COVID-19からの生体認証訴訟に備える

ジョシュア・ブライオンズ、エステバン・モラレス、アダム・B・コーン[*]

ここ数年間で、アーカンソー、カリフォルニア、イリノイ、ニューヨーク、テキサス、ワシントンの各州は、企業が個人の生体データをどのように利用できるかに影響を与える法律を制定した。COVID-19パンデミックの結果、企業はそのようなデータの収集と取り扱いに関して差し迫った重要な問題に直面している。全国の多くの雇用者は、従業員の健康データの収集をすでに始めている。例えば、従業員にオンラインアンケートに記入してもらったり、従業員の体温を測定したり、現場でCOVID-19検査を実施したりするなどである。今後数カ月のうちに、プライバシー問題が懸念の最前線に立つ可能性が高い。また、新たな生体認証関連法が施行されるか、または現行の法律が強化され、雇用者にデータ収集、取扱い、保管のための新たな手順策定を強制する可能性もある。

歴史的に、生体認証データは、網膜または虹彩スキャン、指紋、声紋または顔面画像/認識などの情報を含む。COVID危機を受けて、多くの企業が新しい生体認証技術を開発し、危機を抑制するために急速に発表している。

例えば、中国では、公衆バスのタブレットが、乗客の体温や顔の写真を記録している。米国では、一部の警察当局が、生体情報を監視できる無人技術の採用を検討していると報告されている。多くの米国企業は、従業員が自発的に検査を希望する場合には、仕事に着くときに体温を測定するよう従業員に義務付けているか、体温計を利用できるようにしている。州や都市がロックダウンを緩和し、より多くの場所が一般に再開されるにつれ、同様の慣行は顧客にも広がる可能性が高い。業務上および評判上の影響に加えて、企業は、弁護士にこれらの努力を精査し、既存の法律違反を主張する集団訴訟を提起する可能性を考慮させるべきである。

企業向け生体認証ツール

一部の事業者は、潜在的な防護手段として、入口での体温検査を検討または実施している。しかしながら、このような検査は、特に無症候の個人に対しては、感染を検出する際の有用性が限られている可能性があり、また、既存の生体認証法およびプライバシー法に違反する可能性があることに留意すべきである。

企業に体温検査を導入するには、慎重な配慮が必要である。注目すべきは、これらの検査を実施する者は、感染の可能性が高いリスクにさらされることである。また、体温計などの生体計測機器が誤作動する可能性があるので、適切な使用を確保するための訓練が必要である。会社ではまた、これらの検査がプライバシーを保護し、汚染物質からの被害の可能性を制限し、HIPAAの遵守を保証する方法で実施されることを保証する必要がある。また、会社に入るときにマスクの着用を拒否するケースがあるように、個人の権利を侵害されているとの感受性が高い顧客や従業員からも、同様の抵抗を受けている可能性があると考えられる。

また、企業によっては、従業員および/または利用者が、施設に入る前にCOVID-19の症状または感染可能性がないことを証明するために質問票に回答する携帯電話アプリケーションまたはウェブサイトの使用を開始している。残念ながら、この情報収集は、機密データを記録するのでデータ違反の可能性があるリスクを伴う。従業員のプライバシー、職場での安心感、同意はすべて、生体情報や健康データの収集を要求する前に考慮すべき事項である。企業は、日々のデータ収集が従業員、利用者の誠実さ、一貫性、理解に依存しており、毎日の入力に伴うヒューマンエラーやアプリケーション疲労がありうることを認識しておく必要がある。

生体認証データの規制

いくつかの州には、生体情報の収集と利用を規制する法律がある。カリフォルニア、イリノイ、ニューヨーク、アーカンソー、テキサス、ワシントンの各州では、独自の生体認証法が制定されており、その他の多くの州でも同様の措置が検討されている。カリフォルニア州とイリノイ州だけが私的な訴訟権を与えているのに対し、他の州はこの問題について言及していないか、州司法長官に強制権限を明示的に与えている。これらの規制の主要条項には、次のものが含まれる。

カリフォルニア：　最近、カリフォルニア消費者プライバシー法(CCPA)を制定し、消費者と従業員の双方に個人情報を管理する権限を与えた。CCPAの対象となる生体情報には、「指紋、網膜、虹彩画像等の人体特性の測定・技術分析から得られた生体情報」が含まれる。

CCPAは、1)年間総収入が2,500万ドルを超える、2)5万人を超える顧客の個人情報を受け取る、3)消費者の個人情報を販売することによって年間収入の50%以上を得ている、使用者または事業者に適用される。同法は、事業者がデータを収集する前に消費者に通知しなければならない、消費者がデータを削除したり、削除したりすることを可能にする手続きを用意しなければならない、と規定している。さらに、カリフォルニア労働法第1051条は、雇用者が第三者と生体情報を共有することを禁じている。

イリノイ：　2008年に制定されたイリノイ州生体認証情報プライバシー法(BIPA)では、個人が、生体情報の不正な保管と収集に起因する損害賠償を訴えることができる。ここでは「網膜または虹彩のスキャン、指紋、声紋、または手や顔の形状のスキャン」と定義されており、賠償責任を証明できれば、「被害者」は違反1件当たり1,000～5,000ドルを受け取ることができる。近年、BIPAの訴訟件数は著しく増加しており、2019年だけでも200件を超えるBIPAの集団訴訟が提起されている。

ニューヨーク：　2020年3月には、ニューヨーク州電子データセキュリティ法(SHIELD：New York State Stop Hacks and Improve Electric Data Security Act)が施行され、既存のデータ違反告示法の対象範囲が拡大され、告示要件が更新された。具体的には、SHIELD法により「個人情報」の定義が拡大され、生体情報が含まれるようになった。同法は、企業や組織が、適切な情報セキュリティ手続きを実施し、維持することによって、ニューヨーク住民の個人情報を保護することを義務付けている。この法律は私的な訴訟権を認めてはいないが、州司法長官に訴訟を起こす権限を与えている。これには、告示不履行1件あたり20ドルの罰金と、訴訟1件あたり最大25万ドルの罰金が含まれる。この法律が制定されたのはごく最近であるため、法定用語は依然として司法解釈に依存している。

アーカンソー、テキサス、ワシントン、他：　アーカンソー州は最近、法規第4-110-103条(7)を更新し、「個人情報」の定義に生体情報を含めるようにした。さらに、テキサス州商業法第503.001条は、「商業目的」のために生体認証識別情報を使用する者に適用するよう改正された(商業目的とは何かを定義していない)。最後に、ワシントン州下院法第1493条(2017)は、州内の誰もが「事前通知、同意の取得、または商業目的での生体認証識別情報のその後の使用を防止するための仕組みの提供なしに、商業目的のためにデータベースに生体認証識別情報を登録すること」を禁じている。アリゾナ、フロリダ、マサチューセッツを含む、すくなくとも10の州も、生体認証関連法案の制定に前向きに取り組んでいる。

連邦規制の可能性

生体認証情報を収集する企業の責任を制限するために、連邦政府がどのような役割を果たすかは不明である。パンデミックが起きる数週間前に、連邦議会が国内データプライバシー法を制定しようと試みたが、私的な訴訟権を含めるかどうかについては意見が一致しなかった。主要な事業関連ロビー団体は、現在、COVID関連の閉鎖からの事業再開に対する責任を抑制する法律の制定を議会に求めている。また、公衆衛生という御旗の下で、個人がデータプライバシーの一部を放棄することを望むべきかどうかについても議論がなされている。

このような全国的な動きや明確さがない中で、企業はすでに一部の地域で再開され始めており、適用される州法に細心の注意を払う必要がある。カリフォルニア州など一部の州では、違反に対応して、依然として現地法を適用する可能性が高い。

また、事業者は、事業活動を行う州だけでなく、従業員が居住し、情報が収集されている州においても、通知または開示の要件および同意の要件を熟知しておくべきである。加えて、企業は、適用される州法を念頭に置いて、既存のデータ保持と廃棄の方針を見直さなければならない。

注意事項：本翻訳は”Preparing for Biometric Ligitation from COVID-19”, Risk Magazine, July/August, 2020 pp.4-7をRIMS日本支部が翻訳したものです。翻訳と原文に相違があるときには、原文を重視します。本文中は敬称略です。

ジョシュア・ブライオンズは、マインツ・レヴィン・コーン・フェリス・グロヴスキー・アンド・ポペオのロサンゼルス事務所の管理メンバーであり、集団訴訟や複雑な事業訴訟の経験を持つ裁判弁護士。エステバン・モラレスは同事務所の共同経営者、経験豊富な訴訟担当者であり、主に集団訴訟の防御を担当していて、消費者、プライバシー、金融サービスの問題に重点を置いている。アダム・B.コーンは同事務所の共同経営者で、消費者詐欺、契約紛争、製造物責任の弁護を担当していて、幅広い複雑な商事訴訟を扱っている。