前のエントリでは、オーストラリアのコンタクトトレーシングアプリのPIAの推奨事項をみてきました。
グーグルとアップルのモデルでは、今後、ばく露通知(exposure notifrication)アプリと名称が変更されるとのことです。
もともと、tracingというのは、近接していた人に連絡をなして、自己検疫等をしてもらうようにするという概念であったと理解しています。そのためにBLEなどの技術を用いて、できる限り、プライバシーのリスクを減らして、というきわめて高度なモデルであり、洗練されていると認識しています。
が、世の中は、そのような人が通常ではないので、反射的に対応する人に備えて、名称を変えるというのであれば、それはそれで反対ではないです。
ただ、いつのときも知性の敗北感というのは、気持ちのいいものではないですね。
それはさておき、オーストラリアのPIAの報告書のパートB以下をみていきましょう。
5は、手法です。
オーストラリア情報コミッショナー(OAIC)のPIAガイドに従ってなしていることが期されされています。
このエントリでは、英国のPIAのモデルを紹介していますが、オーストラリアのプロセスも参考になりますね。10のステップです。
- しきい値評価
- PIAを計画する
- プロジェクトの説明
- 利害関係者の特定と協議
- 情報の流れのマップ
- 個人情報への影響分析とコンプライアンスチェック
- プライバシー管理 – リスクへの対応
- お勧め
- 報告書
- 対応してレビュー
これが、今回のPIAでは、若干アレンジされています。表にすると以下のような感じです。
| 1 | PIA のための計画 |
| 2 | 利害関係者との協議 |
| 3 | プライバシーへの影響分析とコンプライアンスチェック |
| 4 | プライバシー管理とリスクへの対処 |
| 5 | 推奨事項 |
| 6 | 報告書の草案 |
| 7 | さらなる利害関係者の関与 |
| 8 | プライバシー管理とリスクへの対応 |
| 9 | 提言 |
| 10 | 報告書 |
このなかで、興味深いのは2と3を簡単に補足すると
2 利害関係者との協議
情報コミッショナー、オーストラリア人権委員会、メディアレポート、プライバシーに対するサーベイなどが参照されているとのことです。
このサーベイは、こちらです。
手法的には、質問紙法です。1990年代から調査がされているみたいなので、手法的は古いのかと思います。また、どのような仮説を調べたいのか、問題意識はよく分からないサーベイです。
また、プライバシーパラドックスのもとで、プライバシー偏重の回答がでるものと考えられます。
が、データに基づかないで、有識者がご説を講じられるどこかの国よりは、いいでしょうね。
3 プライバシーへの影響分析とコンプライアンスチェック
このステップでは 各APPとプライバシーのベストプラクティスに準拠しているかどうかを確認するための分析を行います。本文書に記載されている分析は、PIAは、オーストラリアのプライバシー原則ガイドライン(APPガイドライン)に準拠しています。
ということです。
前提事項についてみていきます。
保健省の見地から、なされていること(6.1)、利用者は自然人であるということを前提としていること(6.2)、パートCの事実関係をもとに評価していること(6.3)がふれられています。
保健当局の陽性利用所の個人情報を収集/利用/開示する能力については考慮しないこと、接触追跡者の利用については、考慮しないこと(6.4)も前提事項となります。
また、分析時点におけるリスクぶんせきであることも留意事項とされています(6.7-6.8)。
