2008年に制定されたイリノイ州生体情報プライバシー法(740 ILCS 14/1、BIPA)は、企業が個人の「生体識別子」または「生体情報」を収集、取得、購入する前に、原則として本人の同意を得ることを義務付けている。 2015年末以降、同法に基づく請求を主張する訴訟が少なくとも6件提起されており、で初めて報告された和解は2016年12月1日に150万ドルで承認された。現在、イリノイ州とテキサス州のみがこのような法律を制定しているが、他の5州では委員会審議中の生体認証関連法案が係属中である。
過去14か月間の訴訟件数の増加と他州における新たな立法の可能性は、企業が自社製品やサービスが収集する生体認証情報を評価すべきであることを強く示唆している。通知、同意、データ保持に関する方針や慣行の更新が必要となる可能性があるためである。
最近の判例動向
BIPA(イリノイ州生体認証情報プライバシー法)に基づく請求のほとんどは、争点となっている情報が同法上の「生体認証識別子」または「生体認証情報」に該当するか、あるいは原告の主張が憲法第3条の訴訟適格を十分に満たすか否かに基づいて判断されてきた。イリノイ州北部地区連邦地方裁判所における最近の判決は、「生体認証識別子」の定義を解釈し、Google Inc.に対する集団訴訟の進行を認めた。参照:Rivera v. Google Inc., No. 1:16-cv-02714 (N.D. Ill. Feb. 27, 2017).
グーグルは、問題の画像は写真から派生したものであり、対面で実施された顔スキャンのみが生体認証識別子に該当するためBIPAの適用除外であると主張したが、裁判所は「グーグルが単に写真を撮影・保存しただけで、顔の幾何学的形状を測定・スキャン生成していなければ、同法違反は成立しない」としてこの主張を退けた。リベラ判決、判決文15頁。原告側が第二修正訴状を提出した後、グーグルは3月9日、北部地区連邦地方裁判所に対し、2017年2月27日の判決を修正し、第七巡回区控訴裁判所がグーグルの上訴許可申請を認めるか否かの判断が下るまで訴訟手続を停止するよう求めた。
1月、ニューヨークの地方裁判所はBIPA(バイオメトリック情報プライバシー法)に関連する訴訟を却下し、通知および同意に関する規定の手続き上の違反はそれ自体では訴訟適格を付与するのに十分ではないと判断した。参照:Vigil v. Take-Two Interactive Software, Inc., No. 15-8211 (S.D.N.Y. Jan. 30, 2017)。Vigil事件における裁判所の判断は、McCollough v. Smarte Carte, Inc., No. 16 C 03777, 2016 WL 4077108, at *4 (N.D. Ill. Aug. 1, 2016)における結論と類似していた。同事件では、指紋データを保持するための事前の書面による同意を得なかったことは具体的な損害ではないと判断し、被告の訴え却下申立てを認容した。
他州における審議中の法案
イリノイ州は私的訴訟権を認めているのに対し、テキサス州の法令は司法長官による執行のみを認めているため、BIPAは生体認証法を制定する他州のモデルとなっている。同様の立法を検討している州には以下が含まれる:
|
州 |
要約 |
|
BIPAと同様に、本法案は適切な通知と同意なしに個人の生体認証データを収集することを禁止し、データが不要となった後の速やかな廃棄を義務付け、私的訴訟権を規定している。
| |
|
この法案はBIPAとは大きく異なるアプローチを取っており、マーケティング目的での顔認識技術の使用のみを禁止することに焦点を当てている。
| |
|
イリノイ州は最近、企業が商品やサービスの提供条件として個人や顧客に生体認証識別子/情報の提供を要求することを禁止する改正案を提案した。ただし、身元調査の実施やセキュリティプロトコルの導入に必要な範囲は例外とする。
この改正は、医療サービスを提供する企業、法執行機関、または政府機関には適用されない。
| |
|
本法案が成立した場合、民間事業者は本人の同意なしに生体認証データを収集・保管・利用することを禁止され、生体認証情報の販売・開示・保護・廃棄に関する手続きが定められます。
| |
|
BIPAと同様に、本法案は個人及び民間団体による生体情報の収集、保持、利用を規制する。本法案は被害者に私的訴訟権を認める。
| |
|
ワシントンワシントン |
その核心的な目的はBIPAと類似しているように見えるが、いくつかの制限により法案の全体的な効果は狭められている。例えば、生体認証データが「セキュリティ目的の推進のために」収集・保存される場合には、通知および同意要件に対する例外が設けられている。
本法案はまた、生体認証識別子の開示及び保持の禁止規定が、「登録解除された」(匿名化または非識別化された生体認証データを示唆する用語)生体認証識別子の開示または保持には適用されないことを定めている。テキサス州と同様に、本法案は私的訴訟権を認めない。
|
企業にとっての主な示唆点
BIPAが成立した背景には、イリノイ州議会が企業による金融取引促進のための生体認証データ利用の増加を予測したことがある。他の個人識別情報とは異なり、生体認証データは盗難に遭った場合、現実的に変更することが不可能だからだ。議会の予測は的中しており、生体認証情報は金融取引処理だけでなく、自動車や建物への入室、空港保安検査の通過、モバイル端末上のアカウントへのログインにも利用されている。
提案された法案はいずれの州でもまだ可決されていないものの、州レベルの生体認証関連法を導入する明確な傾向が浮上している。この結果、企業は通知・同意・廃棄に関する方針と手順が現行法に準拠していることを確保するとともに、他の州が同様の生体認証法を承認する可能性に備え、迅速かつ柔軟な更新対応が可能な体制を整える必要がある。
