カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解
こんにちは、丸山満彦です。
カナダのプライバシーコミッショナー室がプライバシーに関する戦略的優先事項とそこから生まれたテーマと見解を公表していますね。。。
これを読むと、欧州を中心としたプライバシーに関する法制度のそもそもの意図についての理解が進むかもしれませんね。。。
たとえば、こんな部分とか...
また、カナダのプライバシー法制のリンク集としても有益ですね(^^)
● Office of the Privacy Commissioner of Canada; OPC
発表
- OPC News - News and announcements
・2022.05.12 OPC publishes analysis of themes and observations that emerged from strategic privacy priorities exercise
内容
- About the OPC - OPC strategic privacy priorities
・2022.05.12 Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022
Strategic Privacy Priorities and the themes and observations that emerged: 2015-2022 | プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解:2015-2022年 |
Introduction | はじめに |
In 2015, following significant public consultations, the Office of the Privacy Commissioner of Canada (OPC) identified four strategic priorities: | 2015年、大規模な公開協議を経て、カナダ・プライバシーコミッショナー室(OPC)は4つの戦略的優先事項を特定しました。 |
・Economics of personal information; | ・個人情報の経済性 |
・Government surveillance; | ・政府の監視 |
・Reputation and privacy; and | ・レピュテーションとプライバシー |
・The body as information. | ・情報としての身体 |
The priorities selected reflect the values and concerns of Canadians, as well as the views of numerous stakeholders in civil society and consumer advocacy groups, industry, legal service, academia and government. | 選択された優先順位は、カナダ人の価値観と懸念、および市民社会と消費者擁護団体、産業界、法律事務所、学界、政府の多くの利害関係者の意見を反映しています。 |
The OPC’s aim was to hone its focus to make best use of its limited resources, to further its ability to inform Parliamentarians, organizations and the public of the issues at stake, to influence behaviour and to use the office’s regulatory powers most effectively. | OPCの目的は、限られた資源を最大限に活用するために焦点を絞り、国会議員や団体、一般市民に問題点を伝え、行動に影響を与え、オフィスの規制権限を最も効果的に活用する能力をさらに高めることです。 |
The OPC sought to achieve its goals through a variety of strategic approaches that included public education, better addressing the privacy needs of vulnerable groups, and protecting Canadians’ privacy in a borderless world. | OPCは、一般市民への教育、社会的弱者のプライバシーニーズへの対応、国境のない世界におけるカナダ人のプライバシー保護など、さまざまな戦略的アプローチによって目標達成を目指しています。 |
The strategic priorities have guided and helped focus the OPC’s work during Commissioner Daniel Therrien’s term, as he sought to restore Canadians’ trust in government and the digital economy. | ダニエル・セリエン委員が、政府とデジタル経済に対するカナダ人の信頼を回復するために努めている間、戦略的優先事項は、OPCの活動の指針となり、焦点を合わせるのに役立ちました。 |
Priorities: setting goals, exploring themes and reporting outcomes | 優先事項:目標の設定、テーマの探求、成果の報告 |
For each strategic priority, the OPC began with a stated goal. What emerged in subsequent policy work, stakeholder interactions and investigations was a series of important themes. | OPCは、戦略的優先事項のそれぞれについて、まず目標を設定しました。その後の政策活動、ステークホルダーとの交流、調査の中で浮かび上がったのは、一連の重要なテーマでした。 |
It is these themes that, combined, have led to the conclusion that effective privacy protection demands immediate rights-based law reform. Below is an exploration of the OPC’s original goals, the themes that emerged and the key initiatives that support its position. | これらのテーマが組み合わさって、効果的なプライバシー保護には権利に基づく法改正が直ちに必要であるという結論に至ったのです。以下、OPCの当初の目標、浮かび上がったテーマ、そしてその立場を支える主要な取り組みについて紹介します。 |
The economics of personal information | 個人情報の経済性 |
Initial goal: To enhance the privacy protection and trust of individuals so that they may confidently participate in the digital economy. | 当初の目標:個人のプライバシー保護と信頼を強化し、デジタル経済に安心して参加できるようにする。 |
Emerging theme: Technology and new business models that rely on complex data practices are challenging the current consent model and raising questions about the relationship between privacy and other fundamental rights. | 新たなテーマ:複雑なデータ処理に依存するテクノロジーと新しいビジネスモデルは、現在の同意モデルに挑戦し、プライバシーと他の基本的権利の関係について疑問を投げかけています。 |
During an extensive consultation with stakeholders following its publication in 2016 of a discussion paper on how to improve the consent model, the OPC heard from and agreed with many who argued the increasingly complex digital environment poses challenges for the protection of privacy and the role of consent. | 2016年に発表した同意モデルの改善方法に関するディスカッションペーパーに続く関係者との広範な協議において、OPCは、ますます複雑化するデジタル環境がプライバシー保護と同意の役割に課題をもたらすと主張する多くの人々からの意見を聞き、同意しました。 |
There was recognition that while consent can be meaningfully given in some situations, with better information, there were other circumstances where consent may be impracticable. This may be so, for instance, in some uses of big data or artificial intelligence, where it is no longer entirely clear to consumers who is processing their information and for what purposes. In fact, at times consent can be used to legitimize uses that, objectively, are completely unreasonable. | より良い情報があれば、ある状況下では同意が有意義に与えられる一方で、同意が実行不可能な状況も存在することが認識されました。例えば、ビッグデータや人工知能の利用では、誰がどのような目的で自分の情報を処理しているのかが、消費者にとってもはや完全に明確ではなくなっている場合がそうです。実際、客観的に見ればまったく合理性のない利用を正当化するために、同意が利用されることもあります。 |
The OPC sought to address these challenges through various means discussed in its 2017 consent report, notably by clarifying in its Guidelines for obtaining meaningful consent the key elements to be conveyed to consumers to ensure consent is meaningful. However, where consent is not practicable, the OPC put forward the idea that alternatives to consent may need to be considered to maintain effective privacy protections. | OPCは、2017年の同意報告書で議論された様々な手段を通じてこれらの課題に対処しようとし、特に、意味のある同意を得るためのガイドラインにおいて、同意が意味のあるものとなるために消費者に伝えるべき主要な要素を明確にしました。しかし、同意が現実的でない場合、OPCは、効果的なプライバシー保護を維持するために、同意に代わる選択肢を検討する必要がある場合があるという考えを打ち出しました。 |
At the same time, the OPC published guidance on “no go zones” for the collection, use and disclosure of personal information. It outlines practices that would be considered “inappropriate” by a reasonable person, even with consent, and therefore contrary to subsection 5(3) of Canada’s federal private sector privacy law, the Personal Information Protection and Electronic Documents Act (PIPEDA). The guidance included as inappropriate personal information practices that involve profiling or categorization that leads to unfair, unethical or discriminatory treatment, contrary to human rights law. | 同時に、OPCは個人情報の収集、使用、開示の「禁止区域」についてのガイダンスを発表しました。これは、たとえ同意があったとしても、合理的な人からは「不適切」とみなされ、したがってカナダの連邦民間部門プライバシー法である個人情報保護および電子文書法(PIPEDA)の第5項(3)に反すると思われる慣行を概説したものです。このガイダンスでは、人権法に反して不当、非倫理的、または差別的な扱いにつながるプロファイリングや分類を伴う個人情報の取り扱いは不適切であるとしています。 |
Some time later, a joint investigation into the Facebook/Cambridge Analytica scandal starkly illustrated how Canada had reached a critical tipping point and that privacy rights and democratic values were at stake. | その後、FacebookとCambridge Analyticaのスキャンダルに関する共同調査が行われ、カナダがいかに重大な転換点を迎え、プライバシーの権利と民主主義の価値が危機にさらされているかが明確に示されました。 |
That case underscored how privacy rights and data protection are not just a set of technical or procedural rules, settings, controls and administrative safeguards. Instead, privacy is a fundamental right and a necessary precondition for the exercise of other fundamental rights, including freedom, equality and democracy. | この事件は、プライバシーの権利とデータ保護が、単なる技術的・手続き的な規則、設定、制御、管理上のセーフガードではないことを強調しました。むしろ、プライバシーは基本的な権利であり、自由、平等、民主主義を含む他の基本的な権利の行使に必要な前提条件なのです。 |
Most recently, global developments in machine learning and the increasingly widespread use of artificial intelligence have led to the parallel realizations that privacy and equality (non-discrimination) are also vitally linked. | 最近では、機械学習や人工知能の普及が世界的に進み、プライバシーと平等(無差別)が極めて密接に関連していることが並行して認識されるようになりました。 |
Such examples informed the OPC’s views on law reform, as set out in its 2018-2019 Annual Report to Parliament, which described the urgent need for a rights-based law framework, and its subsequent submission to Parliament on Bill C-11, the Digital Charter Implementation Act, 2020. | こうした事例は、権利に基づく法の枠組みの緊急な必要性を述べた2018-2019年の国会への年次報告書や、それに続く2020年のデジタル憲章実施法である法案C-11に関する国会への提出文書で示された、法改革に関するOPCの見解に反映されています。 |
In this submission, the OPC agreed with the intention behind Bill C-11 to give organizations greater flexibility to use personal information, even without consent, for legitimate commercial and socially beneficial purposes. But this should be done within a rights based framework that recognizes privacy as a human right and as a prior condition to the exercise of other fundamental rights. This, it argued, would promote responsible innovation. | この提出書類の中で、OPCは、商業的・社会的に有益な正当な目的のために、同意がなくても個人情報を利用する柔軟性を組織に与えるという法案C-11の背後にある意図に同意しました。しかし、これは、プライバシーを人権として、また他の基本的権利の行使の前提条件として認識する、権利に基づく枠組みの中で行われるべきものです。そうすることで、責任ある技術革新が促進されると主張しました。 |
While the government’s bill died on the order paper when the election was called in 2021, the government said it would table new legislation in 2022. | 2021年に選挙が行われた際、政府の法案は法案段階で廃案になりましたが、政府は2022年に新しい法案を提出するとしています。 |
The OPC is not alone in this position, which is held by many international partners. In 2019, for instance, the OPC sponsored a resolution, adopted by the Global Privacy Assembly, a forum which brings together data regulators from around the world, to recognize privacy as a fundamental human right and vital to the protection of other democratic rights. The resolution called on governments to reaffirm a strong commitment to privacy as a human right and to review and update privacy and data protection laws. | このような立場は、多くの国際的なパートナーが持っているもので、OPCだけではありません。例えば2019年、OPCは決議を後援し、世界中のデータ規制当局が集まるフォーラム「グローバル・プライバシー・アセンブリ」で、プライバシーを基本的人権と認め、他の民主的権利の保護に不可欠であるとする決議が採択されました。この決議は、各国政府に対し、プライバシーを人権として尊重することを再確認し、プライバシーおよびデータ保護に関する法律を見直し、更新するよう求めています。 |
Other OPC work: | その他のOPCの活動 |
・Privacy breaches (or personal data leaks) remain a perennial problem that forever threatens consumer confidence in the digital economy. The OPC has investigated a number of significant breaches that underscore deficiencies with the security safeguards adopted by organizations: | ・プライバシー侵害(または個人情報漏洩)は、デジタル経済における消費者の信頼を永遠に脅かす永遠の問題であり続けています。OPCは、組織が採用するセキュリティ対策の不備を浮き彫りにするような重大な違反事件を数多く調査してきました。 |
・・An investigation into the Fédération des caisses Desjardins du Québec following a breach of security safeguards that ultimately affected close to 9.7 million individuals in Canada and abroad; | ・・Fédération des caisses Desjardins du Québec に対する調査は、カナダ国内および海外の約970万人の個人を危険にさらしたセキュリティ保護措置の違反に続いて行われました。 |
・・An investigation into Equifax that occurred when hackers gained access to the credit reporting agency’s systems through a security vulnerability the company had known about for more than two months, but had not fixed; and | ・・Equifaxが2ヶ月以上前から知っていながら修正しなかったセキュリティの脆弱性により、ハッカーが信用調査会社のシステムにアクセスした際に発生した調査。 |
・・An investigation into a breach of the World Anti-Doping Agency’s database that resulted in the disclosure of sensitive health and location information about more than 100 athletes who had competed in the 2016 Rio Olympic Games. |
・・世界アンチ・ドーピング機構のデータベースが侵害され、2016年のリオ・オリンピックに出場した100人以上のアスリートの健康状態や位置情報などの機密情報が流出した事件に関する調査。 |
Government surveillance | 政府による監視 |
Initial goal: To contribute to the adoption and implementation of laws and other measures that demonstrably protect both national security and privacy. | 当初の目標:国家の安全保障とプライバシーの両方を明らかに保護する法律やその他の措置の採択と実施に貢献すること。 |
Emerging theme: Public safety and national security institutions require effective oversight and stronger legal thresholds are needed to ensure their activities are not just lawful, but also necessary and proportional to the outcomes they are seeking to achieve. | 新たなテーマ:公共安全および国家安全保障機関は、その活動が単に合法的であるだけでなく、必要かつ達成しようとする結果に比例していることを保証するために、効果的な監視とより強力な法的閾値を必要とする。 |
After 9/11, Canada and its allies enacted many laws and initiatives that broadened the authorities for government data collection in the name of national security, some of which adversely affected privacy. The OPC was called upon to comment on a number of these issues. In general, its advice stressed the importance of strict standards to limit the sharing of personal information to what is necessary for public safety purposes, and the importance of oversight to ensure the activities of law enforcement and national security agencies are conducted lawfully. | 9.11以降、カナダとその同盟国は、国家安全保障の名の下に政府のデータ収集の権限を拡大する多くの法律や施策を制定し、その中にはプライバシーに悪影響を及ぼすものもありました。OPCは、これらの問題の多くについてコメントを求められていました。一般に、OPCの助言は、個人情報の共有を公共の安全のために必要なものに限定するための厳格な基準の重要性と、法執行機関や国家安全保障機関の活動が合法的に行われることを保証するための監視の重要性を強調しています。 |
By and large, the recommendations were reflected in the bills that were passed, notably Bill C-51, the Anti-Terrorism Act, 2015 and Bill C-13, on cyber-criminality. | 大体において、この提言は、可決された法案、特に2015年の反テロ法である法案C-51と、サイバー犯罪に関する法案C-13に反映されました。 |
On the former, the OPC recognized the important work of national security agencies but stressed that collection thresholds should be sufficiently high in order to protect the privacy of law abiding citizens. | 前者についてOPCは、国家安全保障機関の重要な活動を認めながらも、法を守る市民のプライバシーを保護するために、収集の閾値を十分に高くするべきだと強調しました。 |
The investigation into the Canada Border Services Agency’s examination of digital devices was a good example of the OPC’s work to improve thresholds. The investigation raised a number of concerns with the CBSA’s practices and argued the Customs Act should be updated to recognize that digital devices contain sensitive personal information and are not mere “goods” that should be subject to border searches without legal grounds. This outdated notion does not reflect the realities of modern technology. | カナダ国境サービス庁のデジタル機器検査に関する調査は、OPCが閾値の改善に取り組んだ良い例でしました。この調査では、CBSAの慣行について多くの懸念が示され、デジタル機器には機密性の高い個人情報が含まれており、法的根拠なく国境で検査されるべき単なる「物品」ではないことを認識するために関税法を更新すべきであると主張しました。この時代遅れの考え方は、現代のテクノロジーの現実を反映していません。 |
The OPC called for a clear legal framework for the examination of digital devices and the threshold for examinations of digital devices to be elevated to “reasonable grounds to suspect” a legal contravention. As early as 2017 in an appearance on border privacy, the OPC expressed the view that Canadian courts would find groundless searches of electronic devices to be unconstitutional, even at the border. | OPCは、デジタル機器の検査に関する明確な法的枠組みと、デジタル機器の検査の閾値を、法律違反を疑う「合理的な根拠」にまで引き上げることを求めました。早くも2017年に国境のプライバシーに関する出演で、OPCは、カナダの裁判所は国境であっても電子機器の根拠のない捜査を違憲と判断するだろうとの見解を示しました。 |
In 2020, the Alberta Court of Appeal ruled the Customs Act provisions that permitted warrantless searches of devices by CBSA officers were in fact unconstitutional and suspended its declaration of invalidity to give the government time to amend the legislation. On March 31, 2022, the government tabled Bill S-7 in response to the ruling. | 2020年、アルバータ州控訴裁判所は、CBSA職員による令状なしの機器検索を認めた関税法の規定を事実上違憲と判断し、政府に法改正の時間を与えるため無効宣言を一時停止しました。2022年3月31日、政府はこの判決を受け、法案S-7を提出しました。 |
The importance of robust collection thresholds was also highlighted in the OPC’s 2016 submissions on Privacy Act reform. Given the relative ease with which government institutions can collect personal information with today’s digital technologies, the Office recommended that the collection of personal information be subject to the international standard of necessity and proportionality. | 堅牢な収集閾値の重要性は、プライバシー法改革に関するOPCの2016年の提出文書でも強調されています。今日のデジタル技術により政府機関が比較的容易に個人情報を収集できることを踏まえ、同局は、個人情報の収集は必要性と比例性という国際基準の対象とするよう勧告しました。 |
The investigation of Statistics Canada’s collection of personal information from a credit bureau and financial institutions offered a practical example of the tension between broad government data collection and the public’s expectation of privacy. Although the investigation found the Statistics Act authorizes broad data collection, it also found significant privacy concerns regarding the initiative, which led the OPC to recommend that the agency adopt a standard of necessity and proportionality into all its collection activities. The OPC concluded: | カナダ統計局による信用調査機関や金融機関からの個人情報収集に関する調査は、政府の広範なデータ収集と国民のプライバシーへの期待との間の緊張関係を示す実例となりました。この調査は、統計法が広範なデータ収集を許可していることを明らかにしたものの、この取り組みに関してプライバシーに関する重大な懸念があることも明らかにしたため、OPCは、すべての収集活動に必要性と比例性の基準を採用するよう勧告しました。OPCは次のように結論づけました。 |
We consider a complete record of financial transactions to be extremely sensitive personal information. Indeed, this line-by-line collection of information relating to individuals’ banking activities by a government institution could be considered akin to total state surveillance. It is doubtful that any public objective can be so compelling (pressing and substantial) as to justify this level of intrusiveness. | 私たちは、金融取引の完全な記録は、極めて機密性の高い個人情報であると考えています。実際、政府機関が個人の銀行業務に関する情報を一行ごとに収集することは、国家の全面的な監視に近いと考えられます。このレベルの侵入を正当化するほど切実な(pressing and substantial)公的目的があるかは疑問です。 |
Beyond stronger thresholds and standards for the collection and sharing of personal information, the OPC also called for greater accountability and oversight over national security agencies. To that end, Bill C-22 introduced the National Security and Intelligence Committee of Parliamentarians and Bill C-59 created a new expert national security oversight body, the National Security and Intelligence Review Agency (NSIRA), which consolidated national security review under one roof. | OPCは、個人情報の収集と共有の基準値を強化するだけでなく、国家安全保障機関に対する説明責任と監視を強化するよう求めました。そのために、法案C-22は国会議員による国家安全保障・情報委員会を導入し、法案C-59は国家安全保障の専門的な監視機関である国家安全保障・情報審査局(NSIRA)を新設して、国家安全保障の審査を一元化しました。 |
In order to ensure that both privacy and national security expertise are brought to bear upon oversight activities, the OPC has developed strong partnerships with NSIRA, resulting in a collaborative review under the Security of Canada Information Disclosure Act (SCIDA) and issuance of the first joint report in February 2022. | プライバシーと国家安全保障の両方の専門性を監視活動に生かすため、OPCはNSIRAと強いパートナーシップを築き、カナダ情報公開安全法(SCIDA)に基づく共同審査を実現し、2022年2月に初の共同報告書を発行しています。 |
Other OPC work: | その他のOPCの活動 |
・In 2016, the OPC raised the issue of warrantless access to personal information by law enforcement. During a committee appearance and subsequent submission on Public Safety Canada’s National Security Green Paper, the OPC stressed the importance of maintaining the role of judges in the authorization of warrants for the collection of metadata by police. It also emphasized the need for technical solutions that might support discrete, lawfully authorized access to specific encrypted devices, as opposed to imposing new legislative requirements. | ・2016年、OPCは法執行機関による個人情報への令状なしのアクセスについて問題を提起しました。カナダ公共安全省の国家安全保障グリーンペーパーに関する委員会への出席とその後の提出書類の中で、OPCは、警察によるメタデータ収集のための令状承認において、裁判官の役割を維持することの重要性を強調しました。また、新たな法的要件を課すのではなく、暗号化された特定のデバイスへの合法的なアクセスを個別にサポートするような技術的ソリューションの必要性も強調しています。 |
・The OPC has made the inclusion of necessity and proportionality a key principle in the frameworks, guidance, joint statements and international resolutions it has put forward with provincial, territorial and international data protection colleagues. For example: | ・OPC は、必要性と比例性を、州、地域、国際的なデータ保護の仲間とともに提出した枠組み、ガイダンス、共同声明、国際決議の主要な原則に盛り込んでいます。例えば |
・・It is included in the Framework for the Government of Canada to Assess Privacy-Impactful Initiatives in Response to COVID-19 and the Regulatory Framework for AI: Recommendations for PIPEDA Reform; | ・・COVID-19に対応した「カナダ政府がプライバシーに配慮した取り組みを評価するための枠組み」や「AIに関する規制の枠組み:PIPEDA改革のための提言」に盛り込まれています。 |
・・The updated Guidance for the use of body-worn cameras by law enforcement authorities and the Privacy guidance on facial recognition for police agencies; | ・・法執行機関による身体装着型カメラの使用に関するガイダンスの更新と、警察機関の顔認識に関するプライバシーガイダンス。 |
・・The joint FPT statements on Privacy and COVID-19 Vaccine Passports and Privacy principles for contract tracing apps; and | ・・プライバシーとCOVID-19ワクチンパスポートに関するFPT共同声明、および契約追跡アプリのプライバシー原則。 |
・・The Global Privacy Assembly Resolution on Government Access to Data, Privacy and the Rule of Law which the OPC sponsored and signed along with 18 other DPAs. | ・・OPCがスポンサーとなり、他の18のDPAとともに署名した「政府によるデータへのアクセス、プライバシー、法の支配に関する世界プライバシー総会決議」。 |
Reputation and privacy | 評判とプライバシー |
Initial goal: To help create an environment where individuals can use the Internet to explore their interests and develop as people without fear that their digital trace will lead to unfair treatment. | 当初の目標:個人がインターネットを利用して自分の興味を探求し、デジタルトレースによって不当な扱いを受けることを恐れることなく人間として成長できるような環境作りを支援すること。 |
Emerging theme: Canadians deserve privacy laws that provide them with some measure of protection of their reputation, while respecting freedom of expression. | 新たなテーマ:カナダ人には、表現の自由を尊重しつつ、自分の評判をある程度保護するプライバシー法がふさわしい。 |
Central to the OPC’s work on reputation and privacy is the Draft Position on Online Reputation. Developed after a consultation and call for essays from various stakeholders, it highlighted the OPC’s preliminary views on existing protections in Canada’s federal private-sector privacy law, which includes the right to ask search engines to de-list web pages that contain inaccurate, incomplete or outdated information and remove information at the source. The Draft Position also emphasized the importance of education to help develop responsible, informed online citizens. | 評判とプライバシーに関するOPCの活動の中心は、「オンライン上の評判に関する意見書ドラフト(Draft Position on Online Reputation)」です。様々なステークホルダーからのコンサルテーションとエッセイの募集を経て作成されたこのドラフトは、カナダの連邦民間部門プライバシー法における既存の保護について、OPCの予備的見解を強調しています。この保護には、不正確、不完全または古い情報を含むウェブページのリスト解除とソースでの情報削除を検索エンジンに要求する権利が含まれています。また、Draft Positionでは、責任ある情報通のオンライン市民を育成するための教育の重要性が強調されました。 |
In 2018, the OPC filed a Reference with the Federal Court seeking clarity on whether Google’s search engine service is subject to federal privacy law when it indexes web pages and presents results in response to a search for a person’s name. The Court was asked to consider the issue in the context of a complaint involving an individual who alleged Google was contravening PIPEDA by prominently displaying links to online news articles about him when his name was searched. | 2018年、OPCは、Googleの検索エンジンサービスが、人名の検索に応じてウェブページをインデックス化し結果を提示する際に、連邦プライバシー法の適用を受けるかどうかについて、連邦裁判所にReferenceを提出し、明確化を求めました。同裁判所は、Googleが自分の名前を検索した際に、自分に関するオンラインニュース記事へのリンクを目立つように表示し、PIPEDAに違反していると主張する個人に関する苦情との関連でこの問題を検討するよう要請されたのです。 |
The Federal Court issued its decision on the merits of the reference questions in July 2021. The OPC welcomed the Court’s decision, which aligned with its position that Google’s search engine service is collecting, using, and disclosing personal information in the course of commercial activities, and is not exempt from PIPEDA under the journalistic exemption. Google is appealing the decision. The OPC’s Draft Position will remain in draft until the conclusion of this litigation and the underlying investigation. | 連邦裁判所は、2021年7月に付託された質問の是非について判決を下しました。OPCは、Googleの検索エンジンサービスは商業活動の過程で個人情報を収集、使用、開示しており、ジャーナリズムの免責によりPIPEDAから免除されないという立場と一致した裁判所の決定を歓迎しました。Googleはこの決定を不服として控訴しています。OPCの意見書ドラフトは、この訴訟とその基礎となる調査が終了するまで、ドラフトとして残されます。 |
Since it is ultimately up to elected officials to confirm the right balance between privacy and freedom of expression, the OPC has stated that its preference would be for Parliament to clarify the law with regard to a right to request de-listing by search engines, as Quebec did through Bill 64. | プライバシーと表現の自由の適切なバランスを確認するのは、最終的には選挙で選ばれた議員に委ねられるため、OPCは、ケベック州が法案64を通じて行ったように、検索エンジンによるリスト解除を要求する権利に関して、議会が法律を明確にすることを望むと表明しています。 |
Other OPC work: | その他のOPCの活動 |
・The OPC launched an investigation into Romanian website Globe24h which was republishing court and tribunal decisions, including Canadian decisions available through legal websites like CanLII. Unlike CanLII, which uses the web’s robot exclusion standard to limit indexing of decisions by name and thereby minimize the privacy impact on individuals, the Globe24h site indexed decisions and made them searchable by name. It also charged a fee to individuals who wanted their personal information be removed. The investigation found the company did not obtain consent to collect, use and disclose the personal information found in the tribunal decisions and that its actions were not ones a reasonable person would consider appropriate in the circumstances. | ・OPCは、ルーマニアのウェブサイトGlobe24hの調査を開始しました。このサイトは、CanLIIなどの法律サイトで利用できるカナダの判決を含む裁判所や法廷の判決を再掲載していました。CanLIIは、ウェブ上のロボット排除基準を用いて、名前による判決のインデックス作成を制限し、それにより個人へのプライバシーへの影響を最小限に抑えていますが、Globe24hのサイトは判決をインデックス化し、名前による検索ができるようにしています。また、個人情報の削除を希望する個人には料金を請求していた。調査の結果、同社は判決文にある個人情報を収集、使用、開示することに同意を得ておらず、その行為は合理的な人がその状況下で適切と考えるものではないことが判明しました。 |
After the release of the OPC’s investigation report, a complainant pursued the matter further in Federal Court, seeking damages from the company as well as an enforceable order for the operator of the site to delete all Canadian court and tribunal decisions on its servers. Given the precedent-setting nature of the issues at play, the OPC intervened in the litigation and in January 2017, the Federal Court confirmed the findings of the OPC investigation and ordered Globe24h to remove Canadian court and tribunal decisions containing personal information from its website, and to refrain from further copying and republishing Canadian decisions in a manner that contravened PIPEDA. It also ordered the organization to pay for nominal damages incurred as a result of its offside practices. Shortly after the Court’s decision was issued, the website ceased to operate. | OPCの調査報告書の発表後、原告は連邦裁判所でこの問題をさらに追及し、同社に損害賠償を求めるとともに、サイトの運営会社に対して、サーバーにあるすべてのカナダの裁判所および裁判の判決を削除するよう強制力を持った命令を下しました。問題の先例性を考慮し、OPCはこの訴訟に介入し、2017年1月、連邦裁判所はOPCの調査結果を確認し、Globe24hに対し、個人情報を含むカナダの裁判所および法廷の判決をウェブサイトから削除し、PIPEDAに反する方法でカナダの判決をさらにコピーして再出版しないよう命じました。また、同裁判所は、同団体の違反行為により発生した名目上の損害の賠償を命じました。裁判所の決定が出された直後、同ウェブサイトの運営は停止されました。 |
・An investigation into the website RateMDs.com was initiated following a complaint that anonymous users of the site were posting reviews and ratings concerning her work as a dentist. | ・RateMDs.comの匿名ユーザーが、歯科医としての仕事に関するレビューや評価を投稿しているという苦情を受け、同サイトの調査が開始されました。 |
・Several complaints about the RCMP’s use of non-conviction information in vulnerable sector checks led to an investigation that found the RCMP’s policy of reporting non-conviction information, including mental health incidents, in vulnerable sector checks was neither proportional nor minimally intrusive. | ・RCMPによる弱者部門チェックにおける前科者以外の情報の使用に関するいくつかの苦情を受けて、弱者部門チェックにおいて精神衛生事件を含む前科者以外の情報を報告するというRCMPの方針が、比例的でも最小限の押しつけでもないことが判明し、調査が実施されました。 |
The body as information | 情報としての身体 |
Initial goal: To promote respect for the privacy and integrity of the human body as the vessel of our most intimate personal information. | 当初の目標:最も親密な個人情報の容器である人体のプライバシーと完全性の尊重を促進すること。 |
Emerging theme: Because they rely on permanent characteristics that are so intimately personal, the collection, use and disclosure of biometrics and genetic information can lead to very significant privacy risks and must accordingly be protected under the highest possible privacy standards. | 新たなテーマ:バイオメトリクスと遺伝情報の収集、使用、開示は、個人と密接に関係する永久的な特徴に依存しているため、非常に重大なプライバシー・リスクにつながる可能性があり、それゆえ、可能な限り最高のプライバシー基準の下で保護されなければなりません。 |
Canada’s privacy laws were designed to be technology neutral, which is positive, given the pace of technological change compared to that of legislative modernization. | カナダのプライバシー法は技術的に中立であるように設計されており、法制の近代化と比較して技術的変化のペースが速いことを考えると、これは好ましいことです。 |
However, the use of facial recognition technology (FRT) by both the private and public sectors has raised questions about whether specific rules may be warranted. | しかし、民間と公的セクターの両方による顔認識技術(FRT)の使用は、特定の規則が正当化されるかどうかについての疑問を提起しています。 |
This is already the case for other forms of biometrics collected by law enforcement such as fingerprints and DNA profiles, and Quebec recently became the first jurisdiction in Canada to actually enact a law that specifically addresses biometrics, which encompasses FRT. | これは、指紋やDNAプロファイルなど、法執行機関によって収集される他の形態のバイオメトリクスについては既にそうなっており、ケベック州は最近、FRTを含むバイオメトリクスを特に扱う法律を実際に制定したカナダで最初の司法当局となりました。 |
The OPC’s investigations into Clearview AI and the RCMP’s use of the company’s facial recognition technology thrust the issue into the spotlight, making it a key initiative under this priority. | クリアビューAIとRCMPによる同社の顔認識技術の使用に関するOPCの調査は、この問題にスポットライトを当て、この優先事項における重要な取り組みとしました。 |
The investigations found Clearview AI violated Canada’s federal private sector privacy law by creating a databank of more than three billion images scraped from internet websites without the express knowledge or consent of individuals. Clearview users, such as the RCMP, could match photographs of people against the photographs in the databank. The result was that billions of people essentially found themselves in a police line-up. We concluded this represented mass surveillance and was a clear violation of privacy. | この調査により、クリアビューAIは、個人の明示的な認識や同意なしにインターネットウェブサイトからかき集めた30億枚以上の画像のデータバンクを作成し、カナダの連邦民間企業プライバシー法に違反したことが判明しました。RCMPのようなクリアビューのユーザーは、データバンク内の写真と人物の写真を照合することができました。その結果、何十億人もの人々が、実質的に警察に並ばされることになりました。これは大規模な監視であり、明らかにプライバシーの侵害であると結論づけました。 |
Separately, the OPC concluded the RCMP violated the Privacy Act when it collected personal information from Clearview AI as a government institution cannot collect personal information from a third party agent if that third party agent collected the information unlawfully. | これとは別に、OPCは、RCMPがクリアビューAIから個人情報を収集した際、プライバシー法に違反したと結論付けました。政府機関は、第三者のエージェントが違法に情報を収集した場合、そのエージェントから個人情報を収集することはできないからです。 |
The investigations demonstrate that significant gaps remain in appropriately protecting this highly sensitive biometric information and highlight some of the risks that can arise when the public and private sectors interact. It’s another reason why the OPC has called for greater interoperability between the two federal privacy laws to prevent gaps in accountability where the sectors interact. | 今回の調査は、この機密性の高い生体情報の適切な保護に大きなギャップがあることを示すとともに、公共部門と民間部門が相互作用する際に発生し得るリスクの一部を浮き彫りにするものです。これは、OPCが2つの連邦個人情報保護法間の相互運用性を高め、部門間の相互作用による説明責任の欠如を防ぐよう求めたもう一つの理由でもあります。 |
At present, the use of FRT is regulated through a patchwork of statutes and case law that, for the most part, do not specifically address the risks posed by the technology. This creates room for uncertainty concerning what uses of facial recognition may be acceptable, and under what circumstances. | 現在、FRTの利用は、法令や判例法のパッチワークによって規制されており、そのほとんどは、この技術がもたらすリスクを具体的に取り上げていない。このため、どのような状況下で、どのような顔認証の利用が許容されるかについて、不確実性が生じています。 |
At the same time as the OPC released its investigative findings into the RCMP’s use of Clearview’s services, it commenced an extensive consultation on draft guidance on the use of facial recognition technology by police services across Canada in cooperation with its provincial and territorial counterparts. | OPCは、RCMPによるクリアビュー社のサービス利用に関する調査結果を発表すると同時に、州・準州のカウンターパートと協力して、カナダ全土の警察による顔認識技術の利用に関する指針案に関する広範な協議を開始しました。 |
In May 2022, the OPC, working jointly with its provincial and territorial counterparts, finalized and released its guidance on the use of FRT by police services across Canada. The guidance sets out the legal responsibilities of police agencies under the current legal framework with a view to ensuring any use of facial recognition complies with the law, minimizes privacy risks, and respects the fundamental human right to privacy. | 2022年5月、OPCは州・準州のカウンターパートと共同で、カナダ全土の警察によるFRTの使用に関するガイダンスを完成させ、発表しました。このガイダンスは、顔認証の利用が法律を遵守し、プライバシーリスクを最小化し、プライバシーに対する基本的人権を尊重することを目的として、現在の法的枠組みの下での警察機関の法的責任を定めています。 |
The OPC and other privacy guardians also called on legislators to develop a new legal framework that would define clearly and explicitly the circumstances in which police use of facial recognition may be acceptable. The framework, they agreed, should include a list of prohibited uses of FRT, strict necessity and proportionality requirements as well as explicit oversight and retention requirements. | OPCと他のプライバシー保護団体は、立法者に対し、警察が顔認識を使用することが許容される状況を明確かつ明白に定義する新しい法的枠組みを開発するよう求めました。その枠組みは、FRTの禁止された用途のリスト、厳格な必要性と比例性の要件、そして明確な監視と保存の要件を含むべきであるというのが、彼らの合意事項です。 |
Another important issue that emerged under this priority is the OPC’s work on genetic testing. In conjunction with its Alberta and B.C. counterparts, the OPC released guidance on direct-to-consumer genetic testing and privacy. It outlined key privacy risks associated with these tests and aimed to inform individuals of their rights. | この優先事項の下で浮上したもう一つの重要な問題は、遺伝子検査に関するOPCの活動です。OPCは、アルバータ州およびBC州のカウンターパートと共同で、消費者向けの遺伝子検査とプライバシーに関するガイダンスを発表しました。これは、これらの検査に関連する主要なプライバシーリスクを概説し、個人の権利について知らせることを目的としています。 |
The OPC also testified before the Standing Senate Committee on Human Rights in support of Bill S-201, an Act to Prohibit and Prevent Genetic Discrimination. It later released a policy statement on the collection, use and disclosure of genetic test results following the implementation of the federal Genetic Non-Discrimination Act. And when the constitutionality of the law was challenged before the Supreme Court of Canada, the OPC intervened to defend the position that individuals should not be compelled to disclose their genetic test results to an employer or insurance company or any other business. The OPC welcomed the Court’s decision to uphold the constitutionality of the Genetic Non-Discrimination Act. | また、OPCは、上院人権委員会において、法案S-201「遺伝的差別の禁止及び防止に関する法律」を支持する証言を行いました。その後、連邦遺伝的差別禁止法の施行に伴い、遺伝子検査結果の収集、利用、開示に関する方針声明を発表しました。そして、この法律の合憲性がカナダ最高裁判所で争われた際、OPCは、個人が雇用主や保険会社、その他の企業に遺伝子検査結果を開示することを強制されるべきではないという立場を守るために介入したのです。OPCは、「遺伝的無差別法」の合憲性を支持する裁判所の決定を歓迎しました。 |
Other OPC work: | その他のOPCの活動 |
・The COVID-19 pandemic raised numerous issues for the protection of personal information. As a result, the OPC engaged on a range of files, including initiatives related to COVID-19 infection tracking and tracing and border controls. Some of those specific initiatives include: | ・COVID-19の大流行により、個人情報の保護について多くの問題が提起されました。その結果、OPCはCOVID-19感染追跡や国境管理に関連するイニシアチブなど、様々なファイルに関与しました。その具体的な取り組みの一部を紹介します。 |
・・Working with the Government of Canada and its provincial counterparts to perform a review of the privacy implications of the COVID Alert exposure notification application. | ・・カナダ政府およびその州当局と協力し、COVIDアラート暴露通知アプリケーションのプライバシーへの影響についてレビューを行う。 |
・・Releasing a joint statement in conjunction with provincial and territorial counterparts about the use of vaccine passports. It called for any use of such credentials to be time limited and developed and implemented in compliance with applicable privacy principles such as necessity and proportionality. | ・・ワクチンパスポートの使用について、州・準州の関係者とともに共同声明を発表。この声明では、このようなクレデンシャルを使用する場合は時間を限定し、必要性や比例性など適用されるプライバシー原則を遵守して開発・実施するよう求めている。 |
・・Releasing a framework early on in the pandemic to assess privacy-impactful initiatives in response to COVID-19. The aim was to ensure greater flexibility to use personal information in an emergency while still respecting privacy as a fundamental right; and | ・・COVID-19に対応したプライバシーに影響を与えるイニシアチブを評価するために、パンデミックの早い段階でフレームワークをリリースしました。その目的は、基本的権利としてのプライバシーを尊重しつつ、緊急時に個人情報をより柔軟に利用できるようにすることであった。 |
・・Publishing guidance to help organizations subject to federal privacy laws understand their privacy-related obligations during the pandemic. In May 2020, the OPC and its provincial and territorial counterparts also issued a joint statement outlining key privacy principles to consider as contact tracing and similar digital applications were being developed. | ・・連邦プライバシー法の適用を受ける組織が、パンデミック時のプライバシー関連の義務を理解するためのガイダンスを発行すること。2020年5月、OPCとその州・準州のカウンターパートは、コンタクトトレースや同様のデジタルアプリケーションが開発される際に考慮すべき主要なプライバシー原則をまとめた共同声明も発表しています。 |
・The OPC participated in a Global Privacy Enforcement Network Privacy Sweep of health and wellness devices, as well as their associated applications and websites. The sweep, which looked at 21 devices including smart scales, blood pressure monitors and fitness trackers, raised a number of questions about the amount of data collected and how privacy practices are explained, among other things. | ・OPCは、グローバル・プライバシー・エンフォースメント・ネットワークによる健康機器とその関連アプリケーション、ウェブサイトに関するプライバシー監査に参加しました。スマート体重計、血圧計、フィットネストラッカーなど21の機器を対象としたこの調査では、収集されるデータ量やプライバシー保護に関する説明の仕方など、多くの疑問点が指摘されました。 |
Conclusion | まとめ |
The issues and goals of the strategic priority initiative set out some fairly encompassing categories of privacy concern, right from the outset in 2015, that have proven both suitable and adaptable as trends and events across the data protection landscape evolved. | 戦略的優先事項イニシアチブの課題と目標は、2015年の当初から、プライバシーに関する懸念事項をかなり包括的に分類しており、データ保護の状況全体の傾向や事象が進化するにつれ、適切かつ適応的であることが証明されています。 |
From intelligence oversight and border security, to online electioneering and the role of social media in democracy; from smart cities and machine learning, to public health surveillance and medical profiling, many privacy issues have emerged since we launched our priorities. | 情報監視や国境警備から、オンラインでの選挙活動や民主主義におけるソーシャルメディアの役割まで、スマートシティや機械学習から公衆衛生監視や医療プロファイリングまで、私たちが優先事項を開始して以来、多くのプライバシー問題が浮かび上がってきています。 |
And from these priorities came new questions that led to broader themes that now form the core of the OPC’s advisory, compliance and parliamentary work. These themes highlight a range of trends that have fuelled the appetite for personal information playing out across all organizations. | そして、これらの優先事項から新たな疑問が生まれ、それが現在OPCの諮問、遵守、議会活動の中核をなすより広範なテーマへとつながっています。これらのテーマは、あらゆる組織で繰り広げられている個人情報に対する欲求を加速させる様々な傾向を浮き彫りにしています。 |
Both the OPC’s economics of personal information and government surveillance work underscores how advanced the collection, analysis, sharing and leveraging of personal information have become. These practices are now axiomatic in both public-sector service delivery and private sector commercial offerings. This is just as evident in Canada as it is elsewhere around the world. | OPCの個人情報の経済学と政府の監視の仕事は、個人情報の収集、分析、共有、活用がいかに高度になったかを強調している。これらの慣行は、公共部門のサービス提供においても、民間部門の商業的な提供においても、今や当然のものとなっています。このことは、世界の他の地域と同様、カナダでも明らかです。 |
Similarly, the OPC’s research and compliance work on the protection of reputation and the sensitivities of the body as information reveal an entire ecosystem of businesses, governments and intermediaries that remain – even today – unclear on the ethics, legalities and future implications of many of the technologies they are deploying. | 同様に、レピュテーションの保護と情報としての身体の機密性に関するOPCの調査とコンプライアンス活動により、企業、政府、仲介者のエコシステム全体が、現在もなお、導入している多くのテクノロジーの倫理、合法性、将来の影響について不明確なままであることが明らかになりました。 |
The strategic priorities that helped guide the OPC’s work remain extremely relevant today. They have contributed significantly to the conclusion that effective privacy protection for Canadians requires the adoption of federal public and private sector privacy laws that are rights-based, interoperable and confer appropriate powers to the regulator to ensure compliance. | OPCの活動の指針となった戦略的優先事項は、今日でも極めて重要な意味をもっています。カナダ人のプライバシーを効果的に保護するには、権利に基づき、相互運用性があり、規制当局に適切な権限を与えて遵守を確保する、連邦政府と民間部門のプライバシー法の採用が必要であるという結論に大きく寄与しています。 |
« NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新 | Main | 英国 NCSC 組織体向けコネクテッド・デバイスの組織的利用 (2022.05.10) »
Comments