スイス連邦データ保護・透明性委員会 COVID-19感染拡大防止を目的とした外出自粛の履行状況を確認するために、スイスコムが連邦健康局にユーザの位置情報を提供したことはその内容を踏まえてデータ保護法上問題ないと発表
こんにちは、丸山満彦です。
COVID-19の感染拡大防止を目的として、携帯電話契約者の位置情報を施策の立案や実効性を確認するために利用する動きがあります。日本でも2020.03.31に新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請(総務省)等が行われていますが、他の国でも同じです。
どこの国も利用者の位置情報データをそのまま渡しているのではなく、データの集約や匿名化等の加工はしているようです。つまり、目的を達成するために必要な範囲でできる限り特定の個人に到達できないようにしているということですね。。。
● Préposé fédéral à la protection des données et à la transparence (PFPDT)
・2020.04.03 Mise à jour - Protection des données dans le cadre de l’endiguement du coronavirus (Fr)
● JETRO
・2020.04.09 データ保護・透明性委員会、外出自粛の状況確認にモバイル位置情報の利用を認める
-----
PFPDTは3月25日にスイスコムに対して、保有するユーザーデータにFOPHがアクセスすることへの見解を明らかにするよう求めていた。スイスコムは3月27日と4月2日に回答した。これによると、スイスコムはモバイルユーザーの移動情報を匿名化し集団統計情報として取り扱うモビリティ・インサイト(MIP)プラットフォームを利用して、スイス国内におけるユーザーの位置情報を視覚化していた。スイスコムはFOPHに対し、100平方メートル単位で20人以上のユーザーがいたかどうかを地図上に表したデータを8時間以上経過後に提供していた。
PFPDTは、その提供について以下の点を認めた。
- ユーザーの位置情報を匿名化した上で集計
- 組織的なデータ利用方法は明らかにされていないが、MIPプラットフォームについては過去数年の運用実績があり、データ保護上の明らかな瑕疵(かし)が認められない
- スイスコムはFOPHにMIPプラットフォームにより視覚化された情報を提供する。FOPHは当該情報の基となるデータにはアクセスできない
- ユーザーの位置情報の集計データについて匿名性が保持されている
これらのことから、FOPHがアクセス可能なデータは匿名化されたデータに限られているとし、PFPDTは、スイスコムによるデータの取り扱い方法とFOPHへのデータ提供はデータ保護法上問題ないと判断した。
-----
PFPDT・・・「連邦データ保護・透明性委員会」
FOPH・・・「連邦健康局」
スイステレコムからの回答
・2020.04.03 [PDF] SwisscomデータのFOPHへの転送の評価(De)
Kurzauswertung der Datenlieferung der Swisscom an das BAG in Zusammenhang mit der Eindämmung des Corona- virus – Version
・2020.04.03 [PDF] FOPHによるMIPプラットフォームの使用に関するFAQ (De)
-----
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.04.08 欧州データ保護委員会が、COVID-19に関連してデータ保護、追跡・測位ツールの使用に関するガイダンスを作成することに
・2020.04.08 欧州委員会はモバイルデータとモバイルアプリを活用した出口戦略を支援する勧告を採択
・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会
・2020.04.03 個人情報保護委員会 新型コロナウイルス感染症の拡大防止を目的とした個人データの取扱いについて
・2020.04.01 英国政府(コミッショナー) コロナウイルス危機対応のための携帯電話追跡データの使用に関する声明
・2020.04.01 政府から移動通信事業者等に対する「新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供に係る要請
----- 追記 2020.04.10 -----
携帯デバイスから入手した位置情報の活用について日本でも、いろいろと意見が出ていますね。。。
● 東洋経済
・2020.04.10 コロナ対策、位置情報活用に潜む「法律の穴」 - 「どう使ったか」の透明性は担保されるのか by 長瀧 菜摘 中川 雅博
-----
Kurzauswertung der Datenlieferung der Swisscom an das BAG in Zusammenhang mit der Eindämmung des Corona- virus – Version vom 3. April 2020
Ausgangslage
Der EDÖB hat am 25. März 2020 die Swisscom gebeten, zu der Datenlieferung an das BAG Stellung zu nehmen. Die Swisscom hat mit Schreiben vom 27. März 2020 Stellung genommen. Aufgrund die- ser Stellungnahme der Swisscom hat der EDÖB am 30. März20020 gegenüber der Swisscom eine erste Kurzauswertung durch die EDÖB Task Force Corona abgegeben. Aufgrund der im Nachgang aufgeworfenen Fragen zur Visualisierung der «100n mal 100m Quadranten» und der diesbezüglichen Stellungnahme der Swisscom vom 2. April 2020 wurde die Kurzauswertung angepasst und durch die vorliegende Fassung ersetzt, ohne dass sich dadurch das Ergebnis unserer Beurteilung ändert.
Kurzauswertung
Die Swisscom bearbeitet mit der Mobility Insight Plattform (MIP) anonymisierte Gruppenstatistiken an- hand aggregierter Mobilitätsdaten zur Auswertung von Mobilitätsverhalten auf dem Gebiet der Schweiz. Die mit einer 8-32 stündigen Verzögerung an das Bundesamt für Gesundheit (BAG) geliefer- ten visualisierten Auswertungen der Swisscom sollen dem Amt zum Zweck der Pandemiebekämpfung eine Übersicht darüber verschaffen, ob es in der Schweiz noch Ansammlungen von grösseren Grup- pen gab. Die Visualisierungen zeigen den zeitlichen Verlauf der Aufenthalte von Handybesitzern in 100 mal 100 Meter grossen Gebieten, wenn mehr als 20 Mobilfunkgeräte von Abonnenten der Swisscom in einem solchen Gebiet vorhanden sind.
Die Swisscom beschreibt in ihrer ergänzenden Stellungnahme vom 2. April 2020 den Vorgang der Da- tenbearbeitung detailliert. Sinngemäss entsprechen diese Ausführungen den von der Swisscom am 3. April 2020 veröffentlichten FAQs betreffend Nutzung der Mobility Insights Plattform von Swisscom durch das Bundesamt für Gesundheit (BAG). Der EDÖB stützt seine nachfolgenden Ausführungen nun auch insbesondere auf diese ergänzenden Ausführungen und legt zum besseren Verständnis die FAQs der vorliegenden Kurzauswertung bei.
- Anonymisierte Daten der Swisscom im MIP
Nach der Durchsicht der von der Swisscom zur Verfügung gestellten Informationen vom 27. März 2020 und dem Vorwissen aus Beratungen der Swisscom für ähnliche Sachverhalte ist der EDÖB be- züglich der technischen Umsetzung der Anonymisierung vorerst zu folgenden Erkenntnissen gekom- men:
- Die Standortdaten werden technisch im frühestmöglichen Zeitpunkt pseudonymisiert (Hash) und in der Folge aggregiert.
- Organisatorische Massnahmen werden nicht beschrieben. Jedoch besteht aktuell kein Grund zur Annahme, dass offensichtliche Mängel bestehen, zumal es sich beim MIP um ein Produkt handelt, welches über mehrere Jahre betrieben wird.
- Die Swisscom macht dem BAG im MIP statistische und visualisierte Informationen zugänglich, nicht hingegen Klardaten oder pseudonymisierte Daten, die der Visualisierung im MIP zu- grunde liegen.
- Die Ergebnisse (Visualisierung der aggregierten Standortdaten), auf welche die Swisscom das BAG zugreifen lässt, ist anonym.
Der EDÖB hat den Sachverhalt nach Erhalt der ergänzenden Ausführungen der Swisscom am 2. April 2020 erneut überprüft und ist dabei zu folgendem Schluss gelangt:
Die von der Swisscom beschriebene Visualisierung der «100 mal 100 Meter Quadranten» ermöglicht keine Zuordnung der darin enthaltenen Daten zu einer bestimmten oder bestimmbaren Person. Der EDÖB hat daher aufgrund der ergänzenden Informationen keinen Anlass dazu, seine bisherige Ein- schätzung bezüglich der Anonymität der fraglichen Daten zu ändern. Er geht daher nach wie vor da- von aus, dass die Ergebnisse (Visualisierung der aggregierten Standortdaten), auf welche die Swisscom das BAG zugreifen lässt, anonym sind.
Daraus folgt, dass die Swisscom nach dem aktuellen Wissensstand des EDÖB dem BAG aus- schliesslich Zugang zu anonymisierten Daten gewährt.
- Rechtliche Beurteilung
Die Swisscom bringt in ihrer Stellungnahme zunächst zum Ausdruck, dass eine Einwilligung der Kun- dinnen und Kunden für die weitere Bearbeitung von Standortdaten i.S.v. Art. 45b FMG vorläge (Ziff. 3 und 5.2 der Stellungnahme), indem die betroffenen Personen die Allgemeine Datenschutzerklärung (ADSE) der Swisscom akzeptiert haben. Sie verweist dazu insbesondere auf Ziff. 2 und 5 der ADSE.
Der EDÖB hat jedoch festgestellt, dass die von der Swisscom angeführte Ziff. 5 der ADSE wohl nur die Erstellung der Statistiken und die kommerzielle Nutzung von anonymisierten Standortdaten ab- deckt, zumal die vorliegende Datenbearbeitung für das BAG in der ADSE nicht aufgeführt ist, für die betroffenen Personen im Zeitpunkt der Erteilung der Einwilligung nicht erkennbar war und damit eine Zweckänderung erfolgt.
Die Swisscom teilt diese Auffassung des EDÖB nicht. Sie bringt vor, die vorliegende Datenbearbei- tung sei mit den in Ziff. 5 der ADSE ausgewiesenen Zwecken kompatibel. Es handle sich um identi- sche Verarbeitungsformen, die in demselben Kontext erfolgen. Dieselben Daten würden auf gleiche Art erhoben und weiterverarbeitet werden, die technischen und organisatorischen Massnahmen seien ebenfalls gleich. Zweck und Empfänger seien so offen definiert, dass auch das BAG und der vorlie- gende Zweck darunter subsumiert werden können.
Die Frage kann hier letztlich offenbleiben. Die Swisscom hat dargelegt, dass die Daten für das MIP vollständig anonymisiert und aggregiert bearbeitet werden (vgl. Ziff. 5.2 der Stellungnahme der Swisscom sowie Email vom 2. April 2020). Der EDÖB kommt bei seiner Kurzanalyse zu demselben Ergebnis für die Datenlieferung an das BAG (vgl. Ziffer 1 vorstehend). Daher kann vorliegend auf ei- nen anderen Rechtfertigungsgrund abgestellt werden: Art. 45b FMG erlaubt die Bearbeitung von Standortdaten anderweitig als für Fernmeldedienste und deren Abrechnung vorzunehmen, wenn die Daten anonymisiert worden sind. Dementsprechend ist die Datenbearbeitung durch die Swisscom und die Weitergaben von anonymen Daten an das BAG datenschutzrechtlich erlaubt.
Der EDÖB hat aufgrund der ihm zur Verfügung gestellten Unterlagen keine Veranlassung daran zu zweifeln, dass sich die Swisscom an das im Schreiben vom 27. März 2020 und in ihrem Mail vom 2.
April 2020 dargelegten Vorgehen hält und ausschliesslich anonymisierte Daten weitergibt. Zwar sind bei ihm entgegenstehende Anzeigen eingegangen. Diese liessen sich jedoch nicht erhärten. Damit bestehen zurzeit keine Anhaltspunkte, die den EDÖB zur Eröffnung einer formellen Sachverhaltsab- klärung nach Art. 29 DSG veranlassen müssten. Aufgrund der von der Swisscom dargestellten tech- nisch bedingten grossen Unschärfe der fraglichen Daten liesse sich die Frage stellen, in wie weit die Visualisierungen der Swisscom für den vom BAG verfolgten Zweck ein taugliches Mittel darstellen. Die Beantwortung dieser Frage liegt indessen nicht in der Sachkompetenz des EDÖB, sondern jener des zuständigen Fachamtes, dem diesbezüglich ein Ermessenspielraum zuzugestehen ist.
Der EDÖB hat in seiner ersten Kurzauswertung darauf hingewiesen, dass die der Öffentlichkeit zu- gänglichen Informationen zur Zusammenarbeit zwischen dem BAG und der Swisscom und den damit verbundenen Datenbearbeitungen spärlich und nicht ohne Weiteres auffindbar sind. Im vorliegenden Fall wäre ein transparentes Vorgehen sämtlicher Akteure aber nicht nur rechtlich notwendig, sondern könnte auch einen wesentlichen Beitrag zur Akzeptanz der Massnahme in der Bevölkerung leisten. Er hat daher die Swisscom dazu aufgefordert, die Öffentlichkeit analog zum Schreiben an den EDÖB vom 27. März 2020 mit detaillierteren Informationen zum Datenbearbeitungsvorgang zu bedienen. Um dem Informationsbedürfnis der Öffentlichkeit Rechnung zu tragen, hat die Swisscom unterdessen, wie bereits erwähnt, FAQs zum Thema erstellt.
Zusammenfassend kann festgehalten werden, dass die Daten des MIP der Swisscom auf Grundlage von Art. 45b FMG für Zwecke ausserhalb der Fernmeldedienste benutzt werden dür- fen, wenn sie vollständig anonymisiert worden sind. Der EDÖB geht davon aus, dass diese Vo- raussetzung vorliegend erfüllt ist.
-----
Frequently Asked Questions (FAQ)
betreffend Nutzung der Mobility Insights Plattform von Swisscom durch das Bundesamt für Gesundheit (BAG)
1. Was ist die Mobility Insights Plattform von Swisscom?
Bei der Mobility Insights Plattform (MIP) handelt es sich um ein Online-Tool, auf dem Kunden anonymisierte Gruppenstatistiken über verschiedene Mobilitätszenarien abrufen können. Die Analyse von aggregierten Mobilitätsdaten erlaubt ein besseres Verständnis vom Mobilitätsver- halten auf dem Gebiet der Schweiz und fördert damit datenbasierte Entscheidungen bei Frage- stellungen, bei denen das Mobilitätsverhalten der Bevölkerung eine wichtige Rolle spielt (z.B. anonyme Verkehrsflussmessungen in Gemeinden).
2. Welche Informationen erhält das BAG über die MIP?
Das BAG erhält über die MIP zum einen visualisierte Statistiken über die Zahl der an einem Tag von der Bevölkerung auf schweizerischem Staatsgebiet durchschnittlich zurückgelegten Kilome- ter und zum andern Bilder (Heat Maps) mit dem Aufkommen von SIM-Karten während einer be- stimmten Stunde an einigen öffentlichen Orten in der Schweiz. Diese Heat Maps werden bei Swisscom hergestellt und dann an das BAG geliefert. Dabei handelt es sich um Heat Maps über das Gebiet von sechs Kantonen für den 20. und 23. März 2020. Sie sind vollständig anonymisiert. Es ist kein Rückschluss auf individuelle Personen möglich. Zudem werden die Auswertungen nicht Echtzeit bereitgestellt. Das BAG erhält von Swisscom keine Standort- oder sonstige Mobilfunkda- ten, sondern nur die genannten Auswertungen basierend auf solchen Daten.
3. Weshalb braucht das BAG Zugang zur MIP?
Mit dem Zugriff auf die MIP erhält das BAG die Möglichkeit, mit einer zeitlichen Verzögerung von mindestens acht Stunden das Bestehen von grösseren Menschenansammlungen in öffentlichen Bereichen der Schweiz zu erkennen. Das BAG kann somit überprüfen, ob die in der COVID-19- Verordnung 2 (Verordnung 2) angeordneten Massnahmen betreffend Social Distancing wirksam sind. Beim BAG hat lediglich eine Person Zugriff auf die MIP.
4. Wie lange hat das BAG Zugriff auf die MIP?
Der Zugriff auf die MIP wird dem BAG maximal so lange gewährt, bis Artikel 7c der Verordnung 2 ausser Kraft tritt.
5. Auf welcher Rechtsgrundlage beruht die MIP?
Für die MIP und die damit verbundene Datenbearbeitung bildet Art. 45b Fernmeldegesetz (FMG) die Rechtsgrundlage. Nach dieser Bestimmung dürfen Fernmeldedienstanbieterinnen die Standortdaten ihrer Kundinnen und Kunden in anonymisierter Form oder mit deren Einwilligung auch für Dienste verarbeiten, die über die Erbringung von Fernmeldediensten und deren Abrech- nung hinausgehen.
6. Welche Daten müssen bearbeitet werden, um die vom BAG gewünschten Information auf der MIP bereit zu stellen?
Die MIP beruht originär auf Daten, welche bei der Nutzung eines Mobilfunkgeräts durch die Kun- dinnen und Kunden von Swisscom generiert werden (Network Events). Es handelt sich dabei um die IMSI-Nummer der SIM-Karte, Datum und Zeit der Interaktion der SIM-Karte mit dem Mobil- funknetz und Kennung der Mobilfunkantenne, mit welcher die SIM-Karte interagiert hat.
7. Wie genau werden die Network Events bearbeitet, um die auf der MIP bereit gestellten Auswer- tungen aufzubereiten?
Die Network Events eines Kalendertages werden in der darauffolgenden Nacht automatisiert aus den Mobilfunksystemen extrahiert. Gleichzeitig wird die IMSI-Nummer automatisch und ohne menschliche Intervention mit einem Hash ersetzt. Die daraus resultierenden Daten bestehen aus Zeit, Hash-Kennung und Funkzelle. Danach wird die Position der SIM-Karten durch einen Positio- nierungsalgorithmus ermittelt. Dieser wandelt die gehashten Network Events durch probabilis- tische Triangulation in geographische Gebiete um. Schliesslich werden die geografischen Gebiete durch Aggregation in Quadranten von 100x100 Metern übertragen. Das Gebiet der Schweiz ist in solche Quadranten aufgeteilt. Nach erfolgter Aggregation weisen die Quadranten die Zahl von SIM-Karten aus, welche sich während einer bestimmten Stunde darin aufgehalten bzw. bewegt haben. Beträgt die Zahl der in einem Quadranten von Swisscom festgestellten SIM-Karten weni- ger als 20 (k-Anonymität), so werden auf der MIP über diesen Quadranten keinerlei Auswertun- gen bereitgestellt. Das Team, das die gehashten Network Events verarbeitet, hat keinen Zugriff auf Daten über die SIM-Kartenbesitzer.
8. Ist es möglich, den Inhaber einer SIM-Karte über die auf der MIP bereitgestellten Auswertungen zu identifizieren oder gar zu überwachen?
Nein, dies ist aus technischen Gründen nicht möglich. Die auf der MIP bereitgestellten Auswer- tungen stellen lediglich eine Approximation der Wirklichkeit dar, stimmen mit ihr aber nicht überein. Swisscom kann die Position einer SIM-Karte auch aus technischen Gründen nur ungefähr feststellen. Die Abweichung der von Swisscom festgestellten Position einer SIM-Karte beträgt im Vergleich zu deren wirklichen Position im Median etwa 130 Meter. Der Median stellt dabei den Radius dar. Die von Swisscom festgestellte Position einer SIM-Karte hat sich in Wirklichkeit somit irgendwo in einem Kreis von 260 Metern Durchmesser und einer Fläche von rund 53'000 Quad- ratmeter befunden. Aufgrund dieser Abweichungen kann die von Swisscom festgestellten Posi- tion einer SIM-Karte in einem anderen Quadranten erscheinen kann als in demjenigen, in dem sie sich tatsächlich befunden hat. Eine Identifikation des Inhabers einer SIM-Karte ist unter diesen Umständen technisch nicht möglich. Dies umso mehr, als es sich bei den bereitgestellten Aus- wertungen um historische Informationen handelt und standardmässig eine k-Anonymität von 20 gewährleistet wird.
9. Ist es möglich, die eigene SIM-Karte für Auswertungen von Standort-Daten zu sperren?
Ja. Der Inhaber einer SIM-Karte kann diese über das Online-Kundencenter oder die Hotline von Swisscom für Auswertungen von Standort- oder Mobilitätsdaten gesperrt werden (Opt-out).
« JIPDEC 「プライバシーマークとISMS認証について」という難しいお題に対する説明。。。 | Main | Zoom 90日間プランの更新 - 元Facebook CSO Alex Stamos氏のアドバイザー就任 »
Comments