« ENISA CSIRTとは何か?どのように役立つか? | Main | UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。 »

2020.05.05

UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

こんにちは、丸山満彦です

COVID-19のコンタクト・トレーシング・アプリの開発中のUKですが、NHSX (National Health Service x)とICO (Information Commissioner's Office)との間でやりとりが続いておりますね。

ICOが書簡を出しています。コンタクト・トレーシング・アプリを開発するに当たっての10原則と、32の実践を記載しています!!!

大変参考になると思いますよ。ぜひ、一読を・・・

UK - ICO

・2020.05.04 COVID-19 contact tracing: data protection expectations on app development

・[PDF]

wordとhtmlに変換してみました。。。

・[Word][html]

10原則は、

1 Be transparent about the purpose: Explain if the purpose is only proximity notification or if the purpose is broader, or is likely to expand in accordance with any development roadmap. Explain any additional purposes clearly and make sure you assess the necessity and proportionality of the processing the app undertakes. Ensure your considerations address all relevant parties - for example, build core requirements into your notices, user experience (UX) design and other appropriate in-app transparency mechanisms, but also provide more detailed information about your app’s development outside of the app itself. 目的について透明であること: 目的が近接通知のみなのか、目的がより広範なものなのか、または開発ロードマップに従って拡大する可能性があるのかを説明する。追加の目的を明確に説明し、アプリが行う処理の必要性と比例性を評価していることを確認する。例えば、通知、ユーザエクスペリエンス(UX)デザイン、およびその他の適切なアプリ内の透明性メカニズムにコア要件を組み込むだけでなく、アプリ自体の外でアプリの開発に関するより詳細な情報を提供する。
2 Be transparent about your design choices: Be clear about the system’s architectural design decisions, how they were made and what risks the approach poses to individual rights. Use the least privacy intrusive approach possible to achieve your purpose and ensure you justify the design choices you make. Make the service requirements and objectives available to users and other parties. デザインの選択について透明であること。システムのアーキテクチャ設計の決定、それがどのように行われたか、そのアプローチが個人の権利にどのようなリスクをもたらすかを明確にする。目的を達成するために可能な限りプライバシーを侵害しないアプローチを使用し、行った設計の選択を正当化することを確認する。サービスの要件や目的を利用者やその他の関係者が利用できるようにする。
3 Be transparent about the benefits: Be clear about the benefits and outcomes your app seeks to achieve, from both your perspective and that of the user. Where benefits for different parties may be the subject of tension, ensure that you are clear on how you have managed these in the data protection context. As part of assessing necessity and proportionality, clearly define these parties and clarify how your solution addresses each in line with data protection requirements. 利益について透明であること。アプリが達成しようとしている利益と結果について、自分の視点とユーザーの視点の両方から明確にする。異なる関係者の利益が緊張の対象となる場合は、データ保護の観点から、これらをどのように管理しているかを明確にする。必要性と比例性の評価の一環として、これらの当事者を明確に定義し、データ保護の要件に沿って、ソリューションがそれぞれにどのように対処するかを明確にする。
4 Collect the minimum amount of personal data necessary: Minimise the data your solution processes to that which is necessary to achieve your purposes. Begin by considering whether you can generate and match identifiers on-device. Where this approach is available, feasible, and enables you to achieve your purposes, then you should use it. If you decide to use an alternative approach, you must be able to explain why it is necessary to do so, as well as the steps you will take to ensure you will not introduce unnecessary risks to the user. Contact tracing apps should only collect or otherwise process information that is required for the core purpose (e.g. excluding location data, other device identifiers beyond any that are strictly necessary for the purpose, and personal data such as user account information, etc.). As noted above the collection and processing of personal data for other purposes will need to be assessed on a case-bycase basis. 必要最小限の個人データを収集する。ソリューションが処理するデータは、目的を達成するために必要最小限にする。まず、デバイス上で識別子を生成して照合できるかどうかを検討する。この方法が利用可能、実行可能であり、目的を達成できる場合は、この方法を使用すべきである。別のアプローチを使用することを決定した場合は、その必要性と、ユーザに不必要なリスクをもたらさないようにするための手順を説明できるようにしなければならない。コンタクト・トレーシング・アプリは、中核となる目的に必要な情報のみを収集またはその他の方法で処理すべきである(例:位置情報、目的に厳密に必要なものを超えた他のデバイス識別子、ユーザーアカウント情報などの個人データを除く)。上記のとおり、その他の目的のための個人データの収集および処理については、ケースバイケースで評価する必要がある。
5 Protect your users: Ensure your app uses pseudonymous identifiers, which are renewed regularly as appropriate to your purposes, and are  generated in such a way that risks of reidentification and tracking are reduced. ユーザーの保護。アプリでは、目的に応じて定期的に更新される仮名の識別子が使用されていることを確認し、再識別や追跡のリスクが低減されるような方法で生成されていることを確認する。
6 Give users control: Ensure your users can exercise their rights via your app, where these rights apply. Provide controls while onboarding and during use, e.g. via a dedicated privacy control panel or dashboard. ユーザーにコントロールを与える。ユーザーがアプリを介して権利を行使できるようにする。専用のプライバシーコントロールパネルやダッシュボードなどを介して、オンボーディング中や使用中にコントロールを提供する。
7 Keep data for the minimum amount of time, and, where appropriate, ensure the user has control over this: Store data for the minimum amount of time necessary for your purposes. Explain what that period will be and why. Avoid gathering, augmenting or correlating user data without express permission. データを最小限の期間保存し、必要に応じて、ユーザがこれをコントロールできるようにする。目的に必要最小限の期間だけデータを保存する。その期間と理由を説明する。明示的な許可なしに、ユーザデータを収集、追加、または関連付けることは避ける。
8 Securely process the data: Apply appropriate cryptographic/security techniques to secure the data, both at rest (in servers and apps) and in transit (between apps and the server). Ensure confidentiality, integrity and availability has been engineered into the service. データを安全に処理する。適切な暗号化/セキュリティ技術を適用して、データの安全性を確保する。機密性、完全性、可用性がサービスに組み込まれていることを確認する。
9 Ensure the user can opt in or opt out without any negative consequences: App use, from installation to sharing of information, should be voluntary with no negative consequences for individuals if they do not take action. Functions should be de-coupled to allow the user to benefit from one function without being compelled to provide data for other functions. ユーザーが否定的な結果を招くことなく、オプトインまたはオプトアウトできるようにすること。アプリの使用は、インストールから情報の共有に至るまで、自発的なものであるべきであり、個人が行動を起こさなかった場合に負の結果を招かないようにすべきである。ユーザが他の機能のためにデータを提供することを強制されることなく、ある機能の恩恵を受けることができるように、機能は切り離されるべきである。
10 Strengthen privacy, dont weaken it: Ensure the design of the app does not introduce additional privacy and security risks for the user (for example requiring the phone to be unlocked, or location to be identified). プライバシーを強化し、弱体化させない。アプリのデザインが、ユーザに追加のプライバシーやセキュリティのリスクをもたらさないようにする(例:電話のロックを解除する必要がある、場所を特定する必要があるなど)。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

・2020.04.27 少なくとも7カ国の政府を含むPEPP-PTの支援者は、プライバシー保護の「中央管理手法」をあきらめていない

2020.04.26 英国 NHSX(国民保健サービス・デジタル)が間も無くコンタクト・トレーシング・アプリをリリースするようですね。。。 

2020.04.17 COVID-19感染対策用のアプリケーションは位置情報を追跡する必要はない。。。 

2020.04.17 EU - データ保護に関連したCOVID-19パンデミック対策を支援するアプリケーションのガイダンス 

・2020.04.15 UK Information commissioner's officeがパンデミック時の規制に関する文書を公表しましたね。。。 

・2020.04.15 UKがCOVID-19の追跡アプリを独自に開発?

|

« ENISA CSIRTとは何か?どのように役立つか? | Main | UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。 »

Comments

Post a comment



(Not displayed with comment.)




« ENISA CSIRTとは何か?どのように役立つか? | Main | UK NHS COVID-19 appのテストバージョンのリリースとNCSCによる技術情報の公表。。。 »