欧州評議会のサイバー犯罪条約草案に関する意見書
[仮訳]
by 夏井高人
これは,EUの個人データの処理に関連する個人の保護に関する作業部会が2001年4月に公表した「欧州評議会のサイバー犯罪条約草案に関する意見書」の仮訳です。誤訳が含まれている可能性もあります。あくまでも参考としてご利用ください。
なお,オリジナル。データは,
http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp41en.htm
で入手できます。
サイバー犯罪条約草案仮訳
http://www.isc.meiji.ac.jp/~sumwel_h/doc/intnl/cybercrime-conv25.htm
個人データの処理に関連する個人の保護に関する作業部会
欧州評議会のサイバー犯罪条約草案に関する意見書 4/2001
2001年3月22日採択
欧州議会指令95/46/EC及び欧州評議会指令1995年10月24日指令(1)によって設置された個人データの処理に関連する個人の保護に関する作業部会は,同指令第29条並びに第30条第1項(a)及び第3項を考慮に入れ,その手続規定とりわけ第12条及び第14条を考慮に入れた上で,この意見書を採択した。
イントロダクション
サイバー犯罪は,情報社会の裏面の一部である。新たな技術の利用は,社会に莫大な利益をもたらしただけではない。それは,新たな種類の犯罪又は新たな手段を用いてなされる在来型犯罪の実行の機会をも提供している。国及び様々な国際会議は,この問題を重視しており,例えば,欧州協議会(2),G8(3),OECD,国連及び欧州評議会において,この問題が取り扱われてきた。これら国際会議の目的は,市民が自由と安全を享受することのできる情報社会を構築することにある。
欧州評議会は,犯罪関連事項の国際協力と人権問題の両方について,長い経験と伝統を持っている。サイバー犯罪条約草案については,1997年から作業がなされている。サイバースペースにおける犯罪に関する専門家委員会(PC-CY)は,2000年12月にその作業を完了し,欧州評議会の全体会議は,欧州評議会の閣僚委員会がその採用のために条約案を提出する前に,その意見を提出しなければならない(2001年4月予定)。全体会議の意見に基づき,起草グループは,それに対応した条文の修正を委任される。
条約草案は,欧州評議会の構成国ではない国々が署名することができる。合衆国,カナダ,日本及び南アフリカは,既に,積極的に起草作業に参加している。
2000年4月以来,異なるバージョンの条約草案が欧州評議会のWebサイト上で公開されてきた。説明用覚書は,つい最近である2001年2月になって初めて出版された。この2つの文書の起草作業は,まだ続いている。この意見書は,2000年12月22日に出版された条約草案(第25版公開(4))の条文に対するコメントであり,説明用覚書に対するものではない。
作業部会は,サイバー犯罪と闘うために様々な場所でなれている努力に注目し,そして,全ての市民のために,そして,とりわけ,個人データの処理のために,安全性のレベルを向上させることに寄与し得るような方途における努力の一般目的を支持する。にもかかわらず,条約草案全体の中で提案されている手段の範囲に関連して,サイバー犯罪に対抗しようとする努力と個人のプライバシー及び個人データ保護のための基本的人権との間において,正しいバランスが樹立されなければならないということを,強く表明しなければならない
これらの権利は,欧州評議会の人権に関する欧州条約,個人データの自動処理に関連する個人の保護のための欧州評議会1981年条約,警察部門における個人データの利用に関する勧告N° R (87) 15,とりわけ通信サービスに関しては,通信サービス分野における個人データの保護に関する勧告N° R (95) 4,EUデータ保護指令,そして,国際連合の市民的権利及び政治的権利に関する国際規約の中に,明確に採り入れられている。
これらの理由により,作業部会は,欧州評議会のサイバー犯罪条約の現草案について,次のとおりに検討結果を呈示する。
条約草案
この条約草案の刑事手続上の措置(第2章)の国際調和及び国際的な共助(第3章)に関連する内容は,専らサイバー犯罪にのみリンクしているのではない刑事関連事項の国際協力の過程において,(トラフィック・データ,通信内容その他全ての種類の)個人データが交換されるという結果をもたらす。
第3章は,「コンピュータ・システム及びデータに関連した刑事犯罪に関する犯罪捜査及び刑事手続について,又は,刑事犯罪の電子的形式の証拠を収集するための」国際相互協力に関連している。そこにある相互支援のための義務のほとんどは,それがコンピュータに関連するものであろうとなかろうと,捜査される全ての犯罪と関係している。義務は,引渡,自発的情報提供,コンピュータ・データ及びトラフィック・データの保存,コンピュータ・データ及びトラフィック・データの開示及びこれらへのアクセス,記憶されたデータへの国境を越えたアクセス並びにトラフィック・データのリアルタイム収集及び通信傍受を含んでいる。また,この章は,ファックス及び電子メールを含む応急用の通信手段による共助の要請をすることができると規定する。正式な確認は,要請を受けた加盟国から求めがあった場合にのみ,追完されなければならない。
また,条約草案(第2章第2節)は,加盟国に対し,次の各措置を確保するという見地から,加盟各国の刑事手続法を調和させることをも要求している。すなわち,記憶されたコンピュータ・データの応急保全,トラフィック・データの応急保全及び開示,ある者に対しその管理下にあるコンピュータ・データを提出させるための命令,プロバイダに対しその管理下にある加入者情報を提出させる命令,記憶されたコンピュータ・データの捜索及び押収,トラフィック・データのリアルタイム収集及びコンテント・データの傍受である。
実体刑法に関しては,条約草案(第2章第1節)は,加盟国に対し,特定の行為については,すべての結果を伴う,とりわけ通常は犯罪捜査のために存在する特定の捜査権限が行使されることを伴う犯罪行為とみなすことを求めている。例えば,コンピュータ・データに対する違法アクセス,違法傍受,コンピュータ・プログラム又はパスワードのような機器の濫用,コンピュータ関連偽造及びコンピュータ関連詐欺,児童ポルノグラフィに関連する犯罪行為,著作権及び関連諸権利の侵害の場合がそれである。作業部会は,データ保護規則の犯罪行為化に関しては,何らの規定も存在しないことを遺憾に思う。
人権,プライバシー及びデータ保護
条約草案の前文は,基本的人権及び自由の保護のための欧州評議会1950年条約(ECHR),1966年の市民的権利及び政治的権利に関する国際連合規約,(括弧の中で)個人データの児童処理に関連して個人を保護するための欧州評議会1981年条約及び(括弧の中で)警察部門における個人データの使用に関する勧告N° R (87) 15を参照している。
しかしながら,条約草案は,参照された条文に基づいて想定された措置に適用されるべき保障や条件と調和していない。条約草案(第15条)は,手続法の文脈の中で,「本節(第2章第2節)に規定する権限及び手続の制定,施行及び適用は,関係各加盟国の国内法によって規定された条件及び保障条項に従い,なされなければならない。」と述べているが,そのような保障及び条件が有効に国内法化されることを求めているわけではない。
欧州評議会諸国は,(プライバシーの権利とデータ保護,信書の秘密,公正な裁判,法律によらない処罰の禁止,表現の自由を保障し,そして,これらの権利を適法に制限するためには,明確な法律条文中に詳細に要件を設定すべきものとする)ECHRを履行すべき義務がある。従って,欧州評議会諸国は,保障及び条件の固有の性質及びその範囲が全ての構成国において同定され得るわけではないとしても,保障及び条件を国内法化しなければならない。しかしながら,条約草案が欧州評議会の非構成国によっても署名されることを意図しているにもかかわらず,これらの非構成国は,欧州評議会構成国と同様の義務を負うわけではないし,また,非構成国に対して,国際人権条項に準拠した保障及び条件を導入するように義務付けるものでもない。
更に,条約草案第15条を創ったということは,人権保障が「しかるべく」考慮され,かつ,単に「適切に」であれば良いという印象を与え得るものである。さらに,その犯罪行為の性質及び状況とその権限又は手続との間の釣合いを考慮することは,原則となる事項として参照されているのではなく,「該当する」場合にのみ参照されているのである。もし,これが保障と手続を制限するものとして解釈され得るものとすれば,それが土台から覆されるものではないにしても,基本的人権の保障を相当低いものとすることになるだろう。
国際協力に関する第3章には,条件及び保障の調和について同様の欠損がある。要請をする加盟国を援助する義務中の幾つか(トラフィック・データのリアルタイム収集及びコンテント・データの傍受)(5)は,国内法の下で規定されている条件及び保障に従うものである。その他の義務は,その他何らの条件にも従わない。このことは,欧州評議会構成国は,協力を拒否することができないということを意味する。加盟国の「公序」に反するということが拒絶理由として認識されているのは2つの場合のみである(6)。そして,(他の非常に重要な保障である)二重処罰の要件は,限定された場合にのみ申し立てることができる(7)。その結果として,一般的に,そして,保障及び条件に関する国内法上の概念又はより広い概念とは無関係に,要請を受けた加盟国は,他の加盟国から要請を受けた情報,マテリアルその他のものを配達しなければならないことになる。このことは,効果的な法執行及び犯罪に対する闘いという限りにおいては,望ましいことである。しかしながら,それは,憲法及び国内の特別法に導入されている人権条約によって求められている必要性,適切性及び均衡性のテストをパスすることができないだろう。
この文脈において,作業部会は,また,条約草案を通じて(8),調印国が条約を履行するためにすべき義務を負わされている「立法その他の措置」へと参照がなされていることにも着目した。作業部会は,欧州評議会に対し,特に欧州評議会の現在の起草会議に対し,そして,調印を予定している諸国に対し,条約の条項に基づく措置が基本的人権及び自由の適法な制限であるかどうかについて,その条項は,欧州人権裁判所の裁判において解釈されなければならないという事実を,注意喚起のため明らかにしておきたい。
幾つかのEU構成国は,指令95/46/ECを,例えば,刑事関係事項における個人データの処理のために,「第3の柱」に導入している。そして,それらの国の国内法は,原則として,当該国の個人データの処理に関連して個人が十分なレベルの保護を当該国が提供している場合に限り,非EU諸国に対して,個人データの送信をすることができると定めている。これらの国々は,従って,当該第三国における保護のレベルの十分性を確認することができなければならない。十分な保護を見出すことができない場合には,個人データを伝送することは,犯罪に対する闘いのために必要な場合であっても,許されない。国内法は,十分性の原則の例外を許容するという方法で,そのための例外を持っているかもしれない。条件を設定しなければならないという同様の必要性は,それ以外の国の憲法上及び訴訟法上の理由からも発生するかもしれない。従って,条約草案は,最低でも,要請を受けた国が,伝送の必要性の発生に応じて特定の保障及び条件を義務づけることを許容することによって,2つの問題を解決することができるようにする条項を設けるべきである。これ以外にも,援助義務と欧州条約及び関連裁判所によって承認された基本的人権の遵守義務との間に,衝突が発生し得る。
明らかに,第27条の2及び第27条第6項は,この問題に対応しようとしているが,それがどのようになされるのかは,完全に明確ではない。第27条の2は,個人データの保護について明示の言及をしていないが,「情報又はマテリアル」に関する「機密性及び使用制限」に言及している。要請を受けた加盟国は,情報又はマテリアルの提供を機密性又は使用制限に従わせることができること(「できる」のであって,義務ではない。)についてのみ規定する。同時に,これらのことができるということは,実質的に見て,禁止され得ることのように思える。すなわち,脚注48が示すように,機密性は,刑事手続法が公開を求める場合には,与えられない。脚注49が説明するところによれば,第27条の2は,国際合意が存在しない場合には,共助に関する第27条を阻害することはない。第27条第4項は,要請を実行することが自国の「公序」,主権,安全その他の基本的利益を害するおそれがある場合ことを拒絶理由として共助を拒絶することを許容している。援助の拒絶し又はこれを延期する前に,要請を受けた加盟国は,その要請を部分的に認めるか又は条件に従わせるかを考慮しなければならない(第27条第6項)。しかしながら,データ保護の条件がこの条項に基づいてなされ得るものであるかどうかは,明確ではない。というのは,それは,第27条第4項にある拒絶の根拠に関連するものであって,データ保護を含むものであるとは限らないからである。[訳注] 公開されている条約草案(PDF版)には,脚注47までであり,脚注48以下は存在しない。この意見書は,別のバージョンの草案に基づいて書かれたものであるか,又は,公開されていない内部資料に基づいて書かれたものである可能性がある。なお,公開されている条約草案(PDF版)の脚注46には,ここに書かれていることと反対の趣旨が明記されており,条件の設定は,共助を実質的に阻害する効果を持たせてはならないとされている。
作業部会は,これらの条項及びその制限が,プライバシーという基本的人権及び個人データ保護を完全に保障するためには十分なものとはいえないという意見を持っている。市民は,その基本的人権が,いつ,どのように制限されるのかを予見することができない。従って,条約草案は,条約草案中の全ての措置に関連して処理されるべき情報主体である個人に対して与えられるべき保護の概要を記述するデータ保護条項を含むべきである。加えて,調印国は,非欧州評議会諸国に対しても開かれている欧州評議会条約第108号(9)に署名することを求められるべきである。
特に,第27条の2並びにそれと関連する第27条第4項及び第6項は,ここまでのコメントに照らすと,明確化されなければならない。指令95/46/ECが,例えば,「第3の柱」に個人データの処理を含めているように,継ぎ目のない方法で典型的に導入されているという事実から見ると,「公序」という概念もまた,当該要請をしている加盟国の個人データの処理に関連する個人の保護が不十分なレベルであるために,関連する個人の権利と自由を損なうような状況をもカバーできると結論付ける有力な主張がある。この文脈においては,最近,個人データの保護に関する人権が基本的人権に関するEU憲章第8条の中に置かれたという事実を明示に参照すべきである。第三国において十分なレベル又は不十分なレベルでの保護が存在する又は存在しないことという要件は,個人データが,警察目的で第三国に対し欧州警察によって接続され得る場合及びその範囲を定める重要な基準としての欧州警察条約の中でも言及されている。
示唆したように明確化又は修正された場合を含め,第27条の2が,非欧州評議会諸国又は非EU諸国に対して個人データの伝送という特別な文脈の中で,機密性と目的制限の主張に適合する方向への道を歩むのであるとしても,第27条の2の要件を満足するために調印国の制限がなされただけでは,プライバシーのための適切な制限を構成することにはならないかもしれない(上記参照)。データ保護条項を入れることは,上記に引用した文書によって求められている必要性,適切性及び均衡性という要件の条文化と明確化のための助けとなるだろう。
また,条約の調印国は,データ主体の権利と自由の保護について十分なレベルの保護を提供することを考慮する前に,データ保護条項の要件を満足させなければならない,ということも作業部会の見解である。このようなアプローチは,条約草案中にある措置に対して適用しなければならない保障及び条件の調和を確実にすることを支援するだろう。もし,第三国である加盟国が,自国への個人データの伝送の利益を享受したいのであれば,ひとたびそれを受信した以上は,関係する個人の基本的人権が十分に保護されることを確保すべき固有の責任があるのだということを承認しなければならない。
トラフィック・データ
作業部会は,現在の版の条約(第25版)が,従前の草案とは反対に,全てのトラフィック・データの日常業務的な保持を構成する一般的調査義務を含んでいないということについては,歓迎する。これは,1999年9月7日に採用された作業部会の法執行の目的によるインターネット・サービス・プロバイダによるトラフィック・データの保存に関する勧告3/99(10)と軌を一にするものである。この勧告は,そのような一般的義務とは反対の法律上の議論(11)について説明している。
また,EUデータ保護委員会は,2000年春にストックホルムで開催された会合において,そのような措置に強く反対する立場を採った。同委員会は,「法執行機関によるアクセスを許容するために列挙されている目的の要件の範囲を超えて,ISPはトラフィック・データを日常業務的に保存すべきであるという提案に着目した。会合は,そのような保存が欧州人権条約第8条によって私人に保障されている基本的人権の重大な侵害となるだろうと強く主張した。特定の事案においてトラフィック・データが保存されるべき場合には,その必要性が明示されていなければならず,その保存期間は可能な限り短期間でなければならず,そして,その実施は法律によって明確に規律されていなければならない。」という表現の決議を採択した。
この問題に関する同様の見解は,集められている。例えば,通信におけるデータ保護に関する国際作業グループが,条約草案第12条中のデータ保護の観点についての共通見解において表明しているように,他の組織及びグループも同じ立場を採っており(12),実質的に保留の態度を示している。
にもかかわらず,トラフィック・データに関連する条約草案中の諸条項は,重大な懸念を引き起こした。すなわち,トラフィック・データ及びその他のデータの応急保全及び開示に関する第29条及び第30条は,要請を受けた加盟国について,データ保護を根拠としてその要請を拒絶することができるという条項を持っておらず,(「公序」などの)上記で検討したのと同様の根拠に基づく拒絶を規定するのみなのである。それと同時に,記憶されたコンピュータ・データ及びトラフィック・データを,要請に基づき,何故それが必要でありどのようにそれを使用すべきであるかを考慮に入れた決定を得るために,少なくとも60日間は保存しなければならないという義務は,(通信事業者,インターネット・サービス・プロバイダ及びその他全ての)企業及び私人に対して,加重な負担を負わせることになる。サービス・プロバイダに対し,技術的に可能な範囲内で,トラフィック・データのリアルタイムでの収集及び記録を義務付ける第20条についても,同様の懸念がある。
一般論として言うと,企業は,企業に負わせられる義務及び条約の完全な履行に関して,より確実な法的予見可能性を求めるかもしれない。企業は,機密の情報及び通信に対して誰がいつアクセスするのか明確でないという場合には,企業の製品及びサービスについて,顧客が信頼と機密を十分に持つことができないということを恐れている。
結 論
作業部会は,過去数十年間にわたり,欧州評議会が果たしてきた基本的人権及び自由の有能な保護者としての重要な役割を強く指摘する。作業部会は,その構成国外にサイバー犯罪関連事項の国際協力を推進する場合には特に,欧州評議会が基本的人権と自由の保護とりわけプライバシーの権利と個人データ保護に関して特別の注意を払うべきだという立場を採っている。
そこで,作業部会は,条約草案の条項文の説明を求める必要があると考える。というのは,条約草案の用語例は,しばしば,曖昧で混乱しており,基本的人権と自由に対して適法に制限をしようとする関連法令及び命令的措置の根拠として十分満足できるものではないかもしれないからである。説明用覚書内の解説によって,条文それ自体の法的明確性を代替することはできない。
条約草案のほとんどの条項は,プライバシー及びデータ保護に関する基本的人権に対し,強い影響力を持っている。上記に述べたとおり,条約草案の現在の条文中で選択されている表現は,一定の範囲で,プライバシーに関する基本的人権(ECHR第8条)その他の権利を制限しているかどうか(13)について法的判断が必要な場合を想定している。この関連で最も基本的な問題は,措置なるものが特定の事件について必要かどうか,仮にそうだとして,その措置が適切であり,釣合がとれており,過剰でないかどうか,である。条約草案中の幾つかの要件は,全く新しいもので,その基本的人権とりわけプライバシーの権利及びデータ保護に対する影響について,サイバースペースにおける犯罪に関する専門家委員会(PC-CY)は,これまで十分に評価をしてきたわけではないだろう。作業部会は,上記に引用した人権及びデータ保護に関する諸文書によって求められている必要性,適切性及び均衡性の要件を満たすように措置の修正を勧告する必要があると考える。
作業部会は,条約草案中の全ての措置に関連して処理されるべき情報主体である個人に対して与えられるべき保護の概要を記述するデータ保護条項を含むべきだと勧告する。第27条の2もまた,(括弧を削除して)条約草案の中に含められるべきであり,そして,そこに指示されているとおりに向上させるべきである。データ保護条項を採り入れることは,欧州評議会及びEU構成国の「acquis」によって求められている必要性,適切性及び均衡性という要件の条文化と明確化のための助けとなるだろう。
作業部会は,前文が何らの拘束力も有しないとしても,条約第108号への参照を前文中に含めること(従って,括弧は削除されるべきである。),そして,サイバー犯罪条約の調印国は個人データの自動的な処理に関連する個人の保護に関する条約第108号に署名すべきことを,追加的な意見とする。
さらに,作業部会は,データ保護規則違反の犯罪行為化に関して,条約草案中に何らの条項も存在しないことを遺憾に思う。
作業部会は,欧州評議会諸国その他の諸国の間での取扱いには不一致があると考える。というのは,欧州評議会構成国は,欧州人権条約,条約第108号,関連する欧州評議会勧告,基本的人権に関するEU憲章,EUデータ保護指令及び関連する国内法による義務を考慮しなければならないのに対し,欧州評議会の非構成国は,現在の条約草案に基づく限り,これらと同様又は類似の義務を負わないからである。
作業部会は,さらに,条約調印国が基本的人権に関連するデータを欧州共同体及び欧州評議会構成国からひとたび受信した以上は,個人の基本的人権が十分に保護されることを確保すべき固有の責任があるのだということを承認しなければならないという見解を採る。
現在の条約草案中(公開第25版)に呈示されている立場では,調印国に対し,全ての通信のトラフィック・データを保存すべきことをサービス・プロバイダに強いることを義務づけられるわけではない。この立場は,いかなる方法によっても修正されてはならない。
作業部会は,関連する諸文書の発行が非常に遅いということを遺憾に思う。作業部会は,欧州評議会の全体会議が議論し議決してしまう前に,(人権関係機関,産業界等の)関係する全ての当事者を巻き込んだ公開の討論期間を長くすることが非常に望ましいと考える。
作業部会は,この意見書中に反映されている膨大な量の欠点が存在するのは,明らかに,欧州評議会がデータ保護関連事項の利用可能な専門家を最適に活用してこなかったという事実から帰結するのだという見解を持っている。従って,作業部会は,欧州評議会とりわけEU構成国に対し,条約草案についての立場を決定する以前にそれぞれの国におけるデータ保護の専門家と相談すること,そして,専門家の力を最大限活用することを勧告する。
作業部会は,欧州評議会,欧州委員会,欧州議会及び構成国に対し,本意見を考慮に入れることを切望する。
作業部会は,追加的なコメントを発する可能性を留保する。
ブラッセルにおいて採択,2001年3月22日
作業部会のために
議長:セファノ・ロドタ
脚注:
(1) 公式ジャーナルno. L 281 of 23/11/1995, p. 31,次の場所で入手できる。
http://europa.eu.int/comm/internal_market/en/media/dataprot/index.htm
(2) 欧州委員会から欧州評議会及び欧州議会に対する報告である「情報基盤の安全性を向上させコンピュータ関連犯罪と闘うことによってより安全な情報社会を創る」(2001年1月26日採択)参照。これは,次の場所で入手できる。
http://europa.eu.int/ISPO/eif/InternetPoliciesSite/Crime/crime1.html
(3) 法執行の目的によるインターネット・サービス・プロバイダによるトラフィック・データの保存に関する勧告3/99(1999年9月7日採択)参照。これは,次の場所で入手できる。
http://europa.eu/comm/internal_market/en/media/dataprot/wpdocs/index.htm
(4) 次を参照。
(5) 条約草案第33条及び第34条参照。
(6) 相互の法的支援の条約が適用されるのではなく,条約草案のこの章が適用される場合については,第27条第4項(b)を参照。記憶されたコンピュータ・データについては第29条第5項(b)を,保存されたトラフィック・データの応急開示については第30条第2項(b)を参照。
(7) 記憶されたコンピュータ・データの応急保全に関しては第29条第3項及び第4項,保全されたトラフィック・データの応急開示については第30条参照。
(8) 条約草案の23条及び26条,(無令状又はこれに類する方式による)トラフィック・データのリアルタイム収集については,第14条,第16条,第17条,第18条,第19条,第20条,コンテント・データの傍受については第21条参照。
(9) この提案は,シェンゲン・モデルに従うものである。そこでは,特定の目的による警察サービスの中での共助及び個人データの交換が,条約第108号及びシェンゲン合意それ自体の中にあるデータ保護条項の遵守に基づくものである。
(10) 次の場所で入手できる。
http://europa.eu.int/comm/internal-_market/en/media/dataprot/wpdocs/index.htm
(11) 特に,指令97/66/ECを参照のこと。
(12) 通信におけるデータ保護に関する国際作業グループは,2000年9月13日及び14日にベルリンで開催された第28回会合において,欧州評議会サイバー犯罪条約草案におけるデータ保護の観点に関する共通見解を採択した。これは,次で入手できる。
(13) 例えば,通信の傍受及びトラフィック・データの傍受は,信書の秘密を完全に破壊する(欧州人権裁判所のマローン判決参照)。
Copyright (c) 2001 Takato NATSUI, All Rights Reserved.
Published on the Web : Apr/27/2001
Error Corrected : May/01/2001