情報コミッショナー・オフィス(ICO)によると、英内務省は電子タグを用いて移民を監視したことで、データ保護法に違反した。
規制当局は、政府部門が個人の位置情報を継続的に収集することによるプライバシー侵害を十分に評価していなかったと述べた。また、人々の移動に24時間365日アクセスできることは、宗教、性的指向、健康状態などの機微な情報を明らかにする可能性が高いと指摘した。
内務省のパイロットでは、移民保釈中の移民最大600人に足首のタグを装着し、GPS位置情報を追跡した。この制度は、電子監視が、移民との定期的な連絡を維持し、逃亡リスクを低減するうえで、拘禁に代わる有効な手段となり得るかを検証する目的で設計された。
しかしICOは、内務省がこのデータを収集・アクセス・利用することがなぜ必要で、かつ比例的であるのかを十分に説明しておらず、より侵襲性の低い監視方法を検討した証拠も提示していなかったと認定した。
さらに、この制度でタグを装着された人々には、どの個人データが収集されているのか、どれくらいの期間保存されるのか、どのように利用されるのかについて、明確で容易にアクセスできる情報が提供されていなかった。
ICOによれば、内務省はまた、移民としての地位により既に脆弱な立場に置かれている可能性のある人々(英国への渡航の状況や、英語が母語でないことなどを含む)に対し、継続的監視が及ぼし得る影響についても評価していなかった。
データ保護規制当局はさらに、この制度には、措置が一貫して、かつプライバシーを保護する形で適用されることを確保するための強固な指針や手続きが伴っていなかったと付け加えた。例えば内務省は、移民保釈条件として人々を電子的に監視することがいつ必要で比例的となるのかについて、職員に十分な指示を提供していなかった。
英国情報コミッショナーのジョン・エドワーズ氏は次のようにコメントした。「このような情報が不適切に取り扱われたり誤って解釈されたりすれば、人々やその将来に有害な結果をもたらす可能性があります。内務省はそれらのリスクを十分に評価しておらず、そのためパイロット制度は法令に適合していませんでした。
「私たちは、英国の安全を守るために内務省が行っている重要な業務を認識しており、そのためにどのような措置が必要かを決めるのは内務省です。しかし、将来同じやり方を取ることはできないという明確な警告を内務省に送ります。私たちには、人々の状況にかかわらず、情報に関する権利を守る義務があります。」
ICO、内務省に警告を発出
ICOは、プライバシー・インターナショナルが懸念を提起したことを受け、2022年8月以降、この制度のデータ保護上の影響について内務省と協議を続けてきたことを明らかにした。
パイロットは2023年12月に終了した。しかしICOは、既に収集された情報が内務省やその他の第三者組織によって利用される可能性が依然としてあると指摘した。
そのため、執行通知(Enforcement Notice)は、パイロット制度から保持されているデータに関して、内務省に対し、内部方針、アクセスに関する指針、およびプライバシー情報の更新を命じている。
ICOはまた、同一の根拠に基づく内務省による将来のデータ処理はデータ保護法に違反し、執行措置につながると警告する正式な通知も発出した。
エドワーズ氏は、この措置は、人々を電子的に監視しようと計画するあらゆる組織に対し、当初から人々の移動を追跡する必要性と比例性を証明できなければならないというメッセージを送るものだと述べた。
「個人情報がなお保持されている人々に対するプライバシー情報を改善し、データ保護影響評価への取り組みを改善するという内務省のコミットメントを歓迎します」と同氏は付け加えた。
法律事務所ミシュコン・デ・レヤの上級データ保護スペシャリストであるジョン・ベインズ氏は、ICOが脆弱な立場にある人々の権利を尊重し、執行することに焦点を当てているのは心強いと述べた。
「ICOはこの措置によって、誰かの移動を24時間365日監視することが極めて侵襲的であり、影響を受ける庇護申請者という文脈では、比例性を欠き違法であることを明確にしています」と同氏は指摘した。
ベインズ氏はさらに、執行通知は内務省に対し、このような監視活動を停止するよう強制するものであり、従わない場合は法廷侮辱として扱われる可能性があると付け加えた。
「したがって、内務省がこの通知に対して不服申立てを行うかどうかを見るのは興味深いでしょう」と同氏は述べた。
2月28日に開催された国際プライバシー専門家協会(IAPP)の「Data Protection Intensive」イベントでの講演で、エドワーズ氏は誓約し、人工知能(AI)の時代における消費者の権利保護がICOの最優先事項であると述べた。
同氏はまた、英国GDPR法に準拠して生体認証を適用できるのはいつかについて明確化を提供するため、規制当局が取り組んでいるとも述べた。これは、ICOが数日前に、セルコ・レジャーに命じ、従業員の出勤状況を監視するための顔認識技術(FRT)および指紋スキャンの使用を停止させたことを受けたものだ。
画像クレジット:Sean Aiden Calderbank / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/home-office-data-protection-migrant/
