スリーストライクから共同規制へ

 少しだけ日本語に戻ります。さいきん諸般の事情により急ぎでフランス語とフランス法を強化中ということで色々やってましたところ、前にモルガン先生から教えて頂いた今月公開のPierre Lescureの報告書に基づいて(Merci beaucoup, Dr Morgan!)、オランド政権の文化通信大臣がHadopiを来月にも(extrêmement rapidement, dans le mois qui vient)廃止することを正式に発表したとのこと。兎園さん(いまだご正体は不明)のtwitterにて見つけたのですが、なぜかまだ英語圏ではニュースが見当たらず。
http://www.lemonde.fr/technologies/article/2013/05/20/hadopi-la-coupure-internet-sera-supprimee-en-juin_3385291_651865.html
 
 ということでグーグル翻訳使ってちくちくと報告書読み。本体はこちらの右側PDF。
http://culturecommunication.gouv.fr/Actualites/A-la-une/Culture-acte-2-80-propositions-sur-les-contenus-culturels-numeriques
 基本的には代わりに検索エンジン等を含む媒介者の対応を強化させるという形で(34p-)、しかもそのやり方は公的枠付けを受けた自主規制に依るべき(Ainsi, la puissance publique pourrait promouvoir, tout en l’encadrant, une autorégulation fondée sur des engagements pris volontairement par les différentes catégories d’intermédiaires ... Cette forme d’autorégulation encadrée par la puissance publique offrirait une souplesse et une réactivité..)ということで、まさに「政府規制から共同規制への移行」とも言うべききわめて興味深い内容。『情報社会と共同規制』第6章では欧州のスリーストライクに関して、
 
・米やアイルランドなんかはプロバイダと権利者団体の協定に基づく「自主規制」
・英国なんかは自主規制の失敗に基づく「共同規制」(ただその実現は微妙)
・フランスはHadopiの「政府規制」
 
 という整理をしてみたんだけど、政権交代という背景があれど、フランスで政府規制たるHadopiが失敗して、共同規制に移行というのは英国と対照的で面白い。「イノベーションと共同規制」では21pに書いたオンライン・プライバシーを巡るEU・米国の相互接近の図が、まさに著作権・スリーストライクを巡って対照的だったフランスと英国の間にも該当し始めているという。やはりネットの問題は自主規制でも政府規制でもだめで、共同規制によってのみ解決されうる。
http://ikegai.jp/Innovation_and_coregulation.pdf
 ちなみにSelf-regulationの訳語として自主規制を充てるのはよいとして、フランスを対象にするときは文脈によってはautopoïèseよろしく「オートレギュレーション」とちゃんと訳し分けるべきなのかなというあたりの問題は専門ど真ん中なので、概念の経緯と実際の運用をよく調べつつ要検討。翻訳は言語と文化への敬意をもってこそ、ですよね。しかしだとしたら、フランスの共同規制は「セミオート・レギュレーション」、なのか?滝汗
 
 さはさりとて。他に全体的に報告書を拾い読みしている限りでも、現行フランス法にも明文規定のないdomaine publicを明文化すること(38p-)などが含まれており、これは先日の著作権法学会島並先生たちのご報告の文脈からも興味深いところですよね。「利用」や「自由」は利用者の権利とし得るのか、あるいは「文化の発展」の上位概念として位置づけられるべきであろう「公共/公益の増進」は、そもそも著作権法の実現しようとする価値に(どの程度)含まれるんだろうか?問題など、など、など。
 ここのところいくつか欧州各国の先生方とやりとりさせて頂く機会が増えているけれど、その中でもフランスは米IT勢との戦いという意味でもとても興味深い一方、孤児作品どころか絶版書籍をもオプトアウトでデジタル化・公開しようとするBNFのReLIRE(http://relire.bnf.fr/)に代表されるように(Merci encore, Dr Morgan!)、自国の「文化のためであれば」逆向きの方向性も非常にアグレッシブなことをしていらっしゃいます。これが本当の「カルチャー・ファースト」なんだなあと感銘を受けるばかり。日本ももっと真似したいところです。なにしろLe droit civil japonais est basé sur le droit et l'histoire française!ですから!

NISC proposed new data retention law

Yesterday, the National Information Security Center (NISC) at the Japanese Cabinet Secretariat officially published a proposal document that recommends next strategies for Japanese cybersecurity law and policy.
http://www.nisc.go.jp/conference/seisaku/
http://www.nisc.go.jp/conference/seisaku/dai34/pdf/34shiryou0101.pdf
 
This document contains topics as below;
 

  • Enabling to scan and block e-mails that is suspected to contain malware or other message with harmful intent
  • Legislating new law that requires ISPs of long term retention and preservation of all communication datas (Japanese version of the EU's Data Retention Directive, 2006/24/EC)
  • Establishing a new cyber defense force under the Self-Defense Force

 
As a matter of course, the most important agenda is balancing privacy (secrecy of communication) and scanning/retaining communications. Under the Japanese Constitutional Law that became effective in 1947 and the other related privacy protection laws, the meaning of “secrecy of communication” is very broad. The latter article 21(2) of the Constitutional Law says that “No censorship shall be maintained, nor shall the secrecy of any means of communication be violated”.
 
The meaning of the word “communication” is interpreted as containing not only communication content itself, but also communication data by court and government (e.g.; government’s official commentary of Telecommunication Law of 1984 article 4). Even if the purpose is cyber security, government or ISP can’t scan or brock them without strongly clear and comprehensive consent of customers or other legitimate reason. How to amend or change the interpretation of secrecy of communication is very important topic in Japanese legal scholars in these years, in the context of blocking unlawful information including copyright infringement, child porn, and other harmful content.
 
In the 2011 amendment of the Japanese Criminal Procedure Law (article 197) that has made for the purpose of ratifying the Convention on Cybercrime, limited preservation of communication data by request from relevant authority has been newly approved. The provision accredits the government authority to request ISPs to keep their customer’s communications data in at most 30 days in case of specific criminal activities is detected without the court’s warrant. Some Japanese legal scholars criticize it from the viewpoint of privacy and secrecy of communication. The NISC's new strategy goes beyond it.
 
I will make a presentation that deals with this topic, especially how to solve the cybersecurity trade-off problems at the 43rd Annual IEEE/IFIP International Conference on Dependable Systems and Networks, Workshop on Systems Resilience (Budapest/Hungary) in next month.
http://systemsresilience.org/wsr2013/wsr2013.html
And I'm preparing an article that forcuses on scanning and blocking communications in case of emergency, with analyzing 2,000 samples questionnaire data. That will be written in English.

MIC proposed to establish Japanese CNIL

 
Yesterday, the Japanese MIC (Ministry of Internal Affairs and Communications) officially published a proposal document that recommends to establish a new independent privacy commission (Japanese version of CNIL).
http://www.soumu.go.jp/menu_news/s-news/02ryutsu02_03000118.html
 
This document contains topics as below;
 

  • Establishing a new independent privacy commission
  • Multi-stakeholder rule making process of self or co-reguratory rules
  • Mesures to deal with "potentially PII" data adequately, especially anonymized Big Data
  • Strengthening enforcement of self or co-regulatory rules
  • International harmonization and cooperation

 
As broadly known, Japanese privacy protection structure is not approved to have the "adequate level of protection" by the European Commission, mainly because of the absence of independent privacy commission. And Japan has not been able to make international safe harbor agreement such like the EU-U.S. agreement.
 
This is an important step for the future of the Japanese privacy law and policy.
Below is one of my articles witch deals with this problem, especially focusing on the issue of co-regulatory safe harbor approach. To realize it, Japanese CNIL is the necessary and central element.
(Sorry for Japanese only, I'm translating this article into English.)
 
http://ikegai.jp/Innovation_and_coregulation.pdf

本が出ました:『デジタルコンテンツ法制』

 また一件ご報告と致しまして、財団法人デジタルコンテンツ協会の事業の一環として行っておりました「法的環境整備委員会」2010年度の成果をまとめる形で、森・濱田松本法律事務所の増田雅史弁護士と一緒に書いておりました書籍が、本日3/7発売となりました。

デジタルコンテンツ法制

デジタルコンテンツ法制

 デジタルコンテンツに関わる法制度の過去・現在・未来を、コンパクトに総ざらいして頂けるかなりおトクな内容になっておりますので、お見かけになりましたらぜひお手に取って頂くことができましたら幸いです。
 
(発売日に日経朝刊の2面下欄に広告を出して頂きました。3/12にはAERAにも広告出して頂けるみたいです。)

『「統治」を創造する』シンポジウム(1/23)に登壇します

 一件ご案内です。昨年12月、慶應の西田亮介さんや一橋の塚越健司さんたちと一緒に執筆した『「統治」を創造する―新しい公共、オープンガバメント、リーク社会』が出版されました。私自身は第7章「オープンガバメントと著作権―欧米の取組と日本への示唆」を担当し、諸外国におけるオープンガバメントの著作権の取扱について紹介した後、日本においてもクリエイティブ・コモンズ・ライセンス等を利用して政府情報のオープン化を加速していくべきだということを論じています。

「統治」を創造する 新しい公共/オープンガバメント/リーク社会

「統治」を創造する 新しい公共/オープンガバメント/リーク社会

 その出版関係の企画として、以下の要領で1月23日(月)に、永田町の憲政記念館にてシンポジウムを開催することになりました。執筆陣全員勢揃いで、今後の新しい日本の統治のあり方について多面的に議論する予定です。18時からとお勤めの方もご参加しやすい時間帯になっておりますので、ご関心ございましたらぜひご来場くださいませ。

===

特別シンポジウム『「統治」を創造する ―新しい公共、オープンガバメント、リーク社会』
http://ozakiyukio.or.jp/project/2011/12/post-9.html

(財)尾崎行雄記念財団「咢堂塾21」特別シンポジウム

「統治」を創造する
新しい公共、オープンガバメント、リーク社会

日本を揺るがした大震災。そこで人々をつなげたのは「Twitter」や「助けあいジャパン」などにおけるSNSだった。またウィキリークスによる機密情報のリークやジャスミン革命における「Facebook」の活躍なども連日報告されてきた。これら「支援」から「革命」までを横断する、高度情報化社会における変革の背景には何が見えるのか。一人一人が世界を変えられる時代に必要なヴィジョンとは。12月に発売された『統治を創造する』の執筆陣が語り尽くします。

登壇者

 西田亮介(にしだ・りょうすけ):
1983年生。東洋大学非常勤講師。慶應義塾大学大学院後期博士課程在籍中。中小機構リサーチャー、デジタルハリウッド大学非常勤講師等を兼任。
 塚越健司(つかごし・けんじ):
1984年生。一橋大学大学院社会学研究科博士後期課程在籍中。専攻は社会哲学・政治社会学フーコーからウィキリークスまで幅広く研究。
 谷本晴樹(たにもと・はるき):
1973年生。(財)尾崎行雄記念財団主任研究員。Inter Press Service Japan理事。ネットメディア『政策空間』編集委員。政治社会学会監事。
 吉野裕介(よしの・ゆうすけ):
1977年生。京都大学博士(経済学)。日本学術振興会特別研究員、スタンフォード大学客員研究員を経て、現在京都大学GCOE研究員。
 藤沢 烈(ふじさわ・れつ):
1975年生。(社)RCF復興支援チーム代表理事一橋大学社会学部卒業後、飲食店経営、マッキンゼーを経て独立。ベンチャーNPOの支援に携わる。東日本大震災復興対策本部非常勤スタッフ。
 生貝直人(いけがい・なおと):
1982年生。東京大学大学院学際情報学府博士課程在籍中。慶應義塾大学SFC研究所上席所員(訪問)、NPO法人クリエイティブ・コモンズ・ジャパン理事、東京藝術大学総合芸術アーカイブセンター特別研究員等を兼任。
 イケダハヤト:
1986年生。早稲田大学政治経済学部卒業後、大手半導体メーカー広報を経て、独立。ライター、講演活動、政治家やNPOソーシャルメディア活用支援を行う。
 円堂都司昭(えんどう・としあき):
1963年生。早稲田大学第二文学部東洋文化専修卒。文芸・音楽評論家。『「謎」の解像度―ウェブ時代の本格ミステリ』(光文社)で日本推理作家協会賞本格ミステリ大賞受賞。

【日 時】 2012年1月23日(月)午後6時00分〜8時00分

【会 場】 憲政記念館 第一会議室     
千代田区永田町1-1-1:有楽町線永田町駅丸ノ内線国会議事堂前駅2番出口・徒歩5分)

【参加費】 無料

参加希望の方はこちらまでご連絡ください。
(info@ozakiyukio.or.jp宛てに、お名前をお伝えください。)

EU行動ターゲティング広告業界団体の自主規制案が大苦戦中

 少し間が空いてしまいましたが、引き続き『情報社会と共同規制』では第5章「行動ターゲティング広告のプライバシー保護」で取り扱ったEUのプライバシー政策関連でこれまた重要な動きがありました。

 先のポストで取り上げたデータ保護指令全面改正ドラフトでは、行動ターゲティング広告に関わるクッキー等の取り扱いは含めず電子プライバシー指令で引き続き対応していくことが確認されていた(ドラフト89条)ことを書きましたが、そちらの電子プライバシー指令に関わるクッキーの取り扱いについて、「行動ターゲティング広告業界団体の自主規制案を29条作業部会がリジェクトした」件についての詳細なopinionが出されました。

 少々文脈が複雑なので拙著をかいつまんで背景からご説明致しますと、EUではクッキーを利用した行動ターゲティング広告につき、2002年当初の電子プライバシー指令(2002/58/EC)の5条(3)において「ユーザーの端末(terminal equipment)に蓄積された情報は、当該ユーザーがその利用目的等についての明確かつ包括的な情報を与えられている場合に限り利用可能であり、ユーザーはその利用を拒絶する権利を持たねばならない」として、オプトアウトでの対応を規定しておりましたところ、

 2009年の通信関連指令大改正に伴う電子プライバシー指令改正(2009/136/EC)において同条は「ユーザーの端末に蓄積された情報は、当該
ユーザーがその利用目的等についての明確かつ包括的な情報を与えられた上で同意を得た場合に限り利用可能である」と書き換えられ、オプトインでの対応が求められることになりました。

 この改正については関連業界からは当然大きな抵抗が起き、いまだ改正指令自体が数カ国でしか国内法化がされていない状況が続いておりましたが、中でも英国では、オンライン広告業界団体が中心となって「あくまでオプトアウトにこだわった」自主規制案を作り、それを英国内個人情報保護当局に承認してもらう共同規制の体制作りに向けた努力を続けておりました(このへんまで5章で紹介しました)。

 この動きは英国を超えてEU域内のオンライン広告業界全体に広がっており、2010年ごろからEUレベルでの広告業界団体European Advertising Standards Alliance (EASA)とInternet Advertising Bureau Europe (IAB)が中心となり同じく「あくまでもオプトアウトにこだわった」自主規制原則を策定し、EUレベルでの共同規制の構築に向けてEU当局の承認を求める作業を進めておりました(背景では欧州市場の規制強化を止めたい米国のIT企業勢がスポンサーになっていると聞いています)。

 雑駁に要約しますとこれは「改正電子プライバシー指令の文言ではオプトインが原則と書いてあるけれど、それではライフログ商売が成り立たないので、オプトアウトでの自主規制を業界全体としてちゃんと責任持ってやっていくので、それをもってオプトインは勘弁してください」ということを業界側が欧州委員会にお願いに行っていたという話なのですが、今回の29条作業部会のopinionは、それに対して「いや、やっぱりオプトインじゃないとダメだ」という回答を明確に返したということになります。

(さすがに「ダメだ」だけでは「それじゃ一体どうすれば、、」という話になってしまいますので、29条作業部会としても上記opinionのp.9-10にてオプトイン同意取得の方法論としていわゆるポップアップ型の他、バナー型やブラウザのデフォルト設定等のいくつかの類型を示しており、正しいオプトインのやり方として参考になります。)

 この自主規制原則が認められるかどうかは、EUにおける行動ターゲティング広告産業の将来を実質的に占う試金石とも言えるものだったので注目しておりましたが、やはりEUのプライバシー重視の姿勢は強硬の模様です。もちろん業界側としてもまだ完全に諦めたわけではなく、引き続きギリギリのラインを巡る鞘当が行われていくものと思いますが、業界側としてはかなり厳しい戦いを強いられることになりそうです。

 一方米国では最近のいわゆるDo Not Track法案などを見ても基本的にはオプトアウトの仕組みを強化していく方向で対応する模様で、我が国としても昨年2010年5月の総務省「配慮原則」によって米国型の仕組みを暫定措置として採用していくことが確認されましたが、EUの側がこのような強硬姿勢を堅持するとなると、所管の消費者行政課としてもこれから先EU型(オプトイン)と米国型(オプトアウト)の「どちらを採るか」という判断は、悩ましいものになっていくだろうなあと思います。

 ちなみに米国型を続けるとしてもオプトアウトの強化策は日本ではまだほとんど手が付いていないところなので、いずれを採るにしても自主規制関連の仕事は多くなるところです。最低限でもEU・米国共に構築を進めている業界団体レベルでの一括オプトアウトの仕組みは必要になってくると思います。

EUデータ保護指令の全面改正草案リーク

 というわけで最初のポストは、『情報社会と共同規制』第5章「行動ターゲティング広告のプライバシー保護」で主に取り扱ったプライバシー政策の中でも、特にEUの個人情報保護指令であるデータ保護指令(data protection directive、95/46/EC)についての動きです。データ保護指令については1995年に制定されて以来デジタル時代の変化に対応するための改正の必要性がここ数年議論されてきており、来年2012年1月にはその全面改正草案が公開される予定だったのですが、なんと先日その草案が誰かによってリークされてしまいました。
 
http://www.statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf
 
 まず何より大きいのは加盟国が国内法で対応を行うこととなる指令(directive)から、発行と同時に域内における強制力を持つ規則(regulation)への変更が前提になっているところです。その他主な改正内容だけ挙げても話題の「忘却される権利(right to be forgotten)」の導入や医療・遺伝・生体認証等センシティブな情報の定義と取扱区別の明確化、29条作業部会の強化改組、越境的個人データ流通を円滑化するための拘束的企業ルール(BCR)の見直し、データ管理者と対象の力関係が甚大な場合への対応などを含めた「同意」の実質性の強化、年間利益の5%を上限とした罰則金などなどなど本当に多岐に及びますが、その辺は英語の解析記事も多いのでそちらに譲るとして、本書の関係から特に重要なのものとしては以下の2点が挙げられると思います。
 
・第一に、ドラフト89条で確認されているように、今回は電子プライバシー指令(e-privacy directive、2002/58/EC、2009年に2009/136/ECで大幅改正)との統合が視野に入っていないことです。本書5章で取り扱ったような行動ターゲティングに主に用いられるブラウザのクッキーや、DPI(deep packet inspection)に関わる通信の秘密等は基本的に引き続きE-Privacyの方の指令で担保されることになります。ここしばらくネット関係のプライバシーの話題としては行動ターゲティング広告関係がホットだったのでその方向の改正もあるのかなと予想していたんですが、行動ターゲティングライフログの問題はいまだレギュレーションで取り扱えるほどのコンセンサスが存在しておらず、引き続き各国の取組と産業界の自主規制の進展を注視していく段階という現状認識なのかな、と思います。もちろんまた電子プライバシー指令の方の改正が入ることもあるのかもしれません。
 
・第二に、ドラフト35条で現行27条にあった産業界の行動規定(Code of Conduct)の取扱についての記述を大幅に拡充しコミッションの承認等の手続きを詳細化していること、そしてドラフト36条でcertificationの規定を新設しEUレベルでのプライバシー・マーク的なものを促進するとしているなど、自主規制・共同規制の方法論を積極的に活用していく姿勢が示されていることです。これは単一のレギュレーションで全産業分野を包括的に取り扱うことにはやはり限界があることに一定の配慮を示したものだと考えられます。レギュレーション化によって確かに「各国毎の」規律の差異はなくなりますが、(ある意味では日本の個人情報保護法について各省庁が数十のガイドラインを作成していることと同じように)今後EUレベルでの「産業セクター毎の」自主規制・共同規制が形成され、実質的なセクトラル型の(いわば「タテ」から「ヨコ」への)ルール形成が少なからず進展していくことになるのではないかと思ったりしています。特に忘却される権利はドラフト15条で表現の自由等の例外を含めてそれなりの分量を使って記述していますが、やはりそれだけからウェブサイト等はじめとする色々な企業の具体的な振る舞いを指定できているわけはなく、この権利の実現にこそ共同規制手法が駆使されることになるのではないかと予想(期待)しています。
 
 この件は1月に正式なドラフトが出てきた後にもまた詳しく検討して参ります。色々と批判は多くてどの程度の大改正になるかはまだまだわかりませんが、もし大筋でもリーク文書の通りになるとすればそもそも現行指令を大きく参考にしている日本法も改正の機運が大きく出てこざるを得ないところだろうと思いますし。