コロナウイルス(Covid-19)とGDPR (5)-コンタクトトレーシング

読売新聞に「[論点スペシャル]新型コロナ対策 通信データ利用」という記事(若江雅子 編集委員)がでています。

津田塾大学 森田朗教授、東京大学 宍戸常寿教授が、「新型コロナウイルスとの闘いにICT技術を利用という動き」についてコメントしています。

ところで、具体的な個人の動静について、これを追跡するのは、コンタクトトレーシング(ワクチン接種や健康モニターなどの感染拡大防止・公衆衛生対応を行うために、伝播する可能性のある感染症の感染者から、感染した可能性のある人をたどる調査手法)というそうです(定義は、ここからお借りしました)。

特にシンガポールが、この手法を採用して、できる限り社会的に、侵襲的でない手法で、乗り越えようとした(過去形?)ことから注目されているといえるでしょう。

ここでは、コンタクトトレーシングについて、いままで紹介してきた、各国のデータ保護機関が、コメントを出していないかをみていくことにしましょう。

まずは、EDPBです。3月19日の「Covid-19の感染爆発の文脈における個人データの取扱いに関するステートメント(Statement on the processing of personal data in the context of the COVID-19 outbreak. )」の3が、モバイルデータの利用です。

 加盟国政府は、個人の携帯電話に関連する個人データを、 COVID-19の蔓延を監視、封じ込め、または緩和するための努力に関する目的で使用することができますか?

いくつかの加盟国では、政府は、 COVID-19の拡散を監視し、封じ込め、または緩和するためのありうる方法として携帯電話の位置情報を利用することを想定している。これは、例えば、個人を地理的に特定したり、特定の地域の個人に公衆衛生メッセージを電話やテキストメッセージで送信したりすることを意味する。公的機関は、まず、匿名の方法で位置情報を処理しようとするべきである(すなわち、個人が再識別できない方法で 集計されたデータを処理する)。これは、特定の場所におけるモバイルデバイスの集中度に関するレポートの作成(「Cartography-地図作成」)を可能にする。

個人データ保護規則は、適切に匿名化されたデータには適用されません。

匿名データのみを処理することができない場合、ePrivacy指令により、加盟国は、国は、公共の安全を守るための立法措置を導入する(第15条)ことが可能になる。

匿名化されていない位置情報の処理を可能にする措置が導入された場合、加盟国は 国は、電子通信サービスの利用者に、司法上の救済を受ける権利をを提供するなど、適切な保護措置を講じる義務があります。

比例の原則も適用されます。達成すべき具体的な目的を考慮して侵襲のもっとも少ない解決策が常に優先されるべきである。個人の「追跡」(すなわち、過去の匿名化されていない位置情報の処理)のような侵襲的な対策は、例外的な状況下において、取扱いの具体的なモダリティに応じて比例であると考えられます。しかし、それは、そのデータ保護原則(措置の期間と範囲の比例性、限定されたもの データの保持と目的の制限)の尊重を確かにするために、強化された精査がなされるべきであるし、安全策の対象となるべきである。

とされています。

英国の情報コミッショナー補のコメントを見てみましょう。

一般化された位置データの傾向分析は、コロナウイルスの危機への取り組みを支援しています。 このデータが適切に匿名化および集計されている場合、個人が特定されないため、データ保護法の対象にはなりません。

「このような状況では、適切な保護手段が講じられている限り、プライバシー法に違反することはありません。

「ICO(情報コミッショナー)は、生命とデータを保護するためにデータ保護法を引き続き柔軟に適用する方法についてアドバイスを提供しています。 公衆の安全とセキュリティは依然として私たちの主な関心事です。 これらの前例のない時代におけるデータ保護法の適用について助言を提供するために、政府と協力していきます。」

とコメントしています。あとは、ドイツ、フランス、イタリアで、具体的にモバイルデータの利用については、コメントはしていないようです。

一方、積極的なコメントがなされているのは、中国とシンガポールということになります。これらについては、別エントリで検討しておきました。中国は、

有能な企業に、関連部門の指導の下でビッグデータを積極的に使用して、感染診断者、感染疑い者、および濃厚接触者などの主要人物の流れを分析および予測し、共同の予防と制御のためのビッグデータサポートを提供するように奨励します。

ですし、シンガポールは、当然にデータを収集しうるとしています。

COVID-19のケースが発生した場合、生命、健康たは他の個人の安全を脅かす緊急事態に対応するために必要であることから、この期間中に関連する個人データを同意なしに収集、使用、開示して、連絡先の追跡やその他の対応策を実施することができます。

ということで、データ保護機関のかぎりでは、具体的にコンタクトトレーシングについて、コメントを明確にしているところは少ないということになりそうです。

GDPRのもとで、EDPBが、限定的とはいえ、肯定的な見解を出しているのは、興味深いです。

具体的なコンタクトトレーシングのアプリとしては、シンガポールのTraceTogetherや、欧州のPan-European Privacy-Preserving Proximity Tracing(PEPP-PT)があります。

Tracetogetherのビデオは、こちら。匿名IDをお互いに交換するという仕組みなのですね。面白い。

読売新聞の記事によれば、我が国でも、このようなアプリの展開が予定されているとのことです。

個人的には、プライバシーが守られていれば、生命・身体・財産については、考えないと言わんばかりの考え方は、全く支持しません。(「プライバシーは、大丈夫か」という記事も、プライバシーという定義をしないでイメージで語っているかぎりで反対です)

プライバシーについては、「個人の私的事項について公開されてしまうことによる個人の嫌悪感/落ち着かない感じ」と定義して、それが、取り扱われる主体/取扱い目的/撤回の可能性/実現のための社会的仕組みなどの「文脈」によって、左右されることから議論されるべきと考えています。

でもって、信頼できる主体によって取り扱われるのであれば、公衆衛生のために利用するということは、情報主体にとっても便益として知得されるので、そのための同意は、抽象的な同意でも可能にするべきとかがいえるわけです(GDPRもこういうきめ細かな議論がなされていないように思えています。)。また、我が国の個人情報保護法は、公衆衛生例外について、きわめて乏しい規定しかないともいえるでしょう。特に人の生命・身体とのトレードオフを問われるのは、人類にとっての初めての経験ということになるかとおもいます。

アプリレベルにおいて、できる限り、個人データに配慮した実装がなされるとともに安定した安全策がとられる、それに対する監督手法も含めて実装されることが望ましいということになるかとおもいますが、コンタクトトレーシングの法的な受容についてのバランスのとれた解決が議論されるべきことを願っています。