過去1か月におけるイリノイ州の法的な進展の中でも特に重要なのは、同州の厳しい生体情報保護法(BIPA)を解釈したイリノイ州最高裁判所の2件の命令である。我々は最近、これらの判決が以下の点をどのように定めたかを検証した:(1) 適用される時効期間を最初の違反から5年間に拡大したこと、(2) BIPA違反が「発生する」のは最初の事例だけでなく、生体情報が収集されるその後のあらゆる事例においても発生すると解釈したことである。
潜在的な賠償責任が数十億ドル規模に達する中、雇用主はどのようにリスクを最小限に抑え、BIPAの厳格な要件を遵守できるのか?
BIPAの要件は第15条(a)項から(e)項に詳細に規定されているが、概ね以下の義務に分類できる。
- 雇用主は、生体認証情報の収集、保持、廃棄に関する具体的な詳細を含む、組織の生体認証情報の利用方法について記載した書面による公開ポリシーを維持しなければならない。
- 雇用主は、生体認証情報を提供する個人から、当該情報の収集目的に関する説明および保持期間を明記した同意書を取得した上で、書面による同意を得なければならない。
- 雇用主は個人の生体情報の利用から利益を得てはならない。
- インフォームド・コンセントがない場合、雇用主は書面による同意なしに第三者の生体認証情報を開示することはできません;そして
- 雇用主は、生体認証情報の機微かつ機密性の高い性質に見合った方法で、すべての生体認証情報を保管、送信、保護しなければならない。
これらの要素に分解することで、組織に適合するポリシーの作成ははるかに管理しやすくなります。特定の用途については詳細な規定を含める必要があり、そのためには生体認証システムの動作を徹底的に理解することが求められます。 例えば、システムは生体情報をローカルに保存しているか?システムはベンダー(システム供給・保守業者など)といった第三者へ生体情報を送信するか?システムは一定期間経過後に生体情報を自動削除するか?これらを含む複数の質問は、BIPA準拠ポリシー策定時に検討すべき重要な事項である。
もちろん、すべての雇用主が組織内で生体認証システムを採用しているわけではありません。しかし、雇用主がイリノイ州で事業を展開しており、将来的に組織が生体認証技術を導入する可能性がある場合、この可能性に備えて汎用的な生体認証ポリシーを導入することを依然として推奨します。 組織内の別の部門が生体認証システムの有用性を判断する際、他の部門が情報共有されないケースがあまりにも頻繁に発生します。システム選定後に汎用ポリシーをさらに調整する必要はありますが、少なくとも生体認証の利用が密かに導入される事態に備えた安全策として機能します。
イリノイ州で事業または組織を運営しているにもかかわらず、現在生体認証データの収集および利用に関する方針を定めていない場合は、経験豊富な法律顧問と相談の上、その策定を検討してください。
