バイオメトリクスに関する法的諸問題
日本の法律で,どのような法律が,どのようにバイオメトリクスに影響するか,という発表.
バイオメトリクスは究極の個人情報であり,取替え不能な情報であり,副次的情報の抽出の恐れ.本人の同意なしに情報が取得されうる*1恐れがある.
内容
EUデータ保護指令のバイオメトリクスへの適用:
バイオメトリクスデータはほとんどの場合,データ保護指令2条の「個人データ」にあたる.
アクセスコントロールのために取得した場合は,それ以外に用いてはならない.
処理には本人の明確な同意が必要.
センシティブデータ*2(人種,民族,健康状態など)にあたる場合には特別な保護が必要.
米国における議論
民間部門については自主規制という建前.バイオメトリクスについても自主規制のためのガイドラインを策定する傾向.
- IBG(International Biometric Group):BioPrivacy Initiative
- IBIA(Int. Biometric Industry Associationのガイドラインなど
日本の国内法に関する検討
民間=個人情報保護法,行政:行政機関個人情報保護法,独立行政法人:独立行政法人個人情報保護法,がそれぞれ適用.
バイオメトリクスデータは個人情報に該当するか?
適正な取得(17条)
- EUデータ保護指令7条は本人同意を要求しているが,日本では,明確には要求していない.実運用では同意取得が望ましい.
利用目的の通知(18条)
取り扱いについて,EU指令8条では,処理に本人同意が必要.
日本では特に規定を置いていない.個別法,ガイドラインによる対応の方向性.(例:「金融分野における個人情報保護に関するガイドライン案6条」など)*3
行政によって利用される場合
- 監視カメラを用いた顔認証システム
偽造・なりすましの問題
人工指紋,人工虹彩など.
偽造の防止
偽造については,従来,個別法制で対応している.将来,「生体識別情報偽造罪」なんていうものが必要になる可能性もある
質疑
Q:カード等に格納しておいて,紛失した場合,個人情報保護法制の枠外になってしまわないか?管理側からみればそのカードは個人情報だが,第三者が拾っても,その第三者は個人情報取扱事業者じゃないので....
A:民事法上のプライバシー権の侵害が問題になるのではないか.そちらでやるしかない?
C:個人情報ではないがプライバシーに該当するもの,という類型があるのかないのか,という問題だろう.
C:「直接書面」の問題.防犯カメラからの取得が「直接書面」とすると,カメラの付近に利用目的とか掲示しなくてはならない.なので,カメラからの取得は「直接書面」にはあたらない方向なのではないか.
個人的には,この辺の話題は疎かったので,大変興味深く聞かせていただきました.発表も非常に「キレ」のあるよい発表だったと思います。