コンテンツにスキップ

写真イラスト:セキュリティ技術;画像

カジノサイト

プライバシーとの提携

ミーガン・ゲイツ著
2020 年 6 月 1 日

印刷問題:2020 年 6 月

L多くの企業と同様、ルーマニアに拠点を置く Uttis Industries は、セキュリティを強化するために施設にビデオ監視システムを導入することを決定しました。 2016 年にはカメラが設置され、映像を記録する方法が確立されました。

しかし、所有者は重要なステップを忘れていました。それは、従業員に職場で録音されていることを透明性のある方法で通知するということでした。 Uttis はまた、このシステムを使用してスタッフ メンバーの名前と個人番号コードを取得し、後にトレーニング レポートに記載しました。

Aルーマニアの国家個人データ処理監督当局に提出され、欧州連合の一般データ保護規則 (GDPR) の条件に違反したとしてウッティスに約 2,500 ユーロの罰金が科せられました。

このような罰金は、セキュリティ専門家にとって、特にビデオ監視において、新技術の採用または実装の際にプライバシー担当者と連携することがいかに重要になっているかを示していると、国際プライバシー専門家協会 (IAPP) の調査ディレクターである CIPP のケイトリン フェネシー氏は述べています。

「GDPR およびその他のプライバシー法では、録音に関して一定の通知と透明性が求められています」と、以前は米国管理予算局 (OMB) の国家安全保障部門で働いていたフェネシー氏は言います。 「データ主体、個人のアクセス権、削除権が必要です。ここ数年、規制当局が物理的なセキュリティの分野でこれらの権利を強化しているのを私たちはますます目にしてきました。」

ルーマニアでの罰金は、ビデオ監視の不適切な使用、つまり撮影されていることを従業員に適切に知らせなかったことが中心となった。フェネシー氏は、2018 年に GDPR が発効して以来、同様の罰金が課せられているのを見てきたと述べ、プライバシー規制と社会の期待を遵守するためのテクノロジーとデータ収集への取り組み方において、セキュリティ業界の変革を引き起こしました。

「セキュリティは長い間、誰かのビジネスにとって重要なものとして理解されてきました」とフェネシー氏は説明します。 「プライバシーはセキュリティ慣行やリスクとともに考慮されるようになりました。これは重要なことです。」

セキュリティ専門家に関連する GDPR 施行措置のもう 1 つの分野は、データや画像に誰がアクセスできるかというアクセスを中心に展開しています。たとえば、英国が欧州連合を離脱する前に、英国のデータ当局規制当局は、個人が監視システムによってキャプチャされた自分のデータにアクセスしたり、そのコピーを入手したりする方法に関するガイダンスを提供しました。

プライバシーは現在、セキュリティの実践とリスクに加えて含まれており、それは重要です.png

「これは、この分野で働く人々にとって真の課題です。プロセスの組み込み、そのデータへのアクセスを可能にする手順、およびプライバシー法の一部で要求されている場合のそのデータの提供を事前に行う必要があります」とフェネシー氏は説明します。 「こうした行動や要件の一部は、小さな形ではありますが、この 2 つの専門職を結びつけており、長期的には、ユーザーが自分の権利に基づいて行動できるように、テクノロジーを事前に設計する方法について、より創造的な会話が可能になることを願っています。」

セキュリティ テクノロジーの記事執筆時点で行われていた主要な会話の 1 つは、コロナウイルスの蔓延を防ぐための接触追跡を可能にするテクノロジーの使用に関連するセキュリティとプライバシーの課題についてでした。米国疾病管理予防センターによると、接触追跡は、病気に感染した人々の接触を追跡および監視するために使用され、感染の可能性について通知できるようになっています。

多くの国が公衆衛生局によって開発された数十年前のシステムを使用して接触者追跡を実施することに苦労しており、その取り組みを支援する技術ソリューションを探しています。

「政府関係者や企業は、データ保護法を遵守し、ユーザーの権利を尊重しながら、新型コロナウイルス感染症の蔓延を制限する取り組みをどのように支援するかに頭を悩ませています。」とフェネシー氏は言う。

これらの権利とプライバシーに対する個人の期待は、住んでいる場所によって大きく異なります。たとえば、中国では、西側諸国の個人よりも個人データを政府当局者と共有することに慣れています。

中国は「少数民族をターゲットにするなど、国民の活動を管理するために顔認識などの技術を長年にわたって利用してきた」と分析している。。 「現在、パンデミックに対応して、同社は大手テクノロジー企業と提携して大規模なデジタル監視ネットワークを拡大し、人々の健康データと結び付けています。」

しかし、危機とコロナウイルスの蔓延を阻止する必要性により、プライバシーに対するアメリカ人の期待は変化する可能性があり、個人データをより積極的に共有するようになっていると、ボストンマラソン爆破事件とその後の人狩りの際に元ボストン警察署長エドワード・デイビス氏は述べた。

「ボストンマラソンのときと同じように、今回の事態を受けて、プライバシーの問題も少し変わりました」とデービス氏は、新型コロナウイルス感染症(COVID-19)に関連したプライバシーとセキュリティに関するウェビナーで説明した。 「爆破犯を発見するために顔認識を使用することに誰も異議を唱えませんでした。」

テクノロジー企業はすでに、公衆衛生機関が接触者追跡方法を強化するために活用できるソリューションを提供する動きを見せています。 2020 年 4 月 10 日、そして Google は、機関や保健機関がコロナウイルスの蔓延を抑えるのに役立つ Bluetooth テクノロジーを可能にするパートナーシップを発表しました。

爆撃機を見つけるための顔認識の使用に誰も異議を唱えなかった.png

「世界中の多くの主要な公衆衛生当局、大学、NGO がオプトイン接触追跡技術の開発に重要な取り組みを行っている」と Google は声明で述べた。 「この目的をさらに推進するために、Apple と Google はアプリケーション プログラミング インターフェイス (API) とオペレーティング システムを含む包括的なソリューションを立ち上げる予定です。-
接触者の追跡を支援するレベルのテクノロジー。緊急の必要性を考慮して、ユーザーのプライバシーに関する強力な保護を維持しながら、このソリューションを 2 つのステップで実装する計画です。」

最初のステップ (2020 年 5 月に予定) は、ユーザーが自分のデバイスにダウンロードできる公衆衛生当局のアプリを使用して、Google の Android デバイスと Apple の iOS デバイスの間の相互運用性を可能にする API をリリースすることでした。

次に、テクノロジー大手 2 社は、この機能を基盤となるプラットフォームに組み込むことで、より広範な Bluetooth ベースの接触追跡プラットフォームを実現することを計画しています。

「これは API よりも堅牢なソリューションであり、オプトインを選択すればより多くの個人が参加できるようになり、アプリのより広範なエコシステムや政府の保健当局とのやり取りが可能になります」と Google は説明しました。 「この取り組みではプライバシー、透明性、同意が最も重要であり、関心のある関係者と協議してこの機能を構築することを楽しみにしています。」

中国、韓国、台湾はいずれも、スマートフォン関連のさまざまな方法を利用して個人の動きを追跡し、新型コロナウイルス感染症検査で陽性反応が出た人と接触した際に通知を発行している。

GDPR では、パンデミック中にそのようなテクノロジーを可能にするためにデータを収集および保存する方法も明確にしています。たとえば、この規制には、データ主体の生命が脅かされている場合、または重大な公共の利益がある場合、個人のデータを本人の同意なしに処理できることが含まれています。

「GDPR は伝染病の流行に特に対処しており、個人データの処理は常に必要かつ適切であるべきであることを明確にしています」とフェネシー氏は言います。 「これらがこの取り組みに関して重要な要素です。可能な限り匿名性を重視する必要があります。」

しかし、Apple と Google が提案したシステムが生成する可能性のあるデータに米国政府がアクセスできるかどうかについては懸念があるかもしれません。

「政府は、誰かが歩き回って全員に感染させているかどうかを知りたがっているのは明らかだ」と元国土安全保障省長官マイケル・チャートフ氏はデービス氏とのパネルディスカッションで述べた。 「しかし、それはあまりにもビッグ・ブラザーであると考えられます。」

代わりに、コロナウイルスの蔓延を阻止するために人々に検査を受けるよう奨励するために、データを可能な限り匿名化し、その使用方法を慎重に定義することを検討する必要があるかもしれない、とチャートフ氏は説明した。

「中国のように、政権が嫌がる人物と接触するとスコアが下がるような使い方はしたくない」と彼は付け加えた。 「そんなことが起こらないように、私たちは厳しく規律を保つ必要があります。」

米国の法律は、そのようなテクノロジーがどのように使用されるかについてのプライバシー パラメーターに直接言及していませんが、2020 年 1 月 1 日に発効したカリフォルニア州消費者プライバシー法 (CCPA) は、いくつかの指針を提供しています。

新型コロナウイルス感染症に関連してカリフォルニア州民の個人データを収集する組織は、収集した個人情報のカテゴリ、データの収集元、収集の目的、データの共有先を個人に通知する必要があります。フェネシー氏によれば、匿名化および集約された消費者情報、および州および地方法の遵守にはいくつかの例外があるという。

「CCPA の最大の影響の 1 つは、サービス プロバイダーやサードパーティとのデータ共有を理解し、保護する必要があることです」と彼女は付け加えました。 「これらの関係、データの行き先とアクセスの可能性、サービス プロバイダーが導入している保護機能を理解することが重要です。それを正しくするには、セキュリティ チームとプライバシー チームの間で話し合う必要があります。」

ミーガン・ゲイツはの編集長ですセキュリティ技術。彼女と連絡するには[email protected]。 Twitter で彼女をフォローしてください:.

arrow_upward