ゲッティイメージズ / NurPhoto / 寄稿者
イングランド政府は、新型コロナウイルスからの復興に向けた取り組みにおいて極めて重要な要素が、人々のデータがどのように悪用されるかを十分に考慮せずに数ヶ月間運用されてきたことを認めた。5月28日に稼働を開始した検査追跡システムについては、データの取り扱いに関する義務的なリスク評価が未完了となっている。
政府の譲歩は、プライバシーと言論の自由を訴える団体Open Rights Group(ORG)からの法的措置の脅迫を受けてのものだ。ORGは2週間前、保健社会福祉省に対し、検査追跡システム全体に関するデータ保護影響評価(DPIA)の公表を求める法的書簡を送付した。
政府は、検査・追跡システム開始時のデータ利用に関するリスク評価を完了できなかったことを認めた。さらに、そのリスク評価は「最終決定」されているものの、未だ完了していない。
「彼らは今や、検査追跡システムが違法に運用されていたことを認めたのです」と、ORGの代理で活動するデータ権利機関AWOの法務ディレクター、ラヴィ・ナイク氏は語る。「適切な評価を行わなかったことで、これまで収集されてきた、そして今後も収集され続けるすべてのデータが汚染されてしまったのです。」
「システムを導入する前、あるいは少なくとも最初に問い合わせた際にDPIAを実施するのではなく、法的措置の脅しによってこの自白を強要した点が懸念される」とナイク氏は付け加えた。
DPIAは、個人情報の取り扱いに関するリスク評価です。英国データ保護法および欧州連合(EU)のGDPRに基づく法的要件であり、個人のデータが収集者によってどのように悪用または乱用される可能性があるかを検討することを目的としています。これには、ハッキングの脅威から、従業員がアクセスすべきでない情報にアクセスする可能性まで、あらゆるリスクが含まれます。DPIAは、データ収集を開始する前に完了する必要があります。
ORGの法的措置の脅しに対し、政府法務部はマット・ハンコック保健相に代わって文書で、政府が「開始前に」検査・追跡のためのDPIAを作成しておくのが「望ましい」ことだったと述べた。
「プログラムに関わるすべての関係者の最優先事項は、人命救助と公衆衛生の保護のためにプログラムが効果的に機能することを確保することです」と政府の法務チームは述べています。さらに、データ保護を真剣に受け止め、テスト・アンド・トレースが収集するデータに関するプライバシー通知を公開していると付け加えています。「プログラムのあらゆる側面においてDPIAが存在しないことは、個人データ保護がプログラムの設計と実施において重要な部分を占めていることを保証できなかったことと同義であってはなりません。」
「データ保護協定(DPIA)が存在しない、あるいはNHSの検査・追跡サービスが違法であると主張するのは全くの誤りです」と保健省は、ORGが政府の法的対応を発表した後の声明で述べた。保健省は、検査・追跡サービスの一部について「個別のデータ保護協定(DPIA)」が実施されており、さらに策定中であると述べた。「NHSの検査・追跡サービスは、最高水準の倫理基準とデータガバナンス基準の遵守に尽力しており、データが違法に使用されているという証拠はありません」と広報担当者は述べた。
検査・追跡システムは複雑で、多くの民間企業が関与しています。Serco UK、SITEL Group、Amazon Web Servicesなど、これらの企業が共同でデータストレージを提供し、接触者追跡者を雇用しています。政府の法務チームは、「これらのすべての側面を考慮した、どのような形であれ影響評価を実施すべきだった」と付け加えました。
テスト・アンド・トレースが収集するデータは膨大です。このシステムは、新型コロナウイルスの検査で陽性反応を示した人に、ここ数週間で誰と近かったかを明らかにするよう求めることで機能します。その後、これらの人々に連絡が入り、COVID-19に感染し、接触者に感染させる可能性に備えて自主隔離を求めます。
陽性反応が出た人は、生年月日、性別、NHS番号、メールアドレス、電話番号、新型コロナウイルス感染症の症状、そして接触者の連絡先を提出するよう求められています。最新の統計によると、5月28日から7月8日までの間に、1,956,198人が新型コロナウイルス感染症の検査を受け、34,990人の陽性反応者の情報が接触者追跡調査に渡されました。
接触者追跡担当者による連絡の結果、陽性反応を示した人と接触したことで新型コロナウイルスに感染した可能性のある人がさらに185,401人特定されました。接触者追跡チームは、特定された人のうち84%(155,889人)と連絡を取ることができました。
その結果、コロナウイルスの蔓延防止に不可欠な情報源が大量に生み出されましたが、同時にリスクも伴います。DPIAの目的は、こうしたリスクを軽減することです。システムを運用する者は、何が問題になる可能性があるか、そしてそれを阻止するために何ができるかを考える必要があります。
テスト・アンド・トレース(TTS)は任意の制度であり、パブやレストランで連絡先を渡す人々も含まれるため、人々は自分の情報が保護されていると信頼する必要があります。「収集されたデータがどう扱われるのか、どのように使用され安全に保管されるのか、どのような監督が行われ、どのようにルールが施行されるのかを明確に理解することから始まります」と、医療データの利用方法に焦点を当てた組織「Understanding Patient Data」の責任者であるナタリー・バナー氏は以前述べています。また、リスクとその管理方法についてもオープンにしておくことも重要です。
検査・追跡システム(TTS)では既にデータ保護の問題が浮上している。タイムズ紙は、接触者追跡担当者の一部がNHS(国民保健サービス)の電話番号などの患者の個人情報をWhatsAppやFacebookのグループで共有していると報じている。また、連絡先情報が女性への嫌がらせに利用されているという報告もある。
ORGのエグゼクティブディレクター、ジム・キロック氏は、この制度が適切に評価されるために十分な措置が講じられているかどうかが明確でないとして、同団体が政府に対し法的措置を取ると脅迫したと述べています。「彼らは自らが負っているリスクを理解しておらず、データ保護リスクの軽減の重要性も理解していないとしか言いようがありません」とキロック氏は言います。「これは、情報コミッショナー事務局(ICO)が『批判的な友人』として行動するのではなく、規制措置を講じる必要があることを示しています。」
ORGへの政府の回答によると、保健省は英国のデータ保護規制当局であるICOと「詳細かつ厳密な建設的な協議」を行ってきた。ICOは以前、受領したDPIAについて保健省と協力関係にあると述べていた。
ナイク氏は、検査・追跡に関する最終的なDPIAが完成したら公表されるべきだと述べた。政府の法的文書には、いつ完成するかは明記されていなかった。「目的の完全なリスト、第三者の関与の明確化、データ処理と保管期間の正当性、個人が権利を主張するための明確なメカニズム、そしてあらゆるリスクに対する軽減策が盛り込まれることを期待します」とナイク氏は述べた。「これらがこれまで検討されていないという事実は、非常に懸念すべきことです。」
2020年7月20日17:15 BST更新:このストーリーは保健省からの追加コメントにより更新されました。
マット・バージェスはWIREDの副デジタル編集長です。@mattburgess1からツイートしています。
この記事はWIRED UKで最初に公開されました。
