コロナウイルス対策としてのインテリジェントカメラの運用に関するCNILガイダンス


コロナウイルスの蔓延によるロックダウンが緩和される中、公共の場所や空間にいわゆる「インテリジェント」なビデオカメラ(以下「インテリジェントカメラ」という。)の設置が進んでいる。具体的には識別ソフトを組み込んだビデオ監視システム、自働体温測定カメラ(サーマルカメラ)などがその例である。そうしたインテリジェントカメラの運用は、市民の権利と自由に大きなリスクを伴うとして、フランス監督機関CNILはガイダンスを公表した。

インテリジェントカメラ運用の必要要件

インテリジェントカメラがGDPRに準じて運用される条件としてCNILは、以下の要件の順守を提示している

  • (処理目的との関係における)比例性の証明
  • 映像の保管期限の限定
  • (映像データの)仮名化または匿名化
  • 個人を監視しないこと

また、個人の健康情報や生体情報の取得など、センシティブなデータが処理される場合や、異議を唱える権利がない場合(例えば、路上でのカメラの「ビデオスキャン」など)には、GDPR第9条や第23条に準拠した適切な法的枠組みを整備する必要があるとしている。

個人の自由への賭け

インテリジェントカメラに一般的に与えられる目的である、ウイルス蔓延との戦いへの参加や公衆衛生の確保は、多くの場合正当な目的である。一方CNILは、インテリジェントカメラの配備には、公共空間や公衆に公開されている場所に所在する個人からのデータの体系的な収集と分析が含まれていると指摘している。インテリジェントカメラの設置が無秩序に進むことは、監視されているという意識を市民に一般化させ、侵入技術が習慣化・矮小化される現象を生み出し、監視の増大をもたらし、民主主義社会の正常な機能を損なう危険性があるとCNILは評価する。公共空間はプライバシーの権利と個人情報の保護、移動の自由、表現と集会の自由、デモの権利、良心の自由と信教の行使など、個人の自由が行使される場所であり、公共空間における匿名性の保全は、これらの自由を行使するために不可欠であることから、公共の空間で人々の姿を撮影することが人々の基本的な権利と自由に対するリスクを伴うことは否めないとしている。

具体的な安全確保措置の保証の必要性

このような監視システムの運用には、個人の自由、特にプライバシーの権利を保護するための安全確保措置を伴わなければならない。このような理由から、特に映像保護装置は、公共空間で映像を撮影するための他の装置と同様に、国内治安法に含まれる特定の立法枠組の対象となっている。また、これらの保証は、必然的にGDPRのデータ保護の主要原則を補完するものでなければならない。

データ保護の主要原則の尊重

健康危機の状況下でこれらのデバイス(インテリジェントカメラ等)を使用する場合は、人々を識別できる画像をキャプチャした時点で、個人データの処理に適用される規制(RGPDやフランスのデータ保護法など)を遵守しなければならない。
このような装置の導入を決定した組織は、たとえ実験的なものであっても、追求する目的とデータ処理の適切な法的根拠(例えば、公的機関の公益的使命の遂行や、GDPR第6条に定められた条件の下での私企業の正当な利益など)を明確にしなければならない。

必要性と比例性の証明

インテリジェントカメラ等の装置は、撮影された人の同意を得た場合、または追求する目的のために「必要」である場合にのみ配備されなければならない。また、「比例」の原則、すなわちプライバシーを不当に侵害してはならないという原則も遵守しなければならない。
インテリジェントカメラシステム使用の必要性と比例性は、特に以下の点で実証される。

  • データ主体の権利と自由のために、想定された目的を達成するための、より侵襲的な手段がない場合
  • 処理されたデータの重要性
  • 空間と時間におけるデバイスの展開環境(関係するカメラの数、フィールドの範囲、展開の期間など)
  • 管理者へのフィードバック

機密データの処理

インテリジェントカメラ装置は、以下のような、特に機密性の高いデータの処理を伴う可能性が高い。

  • 生体情報または人の健康状態に関するデータであって、GDPRの例外(第9条2項)のいずれかに該当する場合を除き、原則として処理が禁止されているもの。
  • 犯罪に関するデータで、公的機関の管理下でのみ処理を行うことができるもの、またはデータ対象者の権利と自由のための適切な保護措置を提供する特定の文書によって許可されなければならないもの。

サーマルカメラの具体的な事例

これらのカメラで撮影された人物の熱画像から、人物(顔や体)を特定できるようになると、それが個人データかつ健康データになる。このようなデータの処理は、GDPR第9条(2)に規定されている例外のいずれかを満たさない限り、原則として禁止されているが、健康データについては、特に次のような理由で正当化されることがある。

  • 重要な公益上の理由(第9条(2)(g))
  • 特に公衆衛生の分野での公益性を理由とする場合(第9条(2)(i))

この場合、サーマルカメラ装置の運用を認可するためには、特定の文書(欧州連合または国家の)による許可が必要である。
個人が同意している場合には、健康データを処理することができる(PGRD 第9条(2)(a))が、サーマルカメラは大規模に使用されなければ目的が達成できないことが多いことから、このような同意を得ることは、実際には困難である。装置へのデータ提供を拒否したことが、該当する個人によるサービスや施設へのアクセス等に影響を及ぼす場合は、同意の自由性を構成しない。また、保健当局にとってこのような装置は、無症状の人もいるため感染者を特定できないリスクがあり、さらに(対象者が)解熱剤を摂取することでも特定を回避することができることにもCNILは言及している。

個人の権利

個人データに関する個人の権利は尊重されなければならない。これらの権利の一つは、何人もの人が自分の画像が公共の場で撮影されることに異議を唱える権利(意義権)である(GDPR第21条)。画像撮影が公共の利益または正当な利益に基づいている場合、異議権はデータ管理者によって保証されなければならない。
公共の場での画像撮影は、この異議権を考慮し尊重する義務に迫られる。実際、ビデオ装置は以前に画像撮影に反対する意見を表明した人を避けることなく、通過する人々の画像を自動的にキャプチャする。そのため実際には、撮影される人はデータの削除権を得られるだけで、収集を回避することはできない。したがって、意義権が実際に適用できない場合、当該装置は、欧州連合またはフランスの法律によって提供される特定の法的枠組みによって特別に認可されなければならない。

「ノー」とうなずくこと:不十分で無意味な反対表明

「ノー」と頭を動かすような著しい体の動きによって反対意見を表明するのは、人々の利益を守るという観点からは満足できるものではないと思われる。このような解決策は、実際には非現実的であり、一般化することは困難である。また、個人が自身の個人データの処理に反対していることを公に表明することを強要するのは、個人に過度の負担を強いることになる。特にインテリジェントカメラが増えた場合には、個人の負担が大きくなりすぎる(注:一つ一つのカメラに顔を振ってノーと意思表示をするのは非現実的であるということ)。原則として、このような取り決めは、異議を申し立てる権利の有効性を保証するものではないため、GDPRの規定に準拠していないと考えなければならない。

非正規なインテリジェントカメラの配備に対する警戒

COVID-19の流行との戦いで、いわゆるインテリジェントカメラの配備が検討されるようになった。CNILは、伝染病の蔓延と闘うという目的の正当性に疑問を示さないが、ケースごとの分析では、これらのデバイスの大部分が個人情報保護に適用される法的枠組みに準拠していないと思われることを警告する必要があると考えている。
CNILは、インテリジェントカメラが個人データの自動処理を構成し、それゆえGDPRの対象となる場合、そのようなシステムは、ほとんどの場合で関係者の同意なしにセンシティブなデータ(特に体温)を処理するか、または反対権を切り捨てるかのいずれかにつながるとしている。そして、いずれの場合も、これらのデバイスの使用は特定の法的枠組みに従わなければならず、デバイス使用の比例性と、(個人の権利保護に対する)必要な保証を「上流」部で検討する必要があるとする。

 

【Caméras dites « intelligentes » et caméras thermiques : les points de vigilance de la CNIL et les règles à respecter】
https://www.cnil.fr/fr/cameras-dites-intelligentes-et-cameras-thermiques-les-points-de-vigilance-de-la-cnil-et-les-regles

関連情報

特別寄稿 新型コロナウイルスの流行とサイバーセキュリティに関する留意点(岡田 淳弁護士)

コロナウイルスの感染拡大に伴い普及したテレワークで、サイバーセキュリティ対策上留意すべき点に関する、森・濱田松本法律事務所の岡田淳弁護士による特別寄稿です。

IIJ ビジネスリスクマネジメントポータル(BizRis)

世界のプライバシー保護規制対応を支援する最新情報を継続的に発信。
有料会員様にはすべてのニュース、コンテンツ(ガイドラインや対応の手引き、ホワイトペーパー、FAQ、各種テンプレートなど)、セミナー情報、アドバイザリーサービスを提供しています。
BizRisの概要はこちら

特集:新型コロナウイルス対応とプライバシー保護 

新型コロナウイルス対応におけるプライバシー保護関連の記事、リンク、解説情報を集約してお届けしています。

GDPR執行事例リスト 

フランスのほか、EU各国でのビデオカメラの不適切な使用に対する制裁事例を掲載しています。

関連記事