筆者はスペインのDPAであるAEPDの厳しい制裁措置の内容を報じてきた。例えば、2017.9.16「スペインの個人情報保護庁(AEPD)のFacebookに総額120万ユーロ(約1億5,600万円)の罰金刑とEU加盟国の新たな規制強化の動向(その1)」、「同(その2完)」である。また、本ブログでは取り上げていないが2021年2月には「スペインのデータ保護局(AEPD)は、スペインの商業銀行である「ツアイシャ・バンク(Caixabank SA」)に600万ユーロ(約7億8000万円)の罰金を科した」というニュースも入ってきている。
2021.8.4 GDPR Hubニュースは7月27日、スペインのDPAであるAEPDは、スペインやポルトガルに約1644店舗を持つ大手スーパーマーケット・チェーンのメルカドーナ(Mercadona)に対し、以前に店舗で強盗等の犯罪を犯し、有罪判決を受け入場を禁止された個人を特定するために生体認証データを使用したビデオ監視システムに関連して315万ユーロ(約4億950万円)(最終的に252万ユーロ(約3億2760万円)に減額)の罰金を科した旨報じた
315万ユーロというGDPRに基づく行政罰金としてはこれまでのEU加盟国のDPAの制裁金としては高額であることはいうまでもない。
今回のブログはこのAEPD決定内容の詳細を紹介することにあるが、筆者が言いたいのはAEPDの制裁決定にいたる理論構成である。
裁判所の決定プロセスに準じた内容である。また、GDPR Hubの解説(英語版)がなかったらこれだけの正確な情報は解析できなかったと思う。
なお、最後に2021年2月にはAEPDがスペインの商業銀行である「ツアイシャ・バンク(Caixabank SA」に600万ユーロ(約7億8000万円)の罰金を科したという欧州情報保護会議(EDPB)のニュースを要約する。
Ⅰ.AEPDはメルカドーナに対し有罪判決を受けた個人を特定するために生体認証データを使用したビデオ監視システムの配備につき315万ユーロ(約4億950万円)の罰金を科す旨決定
1.事実関係と経緯
AEPDは、メディアを通じて、メルカドーナに関連する強盗やその他の犯罪で有罪判決を受けた人々のスーパー施設へのアクセスを防ぐために顔認証技術を使用してビデオ監視システムを使用し、強制的に店内への入場禁止を行っていることに気付いた後、スーパーマーケット・チェーンのメルカドーナに関する調査を開始した。
その後、「消費者協会(consumers association)」と「コンピュータ利用犯罪および問題に関する協会(association for computer enabled crimes and problems)」によって、この点で2つの苦情が寄せられた。
メルカドーナは、AEPDが処理を停止するようにコントローラーであるメルカドーナに命令する暫定措置命令を出した後、2021年1月6日から2021年6月5日までこのシステムを使用し始めた。さらに、調査手続きは、その間に裁判所に持ち込まれ、その結果、APバルセロナのスペイン裁判所により認証処理を停止する命令(Auto 72/2021)が出された。.
この顔認証システムは、人の1つ以上の画像から得られた「疑わしい生体認証サンプル」を、その人の1つ以上の画像を介して以前に登録された人の身元に既に関連付けられている生体認証サンプルのデータベースと比較する顔認識プロセスを使用した。この結果、「疑わしい生体認証サンプル」は、以前に確立された一致しきい値に基づいて評価されるアルゴリズム計算を使用してパターンに変換された。
データ処理には、スーパーマーケットに入る人のキャプチャーされた生体認証画像のキャプチャー、一致、保存、断絶、そのデータ収集の0.3秒後の不一致の識別の場合 処理が含まれていた。
コントローラーであるメルカドーナは、GDPR第6条(1)(e)により、人や物資、そしてその施設の安全を確保することを目的としているため、公共の利益に頼っていることを主張した。その特定のスペインの国内法とは「2014年データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada)」(注1)であった。
生体認証データに関しては、コントローラーは、GDR第9条のデータの特別なカテゴリを処理しており、コントローラーが判決が提供するものを制御するために電子手段を使用することを可能にする裁判所の判決に従うためのデータを処理していたため、第9条(2)(f)の例外に依存していることを認めた(入場禁止など)。
コントローラーであるメルカドーナには1,623の店舗と95,000人の従業員がいるため、このようなシステムの使用が実際に入場禁止を制御する唯一の適切な方法であり、そのシステムは制御を保証できない他のどのシステムよりも多くの法的保証と信頼性を提供すると主張した。
また、メルカドーナは、システムが使用されたすべての40か店で顔認証監視にかかる情報垂れ幕を掲示していた。
2.AEPDの判断の保持
AEPDは、メルカドーナがGDPR第5条5(1)(c)、6(1)、9(1)、12、13、25(1)、および35 GDPRに違反したと判断した。以下で詳しく解説する。
(1)GDPR第6条、9条、5(1)(c) について
(ⅰ)データの特殊なカテゴリーの適用可能性
AEDPは、メルカドーナによって処理されたデータが、テンプレート照合型生体認証(BIOMETRIC AUTHENTICATION)とは対照的に生体情報別認証(Biomtric Identification)の目的で使用される生体認証データであるため、GDPR第9条のデータの特別なカテゴリに含まれていることを確認することから始めた。AEDPが述べたように、顔認識システムは、権利と自由のために非常に人権侵入的な識別システムである。(注2)
また、AEDPは処理が速く、継続的に行われ、それが自動化され、無差別かつ大量の監視につながる可能性があるため、極端なリスクに由来するパターンを作成するためにアルゴリズムを使用したと指摘した。
したがって、コントローラーは、今回の認証システムはGDPR第9(2)からの有効な例外に依存していることを立証する必要があった。しかし、AEDPによると、コントローラーは、公益に関して、公益に関する例外規定に頼ることはできなかった。この種の処理を許可するスペインの国内法がないため、コントローラーは明示的なデータ主体の同意にしか依存できなかったのである。
さらにAEDPは、コントローラーが認証システムを使用する正当な理由とは、有罪判決を受けた人の入場のみを制御し、防止することであったが、コントローラーであるメルカドーナは店に入ったすべての人が認証システムが使用された被験者として扱われていたと述べた。
コントローラーの要求に応じて、システムを実装するための電子手段の使用を許可された判決がある。たとえば,
「1995年スペイン刑法(Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.)」
で認められている措置に従って、顔認識に言及する場合もある。しかし、AEPDは、このような措置は、(有罪判決を受けた)人の権利にのみ影響を及ぼす可能性があると結論付けた。
さらに、すべての判断が顔認識について言及していない。そして、特に、AEDPは、このようなシステムの使用は、重大性、可能性、及び潜在的な害の大きさ及び権利、保証及び有罪判決を受けた者を含むすべての影響を受けた人々の自由に及ぼす結果を含む、処理につながる状況の性質と文脈を考慮に入れるべきであると指摘した。
また、そのような手段の使用を認める判断には、実装する必要かつ比例した条件と保証、実際に行わなかったこと、コントローラーの裁量に任す必要があるとした。
この点に関して、AEPDはコントローラー(メルカドーナ)が直接、(1)裁判所に顔認証システムを使用してエントリを制御することを要求することによって、そのような処理を行うための正当性を事前に準備しようとしたこと、および(2)(極端な)リスクの分析とAEPDへの事前の協議は、彼らが行うべきであったように、データ保護影響評価(DPIA)を事前に実行せずに行われていたことも重要であると考えた 。
これは、裁判所の許可を要求する前に行われるべきだった、リスクの受け入れられないかどうかを判断するためにコントローラーを導くべきであった。さらに、AEPDは、コントローラーが使用する電子手段は、メルカドーナの顧客および労働者などの第三者ではなく、判決が関係する有罪判決を受けた人物にのみ影響を及ばせねばならないと述べた。
(ⅱ)法的根拠
AEPDは、コントローラーが拠りどころとするGDPR第6条に適切な基礎フォームを持っていないと述べた。AEPDがGDPR第9条(2)(g)の例外について述べたことと同様に、第6条(1)(e)の公益法的根拠は、影響を受ける利益への言及、その使用制限、制限および条件を含む法律で定められる必要がある。これは、公共権力に限界をもたらすだけでなく、法的確実性の原則を保証する。
しかし、この場合、システムが使用するセキュリティ対策と公共の利益との間に実際の関係はない。それはコントローラーの私的な利益を追求するだけである。さらにDPAは、公共の利益に関連する活動を区別したので、社会全体に利益をもたらし、裁判官や裁判所がその比例性を評価すべき場所と、公共の利益がすべての人の大量処理を正当化するために使用される活動に対して、誰もが有罪判決を受けた人物として扱われる。
とにかく、AEPDは、以前の判断に沿って、同社は私的利益を追求していただけなので、そのような公共の利益はないと主張した。
(ⅲ)法的根拠と例外の分析
法的根拠と例外に関する分析において、AEPDは有罪判決を受けた人物データの処理、潜在的な顧客の処理、メルカドーナの労働者の処理の3つのタイプの処理を区別した。
有罪判決を受けた者のデータに関して、メルカドーナは、法的請求に対するデータの処理に関して、第9条(2)(f)の例外の適用を主張した。しかし、DPA は、この例外の使用が無効であると結論付けた。
この場合、メルカドーナの法的請求はすでに行使または弁護されていた。さらに、法的請求の存在は、コントローラーがそれ以上のデータを処理する権利を与えるものではない。その他の条件を満たす必要がある。
GDPRの補足説明(Recital 52) に従い、これは例外的に、必要な時に行われる。また、十分な保証が必要である。
したがって、法的テキストの解釈は、制限的な方法で行う必要がある。この意味で、AEPDはこの例外を、犯罪データの処理のために公的機関の監督下にあることを要求するGDPR第10条と比較した。この場合、処理は監督されておらず、その結果に由来する潜在的な結果(判断の不遵守など)のみである。DPAはまた、例えば、処理を行う裁判所である場合、判決に含まれる措置は有罪判決を受けた人にのみ影響を及ぼす可能性があるため、有罪判決を受けた人のデータのみを処理できると述べた。したがって、裁判所ができないことは、私的な行為者が行うことを許されるべきではない。
GDPR第6条の法的根拠に関して、DPAは、既に説明したように、第6条(1)(e)の根拠は、まず、法律で定義され、主にそのような公共の利益が存在しないことが必要であると述べた。
潜在的な顧客のデータに関して、メルカドーナは、説明したように、第9(2)(f)からの例外にも依存しようとしたが、これは有効ではない。AEPDAは、裁判所は有罪判決を受けた人の権利に影響を与える措置を確立することしかできないと再度説明した。第三者は、その権利を侵害することはできない。この第三者には、子供、未成年者、脆弱な人々が含まれう。AEPDが述べたように、この完全に不均衡な措置は、GDPRの精神に違反している。
AEPDは、刑事訴訟の枠組みの中で取られた措置であるGDPR第9条(2)(f)の例外が判決の影響を受ける者にのみ影響を及ぼす可能性があると結論付けた。さもなければ、それは間接的に非関連の第三者に刑事措置を科すことを意味する。これは、人々の権利と自由に非常に侵入的な大規模な顔認識システムの確立に実際に翻訳されるひねくれた効果を生み出し、容認できないリスクをもたらす。
スペインの2つの法律、すなわち「個人データの保護とデジタル権利の保証に関する基本法(Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales)(2018年12月5日(3/2018)」第22条および
「 データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada.)」第42条の両方が、ビデオ監視システムを許容していることは事実であるが、これらには顔認識システムが含まれておらず、はるかに大きなリスクをもたらし、より侵入的であり、私的利益のために使用されることを意図していない。
メルカドーナの労働者に関して、AEPDは、彼らが特別に影響を受けた場合でも、コントローラーによって行われたDPIA(Data Protection Impact Assessment:データ保護影響評価)では考慮されていないと結論付けた。
EU 指令第29条専門家委会議A29WP(Opinion 2/2017 on data processing at work - wp249)の意見に従って、コントローラは、この技術がもたらすリスクを概説し、比例評価を行うことによって、コントローラの正当な利益と従業員の合理的なプライバシーの期待との間の評価を行うべきであった。この顔認証技術の使用は明らかに不釣り合いであり、労働者の間接的な支配をもたらすリスクもある。
またAEPDは、スペインの労働法で実施された新しい規定に言及し、労働者に影響を与える人工知能システムのアルゴリズム的透明性を提供し、システムの機能に関する透明性の欠如を発見した。これは、労働者のプライバシー権を定めたGDPR第5条(1)(a)、第12条、第13条、第14条および個人データの保護とデジタル権利の保証に関する基本法第89条にも関連している。
結論として:有罪判決を受けた非常に少数の人だけに影響を与える措置は、この技術の使用を正当化しない。処理を正当化できる法的根拠も、GDPR第9条の例外規定の摘要もない。したがって、メルカドーナはGDPR第6条と第9条に違反していた。
(ⅳ)比例性評価(Proportionality assessment )
データ処理には比例性評価が必要である。評価には、妥当性評価、必要性評価、比例性評価の3つの要件(権利と自由のバランス)が必要です。評価は、実際に処理を実行する前に、適切なタイミングで実行する必要がある。また、生体認証データを扱う際には詳細な外観が必要になり、リスクが高くなる。その結果、プライバシーの損失が予想される利益に比例するかどうかは、比較検討する必要がある。
データ処理は、ニーズを満たすために不可欠でなければならない。これは追求された終わりを達成するためのより少ない侵入的な方法がある場合、それは従うことを意味する。したがって、処理は単に有用であるだけでなく、目的を達成するために厳密に必要性がなければならない。
AEPDによると、セキュリティ・スタッフが対象者を知るために、あらゆる前提・方法でで有罪判決を受けた人の写真を持つなど、目的を達成するための侵入的な方法が少ないため、生体認証システムはすべての潜在的なクライアントと従業員の権利に影響を与えたため、処理は比例性がない。AEPDはまた、この場合このシステムは、例えばマスクを使用して、有罪判決を受けた人がそれを欺くことは簡単なので、有用でも効果的でもないかもしれないので、予防目的のためにさえ十分ではないかもしれないと述べた。
これは、GDPR第5条(1)(c)および第25条(1)ともリンクされている。処理が判断によって承認されるという事実は、それを必要とするものではない。特別に、それは、説明責任の原則にも従って、コンプライアンスを担当するコントローラーによって行われるべきものであり、任意のセーフガードを提供していない。コントローラーは、データ保護ルールに準拠する必要がある。
さらにAEPDは、コントローラーがデータの国際的な転送を含む第三者へのデータの転送を避けるために技術的な措置を採用したことも証明していないと述べた。
(ⅴ)最小化原則の遵守
GDPR第5条に関して、AEPDはまた、最小化と目的の制限原則が尊重されるべきことを指摘した。特にGDPR第5条(1)(c)の最小化原則である。しかし、顔認証システムの独自の性質は、影響を受けるデータ主体の数が多いため、強化された保証を伴う生体認証データの大規模な処理につながる。
また、データ処理活動は、それが十分であると主張することができるが、侵入的な選択肢が少なく、権利とリスクが適切にバランスが取れていないため、必要でも厳密にも比例していないと主張できるため、さらに比例していないといえる。したがって、この処理は練習的なものである。コントローラーは、少数の有罪判決を受けた人を制御する目的でのみ、潜在的なクライアントと従業員のデータを無差別に処理していた。
したがって、最小化原則が侵害されたため、GDPR第5条(1)(c)に違反していた。
(ⅵ)子供の個人データ
AEPDは、「個人データの保護とデジタル権利の保証に関する基本法第28条(2)に従い、管理者が子どもおよび脆弱者からの個人データの処理に伴うリスクを慎重に検討すべきであるという点に特に重点を置いた。
【結論】
従って、AEPDは、GDPR第9条(2)(g)の例外に頼れる可能性はなく、第6条(1)から有効な法的根拠はなく、必要性、比例性、最小化原則が尊重されていないと結論付けた。
したがって、GDPR第6条(1)、第9条(1)および第5(条(1)(c)に違反した。
(2) GDP第12条および第13条について
AEPDは、コントローラーがデータ主体に十分な情報を提供していないため、メルカドーナは透明性の原則を尊重していないと結論付けた。第一に、顔認証システムについて知らせる横断幕は、有罪判決を受けた人との関係で顔認識システムの使用に言及しているだけであり、スーパーマーケットの全顧客のデータ監視には言及していないからである。
さらに、それは実際にはコントローラーの私的利益だけを追求している場合、目的はクライアントのセキュリティであることを言及しているので、誤解を招きく。クライアントのセキュリティは、標準的なビデオ監視システムでも達成することができるからである。
また、コントローラーは、システムが使用されている店舗を特定しないため(また、その期間と実際の目的)、クライアントが実際に使用している特定の店舗に入らないという決定能力を制限する。彼らの自動決定権、自由とプライバシーはこのように侵害されていた。
顧客データの国際転送に関する情報は、コントローラーがそのような可能性を否定したとしても、プロセッサとのデータ処理契約に従って発生する可能性がある。
したがって、AEPDは、GDPR第12条と第13条に違反したと結論付けた。
(3) GDPR第25条について
AEPDはまた、顔認識システムの誤差の高い比率が設計によるデータ保護にどのように関連しているかを分析した。AEPDによると、過激化した人々、女性、子供、高齢者などの脆弱な集団からのトレーニングデータの欠如によって生み出されるアルゴリズム・バイアス(algorithmic bias)(注3)は、差別や社会的排除につながり、設計上容認できないリスクをもたらす可能性がある。また、今日では、covid19パンデミックの文脈では、マスクの使用により認証エラーのリスクが高くなっている。
したがって、AEPDは、GRPR第25条(1)に違反があったと結論付けた。
(4) GDPR第35条について
AEPDは、処理が高リスクと見なすことができるため、処理の前に、コントローラーが処理の前にデータ保護影響評価を行うべきであったと判断した。しかし、コントローラーは、DPIAを実行する前に顔認識システムを使用する許可を裁判所に要求した。
設計による積極的な説明責任とプライバシーの適切な理解は、それが実行できるかどうかを個人データの処理活動の概要の最初の瞬間から評価することを意味する。したがって、裁判所の前に顔認識処理の使用を要求するという考えが、市民の権利と自由に対するリスクを評価し、検出する瞬間であったはずである。
また、AEPDは、このような自動化処理から生じるリスクはそれ自体が高く、実際には、GDPR第9条に従って禁止されているため、初期の固有リスクを十分なレベル(残留リスク)に減らすことができないので、受け入れられないと述べた。このような処理は、人間の介入なしに、データ主体が消去および対象の権利を行使できないことを生じさせる。
コントローラーが(即席で)行ったDPIAも、とりわけ以下の点で異なるリスクを考慮に入れることができなかった。
① 顔認証は、個人データの不本意な処理を伴い、データ主体が異議を唱えることができないという事実と、非常に大量のデータを収集する.。
②さらにこれらのシステムの誤差の高い比率による差別、社会的排除、正確性原理の侵害のリスク。
③さらに有罪判決を受けた人の汚名を着せるリスク。
④すべてのクライアントを潜在的な容疑者にするリスクは、監視の対象となりうる。
⑤脆弱な集団に関する特定のリスク。
⑥プライバシーと親密さの損失するリスク。
このようなリスクの考慮の欠如は、事実上「データ保護影響評価(DPIA)」を無効にする。
AEPDは、GPR第35条に違反したと結論付けた。
(5) 罰金の制裁と金額
AEPDはメルカドーナに合計315ユーロの罰金を科したが、早期支払いにより20%減の252万ユーロに減らした。また、AEPDは手続きの過程で取った暫定措置に沿って、メルカドナーに問題となる顔認証処理を停止するよう命じた。
罰金の金額は次のように分割された:合計315万ユーロ
①第6条および9条GDPRの違反に対して:200万ユ―ロ
②第12条および第13条GDPRの違反に対して:10万ユーロ
③第5条(1)(c) GDPRの違反に対して:50万ユーロ。
④第25条(1)GDPRの違反に対して50万ユーロ
⑤第35条GDPRの違反に対して5万ユーロ
AEPDは罰金額を決定するために、引き下げ要因として、常習的犯行(recidivism)と違法行為の反復性の欠如を考慮に入れた。
他方で制裁金額の悪化要因:
①罰金が効果的で、比例し、説得力を持つ必要があるという事実。この点に関しては、同社の規模(2019年の売上高は250億ユーロを超え、従業員は90,000人、店舗数は1,636店舗)が考慮された。
②処理されたデータには、特別なカテゴリのデータと、未成年者や脆弱な人物からのデータを含む処理されたデータの量が含まれることを考慮した、侵害の性質、重力、および期間。AEPDは、処理が遠隔地、大規模かつ無差別な方法で行われたと述べた。
③メルカド-ーナが、従業員および顧客の権利と自由に対する処理のリスクに関係なく、DPAに事前に協議を行わなかったという事実。
④メルカドーナは、コントローラであり、処理について決定する全責任を持っていたという事実.
⑤処理は、データの特別なカテゴリの体系的かつ徹底的な処理を伴ったという事実。
⑥AEPDがコントローラに関連しない2つの苦情を介して処理について知らなければならなかったという事実。
⑦2020年1月6日から2021年6月5日まで処理を行ったため、法侵害の連続性。
⑧コントローラーのビジネスアクティビティと個人データの処理の間のリンク。
⑨データ処理が子供の個人データにも影響を与えたという事実。
Ⅱ.スペインのデータ保護局(AEPD)は商業銀行である「ツアイシャ・バンク(Caixabank SA」)に600万ユーロ(約7億8000万円)の罰金を科す.
2021,2,19 欧州データ保護会議(EDPB)は「スペインのデータ保護局(AEPD)は、スペインの商業銀行である「ツアイシャ・バンク(Caixabank SA」)に600万ユーロ(約7億8000万円)の罰金を科した」旨報じた。
EDPBのリリース内容の概要を、以下のとおり仮訳する。
スペインのデータ保護局(AEPD)は、顧客の個人データを不法に処理し、かつ個人データの処理に関する十分な情報を提供しなかったため、ツアイシャ・バンクに対し合計600万ユーロの罰金を科した。
AEPDは、ツアイシャ・バンクの個人情報を遵守するように設計された文書には、(1)関係する個人データのカテゴリに関する十分な情報、および(2)個人データが意図されている処理の目的に関する情報、特に会社の正当な利益に基づく処理活動に関する処理の法的根拠が含まれていないと判断いた。
その結果、AEPDは、ツアイシャ・バンクがGDPRの第13条と第14条に違反したと結論付けた。GDPR第83条(5)bに続いて、200万ユーロの罰金が科された。AEPDは行政上の罰金額を決定する際、とりわけ、侵害の性質、重大さおよび持続時間を悪化させる要因として、侵害の過失の特徴。会社の活動と個人データの処理との関係そして、会社が大企業であり、その売上高で大きいという事実を考慮に入れた。
一方、AEPDは、ツアイシャ・バンクがデータ主体の同意を収集するメカニズムを提供していないことを見出した。データ主体の同意が有効な同意の全ての要素と一致しておらず、会社の正当な利益に基づく処理活動が十分に正当化されなかったこと、特に、会社の活動と個人データの処理との関係AEPDは、GDPR第6条の違反であると結論付け、GDPRの第83条(5)に従って、400万ユーロの行政罰金が科された。
罰金額を決定する際に、AEPDは、とりわけ、以下の点を考慮に入れた。
①侵害の性質、重要性、およびその持続時間。
②侵害の過失の特徴。
③GDPR第25条および第32条に基づいて実施された技術的および組織的措置を考慮したコントローラの責任の程度。
④侵害から得られた利益。
⑤侵害の影響を受ける個人データのカテゴリ。
⑥会社の活動と個人データの処理との関係および銀行が大企業であり、その売上高が大きい.という事実。
*********************************************************************************************
(注1)2014年4月4日施行 「2014年データ保護法(Ley 5/2014, de 4 de abril, de Seguridad Privada.)」の概要を抜粋し、仮訳する。この様な立法例は少ないのであえて内容を詳しく紹介する。
第Ⅰ編は、常にすべての人と情報を交換することにより、公安を改善することを唯一の目的として、民間警備サービスと治安部隊および関係機関との間の調整および協力など、本法案の起草に影響を与えた重要なアイデアの1つである法的保証、およびこれまでよりもはるかに積極的でなければならないいくつかの会議機関によって決定されたコミットメントが含まれる。
第II編は、セキュリティ会社や探偵事務所の規制に関するいくつかの戒律、または民間安全保障の新しい国家レジストリで統一された両方の記録に法的地位を与える。
また、監視する設備のために必要に応じて、企業の要求を高める、また行った活動のためにそれらを減らすために、それを可能にする柔軟なシステムが規制されている。
第III編は、1992年7月30日の「プライベートセキュリティに関する法律(23/1992)」8/5⑨以来、セキュリティ担当者の大部分の機能に関連するものなど、以前は規制に残されていた事項を規制している。
第IV編は、セキュリティ対策が初めて法的なランクの基準で調和して規制され、主要なセキュリティサービス(監視と保護、個人の保護、倉庫と輸送のセキュリティ、および民間調査)、1992年7月30日の法律(23/1992)およびその開発規則に孤立した参照(アラーム、インストールおよびメンテナンスシステムの検証と応答)のみ含まれている。または含まれていない他の重要なサービスに特異性を提供する民間警備の分野におけるビデオ監視の場合と同様に、1997年8月4日の「公共の場所での治安部隊と遺体によるビデオカメラの使用を規制する法律(4/1997)」8/5⑧に含まれる義務に準拠した規制も含まれていない。
本編では、ビデオ監視と民間調査サービスの規制は、市民のプライバシーの分野に直接影響を与える可能性のあるサービスであるため、特に関連している。第二のケースでは、課題の正当性、調査報告書の内容、または専門的な機密性の義務などのデリケートな問題を、危機に瀕している様々な利益を調整するために取り組んでいる。
第V編には、法務本部で初めて、事業体、人員およびセキュリティ対策に関する管理および検査措置、ならびに影響を受けた人々の協力義務も含まれる。特に、警察官が取る可能性のある暫定的措置を規制する条項の組み込みであり、検査の枠組みの中で、それが絶対に必要であると考える場合には、いかなる場合も権限当局による批准の対象となる。同様に、データのプライバシーのために、警察の検査における私的捜査報告書の内容へのアクセスは、警察や司法の捜査または制裁手続きがない限り、その存在の単なる検証に限定される。
第VI編は、制裁体制に関する以前の法律の主な欠点のいくつかに解決策を提供する。したがって、民間セキュリティの事業者、人員またはユーザーによって犯される可能性のある違反は、後者と共に、現場のトレーニングセンターと共に、期限切れで考えられる。
特に、侵入防止を目的とした、セキュリティ企業、無許可の人員、重大な民間セキュリティ活動を行うサービス会社、またはユーザー自身による侵入防止を目的としたあらゆる侵害行為の規制に重点が置かれている。
(注2) WRecFacesサイトの”HAT IS BIOMETRIC AUTHENTICATION, IDENTIFICATION, AND VERIFICATION?”を仮訳する
○テンプレート照合型生体認証(BIOMETRIC AUTHENTICATION)の目的は、あなたが本来あるべき人物であることを確認することである。このようなシステムでは、コンピューターが人物をスキャンして固有の属性(顔認識テンプレートなど)を探し、個人の特性をデータベースに保存されているテンプレートと比較する。スキャンされた属性がテンプレートと一致した場合、その人はシステムに入ることができる。
○生体情報別認証(Biomtric Identification)は、デジタルおよび物理的なシナリオに適用でき、防衛、法執行、国境管理で使用されるソリューションである。 身分証明書を使用すると、膨大な数の人々の身体的特徴を含むデータベースがあります。たとえば、FBIのリポジトリには、7000万件を超える犯罪記録の身長、髪の色、体重、目の色、傷跡、入れ墨が保存されています。 認証(Autification)では、個人の機能が1つの特定のテンプレート(1:1)と比較されます。 ただし、IDを使用すると、人物の特徴がデータベース全体と照合できる。( 1:N)。
生体ID検証(Biometric Verification)は認証(Autencication)と混同されることがよくあるが、2つのプロセスには微妙な違いがある。 認証は、人がすでにシステムにいる人と同じ生体認証機能を持っていることを示すが、検証は、オンラインIDが実際のIDにリンクされていることを最終的に証明できることをさす。
RecFacesサイトから引用
(注3) アルゴリズム・バイアスは、ある任意のユーザーグループを他のユーザーグループよりも優先するなど、不公平な結果を生み出すコンピューターシステムの体系的で反復可能なエラーを表す。(Wikipedia ~引用)。
***********************************************************************************************
【DONATE(ご寄付)のお願い】
本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。
◆みずほ銀行 船橋支店(店番号 282)
◆普通預金 1631308
◆アシダ マサル
◆メールアドレス:mashida9.jp@gmail.com
【本ブログのブログとしての特性】
1.100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。
2.本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。
このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。
3.上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。
このような経験を踏まえデータの入手日から最短で1~2日以内にアップすることが可能となった。
なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。
本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。
4.他にない本ブログの特性:すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。
その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。
他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。
5.内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。
【有料会員制の検討】
関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。
Civilian Watchdog in Japan & Financial and Social System of Information Security 代表
****************************************************************************************************************************:
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
※コメント投稿者のブログIDはブログ作成者のみに通知されます