米英のデータアクセス協定-法執行機関への直接情報提供要請

英米データアクセス協定(DAA)の発効についての声明が2022年7月22日になされました。私のブログでは、米国のクラウド法を紹介しており(CLOUD法は「政府は企業が保有する個人情報を容易にアクセス可能に」にするか?(上) 以下)、そこで

119章の2523条に外国政府によるデータへのアクセスについての行政協定を追加するという条項です。
(a)項の定義のあと、(b)項は、行政協定の要件というタイトルです。

そこでは、司法長官が、以下の事項について、国務長官の賛同を得て、以下の要件を満たす協定であることを認定して、議会に対して書面で、提出します。

その場合に判断される要件としては、
(1)外国の法が、プライバシー・市民の自由についての堅固かつ手続的な保障を有しているかどうか、
(2)外国政府がUSシチズンに関する情報を収集・維持・拡散を最少限化する適切な手続を採用しているかどうか、
(3)協定の条件が、暗号の解読の義務づけ等の義務を課すようなことがないこと
(4)外国政府が、その所在をとわず、米国パーソンを標的にしえないこと(AおよびB項)、外国政府によってなされる命令が、重要犯罪の防止、探知、捜査、起訴のためであること、人名、アカウント、住所、機器などによって特定がなされること、国内法に準拠していること、法的な根拠にもとづいてなされること、裁判所によって命令が審査されること、傍受に関する命令については種々の限定事項に関する命令によること(以上(D項)、外国政府は、相互保障のあるアクセス権限をみとめること(I項)、などです。
(c)項は、司法審査からの排除をうたっています。ただし、議会は、審査をなすことができます((d)項(4))。

また、司法長官は、行政協定を5年ごとに見直します((f)項)。

となっていることは紹介しました

この英米データアクセス協定についての共同声明は、こちらです(英国米国)。

米国と英国は、2019年に署名された「重大犯罪に対抗する目的のための電子データへのアクセスに関するアメリカ合衆国政府とグレートブリテン及び北アイルランド連合王国政府との間の協定」(以下「データアクセス協定」)を、2022年10月3日に発効させる意向です。データアクセス協定の発効により、米国と英国間の協力の新時代が始まり、重大犯罪の脅威に対処するための新たなコミットメントが前進することになります。

データアクセス協定は、この種の協定としては初めてのもので、市民を保護し国家の安全を守るという共通の価値観と使命に合致する形で、各国の捜査当局が重大犯罪に立ち向かうために不可欠なデータへのアクセスを向上させることができます。

となっています。

でもって署名されていた協定は、こちらです。

英国によるファクトシートは、以下のようになっています。


 

はじめに

英米データアクセス協定(DAA)は、テロや児童の性的虐待・搾取などの重大犯罪の防止・検知・捜査・訴追を唯一の目的として、英米の法執行機関が相手国の管轄区域内の通信事業者の保有するデータを直接要求できるようにするものです。

DAAは、英国の法執行機関が、人々の安全を守るために不可欠なデータに迅速かつ効率的にアクセスする能力を変革するものです。

なぜ英米データアクセス協定が必要なのか?

英国の法執行機関が重大な犯罪を防止、探知、捜査、起訴しようとする場合、英国の法律では、特定の犯罪に関連するデータを求めることができるようになっています。電気通信事業者が保有するデータの場合、これには画像やメッセージなどの情報が含まれる可能性があります。

ソーシャルメディア・プラットフォームやメッセージング・サービスなど、現在人気のある通信サービスの多くは、米国の司法権下で運営されています。しかし残念ながら、米国の法律では、外国政府からの直接の要請に応じ、これらの企業が特定のデータを共有することを禁じています。つまり、捜査に不可欠なデータを入手することができないのです。

「相互法的支援」のようなメカニズムにより、政府から政府へのデータ要請は可能ですが、このプロセスは通常非常に時間がかかり、完了までに何カ月もかかることがよくあります。このため、重要な捜査に支障をきたし、警察や治安機関が捜査の全体像を迅速に把握することができなくなる可能性があります。多くの場合、要求が処理されている間、捜査対象者は犯罪を続け、より大きな被害とより多くの犠牲者を出すことになるかもしれません。

UK-USデータアクセス協定は、この状況をどのように変えるのでしょうか?

DAAは、通信事業者が、相手国の管轄区域の関連する公的機関からDAAデータに対する直接の要請を受けた場合、合法的にそれに応じることができるよう、各当事者の法律を整備することを義務付けることによって機能しています。DAAは、すべてのDAA要請が、公的機関が拘束される既存の国内関連義務に準拠することを求めるものであり、新たな権限を設けるものではありません。

つまり、DAAは、最も深刻な犯罪を防止、探知、捜査、起訴するために、英国および米国の関係当局に、タイムリーで効率的かつ合法的な国境を越えたデータへのアクセスを提供することになるのです。これにより、犯罪者が犯罪行為を隠すために、データを司法権の障壁の後ろに隠すことができなくなります。

このプロセスはどのように監督されるのですか?

DAAは、国内の正しい認可が最初に得られた場合にのみ使用することができるため、英国の捜査権に対する監視のための既存の仕組みはすべて引き続き適用されます。

さらに、英国は、犯罪(海外生産命令)法2019が使用されている場合を含め、英国のDAA使用を監督する法的権限を英国の捜査権コミッショナー事務所(IPCO)に与える新しい法律を可決しました。

いつ施行されるのですか?

この協定は2022年10月3日に発効し、両国の法執行機関がライブ捜査のために重要なデータを要求することが可能になります。


ということで、上のデータアクセス協定の中をみていきます。まずは、全体の概略図です。

 

データアクセス協定の内容

正式なタイトルは、「重大犯罪に対処するための電子データへのアクセスに関するイギリス及び北アイルランド連邦政府とアメリカ合衆国政府との間の協定」になります。

1条 定義

定義においては、アカウント、コンピュータシステム、対象とされるデータ、対象とされる情報、対象とされる犯罪、対象パーソン、対象プロバイダー、指定当局、発行当事者、法的プロセス、命令、受信当事者、重大犯罪、加入者、USパーソンについての定義がなされています。ここで、重大犯罪は、最低でも懲役3年以上の犯罪をいうとされています。

2条 協定の目的

本協定の目的は、通信サービスプロバイダが一方の締約国から電子データの提出または保存を求める法的手続を受けた場合、プロバイダが他方の締約国の法律の適用を受ける可能性があるときに、潜在的な法的義務の衝突を解決することにより、公共の安全とセキュリティを推進し、プライバシー、市民の自由およびオープンインターネットを保護することである

とされています(1項)。

3 条 国内法および協定の効果

協定の当事国は、電子データの保存、認証、開示および作成に関する自国の国内法が、対象プロ バイダに本協定の対象となる命令に適合することを確保することを約束します。各当事者は、国内法の重大な変更をなして、本契約の運用を実質的に阻害し又は損なうような場合には、他方 に通知しないといけません(1項)。

本協定の規定は、関連する対象プロバイダに通知するとともに、発行当事者が本協定を適用した(invoke)命令に適用 されるものとされます。本契約の対象となる命令の法的効力は、発行当時者の法律にのみ由来し、対象プロバイダは、命令に対し、本協定に従い適用される法的異議を申し立てる既存の権利を保持します(2項)。

また、相手方当事者の国内法(当該法律の実施を含む)が、本契約の対象と なるデータ収集および活動に照らして、プライバシーおよび市民の自由について強固な実体上および手続上の 保護を与えていることを認識していること、本協定は、両当事者が電子データを取得する能力を促進することを目的としていること、一方、私人の側に、証拠の入手、抑圧若しくは排除又は法的手続の実行の妨害を含む権利又は救済を生じさせるものではないことがのべられています(3項、4項)。

4条 対象の制限(Targeting Restrictions)

同協定4条は、命令の対象についての規定です。命令は、対象犯罪の防止、発見、捜査または訴追に関連する情報を取得することを目的とするものでなければならず(同1項)、また、特定のアカウントを対象とし、命令の対象として、特定の個人、アカウント、住所、個人デバイス、またはその他の特定の識別子を特定するものでなければなりません(同5項)。

また、命令は、言論の自由を侵害し、又は人種、性別、性的指向、宗教、民族的出身若しくは 政治的意見に基づき不利益を与えるために使用してはならず(同2項)、各当事者は、第7条第1項に記載されるとおり、この要件を実施するために設計されたターゲット手続きを採用するものとし受領国パーソンを意図的にターゲットにしてはなりませんし(3項)、 本協定の対象となる命令は、受領当事者パーソンに関する情報を取得することを目的とする場合、対象パーソンをターゲットにすることはできません(4項)。

第5条 命令の発行および送信

同協定5条は、命令の発行と送信に関する規定です。この命令は、発行当事者の国内法に従って発行され、調査中の行為に関する明確かつ信頼できる事実、特定性、適法性、重大性に基づく合理的な正当化の要件に基づかなくてはなりません(1項)。そして、その命令は、命令の執行前または執行に関する手続において、裁判所、裁判官、判事または その他の独立した当局による発行当事国の国内法に基づく審査または監督の対象となります(2項)。この命令およびその延長は、期間が限定されなければならず、承認された命令の目的を達成するために合理的に必要な期間を超えて継続してはならず、同じ情報を他のより侵入性の低い方法で合理的に取得できない場合にのみ発行されるものとされています(3項)。また、発行国は、受領当事者または第三者政府の要請により、あるいは受領当事者または第三者政府に提供する情報を得るために、本協定の対象となる命令を発行してはなりません(4項)。

発行当事者は、指定局から送信される形により本協定に基づく命令を直接対象プロバイダに発行することができます(5項)。送信前に、発行当事者の指定官庁は、本協定に準拠しているかどうか、命令を確認するものとされています(6項)。

 本協定の対象となる各命令には、当該命令が合法であり、本協定の対象となる命令に関する発行国の実体的基準を含む本協定を遵守しているという発行国の指定機関による書面による証明書を添付しなければなりません(7項)。また、発行国の指定機関は、対象プロバイダに対し、命令に関して本協定を発動すること(8項)情報を提供できる発行当事者の指定機関の連絡先を通知します(9項)。

また、命令が、発行当事者の領域外に位置し、発行当事者の国民ではないと合理的に考えられる個 人に関するデータに対して発行された場合、発行当事者の指定機関は、その通知が業務上または国家安全保障に害を及ぼ す、調査の実施を妨げる、または人権を脅かすと発行当事者がみなす場合を除き、その人物が位置する第三国の適切な当局 に通知するものとされています(10項)。

本協定の対象となる命令を受領した対象プロバイダが、その命令に関して本協定が適切に発効されない可能性があると合理的に考える場合、特定の異議を申し立てることができることになっています(11項)。この異議は、一般に、発行当事者の指定当局に対し、命令受領後、合理的な時間内に第一審で提起され、異議が解決されない場合、対象プロバイダは、受領側当事者の指定当局に異議を申し立てることも可能です。両当事者の指定局は、かかる異議を解決するために協議することができ、本協定に基づき提起された問題 を協議し対処するために、定期的かつ必要に応じて会合することができるとされています。

受領当事者の指定機関が、ある命令に関して本協定を適切に発動することができないと結論付けた場 合、その結論を発行当事者の指定機関および関連する対象プロバイダに通知するものとし、本協定はその命令に適用されないものとなります(12項)。

第6条 対象プロバイダによる情報の提供

命令に対応して対象プロバイダが作成する対象情報は、発行当事国の指定機関に直接提供されることになり(1項)、 発行当事者の指定局は、適用法に基づき、本協定の対象となる命令および本協定の対象となる命令に対応して作成された対象情報を安全に送信するために、対象プロバイダと取り決めを行うことができます。このために、 対象プロバイダが、提供された記録の真正性、または当該記録の不在もしくは不存在を証明する書式に記入することが含まれる場合があります(4項)。

第 7 条 ターゲティングおよび最小化手順

命令の対象となるアカウントが対象者によって使用または管理されていることを立証するために、誠実かつ合理的な努力を行う適切な対象化手続きを採用・実施すがなされなければならず(1項)、英国は、対象犯罪の防止、探知、捜査又は訴追に関連する対象情報を取得、保持及び流布する英国の必要性と整合的に、本協定の対象となる命令に従って取得した米国人に関する情報の取得、保持及び流布を最小限に抑えるための適切な手続を採用し、実施するものとするとされています(2項)。

本協定に基づく命令に従って取得した情報は、対象犯罪の防止、探知、捜査若しくは訴追に関連する情報又は人の死若しくは身体若しくは肉体に対する重大な危害の脅威から守るために必要な情報の重要性を理解し評価するために、英国が分離、封印又は削除し、そのような情報でないことが分かった資料を流布しないよう求める最小化手続にかかる規則を含みます(3項)。そして、この最小化手続には、イギリスが本協定の対象となる命令に従って収集された資料を速やかに確認し、未確認の通信を適用手続の訓練を受けた者のみがアクセスできる安全なシステムに保管することを要求する規則を含みます。ただし、通信が最小化手続に従って広められる可能性があり、テロリズム、重大な暴力犯罪、児童搾取、国際組織犯罪、重大な金融詐欺など国家の安全に関わる犯罪を含む、米国または米国人に対する重大な被害またはその脅威に関するものである場合は、この限りではありません(5項)。

第8条 使用および転送の制限

本協定に別途、定める制限がある場合を除き、本協定の対象となる命令に基づき発行当事者が取得したデータは、プライバシー法および情報自由法を含む発行当事者の国内法に従って取り扱われるものとされ(1項)、発行国は、本協定に基づく命令により受領したデータを、受領当事者の同意を得ずに、第三国または国際機関に移転してはなりません(ただし、当該データが発行当事者の国内法に従って既に公開されている場合は除く(2項)。

また、 発行国は、本協定の対象となる命令に従って作成されたいかなる情報も受領当事者または第三国政府と共有することを要求されません(3項)。

発行当事者が法的手続きに従って対象プロバイダからデータを受領した場合、これらの本質的利益に反する、または反する可能性がある方法でデータを使用する前に、

    • (a)英国が、死刑を求刑する犯罪について米国で検察側の事件の証拠として当該データを提出することにより、その本質的利益が損なわれる可能性があると宣言した場合。
    • (b) 米国が、当該データを、米国にとって言論の自由に関する懸念を生じさせるような方法で、英国における検察の訴訟の証拠として提出することにより、その本質的利益が影響を受ける可能性があると宣言した場合、

発行当事者は受領当事者の指定機関を通じて、その許可を取得しなければならないものとされます(4項)。受領側当事者の指定機関は、必要と思われる条件に従って許可を与えることができ、その場合、発行側当事者はこれらの条件に従ってのみ、このデータを導入することができます。受領当事者が許可を与えない場合、発行当事者は法的手続きに従って受領したデータをそのように使用しないものとします。

両当事国が相互に合意する範囲において、本協定に規定された使用制限に加え、使用制限が課されることがあります(5項)。

第9条 プライバシー及びデータ保護の保護措置

第9条は、「プライバシー及びデータ保護の保護措置」の規定です。

両当事国がは、すべての個人情報に関して2016年6月2日にアムステルダムで行われた「犯罪の防止、調査、探知及び訴追に関する個人情報の保護に関するアメリカ合衆国と欧州連合の間の協定」野保護が同等に適用されるとされており、さらに、米国については、この協定第19条を実施する主要な法律は、2015年の司法救済法及び情報公開法であるとされています(1項)。

本協定の対象となる命令の実行におけるデータの処理及び転送は、プライバシー及びデータ保護に関する両当事国のそれぞれの適用法に適合しています(2項)。

第10条 保全プロセスおよび加入者情報

各当事者は、電子データの保存、認証、開示および作成に関して、対象プロバイダが、 発行当事国の国内法に基づき、

  • (a) 対象データもしくは加入者情報の保存、または
  • (b) 犯罪の防止、検出、調査もしくは訴追に関する加入者情報の開示、作成もしくは認証に関する法的手続き

に従うことを認める国内法を確かにするものとするとされています(1項)。

発行当事者は、当該プロセスを直接対象プロバイダに対して発行することができます。もっとも、当該プロセスは、発行当事国の国内法に準拠して発行され、審査または監督の対象となります()。当該プロセスの法的効力は、発行当事国の法律にのみ由来して、対象プロバイダは、適用される法的異議を申し立てる既存の権利を保持します(2項)。

また、 当該プロセスは合理的でなければならず、犯罪の予防、発見、調査または訴追に関連する情報を得る目的で発行されなけれ ばならないですし(3項)、言論の自由を侵害したり、人種、性別、性的指向、宗教、民族的出身、政治的意見に 基づいて不利益を与えるために用いてはなりません(4項)。

当該プロセスに従って取得された加入者情報は、プライバシーおよび情報の自由に関する法律を含む発行当事 者の国内法、および本協定の適用条項に従って取り扱われるものとされ(5項)、 発行当事者および対象プロバイダは、かかるプロセスおよびこれに応じて作成された加入者情報を、適用法 に従って安全に送信するための取り決めを行うことができる(6項)。 発行当事国は、受領当事者または第三者政府と、いかなる加入者情報も共有することを要求されないものとされています(7項)。

各当事者は、保存された対象データまたは加入者情報の保護に重大な影響を与える、または実質的にそれを 妨げるような国内法の重大な変更があった場合、他方に通知するものとする。

両当事国がは、すべての個人情報に関して2016年6月2日にアムステルダムで行われた「犯罪の防止、調査、探知及び訴追に関する個人情報の保護に関するアメリカ合衆国と欧州連合の間の協定」野保護が同等に適用されるとされており、さらに、米国については、この協定第19条を実施する主要な法律は、2015年の司法救済法及び情報公開法であるとされています(9項)。

本協定の対象となる命令の実行におけるデータの処理及び転送は、プライバシー及びデータ保護に関する両当事国のそれぞれの適用法に適合しています(10項)。また、利用者情報の作成方法に関する発行当事者の要件には、作成された記録の真正性、またはかかる記録の不存在を証 明する書式に対象プロバイダが記入することが含まれる場合があります(11項)。

第 11 条 互換性および非排他性

1. 本協定は、発行当事者が受領当事者および受領当事者の管轄下にある対象プロバイダから電子データ を取得または保存するための他の法的権限およびメカニズム(いずれかの当事者の国内法に基づく法的手段および慣 行で当事者が本協定を発動しないもの、相互法的支援の要請、緊急開示など)を損なうことなく、またこれ らに影響を与えないものとする。

2. 本協定は、本協定の対象となる命令および第10条に認められた保存および加入者情報の処理から生じる強制措置に関して、2003年6月25日に署名されたアメリカ合衆国と欧州連合の間の相互法的支援に関する協定第3条(2)で予定されている、本書の付属書第18条の2、3、4、5および6項の協議、徹底、その他の要件に該当するものとする。1994年1月6日にワシントンで署名されたアメリカ合衆国政府とグレートブリテン及び北アイルランド連合王国政府との間の刑事事件における相互法的支援に関する条約(2004年12月16日にロンドンで署名)の適用に関するもの

これ以降は、

第 12 条 実施の見直し及び協議

第13条 費用

14条改正

第15条 時限的適用

第 17 条 この協定の失効及び終了

となるので、具体的なものは、省略します。直接の請求のための国内法の整備ということになりますが、具体的な整備内容については、今後の研究課題です。

関連記事

  1. NICT法改正と不正アクセス禁止法
  2. 新たなサイバーセイキュリティ戦略と法-「サイバー攻撃「国家のリス…
  3. フランス国防省のサイバースペースにおける作戦への国際法適用への見…
  4. サイバー規範についてのディナール宣言
  5. 米司法省、中国人ハッカーを起訴–新型コロナの研究など…
  6. eIDASのレビュープロセスからeIDAS2.0への途
  7. 経済安全保障法制に関する提言とサプライチェーンリスク、そして、人…
  8. 「データ戦略と法律 攻めのビジネスQ&A」献本いただき…
PAGE TOP