スウェーデンで高校の生徒の出欠確認に顔画像認識を用いたことに対し制裁金 個人識別を目的とする生体情報利用における同意の有効性


スウェーデンで高校の生徒の出欠確認に顔画像認識を用いたことに対し制裁金 個人識別を目的とする生体情報利用における同意の有効性

2019年8月21日付けのスウェーデンデータ保護当局(Datainspektionen)のニュースリリースによれば、シェルレフテオ(Skellefteå)にある高校が、生徒の出欠確認を顔画像認識技術にて行う試行を行ったことに対して、EU一般データ保護規則(GDPR)違反に当たるとして、制裁金20万クローナ(約220万円)を決定したとのことである。

試行は22人の生徒を対象として3週間行われた。当局の調査によれば、高校は生徒の機微な個人データを取り扱っておりGDPRに違反している。制裁金が比較的軽微であったのは、期間限定であること等が考慮されたもようである。

高校では、この試行において出欠確認のために顔画像認識を行うことに関して生徒の同意を取得した旨を述べているが、当局によれば、高校と生徒との間では力関係に不均衡があるため、生徒から本件個人データ処理について取得した同意は、GDPRが規定する同意の有効要件の一つである任意性(自由に与えられたこと)を満足せず、有効な同意とはいえないとしている。

本件における重要な論点である同意の有効性の判断は、学校だけでなく、職場においても同様に問題となる可能性が高い。個人識別を目的とする生体情報の利用を行うことはGDPR第9条により原則として禁止され、データ主体の明確な同意があった場合など、ごく限定的な場合にその禁止が解除される。たとえば、職場において顔・指紋・虹彩認証などの生体認証技術を利用した勤怠管理、施設アクセス管理などを行う場合、従業員から取得する同意の有効性については同様の問題が起こる。

EDPB(欧州データ保護会議)が7月に公表した「映像装置による個人データ処理のガイドライン」においても、職場における顔認証について従業員の同意を適法根拠とすることについて、従業員と雇用主との間の力関係の不均衡により同意の任意性が認められない可能性が高いとしており、顔認証が必要な場合は、生体認証を用いない代替的な認証方法を提供することによってデータ主体のプライバシー保護に配慮したうえで、管理者の正当な利益を適法根拠とすることが適当であるとしている。

https://www.datainspektionen.se/nyheter/sanktionsavgift-for-ansiktsigenkanning-i-skola/

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト