コロナウイルス(Covid-19)とGDPR (13) 接触追跡アプリのプライバシー影響評価の問題

PEPP-PTとかの議論を負っていたり、わが国でも、「政府 “濃厚接触者を把握”アプリの導入検討 近く実用実験へ」とかのニュースを聞いたりしていると、この仕組みが導入されるのにあたっては、プライバシー影響評価をする必要があったりするんじゃないの?とか思ったりしています。

—-

恐縮ですが、本エントリは、アマゾン社キンドル出版による「新型コロナ出版対プライバシー」出版のために、掲載された部分について撤回させていただきます。

出版された際には、是非とも、購入をお願いいたします。

—-

 

実際の導入に関しては、個人的な趣味で英国を例にしてみてきいきましょう。まずは、英国だと、いろいろな新しい制度を導入するときに、影響評価をするよなと思って調べてみました。

すると、規制インパクトアセスメントのテンプレートを政府自らが出していますね。これは、政策一般のものですが、いろいろとみますね。(GDPRからは脱線しますが)介入のソース、手法、問い合わせ先、コスト、目的、他の選択肢、分析と証拠などが分析されていて、これ自体、EBPMを支えていますね。

それはさておき、仕組み的に、感染者が、彼のアプリで、感染情報を特定のデータベースにアップロードすることになるので、その部分のプライバシー影響評価は、必要になるかなと思います。でもって、英国の評価を見てみます。

英国のプライバシー影響評価についてのページは、こちら

データ管理者が、個人情報を取り扱う(特に、感染者情報ですと、ハイリスク情報になる)場合には、DPIAは、必須ということになります。

DPIAの効用ですが、ICOのページですとコンプライアンスの利益、早期における問題点の洗い出しと対応、それによるネガティブリスクの減少をうたっています。

でもって、テンプレートがでています。以下、テンプレートの翻訳

ステップの解説については、こちらのページ。

 

このテンプレートは、DPIAプロセスと結果を記録する方法の例です。これは、DPIAガイダンスに記載されているプロセスに従い、そのガイダンスおよびDPIAに関するヨーロッパのガイドラインに記載されている許容可能なDPIAの基準と併せて読む必要があります

 

個人データの使用を含む主要なプロジェクトの開始時、または既存のプロセスに大幅な変更を加える場合は、テンプレートへの入力を開始する必要があります。最終結果は、プロジェクト計画へ統合されるべきです 

コントローラー詳細の送信

管理者の名前
対象/データ保護責任者の氏名
連絡先の管理者/保護責任者の氏名

ステップ1:DPIAの必要性を特定する

どのプロジェクトが達成することを目指し、どのような種類の処理を伴うかを大まかに説明します。プロジェクトの提案書など、他のドキュメントを参照またはリンクすると役立つ場合があります。DPIA の必要性を特定した理由を要約してください。

ステップ2:処理を説明する

処理の性質を説明してください
データをどのように収集、使用、保存、削除しますか?データのソースは何ですか?誰かとデータを共有しますか?フロー図またはデータフローを説明する他の方法を参照すると便利な場合があります。リスクが高い可能性があると識別された処理の種類はどれですか?

処理の範囲を説明してください、データの性質は何ですか、それは特別なカテゴリまたは犯罪データを含みますか?どのくらいのデータを収集して使用しますか?どのくらいの頻度で?どれくらい保管しますか?影響を受けるのは何人ですか?それはどの地理的範囲をカバーしていますか?

処理のコンテキストを説明してください:個人との関係の性質は何ですか?彼らはどの程度統制できるのでしょうか?彼らはあなたが彼らのデータをこのように使うことを期待しますか?子供や他の脆弱なグループが含まれていますか?この種の処理やセキュリティの欠陥について事前に懸念はありますか?何か新たなものですか?この分野における現在の技術の現状は何ですか?あなたが考慮に入れるべき公衆の懸念の現在の問題はありますか?承認された行動規範または認証スキームにサインアップしていますか?

処理の目的を説明してください 何を達成したいですか?個人に与える影響は何ですか?処理の利点は何ですか–あなたにとって、もしくは、より広い意味で?

ステップ3 諮問プロセス

関連する利害関係者と相談する方法を検討します。個人の意見を求める時期と方法を説明するか、そうすることが適切でない理由を正当化します。組織内で他に誰を関与させる必要がありますか?プロセッサーに支援を依頼する必要がありますか?情報セキュリティの専門家や他の専門家に相談する予定はありますか?

ステップ4 必要性と比例性について評価する

特に、コンプライアンスと比例措置について説明してください。処理の合法的な根拠は何ですか。処理は実際に目的を達成していますか?同じ結果を達成する別の方法はありますか?機能のクリープをどのように防止しますか、データの品質とデータの最小化をどのように保証しますか?個人にどのような情報を提供しますか?あなたは彼らの権利をどのように支えますか?プロセッサが確実に準拠するためにどのような対策を講じていますか?国際的移転をどのように保護しますか?

ステップ5:リスクを特定して評価する

人への潜在的な影響のリスクと性質を説明してください。必要に応じて、関連するコンプライアンスと企業リスクを含めます。 危害の可能性 危害の烈度 全体のリスク
低い(remote)、ありうる(possible)、多分ある(probable) 最小、重要(significant)、烈しい(severe) 低、中、高

ステップ6 リスク減少のための措置の特定

ステップ5において、中ないし高リスクとされたリスクを減少/消去するために採用する追加措置
リスク リスクを減少/消去する措置 リスクに対する影響 残存リスク 措置の承認
消去/減少/受忍 低、中、高 是/否

ステップ7 サインオフおよび成果の記録

項目 名前/地位/日付
措置承認者 日付と完成の責任とともに、プロジェクトプランに行動を統合すること
残存リスク承認者 もし、残存リスク高を受忍するのであれば、進捗前にICOに相談すべき
アドバイスをしたデータ保護責任者 データ保護責任者は、遵守、ステップ6の措置および取扱いを進めるべきかについてアドバイスするべき
DPOのアバイスの要約
データ保護責任者のアドバイスを承認/覆した者 もし、覆した場合には、その理由を説明すること
コメント
諮問対応の評価者 決定が個人の見解と相違する場合は、理由を説明しなければならない
コメント
DPIAの継続的評価者 データ保護責任者は、DPIAに準拠していることを継続して評価すべき

ということで、国民の生活に大きなインパクトをもたらすものとなると、このようなプライバシー影響評価の視点がくわわってくると議論とかも成熟してくるのでしょうね。