コロナウイルス(Covid-19)とGDPR (12) 宮下先生からの情報

コロナウイルス(Covid-19)とGDPR の一連のブログ(ほんとうは、企業のなかで「訪問者から体温を図っていいですか」とかの情報をまとめるつもりだったのが脱線して、12まできています)について、中央大学の宮下紘准教授から、情報をいただきました。
(宮下先生のGDPRの本はこちら
EUの動向について,イースター休暇中にもかかわらず,FRA(European Union Agency for Fundamental Right、欧州基本権機関)が報告書を公表しています。27か国(UKを除く)の各国状況の報告書もあります。今回は第1弾報告書で,3月20日までの内容だそうです。
報告書のページはこちらです。
概要は、

レポートは、4つの相互に関連する問題に焦点を当てています。
COVID-19を封じ込め、社会生活、教育、仕事、移動の自由、亡命と移住の分野での影響を緩和するための措置。
ウイルスの影響と、社会の特定のグループへのウイルスの蔓延を制限する取り組み。
憎悪犯罪を含む、外国人嫌悪および人種差別の事例。
アウトブレイクに関する偽情報の拡散、およびデータ保護とプライバシーに対する関連する封じ込め手段の影響。

です。今後も続々と公表される予定のようです。報告書の内容は、1 日常生活へのインパクト(社会距離政策、教育、仕事、移動制限)、2 社会における特定のグループに対してのインパクト(組織居住、障がい者等)3 差別や人種主義者・ヘイトクライムの事案、4 誤情報・プライバシおよびデータ保護になっています。
各国の報告書については、こちらです
個人の追跡とデータ保護については、宮下先生によるとドイツに記載があるくらいだそうです。ちょっと、その部分を訳してみましょう

FRAは、コロナウイルスCovid-19の大発生の影響を最も受けたレンダーのデータ保護当局(バーデンヴュルテンベルク州、ノルトラインヴェストファーレン州、バイエルン州)に、大規模感染に関連するデータ保護権の侵害の事例について問い合わせました。
バイエルンのデータ保護コミッショナー(Der Bayerische Landesbeauftragtefürden Datenschutz)は、ウイルス検査の方法論、検査サンプルの研究所への転送、および関係者の個人情報に関して、苦情があると報告しました。苦情の別の原因としては、公的機関が、個人の特定につながる可能性のある情報をメディアに提供しているということでした。
バーデンヴュルテンベルク州のデータ保護機関(LandesbeauftragterfürDatenschutz und InformationsfreiheitBaden-Würtemmberg)は、バーデンヴュルテンベルク州の新しい立法命令に関する申し立てについて言及しました。それは、レストランの所有者に対して、感染したお客の濃厚接触者に確実に1か月間追跡できるようにゲストリストを保持するように求めるものです。
2020年3月17日、ドイツの電気通信会社Deutsche Telekomは、モバイル通信ネットワークからの匿名の大量データを備えた国立健康監視機関Robert Koch Institute(RKI)を無料で提供しました。この全国的なデータは、連邦の州、地区、および自治体に分けられて、移動ストリームをマッピングし、コロナウイルスの蔓延を統計的に予測するために使用できます。 Deutsche Telekomは、個人を追跡することはできず、データから個々のユーザーに関する結論を導き出すことはできないと主張しています。
データ保護および情報の自由のための連邦コミッショナーであるUlrich Kelberは、個人の追跡が不可能であるため、この措置はデータ保護法に準拠していることを確認しました。

という分析がなされています。従来の分野でも個人データ保護とコロナウイルス対策が緊張感を有していることがわかります。次は、PP-PTアプリです。

彼はまた、彼のオフィスは、近距離無線通信技術を使用し、アプリユーザーの個々の動きのデータを保存するアプリのRobert Koch Instituteの開発をモニターしていると述べました。アプリのユーザーがコロナウイルスに感染した場合は、自発的にアプリにデータを提供して、感染した場所の近くにいる他のアプリのユーザーに通知することができます。
一般的なノートでは、ウルリッヒケルバーは、パンデミック中における個人データについて不注意な処理に対して注意を促し、そして、特に病人のは、個人データが保護されるべきことを協調しています。
ドイツでは、いくつかのコロナウイルス追跡アプリがロバート・コッホ・インスティテュートのアプリと並行して開発されています。
データ保護の専門家である Constanze Kurz 氏によると、このようなアプリは、その使用が自発的かつ非商業的なものであれば問題はありません。
彼女はそうしていますが、しかし、前述のようにドイツテレコムがロバート・コッホ研究所に提供したマスデータの使用例のように、マスデータの使用を見出す場合には、問題があります。彼女は、マスデータの匿名化が不可逆的であることに懐疑的ですし、データがどのように匿名化されたか、ロバート・コッホ・インスティテュートがどのようにして、第三者のアクセスからそれらを保護しているのかについて透明性を求めています。

というコメントがなされています。もっとも、このあと、さらに、具体的な仕組みが公表されたりしている(PEPP-PTです)ので、議論は、次の段階ですごく進展しているような気がします。
(脱線ですが、6頁によると、ドイツは、聴聞をキャンセルする裁判所もあるということで、東京のように全部期日取り消しとはなっていないようです。あと、刑事手続が3週間を超えて無効にならないようにする法案が起案されているとのこと。興味深いです。)
あと、PP-PT(コンタクトトレーシング)アプリについては、先生から

今後,同意の有無にかかわらず(有の場合は’explicit’ consentと同意の撤回の意義,無の場合はsingle outと匿名化との関係),データ保護との関係で正面から問題になると思います。

というコメントをいただきました。私のブログでは、GDPRのベースを飛ばして、記述しているのでなんなのですが、まさに、問題点は、明示的同意・同意の撤回の問題などになるかと思います。

関連記事

  1. コロナウイルス(Covid-19)とGDPR (15) Trac…
  2. 米村滋人編「デジタル技術と感染症対策の未来像」に「公衆衛生とプラ…
  3. コンタクトトレーシングのPIA COVIDSsafe (4) 手…
  4. コロナウイルス(Covid-19)とGDPR (22) 接触追跡…
  5. コロナウイルス(Covid-19)とGDPR (7)-欧州委員会…
  6. 西村あさひ法律事務所 「データの越境流通に関連する諸外国の規制制…
  7. コロナウイルス(Covid-19)とGDPR (6)-欧州委員会…
  8. 自己主権アイデンティティとケンブリッジアナリティカ事件
PAGE TOP