Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

米国で生体認証情報プライバシー法を採択した第三番目の州であるワシントン州の立法内容の検証する

2017-08-19 13:58:41 | プライバシー保護問題

 Last Updated:April 20,2019

 2017年6月1日、ワシントン州はいわゆる「生体認証情報プライバシー法(Biometric Information Privacy Act(BIPA)」(HB 1493)(正式には”AN ACT Relating to biometric identifiers”)を可決, 成立し、同様の法律を持つイリノイ州とテキサス州に続く第3番目の州として加わった。2017年7月23日に施行された「HB 1493」は、商業目的でバイオメトリック識別子を収集等を行う事業体(business entity)を規制対象とする。 

 さかのぼるが、2015年11月20日、筆者はイリノイ州の「生体認証情報プライバシー法(Biometric Information Privacy Act(BIPA)」および同法を根拠としたFace Bookの顔認証(注1)のクラスアクション裁判の動向をグログ「生物測定学技術の集団訴訟:フェイスブックは顔認識技術の導入に関しプライバシー訴訟の棄却申立 」(その1)(その2)でかなり詳細に論じた。 

 このクラスアクション裁判は、連邦地裁で却下されているが、その却下理由はいまいち理解しがたい点もある。いずれにしてもイリノイ州の法律がその後の各州の立法や法案の議論に大きな影響を与えていることは間違いなく、今回のブログは従来の州法とは異なる特徴を持つワシントン州の立法内容を検証するとともに、他州の法案審議の状況等を整理する目的で取りまとめた。

 1.ワシントン州のHB 1493の特徴的な点と内容

(1) 2017710日、Focus on the DataThird State Adopts Biometric Privacy Lawの概要を、以下、仮訳する。しかし、このブログは決して本格的なものとは言い難い。したがって、筆者が必要に応じ補足するとともに独自に同州の立法内容を解説したローファーム・ブログ「Washington becomes the third state with a biometric privacy law: five key differences」を併読されたい。

① HB1493における「生体認証情報(Biometric Information)」とは何か? 

 この法律は、バイオメトリック情報を、自動的に測定された「指紋(fingerprint)」、「声紋(voiceprint)」、「目の網膜(eye retinas)」または「虹彩(irises)」または「その他の固有の個人の生物学的識別子」と定義する。また、同定義には「ネガ写真・デジタル写真」、「ビデオ」、「録音機器による基本的な音声録音」、または「医療目的のために収集、使用されるもの」および「1996年医療保険の相互運用性と説明責任に関する法律( Health Insurance Portability and Accountability Act of 1996HIPAA)(注2)のもとでの医療行為、支払または手術等は含まれていないことが明示されている。  

 また、生体認証識別子はユーザーIDやパスワードとも異なる。つまり同じ保護されたコンピュータ・ネットワーク上であっても、2人のユーザーが同じパスワードを持つことができる。Gmailアカウントにサインアップしようとする人は誰でも証明できるので、2人のユーザーが同じユーザーIDを持つことは間違いではない。しかし、2人の人が同じバイオメトリクスを持っているわけではない。彼らは完全に1人の個人特性を持っている。 

② この法律は何を目的としたものか? 

 この法律は、事業者が商業目的のために、最初に通知を出したり、同意を得たり、その後の生体認証識別子の使用を防止する仕組みを提供することないままに、商業目的でそのデータベースに生体認証識別子を登録することを禁止する。 

 この法律は、いくつかの例では、一般的な収集および使用のための通知および同意のための代替としての商業的使用のオプトアウトを認める。 ただし、生体認証識別子を収集する企業がバイオメトリック識別子を販売、リースまたは開示したい場合は、「通知」と「同意」が一般的に必要である。この法律で要求される「同意」は、文脈依存(context-dependent,)であり、設計によって柔軟であり、ウェブおよびアプリケーション開発者が歓迎する可能性が高い。 法律は、対象となる事業者に対して、合理的なセキュリティ対策を講じて生体認証識別子を保護し、合理的に必要とされる期間のみ生体認証識別子を保持することを法律に求めている。  

③ 州の法律における特別な配慮すべき点

 ワシントン州法の下では、訴訟を起こしうる私的権利(private right)は認められない。テキサス州のバイオメトリック法H.B.1493と同様に、個々の原告による訴訟を可能にする私的権利を認めなかった。その代わりに、ワシントン州の司法長官だけが裁判上請求を求めることができる。イリノイ州の法律のみが、現在、個人的な裁判請求を認める州レベルの「生体認証情報プライバシー法」といえる。  

④ この問題の規制当局や民間事業体の取組姿勢 

 新しいワシントン州の立法内容が明確になるにつれ、規制当局はますますバイオメトリックデータの保管と配布に焦点をあてた取扱いを行うこととなろう。 ビジネスリスクと規制リスクを軽減するために、生体認証情報を収集する企業は、プライバシーとデータ保護ポリシーを確立または修正する必要がある。 

 2.目下バイオメトリック認識にかかるプライバシー法案が各州の立法機関を循環中(A Host of Biometric Privacy/Facial Recognition Bills Currently Circulating in State Legislatures ) 

  2017年2月23 日の弁護士Jeffrey Neuburgerのブログを、以下、仮訳する。  

 我々は、イリノイ州の生体認証情報プライバシー法(BIPA)を取り巻く多くの訴訟、却下、和解等について幅広く取り上げてきた。この法律は、一般的にいうと、企業が特定の通知を行い、主体の同意を得ておよびデータ保持要件を満たさない限り、企業が「生体認証識別子(biometric identifier)」または「生体認証情報(biometric information)」を収集、画像データのファイル保存(caputuring)、購入または取得することを禁止している。

 この法律には定義された条件と制限があり、現在進行中の訴訟当事者は、(1)法律の下で、何が「生体認証識別子」と「生体認証情報」が意味するものか、(2)洗練された顔認識技術を使用してアップロードされた写真の顔テンプレートの収集が法律が認める範囲に入るかなどを論議している。 

 さらに、過去6ヶ月の間、2つの裁判において、連邦地方裁判所は同法第ⅲ条の立証の欠如を理由に、イリノイ州生体認証情報プライバシー法(BIPA)の手続的および技術的侵害を主張する訴訟を却下した。 

 したがって、バイオメトリック・プライバシー・コンプライアンスおよび訴訟の震源地は、イリノイ州の法律(BIPA)であった。テキサスのバイオメトリック法は同様の保護を提供しているが、私的な訴訟請求権は含まれていない。 

 今後、バイオメトリクスの保護法制の風景は、より複雑になるだろう。 イリノイ州のバイオメトリック・プライバシーに関する改正案が提案され、BIPAによく似た多くのバイオメトリック・プライバシー法案が他の州の議会で上程された。 新たに上程された法案の大半はイリノイ州の法律とほぼ一致しているが、ワシントン州の提案は多くの点で非常に異なる。 これらの法案の一部または全部が制定されれば、バイオメトリクスの法的景観をさらに明確に形作り、定義することになろう。 

 他の州の法案の概要は以下のとおりである。 

① アラスカ州(HB 72BIPAと同様に、アラスカ州法案は、適切な通知および主体の同意なしにバイオメトリック・システムで使用する個人のバイオメトリックデータの収集を禁止し、データがもはや必要なくなった後に適時に処分することを要求し、訴訟を可能にする私的な権利を認めている。法案は現在委員会に置かれている。  

② コネチカット州(HB 5522この法案は、小売業者がマーケティング目的で顔認識ソフトウェアを使用することを禁止することを目的としている。 同じ議員が2016年に法案を提出した。これは可決することができず、通知および同意なしに商業上の目的でバイオメトリック識別子の取得と使用を禁じていたことに注意する必要がある。2017年法案は法務委員会に付託された。  

イリノイ州(HB 2411:改正法案):この改正法案は、従来のBIPAの内容を見直し、雇用主がバックグラウンドチェックを実施したりセキュリティプロトコルを実施するために必要な範囲を除き、商品やサービスの提供の条件として個人または顧客にバイオメトリック識別子またはバイオメトリック情報を求めない。この改正案は、医療サービス、法執行機関、または政府機関を提供する企業には適用されないと記している。改正法案は現在、委員会に割り当てられている。  

モンタナ州(HB 518 :この法案は、個人の同意なしに個人の生体データを収集、保管、使用することを禁止し、販売、開示、保護、処分の手続きを確立することを禁止するモンタナのバイオメトリック情報プライバシー法を制定するというものである。この法案は、データ主体に訴訟を可能にする私的な権利を認めている。HB 518は現在委員会にある。 

⑤ ニューハンプシャー州(HB 523 :BIPAと同様に、この法案は個人および私企業によるバイオメトリック情報の収集、保持、使用を規制するものである。 この法案は、侵害された人に訴訟を可能にする私的な権利を与える。 法案は現在委員会にある。  

⑥ ワシントン(HB 1493):法案は、事業者にデータベースにおける個人のバイオメトリック識別子の使用内容を登録または変更するときに、バイオメトリックデータを特定の個人に関する収集につき通知し、かつ個人からの同意を得ることを求める。 

 しかし、現在の法案には、イリノイ州のBIPAと区別できるようにするためのいくつかの制限があり、その全体的な保護効果が弱まっている。

  例えば、法案は、バイオメトリックデータが「セキュリティ目的のために」(これは、万引き、詐欺またはその他の方法で保護されているべきと定義されている、またはソフトウェア、アカウント、アプリケーション、オンラインサービス、または任意の人物の完全性を保護するときは、「通知」や「同意」は不要とする。

 また、この法案は、生体認証識別子の開示と保持の禁止が、「未登録のバイオメトリック識別子」(完全な解釈は最終的な法案テキストを待たなければならないが、データベースから特定の個人にリンクされたバイオメトリック・テンプレートデータの削除を示唆する用語で「匿名の(anonymous)」、「識別されていないバイオメトリックデータ(de-identified biometric data)等)には適用しない点である。 

 加えて、最も重要な異なる点は、法案ではワシントン州の消費者保護法の下で、不公平または欺瞞的なビジネス慣行とみなされる重大な違反行為であり、州の司法長官によってのみ強制されるため、訴えを起こす私的権利を認めないということである。この法案は、下院規則委員会で審議中である。  

 さらに、 アリゾナ州ミズーリ州などの多くの州では、生徒の個人情報に関して、保護者または法定後見人(legal guardians)の同意なしに生徒の生体認証識別子データの収集につき制限がある。  

 ワシントン州の立法プロセスはまだ早い段階(注3)ではあるが、対象となるバイオメトリック情報の収集を含むオンラインまたはモバイルサービスを提供する企業は、提案されているバイオメトリック・プライバシー法がいくつかの州裁判所で論議されていることに気づくべきである。

 法案が可決されたか否かに応じて、企業は通知および同意実務慣行の変更を検討するか、バイオメトリックデータをまったく収集または保存しないことを決める必要がある。さらに、カリフォルニア州における現在のFacebookのバイオメトリック・プライバシー訴訟を注視しているが、新しいこの州法は、BIPAを前提としたものであっても、最終的な法的テキストがイリノイ州の法律とどのように違うか等につき考慮すべきである。 

⑦ 筆者が独自に調べた範囲では2019.2にマサチューセッツ州の法案が上程されている。法案解説を読むと「イリノイ州法に類似した内容で、消費者は、収集した個人データのコピーを要求したり、データの開示を第三者に制限したり、さらに削除することを要求したりする可能性がある。また、マサチューセッツ州の市民は、彼らの個人情報やバイオメトリックデータが不正に収集または保存された場合には、訴訟を起こす権利を持つこととする。この法案は、消費者に①実際の損害賠償または1事件当たり750ドル、②差し止め命令または宣言的救済(declaratory relief)、および③合理的な弁護士費用、のうちより大きな額を取得するため、自身に民事訴訟権を与えることを意図している」とある。

**************************************************************************

(注1) 「顔認識(face recognition)と「顔認証【face authentication】の違いはいかなる点にあるか?

「顔認識」であれ、「顔認証」であれ、カメラから取得したデジタル画像から人の顔があるかどうかを調べて顔の場所を検出する「顔検出」を行い、検出した顔のデータを解析するところから始まる。「顔検出機能」はコモディティ化されており、現在のデジタルカメラやスマートフォンなどには標準で備えられている。その検出した顔からデータを抽出し解析をするのだが、当社の考え方は、「顔認識」は、検出された人間の顔から「性別」「年齢」「気分」などを識別することであり、「顔認証」は、その検出、識別したデータを事前にデータベースに登録されている顔データと「照合」し合致させることであり「顔認識」より一歩進んだ技術である。現在、犯罪捜査やチケットの転売防止、流通店舗では万引防止などでも利用されている。当然、プライバシーに関する「顔認証」は高い精度が求められており、サーバーを介した大規模なシステム構築が必要であり、相当の費用が必要であるのは言うまでもない。また、顔データがサーバーに保存されていることで、個人情報保護法を遵守はもちろんのこと、「顔認証システム・監視カメラ作動中」の表示も必要である。 

(注2) HIPPA、HITECH および2013 年最終 HIPAA 総括規則

 米国では、医療情報のプライバシー保護とセキュリティに関する法律としては、「医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability ActHIPAA)」が制定されていたが、医療ITの導入に際して想定されるようなセキュリティ・プライバシー問題への対応策が含まれていなかったことから、HITECH法においてHIPAAプライバシー条項の適用拡大や罰則強化が盛り込まれた。

 すなわち、米国では、医療情報技術の採用と有意義な使用を促進するため、経済的および臨床的健全性のための医療情報技術(HITECH:Health Information Technology for Economic and Clinical Health)に関する法律が2009 年に制定された。2013 年に最終 HIPAA 総括規則によってさらに法廷要件が制定され、患者のプライバシーの権利と保護が大きく向上した。その中には、保護医療情報(PHI)のすべての管理機関の維持、および HIPAA 事業提携者(BA)が含まれ、HIPAA の対象事業者と同じセキュリティおよびプライバシー規則に従う。(より詳しくはHHSHealth Information Privacy 米国HIPAAHITECH総括規則の動向(日本語訳)等を参照されたい) 

(注3) このブログが書かれたのはワシントン州で法案が可決・成立(2017年5 月16日)される前(2017年2月23日)であったため、このような表現となっている。 

*******************************************************************

Copyright © 2006-2017 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution

 

 

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする