アイルランド公共サービスカードの運用について、権利団体がGDPR違反の集団的な異議申立てを準備


アイルランド公共サービスカードの運用について、権利団体がEU一般データ保護規則(GDPR)違反の集団的な異議申立てを準備

アイルランドの権利団体Digital Rights Ireland (DRI)が、アイルランド政府の公共サービスカード(PSC:Public Service Card)の運用がGDPRに違反する個人データ侵害であるとして、集団的な異議申立てを準備する動きがあると報じられている。PSCの運用については、アイルランド監督機関データ保護委員会(DPC)が実施した調査結果が本年8月、9月に公表されており、今回の動きはそれを受けたものとみられる。

2011年に導入されたPSCはアイルランド雇用・社会保障省(DEASP)が所管し、個人に社会保障番号(PPS number)が付与された場合は自動的に発行される。また、社会保障給付を申請あるいは受給している場合には、受給者に対してPSCへの登録が求められる。

PSCの目的は、社会保障サービスへのアクセスにおける身元確認を一元化することであり、PSCカードの保持者は、社会保障サービスに関連する手続きが複数の政府機関等にまたがる場合でも、本カードで身元確認を受けることができる。

PSCカードには保持者本人の氏名、顔写真、社会保障番号等が表示されているほか、内蔵されているICチップには生年月日、生誕地、性別、旧姓などの個人データが保存されており、実質的な公的身分証明書として、社会保障に無関係な政府機関等における身元確認手段として利用されてきた。しかし、一部の機関では、身元確認手段としてPSCカードの提示が義務であるとされる事例も発生したことから、2015年にアイルランド監督機関データ保護委員会(DPC)は、PSCカードの運用のデータ保護法遵守状況の調査を開始した。

調査報告書の概要が2019年8月に、報告書全文は9月に公表されているが、その中でDPCは、PSCの運用において適法根拠及び透明性原則の違反を指摘した。具体的には、
①社会保障受給者の身元確認手段としてPSCを登録するために、個人データを取り扱うことは適法である
②一方、DEASPが他の政府機関との間で行う業務のためにPSCに登録された個人データを使用することは適法根拠を有しない
③PSCの申請者が提供する文書及び情報を包括的かつ無期限に保持することは、業務上必要とする期間を超えた不要な保管であり、データ保護法違反である
④PSCの発行に関連する個人データ処理について、DEASPが個人に提供する情報は不十分であり、透明性原則を満たさない。

以上の指摘を踏まえ、DPCはDEASPに対し、6週間の是正措置期間を与えた上で、以下の実施を求めた。
①DEASP以外の政府機関等との業務に使用することのみを目的にPSCを発行するための個人データ処理を停止すること。
②DEASPは、PSCの発行を業務開始の前提条件としている公的機関と折衝し、DEASPはそれらの機関が個人との間で業務を開始するためにPSCを発行する立場でないと通知すること。

DEASPはDPCの調査報告の内容を不服とするプレスリリースを発表している。

なお、この調査はGDPR施行前の2015年に開始されたため、適用法令はアイルランド国内法である1998年及び2003年データ保護法であるが、DRI責任者Antoin Ó Lachtnain氏は、GDPRの規定に基づきDPCに対する提訴準備を進めるとしている。

GDPR5条は、個人データ処理において遵守すべき原則の一つとして、処理内容が目的との関係において必要最小限にとどまること(最小限の原則)を規定しており、この執行事例では最小限の原則が厳しく問われることが明らかになった。事業者は、目的との関係で必要とはいえない個人データを保持・処理していないか、目的との関係で必要な期間を超えて個人データを保持し続けていないかを定期的に確認する必要があるだろう。

Rights group to bring ‘mass action’ against State over PSC
https://www.irishexaminer.com/breakingnews/ireland/–952873.html
FINAL INVESTIGATION REPORT
http://www.welfare.ie/en/pdf/pr170919.pdf

関連記事