ゲッティイメージズ / DANIEL LEAL-OLIVAS / 寄稿者
イングランドの検査追跡制度は、5月28日に急遽開始されて以来、36日で15万人以上の個人情報が取り扱われている。しかし、政府は氏名、連絡先、健康状態など、個人情報がどのように保護されているかについて、リスク評価を実施していない。7月8日までにこれらの情報を提供しなければ、訴訟に発展することになる。
プライバシーと言論の自由を擁護する団体 Open Rights Group (ORG) の代理人を務める弁護士らは、マット・ハンコック保健相と保健社会福祉省 (DHSC) に対し、検査・追跡システム全体に関するデータ保護影響評価 (DPIA) を適切に実施しなかったことで 2018 年データ保護法と GDPR の要件に違反したとする訴訟前法的書簡を送付した。
DPIAは、個人のデータ、プライバシー、そして人権の保護を確実にするために設計されたリスク評価の一形態であり、法的にも義務付けられています。DPIAにより、個人情報を処理する組織は、そのデータがどのように利用されているか、収集の必要性の有無、そしてどのような問題が発生する可能性があるかを検証することができます。これには、データ漏洩のリスク、情報の悪用の可能性、そして誰が情報にアクセスできるのかといったことが含まれます。
テスト・アンド・トレースは、新型コロナウイルス感染症の検査で陽性反応を示した人の4分の1にも届かなかったこと、当初数千人の職員を雇用していたにもかかわらず職員研修が不足していたこと、そしてNHSが開発した接触追跡アプリが機能不全に陥ったことなど、批判を受けています。テスト・アンド・トレースと同様に、ワイト島でのアプリの試験運用開始前には、DPIA(公共政策に関する包括的行動計画)は存在していませんでした。
「医療上の緊急事態が発生したからといって、基本的なデータ保護対策を忘れてはなりません」と、ORGのエグゼクティブディレクター、ジム・キロック氏は語る。「そうしないと、非常に危険なデータ処理、未知のリスク、潜在的なデータ漏洩、情報の悪用、そしてプログラムに対する国民の信頼の失墜を招くことになります。」
「もし人々がこれらのプログラムを信頼できないと考え、参加すべきではないと考えるようになれば、深刻な公衆衛生上の問題が生じます」とキロック氏は付け加える。「政府がデータ保護影響評価を実施しないのは、無謀だと思います」
イングランドにおける検査・追跡システムの体制は複雑で、人々の機密性の高い個人情報の引き渡しが必要であり、多くの民間企業が関与しています。人々は生年月日、性別、NHS番号、メールアドレス、電話番号、新型コロナウイルス感染症の症状、そして身近な人の連絡先情報を引き渡す必要があります。NHSビジネスサービス局は、NHSプロフェッショナルズ、Serco UK、SITELグループ、Amazon Web Servicesと締結した契約を管理しています。
オープン・ライツ・グループとその弁護士であるAWOは、テスト・アンド・トレース開始から数日後の6月2日から、DPIAの詳細を要求してきました。彼らは、回答の遅延、テスト・アンド・トレースの設置が急ごしらえだったこと、そして回答を受け取った際に明確さと透明性が欠如していることを訴えています。
7月1日にハンコック氏と保健福祉省(DHSC)およびイングランド公衆衛生局(Public Health England)の職員に送付された訴状は、個人情報の処理が2018年データ保護法およびGDPR第35条に違反していると主張している。訴状では、検査追跡システム全体のうち「ごく一部」についてのみプライバシーとデータ保護に関する配慮がなされており、全面的な審査が完了しない場合は7月8日以降に司法審査を申し立てるとしている。
保健省保健局の広報担当者は、同省に対する進行中または潜在的な法的措置についてコメントできないと述べています。法的文書によると、保健省の秘書官がORGに電子メールを送信し、「本プログラムの検査と接触者追跡諮問サービス(CTAS)の両方の側面について、DPIA(データプライバシー保護協定)とそれに伴うプライバシー通知が実施されており、これらは公衆衛生上の追跡機能に関する既存の評価を補完するものです」と伝えたとのことです。
その後のメッセージでは、接触者追跡諮問サービス(CTAS)は、検査追跡局に雇用されている数千人の職員が、同サービスで特定された人物の詳細情報を入力するために使用するウェブサイトであると述べています。政府機関からOWAとORGに送られたメールには、GDPRの下では「単一の統一されたDPIAではなく、複数のDPIA」が適切だと考えていると書かれています。検査追跡局が立ち上げられた日に、ポリティコは検査追跡局のDPIAが完成しつつあり、NHSイングランドが「まもなく公表する予定」だと報じました。
新たな法的文書は、DPIAは検査追跡プログラム全体、つまり特定のプログラムの一部分だけではなく実施されるべきだったと述べている。また、省庁はプロセス全体の評価を行い、特定されたリスクに対処するべきだとしている。「データ保護体制は、コンプライアンスに関するチェックリストの作業ではありません。基本的人権に対するリスクを特定することです」と、AWOの弁護士兼ディレクターで、今回の苦情申し立てを主導しているラヴィ・ナイク氏は述べている。「このプロセスを通じて、発生するリスクを理解し、軽減することができます。」
ナイク氏はさらに、検査追跡システムは当初、人々のデータを20年間保管する予定だったが、保健省に質問が寄せられた後、この方針を撤回し、保管期間を8年に短縮したと付け加えた。「システムについて質問した最初の手紙から3週間が経ちました。それに対する返答として、保管期間が20年から8年に変更されただけでした」とナイク氏は語る。「何の説明もありませんでした。」
英国のデータ保護規制当局である情報コミッショナー事務局(ICO)は、検査・追跡システムの一部に関するDPIA(データ保護法)を見直し、リスクを注視していると発表した。広報担当者は、「ICOは、健康上の緊急事態において検査・追跡サービスを展開することの緊急性を認識していますが、国民が自身のデータや友人、家族のデータを安心して提供できるようにするためには、個人データに対するリスクが適切かつ透明性を持って軽減されるようにするための取り組みも必要です」と述べている。
ICOはさらに、検査・追跡システムを主導する人々と「連絡を取り合っている」ため、「彼らの処理についてさらに詳しく知り、検査・追跡プログラムとそのエコシステムのデータ保護への影響を理解し」、法律が遵守されていることを確認していると述べた。
しかし、パンデミック中に文書を公表しなかったとして政府が法的措置の脅迫を受けたのは今回が初めてではない。6月初旬、オープンデモクラシーと法律事務所フォックスグローブは、NHSとAmazon、Microsoft、Google、Faculty AI、Palantirとの契約書を公表しなかったとして、政府を提訴する寸前だった。情報公開法に基づくこれらの契約書の開示請求は、商業上の守秘義務を理由に拒否されたが、法的措置の脅迫を受けて、文書は公表された。
「政府には、この件を正すためのあらゆる機会を与えたいのです」とキロック氏は付け加えた。「このプログラムを潰そうとしているわけではありません。ただ、リスクを整理してもらいたいのです。」
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
この記事はWIRED UKで最初に公開されました。
