フランスCNIL、職場での生体認証に関する規則を制定


フランスCNIL、職場での生体認証に関する規則を制定

フランスのデータ保護監督機関CNILは、3月28日、職場において場所、情報システム、デバイスなどへのアクセスを認証するために指紋、虹彩などの生体情報を利用する場合に遵守すべきルールを定める規則を制定、公表した。

生体認証情報は、GDPR第9条で特別カテゴリーの個人データとして定義され、これを処理するには、GDPR第6条に規定される適法根拠のいずれか(この場合、管理者の正当な利益となろう)を満足するだけでなく、第9条により、雇用関係を規律するEU加盟国内法により認められることが必要である。フランスでは、GDPRを施行するための国内法として、情報及び自由に関する法律 (loi Informatique et Libert?s) が改正され、この中で、雇用者は、CNILが定める標準規則を遵守することを条件として、職場に生体認証を導入することが認められた。今回、制定・公表されたのは、この職場における生体認証に関する標準規則 (Règlement type biométrie sur les lieux de travail) である。

標準規則の主な内容は次のとおり。
職場での生体認証は、アクセスが制限される場所、コンピュータまたはアプリケーションへのアクセス認証の目的に限ること
生体認証以外の認証手段では所期の目的を達成できないことを証明し、文書化すること
生体認証は、形態的な特徴に基づいて行い、唾液、血液など生体サンプリングによる認証は禁止
データにアクセスする人員は必要最小限に限定し、毎年見直すこと
生体情報のマスターはスマートカードなどの形で本人が管理すること
認証時に取得する映像・音声などの生情報(raw data)は、生体情報テンプレートとの照合が終わり次第、即座に廃棄すること
認証ログデータは、原則として6ヶ月を超えて保持できないこと
GDPRに基づく情報提供義務、リスクに相応の組織的・技術的セキュリティ対策の義務を遵守すること(適切なセキュリティ対策は標準規則に例示)
事業者は、生体認証についてデータ保護影響調査(DPIA)を実施すること

https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type

関連記事