指紋認証は目的との比例性が必要 ー子供のプライバシー保護にも配慮すべきー :ポーランド当局


指紋認証は目的との比例性が必要 ー子供のプライバシー保護にも配慮すべきー :ポーランド当局

ポーランドのグダニスクにある小学校が、学校給食に児童が登録確認に児童の指紋を不当に使用していたとして、ポーランド監督機関から4600ユーロ相当の制裁が下された。

この学校は、児童の親権者から同意を得た上で、食堂の入り口に指紋センサーを設置し、登録された指紋によって児童が給食登録されているかを確認していた。このシステムを利用していない児童4人は列の最後に並ばされていた。

監督機関は、このような目的での生体データの使用は、求職登録の確認という個人データ処理目的上の必要性と比例しないこと、システムを利用していない児童が差別的な扱いを受けていることをGDPR違反であると指摘し、前文第38の規定も引用しつつ、適法根拠を欠く処理と認定した。

この決定の注目点は、指紋データなどの生体データの処理については、処理目的上の必要性との比例関係が厳しく求められることである。本件では、給食登録に児童が登録されていることを確認するのは、指紋情報の取得のような個人のプライバシーに影響を与えるものではない代替手段で可能であると指摘した。同様の判断は、フランスの高校で計画されていた顔認証技術による生徒管理の事案でもなされている。指紋などの生体データは変化しないため、ひとたびデータ侵害が発生すると、個人のプライバシーや権利が長期にわたって損なわれる危険性がある。そのため生体データを取り扱う処理は、目的との関係において、必要性が厳密に比例することが必要であるといえる。

また本件は、GDPR前文第38条を援用し、子供のプライバシー保護の重要性にも触れている。同上では子供の個人データは、特に個人プロファイルの作成や、子供にサービスするための個人データの収集には特別の保護を要するとしている。学校は指紋認証にあたり親権者の同意を得ていたものの、指紋データの収集が及ぼす可能性があるリスクとの関係において、親権者の同意だけでは子供のプライバシー保護としては不十分であると判断した。子供のプライバシー保護は欧州各国の監督機関が監視を強化させる方針であるので、子供の個人データを処理する場合は適法根拠の確定、安全確保措置の確実な実施などの措置を適切に実行しなければならない。

Polish school hit with GDPR fine for using fingerprints to verify students’ lunch payments
https://venturebeat.com/2020/03/06/polish-school-hit-with-gdpr-fine-for-using-fingerprints-to-verify-students-lunch-payments/
ポーランド監督機関の処分決定書
https://uodo.gov.pl/decyzje/ZSZZS.440.768.2018

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト