EDPB、「空港における乗客の流れを効率化するために
顔認識技術を使用することに関する意見」を採択
アンダーソン・毛利・友常法律事務所*
弁護士 中 崎 尚
1 はじめに
2024年5月23日、欧州データ保護委員会(以下「EDPB」という。)は“Opinion 11/2024 on the use of facial recognition to streamline airport passengers’ flow”「空港における乗客の流れを効率化するために顔認識技術を使用することに関する意見書」(以下「本意見書」という。)を採択した[1]。この意見書は、空港オペレーターや航空会社が、空港における乗客の流れを効率化する目的で生体認証または識別のために顔認識技術を使用することの一般データ保護規則(以下「GDPR」という。)におけるGDPR5条1項(e)および(f)、25条、ならびに32条とどのように整合するかについて具体的なシナリオを考慮したものであり、それぞれの空港オペレーターおよび航空会社に適用される可能性がある。
なお、本意見書は、形式的な修正を加えたVer1.1が、同年5月28日に公開されている。
図表 顔認識のイメージ(PhotoAC提供)
2 本意見書の役割
⑴ 「意見書(Opinion)」の位置づけ
EDPBが発行する「意見書」は、欧州連合(以下「EU」という。)内のデータ保護法、特にGDPRに基づいて、特定の問題や技術に対する委員会の公式な見解を表す文書である。「意見書」には法的拘束力はないものの、EU全体でのデータ保護法の解釈や適用に関する一貫性を促進するための重要なガイドラインとして機能する。
⑵ EDPBの意見書の役割
EDPBは、EUのすべての加盟国がデータ保護に関して一致した方法で行動することを保証するために設立された。この委員会は、加盟国間でのデータ保護規則の解釈の違いを減らすことを目的としている。EDPBが発行する意見書は、特定のデータ保護の問題についてEU加盟国のデータ保護当局間で共有される見解を示すもので、これにより各国が同様の課題に対処する際の指針となることが期待されている。
3 EDPBが本意見書を作成した経緯
本意見書の作成は、2024年2月16日に、フランスの監督当局からの要請に基づくものである。この要請は、空港での顔認識技術の使用に関するガイドラインの必要性を訴え、生体認証または識別を通じて空港の乗客フローを効率化する目的で顔認識技術を使用することの法的互換性を評価することを求めるものであり、空港の保安検査場、手荷物預け入れ、搭乗、旅客ラウンジへのアクセス(国境検査および免税店による検査を除く。)(以下「チェックポイント」と総称する。)における旅客の流れを合理化するために、空港運営会社および航空会社が顔認証技術を使用することに焦点を当てるべく、典型的なユースケースの説明を添付した当該要請の背景が付されていた。当該要請の背景として、EU各地の空港における顔認識技術の使用とその規律が、EU加盟国間でも異なるため、データ保護の観点から解釈における食い違いが発生するリスクが指摘されていた。
4 本意見書のポイント
⑴ 第1シナリオ
チェックポイントを通過する際に旅客を認証(1対1認証)するために、登録されたバイオメトリック・テンプレートを、たとえば旅客が単独で管理するデバイスに、旅客の手元に保存するというものである。EDPBは、①コントローラー(管理者)が、同じ目的を効果的に達成できる、より侵害性の低い代替手段がないことを証明できる場合、選択された手段は必要性の原則を満たしていると考えられる、②バイオメトリック・テンプレートは、乗客の手元のみに保存され、たとえば、乗客の個々のデバイスに保存され、乗客の唯一の管理下にあり、データは照合が完了した直後に削除されるため、プロセス(処理)の侵害性は、乗客の積極的な関与によって相殺される可能性がある、として、適切な保護措置の実施を前提とする限り、原則としてGDPR5条1項(f)、25条および32条に適合すると考えられると結論付けた。
⑵ 第2シナリオ
空港内で、登録されたバイオメトリック・テンプレートを、暗号化された状態で、秘密鍵とともに、乗客の手元のみに集中保管するというものである。これにより、上記の空港のチェックポイントを通過する際の旅客認証(1対1認証)が可能になる。登録は所定の期間有効であり、たとえば、最後のフライトからパスポートの有効期限まで、最長1年間有効である。
EDPBは、コントローラー(管理者)が、同じ目的を効果的に達成できる、より侵害性の低い代替ソリューションが存在しないことを証明できる場合、そのプロセス(処理)は必要性の原則を満たしていると考えられると結論付けた。さらに、暗号化されたバイオメトリクス・データの秘密鍵を旅客自身が単独で管理しているため、旅客の積極的な関与により、プロセス(処理)の侵害性が相殺される可能性がある。
コントローラー(管理者)が適切な保護措置を講じることを前提とすれば、このシナリオで集中化されたデータベースを使用することによるセキュリティリスクは軽減され、データ主体の基本的権利および自由に対する否定的な影響は、予想される利益に比例すると考えられる。
他方、保存制限の原則に関して、長期間の保存期間の必要性は示されていないため、GDPR5条1項(e)との適合性を達成するためには、コントローラー(管理者)は、具体的なケースにおいて、想定される保存期間が目的上必要である理由を正当化できるようにする必要がある。
EDPBは、コントローラー(管理者)が可能な限り短い保存期間を想定する一方で、旅客が希望する保存期間を設定できるオプションを提供することを推奨する。これに基づき、EDPBは、シナリオ2で想定されるプロセス(処理)は、適切な保護措置の実施を前提とする限り、原則としてGDPR5条1項(e)、5条1項(f)、25条および32条に適合すると考えられると結論付けた。
⑶ 第3シナリオ
登録されたバイオメトリック・テンプレートを、空港運営者の管理の下、暗号化された形式で空港内に集中保管するというものである。これにより、上記の空港のチェックポイントを通過する際の乗客認証(1対N認証)が可能になる。このシナリオでの保存期間は通常48時間で、飛行機が離陸するとデータは削除される。
IDおよびバイオメトリクス・データは中央データベースに保存されるため、一旦、データベースの機密性が損なわれると、攻撃者は保存されているデータすべてにアクセスが可能となるため、他の環境でも無許可または違法に旅客を識別することが可能になる可能性がある。また、空港オペレーターの管理下にある集中保管アーキテクチャは、旅客が自分のデータを管理できなくなる可能性をより大きくする。EDPBは、空港における旅客の流れを合理化することと同様の結果を、より侵害的でない方法で達成することが可能であり、バイオメトリクス・データの集中データベースにおけるデータ漏洩から生じるデータ主体の基本的権利および自由への悪影響は、プロセス(処理)から生じる予想される利益を上回るため、空港オペレーターは必要性および比例原則を満たすことはできない。このため、EDPBは、第3のシナリオで想定されるプロセス(処理)はGDPR25条に適合しない、また、コントローラー(管理者)がこのシナリオに記載されているような措置に限定する場合、GDPR5条1項(f)および32条に適合しないと結論づけた。
⑷ 第4シナリオ
航空会社またはそのクラウドサービスプロバイダーの管理下で、登録されたバイオメトリック・テンプレートを暗号化された形でクラウドに集中保管するというものである。これにより、上記の空港のチェックポイントを通過する際の乗客の認証(1対N認証)が可能になる。このシナリオにおける保存期間は、顧客が航空会社のアカウントを保持している限り、潜在的に長くなる可能性がある。
IDおよびバイオメトリクス・データはクラウド上の中央データベースに保存されるため、EEA加盟国以外のプロバイダーも含め、複数の事業者がそのようなデータにアクセスできる可能性がある。旅客のデータは使用時に復号化され、秘密鍵は航空会社またはそのプロセッサーの管理下に置かれる。また、このような集中保管アーキテクチャは、旅客が自分のデータを管理できなくなることにもつながる。データはまた、かなりの期間保存される可能性があり、セキュリティ侵害の高いリスクにさらされることとなる。
EDPBは、空港における旅客の流れを合理化することと同様の結果を、より侵害的でない方法で達成することが可能であり、バイオメトリクス・データの集中データベースにおけるデータ漏洩から生じ得るデータ主体の基本的権利および自由への悪影響は、プロセス(処理)から生じる予想される利益を上回ると考える。したがって、当該プロセス(処理)は必要性および比例原則を満たすことはできず、第4のシナリオで想定されるプロセス(処理)はGDPR25条に適合しないと結論づけた。さらに、EDPBが入手可能な情報を前提とする限り、GDPR5条1項(e)に適合せず、コントローラー(管理者)がこのシナリオに記載されているような措置に限定する場合、GDPR5条1項(f)および32条にも適合しないであろうと厳しく批判した。
5 今後の展開
EDPBは、顔認識技術の使用に関する意見書の発表を通じて、空港での生体認証や識別プロセスの透明性とデータ保護の強化を図る方針である。今後の展開として以下の点が予定されている。
⑴ 監視と評価の強化
EDPBは、各空港オペレーターおよび航空会社がGDPRに準拠して顔認識技術を適切に実施しているかを継続的に監視し評価する。当該プロセスには、定期的なレビューとアップデートが含まれ、技術的または法的環境の変化に応じて対策が修正される可能性がある。
⑵ ガイドラインと推奨事項の更新
顔認識技術に関連するリスクや問題が明らかになるにつれ、EDPBは新たなガイドラインや推奨事項を発表することで、関係者が直面する課題に対処できるようサポートする。これには、プライバシー保護のための具体的な手法や、データの透明性を高めるための戦略が含まれる。
⑶ ステークホルダーとの協力
EDPBは、データ保護機関、空港オペレーター、航空会社、テクノロジープロバイダーとの間で情報共有と協力を促進する。これにより、顔認識技術の安全かつ効果的な使用を確保し、GDPRに基づく義務を遵守することが可能となる。
⑷ 法的および技術的分析の継続
特定の顔認識技術やその使用環境に応じて、EDPBは個別の法的および技術的分析を実施する。これには、新しいリスク評価や影響評価が含まれ、必要に応じて追加のセキュリティ対策やデータ保護措置が講じられる。
⑸ 透明性とステークホルダーとの対話
EDPBは、一般市民を含むすべてのステークホルダーとの対話を重視し、顔認識技術の使用に関する透明性を高めることを目指す。また、データ保護に関する教育プログラムや啓発キャンペーンを通じて、市民の意識向上を図る予定である。
6 おわりに
これらの取組みを通じて、EDPBは顔認識技術が個人のプライバシーとデータ保護の基準を尊重しながら、空港における乗客の流れを効率化する手段として安全に使用されることを目指そうとしており、空港オペレーターおよび航空会社ならびにこれらに顔認識技術を利用したサービスを提供する事業者に大きな影響を与えることが予想されている。
以 上
[1] https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-112024-use-facial-recognition-streamline_en
[/groups_member]
(なかざき・たかし)
アンダーソン・毛利・友常法律事務所スペシャルカウンセル。東京大学法学部卒、2001年弁護士登録(54期)、2008年米国Columbia University School of Law (LL.M.)修了、2009年夏まで米国ワシントンD.C.のArnold & Porter法律事務所に勤務。復帰後は、インターネット・IT・システム関連を中心に、知的財産権法、クロスボーダー取引を幅広く取扱う。日本国際知的財産保護協会編集委員、経産省おもてなしプラットフォーム研究会委員、経産省AI社会実装アーキテクチャー検討会作業部会構成員、経産省IoTデータ流通促進研究会委員、経産省AI・データの利用に関する契約ガイドライン検討会委員、International Association of Privacy Professionals (IAPP) Co-Chairを歴任。2022年より内閣府メタバース官民連携会議委員。
アンダーソン・毛利・友常法律事務所外国法共同事業 https://www.amt-law.com/
<事務所概要>
アンダーソン・毛利・友常法律事務所外国法共同事業は、日本における本格的国際法律事務所の草分け的存在からスタートして現在に至る、総合法律事務所である。コーポレート・M&A、ファイナンス、キャピタル・マーケッツ、知的財産、労働、紛争解決、事業再生等、企業活動に関連するあらゆる分野に関して、豊富な実績を有する数多くの専門家を擁している。国内では東京、大阪、名古屋に拠点を有し、海外では北京、上海、香港、シンガポール、ホーチミン、バンコク、ジャカルタ等のアジア諸国に拠点を有する。
<連絡先>
〒100-8136 東京都千代田区大手町1-1-1 大手町パークビルディング
* 「アンダーソン・毛利・友常法律事務所」は、アンダーソン・毛利・友常法律事務所外国法共同事業および弁護士法人アンダーソン・毛利・友常法律事務所を含むグループの総称として使用