美國國家標準與技術研究院「隱私框架1.0版」

用ChatGPT找法院判決？從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限 資訊工業策進會科技法律研究所 2023年09月08日 生成式AI是透過研究過去資料，以創造新內容和想法的AI技術，其應用領域包括文字、圖像及影音。以ChatGPT為例，OpenAI自2022年11月30日發布ChatGPT後，短短二個月內，全球月均用戶數即達到1億人，無疑成為民眾日常生活中最容易近用的AI科技。 惟，生成式AI大量使用後，其中的問題也逐漸浮現。例如，ChatGPT提供的回答僅是從所學習的資料中統整歸納，無法保證資料的正確性。Roberto Mata v. Avianca, Inc.案即是因律師利用ChatGPT撰寫訴狀，卻未重新審視其所提供判決之正確性，以致後續引發訴狀中所描述的判決不存在爭議。 壹、事件摘要 Roberto Mata v. Avianca, Inc.案[1]中，原告Roberto Mata於2019年8月搭乘哥倫比亞航空從薩爾瓦多飛往紐約，飛行過程中膝蓋遭空服員的推車撞傷，並於2022年2月向法院提起訴訟，要求哥倫比亞航空為空服員的疏失作出賠償；哥倫比亞航空則主張已超過《蒙特婁公約》（Montreal Convention）第35條所訂之航空器抵達日起兩年內向法院提出損害賠償之請求時效。 R然而，法院審理過程中發現原告訴狀內引用之六個判決無法從判決系統中查詢，進而質疑判決之真實性。原告律師Steven A. Schwartz因而坦承訴狀中引用的六個判決是ChatGPT所提供，並宣稱針對ChatGPT所提供的判決，曾多次向ChatGPT確認該判決之正確性[2]。 貳、生成式AI應用之潛在風險 雖然運用生成式AI技術並結合自身專業知識執行特定任務，可能有助於提升效率，惟，從前述Roberto Mata v. Avianca, Inc.案亦可看出，依目前生成式AI技術之發展，仍可能產生資訊正確性疑慮。以下彙整生成式AI應用之8大潛在風險[3]： 一、能源使用及對環境危害 相較於傳統機器學習，生成式AI模型訓練將耗費更多運算資源與能源。根據波士頓大學電腦科學系Kate Saenko副教授表示，OpenAI的GPT-3模型擁有1,750億個參數，約會消耗1,287兆瓦/時的電力，並排放552噸二氧化碳。亦即，每當向生成式AI下一個指令，其所消耗的能源量相較於一般搜尋引擎將可能高出4至5倍[4]。 二、能力超出預期（Capability Overhang） 運算系統的黑盒子可能發展出超乎開發人員或使用者想像的隱藏功能，此發展將會對人類帶來新的助力還是成為危險的阻力，則會隨著使用者之間的相互作用而定。 三、輸出結果有偏見 生成式AI通常是利用公開資料進行訓練，若輸入資料在訓練時未受監督，而帶有真實世界既存的刻板印象（如語言、種族、性別、性取向、能力、文化等），據此建立之AI模型輸出結果可能帶有偏見。 四、智慧財產權疑慮 生成式AI進行模型訓練時，需仰賴大量網路資料或從其他大型資料庫蒐集訓練資料。然而，若原始資料來源不明確，可能引發取得資料未經同意或違反授權條款之疑慮，導致生成的內容存在侵權風險。 五、缺乏驗證事實功能 生成式AI時常提供看似正確卻與實際情形不符的回覆，若使用者誤信該答案即可能帶來風險。另外，生成式AI屬於持續動態發展的資訊生態系統，當產出結果有偏誤時，若沒有大規模的人為干預恐難以有效解決此問題。 六、數位犯罪增加與資安攻擊 過去由人工產製的釣魚郵件或網站可能受限於技術限制而容易被識破，然而，生成式AI能夠快速建立具高度說服力的各種擬真資料，降低詐騙的進入門檻。又，駭客亦有可能在不熟悉技術的情況下，利用AI進一步找出資安弱點或攻擊方法，增加防禦難度。 七、敏感資料外洩 使用雲端服務提供商所建立的生成式AI時，由於輸入的資料存儲於外部伺服器，若要追蹤或刪除有一定難度，若遭有心人士利用而導致濫用、攻擊或竄改，將可能產生資料外洩的風險。 八、影子AI（Shadow AI） 影子AI係指開發者未知或無法控制之AI使用情境。隨著AI模型複雜性增加，若開發人員與使用者未進行充分溝通，或使用者在未經充分指導下使用 AI 工具，將可能產生無法預期之風險。 參、事件評析 在Roberto Mata v. Avianca, Inc.案中，法院關注的焦點在於律師的行為，而非對AI技術使用的批判。法院認為，隨著技術的進步，利用可信賴的AI工具作為協助用途並無不當，惟，律師應踐行其專業素養，確保所提交文件之正確性[5]。 當AI科技發展逐漸朝向自主與獨立的方向前進，仍需注意生成式AI使用上之侷限。當個人在使用生成式AI時，需具備獨立思考判斷的能力，並驗證產出結果之正確性，不宜全盤接受生成式AI提供之回答。針對企業或具高度專業領域人士使用生成式AI時，除確認結果正確性外，更需注意資料保護及治理議題，例如建立AI工具合理使用情境及加強員工使用相關工具之教育訓練。在成本能負擔的情況下，可選擇透過企業內部的基礎設施訓練AI模型，或是在訓練模型前確保敏感資料已經加密或匿名。並應注意自身行業領域相關法規之更新或頒布，以適時調整資料使用之方式。 雖目前生成式AI仍有其使用之侷限，仍應抱持開放的態度，在技術使用與風險預防之間取得平衡，以能夠在技術發展的同時，更好地學習新興科技工具之使用。 [1]Mata v. Avianca, Inc., 1:22-cv-01461, (S.D.N.Y.). [2]Benjamin Weiser, Here’s What Happens When Your Lawyer Uses ChatGPT, The New York Times, May 27, 2023, https://www.nytimes.com/2023/05/27/nyregion/avianca-airline-lawsuit-chatgpt.html (last visited Aug. 4, 2023). [3]Boston Consulting Group [BCG], The CEO’s Roadmap on Generative AI (Mar. 2023), https://media-publications.bcg.com/BCG-Executive-Perspectives-CEOs-Roadmap-on-Generative-AI.pdf (last visited Aug. 29, 2023). [4]Kate Saenko, Is generative AI bad for the environment? A computer scientist explains the carbon footprint of ChatGPT and its cousins, The Conversation (May 23, 2023.), https://theconversation.com/is-generative-ai-bad-for-the-environment-a-computer-scientist-explains-the-carbon-footprint-of-chatgpt-and-its-cousins-204096 (last visited Sep. 7, 2023). [5]Robert Lufrano, ChatGPT and the Limits of AI in Legal Research, National Law Review, Volume XIII, Number 195 (Mar. 2023), https://www.natlawreview.com/article/chatgpt-and-limits-ai-legal-research (last visited Aug. 29, 2023).

運作技術成熟度(Technology Readiness Level)進行技術評估 資策會科技法律研究所 法律研究員　羅育如 104年10月22日 壹、前言 　　為提升我國科技競爭力，於1999年制定科學技術基本法(以下簡稱科技基本法)，透過科技基本法的規定，使原本歸屬國有財產之研發成果，得以下放歸屬執行單位所有，使大學對研發成果能有更完善應用之權利。 　　科技基本法實施之後，各研究單位開始學習國外經驗，積極進行產學合作，將內部之研發成果技術移轉與外部產業。但是，科技基本法實行已15年的今日，各界逐漸發現，政府經費之投入與研發成果產出之經濟效益有相當大的差距。例如科技部102年專題研究計畫補助經費為215億新台幣，但僅創造3.5億新台幣之衍生成果技術移轉權利金[1]。政府經費投入與產出不符預期的議題，牽涉多元層面問題，但是從新設立政府計畫案之目標與KPI，可以發現政府新創設之補助計畫開始以協助技術商業化作為主要目的，例如萌芽計畫、產學計畫等。 　　技術商業化操作模式會依據技術成熟度不同而有所差異，技術成熟度高的項目，廠商承接後所需要投入的研發成果可能較低，直接協助廠商改善生產流程或是成為產品商品化的機率較高；反之，廠商則需要投入較多的技術研發費用，需要花費較多的人力與資源，技術才有機會商品化。 　　由此可知，在技術商業化計畫推廣時，技術項目的技術成熟度是一個重要的評估關鍵。本文針對技術成熟度的評估指標詳細說明，以提供執行技術商業化計畫時，評估技術項目之參考。以下會分別說明何謂技術成熟度以及技術成熟度如何運用，最後會有結論與建議。 貳、技術成熟度說明 　　技術成熟度或稱為技術準備度(Technology Readiness Level；簡稱TRL)是美國太空總署(NASA)使用多年的技術評估方法，後來為美國國防部所用，再廣為國際各政府機構、學研單位、企業機構使用。 　　TRL是一個系統化的量尺/衡量指標，可以讓不同型態的技術有一致性的衡量標準，描述技術從萌芽狀態到成功應用於某項產品的完整流程[2]。而TRL涵蓋的技術研發流程則包括四個部分：(1)概念發展：新技術或是新概念的基礎研究，涵蓋TRL1~3；(2)原型驗證：特定技術針對一項或是多項潛在應用的技術開發，涵蓋TRL4與5；(3)系統開發：在某一應用尚未成為一整套系統之前的技術開發以及技術驗證，然後進行系統開發，涵蓋TRL6；(4)系統上市並運作[3]，涵蓋TRL7~9。以下分別說明TRL每個衡量尺度的定義[4]。 TRL 1 基礎科學研究成果轉譯為應用研究。 TRL 2 為某項特殊技術、某項材料的特性等，找出潛在創新應用；此階段仍然是猜測或推論，並無實驗證據支持。 TRL 3 在適當的應用情境或載具下，實驗分析以驗證該技術或材料相關物理、化學、生物等特性，並證明潛在創新應用的可行性(proof-of-concept)。 TRL 4 接續可行性研究之後，該技術元素應整合成具體元件，並以合適的驗證程序證明能達成原先設定的創新應用目標。 TRL 5 關鍵技術元件與其他支援元件整合為完整的系統/系系統/模組，在模擬或接近真實的場域驗證。需大幅提高技術元件驗證的可信度。 TRL 6 代表性的模型/雛形系統在真實的場域測試。展示可信度的主要階段。 TRL 7 實際系統的雛形品在真實的場域測試。驅使執行TRL7的目的已超越了技術研發，而是為了確認系統工程及研發管理的自信。 TRL 8 實際系統在真實的場域測試，結果符合設定之要求。代表所有技術皆已整合在此實際系統。 TRL 9 實際系統在真實場域達成目標。 參、技術成熟度應用 　　技術成熟度可以單純拿來衡量技術開發階段、可用來衡量技術開發風險、也可作為研發機構角色以及補助計畫定位的參考，以下說明。 一.技術成熟度用來衡量技術開發階段 　　這是技術成熟度最單純的應用方法，但因為每種技術領域都可其特殊的技術開發脈絡，所以可以根據NASA原有的技術成熟度，修改成貼近該技術領域需求的技術成熟度指標。目前有看過軟硬體TRL指標、綠能&能源TRL指標、ICT TRL指標、生醫(新藥、生物製劑、醫材)TRL指標等[5]。 二、技術成熟度用來管理技術研發風險 　　研究開發需投入大量的人力、物力，而研究成果的不確定性又很高，所以需要有良好的技術研發管理。技術成熟度對技術研發管理而言，是風險的概念，一般而言，TRL階段與技術風險是反向關係，也就是說TRL階段越高，技術風險越低[6]。 　　需要考慮的面向包括[7] ，(1)現在技術成熟度在哪一階段?以及我們投入研發後，希望達到的技術成熟度目標為何?(2)從現在的技術成熟度到專案需要的技術成熟度，要精進這項技術到底有多難?(3)這項特定技術如果開發成功，對於全面技術目標而言的重要性如何? 三、機構角色以及補助計畫定位 　　TRL指標可用來明確區分研發機構角色定位，例如工研院內部運用TRL指標做為技術判斷量化評估指標，並且工研院需將技術成熟度提升到TRL6或7，以克服技術面的問題，進行小型試量產，才能跨越死亡之谷讓業界接手商業化[8]。 　　TRL指標也可以用來區分補助計畫的標的範圍，例如美國國防部傾向投資TRL 4階段技術，美國國防部培養TRL4以及4以下的技術到TRL6階段，使得這些技術能更順利的進入技術市場，其原因在於TRL程度越低，成功商品化的不確定性以及風險就越高，而TRL4階段技術項目，是美國國防部可以承受的風險程度[9]。 肆、結論 　　TRL指標現在已被廣泛的運用在技術評估工作上，透過量化的指標，協助研發人員或是技術管理人員方便掌握每個技術開發案的現況，例如現在技術在TRL哪個階段，技術開發結束後，TRL預計會到達哪個階段。確定目標之後，就可以進一步評估這個計畫開發案的風險並評估組織需投入的資源。 　　TRL是一個簡易的技術評估指標，但如果要以此做出全面性的技術策略，似乎就還是有所不足，因此，可以再搭配其他技術評估變項，發展為全面性的技術風險管理評估指標，可能可以搭配技術開發困難度指標，用以評估TRL往上提升一級的困難度程度[10]，也可以搭配技術需求價值指標[11]，這項技術順利成功的話，對整個系統開發而言的價值高低，價值非常高的話，就值得花更多資源與人力去投資。 　　由此可知，應該可以積極運用TRL指標，用來評估政府技術補助計畫，協助大學技轉辦公室管理各研發團隊之技術開發進程，也可提供技術移轉潛在廠商清楚設定技術規格，減低技術供給方與技術需求方之間的認知差異，進而提升技術移轉成功率，也就可以拉近政府經費投入與研發成果產出的差距。 [1] 行政院國家科學委員會，行政院國家科學委員會102年年報，頁24、98(2013)，http://www.most.gov.tw/yearbook/102/bookfile/ch/index.html#98/z，最後瀏覽日2015/07/21。 [2] John C. Mankins, NASA, Technology Readiness Levels: A White Paper (1995). [3] id. [4] US DEPARTMENT OF DEFENSE (DoD), Technology Readiness Assessment (TRA) Guidance (2011), http://www.acq.osd.mil/chieftechnologist/publications/docs/TRA2011.pdf (last visited July 22, 2015). [5] Lewis Chen，＜Technology Readiness Level＞，工研院網站，http://www.sti.or.th/th/images/stories/files/(3)ITRI_TRL.pdf (最後瀏覽日：2015/07/22)。 [6] Ricardo Valerdi & Ron J. Kohl, An Approach to Technology Risk Management (2004), http://web.mit.edu/rvalerdi/www/TRL%20paper%20ESD%20Valerdi%20Kohl.pdf (last visited July 22, 2015). [7] John C. Mankins, Technology Readiness and Risk Assessments: A New Approach, ACTA ASTRONAUTICA, 65, 1213, 1208-1215 (2009). [8] 邱家瑜、蔡誠中、陳禹傑、高皓禎、洪翊恩，＜工研院董事長蔡清彥 以新創事業連結全球市場 開創屬於年輕人的大時代＞，台灣玉山科技協會，http://www.mjtaiwan.org.tw/pages/?Ipg=1007&showPg=1325 (最後瀏覽日：2015/07/22)。 [9] Ricardo Valerdi & Ron J. Kohl, Massachusetts Institute of Technology, An Approach to Technology Risk Management, http://web.mit.edu/rvalerdi/www/TRL%20paper%20ESD%20Valerdi%20Kohl.pdf (last visited July 21, 2015). [10] 同註7。 [11] 同註7。

　　英國通訊管理局Ofcom在2008年12月公布寬頻速度業務法則(Broadband speeds code)，用以確保消費者在寬頻速度的選購上可獲得更正確的資訊。這個業務法則係在要求ISP業者必須在銷售點提供明確的寬頻速度說明，於消費者購買時清楚解釋廣告上「保證頻寬」的意義；業者亦需解釋何種技術因素可能會降低速度(例如距離機房多遠影響速率傳輸、高峰流量時導致速率傳輸變慢等等)，並提供客戶得以在家中改善情況的方案；若實際速度遠低於原來的說明或保證，則消費者得以選擇替代服務而無須負擔多餘的費用。雖然僅係自願性的業務法則，卻已經有超過全國95%的寬頻用戶所屬的ISP業者進行簽署。 　　此外，Ofcom同時公布寬頻服務消費者指南(Advice for consumers: Broadband speeds)，協助消費者瞭解自己的寬頻服務權利，以及ISP是否遵行寬頻速度業務法則。 　　在2009年01月08日所公布的2008年英國寬頻速度報告(UK Broadband speeds 2008)指出消費者寬頻上網的平均速率為 3.6 Mbit/s(下行)，低於業者在推銷廣告上的4.3Mbit/s。雖然3.6 Mbit/s就足以滿足大多數的網路應用，例如語音以及標準畫質的影音，但是有超過60%的英國消費者所購買的服務卻是「保證」8 M的頻寬；但有1/5 的用戶甚至實際得到的速率不到2 Mbit/s，是廣告上速率的45％。此外，研究顯示有9％的消費者不滿意寬頻服務，其中速度是最常被抱怨的項目；且因為距離的關係，城市居民的速率高於農村地區的15％。速率最高在倫敦，最低在英格蘭東北部、威爾斯以及蘇格蘭，使得農村用戶(14%)不滿意寬頻服務的比率高於城市用戶(8%)。 　　Ofcom在接下來的六個月內將持續監測這些已經簽署業務法則的ISP業者，以期督促業者能提供更符合消費者需求的服務，並預計納入2009年的政策規劃中。 　　(2008年英國寬頻速度報告為實地調查，於1500個家庭用戶安裝相關網路設備進行監測網路品質，透過調查期間為2008年10月23日至2008年11月22日止。)

歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員　吳柏凭 2018年04月10日 壹、事件摘要 　　歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1]，對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速，網際網路與各項應用興起，既有歐盟個人資料保護指令面對這些變化已經難以為繼，歐盟執委會(European Commission) 出新的資料保護規則（General Data Protection Regulation, GDPR），於2016年4月27日通過，5月4日公布，正式成為歐盟第2016/679號規則（Regulation (EU) 2016/679）[2]。由於歐盟原則上禁止個人資料跨境傳輸，只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸，因此如何獲得歐盟保護適足性認可，就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 　　1995年的個人資料保護指令，就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中，對於保護適足性的審查，包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等，透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準，則依照第29條規定資料保護工作小組（Article 29 Data Protection Working Party）的指導文件[5]，其中對於法律規範審查，除了內容外，更重視個資保護的執行面。 二、GDPR保護適足性審查規定 　　GDPR延續了個人資料保護指令的規定，原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定，適足性的評估包括以下要素： 法治、對人權與基本自由之尊重、一般與部門之相關立法，包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作，或對象為國際組織時，確保及執行資料保護規則之遵守，包括充足之執行權，以協助及建議資料主體行使其權利，並與會員國之監管機關合作； 個人資料向其他第三國或國際組織進一步移轉，該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟；第三國或國際組織所加入之國際協定，或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務，尤其關於個人資料保護者。 　　以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化，同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定，填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 　　保護適足性認可的程序[7]為： 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 　　縱然取得認可，之後也會每四年檢驗一次[8]，如果被判定不具保護適足性，則仍會取消原本的認可[9]。 　　現階段已通過保護適足性審核的國家地區包括：安道爾、阿根廷、加拿大（民間機構）、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭，另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 （一）保護適足性認可的效益 　　除了取得適足性認可外，個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC)；2.拘束企業準則(Binding Corporate Rules, BCR)；或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本，減輕企業負擔，同時也有助於整體產業突破歐盟貿易壁壘。 （二）通過保護適足性審核的困難 　　雖然現行通過適足性審核的國家地區有11個，惟需注意的是，根西島、馬恩島、以及澤西島都是英國屬地，法羅群島是丹麥屬地，而安道爾和瑞士都是在歐洲境內，這些國家地區的法規範本來就與歐盟差距不大，加上美國及加拿大國家本身不被認可具適足性，實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間，因此也不能作為短期的因應措施。 　　此外，在要件方面，規範上雖然我國個資保護規範與GDPR未有極大歧異，但只要存有差異，要取得認可就有極高困難度，這些都需要與歐盟執委會溝通。而在監管機關要求方面，雖然沒有要求單一機關，但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準，但在歐盟法院判決中，有因為德國的州對州層級的資料監管機關進行調查的權力，而被認為不具獨立性[11]。 （三）通過適足性審核的具體作為 　　以日本為例，為了取得歐盟適足性認可，在2015年9月就其個人資料保護法（個人情報保護法）進行修正，其中設立個人資料保護委員會（個人情報保護委員会）即是為了符合適足性要求中「獨立監管機關」規定，而第24條跨境傳輸的規定更是重要。 　　日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12]，同時在2017年發出共同聲明[13]。在不修正法律的狀況下，日本個人資料保護委員會頒布一指導方針來消除差異，並於於2018年2月9日先揭示調適方向[14]，包括： 將歐盟視為敏感性個人資料而日本未明文規定者，解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間，一律可以主張權利，而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資，不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉，必需要透過契約等規制，確保資料受保護水準。 關於歐盟跨境傳輸的個資，在去識別化一定要確認無法再識別，以與歐盟去識別化資料定義相符。 肆、結語 　　歐盟GDPR已施行在即，如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰，更是跨越歐盟貿易壁壘的重要關鍵，而在眾多例外許可跨境傳輸的方法中，又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高，但仍有許多能努力的空間，目前我國也著手申請適足性認可的準備，未來能得到何種程度的回應，值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会，個人情報保護委員会の国際的な取組について，https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO，個人データ保護の「十分性認可」取得の好機に－日EU首脳が共同声明－，https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会，EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ，https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).