆送信を認めていない。

そして,引用の体裁をとっているようであっても実質的にみて単なる流用に過ぎないものを公衆送信している場合には,サイトブロッキングの問題で話題となっている漫画サイトと同様,違法行為に該当し得ると考えている。

そのような実質的な流用物を公衆送信する行為が著作権法違反行為になるかどうかについて議論が分かれるところだろう。

けれども,もしそのような実質的には無断流用ばかりで構成されている成果物に対して公費からの支出がある場合,会計検査院は,厳重な検査を実施すべきだと考える。また,発注者である官庁は,少なくとも3年程度の間,当該事業者を出入り禁止とすべきである。

個別に相談を受けて合意をした上でファイルを提供しているところに対しては,公衆送信を含め,自由に改変・編集等をすることを認めているだけではなく,アフターサービスの趣旨も含め,その後に判明した誤記等を修正した版や説明資料等を提供し,また,改訂版を出したときには(改訂1回に限り)その改訂版のファイルを提供するようにしている。

また,ちょっと相談してくれれば,個別の事情と状況に応じて合理的な対応をしてきたつもりだ。

ただし,法と情報雑誌で公表している「参考訳」は,上記のような趣旨のものであるので,「その利用は,基本的に,利用者自身の責任において行われるべきものだ」という原則は,崩していない。

それにしても,さすが,それなりの評判のあるところは,それなりのことをし続けるものだと感心することがある。そのような情報は,研究仲間の間では実名で情報共有している。

さて,2018年5月25日を経過したので,速報性の要素をやや重視しなくてもよい状況となった。

今後は,見直し回数を増やして誤記・誤訳等を可能な限りゼロに近似させる努力を重ねるとともに,この分野における網羅性を重視した選択基準に従って更に参考訳を提供し続けようと思う。

| | コメント (0)

GDPRの起草者が想定した少し未来の情報環境はどのようなものだったのか?

個人データ保護指令95/46/ECは,約20年間実施された。この指令を全面的に置き換えて改正するGDPRは,警察指令,eプライバシー指令及びEU機関データ保護規則と併せて一体的なものとして(パッケージとして)改正されることが構想された。同時進行的に通信法の全面改正も企図された。現時点において現実に制定されたのはGDPR、警察指令(EU) 2016/680及びPNR指令(EU) 2016/681だけという感じになっているのだが、GDPRを正しく理解するためには,これらの法令の改正等を推進した近未来の情報環境の想定のようなものを理解しなければならない。

そのような想定を理解するために重要な文書は多数ある。それらの中で比較的理解しやすく,かつ,重要度の高いものとして,データ駆動型経済に関する通知がある。

 COM(2014) 442 final
 https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2014:0442:FIN

これを読まずしてGDPRを語ることはできない。

また,大規模なクラウド環境や広域ネットワーク環境を踏まえた個人データの安全性確保の面において,NIS指令の重要性を特に指摘しなければならない。NIS指令及び関連実装規則の正確な理解は,必須である。NIS指令は,情報セキュリティマネジメントシステムの基本的な考え方におけるインシデント対応の仕組み,特に,インシデント対応の際のエスカレーションの仕組みをEUの現実の組織構造の中に投影し,現実に機能させようとするものである。NIS指令は,サイバー犯罪対策及びテロ対策とも密接に連携するものであるので,サイバー犯罪条約及びそれに対応するEUの関連法令の理解も極めて重要である。

更に,その後の変化も考えなければならない。欧州議会のロボット法の制定を求める報告書の採択,関連する経済社会委員会の意見書等をくまなく読み,起草時時点以降の力点の変化を理解する必要がある。

以上のような精密な調査・検討を踏まえた上で,条項それ自体の微妙な変化も考慮に入れ,加えて,GDPRとの同時適用(施行)は見送られたもののなお極めて大きな重要性をもつeプライバシー規則案及びEU機関個人データ保護規則案をつぶさに検討しながら考えてみると,「個人データ」の定義の実質部分を従来とは相当に異なるものとして理解すべき必要性を認識することができる。

孤立した個々の「データ」ではなく「データセット」及びそれを用いた「プロファイリング」の社会的重要性の増加に関しては,上記のデータ駆動型経済通知の中でも強調されているところであるが,まさにそのことが,法概念の変容を招いているのである。

一般に,どのような法理論といえども,誰か過去の学者が考えた内容を符号化したものに過ぎない。そのことを正確に理解した上で,それ自体として破綻し,ダメになってしまった法理論及び社会的有用性が全くない法理論はさっさと捨て去り,新たな法理論の構築のための努力が継続されなければならない。

(余談)

法と情報雑誌に掲載した参考訳(初版)の中では,GDPRにおける立証責任の転換の重要性を強調し,研究仲間の間ではそのことを話題にしてきた。

この論点は,残念ながら,現在のところ,少なくとも日本国においては,ほとんど注目されていない論点の1つと言える。

しかし,個人データの侵害があった場合,「当該個人データの侵害について全く責任がないこと」を事業者側が主張・立証しなければならないのである。

それゆえ,通常の訴訟と同様に,被害者(原告)の側で,加害者(被告)の過失の立証ができなければ法的責任を負うことはないと安易に構えていると,実は大変なことになる。

関連企業としては,「全く責任がないこと」を立証するための証拠(エビデンス)が適正に確保され,それが利用可能な状態となっているか否かについて,常に神経をとがらせ続ける必要性がある。

| | コメント (0)

2018年5月24日 (木曜日)

GDPRの概要

5月25日から適用(施行)されるGDPR関連の書籍が増えてきた。

しかし,さっと読んで要点を掴むことのできる良い文書に出会うことは稀だ。

事情はEUにおいても同じようで,欧州委員会が要点メモのような文書を作成・公表している。

  COM(2018) 43 final
  https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52018DC0043

説明会等においても,担当者がこれを読み上げれば大丈夫というような感じの文書になっている。

日本国内では,この文書をコピペして抄訳しただけのものが論文等として出回るのではないかと想像している(笑)

なお,この文書の全文訳(邦訳)は,法と情報雑誌5月号に収録してある。

| | コメント (0)

Apple+VW

下記の記事が出ている。

 Apple, VW sign driverless car deal for Apple campus shuttles, NY Times sources say
 ars technica: May 24, 2018
 https://arstechnica.com/cars/2018/05/apple-vw-sign-driverless-car-deal-for-apple-campus-shuttles-ny-times-sources-say/

 Apple, Spurned by Others, Signs Deal With Volkswagen for Driverless Cars
 New York Times: May 23, 2018
 https://www.nytimes.com/2018/05/23/technology/apple-bmw-mercedes-volkswagen-driverless-cars.html

| | コメント (0)

2018年5月23日 (水曜日)

英国:個人データ保護のための適切な手立てを講じなかったとして,Greenwich大学に対し,12万ポンドの制裁金

下記の記事が出ている。

 Ahead of GDPR, UK fines University of Greenwich £120,000 over data breach
 ZDNet: May 22, 2018
 https://www.zdnet.com/article/ahead-of-gdpr-uk-fines-university-of-greenwich-120000-over-data-breach/

日本国の大学において,データ保護責任者を設置しているところはほとんどないのではないかと思われるが,検討すべき時期に来ているのだろうと思う。

特に,欧州からの留学生や研究者の交換を促進している大学においては,EU並みの個人データ保護の体制を整える必要があると考えられる。

| | コメント (0)

Rowena Rodrigues & Vagelis Papakonstantinou (Eds.), Privacy and Data Protection Seals

下記の書籍をざっと読んだ。

 Rowena Rodrigues & Vagelis Papakonstantinou (Eds.),
 Privacy and Data Protection Seals
 Asser Press (2018)
 ISBN-13: 978-9462652279

類書の乏しい分野を取り扱う論文集であり,貴重な1冊だと思う。

| | コメント (0)

2018年5月20日 (日曜日)

IBMが,現行の暗号は量子コンピュータによって簡単に解読できるようになるとの警告

下記の記事が出ている。

 IBM warns of instant breaking of encryption by quantum computers: 'Move your data today'
 ZDNet: May 18, 2018
 https://www.zdnet.com/article/ibm-warns-of-instant-breaking-of-encryption-by-quantum-computers-move-your-data-today/

関連する記事は何度か書いてきたが,このことの影響は極めて大きい。例えば,下記のような記事が出ている。

 Does Quantum Computing Threaten Healthcare Data Security?
 HealthIT Security: April 25, 2018
 https://healthitsecurity.com/news/does-quantum-computing-threaten-healthcare-data-security

(余談)

量子コンピュータ技術によって現行の暗号技術のほぼ全部が無意味なものとなってしまうことに関しては,法制面における影響もある。

例えば,個人データの保護との関係においては,「暗号化されている」というだけでは何の保証も与えていないことになる。「暗号化している」というだけで他に何らの手段も講じない管理者(個人情報取扱事業者)は,安全管理義務を全く履行していない違法行為者であることになる。

また,国は,重要なデータについて,暗号化を励行することを法令によって義務付けることが許されなくなる。無意味な行為を強制すること(特に罰則を設けること)は,それ自体として憲法違反を構成し得る行為である。それゆえ,そのようなタイプの法令は,有効性・合理性の全くない無意味な行為を強制する法令であるという意味で,そもそも全部無効であると理解することになるであろう。

このような技術の変化を踏まえると,現時点において既に,基本的には,「個人情報をデジタルデータ化しない」及び「個人データを電子的な手段によって通信しない」という選択肢しか残らないのではないかと思う。

このような時代が到来することは早い段階から容易に予測可能であった。それゆえ,私は,『ネットワーク社会の文化と法』(1997)において,「デジタルデータ化されない権利」を基本的人権の一種としてとらえるべきだとの見解を明らかにした。

この見解に対しては,いまだに「何を間抜けなことを言っているか」といった類の批判はある。しかし,私は,簡易なリトマス紙のようなものとしてこの理論を使うことができるということを実証し続けてきた。私のことをよく知っている関係者は,そのこともよく知っている。

| | コメント (0)

より以前の記事一覧