「EUCJ La Quadrature du Nez 判決（2020 年 10 月６日）(Case C-511/18、C-512/18、C-520/18)を読む」というエントリで、データ保全(retention)についてのEUの判決例をまとめることができましたが、調査報告書の納品ラッシュもあって、対になるQuadrature du Nez　Ⅱ判決（2024年４月30日 C-470/21）を纏めることができませんでした。

ちなみに官公庁の報告では、

• 総務省「 通信の秘密に関する諸外国制度の調査研究の請負」(令和6年度)
• 総務省「国内外の行政におけるAI利活用事例及びAI関連法制に 関する調査研究の請負」(令和6年度)

 を納品させていただきました。

毎年恒例のエストニアCyCon (プラス1)訪問もしてきて落ち着いてきたので、Quadrature du Nez　Ⅱ判決（2024年４月30日 C-470/21）を読んでみます。判決のリンクは、こちらです。

Quadrature 判決(2020)では、データの保持やリアルタイムアクセスについて、いろいろと制限を課した判決であり、重要犯罪対応じゃないとデータ保持ができないといっていたのですが、この判決は、著作権侵害者の特定等のためのデータ保持は可能という判断をしています。そうだとすると、この判決は、「コペルニクス的転回」や「パンドラの箱」を告げるものではないかと議論を呼ぶということになります。

論点としては、IPアドレスのデータ保持を著作権目的のためにプロバイダーに義務づけることができるのか、公的機関の、それらのデータに対するアクセスのための要件は何か、ということという論点になります。

1 事実関係

1.1 当事者・その他

当事者としては、La Quadrature du Net,Fédération des fournisseurs d’accès à Internet associatifs,Franciliens.net,French Data Network 対 フランス首相・文化省となります。

問題となる欧州法としては、データ保護指令(95/46/EC) 、GDPR、eプライバシー指令(2002/58)、EU刑事司法指令(2016/680)になります。問題となるフランス法としては 知的財産法典(CPI)です。

1.2 知的財産法典(CPI)

知的財産法典第L.331-12条（本訴訟の原告が争う決定が下された日付で施行されているバージョン）は、Hadopi(インターネット上の著作物の普及および権利保護のための高等当局（Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet）)」について述べ(パラグラフ19、以下おなじ、19)、その使命(電子通信ネットワークにおいて、著作権または関連する権利の対象となる作品および主題を、それらの権利の侵害から保護する等)について述べる(20)。また、その構成・独立性(21)、その権限(23)についても論じられています。

「段階的対応」手続というのが、手続としては、有名です。具体的には、

• 同法典第 L. 331-21 条は、Hadopiの権限について手続きの目的上必要であれば、保存および処理されたデータを含む、いかなる文書も、その保存媒体に関わらず電気通信プロバイダーから入手することができる。特に、電子通信事業者から、権利保有者の許可なく、保護された著作物または主題の複製、表示、公衆への提供、公衆への伝達を目的としてオンライン公衆通信サービスへのアクセスが利用された利用者の身元、住所、電子メールアドレス、電話番号を取得することができるとしています(23)。
• また、同法典第L.331-25条は、「段階的対応」(graduated response)手続きを規定しています(25)。

「段階的対応」

なお、法的な論点のところで、「段階的対応」のシステムが紹介されています。なお、この「段階的対応」については、当社の総務省から受託調査「諸外国におけるインターネット上の権利侵害情報対策に関する調査研究の請負」（平成27年度）でも曽我部教授に対応いただき、報告書を作成させていただきました(報告書162頁以下)。

なお、フランス法については、その後、2021年に改正がなされています。

法的な手続自体は、判決の25パラで説明されています。CPI第L.331-25条に規定される「段階的対応」と呼ばれる行政手続きに定められた措置をHadopiが講じることを可能にすることを目的としています。

この仕組み自体は、『インターネット上の著作物保護措置管理システム』と呼ばれる個人データ処理システムということになりますが、これは、[CPI]の第L. 331-29条によって定められた政令第2010-236号の第1条によって

『インターネット上の著作物保護措置管理システム』と呼ばれる個人データ処理システムの目的は、[Hadopi]の権利保護委員会が、[CPI]の立法部分の第III編（第3章、第1節、第3項）および同コードの規制部分の第III編（第3章、第1節、第3項）に定められた措置を実施することです。

1. [CPI]の立法部分第III編（第III章第1節第3項）および同法典の規制部分第III編（第III章第1節第2項）に定める措置を実施すること；

2. [CPI]の第L. 335-2条、L. 335-3条、L. 335-4条およびR. 335-5条に定める犯罪を構成するおそれのある行為を検察官に告発し、専門の防衛団体および集団管理団体にその告発を通知すること；

とされています(37)。

これは、報告書167頁の図がわかりやすいです。

それをもとに段階的対応を示します。

 

1 これらの措置は、まず警告に類似した「勧告」の送付がなされます。

当該委員会に付託された侵害行為が、第L. 336-3条 [CPI]に定める義務の履行を怠るおそれがある場合、権利保護委員会は、当該加入者に対し、第L. 336-3条の規定に注意を喚起し、同条に定める義務を履行するよう命じ、第L. 335-7条及び第L. 335-7-1条に基づき科される可能性がある罰則について警告する勧告を送付することができる。

当該勧告には、加入者に対し、合法的に利用可能なオンライン文化コンテンツに関する情報、第L. 336-3条に定める義務の不履行を防止するためのセキュリティ措置の存在、および著作権および関連権利を尊重しない行為が芸術作品の創作の拡大および文化産業の経済に及ぼすリスクに関する情報も提供しなければならない。

 また、この手続については、プロバイダーの義務も定められており、CPI第R. 331-37条第1項は、

電子通信事業者…およびサービス提供者…は、第L. 331-29条に定める自動化された個人データ処理システムへの接続を使用するか、またはその完全性と安全性を確保する記録媒体を使用して、個人データおよび政令 [第2010-236号]の別表第2項に定める個人データ及び情報を、権利保護委員会から、オンライン公共通信サービスへのアクセスが、権利者の許可なしに保護された著作物または対象物の複製、表示、提供、または公衆への伝達に利用された場合（そのような許可が必要な場合）に、当該アクセスを行った加入者を特定するための技術的データを、当該データを受領後8日以内に送信しなければならない。

と定めています(32)。

2 加入者が、第1項の勧告が送付された日から6ヶ月以内に、第L. 336-3条に定める義務の不履行を構成するおそれのある行為を再び行った場合、委員会は、前回の勧告と同一の情報を記載した電子手段による追加の勧告を発出することができます。当該勧告には、受領確認の署名付き書面またはその他の受領日を証明する手段により交付された書面を添付しなければなりません。

本条に基づき発行された勧告には、第L. 336-3条に定める義務の不履行を構成するおそれのある行為が検出された日時を明記しなければなりません。ただし、当該不履行により影響を受けた保護対象作品または対象物の内容は開示してはなりません。希望する場合、当該勧告の受領者は、委員会に意見書を提出し、明示的な請求により、当該不履行の対象となった保護対象作品または対象物の内容の詳細を請求することができる旨が明されなければなりません(以上25)。

3 次に、Hadopiの権利委員会への付託が行われた場合、2回目の勧告の送付から1年以内に、検出された違反行為の繰り返しとなる可能性がある行為に関して、 CPI第R335-5条に定義されている「重大な過失」という犯罪に該当する可能性があること、および、同様の犯罪を繰り返した場合、最大で1500ユーロおよび3000ユーロの罰金が科される可能性があること、が付されて警告がなされます。

同法典第R. 331-40条は

第L. 335-7-1条第1項に定める勧告の提出から1年以内に、第R. 335-5条に定める重大な過失に該当する新たな違反行為が権利保護委員会に報告された場合、同委員会は、当該加入者に対し、書面（受領確認書付き）により、当該行為について起訴される可能性があることを通知しなければならない。当該書面は、関係者に15日以内に意見書を提出するよう求めるものとする。また、同期間内に第L. 331-21-1条に基づき聴聞を請求する権利を有し、弁護士の代理を受ける権利があることを明記するものとする。さらに、関係者に家族状況及び資産状況を明示するよう求めるものとする。

権利保護委員会は、自らの判断で、当該者に出頭を求めることができます。出頭要請書には、当該者が弁護士の援助を受ける権利を有することが明記されなければなりません。

とされています(33)。

CPI法典第L. 335-2条の第1項及び第2項は

著作物の著作物、音楽作品、図画、絵画その他の著作物の全部又は一部を、印刷又は刻印により複製し、著作物の著作者人格権に関する法律及び規則に違反して行う行為は、偽造であり、偽造行為は犯罪とする。

フランスで出版された作品または国外で出版された作品のフランスにおける偽造は、3年の懲役および30万ユーロの罰金に処せられる。

となり(27)、 CPI法典L.335-4条に規定される偽造罪は、

著作者、音盤または映像の製作者、放送事業者、新聞発行者または通信社から必要な許可を得ずに、実演、音盤、映像、番組または新聞記事の固定、複製、公衆への提供または放送を行う行為は、3年の懲役およびEUR 300,000の罰金に処せられる。

に該当する可能性があります(28)。

4 刑事犯罪を犯した者に対する、最長1年間のオンライン公衆通信サービスへのアクセス禁止追加罰規定(同法典第L.335-7-1条)は、

この法典に定める第五類の軽微な犯罪の場合において、規則で定める場合、第L. 335-7条に定める追加刑は、重大な過失がある場合、同法典第L. 335-25条に基づき、権利保護委員会が、同法典第L. 335-25条に基づき、インターネットアクセスを保有する者に対し、インターネットアクセスを安全に確保するための措置を講じるよう求める勧告を、署名入りの受領確認書付き書面または提出日を証明する他の手段により事前に送付した場合、同法典第L. 335-7条に定める追加刑を、同法典第L. 335-7条に定める同一の規則に従って科すことができる。

とされています(29、30)。それらの手続規定(同法典第R.331-37条)などの規定があります。

ここで、同法典第L.335-7条は、

オンライン公共通信サービスを利用して犯罪が犯された場合、第L. 335-2条、第L. 335-3条および第L. 335-4条に定める罪を犯した者は、最大1年間のオンライン公共通信サービスへのアクセス停止の追加刑に処せられるほか、同一期間中、同一種類のサービスを提供する事業者との契約を締結することを禁止される。

このサービスが、電話サービスやテレビサービスなどの他の種類のサービスを含む複合的な商業契約により購入された場合、アクセス停止の決定はこれらのサービスには適用されない。

アクセス停止自体は、サービス提供者に対する契約料金の支払いに影響を及ぼさない。消費者法の第L. 121-84条は、アクセス停止期間中は適用されない。

停止期間中の契約解除に伴う費用は、契約者が負担します。

決定が執行可能となった場合、本条で定める追加の罰則は、オンライン公共通信サービスへのアクセスを提供する事業者の活動を行う者に対し、視聴覚・デジタル通信規制当局が通知し、当該事業者は通知から15日以内に、該当する契約者に対する停止措置を実施する必要がある。

オンライン公共通信サービスへのアクセスを提供する事業を営む者が、通知された停止措置を実施しない場合、最大€5,000の罰金が科せられます。

本条に定める追加罰則については、刑事訴訟法第777条第3項は適用されません。

と定めています。

なお、2022年1月1日より、2021年10月25日付のloi no 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux œuvres culturelles à l’ère numérique（デジタル時代における文化作品へのアクセス規制および保護に関する2021年10月25日付の法律第2021-1382号）に基づき、 （JORF No 250 of 26 October 2021, text No 2）により、ハドピは、別の独立行政機関であるフランス視聴覚最高評議会（CSA）と統合され、新たにフランス視聴覚・デジタル通信規制当局（ARCOM）が設立されています。しかし、上記第25項で言及されている段階的対応手続きは、実質的には変更されていません(36)。

段階的対応とプロバイダー/Hadopiのかかわり

では、このような具体的な段階的対応が、具体的な利用者の情報との関係で、どのように取り扱われるか、ということをみていきます。これには、

• 2010-236号デクレ
• 郵便および電子通信法典

などが関わってきます。判決文では、むしろ、法的論点の考察のところででてきます(53パラ以下)。

最初の処理作業は、権利保有者団体の宣誓した認定エージェントによって上流側で実施され、2段階で行われます。

1段階目(54)

• まず、著作権または関連する権利の侵害に該当する可能性のある行為に使用されたと思われるIPアドレスがピア・ツー・ピア・ネットワーク上で収集されます。
• 次に、認定エージェント側から一連の個人情報および情報が報告書という形で Hadopi に提供されます。政令第2010-236号の付属文書第1項のリストによると、これらのデータは、発生の日時、該当する加入者のIPアドレス、使用されたピアツーピアプロトコル、加入者が使用した仮名、保護された著作物または行為の影響を受けた主題に関する情報、加入者のデバイスに表示されたファイル名（該当する場合）、およびアクセスが 手配された、またはIP技術リソースを提供したインターネットサービスプロバイダになります (39)。

2段階目-処理作業(55)

2番目の処理作業は、Hadopiの要請によりインターネットサービスプロバイダが下流側で実施するもので、これも2段階で行われます。

• まず、上流側で収集されたIPアドレスをそのアドレスの保有者と照合する。
• 次に、それらの保有者に関する一連の個人情報および情報を、基本的にそれらの保有者の民事上の身元(アカウント情報)に関するものとして、その公共当局に提供します。これらのデータは、政令第2010-236号の付録第2項に定められたリストに従い、基本的に、契約者の姓と名、郵便宛先および電子メールアドレス、電話番号、および契約者の電話機の設置場所の住所になります。

ところで、これらの照合に関しては、もともとの通信に関する情報を依存していないければならないことになります。これに関する定めが、郵便及び電子通信法 第L. 34-1条 第II bis項であり、同項は

電子通信事業者は、次の情報を保存しなければならない：

1. 刑事手続、公共の安全の脅威の防止、国家安全保障の維持の目的のため、利用者の民事身分に関する情報を、その契約が終了した日から5年間保存すること；

2. 第II bis(1)項に定める目的のため、契約締結時またはアカウント作成時にユーザーが提供したその他の情報および支払い情報については、契約終了日またはアカウント閉鎖日から1年間；

3. 重大犯罪の防止、公共の安全に対する重大な脅威の防止、および国家安全保障の保護の目的のため、接続元の特定を可能にする技術的データまたは端末機器の使用に関するデータは、当該端末機器の接続または使用から1年間。

と定めています。

後者に関しては、CPI（知的財産権法典）第L.331-21条の第5項によると、

著作権者の許可がオンライン公衆通信サービスへのアクセスにたいして必要な場合において、その許可なくして著作権で保護された著作物または主題の複製、表現、利用可能化、公衆への伝達を目的としてオンライン公衆通信サービスが利用された場合、Hadopiの権利保護委員会の委員および同委員会の委員長が認めた同委員会の宣誓した公務員が、その利用者の身元、住所、電子メールアドレス、電話番号を入手することができる(パラ56)。

とされています。

2 法的議論について

2.1 裁判所に委託された論点

首相（フランス）が、第2010-236号政令の廃止申請を暗黙のうちに却下したことを受け、本訴訟の原告は、2019年8月12日の適用により、暗黙の却下決定の無効を求める訴訟を行政評議会（Conseil d’État）に提起しました。彼らは、本質的には、当該政令の法的根拠の一部を構成する知的財産法典典（Code de laプロビジョン）第L.331-21条の第3項から第5項が、(i) フランス憲法に定められた私生活の尊重の権利に反し、(ii) EU法、特に指令2002/58の第15条および憲章の第7条、第8条、第11条、第52条に違反していると主張しました (41)。

憲法評議会（Constitutional Council）は、2020年5月20日付決定第2020-841 QPC号により、ラ・カドラチュール・デュ・ネット他［ハドピにおける通信の権利］は、CPIの第L. 331-21条の第3項および第4項を憲法違反と宣言したが、同条の第5項（ただし「特に」という文言を除く）は憲法に適合すると宣言しました(43)。

本訴訟の原告は、特に、政令第2010-236号およびその法的根拠となる規定は、裁判官または独立性および公平性を保証する当局による事前の審査なしに、インターネット上で発生した重大ではない著作権侵害に対して、不均衡な方法で接続データへのアクセスを許可していると主張しました。特に、これらの犯罪は、2016年12月21日の判決（Tele2 Sverige and Watson and Others (C‑203/15 and C‑698/15, EU:C:2016:970）で言及されている「重大犯罪」の範囲には該当しないと主張しました(44)。

付託裁判所である行政評議会（Conseil d’État）は、まず、2020年10月6日付の判決（La Quadrature du Net and Others (C‑511/18, C‑512/18 and C‑520/18, EU:C:2020:791）において、欧州司法裁判所は、特に、 2002/58指令第15条(1)項は、欧州憲章第7条、第8条、第11条および第52条(1)項に照らして解釈される場合、国家安全保障の保護、犯罪対策、公共の安全の保護を目的として、電気通信システム利用者の民事上の身元に関するデータの一般かつ無差別的な保持を規定する立法措置を妨げるものではない。したがって、電子通信システムのユーザーの民事上の身元に関するデータの場合、犯罪行為の捜査、発見、起訴を目的とする限り、特定の期限を定めることなく、そのような保持が認められる。また、指令2002/58も、そのような目的のためのそれらのデータへのアクセスを妨げるものではないとしました(45)。また、電子通信システムのユーザーの民事上の身元に関するデータへのアクセスに関しては、付託裁判所は、軽微な犯罪に対処するための措置の一環として2010年236号政令が採択されたため、同政令は違法であるという本訴訟の原告が申し立てた抗弁は却下されるべきであると推論しました(46)。

付託裁判所は次に、2016年12月21日の判決（Tele2 Sverige and Watson and Others (C‑203/15 and C‑698/15, EU:C:2016:970）において、欧州司法裁判所が特に、指令2002/58の第15条（1）項は、 8条および11条、および憲章の第52条(1)項に照らして解釈されるべきであり、トラフィックおよび位置データの保護とセキュリティを管理する国内法については、裁判所は、正当に正当化された緊急事態の場合を除き、一般原則として、保存されたデータへのアクセスは、、特に、 犯罪の防止、発見、起訴のための手続きの枠組み内で、裁判所または独立行政機関による事前の審査の要件に従うことが不可欠であると述べています。また、付託裁判所は、Hadopiが2009年の設立以来、消費者保護法典（CPI）第L331-25条に規定された段階的対応手続きに基づき、加入者に対して1270万件以上の勧告を発しており、2019年だけでも827791件に上っていることを指摘しています。したがって、Hadopiの権利保護委員会の役人は、必然的に毎年、当該ユーザーの民事上の身元に関する相当量のデータを収集しなければならなかったので、勧告の件数を考慮すると、そのようなデータ収集を事前の審査の対象とすることは、勧告の発行を一切不可能にする可能性があると考えました(51)。

結局、欧州司法裁判所に予備判決を仰ぐとされた欧州法上の論点は、

（1）IPアドレスに対応するアカウント情報(civil identity)のデータは、原則として裁判所または拘束力のある決定を下す独立行政機関による事前審査の要件が適用されるトラフィックおよび位置情報データに含まれるか？

（2）前問が肯定的に回答された場合、および、ユーザーの民事上の身元に関するデータ（連絡先の詳細を含む）が特に機密性の高いデータではないという事実を考慮した場合、憲章の観点から解釈された指令（2002/58）は、行政当局によるユーザーのIPアドレスに対応するそれらのデータの収集を規定する国内法を、裁判所または独立行政機関による事前審査なしに [その決定は拘束力を持つ]？

(3)第2の質問に肯定的に回答し、民事上の身元に関するデータが特に機密性の高いデータではないという事実を考慮した場合、これらのデータのみが収集され、国内法によって明確かつ包括的、かつ限定的に定義された義務の不履行を防止する目的のみで収集される可能性があること、および裁判所または[その決定が拘束力を持つ]第三者行政機関による各ユーザーのデータへのアクセスに関する系統的な審査は、 それらのデータを収集する行政当局に委ねられた公共サービス（ミッション）の遂行を危うくする可能性がある。指令2002/58は、場合によっては、適応された方法での審査の実施を妨げるものであるでしょうか？。例えば、データ収集を担当する職員に対して独立性と中立性を保証する機関内の部門の監督下での自動化された審査など、適切な方法で実施されることを排除するのでしょうか？

となります (51)。

なお、以下、原文では、”Civil identity”となっているものを「アカウント情報」と訳しています。厳密には、日本語の「アカウント情報」には、個々の通信を構成するIPアドレスは、含まれていないので、正確ではありませんが、便宜上、ということになります。契約者の姓と名、郵便宛先および電子メールアドレス、電話番号、および契約者の電話機の設置場所の住所などを指し示すものとして”Civil identity”が使われているので、その意味では、「アカウント情報」が一番類似の概念になります。

2.2 質問の検討

付託裁判所は、3つの質問をまとめて検討するよう求めており、その本質は、指令2002/58の第15条(1)項を、憲章の第7条、第8条、第11条および第52条(1)項に照らして解釈した場合、インターネット上で発生した著作権および関連する権利の侵害からそれらの権利を保護する公的機関を許可する国内法を排除するものと解釈しなければならないかどうかという点にある(52)としました。

2.2.1 前提

その文脈において、まず初めに、裁判所の判例法によると、IPアドレスは、指令2002/58の目的上はトラフィックデータであり、GDPRの目的上は個人データであるが、権利者団体の代理人による、公開され誰でも見ることができるIPアドレスの収集は、指令2002/58の適用範囲には含まれないか(同指令第3条の定義における「…電子通信サービスの提供に関連して」行われるものではないから)が問題になります。

まず、権利者団体の代理人が、IPアドレスを収集する収集する行為は、公開されており誰もが閲覧可能なものであるから、同指令第3条の「電子通信サービスの提供に関連して」という文言の趣旨に照らして、それ自体は、同指令の適用範囲には含まれない(61)。

これに対し、一定の量的制限および一定の条件の下で、情報処理および自由に関する国家委員会（CNIL）（フランス）によって許可されており、著作権および関連する権利の侵害行為に対処することを目的としたその後の行政または司法手続きにおいて利用される可能性があることを踏まえ、Hadopiに送信されることを目的としてのIPアドレスの収集は、GDPR第4条(2)項にいう「処理」に該当します。

その適法性は、特に2021年6月17日付のM.I.C.M.事件判決（C‑597/19, EU: C:2021:492、第102項および第103項）、および2023年7月4日付のMeta Platforms and Others（ソーシャルネットワークの利用規約一般）（C‑252/21、EU:C:2023:537、第106項から第112項および引用された判例法）の判決に示されています(62)。また、Hadopiにおける下流処理に関しては、問題のデータがCPI第L.331-21条に従って電気通信サービスプロバイダーから取得される限り、当該指令第3条の定義に従って「…電気通信サービスの提供に関連して」行われるため、指令2002/58の適用範囲に含まれる(63)。

そこで、「オンラインで発生する偽造犯罪に対処する目的で、電気通信サービス事業者が保持するIPアドレスに関連する民事上の身元に関するデータへの公的機関によるアクセスが、指令2002/58第15条(1)項に照らして正当化されるか」という論点(63、64)について、裁判所は、個人データへのアクセスは、2002/58指令に準拠する方法で保持されている場合にのみ許可される（この点については、2021年3月2日付のProkuratuur（電子通信に関するデータへのアクセス条件）C‑746/18、EU:C:2021:152、第29項を参照）としています(65)。

2.2.2 電子通信サービスプロバイダーによるアカウント情報および関連するIPアドレスに関する保存データへのアクセスの可否が、eプライバシー指令15条(1)によって許容されうるのか

 

eプライバシー指令 15 条（1）項は、国家安全保障、防衛、公共の安全の保護、 、犯罪行為または電子通信システムの不正使用の防止、調査、検知、起訴のために必要な、適切な、かつ均衡の取れた措置である場合には、これらの目的を達成するために、構成国は、特に、これらの根拠の1つを正当化する限られた期間のデータの保持を規定する立法措置を採用することができるとして、構成国が、個人データの機密性を確保するという同指令第 5 条（1）項に定められた原則的義務に対する例外を導入することを可能にしています。

もっとも、プロバイダーに対するものとしては、この規定は、電子通信およびそれに関連するデータの機密性を確保するという原則的な義務の例外を認めることはできず、特に、その指令の第5条に明示的に定められたそれらのデータの保存の禁止を規則とすることはできないというのが、2020年10月6日判決、La Quad ネットおよびその他、C‑511/18、C‑512/18およびC‑520/18、EU:C:2020:791、第110項および第111項での判事事項となります(66)。

La Quadratureにおいて、,国内法によって加盟国が電気通信サービス事業者に課した、必要に応じて管轄の国内当局が利用できるようにするためにトラフィックデータを保持する義務は、プライバシーの保護に関する憲章第7条および個人データの保護に関する第8条だけでなく、表現の自由に関する憲章第11条との整合性についても問題を提起していると判断されています(67)。

この点に関して強調すべきは、トラフィックデータおよび位置情報の保持は、それ自体、第一に、指令 2002/58 の第 5 条第 1 項で定められた、ユーザー以外の人物がこれらのデータを保存することを禁じる禁止規定からの逸脱であり、第二に、 問題となっている私生活に関する情報が機密情報であるか、あるいは、関係者がその干渉によって何らかの不都合を被ったか否かにかかわらず、 保存されたデータがその後使用されたか否かもまた関係がない。なぜなら、そのようなデータへのアクセスは、その後のデータの使用の有無にかかわらず、前項で言及された基本的な権利に対する別の侵害となるというQuadrature判決の判断が再度、強調されています(69)。

判決では、

HadopiはIPアドレスに関連する民事上の身元に関するデータのみにアクセスすることが認められているが、

• そのアクセスには、まず、関係する電気通信サービスプロバイダがIPアドレスとそのアドレスの保有者の民事上の身元データとを照合することが必要であるという特別な特徴
• そのアクセスは、プロバイダがIPアドレスと、それらのアドレスの保有者の身元に関するデータとを保有していることを必然的に前提としていること(71)。
• 公的機関は、著作権または著作隣接権の侵害の可能性がある行為に使用されたIPアドレスの保有者を特定する目的のみで、それらのデータへのアクセスを求めていること。
• そのような状況では、民事上の身元に関するデータは、IPアドレスおよびHadopiがインターネット上で利用可能にした著作物に関する情報と密接に関連しているとみなさなければならないこと(72)。

を指摘しています。この特定の状況は、憲章の第7条、第8条、および第11条に照らして解釈された指令2002/58の第15条(1)項に基づく個人データの保存を規定する措置の正当性を検討する際に無視することはできないとされます(73)。

したがって、Hadopiがアクセスする権限を有するデータであるIPアドレスの保存に関して、2002/58指令第15条1項から生じる要件を、憲章の第7条、第8条、および第11条に照らして解釈した上で、これらの憲章の条項に定められた基本的人権を侵害するあらゆる正当化理由を検証する必要があるとします(74)。そのような立場の前提として、

• IPアドレスは特定の通信とは独立して生成されることから、当該データカテゴリーは他のトラフィックデータよりも機密性が低い(76)
• IPアドレスの保存がもたらす可能性がある憲章第7条、第8条、第11条に定められた基本的人権への深刻な侵害の重大性(77-78)
• 電子通信サービス事業者に、一般的にかつ無差別にIPアドレスを保存する義務を課そうとする規定の侵害の重大性と違法性(81-83)
• 定期間に特定の人物が使用した静的および動的な膨大な数のIPアドレスのセットの一般的に無差別な保存の適法性(79-80)

を検討した上で、犯罪行為一般の取締りに関連する目的を達成するために、電子通信サービスのプロバイダーに対して、IPアドレスを一般的にかつ無差別に保持する義務を課そうとする加盟国は、その法律において、厳格な要件を満たさなければならない、保持の取り決めに関する明確かつ正確な規則を定めるべきであるとしたうえで、裁判所は、これらの取り決めに関して明確化を行うことができるとして

1. 前項で言及された国内規則は、民事上の身元情報およびIPアドレスに関連するデータを含む各カテゴリーのデータが、保持される他のカテゴリーのデータから完全に分離されることを保証しなければならない(86)。
2. 規則は、技術的な観点から、保持された各種データ、特に民事上の身元に関するデータ、IPアドレス、IPアドレス以外の各種トラフィックデータ、各種位置データの分離が、安全で信頼性の高いコンピュータシステムによって、真に確実に行われることを確保しなければならない(87)。
3. 規則が、2002/58指令第15条1項に由来する要件を欧州憲章第7条、第8条、第11条に照らして解釈した上で、保存されたIPアドレスと当該人物の市民的アイデンティティを関連付ける可能性を規定している限りにおいて、これらの規則は、これらの種類のデータの厳格な分離の有効性を損なわない効果的な技術的プロセスを使用した場合にのみ、そのような関連付けを許可しなければならない(88) 。
4. その厳格な分離の信頼性は、電子通信サービスプロバイダーが保有する個人データへのアクセスを求める当局以外の公的機関による定期的な審査の対象とされなければならない(89)。

という要件をしめしており、

国内法が、電気通信サービス事業者が保持するIPアドレスおよびその他のデータの一般かつ無差別な保持に関する取り決めについて、このような厳格な要件を規定している限りにおいて、IPアドレスの保持に起因する干渉は、その保持の構造自体により、「深刻な」ものと分類することはできない。

としています。このような法的枠組みが導入された場合、IPアドレスの保存に関する規定により、2002/58指令に従って保存された他のデータと組み合わせられる可能性が排除され、当該個人の私生活に関する正確な結論を導くことができるとして上記第86項から第89項に定める要件を満たす法制度が存在し、いかなるデータの組み合わせによっても当該個人の私生活に関する正確な結論が導き出されないことが保証される場合、憲章の第7条、第8条、および第11条に照らして解釈される2002/58指令の第15条(1)項は、 一般的な犯罪行為に対処する目的で、IPアドレスを一般的に、かつ無差別に保持する義務を課すことを妨げるものではないとしました(92)。

2.2.3 電子通信サービス事業者が保持するIPアドレスに関連するアカウント情報に関するデータへのアクセスに関する要件

刑事犯罪対策の分野においては、重大な犯罪の取締りまたは公共の安全に対する重大な脅威の防止という目的のみが、公的機関が、電子通信手段の利用者による通信または利用者が使用する端末装置の所在地に関する情報を提供する可能性のある一連の通信または所在地データにアクセスすることに伴う、憲章第7条および第8条に定められた基本的人権に対する重大な干渉を正当化できる、ということが、裁判所の判例法(Prokur （電子通信に関するデータへのアクセス条件）、C‑746/18等)から導かれるます(96)。しかしながら、公的機関による電子通信サービス事業者が保持する民事上の身元に関するデータにアクセスは、そのデータが通信に関する情報と関連付けられることがない場合には、全体として、それらのデータは、データが関係する人物の私生活に関して正確な結論を導くことを可能にしないため、深刻なものではなく、そのアクセスは、 犯罪行為全般の防止、捜査、発見、起訴という目的によって正当化される可能性があるとしています(96)。Quadrature 判決の法律でいうと、犯罪取締り一般を目的とした当該アクセスは、いかなる場合も許可されない可能性があることになるものの、指令 2002/58 の第 6 条で認められているように、サービスのマーケティングおよび請求、および付加価値サービスの提供に必要な範囲で、かつ必要な期間にわたって保存され、保持されたトラフィックおよび位置情報へのアクセス権限を付与することを正当化できることから、犯罪行為一般に対処するという目的も特定の場合には、許容されるとします(98)。

一般的な許容性

具体的には、

1. 本案で争点となっている国内法から、Hadopiは、上記第95項で言及されている判例法の意味における「トラフィックまたは位置データのセット」にアクセスできないことが明らかであり、その結果、原則として、関係者の私生活について正確な結論を導くことができない。そのような結論を引き出すことができないアクセスは、憲章第7条および第8条で保証されている基本的人権に対する重大な侵害には当たらない(99)。
2. 国内法は、指令2002/58に従って保存されたIPアドレスが、特定のIPアドレスが割り当てられた人物を識別する目的でのみ使用され、その人物のオンライン活動を、それらのアドレスの一つまたは複数によって監視することを可能にするような使用は一切排除できるような、明確かつ正確な規則を定めなければならない。IPアドレスが、関係者に対する刑事訴訟につながる可能性のある特定の行政手続きの文脈において、その保有者を識別する唯一の目的で使用され、例えば保有者の連絡先や所在地を特定するといった目的で使用されない場合、その目的のみでそのアドレスにアクセスすることは、トラフィックデータではなく、アカウント情報として取り扱うものといえる(101)。
3. (重大犯罪に対処するというようなより重要な目的のために保持されるものではない場合)主訴訟で問題となっている国内法のもとでHadopiが享受しているようなアクセスは、犯罪行為一般に対処するという目的を追求しているため、電気通信サービスプロバイダーがその目的のために保持しなければならないIPアドレスに関する場合のみ正当化される(102)。

そのうえで、2002/58指令第15条1項に基づく立法措置に基づき、一般的な刑事犯罪対策の目的でIPアドレスを保存することは、当該立法枠組みによって導入された保存の取り決めが、本質的に、保存されるさまざまなカテゴリーのデータを確実に、厳密に分離することを目的とした一連の要件を満たしている場合(異なるカテゴリーに属するデータの組み合わせが確実に排除されるような場合)、正当化される可能性がある(103)。

として

したがって、上記パラグラフ95から97で言及された判例法に照らして、そのような法制度が確立されている場合、犯罪行為の取締りという目的のために保持されたIPアドレスへのアクセスは、そのアクセスがそのような犯罪行為に関与している疑いのある人物の特定という唯一の目的のために許可されている場合、指令2002/58の第15条（1）項に関して正当化される可能性がある(104)。

また、このようなアクセスは、著作権または関連する権利の侵害の可能性があるオンライン活動に使用されたアドレスの保有者を特定する目的のみで、権利保有者団体から送られた公衆IPアドレスに関連するアカウント情報に関するデータにHadopiのような公的機関がアクセスすることを許可し、段階的対応手続きで規定された措置の1つをその保有者に課すことは、 2004/48号指令第8条に規定されている知的財産権侵害に関する訴訟手続きにおける「情報へのアクセス権」に関する裁判所の判例法に一致するものである（2008年1月29日付のPromusicae判決（C‑275/06、EU:C:2008:54、第47項以下を参照）、(指令 2004/48 の第 8 条（3）項は、指令 2002/58 の第 15 条（1）項および指令 95/46 の第 7 条（f）項と併せて解釈される場合、 加盟国が、著作権侵害に対する民事訴訟を起こすことを可能にするために、電子通信サービスのプロバイダーに個人情報を民間人に開示する義務を課すことを妨げるものではない)ともしています(105、106)。

文脈の重要性

また、公的機関による個人データへのアクセスによって生じるプライバシー侵害の程度を具体的に評価する目的においては、そのアクセスが行われる特定の状況、特に、既存のコンテンツを明らかにするデータや情報を含む、適用される国内法に従ってその機関に伝達されるすべてのデータや情報を無視することはできない（107)として

1. Hadopiが、利用可能な当該民事上の身元に関するデータにアクセスする前に、特に、権利保有者団体から「保護された著作物または行為の影響を受けた主題に関する情報」、および「該当する場合」には「加入者のデバイスに表示されるファイル名」を受け取っているという事実を考慮に入れる必要がある(政令第2010-236号の付属文書の第1項) (108)
2. 基本的に、当該著作物のタイトルと「チャンク」と呼ばれる抜粋に限定されており、当該著作物の音声またはビデオのキャプチャではなく、英数字のシーケンスの形式で提供されている(109)。
3. IPアドレスの保有者のアカウント情報に関する限られた数のデータへの公的機関によるアクセスは、保有者の私生活の特定の側面(例えば性的指向、政治的意見、宗教、哲学、社会、その他の信念、健康状態などの機微情報を含む情報)を、その公的機関に明らかにする可能性がある(110)。
4. Hadopiが入手可能な限定的なデータおよび情報の性質を考慮すると、当該個人の私生活に関する機微情報を明らかにする可能性があるのは、非典型的な状況に限られる。例えば、その人物の詳細なプロファイルを作成することで、当該公的機関がその個人の私生活について正確な結論を導くことが可能になるような状況である(111)。

とあげるものの、さまざまな要因から、本件では、本案で争点となっているような法律で認められている著作権または著作隣接権を侵害する行為に関与した疑いのある人物のプライバシー侵害は、必ずしも深刻なものではないという見解が裏付けられるとしてています。

第一に、当該法律に従い、Hadopiによる問題の個人データへのアクセスは、当該公共当局の限られた数の公認宣誓職員に制限されており、さらに、知的財産権法典（CPI）第L.331-12条に従い、当該当局は独立した地位を有している。(113)

1. そのアクセスは、著作権または著作隣接権を侵害する行為に関与した疑いのある人物を特定することを唯一の目的としており、その人物のインターネット接続から保護された著作物が違法に利用可能になっていることが判明した場合にのみ行われる。
2. 最後に、Hadopiによる問題の個人データへのアクセスは、その目的に必要なデータに厳格に限定されている（類推により、ECtHR、2019年10月17日、López Ribaldaおよびその他対スペイン、CE:ECHR:2019:1017JUD000187413、§§ 126および127を参照）。

もう一つの要因として、該当するデータおよび情報にアクセスするハドピ当局者は、 検察当局に問題を報告する目的でのみ、および著作権または関連する権利の侵害行為を行った疑いのあるIPアドレス保有者を特定し、段階的対応手続きの枠内で規定された措置のいずれかを課す目的以外での使用を禁じていることである(114)。

したがって、国内法が上記第101項に定める条件を満たす限りにおいて、Hadopiのような公的機関に通知されたIPアドレスは、それらのアドレスの保有者のクリックストリームを追跡することを可能にするものではない。これは、本訴訟で問題となっている識別データへの当該当局のアクセスによって生じる干渉は深刻なものと分類することはできないという見解を裏付けるものである。

基本権の譲歩

2002/58指令第15条1項の前段で規定された比例性の要件によって課される問題となっている権利と利益の間の必要なバランスを取るためには、表現の自由と個人データの機密性が第一に考慮され、電気通信およびインターネットサービスの利用者は、プライバシーと表現の自由が尊重されるという保証がなければならないとしても、それらの基本的権利は それにもかかわらず、それらの基本的な権利は絶対的なものではない。問題となっている権利と利益のバランスを取るにあたり、それらの基本的な権利は、公共の秩序の維持や犯罪の防止、あるいは他者の権利と自由の保護といった他の基本的な権利や公益上の要請に時として譲歩しなければならない。特に、これらの基本的考慮事項が重視されることで、刑事事件の捜査の有効性が妨げられる場合、特に、犯罪の加害者を効果的に特定し、その者に刑罰を科すことが不可能または著しく困難になる場合がこれに該当するとしています(116)

その文脈において、裁判所がすでに判示しているように、オンラインで犯された犯罪に関しては、IPアドレスへのアクセスが、犯罪の実行時にそのアドレスが割り当てられた人物を効果的に特定できる唯一の捜査手段となりうるという事実を十分に考慮しなければなりません（この点については、2020年10月6日付判決、La Quadrature du Net and Others, C‑511/18, C‑51 2/18およびC‑520/18、EU:C:2020:791、第154項を参照）。2023年9月28日付の意見の第59項で、欧州司法裁判所（ECJ）の法務官も指摘しているように、本質的には、オンラインで犯された著作権または関連する権利の侵害などの犯罪行為に対処する上で、これらのIPアドレスの保存とアクセスが、追求する目的の達成に厳密に必要なものであり、したがって、指令2002/58の第15条（1）項で課せられた比例性の要件を満たしていることを示しています(117、118)

さらに、法務官の2022年10月27日の意見書の第78項から第80項および2023年9月28日の意見書の第80項と第81項において、本質的に強調したように、 このようなアクセスを認めないことは、著作権または関連する権利を侵害する犯罪行為だけでなく、インターネットの特有の特性によりオンラインで犯される他の種類の犯罪行為またはその実行または準備が容易になる犯罪行為についても、システム的な不処罰の現実的なリスクを伴うということがあり、このようなリスクの存在は、関連する権利と利益の均衡を評価する際、憲章第7条、第8条および第11条で保障される権利への干渉が、犯罪の防止という目的の観点から比例原則に適合する措置であるかどうかを判断する上で、関連する要因を構成します(119)。

オンライン犯罪が実行された時点において当該IPアドレスを保有していた人物を特定するための捜査手段として、Hadopiのような公的機関がオンライン犯罪の実行に使用されたIPアドレスに関連する民事上の身元情報にアクセスすることが唯一の手段であるとは限らない(特に、ソーシャルメディア上に残された「足跡」、例えば、それらのネットワーク上で使用されたユーザー名や連絡先の詳細などを分析)(120)。が、それらは、より侵害的である(121)。

として、結局、インターネット上で発生した著作権および関連する権利の侵害から著作権を保護する責任を負う公的機関が、 著作権者団体が以前に収集し、電気通信サービスプロバイダーが別個かつ真正に確実な方法で保持しているIPアドレスに関連するアカウント情報のデータに、著作権侵害の責任があると疑われるアドレス保有者を特定し、必要に応じてその点に関する措置を講じることを唯一の目的として、公的機関がアクセスすることを妨げないことを意味すると解釈されなければならない(122)としました。

その場合、国内法は、

1.  検察当局に問題を委ねる唯一の目的を除き、当該保有者が閲覧したファイルの内容に関する情報をいかなる形態でも開示すること、
2. 当該保有者のクリックストリームを追跡すること、
3.  措置の実施以外の目的で当該IPアドレスを使用することを、当該アクセス権限を有する当局者に禁止しなければならない。

とされました(122)。

公的機関がIPアドレスに関連するアカウント情報(Civil Identity)に関するデータにアクセスする前に、裁判所または独立行政機関による事前審査を義務付けること

公的機関によるIPアドレスに関連するアカウント情報に関するデータへのアクセスについても、裁判所または独立行政機関による事前審査を義務付けるべきかという問題について、欧州裁判所は、裁判所は、管轄当局によるトラフィックおよび位置情報へのアクセスは、裁判所または独立行政機関による事前の審査の対象とすることが「不可欠」であるとの判断を下しています（Tele2 Sverige事件、La Quadrature事件など)

その事前審査の要件としては

• それを実施する裁判所または独立行政機関が、問題となっているさまざまな正当な利益や権利を調整するために必要なすべての権限を有し、すべての保証を提供すること。特に刑事捜査に関しては、かかる審査の要件として、裁判所または機関は、犯罪対策の観点での捜査の必要性に関連する正当な利益と、アクセスによって影響を受ける人物の私生活の尊重および個人情報の保護に関する基本的人権との間で、公正なバランスを取ること(125)
• 審査が裁判所ではなく独立行政機関によって実施される場合、その機関は、その任務を遂行する際に客観的かつ公平に行動できる地位を有していなければならず、その目的のためには、あらゆる外部からの影響を受けないものでなければならないこと(特に、刑事分野においては、独立性の要件により、事前審査を担当する機関は、第一に、当該の刑事捜査に関与してはならず、第二に、刑事訴訟の当事者に対して中立的な立場を取らなければならない)(126)
• 独立した審査は、正当に正当化された緊急事態の場合を除き、当該データへのアクセスが行われる前に実施されなければならないこと(127)。

としました。

判決は、欧州司法裁判所は、管轄の国内当局によるトラフィックおよび位置情報へのアクセスについての判決例(裁判所または独立行政機関による事前の審査の対象とすることが「不可欠」であると判断)は、重大犯罪対策に関連する目的のために、追求される目的との関連性に関係なく、保存されているすべてのトラフィックおよび位置情報への一般アクセスを認める国内措置の文脈で発展したものであるとして、これに対して、 市民の身元に関するデータへのアクセスが正当化される条件に関する事例では、裁判所は、そのような事前審査の要件について明示的な言及はしなかったとしました(128)。

これに対して、eプライバシー指令の第5条、第6条、第9条に規定された権利と義務を制限することを正当化できるかどうかという問題を正当化することができるかどうかについては、基本的権利への干渉の深刻さを測定し、その制限によって追求される公益目的の重要性がその制限に比例していることを検証することによって評価されなければならないとしています(130)。その結果

• 公的機関がその人の私生活について正確な結論を導き出し、場合 によってはその人の詳細なプロフィールを確立することを可能にする可能性があるという点で、当該 人の基本的権利に重大な干渉を及ぼすおそれがある場合には、裁判所または独立行政機関による事 前審査の要件が必要であるとされなければならない。
• 公的機関による個人データへのアクセスによって関係する基本的権利への干渉が重大なも のと分類できない場合には、事前審査の要件は適用されない。

という一般論(133)をたてて、

•  電子通信の利用者のアカウント情報に関するデータへのアクセスが、当該利用者を特定することのみを 目的とし、かつ、それらのデータが行われた通信に関する情報と関連付けられる可能性がない場合 は、このケースに該当し、 裁判所の判例によれば、このようなデータ処理によってもたらされる干渉は、原則として重大なものとは分類されない(134)

として、保持の枠組みが設けられている場 合、このように保持されている IP アドレスに関連するアカウント情報に関連するデー タへの公的機関によるアクセスは、原則として、裁判所または独立行政機関による事前の審査要件 の対象とはならないとされています(134)

そして、判決は、Hadopiの場合に戻っていきます。段階的対応手続のような手続の中で公的機関が利用できる限られたデータおよび情報は、関係者の私生活の側面に関する潜在的に機微な情報を明らかにする可能性があり、こ れらの情報を総合すると、公的機関は関係者の私生活について正確な結論を導き出すことができ、 場合によっては関係者の詳細なプロフィールを確立することができる(136)としてIP アドレスの保有者は、Hadopi が重大な過失の軽微な犯罪または偽造の犯罪を構成する可能性のある行為につい てその者を訴追することを視野に入れ、当該問題を検察当局に送致するか否かを決定しなければならな い段階に至った場合、プライバシーに対するこのようなリスクに特にさらされる可能性がある(138)としますが、関係者のプライバシーおよび個人情報の保護に対する基本的権利に対する不釣り合いな干渉のリスクを排除するために、国内法は、当該手続の一定の段階において、裁判所または独立行政機関による、上記第125項から第127項に定める条件を満たす事前の審査についても規定しなければならない(141)としながらも、Hadopiは、当該IPアドレスの保有者がそのような段階的対応手続の第3段階に到達したケー スを特定することを許可されるべきである(142)とされます。

そして、当該手続は、電子通信サービスのプロバイダーから入手した、インターネット上 で過去に収集された IP アドレスに関連する人物の民事上の身元データが、Hadopi 内の事実 調査の責任者によって、インターネット上での IP アドレスの収集が正当化される保護される著作物のタイトルを明らかにする情報を含むファイルと自動的にリンクされることがないような方法 で組織され、構造化されなければならない(143)とされます。

これらの議論のもと、結局、当該裁判所ま たは独立行政法人に提出された証拠が、その人物が CPI 第 335 条の 2 または同法第 335 条の 4 にいう偽造罪を犯したという疑いを裏付ける場合には、許可されるべきである(146)とされています。

 最後に、事前審査がどのような方法で行われるかについて、フランス政府は、Hadopiによる当該データへのアクセ スの特殊性、特にその大規模性に鑑みれば、事前審査が必要な場合は完全に自動化されることが適切であるとする。同政府によれば、このようなレビューは純粋に客観的なものであり、基本的には、ハドピに照会された報告書に必要な情報やデータがすべて含まれていることを確認するためのものであり、ハドピがその情報やデータの評価を行う必要はないという論点については、様々な合法的利益と関係する権利のバランスを取るには、自然人の介入が必要であり、 問題となっているデータ処理の自動的性質と大規模性がプライバシーリスクをもたらす場合はなおさらであり、さらに、完全に自動化された審査は、原則として、アクセスが厳密に必要な限度を超えないこと、およ び個人データが関係する人物が悪用のリスクおよびデータへの不法アクセスまたはデータ の使用に対する効果的な保護措置を有していることを保証することができない(149、150)としています。

IP アドレスに関連する市民的アイデンティティに関連するデータへの公的機関によるアクセスに 適用される、実体的および手続き上の条件、ならびに濫用のリスクに対する保護措置、および当該データ への不法なアクセスおよび使用に対する保護措置に関する要件

結局、個人データへのアクセスは、それを許可する立法措置が以下の事項を定めている場合に限り、指令 2002／58 の第 15 条(1)項が課す比例性の要件を満たすことができることは、裁判所の判例から明らかである、

1. 明確かつ正確な規則により、アクセスは適用される実体的および手続き的条件の遵守を条件とし、関係者はこれらのデータへの不正アクセスまたは不法使用のリスクに対する効果的な保護手段を有する（この点に関しては、2020年10月6日判決、La Quadrature du Net and Others, C-511／18, C-512／18 and C-520／18, EU： C:2020:791, paragraphs 132 and 173, and of 2 March 2021, Prokuratuur (Conditions of access to data relating to electronic communications), C-746／18, EU:C:2021:152, paragraph 49 and the case-law cited）。個人データが自動処理の対象となる場合、そのような保護措置の必要性はより高まるとしています(153)。
2. このような自動処理には一定数の誤検知が含まれる可能性があり、とりわけ、潜在的に非常に多 くの個人データが第三者によって違法または悪用目的で悪用されるリスクがあるため、立法措置に基 づいて、公的機関が使用するデータ処理システムが定期的に見直しの対象となることが重要である、 濫用のリスクに対する効果的な保護措置、およびシステムが確保しなければならないデータへの不法なアクセスまたはデータ の使用に対する効果的な保護措置、ならびに重大な過失または偽造と分類される違反行為の検出におけるシス テムの有効性および信頼性を含む、システムの完全性を検証することを目的とする。
3. 最後に、段階的対応手続の中でHADOPIが実施した処理など、公的機関による個人データの処理は、指令 2016／680によって規定されたデータ保護のための特定の規則に準拠しなければならないことを付記しなければならない、 (GDPRの第2条2項（d）は、公共安全保障に対する脅威の保護および防止を含む、刑事犯罪の予防、捜査、摘発もしくは訴追、または刑事罰の執行を目的とした管轄当局による個人データの処理には同規制は適用されないと定めているが、当該国内法令が指令 2016／680 に規定されるすべての実体的及び手続的な保護措置 を提供しているかどうかは付託裁判所が確認することであるとしている)。

前述のすべての考慮事項に照らして、予備的判定のために付託された 3 つの質問に対する回答は、指令 2002／58 の第 15 条(1)が第 7 条、8 条、11 条、および第 52 条(1)に照らして解釈されるというものである、 8 条、11 条、及び憲章の第 52 条(1)項に照らして読むと、インターネット上で行われるこれらの権利の侵害に対する著作権及び関連する権利の保護に責任を負う公的機関にデータへのアクセスを許可する国内法を排除するものでは ないと解釈されなければならない、としています。

そして、その許容される国内法の要件としては、

•  これらのデータが、その保持によって、例えばこれらの者の詳細なプロフィールを確立することによって、IPアドレスの保持者の私生活について正確な結論が導き出される可能性が排除されることを保証する条件および技術的取り決めに従って保持されること、 電子通信サービスのプロバイダに対して、市民 ID に関するデータ、IP アドレス、トラフィックお よび位置データなどのさまざまな種類の個人データを、これらの異なる種類のデータの真に厳密な 分離を確保するような方法で保持する義務を課すことにより、保持の段階で、これらの異なる種類の データを組み合わせて使用することを防止し、厳密に必要な期間を超えないようにする；
• 別個に、かつ、真に水密な方法で保持された当該データへの公的当局のアクセスは、専ら犯罪を犯したと疑われる人物を特定するために機能するものであり、当該アクセスは、非典型的な状況を除き、例えば、当該人物の詳細なプロフィールを確立することによって、IPアドレス保持者の私生活について正確な結論を導き出すことができないことを保証するために必要な保護措置に服するものであること、
•  当該公権力内の事実調査に責任を有する者が、当該データと、権利者団体によるIPアドレスの収集が正当化されるインターネット上での利用が可能である保護される著作物の題名を明らかにする情報を含むファイルとを、同一人物が著作権又は関連する権利を侵害する行為を再び繰り返す場合にリンクさせる可能性、 このような場合、IPアドレスが著作権または関連する権利を侵害する可能性のある活動に使用された人物の私生活について正確な結論を導き出すことができるため、このようなリンクは、完全に自動化することはできず、リンクの前に行われなければならない；
•  公的機関が使用するデータ処理システムは、当該公的機関との関係で第三者として行動する独立機関による定期的なレビューの対象となり、データへの不正アクセスまたはデータ使用のリスクに対する効果的な保護措置、潜在的な違反行為の検出における有効性および信頼性を含む、システムの完全性を検証することを目的とする。

費用

•  本手続は、本手続の当事者にとって、付託裁判所に係属中の訴訟の一段階であるため、費用に関する決定は付託 裁判所の問題である。当裁判所に意見書を提出するために発生した費用は、当事者の費用以外には回収できない。以上の理由により、当裁判所（全裁判所）はここに判決する：

として、結論は、

個人情報の処理および電子通信分野におけるプライバシーの保護に関する2002年7月12日付欧州議会および理事会指令2002／58／EC（プライバシーおよび電子通信に関する指令）の第15条1項は、2009年11月25日付欧州議会および理事会指令2009／136／ECにより改正されたものであり、欧州連合基本権憲章の第7条、第8条および第11条ならびに第52条1項に照らして解釈される、 インターネット上で行われた著作権および関連する権利の侵害に対して、著作権および関連する権利の保護を担当する公的機関が、公に利用可能な電子通信サービスのプロバイダーによって保持されている、権利者団体によって過去に収集されたIPアドレスに関連する市民的アイデンティティに関するデータにアクセスする権限を付与する国内法を排除するものではないと解釈されなければならない：

•  これらのデータが、その保持によって、例えばこれらの者の詳細なプロフィールを確立することによって、IPアドレスの保持者の私生活について正確な結論が導き出される可能性が排除されることを保証する条件および技術的取り決めに従って保持されること、 電子通信サービスのプロバイダに対して、市民 ID に関するデータ、IP アドレス、トラフィックお よび位置データなどのさまざまな種類の個人データを、これらの異なる種類のデータの真に厳密な 分離を確保するような方法で保持する義務を課すことにより、保持の段階で、これらの異なる種類の データを組み合わせて使用することを防止し、厳密に必要な期間を超えないようにすること
•  別個に、かつ、真に水密な方法で保持された当該データへの公的当局のアクセスは、専ら犯罪を犯したと疑われる人物を特定するために機能するものであり、当該アクセスは、非典型的な状況を除き、例えば、当該人物の詳細なプロフィールを確立することによって、IPアドレス保持者の私生活について正確な結論を導き出すことができないことを保証するために必要な保護措置に服するものであること、 このようなアクセスを許可された当局の職員は、いかなる形式であれ、当該IPアドレスの保有者が閲覧したファイルの内容に関する情報を、当該問題を検察機関に照会する目的のみを除いて開示すること、当該IPアドレスの保有者のクリックストリームを追跡すること、より一般的には、当該IPアドレスを、当該IPアドレスの保有者に対する措置を採用する可能性を視野に入れた当該IPアドレスの保有者の特定以外の目的に使用することが禁止されること
•  公的機関において事実を調査する責任を負う者が、当該データとの著作物がインターネット上で利用可能になるタイトルを明らかにする情報を含むファイルとをリンクさせる可能性保護されたことで、権利者団体によるIPアドレスの収集が正当化される場合、同一人物が著作権または関連する権利を侵害する行為を再び繰り返す場合には、その対象となる、 このような場合、IPアドレスが著作権または関連する権利を侵害する可能性のある活動に使用された人物の私生活について正確な結論を導き出すことができるため、このようなリンクは、完全に自動化することはできず、リンクの前に行われなければならない；
•  公権力によって使用されるデータ処理システムは、当該公権力との関係で第三者として行動する独立機関による定期的なレビューの対象となり、データへの不正アクセスまたはデータ使用のリスクに対する効果的な保護措置、潜在的な違反行為の検出における有効性および信頼性を含む、システムの完全性を検証することを意図している。

3 本判決の位置づけ

個人的には、データの保持とアクセスでは、全く性格がことなるものと考えているのですが、Quadrature 判決(2020)は、データ保持についてもきわめて厳しい要件を付していました。重要犯罪への限定がなされており、まさに本件のような著作権侵害対応や名誉毀損対応などは、どうなるのだろうかという感想を持っていたのですが、本判決は、著作権侵害についても法的な対応策のもとに保持とアクセスが許容とれるという判示がなされました。

いままでの判決例をまとめてみます。

Quadrature du Nez　Ⅱ事件は、これらの一連の判決法理の中で、裁判所は、犯罪の防止、捜査、摘発、起訴という目的について、比例性の原則に従い、重大な犯罪に対処するための措置及び公共の安全に対する重大な脅威を防止するための措置に限るという分野の判決例ということになりますが

重大犯罪対策以外のログ保存規定を認めないかのような判示であったが(Prokuratuur判決)にたいして

フランスにおける「インターネット上の著作物の保護措置管理システム」(知的財産法典)第 L. 331-21 条以下の規定)に関して、

①アカウント情報へのアクセスは、犯罪行為全般の防止、捜査、発見、起訴という目的によって正当化される可能性があること、②他のカテゴリのデータから完全に分離されることの確実化、安全で信頼性の高いコンピュータシステム、効果的な技術的プロセスの使用、公的機関による定期的な審査の対象とすること、を要件として認められるとしたもの

今後の判決法理の展開は、やや不明瞭であるという位置づけになるものと考えられます。