EUデータ保護指令のバイオメトリクスへの適用：

バイオメトリクスデータはほとんどの場合，データ保護指令２条の「個人データ」にあたる．
アクセスコントロールのために取得した場合は，それ以外に用いてはならない．
処理には本人の明確な同意が必要．
センシティブデータ*2（人種，民族，健康状態など）にあたる場合には特別な保護が必要．

米国における議論

民間部門については自主規制という建前．バイオメトリクスについても自主規制のためのガイドラインを策定する傾向．

• IBG(International Biometric Group)：BioPrivacy Initiative
• IBIA(Int. Biometric Industry Associationのガイドラインなど

日本の国内法に関する検討

民間＝個人情報保護法，行政：行政機関個人情報保護法，独立行政法人：独立行政法人個人情報保護法，がそれぞれ適用．
バイオメトリクスデータは個人情報に該当するか？

• 個人情報保護法2条1号の規定があるが，バイオメトリクスについては，認証モデルの相違・生態情報の種別に応じて，該当するか否かを慎重に検討する必要があると考えられる

適正な取得（17条）

• EUデータ保護指令7条は本人同意を要求しているが，日本では，明確には要求していない．実運用では同意取得が望ましい．

利用目的の通知（18条）
取り扱いについて，EU指令8条では，処理に本人同意が必要．
日本では特に規定を置いていない．個別法，ガイドラインによる対応の方向性．（例：「金融分野における個人情報保護に関するガイドライン案６条」など）*3
行政によって利用される場合

• 監視カメラを用いた顔認証システム

偽造・なりすましの問題

人工指紋，人工虹彩など．

不正アクセス禁止法との関連（識別符号盗用型）

生体情報を数値化した符号も，2条2項の「識別符号」にあたるだろう．
コンピュータへの不正アクセスには適用可能だが，入退室には対応できない

偽造の防止

偽造については，従来，個別法制で対応している．将来，「生体識別情報偽造罪」なんていうものが必要になる可能性もある

本人拒否・他人受け入れの問題

製造業者は，ユーザに対し，民事上の責任を負うか？
民法709条（不法行為責任）と，製造物責任法が関連

• 「欠陥」とは，「当該製造物が通常有すべき安全性を欠いている」こと．すなわち，当該バイオメトリクス装置が，その当時の技術レベルより劣っていたら責任を問われるかもしれない

事後的な改変の問題

バイオメトリクスと電子署名法

バイオメトリクスが事後改変できてしまうと，電子署名法上の電子署名にあたらない．
バイオメトリクスとPKIとの連携を進めていく必要がある．
電子署名法などの見直しが必要になる可能性もある．