プライバシー保護活動家団体オープン・ライツ・グループ(ORG)によると、英国政府は、法律で義務付けられているデータ保護影響評価(DPIA)を行わずにCOVID-19の検査・追跡プログラムを展開したことを認めた。
ORGは、保健社会福祉省(DHSC)が、データ保護監視機関の情報コミッショナー事務局(ICO)に法的苦情を申し立てた後、影響評価が実施されていなかったことを書面で確認したと述べた。
法的要件を満たせなかったことは、政府の「検査追跡プログラム全体が2020年5月28日の開始以来、違法に運用されてきた」ことを意味するとORGは述べた。
6月1日、このプログラムを運営するイングランド公衆衛生局は、「現在、NHSの検査と追跡のためのDPAIの完成に取り組んでおり、来週にはこの文書をICOに提出することを約束している」との声明を発表した。
新型コロナウイルスの検査追跡プログラムがGDPRに違反しているとして、英国のデータ監視機関に法的苦情が提出された。
続きを読む
1か月以上経過しても影響評価が完了しず、保健社会福祉省に委ねられた理由をThe Registerに説明することはできなかった。
保健福祉省の広報担当者は、「データが違法に使用されているという証拠はありません。NHSテスト・アンド・トレースは、関連するすべての法的義務を十分に考慮しながら、ウイルスと闘い、人命を救うためにデータを収集、使用、保管するという、最高水準の倫理基準とデータガバナンス基準の遵守に尽力しています」と述べた。
「私たちは、この前例のないパンデミックに対応するため、大規模な検査・追跡システムを迅速に構築しました。このプログラムは、必要な人すべてに検査を提供し、陽性反応を示した人との接触者を追跡することで、ウイルスの蔓延を阻止することができます。」
ガイダンスとアドバイス
ICOの広報担当者は、「主要なプライバシー問題を特定し、対処するための手段として、データ保護影響評価(DPIA)を実施するのは組織の責任です。DPIAをICOと共有することが必ずしも義務付けられているわけではありません」と述べた。
「今回の件では、私たちは批判的な友人として政府と協力し、制度のいくつかの要素について指導と助言を提供し、人々の個人データが保護されているという保証を求めてきました。
健康危機の際に検査・追跡サービスを展開することの緊急性は認識していますが、国民が自分自身や友人、家族のデータを安心して提供できるようにするためには、個人データのリスクが適切かつ透明性を持って軽減されるようにするための取り組みも必要です。人々は、自分のデータがどのように保護され、どのように使用されるかを理解する必要があります。
ギャビン・ウィリアムソン教育大臣はBBCブレックファストに対し、「保管されているデータに漏洩があったことは一度もない」と語った。
「視聴者の皆さんは、このウイルスを克服するには検査追跡システムが必要であり、それを信じられないほどのスピードで立ち上げなければならなかったことを理解していただけると思います。…あなたは本当に検査追跡システムを廃止すべきだと主張しているのですか?私はそうは思いません。」
しかし、テクノロジー系法律事務所decoded.legalのディレクター、ニール・ブラウン氏はザ・レグに対し、政府が法律を順守するか、システムの構築に迅速に対応するという考えは誤った二分法だと語った。
「彼らが、このプロセスを進める過程で、提案内容がここに住む人々の基本的人権にどのような影響を与えるかを評価できなかった理由が理解できません」と彼は述べた。「他の組織がいつもやっていることです。」
ブラウン氏はさらに、データ保護リスクを評価し、システムの設計と導入にあたりリスク軽減に取り組んでいる組織であれば、このプロセスはそれほど面倒なものではないだろうと付け加えた。「システム全体を設計し、準備が整ったところで、『データ保護影響評価をまだ行っていない』と突然思い立ち、解決策が法律に完全に準拠していることを示す形で評価書を作成しようとすると、さらに時間がかかる可能性があります」とブラウン氏は述べた。
彼はまた、ICOは規制というより政府と協力しているように見えると指摘した。「データ保護法のどこにも、ICOの任務の一つが『批判的な友人』であることだとは書いていない。ICOは規制機関なのだ。」®
