欧州 EDPB/EDPS デジタル・ユーロ：最高のデータ保護とプライバシー標準を確保する

こんにちは、丸山満彦です。

欧州データ保護委員会（EDPB）[wikipedia] と欧州データ保護監督機関（EDPS）[wikipedia] が共同で、デジタル・ユーロに関する規則案についての共同意見を発表していますね。。。

プライバシーの観点からは、現金のような匿名性の仕組みも低額の取引については作ったらと言っていますね。

 

● European Data Protection Board: EDPB

・2023.10.18 Digital euro: ensuring the highest data protection and privacy standards

Digital euro: ensuring the highest data protection and privacy standards	デジタル・ユーロ：最高のデータ保護とプライバシー標準を確保する
Brussels, 18 October  - The European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) issued a Joint Opinion on the proposed Regulation on the digital euro as a central bank digital currency. The digital euro aims to provide individuals with the possibility to make payments electronically, both online and offline, as an additional means of payment alongside cash.	ブリュッセル、10月18日-欧州データ保護委員会（EDPB）と欧州データ保護監督機関（EDPS）は、中央銀行のデジタル通貨としてのデジタル・ユーロに関する規則案について共同意見を発表した。デジタル・ユーロは、現金と並ぶ新たな決済手段として、オンライン・オフラインを問わず電子的に支払いを行う可能性を個人に提供することを目的としている。
The EDPB and the EDPS acknowledge that the proposed Regulation addresses many data protection aspects of the digital euro, notably by addressing an offline modality to minimise the processing of personal data. In particular, the EDPB and the EDPS strongly welcome that digital euro users will always have the choice to pay in digital euros or in cash. At the same time, the EDPB and the EDPS make several recommendations to better ensure the highest standards of personal data protection and privacy for the future digital euro.	EDPBとEDPSは、同規則案がデジタル・ユーロのデータ保護の多くの側面に対処していること、特に個人データの処理を最小限に抑えるためのオフライン方式に対処していることを認めている。特に、EDPBとEDPSは、デジタル・ユーロの利用者が常にデジタル・ユーロで支払うか、現金で支払うかを選択できることを強く歓迎する。同時に、EDPBとEDPSは、将来のデジタル・ユーロの個人データ保護とプライバシーの標準をより確実にするために、いくつかの提言を行う。
EDPS Supervisor Wojciech Wiewiórowski said: “We welcome and support the commitment in the proposed Regulation to ensure high levels of data privacy for the use of the online digital euro, and an even higher level of protection for the use of the offline digital euro. In our Joint Opinion, we suggest further improvements to ensure that the rights to privacy and to the protection of personal data are effectively preserved. In particular, we make recommendations to ensure that only the necessary personal data of users of the digital euro is processed, and to avoid excessive centralisation of personal data by the European Central Bank (ECB) or national central banks.”	EDPSのWojciech Wiewiórowskiスーパーバイザーは次のように述べた： 「我々は、オンライン・デジタル・ユーロの使用に関して高いレベルのデータ・プライバシーを確保し、オフライン・デジタル・ユーロの使用に関しては、さらに高いレベルの保護を確保するという規則案のコミットメントを歓迎し、支持する。我々の共同意見では、プライバシーの権利と個人データの保護が効果的に維持されるよう、さらなる改善を提案する。特に、デジタル・ユーロの利用者の必要な個人データのみが処理されるようにし、欧州中央銀行（ECB）や各国中央銀行による個人データの過度な集中化を避けるよう提言する。」
EDPB Deputy Chair Irene Loizidou Nicolaidou said: “A high standard of privacy and data protection is instrumental in gaining citizens’ trust in this new digital currency. With this Joint Opinion, we aim to ensure that data protection is embedded early on in the design phase of the digital euro when used both online and offline and that the data protection responsibilities of each of the actors taking part in the issuance of digital euro are clearly specified in the Regulation.”	EDPBのイレーネ・ロイジドゥ・ニコライドゥ副議長は次のように述べた： 「この新しいデジタル通貨に対する市民の信頼を得るためには、プライバシーとデータ保護の高い標準が不可欠である。この共同意見により、我々は、オンラインとオフラインの両方で使用されるデジタル・ユーロの設計段階において、データ保護が早い段階で組み込まれ、デジタル・ユーロの発行に関与する各主体のデータ保護責任が規則に明確に規定されることを確保することを目指す」
According to the proposed Regulation, the ECB and national central banks may establish a single access point to verify that the amount of digital euros held by each user does not exceed the maximum amount allowed, known as the holding limit. The EDPB and the EDPS understand that this verification will be done by processing identifiers of the digital euro users and their related holding limits. In their Joint Opinion, the EDPB and the EDPS call for clarifications on the processing of these identifiers. Furthermore, the EDPB and the EDPS advise assessing whether the single access point is necessary and proportionate, underscoring that technical measures allowing for a decentralised storage of these identifiers are feasible, as an alternative.	同規則案によると、ECBと各国中央銀行は、各ユーザーが保有するデジタル・ユーロの量が、保有限度額と呼ばれる許容上限額を超えていないことを確認するための単一のアクセス・ポイントを設置することができる。EDPBとEDPSは、この検証はデジタル・ユーロの利用者の識別子と、それに関連する保有限度額を処理することで行われると理解している。EDPBとEDPSは共同意見の中で、これらの識別子の処理に関する明確化を求めている。さらに、EDPBとEDPSは、単一のアクセスポイントが必要かつ適切かどうかを評価するよう助言しており、代替案として、これらの識別子の分散保管を可能にする技術的措置が実行可能であることを強調している。
Addressing the fraud detection and prevention mechanism (FDPM) included in the proposed Regulation, the EDPB and the EDPS consider that it lacks foreseeability. In their view, the processing of personal data within the FDPM by the ECB and payment service providers (PSPs) is not clearly defined. The EDPB and the EDPS recommend to further demonstrate the FDPM’s necessity. In the absence of such demonstration, the EDPB and the EDPS recommend considering less intrusive measures from a data protection perspective. In addition, the EDPB and the EDPS recommend to define the role and tasks of the ECB, national central banks and PSPs in this context, according to key data protection principles.	規則案に含まれる不正検知・防止メカニズム（FDPM）について、EDPBとEDPSは、予見可能性に欠けると考える。EDPBとEDPSの見解では、ECBと支払サービス・プロバイダ（PSPs）によるFDPM内での個人データ処理が明確に定義されていない。EDPBとEDPSは、FDPMの必要性をさらに実証するよう勧告する。そのような実証がない場合、EDPBとEDPSは、データ保護の観点から、より侵入的でない手段を検討することを推奨する。加えて、EDPBとEDPSは、主要なデータ保護原則に従って、この文脈におけるECB、各国中央銀行、PSPの役割と任務を明確にすることを提言する。
In addition, the EDPB and the EDPS strongly recommend to introduce a ‘privacy threshold’ for online  transactions, under which neither offline nor online low-value transactions are traced for purposes of anti-money laundering (AML) and for combatting the financing of terrorism (CFT). To reduce the AML/CFT risk profile of low-value online digital euro transactions, the EDPB and the EDPS recommend including an obligation to implement appropriate technical measures during the design phase of the digital euro.	加えて、EDPBとEDPSは、マネーロンダリング防止（AML）やテロ資金供与対策（CFT）の目的で、オフラインでもオンラインでも低額取引が追跡されない「プライバシー閾値」をオンライン取引に導入することを強く推奨する。低額のオンライン・デジタル・ユーロ取引のAML/CFTリスクプロファイルを軽減するため、EDPBとEDPSは、デジタル・ユーロの設計段階において、適切な技術的措置を実施する義務を盛り込むことを推奨する。
Finally, the EDPB and the EDPS highlight that the proposed Regulation should further clarify the data protection responsibilities of the ECB and of the PSPs. This includes the legal bases the ECB and PSP should rely upon, and the types of personal data they should process for the issuance, distribution and use of the digital euro.	最後に、EDPBとEDPSは、本規則案がECBとPSPのデータ保護責任をさらに明確にすべきであると強調している。これには、ECBとPSPが依拠すべき法的根拠や、デジタル・ユーロの発行、配布、利用のために処理すべき個人データの種類などが含まれる。
The EDPB and the EDPS will continue to monitor and provide guidance on the developments of this proposed Regulation according to their respective responsibilities.	EDPBとEDPSは、それぞれの責任に基づき、本規則案の進展を引き続き監視し、ガイダンスを提供していく。

・[PDF] EDPB-EDPS  Joint Opinion 02/2023 on the Proposal for a Regulation of the European Parliament and of the Council on the establishment of the digital euro

 

目次...

TABLE OF CONTENTS	目次
1  Background	1 背景
2  Scope of the opinion	2 意見の範囲
3  General remarks	3 総論
4  Chapter I - subject matter and definitions	4 第I章-主題と定義
5  Chapter III - legal tender	5 第III章-法定通貨
6  Chapter IV - distribution	6 第IV章 - 頒布
7  Chapter V - use of the digital euro as a store of value and as a means of payment	7 第V章 - 価値の保存および支払手段としてのデジタル・ユーロの使用
8  Chapter VII - technical features	8 第 VII 章 - 技術的特徴
8.1 Offline and online digital euro modalities	8.1 オフラインおよびオンラインのデジタルユーロ様式
8.2 Conditional digital euro payment transactions	8.2 条件付きデジタル・ユーロ決済取引
8.3 European digital identity wallets	8.3 欧州デジタル ID ウォレット
8.4 Settlement	8.4 決済
8.5 General fraud detection and prevention mechanism	8.5 一般的な不正検知・防止メカニズム
9  Cybersecurity and operational resilience	9 サイバーセキュリティと業務レジリエンス
10  Chapter VIII - privacy and data protection	10 第VIII章 プライバシーおよびデータ保護
10.1 Article 34: processing by providers of payment services	10.1 第 34 条：決済サービスのプロバイダによる処理
10.2 Article 35: processing of personal data by the ECB or national central banks	10.2 第35条：ECBまたは各国中央銀行による個人データの処理
10.3 Article 36: processing by providers of support services	10.3 第 36 条：サポートサービスのプロバイダによる処理
11  Chapter IX - anti-money laundering	11 第IX章 マネーロンダリング防止
12  Chapter X - final provisions	12 第X章 最終規定

 

エグゼクティブ・サマリー...

Executive summary	要旨
Two years after the launch of the investigation phase on the issuance of a digital euro by the European Central Bank (ECB), the European Parliament and the Council of the European Union will, in the coming months, examine the Proposal for a Regulation establishing the digital euro as central bank digital currency. Having regard to the particular importance of the digital euro for the fundamental rights to privacy and to the protection of personal data, the European Commission requested that the EDPB and the EDPS issue a Joint Opinion on this Proposal.	欧州中央銀行（ECB）によるデジタル・ユーロの発行に関する調査段階が開始されてから2年が経過し、欧州議会と欧州連合理事会は今後数ヶ月の間に、デジタル・ユーロを中央銀行のデジタル通貨として確立するための規則案を検討する。欧州委員会は、プライバシーの基本的権利および個人データの保護にとってデジタル・ユーロが特に重要であることを考慮し、EDPBおよびEDPSに対し、この提案に関する共同意見の提出を要請した。
On a general note, recalling that the value added of a digital euro in a highly competitive payments landscape would reside mainly in its confidentiality, the EDPB and the EDPS strongly welcome that digital users will always have the choice to pay in digital euros or in cash, as well as that the digital euro would not be “programmable money”. This Joint Opinion also welcome that the Proposal aims to provide a high standard of privacy and data protection for the digital euro and acknowledge the efforts made in the Proposal to this effect, notably by introducing an ‘’offline modality’’, to minimise the processing of personal data in relation to the digital euro, as well as to embed data protection by design and data protection by default.	一般論として、競争の激しい決済環境におけるデジタル・ユーロの付加価値は主にその機密性にあることを想起し、EDPBとEDPSは、デジタル・ユーロの利用者が常にデジタル・ユーロで支払うか現金で支払うかを選択できること、また、デジタル・ユーロが「プログラム可能な貨幣」ではないことを強く歓迎する。また、本共同意見は、本提案がデジタル・ユーロに対して高水準のプライバシーとデータ保護を提供することを目的としていることを歓迎し、特に「オフライン・モダリティ」を導入することにより、デジタル・ユーロに関連する個人データの処理を最小限に抑えるとともに、設計によるデータ保護とデフォルトによるデータ保護を組み込むなど、本提案においてそのための努力がなされていることを認めるものである。
However, the EDPB and the EDPS, following a “privacy and data protection by design” approach, draw the attention of the co-legislators to a number of personal data protection concerns, which, if not addressed in the Proposal, could undermine the trust of citizens in the future digital euro and, in fine, its societal uptake. In this respect, the EDPB and the EDPS elaborate on their positions already adopted since 2021.	しかしながら、EDPBとEDPSは、「デザインによるプライバシーとデータ保護」のアプローチに従い、共同立法者の注意を喚起し、個人データ保護に関する多くの懸念に注意を喚起する。これらの懸念は、提案で対処されなければ、将来のデジタル・ユーロに対する市民の信頼、ひいてはその社会的浸透を損なう可能性がある。この点に関して、EDPBとEDPSは、2021年以降にすでに採択された立場をさらに詳しく説明する。
Firstly, whereas the EDPB and the EDPS welcome that the distribution of the digital euro would be carried out in a ‘’decentralised manner’’, i.e. by financial intermediaries, rather than by the Eurosystem directly, they consider that further clarifications on the modalities of distribution of the digital euro should be included in the legislative text.	第一に、EDPBとEDPSは、デジタル・ユーロの流通が、ユーロシステムによって直接行われるのではなく、金融仲介機関によって、すなわち「分散化された方法」で行われることを歓迎する一方で、デジタル・ユーロの流通の様式に関するさらなる明確化を立法文書に含めるべきであると考えている。
Moreover, the EDPB and the EDPS consider that more clarifications should be provided on the necessity and proportionality of the single access point of digital euro unique identifiers, as well as to how data protection by design and by default is to be implemented in this respect. In addition, the legislative text should include clarifications as to how personal data would need to be processed by PSPs to enforce the holding limits in practice. More clarity is also called for the processing of personal data carried out for the enforcement of limits on fees possibly asked by PSPs.	さらに、EDPBとEDPSは、デジタル・ユーロ固有の識別子のシングル・アクセス・ポイントの必要性と比例性について、また、この点に関して、設計によるデータ保護とデフォルトによるデータ保護がどのように実施されるかについて、より明確なプロバイダが提供されるべきであると考えている。さらに、保有制限を実際に実施するために、PSPがどのように個人データを処理する必要があるかについても、法文で明確にすべきである。また、PSPが求める可能性のある手数料の制限を実施するために行われる個人データの処理についても、より明確化が求められる。
As regard the settlement infrastructure to be provided and managed by the ECB, the EDPB and the EDPS are of the opinion that the enacting terms of the Proposal should include a binding obligation that would ensure pseudonymisation of all transaction data vis-à-vis the ECB and the national central banks.	ECBが提供・管理する決済インフラに関して、EDPBとEDPSは、提案の制定条件に、ECBと各国中央銀行に対するすべての取引データの仮名化を保証する拘束力のある義務を盛り込むべきだとの意見を持っている。
Importantly, the EDPB and the EDPS also consider that the provisions relating to the general fraud detection and prevention mechanism (FDPM) that the ECB may choose to establish to facilitate the fraud detection and prevention by PSPs lack foreseeability, thereby undermining legal certainty and the ability to assess the necessity of establishing such mechanism. It is unclear, in particular, which tasks would be performed by the ECB (as possible supervisors of the antifraud performed by PSPs), on the one hand, and which tasks (and related data processing) would be performed by PSPs, on the other hand. The co-legislators are therefore invited to further demonstrate the necessity of such mechanism and provide for clear and precise rules governing the scope and application of the envisaged FDPM, including with regard to the nature of the support to be provided by the ECB to PSPs. Should such necessity not be demonstrated, the EDPB and the EDPS recommend to introduce less intrusive measures from a data protection perspective, together with the implementation of appropriate safeguards.	重要な点として、EDPBと検知PPSは、ECBがPSPによる不正の検知と防止を促進するために設置することを選択できる一般的な不正検知・防止メカニズム（FDPM）に関する規定が予見可能性を欠き、その結果、法的確実性が損なわれ、そのようなメカニズムを設置する必要性を評価する能力が損なわれているとも考えている。特に、ECBが（PSPが行う不正防止の監督者として）どのような業務を行い、PSPがどのような業務（および関連するデータ処理）を行うのかが不明確である。従って、共同立法者は、このようなメカニズムの必要性をさらに実証し、ECBがPSPに提供する支援の性質を含め、想定されるFDPMの範囲および適用を支配する明確かつ正確なルールを規定するよう求められる。そのような必要性が実証されない場合、EDPBとEDPSは、適切なセーフガードの実施とともに、データ保護の観点から、より侵入性の低い措置を導入することを推奨する。
In addition, the EDPB and the EDPS recognise in this Joint Opinion the potential risks that digital euro could face from an IT and cybersecurity perspective and recommend including an explicit reference to the applicable cybersecurity legal framework in the preamble of the Proposal.	さらに、EDPBとEDPSは、本共同意見書において、ITおよびサイバーセキュリティの観点か らデジタル・ユーロが直面しうる潜在的リスクを認識し、提案の前文に、適用されるサイ バーセキュリティの法的枠組みへの明示的な言及を含めることを提言する。
With regard to the privacy and data protection aspects of the digital euro, the EDPS and the EDPB positively note the efforts made in Chapter VIII and the corresponding Annexes to establish the purposes and categories of personal data for the processing to be carried out by each of the actors involved in the issuance and use of the digital euro. However, further clarifications should be provided by the co-legislators regarding, in particular, the legal bases applicable to these processing operations, the allocation of responsibilities, as well as to the types of personal data to be processed by each of these actors.	デジタル・ユーロのプライバシーとデータ保護の側面に関して、EDPSとEDPBは、第8章と対応する附属書において、デジタル・ユーロの発行と使用に関与する各主体が実施する処理の目的と個人データのカテゴリーを定める努力がなされていることに積極的に留意する。しかし、特に、これらの処理業務に適用される法的根拠、責任の分担、および各関係者が処理する個人データの種類については、共同立法者によってさらなる明確化が提供されるべきである。
Finally, the EDPB and the EDPS regret the fact that the Proposal discarded the adoption of a ‘selective privacy’ approach for low-value online payments. In this regard, it should be noted that the level of AML/CFT risk for the online digital euro will depend on the technology used and design choices made during the conception phase. Taking into account the possible mitigating measures that could be implemented to reduce such risk, the EDPB and the EDPS therefore strongly recommend the co-legislators to extend the specific regime applicable to the offline modality to the online modality for low-value transactions, with a threshold below which there would be no tracing of transactions for AML/CFT purposes.	最後に、EDPBとEDPSは、本提案が低額のオンライン決済に対する「選択的プライバシー」アプローチの採用を見送ったことを遺憾に思う。この点に関して、オンライン・デジタル・ユーロのAML/CFTリスクのレベルは、使用されるテクノロジーと構想段階での設計の選択に依存することに留意すべきである。そこでEDPBとEDPSは、このようなリスクを低減するために実施可能な低減策を考慮し、AML/CFT目的での取引の追跡が不可能となる閾値を設定した上で、オフライン方式に適用される特別な制度を低額取引のオンライン方式にも拡大するよう、共同立法者に強く勧告する。
Considering that the ECB’s work on the digital euro is ongoing in parallel with the work of the co-legislators, the EDPB and the EDPS recall the obligation for all digital euro controllers and joint controllers to perform a DPIA, to the extent that the requirements of Article 35 GDPR or Article 39 EUDPR are met. In addition, the Proposal should recall the obligation of privacy and data protection by design and by default when establishing the operational design and technological choices.	ECBのデジタルユーロに関する作業が共同立法者の作業と並行して進行中であることを考慮し、EDPBとEDPSは、GDPR第35条またはEUDPR第39条の要件を満たす限りにおいて、すべてのデジタルユーロ管理者および共同管理者がDPIAを実施する義務を想起する。さらに、防御案は、運用設計と技術的選択を確立する際に、プライバシーとデータ保護を設計とデフォルトで行う義務を想起すべきである。
F・ollowing the adoption of legislation for the digital euro, the EDPB and the EDPS, each within their respective responsibilities, will continue to monitor the deployment and stand ready to provide guidance to the co-legislators and the ECB on the personal data protection aspects of the digital euro.	デジタル・ユーロに関する法律が採択された後も、EDPBとEDPSはそれぞれの責務の範囲内で、引き続きその展開を監視し、デジタル・ユーロの個人データ保護の側面について共同立法者とECBにガイダンスを提供する用意がある。

 

EDPS側の発表。。。内容は同じ。。。

● EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.10.18 Digital euro: ensuring the highest data protection and privacy standards

・[PDF] EDPB-EDPS  Joint Opinion 02/2023 on the Proposal for a Regulation of the European Parliament and of the Council on the establishment of the digital euro

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.01 欧州委員会 デジタルユーロの立法案

・[PDF] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the establishment of the digital euro

・[DOCX] 仮訳