政府はパブ、レストラン、その他の事業者に対し、NHSの検査・追跡システムのために顧客情報を収集するよう要請した。多くの問題が発生する可能性がある。
ゲッティイメージズ/WIRED
パブが戻ってきました!でも、まだ戻ってきていません。今日午前6時から、イングランドの何千ものパブ、バー、レストランが、3月のロックダウンで閉店を余儀なくされて以来初めて、営業を再開できます。しかし、外出する予定があるなら、元の状態に戻ることを期待しないでください。
パブは、再び客にサービスを提供できるよう、一連の新たな規則や対策を導入しました。最も顕著な変更点としては、ソーシャルディスタンス確保のため入店人数の制限、バーサービスではなくテーブルサービス、プラスチック製の仕切りの設置、そして入店時間の分散などが挙げられます。これらの対策はパブごとに異なり、予約のみを受け付けるパブもあれば、先着順の列入場システムを導入するパブもあります。
こうした変化の根底にあるのは、システム導入に時間と費用を費やさなければならない事業者への追加負担です。しかし、パブに対して政府が要請しているある要請は、顧客のプライバシーを危険にさらし、データ量の多いパブ経営者にとって煩雑な事務手続きを強いるものです。NHSの検査・追跡システム(TTS)に利用するため、パブは顧客情報を記録するよう求められています。このシステムは、感染拡大の際に個人を特定するために活用される可能性があります。
アイデアはシンプルだが、実行は困難だ。政府は、パブ、レストラン、カフェ、そしてホテル、美術館、映画館、動物園、美容院が再開した際には、来店したすべての人の情報を収集する必要があるとしている。
これには、氏名、連絡先、訪問日、到着時刻と出発時刻、そして顧客が1人のスタッフとのみやり取りする企業の場合が含まれます。グループでは、全員の連絡先ではなく、1つの電話番号のみを提供することもできます。しかし、これらのデータを組み合わせることで、個人が誰と、どこで、どのくらいの期間やり取りしたかを把握することができます。データは21日間保存され、必要に応じてNHSに提供される必要があります。
この制度は任意であり、企業も顧客もこの情報を収集または提供することが法律で義務付けられているわけではありません。しかし、問題が発生する可能性は十分にあります。データ保護規制当局である情報コミッショナー事務局は、企業がどのように情報を収集すべきかについていくつかのガイダンスを発行していますが、一般的なアドバイスは比較的少ないです。
「私の経験から言うと、多くの人が、十分な対策を講じないと不安で、過剰に解釈し、過剰に収集してしまうのではないかと思う」と、データ保護コンサルタント会社プロテクチュアの個人権利・倫理担当責任者、ロウェナ・フィールディング氏は言う。
パブは極めてシンプルにすべきです。収集する情報は、追跡調査を支援するためにのみ収集されるべきであり、他の目的に使用すべきではないとフィールディング氏は言います。もし他の目的に使用した場合、GDPRに抵触する可能性があります。データはマーケティングデータベースに追加されるべきではなく、データ提供に対するインセンティブは存在すべきではなく、顧客をロイヤルティプログラムに登録させるべきではありません。追跡調査を他の目的で情報を収集する手段として利用することは、危険信号です。
しかし、この制度は義務ではないため、人々は必然的に偽名を使ったり、パブなどの企業に連絡先を提供することを拒否したりするでしょう。「正確な携帯電話番号さえ伝えれば、自分をエレノア・ルーズベルトと名乗ることもできます」とフィールディング氏は言います。「NHSの追跡調査担当者が電話をかけてきたら、本名、居住地、誰と話したかなど、すべてを伝えることができます。NHSの追跡調査担当者に情報を提供する方がはるかに安全だからです。」
それでも、電話番号を他人に渡すことにはリスクが伴います。「携帯電話番号は、あなたにとって重要な識別子です」とフィールディング氏は言います。「電話番号があれば、ソーシャルメディアでその人のアカウントを検索できます。その情報を広告のマイクロターゲティングツールにアップロードすることも可能です。さらに、ストーカー行為、詐欺、なりすまし、スパムメール送信など、嫌がらせ行為にも利用される可能性があります。」
こうしたリスクは仮説ではありません。企業が顧客情報を収集する同様のシステムを持つニュージーランドでは、サブウェイの客が個人情報を渡した後に嫌がらせを受けました。ジェスという名の客は、接客した男性からメール、テキストメッセージ、FacebookやInstagramでリクエストを受け取ったと報じられています。「本当に気持ち悪くて、本当に不快な思いをしました」と彼女は言います。「彼は私に連絡してきました。そんなことを頼んだわけではありませんし、そんなことは望んでいません」
パブの営業再開が許可されたにもかかわらず、パンデミックの脅威は依然として現実のものとなっています。イングランドでは、レスターが地域封鎖措置に踏み切りました。このような措置に直面する最後の地域となる可能性は低いでしょう。しかし、経済的な影響を懸念して、一部のパブは営業再開を見送っています。
パブやレストランは、コロナウイルス感染リスクが高いため、イングランドでは営業再開が遅れている業種の一つです。そのため、客の追跡を支援するための追加措置が導入されています。
人々はパブやレストランで長時間過ごし、周囲の人々と密接な接触を持つため、大声で叫ぶことが日常的な騒がしい環境もウイルスの拡散を助長する可能性があります。査読前の科学研究論文では、娯楽施設のリスクが示されています。日本で発生したあるスーパースプレッディング事例では、小規模なバーとそこで演奏していたミュージシャンから106人の新型コロナウイルス感染者が発生したクラスターが発生しました。
「バーでの主な感染者73人のうち、客39人、従業員20人、ミュージシャン14人が感染した」と研究者らは指摘し、さらに33人が、バーにいた人が接触した他の人にコロナウイルスを感染させたことで感染したと付け加えた。「したがって、バー、ナイトクラブ、レストランといったリスクの高い場所での社会的接触を極端に減らすことに重点を置くべきである」と論文の著者らは付け加えている。
イングランドのパブは、個人情報の収集に様々なアプローチをとっている。国内最大手のチェーン店JDウェザースプーンは、顧客は来店するたびに簡単な用紙に記入するよう求められるとしている。用紙には氏名、電話番号、到着時間と出発時間を記入し、帰る際に箱に入れて返却するよう求められる。トビー・カーベリー、ハーベスター、オニールズ、オール・バー・ワンなどのブランドを所有するミッチェルズ&バトラーズグループは、来店するグループ客のうち1名に、電話番号とメールアドレス、到着時間、日付、店名の提供を求めるとしている。広報担当者は「自宅の住所は聞きません」と述べている。
政府は個人にも企業にも義務付けていないため、システム全体がどれほど効果的かは不透明だ。「訪問者が連絡先情報の提供を法的に義務付けられていない場合、あるいは実際の連絡先情報さえ提供されていない場合、当然NHSの追跡調査の取り組みが損なわれる可能性があります」と、法律事務所フィールドフィッシャーのプライバシー・セキュリティ・情報グループ責任者、ヘイゼル・グラント氏は述べている。「しかし、英国政府がそこまで踏み込むつもりがないのは明らかです。企業と訪問者双方によるこれらの『自主的な』措置がどれほど効果的かは、まだ分かりません。」
しかし、多くのパブやレストランにとって、顧客情報の収集は目新しいものではありません。「パブ、レストラン、そしてホスピタリティ業界全般のような小規模事業者が、データ収集に様々な媒体を利用するのは珍しいことではありません」と、国際法律事務所テイラー・ウェッシングのデータプラクティス責任者、ヴィノド・バンゲ氏は述べています。「データ収集、そして多くの場合、データ管理にもシステムやアプリを使用する事業者もあれば、昔ながらの予約記録に頼っている事業者もあります。」
バンジ氏は、パブやその他の事業者にとって、ウェザースプーンズのようなローテクな紙媒体のアプローチを採用するにせよ、アプリを使ってデータ収集するにせよ、リスクは存在すると付け加えている。パブがこの種の情報を収集するための政府のガイドラインは、スタートアップ企業にも受け入れられ、事業者がこうした情報を収集するためのツールを開発している。英国最大の「ナイトライフアプリ」を自称するDUSKは、来店時にサインインするだけで連絡先情報を入力できるシステムを導入した。
しかし、新しいテクノロジーを迅速に導入する企業は、ローテクなアプローチよりも多くのリスクを伴う可能性があります。接触追跡のための情報収集に関する政府のガイダンスは、まだ数週間しか公表されておらず、新しいテクノロジーのデータ保護の問題を検討する時間が十分にありません。「システムベースのデータ収集は、より多くのデータを収集でき、デジタル化によってそのデータのより広範な利用が可能になるため、より多くのリスクを伴うでしょう」とバンジ氏は述べています。
パブを利用する人は、施設に提供する情報に気を配るべきです。NHS Test and Trace(NHS検査追跡システム)が必要に応じて対応できるよう、将来的に連絡が取れるよう十分な情報を提供することは適切です。パブは、顧客に連絡先の提供を法的義務としたり、提供を強要したりすべきではありません。パブがCCTV(防犯カメラ)を設置している場合は、顧客の権利とカメラの目的を知らせる告知を掲示すべきです。また、顧客向けにWi-Fiネットワークを提供している場合でも、自動的にマーケティングメールの登録につながるようなことは避けるべきです。
情報がどのように扱われているのか不安な場合は、パブの人に尋ねてみましょう。「情報はどのように保管されるのか、どうするのか、どのように削除するのかなど、質問してみてください」とフィールディング氏は言います。「もしそれらの質問に答えてもらえなかったり、答えられなかったりするなら、どこか別の場所で飲んだ方がいいかもしれません。」
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
この記事はWIRED UKで最初に公開されました。
マット・バージェスはWIREDのシニアライターであり、欧州における情報セキュリティ、プライバシー、データ規制を専門としています。シェフィールド大学でジャーナリズムの学位を取得し、現在はロンドン在住です。ご意見・ご感想は[email protected]までお寄せください。…続きを読む
