GDPR違反によりビジネスイベントで初の高額罰金が課される
こんにちは。展示会ウオッチャーの酒井です。
MWC主催者、生体認証IDチェックのデューデリジェンスを巡りGDPR罰金を科される
との興味深い記事がありましたのでご紹介します。
MWC バルセロナ2021が GDPR 違反により、主催者には 219,000 ドル (200,000 ユーロ) の罰金が課せられました。スペインのデータ保護当局(DPA)は、英国に本拠を置くGSMAが運営するモバイル業界の大手ショーに罰金を科したのです。これは、ビジネスイベントに影響を与える初の高額罰金となるとのこと。
GDPRに話を戻すと、同規則は、人々のデータを処理することが個人の権利と自由に対して高いリスクを伴う状況では、DPIA(データ保護影響評価)を積極的に実施することを求めている。一方、顔認識技術は、バイオメトリクス・データの処理を伴う。バイオメトリクス・データは、個人を特定するために使用される場合、GDPRの下では特殊カテゴリー・データに分類される。つまり、本人確認のためのバイオメトリクスの使用は、必然的に、事前評価が必要なこの種の高リスクカテゴリーに分類される。
このアセスメントでは、提案された処理の必要性と比例性を検討するとともに、リスクを検証し、特定されたリスクに対処するための想定される措置を詳述する必要があります。GDPRは、データ管理者がリスクのある処理について強固で厳格な事前評価を行うことに重点を置いている。したがって、AEPDがGSMAの第35条違反を認定した事実は、GSMAがこの点で必要なデューデリジェンスを行ったことを証明できなかったことを示している。
AEPDは、BREEZZが「オンライン登録およびMWCバルセロナの会場へのアクセス目的で、本人確認目的で提供された写真から得られたバイオメトリックデータ」を使用することへの同意を求める同意情報をBREEZZに記載した。
GDPRは、同意が有効な法的根拠となるための明確なハードルを設定しているため、これは重要である。つまり、同意を強制することはできない。(顔のバイオメトリクスのようなセンシティブなデータを処理するための同意は、法的に処理されるための明示的な同意というさらに高いハードルがある)。
MWC2021のパネルに招待されていたデジタル・ウェルネスの講演者であるアナスタシア・デディユキナ博士が、GSMAのデータ処理に対してAEPDに苦情を申し立てたのは、機密性の高い生体データのアップロードに関する会議参加者の自由な選択の欠如が原因だった。数年後、GSMAが制裁を受けることになったのは、彼女の苦情がきっかけだった。
彼女はLinkedInの投稿で、MWCの参加者に身分証明書をアップロードするようGSMAが不釣り合いな要求をしていると感じたことについて、苦情を公表した。「GSMAのウェブサイトには、ID/パスポートを持参して直接確認することもできると書かれていた。しかし、主催者は、私がパスポートの詳細をアップロードしない限り、ライブ・イベントに参加することはできず、バーチャルで参加する必要があると主張した。」
会場への入場には顔認証を行う必要があり、その顔認証のための事前登録として、パスポート等の書類をアップロードしなければならないというフローだったようですね。
顔認証データと、個人情報を紐づけ、そしてそれをユーザーが選択できないという点が、問題となったようです。
顔認証による入場処理という方法にブレーキが掛かるかもしれません。