情報コミッショナー事務局はパンデミックの間、主要なデータ保護問題に関して政府に対して行動を起こしていないと、20人の国会議員グループが述べた。
ICO / ゲッティイメージズ / WIRED
英国の個人情報保護当局は、パンデミック中に政府が基本的なプライバシー権を無視するのを阻止するのに十分な対策を講じていないと、野党議員20人からなる超党派グループが述べた。
この主張は、英国情報コミッショナー事務局(ICO)のエリザベス・デナム局長に宛てた書簡(PDF)の中で述べられており、議員らは、欧州の一般データ保護規則(GDPR)に基づくデータ保護法のより積極的な施行が必要だと述べている。
「国会議員と国民は規制当局に頼れる必要がある」と議員たちは書簡の中で述べている。さらに彼らは、パンデミックの間、検査追跡制度の法的欠陥や接触追跡アプリをめぐる広範な問題など、データ保護に関する問題が数多く発生したと指摘し、政府の失策に対してICOはより強力な措置を講じるべきだったと主張している。
「政府はあらゆる場面であなたの役割を強調し、あなたを政府の業務の詳細を注視するアドバイザーとして引用し、自らの行動を正当化するために利用してきました」と書簡には記されている。この文書には労働党、自由民主党、スコットランド国民党、緑の党の議員が署名している。保守党議員は含まれていない。
この書簡は、ICOが国民の厳しい監視に直面している時期に届いた。規制当局による最近の監査では、ICOの業務の一部は「適切」としか評価されておらず、情報公開請求により、デナム氏が過去2ヶ月間、個人的な理由で母国カナダでリモートワークを行っていたことが明らかになった。デナム氏が現在拠点を置いているカナダ西海岸は英国より8時間遅れており、デナム氏とICOの他の職員の間には大きな時差が生じている。
「国民は、実力のあるデータ規制当局を必要としています。ICOは手をこまねいているのではなく、その権限を行使し、何を変える必要があるかを評価し、それを強制執行し、政府が国民のデータを安全かつ合法的に利用していることを保証しなければなりません」と、自由民主党のデイジー・クーパー議員は書簡に添えられた声明で述べた。書簡には、労働党のクライヴ・ルイス議員とジョン・マクドネル議員、緑の党のキャロライン・ルーカス議員、スコットランド国民党のトミー・シェパード議員も同席している。
「プライバシーは信頼の根幹です」とルイス氏は声明で述べた。「ICOは調査を行い、政府に問題の解決を迫り、信頼の崩壊を防がなければなりません。」
ICOは、英国におけるデータの利用と処理方法において極めて重要な役割を果たしています。ICOは、データ保護問題に加え、情報公開法およびプライバシーおよび電子通信規則に基づく人々の権利を規制する責任を負っており、マーケティング目的の不適切な通話、テキストメッセージ、電子メールの使用を規制しています。
ICOは、データ保護規則違反やマーケティングコミュニケーションの濫用が発覚した組織に罰金を科す権限を有しています。GDPRは巨額の罰金を科す可能性を秘めています。しかし、欧州の多くのデータ保護規制当局と同様に、ICOは2018年5月のGDPR施行以来、GDPRに基づく罰金をほとんど科していません。
「私たちの規制上の義務には、データ管理者の業務に対する助言と監督が含まれます」とICOの広報担当者は述べています。ICOは、議員らに適時回答する予定だとしています。「パンデミックの間、私たちのアプローチは、英国政府、NHS、地方議会、そして民間組織による公衆衛生危機への対応のための様々な取り組みがデータ保護に及ぼす影響について助言を提供することでした。」
ICOは、政府やその他の機関がパンデミックに迅速に対応しなければならなかったことを認識していると述べています。「私たちは、データ保護義務について説明し、ガイダンスと専門知識を迅速に提供してきました」と広報担当者は述べています。「これらの作業の多くは公開しており、透明性を確保しています。また、必要に応じて、人々の情報権利が確実に守られるよう、制度の監査と調査を行っていきます。」
「我々は引き続き人々の情報権を擁護し、我々の助言が守られない場合や、人々の保護を危険にさらす深刻で組織的、あるいは過失のある行為が見つかった場合には行動します。」
プライバシー保護団体Open Rights Groupが調整したこの書簡は、ICOにとって困難な時期に発表された。パンデミックの間、ICOは新規および進行中のデータ保護案件への取り組みを一時停止した。FacebookとGoogleがウェブ上でユーザーを追跡し、情報を収集する広告技術に関する調査も一時停止されたが、これは「いかなる業界にも過度の圧力をかけない」ためでもある。
ICOへの批判者は、ICOが執行権限を行使すべきだと主張している。さもなければ、組織はデータ保護に関して油断してしまうだろう。「政府は、結果が伴うと感じない限り、法律を破り、リスクを負うだけだ」と、オープン・ライツ・グループのエグゼクティブ・ディレクター、ジム・キロック氏は述べている。「データ保護当局が怠慢で、問題を国民の注意を引かなければ、政府は何の損失も感じず、行動を改善することもないだろう。」
議員らは書簡の中で、パンデミックによって生じた個人データの問題を指摘している。義務的なデータリスク評価(DPIA)が実施された後も検査・追跡制度が開始されず、政府が後に違法性を認めた経緯を指摘している。議員らはまた、接触者追跡アプリに関する懸念も指摘した。「人権委員会が指摘したように、十分な安全対策を講じずに、必要以上に多くのデータを集中管理・保管する接触追跡アプリの開発を選択した」と書簡は述べている。
ICOはこれらのプロセス全体に関与し、政府に助言を提供してきました。「政府には、国民に対して透明性を確保する必要があると伝えてきました」と、デンハム氏は5月の人権委員会の証言聴取会で述べました。彼女は、ICOは「批判的な友人」となり得ると付け加えました。
しかし、ICOは検査追跡システムへの信頼を確保するために行動を起こすべきだと、書簡は述べている。「議会と国民が、現在の新型コロナウイルス感染症のパンデミック下においても、そしてその後においても、自分たちのデータが安全かつ合法的に扱われていると確信するためには、ICOの行動が緊急に必要だ」と議員らは述べている。
パンデミックの間、ICOはデータ保護の問題を抱える企業に役立つ情報を公開してきました。例えば、接触追跡のために人々のデータを適切に収集する方法に関する企業向けアドバイス、機密性の高い医療データへのアクセスに関する情報、在宅勤務中のデータセキュリティ確保に関するアドバイスなどを提供しています。
「この期間を通じてどのように規制していくかについて明確な指針を公表し、この特殊な状況において法律が認める柔軟性を活用することを約束しました」と、デナム氏はICOの2019/2020年度年次報告書(PDF)の中で述べている。「また、新型コロナウイルスの影響を軽減するための革新的なアプローチを検討している政府や保健当局と積極的に連携してきました。」
コロナウイルスによるデータ保護の問題に加え、欧州全体のデータ保護規制当局がGDPRの要件を執行できるかどうかについても、より広範な疑問が生じています。インターネット権利団体Access Nowは、GDPR施行2周年を記念して5月に報告書を発表し、GDPRの執行は全体的に「弱い」と指摘しました。
報告書によると、2018年5月から2020年3月までに、GDPRに基づく罰金および制裁が231件科され、わずか12ヶ月間で14万4000件以上の苦情が寄せられた。GDPR関連の案件は複雑で厄介な場合があり、解決には長い時間を要する可能性がある。Twitterに対するGDPR措置は、規制当局がどのように対処すべきかを決定できないため、現在停滞している。
ICOはGDPR違反の罰金を1件科している。ロンドンを拠点とする薬局Doorstep Dispensareeは2019年12月に27万5000ポンドの罰金を科された。ICOは他に2件の罰金を科す意向を発表したが、まだ実行には至っていない。
ICOは、2018年のデータ漏洩に対し、ブリティッシュ・エアウェイズに1億8000万ポンド、マリオットホテルに9900万ポンドの罰金を科す予定でした。どちらの罰金も2019年7月に発表されましたが、未だ支払われていません。罰金を科された企業はICOの決定に異議を唱えており、交渉は継続中です。ブリティッシュ・エアウェイズは今月発表した決算報告書で、GDPR違反の罰金として2000万ポンドを計上したと発表しました。ブリティッシュ・エアウェイズはパンデミックによって大きな経済的打撃を受けており、ICOは「規制プロセスは進行中」と述べています。
Access NowのGDPRレポートによると、欧州の多くのデータ保護規制当局は、増大するデータ問題に対処するための十分なリソースが確保されていないと感じているという。ICOもおそらくこの範疇に入るだろう。ICOは今後1年間の業務全体に対し、6100万ポンドの予算を計上している。これには人員配置や、法的に複雑で費用のかかることが多いICOの業務全般が含まれる。
「ICOのデータ保護と情報公開(FOI)の執行が不十分であること、そして内部のプライバシー問題に対する監視が不十分であることは、資金面だけの問題ではありません。なぜなら、同様に厳しい予算を抱える他の政府機関がその不足を補っているからです」と、テクノロジー政策の専門家でプライバシー擁護者のヘザー・バーンズ氏は述べています。バーンズ氏は、競争・市場庁によるアドテックに関する報告書と、行動洞察チームによるより明確なプライバシーポリシー作成ガイドを引用しています。
ICOと政府が対処しなければならないもう一つの差し迫った問題があります。それは、ブレグジットに伴うデータ共有です。政府は、EUからの十分性認定、つまりデータ移転が安全であると認められる認定を求めています。しかし、この認定を得るのは容易ではなく、ブレグジット合意のための時間は刻々と迫っています。
「存在し、説明責任を果たし、職務を遂行するデータ保護規制機関は、適切性判定の達成、そして今後策定される国家データ戦略の成功にとって中心的な役割を果たすでしょう」とバーンズ氏は述べる。彼女は、議会が次回の議会再開時にICOの役割と有効性を精査すべきだと考えている。「国内および国際的な技術政策戦略が、単一障害点によって危険にさらされているという事実は、全く信じ難いことです。」
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
