仏監督機関CNILが、高校での顔認証によるセキュリティ実験に反対の意見を表明


フランス監督機関CNILが、高校での顔認証によるセキュリティ実験に反対の意見を表明

10月29日、フランス監督機関CNILは、フランス国内の高校が計画している、顔認証技術によるセキュリティ実験に反対する見解を公表した。

これは、フランス南部の高校2校が、校内へのアクセスや生徒の行動を管理する手段として、生徒の顔を識別する認証システムを向こう1年間実験的に運用するというものである。学校側は実験に参加する生徒から事前に同意を得たとしている。CNILは学校側から送付されたDPIA(データ保護影響評価:個人データの処理がデータ主体に与えるリスクが高い可能性がある場合、その処理がデータ主体に与える影響を事前に評価する制度)を慎重に検討した結果、反対の結論に至った。

CNILは見解の中で、顔認証によるセキュリティ実験は、学校のセキュリティ維持と生徒の管理という目的の達成の見地から、EU一般データ保護規則(GDPR)が定める個人データ処理の「比例性とデータ最小化」原則を満たさないと指摘した。これらの目的は、バッジの使用など、生徒個人の自由と権利への影響がより低い手段で達成されるとしている。CNILは、顔認証で用いられるバイオメトリック(生体計測)データはセンシティブ(機微)データであり、特に未成年を対象としたバイオメトリックデータの処理は、セキュリティ上の事故が発生した場合に、データ主体である未成年者に与えられるリスクが高くなる可能性があることも指摘している。

本年7月、EDPB(欧州データ保護委員会)は、映像装置による個人データ処理に関するガイドラインのドラフト版を公表した。その中では、以下のような説明がなされており、CNILの決定・見解と同一路線上にあることがうかがえる。

● 映像監視による個人データ処理は、個人の権利・自由に対してより侵害度が低い他の手段では所期の目的が達成できないと合理的に考えられる場合においてのみ行い得る。
● 映像監視による個人データ処理は、管理者等の正当な利益を保護するために必要であるとしても、そのような正当な利益に優先する監視対象者の利益・権利・自由がない場合に限り行い得る。

一方、生徒からの同意の有効性については、本年8月、スウェーデンの高校が生徒の出欠確認に顔認証技術を用いる実験を実施したことに対し制裁が課されたことが記憶に新しい。その決定の中で、生徒は学校の監督を受けなければならず、両者の関係は必ずしも均衡しているとはいえないことから、そのような不均衡な力関係の下での同意は「自由に与えられたものではない」との判断が下されている。今般のCNILの見解にはこの論点が含まれていないが、個人データ処理における「同意の成立条件」については十分に留意しなければならない。

CNILは、顔認証機器の使用がもたらす結果が「地域と学校次第である」としているものの、見解の中でこのような機器の使用は違法であると明言していることから、実験の実施は事実上不可能であるとみられる。顔認証を含むバイオメトリックデータの使用については、データ処理の目的との関係において、その必要性やデータ保護手段の十分性を慎重かつ厳密に検討する必要がある。

Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position(高校2校における顔認証実験:CNILはその立場を明確にする)
CNILの決定
https://www.cnil.fr/fr/experimentation-de-la-reconnaissance-faciale-dans-deux-lycees-la-cnil-precise-sa-position

EDPB映像装置による個人データ処理に関するガイドラインの本欄解説

関連記事