| 法制度 プライバシー確保が最大の課題 |
生体認証の三つ目の課題は法制度についてだ。具体的には(1)プライバシー確保や個人情報の扱い,(2)偽造によってなりすまされたときの対処,(3)性能の限界により誤認証が起こった場合の製造者の責任,(4)アクセシビリティの確保という四つのポイントがある。それぞれ対応する法律やガイドライン,JIS規格とのすり合わせが必要となる(図8[拡大表示])。
四つのポイントのうち,最も重要なのが(1)のプライバシーの確保と個人情報の保護である。生体情報の場合,データをどのように利用するのかをユーザーに明らかにしなくてはならない*1。生体データによって個人を特定できるケースがあるほか,副次的に得られる情報があるためだ。
顔データからは性別や人種などさまざまな情報を得られるし,静脈のデータからは病気の情報を得られる可能性がある。こういった情報をセンシティブ(機微)情報と呼ぶ。センシティブ情報の扱いは,各省庁(金融機関であれば金融庁)が示したガイドラインに記述があるため,それに従うのが一般的だ。
だがそれ以前の問題として,生体データは個人情報に当るのかどうかで意見が分かれている。個人情報に該当するのは,特定の個人を識別できるときだ。例えばデータベースで生体情報と住所や氏名とを結びつけているケースが該当する。
「生体情報の種類,使う場面,システムによって該当する場合としない場合がある。また,指紋,虹彩,静脈を顔と同列に扱うべきではないという考え方もある。まだ合意された見方があるわけではないが,実際の運用では個人情報に該当するケースが多いため慎重に扱うべき」(東京工科大学 メディア学部の村上康二郎専任講師)。
すり合わせと周知が必要
このほかの問題に対しても,適用できる法律や規格が存在する。(2)の偽造によるなりすましに関しては,生体データを個人のIDと考えると,他人のIDやパスワードを使って不正にシステムへアクセスするという点で「不正アクセス禁止法」に抵触する。(3)の製造者の責任については,ユーザーの使い方ではなく明らかに装置側の精度に問題がある場合は,製造物責任法(PL法)や民法709条で不法行為責任を問える可能性がある。(4)のアクセシビリティは法制度ではないが,JIS規格に照らして代替手段を用意すべきである。
こうした法律・規格がいかに適用しうるのか,まだ判例はなく可能性を論じている段階だ。安心・安全を実現するためには,生体認証が抱える不安要素を制度面で補なっていくことが不可欠である。
