« 情報ネットワーク法学会 第20回第20回研究大会 | Main | NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について »

2020.11.04

カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

こんにちは、丸山満彦です。

カナダプライバシー委員会 (Office of the Privacy Commissioner of Canada) が、 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書を2020.10.28に公開していましたね。。。

話は遡ること2018年7月になります。連邦、アルバータ州、ブリティッシュコランビア州のプライバシー委員会が、北米最大級の商業用不動産会社であるCadillac Fairview社[wikipedia]がカナダの12のショッピングモールの情報キオスクにカメラを設置し、顧客の同意なしに顔認証技術を使用していたことを明らかにしました。

Cadillac Fairview社は、

  1. カメラによる顔認証技術の使用目的は買い物客の年齢や性別を分析することであり、個人を特定することではない
  2. 買い物客は、顔認証技術の使用目的はショッピングモールの入口ドアに貼り付けられていたステッカーを介して認識された
  3. カメラで撮影した画像は簡易な分析後に削除しているので個人情報を収集していない

と主張したが、「有意義な同意 (meaningful consent)」が取られていなかった等の理由で退けられてたようですね。

 

Office of the Privacy Commissioner of Canada

・2020.10.29 (release) Cadillac Fairview collected 5 million shoppers’ images - Customers not aware that their sensitive biometrics information was gathered

このリリースからは報告書「有意義な同意 (meaningful consent)」についてのガイドラインがリンクされています。

・2020.10.28 (report) Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

Guidelines for obtaining meaningful consent (2018.05)


Joint investigation of the Cadillac Fairview Corporation Limited by the Privacy Commissioner of Canada, the Information and Privacy Commissioner of Alberta, and the Information and Privacy Commissioner for British Columbia

が報告書になるのですが、詳細で大変参考になると思います。

今回の事案の課題として、2つを挙げています。

課題 1. Cadillac Fairview社がモール内で匿名によるビデオ分析 (Anonymous Video Analytics: AVA) 技術を使用し個人情報を収集、利用、開示をしたかどうか、その場合
 (1) 収集、利用、開示について適切な同意を得たかどうか、
 (2) 必要以上に情報を保持していたかどうか

課題 2. Cadillac Fairview社がモバイル端末の位置情報技術を使用し、個人情報を収集、使用、開示したかどうか、その場合
その収集、利用、開示について適切な同意を得たかどうか

ということですかね。。。

課題 1.についての結論としては、

(1) AVA 技術の利用について個人情報に関する識別、同意、通知が不十分なまま個人情報の収集、利用を行った
(2) AVA 技術の利用により収集した顔の数値化された個人情報および関連情報を適時に廃棄することができていなかった

ということで違反した(ただし是正されている)と判断していますね。(段落106 - 110)

課題 2.についての結論としては、

「匿名状態での買い物客」としては個人情報を収集しておらず、また、「ログインした状態での買い物客」としてはwi-fi三角測量による位置情報を収集していないと判断し、この問題には違反とするには明確な根拠がないと結論付けているようですね。(段落171,172)


Guidelines for obtaining meaningful consent (2018.05)

は、法体系や文化の違いはあるでしょうが、それでも参考になると思います。

要は、「有意義な同意」つまり、実態的に意味をなす同意とは何かということについて7つの原則を示しているからです。

Seven guiding principles for meaningful  有意義についての7つの指針 
1 Emphasize key elements 重要な部分を強調する
2 Allow individuals to control the level of detail they get and when いつ、どの程度の詳細な情報を取得されるかを個人が選択できるようにする
3 Provide individuals with clear options to say ‘yes’ or ‘no’ 個人に「はい」か「いいえ」かの明確な選択肢を提供する
4 Be innovative and creative 革新的で創造的であること
> “Just-in-time” notices 適時の通知
> Interactive tools 対話形式のツール
> Customized mobile interfaces モバイル用のインターフェース
5 Consider the consumer’s perspective 消費者目線で考える
6 Make consent a dynamic and ongoing process 同意を動的で継続的なプロセスにする
7 Be accountable: Stand ready to demonstrate compliance 説明責任を果たす:遵守していることを示すための準備をする

|

« 情報ネットワーク法学会 第20回第20回研究大会 | Main | NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について »

Comments

Post a comment



(Not displayed with comment.)




« 情報ネットワーク法学会 第20回第20回研究大会 | Main | NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について »