プライバシーポリシー

当社のサービスをご利用いただくということは、お客様の情報を当社に信頼していただくということです。これは大きな責任であることを理解し、お客様のデータとプライバシーを保護するために努力しています。

生体認証データ処理規制の概要

Netradyneのビジュアルログインシステム (VLS)の使用は、法域によっては生体認証データの処理に該当する場合があります。このページの内容は、生体認証データに関連する規制要件の限定的な概要を提供するものです。

注:本セクションの内容は、法的助言または法的助言の代わりとして解釈されるべきではありません。Netradyne は、生体認証データの処理に適用される規制要件に関して、適切かつ最新の情報を提供するよう努めますが、ここで提供される情報が網羅的であること、最新であること、または適切であることを主張するものではありません。同様に、Netradyne 社は、Netradyne 社が提供する同意書の見本または生体認証情報ポリシーが、法域において適用されるすべての法的要件および規制要件を遵守するのに十分であるとの主張を行うものではありません。VLS 機能を有効にする前に、確実な法的助言を求め、お住まいの地域の様々な法律の適用可能性を確認することが必須です。

VLSに対する米国の要件

最近のアップデート:2023年7月

米国では、現在、テキサス州、イリノイ州、ワシントン州が、生体認証に関する専用のプライバシー法を制定している唯一の州です。ただし、多くの州では包括的なプライバシー法が拡大され、生体認証情報の収集、使用、保持、共有が制限されています。ポートランド市は、顔認識技術の特定の使用を禁止する条例も可決しました。Visual Login System(VLS)を有効にすることを選択した場合、VLSの使用にこれらの法律が適用される場合があります。

以下は、一部の州で現在および提案されている生体認証プライバシー法の概要です。この分野の法律は急速に変化しており、提供される情報は法的助言に代わるものではありません。ご不明な点がございましたら、お問い合わせください privacy@netradyne.comまでご連絡ください。

既存の法律 ー 主な要求事項の概要

イリノイ州

(740 ILCS 14/) 生体情報プライバシー法

同法は、 生体認証識別子または 生体認証情報を保有する事業体に対し、一定の要件に従うことを義務付けています。

  • 生体認証情報が収集される個人に対し、生体認証情報が収集、保存、または使用される具体的な目的および期間を通知します。
  • 生体情報の収集または開示を進めるために、本人から書面による同意書を入手します。
  • 生体認証情報を永久に破棄するための保存スケジュールとガイドラインを確立する書面化された方針を一般に公開します

テキサス州

テキサス州商取引法第503.001条。

商業目的で個人の生体認証識別子を取得する事業者は、以下を行う必要があります。

  • 生体認証識別子を取得する前に本人に通知し、生体認証識別子を取得することに ついて本人の同意を得ること。
  • 合理的な手段を用いてデータを漏洩から保護すること。
  • 合理的な期間内に、ただし生体認証情報の収集目的が終了した日から起算して1年以内に、生体認証識別子を破棄すること。

ワシントン州

ワシントン州法 § 19.375.010 及びそれに続く規定

  • 営利目的で生体認証情報をデータベースに登録することは、事前に通知を行い、同意を得るか、またはその後の営利目的での使用を防止する手段を提供しない限り、禁止されます。

ポートランド市

ポートランド市法、タイトル34-デジタル司法、34.10.010-34.10-050章

  • この条例は、ポートランド市内にある公共の宿泊施設において、民間団体が顔認識技術を使用することを禁止するものです。
案されている法律 ー 主な要求事項の概要

アリゾナ州

2023年 アリゾナ州上院法案1238号

  • 民間団体は、生体認証情報の保持スケジュールおよび破棄ガイドラインを定める公的な書面方針を策定しなければいけません。
  • 民間団体は、個人の生体情報を収集する前に、事前に説明を受けた上での書面による同意を得なければなりません。
  • 生体認証情報は、(1)情報収集の目的が達成されるか、または(2)該当する個人と事業者との最後のやりとりから3年以内のいずれか早い時点で破棄されなければいけません

コネチカット州

2023年 コネチカット州上院法案730号

  • 公共スペースで顧客やゲストを識別するために顔認識技術を使用する企業は、そのような使用について明確な開示を掲示しなければいけません。

ハワイ州

2023年 ハワイ州下院法案1085号

  • 民間団体は、生体認証情報の保持スケジュールおよび破棄ガイドラインを定める公的な書面方針を策定しなければいけません。
  • 民間団体は、個人の生体情報を収集する前に、事前に説明を受けた上での書面による同意を得なければなりません。
  • 生体認証情報は、(1)情報収集の目的が達成されるか、または(2)該当する個人と事業者との最後のやりとりから3年以内のいずれか早い時点で破棄されなければいけません。

メリーランド州

下院法案33号/ 上院法案169号

  • 民間団体は、生体認証情報の保持スケジュールおよび破棄ガイドラインを定める公的な書面方針を策定しなければいけません。
  • 民間団体は、個人の生体情報を収集する前に、事前に説明を受けた上での書面による同意を得なければなりません。
  • 生体認証情報は、(1)情報収集の目的が達成されたとき、(2)当該個人と事業者との最後のやりとりから3年以内、または(3)個人データの削除要請を受けてから30日以内のいずれか早い時点で破棄しなければいけません。
  • 同法は2023年10月1日に施行されます。

マサチューセッツ州

2023年マサチューセッツ州上院法案195号

  • 民間団体は、生体認証情報の保持スケジュールおよび破棄ガイドラインを定める公的な書面方針を策定しなければいけません
  • 民間団体は、個人の生体情報を収集する前に、事前に説明を受けた上での書面による同意を得なければなりません。
  • 生体認証情報は、(1)当該情報の収集目的が達成されるか、または(2)当該個人と事業者との最後の対話から1年以内のいずれか早い時点で破棄されなければいけません。

同様の法案は、ミネソタ州、ミズーリ州、モンタナ州、ネバダ州、ニュージャージー州、ペンシルベニア州、テネシー州でも提案されています。

生体認証情報の収集と使用は、 カリフォルニア州コロラド州バージニア州コネチカット州ユタ州を含む包括的な州のプライバシー法の対象となっています。これらの州のプライバシー法は、生体認証情報を「機微(センシティブ)」情報として規制しています。

ほとんどの法律/法案は、以下の主要要件を強調しています。

  • 本人に通知し、同意を得ること。
  • 生体認証データの保存スケジュールと破棄のガイドラインを確立する文書化された方針を策定すること。
VLSに関する英国/EUの要求事項 ー 主な要求事項の概要

最終更新日:2023年7月

EUにおけるVLSの使用は、主にEU一般データ保護規則(GDPR)の規定によって規制されています。

  • GDPRは「生体認証データ」を特別なカテゴリーの個人データとして扱い、そのため適法性、必要性、比例性、データ最小化の原則に十分配慮することを求めています。
  • 管理者は、まず基本的権利および自由への影響を評価し、処理の正当な目的を達成するために、より侵入的でない手段を検討すべきです。
  • 民間団体が独自の目的(マーケティング、統計、あるいはセキュリティなど)のために生体認証機能を使用するには、ほとんどの場合、すべてのデータ主体からの明示的な同意(GDPR第9条(2)(a))が必要となりますが、第9条の別の適切な例外が適用される可能性もあります。
  • EU諸国の一部でVLSを使用するには、その国の特定のビデオ監視法または雇用法を評価する必要がある場合もあります。これらのEU諸国では、従業員代表委員会を設置している企業の場合、VLSの使用は、従業員代表委員会による事前の承認が必要な場合があります。
  • ドライバーの権利と自由への影響を評価するため、データ保護影響アセスメント(DPIA)を実施しなければいけません。評価範囲にはVLSを含めなければいけません。
  • Netradyne 社は、個人データの処理目的をドライバーに通知することを推奨します。詳細なプライバシー通知を提供することに加え、プライバシーステッカーを車内で使用し、個人データ(該当する場合は生体データを含む)が処理されていることをドライバーに通知することが望ましいです。
  • Netradyne 社では、英国/EUでVLSを有効にする前に、すべてのドライバーから事前に説明を受けた上での同意を取得することを推奨します。

ご質問がございましたら privacy@netradyne.comまでお問い合わせください。

カナダにおけるVLSの要件 ー カナダ個人情報保護法における主な要件の概要

最終更新日:2023年7月

  • EU GDPRと同様に、カナダのプライバシー法は生体認証情報を機微な個人情報とみなしています。したがって、このようなデータを処理しようとする事業者は、一般的に事前に十分な説明を行い、明示的な同意を取得する必要があります。
  • 個人へのプライバシー影響を評価するために、プライバシー影響評価(PIA)を実施する必要があります。カナダの個人情報保護法は、個人情報の収集と利用を、その状況において合理的かつ必要なものに限定することを求めています
  • データの最小化、保持の制限、データ対象者の権利、透明性、およびデータセキュリテ ィの原則を十分に考慮する必要があります。
  • ケベック州 では、生体認証データ処理に関する要件がより厳しくなっています。生体認証の特徴または測定法のデータベースの作成は、遅くともそのようなデータベースが運用される60日前までに、情報委員会(CAI)に開示されなければいけません。

ご質問がございましたら privacy@netradyne.comまでお問い合わせください。