英国の個人情報保護委員会が保護法制の根本的問題点と議会等に向けた対策を指摘
英国の個人情報保護のための独立公的機関として有名な「Information Commissioner Office(ICO)」の委員長であるリチャード・トーマス氏(Richard Thomas)は、5月12日に以下述べるような英国等における昨今の個人情報をビジネスとして取り扱う傾向の顕在化を踏まえ、現行の保護法(筆者注1)や裁判における処罰の甘さを指摘した報告書「What price privacy?(副題は「機微個人情報をめぐる違法取引の実態」)」で、その厳格化のため処罰強化を含めた具体的取組みを議会や関係者に訴えている。(筆者注2)
昨今わが国では施行後1年を迎え、過剰な保護法対策への問題指摘がある一方で、欧米諸国では保護対策・法制不備をめぐる議論や新たな個人情報の侵害行為への対策の議論が続いている(筆者注3)。同報告書は、違法な個人情報の取引の実態検証を保護機関として独自に集めたデータを下に違法ビジネスの実態にせまるものであり、保護法制度的に異なるものの、わが国が取り組む上で示唆に富む内容といえる。
1.違法売買の対象とされる主な個人情報の内容
①現住所
②車の所有権の細目
③電話帳未搭載者の電話番号または通話記録
④前科記録
⑤銀行口座の細目
2.主な情報の売り手
①私立探偵(private investigators)
②債務者の追跡業者とその部下(tracing agents)
③①や②の仲介業者や部下
④犯罪者
⑤公的機関、法律事務所、生命保険会社(ICOが独自に調査し結果、これらの機関が個人情報の調査を請け負っている場合があり、法的な制限が必要である)
3.主な情報の買い手
①債務者の追跡役(trace debtors)
②ジャーナリスト(いわゆる有名人を追いかける)
③金融機関
④かつての配偶者の居場所や金銭収入の詳細などについて現在疎遠になった者
⑤詐欺の意図を持った者や証人や陪審員の脅迫を目的とする者
4.ICOへの消費者などからの苦情受付の実態と罰金刑の実態調査
(1)保護法は2000月3月1日に施行された。55条に基づく苦情件数は年間平均180件以上でそのほとんどがプライバシーが侵害されたとする個人からである。
(2)2002年半ばから2006年1月の間にCIOはイングランドとウェールズの刑事裁判所および治安判事裁判所に対し25件の訴追を行った。うち3件を除き有罪判決をえた。
(3)罰金額の内訳を見ると、1犯罪あたりの罰金額は9件の場合で50ポンド(約10,250円)から150ポンド(約30,750円)で、複数事案において2,000ポンド(約41万円から3,000(約615,000円)ポンドであった。罰金の合計額が法定上限の5,000ポンド(約1,025,000円)の事案は1件のみであった。
(4)2000年9月にICOは福祉担当機関である「給付金局(Benefits Agency )および「内国歳入庁(Inland Revenue)」の協力の下で組織的な個人情報の違法売買の実態調査を行なった。10万件以上の犯罪の実態調査結果を元に、2004年11月にICO、関税税務局(HM Revenue & Customs)および労働年金局は55条犯罪の捜査のための「新トライデント計画」を立ち上げた。
(5)組織的な法律違反・裏市場の証拠収集のためICOは「デーヴォン&コーンウォール警察管区」の召喚状に基づきサリー州の建物等の捜査を行い各種の証拠を確保した。その結果、違法な情報収集グループおよび違法な買い手グループの実態が明らかとなった。報告書16ページ参照。
(6)違法な個人情報の売買における料金一覧についての実態も明らかとなった。例えば、選挙人名簿の住所情報は1件17.5ポンド、犯罪記録は500ポンド、携帯電話の登録内容は750ポンドであった。(詳細は24頁参照)
(7)ICOが訴追した事案における罰金額一覧については、38ページ以下に一覧でまとめられている。
(8)犯人が交通機関を名乗って落した財布などを返却すると偽って個人の電話番号や氏名を聞きだす手口が教育マニュアル例として紹介されている(附表B)。
5.ICOとしての法改正の提言
現状のような低い処罰の内容では売り手、買い手ともに犯罪行為を思いとどまらせるには不十分であり、重罰化すなわち、刑事法院への起訴事案では「最高2年の禁錮刑」、また治安判事裁判所への起訴事案では「最高6ヶ月の禁錮刑」といった法改正の提案を行う。
この問題についてICOは本報告の関係者の反応、報告書の問題提起に対する裁判の改善状況等を踏まえ、6ヵ月後にフォロー報告を作成する予定である。
また、大法官(Lord Falconer)に対しても問題の重要性・緊急性を説明するとともに議会での議論を期待する。
(筆者注1)英国の現行保護法は、「The Data Protection Act 1998」であるが、EU データ保護指令(1995年)を受けて 改正されたものである。個人情報の違法な入手や販売の申出行為に関する条文ならびに罰則規定は次の通りであり、仮訳しておく。なお、同法において「data controller」
は個人情報取扱機関において保持(holding)ならびに処理(processing)する者を言う。英国では保護法に基づきこの者の氏名、住所等を有料で登録し毎週更新する公的登録制度が行われている。これに関し、報告書でも指摘されているが(11頁3.11)、法技術上、保護法で言う被害者とは情報を盗取された情報主体(data subject)ではなく、data controllerであるということなり、保護法益自体の解釈がおかしくなる。
なお、米国と同様、英国の刑事罰の量刑は裁判所ごとの量刑ガイドラインに基づく。すなわち、量刑の一般原則において罰金刑のみの場合は5段階に分かれる(1991年刑事裁判法)。最高レベルのレベル5は最高5,000ポンドである。ガイドラインの策定は「量刑ガイドライン協議会(The Sentencing Guidelines Council)」が行うが、裁判所組織に対し独立した権限を持ち、議会に対し責任を負う。また、常に量刑の現状や傾向の把握を行っており、その結果は「The Sentencing Guidelines Newsletter」などにより公開されている。
●裁判所ごとの量刑ガイドラインのURL:http://www.sentencing-guidelines.gov.uk/guidelines/index.html
●協議会のニュースレターの最新号のURL: http://www.sentencing-guidelines.gov.uk/docs/the_sentence_four.pdf
第55条第1項 何人も個人情報取扱者(data controller)の同意なしに故意又は無謀に次の行為を行ってはならない。
(a)個人情報又は個人情報を含む情報を取得又は開示すること。
(b)個人情報を含む他人の開示情報を入手すること。
第2項 略(適用除外規定)
第3項 第1項の定めに反した者は犯罪(offence)を犯したものとする。
第4項 第1項の定めに反して個人情報を取得し販売する者は犯罪を犯したものとする。
第5項 次の行為に基づき個人情報の販売の申出を行う者は犯罪を犯したものとする。
(a)第1項の定めに反して個人情報をすでに取得した場合
(b)申出後に第1項の定めに反して個人情報を取得する場合
第6項 第5項に定める目的をもって個人情報がすでに所有する又は入手可能性につき宣伝を行うことも販売の申出とみなす。
第60条2項 附表第12項に定める場合の除き、本法律に定める犯罪を犯した者は次にいずれかの責任を負う。
(a)即決裁判(summary conviction)において、法律が定める範囲内で罰金刑(fine)を科す。
(b)起訴を行う場合は、罰金刑を科す。
なお、法律の定めは以上であるが、報告書はさらに取扱う裁判所により量刑が異なるとしているので補足しておく。すなわち治安判事裁判(Magistrates’Court)にかかる場合の罰金額の上限は5,000ポンドであるが、刑事法院(Crown Court)にかかる場合は罰金額の上限はないが、55条犯罪について裁判管轄権がないため犯罪抑止効果が薄い点が指摘されている(報告書11頁参照)
(筆者注2)報告書は48頁ものであるが、ICOが受け付けた多くの具体的な苦情に基づく解説などが織り込まれており、監督・犯罪規制機関として分析、法整備を考える上で示唆に富んだ内容である。特に違法な個人情報の入手・販売ルートや関係者の分析(16頁)や個人情報の裏相場一覧(24頁)等は実務的分析手法である。
http://www.ico.gov.uk/cms/DocumentUploads/What_Price_Privacy.pdf
なお、報告書のポイントを別途まとめてた要旨のURLも記しておく。
http://www.ico.gov.uk/cms/DocumentUploads/What_price_privacy_media_FAQs.pdf
(筆者注3)筆者は、わが国の個人情報保護法の成立や全面施行を控え、「月刊消費者信用」2004年4月号(24頁以下)にEU加盟15カ国の個人情報保護立法の概要をまとめた。その中で監督体制・罰則の概要も紹介しているが、わが国のこれからの課題としてトーマス氏が指摘しているような個人情報の違法な売買ビジネスの出現や裁判所の量刑自体の合理性といった法律運用面等についての分析ニーズが増すことは間違いなかろう。筆者自身、欧米主要国のテーマ別判例や第三者保護機関からの入手ルートはすでにあるので、機会を見てまとめてみたい。
Copyrights (c)2006 福田平冶 All rights Reserved
昨今わが国では施行後1年を迎え、過剰な保護法対策への問題指摘がある一方で、欧米諸国では保護対策・法制不備をめぐる議論や新たな個人情報の侵害行為への対策の議論が続いている(筆者注3)。同報告書は、違法な個人情報の取引の実態検証を保護機関として独自に集めたデータを下に違法ビジネスの実態にせまるものであり、保護法制度的に異なるものの、わが国が取り組む上で示唆に富む内容といえる。
1.違法売買の対象とされる主な個人情報の内容
①現住所
②車の所有権の細目
③電話帳未搭載者の電話番号または通話記録
④前科記録
⑤銀行口座の細目
2.主な情報の売り手
①私立探偵(private investigators)
②債務者の追跡業者とその部下(tracing agents)
③①や②の仲介業者や部下
④犯罪者
⑤公的機関、法律事務所、生命保険会社(ICOが独自に調査し結果、これらの機関が個人情報の調査を請け負っている場合があり、法的な制限が必要である)
3.主な情報の買い手
①債務者の追跡役(trace debtors)
②ジャーナリスト(いわゆる有名人を追いかける)
③金融機関
④かつての配偶者の居場所や金銭収入の詳細などについて現在疎遠になった者
⑤詐欺の意図を持った者や証人や陪審員の脅迫を目的とする者
4.ICOへの消費者などからの苦情受付の実態と罰金刑の実態調査
(1)保護法は2000月3月1日に施行された。55条に基づく苦情件数は年間平均180件以上でそのほとんどがプライバシーが侵害されたとする個人からである。
(2)2002年半ばから2006年1月の間にCIOはイングランドとウェールズの刑事裁判所および治安判事裁判所に対し25件の訴追を行った。うち3件を除き有罪判決をえた。
(3)罰金額の内訳を見ると、1犯罪あたりの罰金額は9件の場合で50ポンド(約10,250円)から150ポンド(約30,750円)で、複数事案において2,000ポンド(約41万円から3,000(約615,000円)ポンドであった。罰金の合計額が法定上限の5,000ポンド(約1,025,000円)の事案は1件のみであった。
(4)2000年9月にICOは福祉担当機関である「給付金局(Benefits Agency )および「内国歳入庁(Inland Revenue)」の協力の下で組織的な個人情報の違法売買の実態調査を行なった。10万件以上の犯罪の実態調査結果を元に、2004年11月にICO、関税税務局(HM Revenue & Customs)および労働年金局は55条犯罪の捜査のための「新トライデント計画」を立ち上げた。
(5)組織的な法律違反・裏市場の証拠収集のためICOは「デーヴォン&コーンウォール警察管区」の召喚状に基づきサリー州の建物等の捜査を行い各種の証拠を確保した。その結果、違法な情報収集グループおよび違法な買い手グループの実態が明らかとなった。報告書16ページ参照。
(6)違法な個人情報の売買における料金一覧についての実態も明らかとなった。例えば、選挙人名簿の住所情報は1件17.5ポンド、犯罪記録は500ポンド、携帯電話の登録内容は750ポンドであった。(詳細は24頁参照)
(7)ICOが訴追した事案における罰金額一覧については、38ページ以下に一覧でまとめられている。
(8)犯人が交通機関を名乗って落した財布などを返却すると偽って個人の電話番号や氏名を聞きだす手口が教育マニュアル例として紹介されている(附表B)。
5.ICOとしての法改正の提言
現状のような低い処罰の内容では売り手、買い手ともに犯罪行為を思いとどまらせるには不十分であり、重罰化すなわち、刑事法院への起訴事案では「最高2年の禁錮刑」、また治安判事裁判所への起訴事案では「最高6ヶ月の禁錮刑」といった法改正の提案を行う。
この問題についてICOは本報告の関係者の反応、報告書の問題提起に対する裁判の改善状況等を踏まえ、6ヵ月後にフォロー報告を作成する予定である。
また、大法官(Lord Falconer)に対しても問題の重要性・緊急性を説明するとともに議会での議論を期待する。
(筆者注1)英国の現行保護法は、「The Data Protection Act 1998」であるが、EU データ保護指令(1995年)を受けて 改正されたものである。個人情報の違法な入手や販売の申出行為に関する条文ならびに罰則規定は次の通りであり、仮訳しておく。なお、同法において「data controller」
は個人情報取扱機関において保持(holding)ならびに処理(processing)する者を言う。英国では保護法に基づきこの者の氏名、住所等を有料で登録し毎週更新する公的登録制度が行われている。これに関し、報告書でも指摘されているが(11頁3.11)、法技術上、保護法で言う被害者とは情報を盗取された情報主体(data subject)ではなく、data controllerであるということなり、保護法益自体の解釈がおかしくなる。
なお、米国と同様、英国の刑事罰の量刑は裁判所ごとの量刑ガイドラインに基づく。すなわち、量刑の一般原則において罰金刑のみの場合は5段階に分かれる(1991年刑事裁判法)。最高レベルのレベル5は最高5,000ポンドである。ガイドラインの策定は「量刑ガイドライン協議会(The Sentencing Guidelines Council)」が行うが、裁判所組織に対し独立した権限を持ち、議会に対し責任を負う。また、常に量刑の現状や傾向の把握を行っており、その結果は「The Sentencing Guidelines Newsletter」などにより公開されている。
●裁判所ごとの量刑ガイドラインのURL:http://www.sentencing-guidelines.gov.uk/guidelines/index.html
●協議会のニュースレターの最新号のURL: http://www.sentencing-guidelines.gov.uk/docs/the_sentence_four.pdf
第55条第1項 何人も個人情報取扱者(data controller)の同意なしに故意又は無謀に次の行為を行ってはならない。
(a)個人情報又は個人情報を含む情報を取得又は開示すること。
(b)個人情報を含む他人の開示情報を入手すること。
第2項 略(適用除外規定)
第3項 第1項の定めに反した者は犯罪(offence)を犯したものとする。
第4項 第1項の定めに反して個人情報を取得し販売する者は犯罪を犯したものとする。
第5項 次の行為に基づき個人情報の販売の申出を行う者は犯罪を犯したものとする。
(a)第1項の定めに反して個人情報をすでに取得した場合
(b)申出後に第1項の定めに反して個人情報を取得する場合
第6項 第5項に定める目的をもって個人情報がすでに所有する又は入手可能性につき宣伝を行うことも販売の申出とみなす。
第60条2項 附表第12項に定める場合の除き、本法律に定める犯罪を犯した者は次にいずれかの責任を負う。
(a)即決裁判(summary conviction)において、法律が定める範囲内で罰金刑(fine)を科す。
(b)起訴を行う場合は、罰金刑を科す。
なお、法律の定めは以上であるが、報告書はさらに取扱う裁判所により量刑が異なるとしているので補足しておく。すなわち治安判事裁判(Magistrates’Court)にかかる場合の罰金額の上限は5,000ポンドであるが、刑事法院(Crown Court)にかかる場合は罰金額の上限はないが、55条犯罪について裁判管轄権がないため犯罪抑止効果が薄い点が指摘されている(報告書11頁参照)
(筆者注2)報告書は48頁ものであるが、ICOが受け付けた多くの具体的な苦情に基づく解説などが織り込まれており、監督・犯罪規制機関として分析、法整備を考える上で示唆に富んだ内容である。特に違法な個人情報の入手・販売ルートや関係者の分析(16頁)や個人情報の裏相場一覧(24頁)等は実務的分析手法である。
http://www.ico.gov.uk/cms/DocumentUploads/What_Price_Privacy.pdf
なお、報告書のポイントを別途まとめてた要旨のURLも記しておく。
http://www.ico.gov.uk/cms/DocumentUploads/What_price_privacy_media_FAQs.pdf
(筆者注3)筆者は、わが国の個人情報保護法の成立や全面施行を控え、「月刊消費者信用」2004年4月号(24頁以下)にEU加盟15カ国の個人情報保護立法の概要をまとめた。その中で監督体制・罰則の概要も紹介しているが、わが国のこれからの課題としてトーマス氏が指摘しているような個人情報の違法な売買ビジネスの出現や裁判所の量刑自体の合理性といった法律運用面等についての分析ニーズが増すことは間違いなかろう。筆者自身、欧米主要国のテーマ別判例や第三者保護機関からの入手ルートはすでにあるので、機会を見てまとめてみたい。
Copyrights (c)2006 福田平冶 All rights Reserved
posted by watchdogman | 8:14 PM
|
0 comments
