UK-ICO 警察による携帯電話からのデータ抽出に関する報告書

こんにちは、丸山満彦です。

英国の情報コミッショナー（Information Commisioner's Office : ICO）は、イングランドとウェールズで犯罪捜査を行う際の警察による携帯電話抽出（mobile phone extraction : MPE）の使用について報告書を公表していますね。。。

警察のデータ抽出では、必要以上の個人データが抽出され、既存のデータ保護法の適切な根拠なしに保存されることがよくあると指摘していますね。。。警察が過剰に携帯電話からデータを抽出することに市民が嫌気をさすと、市民の犯罪捜査への協力が得られにくくなり、かえって良くないと懸念を正直に示していますね。

公益とプライバシーの均衡をどうとるかは、これからさらに重要な論点となってくると思われますね。。。何か、包括的な枠組みが必要なのかもしれませんね。。。UKだけの課題ではないように思いました。。。

● ICO 

・2020.06.18 ICO releases findings on the use of mobile phone extraction by police forces

・[PDF] Mobile phone data extraction by police forces in England and Wales - Investigation report June 2020 - Version 1.1

・[HTML] Forward

・[HTML] Exective Summary

 

目次

↓

 

 

 

Contents

Executive summary

1. Introduction
 1.1 Background
 1.2 Scale of the issue
 1.3 Mobile phones
 1.4 Requirement for the data
 1.5 Challenges and concerns
 1.6 Public interest
 1.7 Reports and inquiries
 1.8 Investigative methodology
 1.9 Scope of the investigation
 1.10 Structure of this report

2. Legislative framework
 2.1 Criminal justice legislation
  2.1.1 Police and Criminal Evidence Act 1984
  2.1.2 Criminal Justice and Police Act 2001
  2.1.3 Criminal Procedure and Investigations Act 1996
  2.1.4 Investigatory Powers Act 2016
 2.2 Data protection legislation
  2.2.1 Data Protection Act 2018
  2.2.2 Law enforcement processing
  2.2.3 Data protection principles
  2.2.4 Sensitive processing
  2.2.5 Legal basis for processing
  2.2.6 Privacy information
  2.2.7 Data protection by design and default
  2.2.8 Logging
  2.2.9 Data protection impact assessments (DPIAs)
 2.3 Human rights legislation
 2.4 Application to MPE
  2.4.1 Taking possession of the phone
  2.4.2 Processing the data
  2.4.3 Providing information to data subjects

3. Current practice
 3.1 Overview
 3.2 Process
 3.3 Compliance with data protection principles
  3.3.1 First principle: Lawful and fair
  3.3.2 Second principle: Limited purpose
  3.3.3 Third principle: Adequate, relevant and not excessive
  3.3.4 Fourth principle: Accuracy
  3.3.5 Fifth principle: Storage limitation
  3.3.6 Sixth principle: Security
 3.4 Privacy information
 3.5 Data protection by design and default
 3.6 Logging
 3.7 Data protection impact assessments

4. Key findings and recommendations
 4.1 Legislative framework
 4.2 Lawful basis
 4.3 Necessity and proportionality
 4.4 Standards and accreditation
 4.5 Non-relevant materials
 4.6 Processing limitation
 4.7 Retention periods
 4.8 Privacy information
 4.9 Training
 4.10 Technology refresh
 4.11 Data Protection Officers
 4.12 Data protection impact assessments
 4.13 Ongoing reform

5. Conclusions

List of abbreviations

ーーーーー