Trust Hub

プライバシーは当社の製品DNAの一部です。当社設立以来、プライバシーを常に念頭に置いて製品とサービスを設計・構築するよう努めてきました。そうすることで、当社のプラットフォームがお客様が望むセキュリティと機能を、組織とやり取りする人々のプライバシーを尊重した方法で実現できます。プライバシーに対する当社の継続的な取り組みは、次の原則から始まります。

• 所有権と管理
  お客様データ（カメラの映像など当社製品の使用で生成されたデータ）は、お客様が所有し管理するデータです。そのため、お客様は次のことが可能です。

  • • デバイスでカメラ映像が処理され保存される期間を選択する
    • どのビデオクリップをアーカイブし、誰と共有するかを設定する
    • Verkadaの許可された社員が、トラブルシューティングとソフトウェア開発の目的に限り、いつ映像を見ることができるかを決定する

  . . . その他にも多数あります。お客様自身が自分のデータを完全に所有していただきたいと望んでいます。

  また、お客様は、いつ、どのように自分のデータにアクセスまたは共有するかを管理できます。例:

  • • オーガナイゼーション管理者は、Commandの役割ベースのアクセスコントロールを使用して、システムにアクセスできるユーザーと、そのアクセスで何ができるかを設定します。
    • 管理者は、デバイスレベルと組織レベルの両方で管理される監査ログを通じて、コンプライアンス、内部統制、証拠保全の目的でシステムの使用状況を確認します。
    • 当社は、最初に明示的な許可を得ることなく、カメラ映像などのお客様のデータをほかのお客様のデータと混合したり集約したりすることはありません。
    • 当社は、事前にお客様に問い合わせて同意を得ることなく、当社の製品やサービスの改善を図るためにお客様のデータを使用することはありません。
  • Verkadaは、お客様が当社製品を使用して生成したデータを販売することはありません。当社が販売する必要はありませんし、販売を望んでもいません。
• デフォルトで保護されるプライバシー
  当社の製品とサービスはプライバシーを念頭に設計されているため、当社のプラットフォームで組織とやり取りをする人のプライバシーを尊重する方法で、お客様が望むセキュリティと機能を利用できます。Verkadaの製品は、デフォルトで機密性を要する設定が有効になっていない状態で出荷されます。これにより、お客様はすぐに使うための設定について心配する必要がなく、必要に応じてそれらの機能を有効にできます。たとえば、以下に挙げる機能などです。

  • • デフォルトで、カメラ映像はデバイスに保存され、お客様がカメラ映像を管理および所有します。
    • 当社製品はカメラ設置場所での人の動きのみを監視します。
    • 人物分析機能はデフォルトで無効になっており、有効にするかどうか、いつ有効にするかはお客様が管理できます。
• 透明性
  当社は、お客様がお客様自身のシステムと設定を可視化できるようにすることで、お客様がそれぞれ独自の基準に従い措置を講じ、システムの動作について訪問者に伝えられるように努めています。 たとえば、以下に挙げる機能などです。

  • • プライバシーの問題に関連する機能の多くはデフォルトで無効になっています。ユーザーがこれらの機能を有効にすると、製品内で通知が表示されるので、設定変更をユーザーに確実に知らせることができます。
    • お客様は、VerkadaのCommandプラットフォームでどのような操作が実行されたのか、誰がデータにアクセスしたか（Verkadaサポートによるアクセスを含む）、監査ログを介してほかに誰が映像に頻繁にアクセスしているかを確認できます。
    • お客様はライブフィードへのリンクを共有できます。管理者はライブ閲覧者機能を使用することで、自分の組織の内外で誰がフィードを閲覧しているかを確認できます。
    • Verkadaが顧客生成データに関して法執行機関から要請を受けた場合、（法的に許可されていない場合を除き）当社はお客様に通知しますので、お客様は当社がデータを提出する前にその旨を知る機会を得られます。
    • お客様は、Verkadaの公共のセキュリティとプライバシーの開示により、システムを操作するユーザーに、設置されている特定のタイプのデバイスと、特定のサイトでそれらのデバイスで有効になっている機能のリストを表示できます。

  また、当社が収集するデータの種類、データの処理方法、製品の動作について透明性をもって対処するよう取り組んでいます。この情報は、ヘルプセンターとデータシートで確認でき、プライバシーに関する声明とエンドユーザー契約に記載されています。
• データを最小限に抑える
  Verkadaの使命は、プライバシーを念頭に置いて人や場所を保護する製品を開発することです。そのために、特定の使用事例に応じた量のデータを収集、表示、維持する機能を提供します。たとえば、次のような使用事例です。

  • • プライバシー領域設定機能により、カメラ表示内の特定の領域を記録しないように設定できます。
    • 人物分析など、機密性の高いデータを収集する可能性のある機能はデフォルトでオフになっているため、お客様はこれらの機能の使用方法やその過程でどのようなデータを収集するかについて理解したうえで判断できます。 -顔ぼかし機能を使用すると、アーカイブされた映像をサードパーティと共有するときに顔をぼかすオプションを選択できます。
• データ主体の要求
  Verkadaにデータ主体要求を提出する方法の詳細については、データ主体要求ポータルをご覧ください。
• カナダ
  Verkadaの製品およびソリューション（カメラ、アクセスコントローラー、インターホン、センサーなど）は、お客様がプライバシーに配慮した方法で個人情報を収集および処理できるように設計されています。カナダに関するこちらのよくある質問は、カナダにおけるプライバシー上の法的要求事項の概要を説明するもので、カナダ国内のお客様がVerkadaの製品およびサービスを利用する際にプライバシーに関する義務を遵守できるようサポートするために作成されています。

  カナダのどのプライバシー法が適用されますか？

  カナダでは、連邦政府機関、州機関、公的機関、民間機関、医療機関のそれぞれを対象としたプライバシー法が制定されており、これらのプライバシー法に基づいて個人情報の収集、使用、開示、その他の処理に関する規制が定められています。カナダにおける「個人情報」は、通常、特定個人に関する情報と定義されますが、これには、氏名、連絡先情報、地理的位置、生体認証情報、静止画像、音声記録、ビデオ記録、アクセスログ、ある場所への訪問に関するその他の記録などが含まれます。カナダのプライバシー法では明示的に定義されていませんが、生体認証情報など、特定の情報は機密情報とされ、高度の保護が必要です（詳細については以下をご覧ください）。

  民間機関を対象としてカナダ連邦政府が制定したプライバシー法である、Personal Information Protection and Electronic Documents Act（個人情報保護および電子文書法）（「PIPEDA」）は、カナダ国内における商業活動の過程で個人情報を収集する組織に適用されます。アルバータ州、ケベック州、ブリティッシュコロンビア州など、特定の州では、該当する州内での個人情報の収集、使用、開示に対してPIPEDAの代わりに適用され得る州法が制定されていますが、これらの州法とPIPEDAの間には概ね整合性があります。

  PIPEDAについて知っておくべきことはありますか？

  PIPEDAは10個の公正情報原則に基づいており、これらの原則は、組織による個人情報の収集、使用、または開示の方法に関する規制を定めています。PIPEDAの主な特徴は以下のとおりです。

  • • 「個人情報」の広義の概念には、連絡先情報、個人識別番号、民族的背景、血液型のような単なる事実情報だけでなく、意見、評価、コメントのような主観的情報や社会的地位に関する情報も含まれます

    • 通常、個人情報を収集、使用、または開示する前に同意を得ることが要求されますが、民間機関における明示的なビデオ監視の場合、看板を設置することで同意を得たことになります（詳細については以下をご覧ください）

    • ただし、生体認証データのような機密データに関しては、特定の状況下やケベック州など一部の場所では、明示的な同意が必要になる場合があります

    • 組織は、合理人がその状況において適切と考える目的に限り、個人情報を収集、使用、または開示できます

    • 個人情報は、情報の機密性に応じて、適切なセキュリティ対策で保護しなければなりません。カナダの規制当局は、生体認証情報のような機密情報の処理に関して、強化されたセキュリティ対策による保護措置を要求しています

  PIPEDAはカナダ国外への個人データの転送を規制していますか？

  いいえ。カナダのプライバシー法は、組織が米国を含むカナダ国外で個人情報を処理することを禁止していません。ただし、組織は、カナダ国外でアクセス、転送、または保存される個人情報を適切に保護する必要があります。

  カナダ国内でビデオ監視を実施する場合の主な考慮事項は何ですか？

  Verkada製品を導入してビデオ監視を実施する場合、以下の点を考慮する必要があります。

  • • 合理性: ビデオ監視技術は通常、以下の点を考慮したうえで、状況に応じて合理的かつ適切な方法で導入する必要があります。

    • 根拠のあるニーズ（窃盗、破壊行為、薬物使用、暴行が過去に起きたなど）

    • そのニーズがカメラを設置することでどのように満たされるかを明確にする

    • 得られるメリットと生じ得るプライバシーの喪失を比較してそれらのバランスを取る

    • ニーズを満たすうえで、よりプライバシーに配慮した方法はないか

    • 通知: ビデオ監視を実施して個人情報を収集する前に、その旨を個人に通知してください。通知には、個人が質問をしたり、自分が写っている画像または映像へのアクセスを要求したりする場合に必要な連絡先情報も含めてください（例: 個人が店舗や敷地に入る前に目にする位置に看板を設置する）。

    • 透明性と開示性: 関連する内部および外部のプライバシーポリシーに、ビデオ監視（実施目的を含む）に関する情報を適切に記載してください（プライバシーポリシーを掲載するうえで、Verkadaの[プライバシーとセキュリティの開示]機能が役立ちます）。

    • データ最小化: 可能な場合は、ビデオ監視による映像の収集を、お客様のニーズを満たすために本当に必要な範囲に制限してください（例: カメラの撮影範囲や録画時間を考慮する）。

    • 利用制限: ビデオ監視によって収集した映像は、通知またはポリシーに記載した理由に沿って利用するか、法律で許可されている目的にのみ利用してください（Verkadaの監査ログ機能およびビデオ共有機能が役立ちます）。

    • 保護措置: 記録された監視画像または監視映像は、アクセス制限のある安全な場所に保管してください。また、ビデオ監視によって収集した画像または映像は、収集した目的において不要になった時点で安全に破棄してください（Verkadaのセキュリティ機能にはこれらの重要な保護措置が備わっています。詳細については以下をご覧ください）。

    • ポリシー／対策: ビデオ監視ツールに関連した内部のポリシー、対策、および手順を導入してください。

    • データ主体アクセス要求（DSAR）: カナダのプライバシー法で許可されている場合、ビデオ監視によって収集した画像または映像に個人がアクセスできるようにしてください（Verkadaの監査ログ機能とビデオ共有機能が役立ちます）。

  カナダ国内のお客様がプライバシーに関する義務を遵守できるよう、Verkadaはどのようにサポートしていますか？

  Verkadaの製品とソリューションには、以下のプライバシー機能およびセキュリティ機能が備わっています。

  • • データ分離: お客様のインスタンスは、Commandプラットフォーム上で論理的に分離されます（利用制限、保護措置）。

    • 大規模なユーザーアクセス管理が可能: お客様は、アクセス権の付与を役割ベースで制御し、ニーズに合わせて特定のユーザーのアクセス権をさらに制限できます（利用制限）。

    • アクセスの監視: 物理的デバイスとユーザーアカウントの両方に関して詳細な監査ログが生成されます（保護措置）。

    • 暗号化: Verkadaの製品とソリューションが生成するデータおよびその他の情報は、保存時および転送時に暗号化されます（保護措置）。

    • 強力な認証: Commandにアクセスする際の認証方法として、多要素認証とシングルサインオン認証に対応しています（保護措置）。

    • システムの自動更新: システムの更新はデバイスおよびCommandプラットフォーム上で自動的にリリースされ、ユーザーが操作しなくても、パッチやアップデートが迅速に適用されます（保護措置）。

    • 定期的な評価: Verkadaのクラウドセキュリティ対策は、独立した第三者が侵入テストなどを実施して定期的に評価しています。Verkadaは、SOC2 Type2およびISO 27001／27017／27018認証を取得しています。希望するお客様には、監査報告書を提供いたします（保護措置）。

    • 業者管理: Verkadaは外部業者の評価を実施することで、業者が適切な情報セキュリティ管理を維持できるようにしています（保護措置）。

  Verkadaの情報セキュリティ対策および情報セキュリティ手順の詳細については、こちらをご覧ください。

  • • 場所: Verkadaのお客様は、データを保存するクラウドの場所を、米国、カナダ、オーストラリア、アイルランドなどから複数選択できます。さらに、VerkadaはEU、オーストラリア、米国にクラウドデータセンターを所有しており、クラウドデータセンターではデータの処理と保管の両方が可能です。

    • 保持: お客様は、法的ニーズまたはビジネスニーズに合わせて、クラウド上での保持期間を最短30日から365日（またはそれ以上）までの間で設定できます。

  ケベック州のプライバシー影響評価について、Verkadaはどのようなサポートを提供していますか？

  ケベック州（さらに、生体認証など、プライバシーへの配慮が必要な技術が使用されているカナダのほかの地域や、特定の管轄下にある公的機関）では、お客様は、ビデオ監視など、プライバシーに影響する技術を導入する前に、プライバシー影響評価（PIA）を記入しなければならない場合があります。お客様にはPIAを記入する責任がありますが、PIAには通常、カメラの設置場所、根拠となる内部ポリシー、プライバシーの利益とビジネスニーズとのバランスなどに関する質問が記載されています。このような質問に回答できるのはお客様のみですが、Verkadaのセキュリティ対策とセキュリティ手順に関する情報が役に立つかもしれません。こちらをご覧ください。

  詳細

  カナダでのビデオ監視ツールの使用または生体認証情報の収集に関する詳細は、カナダのプライバシー規制当局が発行した以下の資料をご覧ください。

  • ビデオ監視

    • Guidelines for Overt Video Surveillance in the Private Sector（Office of the Privacy Commissioner of Canada、2008年3月）

    • Guide to Using Overt Video Surveillance（Office of the Information and Privacy Commissioner of British Columbia、2017年10月）

    • Video Surveillance Guidelines for Public Bodies（Office of the Saskatchewan Information and Privacy Commissioner、2018年1月）

    • Guidelines for the Use of Video Surveillance（Office of the Information and Privacy Commissioner of Ontario、2015年10月）

    • Video Surveillance - Fact Sheet（Office of the Information and Privacy Commissioner of Ontario、2016年11月）

    • Video Surveillance Guidelines（Office of the Information and Privacy Commissioner for Nova Scotia、2019年12月）

    • Guidelines for the Use of Video Surveillance Systems in Schools（Office of the Information and Privacy Commissioner of Newfoundland and Labrador、2013年2月）

    • Guidelines for Video Surveillance by Public Bodies in Newfoundland and Labrador（Office of the Information and Privacy Commissioner of Newfoundland and Labrador、2015年6月）

    生体認証

    • Data at Your Fingertips Biometrics and the Challenges to Privacy（Office of the Privacy Commissioner of Canada、2011年2月）

    • Guidelines for identification and authentication（Office of the Privacy Commissioner of Canada、2016年6月）

    • Draft Guidance for processing biometrics – for organizations（Office of the Privacy Commissioner of Canada、2023年）

    • Draft Guidance for processing biometrics – for public institutions（Office of the Privacy Commissioner of Canada、2023年）

    • Biométrie（フランス語のみ）（Commission d’accès à l’information du Québec、2022年9月）

    • Biométrie : principes à respecter et obligations légales des organisations（フランス語のみ）（Commission d’accès à l’information du Québec、2022年9月）

• 国別の主要な法律および規制ガイド
  GDPRはEU全域という広範囲で適用されていますが、特定の国々では、カメラや生体認証に関する法令が付加的に定められています。これらの法令は、生体認証が使用されているか否かにかかわらず、ビデオ監視の実施に適用されるものです。また、EU域内であっても、各国のプライバシー規制当局は、GDPRを遵守したカメラ監視の実施方法について異なる見解を持っています。以下では、お客様がEU域内でのプライバシーに関する義務を遵守するうえで役立つ、主要国における固有の法令および規制に関するガイドを検討します。
• ベルギー

  カメラ

  ベルギーにおけるカメラの使用に関する規制は、Camera Surveillance Act（カメラ監視法）によって定められています。この法律は、敷地内の安全を確保する目的でカメラを設置する企業（公開企業および非公開企業）に適用されます。職場にカメラを設置する場合、労働法など、その他の法律が適用される場合があります。同法律の適用対象となるお客様は、以下のことを行わなければなりません。

  • 利用開始前に警察でカメラを登録し、その後も毎年警察で登録する
  • GDPRの要求事項に従って、画像処理の記録（カメラに関するその他の要求事項を含む）を保持する
  • カメラに関して必要な通知を記載した表示を掲示したり、ステッカーを貼付する
  • ビデオ監視カメラに関するポリシーを説明する

  オープンスペース（公道など、閉鎖的ではなく、一般の人々が自由にアクセスできるスペース）における民間機関によるカメラの使用には制限が適用されます。オープンスペースでの監視は、通常、公的機関によって許可されています。

  生体認証

  生体認証データの処理は、GDPRの「必要性」条件および「比例性」条件を満たす必要があります。例えば、非常に機密性の高いエリアがある場合、そのエリアへの従業員のアクセス手段として、バッジによるアクセス認証のみでは不十分で、第2の認証要素が必要です。さらに、ベルギーの規制当局は、生体認証情報を収集および処理する対象の個人から明示的な同意を得ることを要求する場合もあります。民間機関の職場において雇用主と従業員の間に見られる権限の不均衡を考慮すると、この要求は1つの課題と言えます。雇用主が従業員に一連の認証方法（物理的バッジ、PassApp、生体認証統合型のPassApp）から選択できるようにし、従業員が生体認証方法を自分で選択できる場合、基準を容易に満たすことができます。

  考慮すべき技術的要求事項 – お客様がデータを処理しない場所をカメラが撮影しないよう、慎重に配置してください（例: 幹線道路）

  • アクセスは守秘義務契約を結んだ者のみに制限し、必要な場合にのみアクセスするようにしてください
  • ポリシーや法的要求事項に沿った目的以外での第三者との共有を制限してください
  • 犯罪または損害の証拠として必要でない場合は、1か月経過した時点で画像または映像を削除してください
• フィンランド

  フィンランドには、カメラ監視に関する規制を定めた法律が2本あります。Act on the Protection of Privacy in Working Life（労働生活におけるプライバシーの保護に関する法律）（2004/79）とCriminal Code of Finland（フィンランド刑法）（1889/39）の2本です。前者では、以下のいずれかの目的で監視カメラを使用することが許可されています。

  • 職場の従業員および職場にいるその他の人物の安全を確保するため
  • 生産プロセスの適切な運用を監視するため
  • それらを危険にさらす可能性のある状況を防ぐ、または調査するため

  カメラ監視に関して、職場で働いている特定の従業員の監視やプライバシーが求められる場所（トイレ、更衣室、その他の類似した場所）の監視が制限されることもあります。

  通常、雇用主が職場に監視システムを導入できるのは、以下のいずれかの目的を達成するために不可欠な場合です。

  • 従業員に対する脅威が明確に認められる危害や危険を防ぐため
  • 従業員が金銭や金融商品、高価な物品を取り扱う業務を担当する場合に、窃盗犯罪を防ぐ、または調査するため
  • 監視対象の従業員の安全を確保するため

  フィンランド刑法では、違法監視、つまり、私的な場所（例: 私的空間におけるプライバシーが保護されるべき、トイレや更衣室、その他の類似した場所）もしくは一般公開されていない場所でカメラを使用して人物を違法に監視したり撮影したりすることが禁止されています。こうした保護は、一般の人々が自由にアクセスできる公共の場所には適用されません。私的空間におけるプライバシーが保護されるべき領域には、集合住宅、誰かが滞在しているホテルの個室、私的イベント、一般公開されていないその他の集まり、病院での入院などがあります。

• フランス

  フランスでは、カメラに関する特定の法律はありませんが、生体認証に関する規制ガイドがあります。フランスの規制当局は、生体認証データの収集が適切かどうかを判断する際の最初の手順として、物理的バッジやエントリーキーなど、データ主体へのプライバシー侵害の度合いが低いソリューションがあるかどうかを検討する場合があります。

  雇用に関連する状況では、以下のようなカメラの使用に対して、制限（または要求事項）が課される場合があります。

  • 私的な場所で、同意なしに画像または映像を記録したり、その画像または映像を送信したりすること
  • 通常、以下の場所での撮影は許可されていません。
    • 従業員の作業スペース（従業員が金銭または高価な物品を取り扱っている場合を除く）
    • 従業員用の休憩エリア
    • トイレ
    • 労働組合または人事担当者のオフィス
  • ビデオ監視を開始する前に、通知する必要があります（例: 人事プライバシーポリシーなどによる通知）
  • 従業員の活動を管理するためにカメラを使用する場合、労使協議機関との協議が必要になる場合があります 一般公開されている場所（公共エリアの出入り口、ショッピングエリア）を撮影するためにカメラを設置する場合、フランス国内安全法（French Internal Security Code）の規定が適用される場合があります。このようなカメラの使用には事前の承認が必要であることに注意してください。
• ドイツ

  ドイツでは、プライバシー法に加えて、芸術著作権法、刑法、警察法、議会法、集会法など、地域のその他の法律も関係する場合があります。これらの法律では、以下の点が制限されています。

  • 公共の利益となる場合（例: 犯罪行為の画像または映像）を除き、画像または映像に写っている人物の同意なしに、その画像または映像を一般に配布もしくは公開すること
  • プライベートな場所（例: 寝室やトイレ）や弱い立場にある人物（暴力行為の被害者）を撮影すること、または、公共の利益が優先される場合（例: 芸術、化学、研究、教育）を除き、評判を傷つけるような方法で撮影すること
  • 警察が行動パターンを検出するためにビデオ記録（72時間後に削除される）を使用すること、警察が抗議活動や集会を監視すること
• オランダ
  生体認証データの処理は、GDPRの「必要性」条件および「比例性」条件を満たす必要があります。例えば、非常に機密性の高いエリアがある場合、そのエリアへの従業員のアクセス手段として、バッジによるアクセス認証のみでは不十分で、第2の認証要素が必要です。さらに、オランダの規制当局は、生体認証情報を収集および処理する対象の個人から明示的な同意を得ることを要求する場合もあります。民間機関の職場において雇用主と従業員の間に見られる権限の不均衡を考慮すると、この要求は1つの課題と言えます。雇用主が従業員に一連の認証方法（物理的バッジ、PassApp、生体認証統合型のPassApp）から選択できるようにし、従業員が生体認証方法を自分で選択できる場合、基準を容易に満たすことができます。
• スウェーデン

  GDPRに加えて、Swedish Camera Surveillance Act（スウェーデンカメラ監視法）（Sw. Kamerabevakningslagen）では、追加の義務が課されており、場合によってはお客様が承認を得ることが必要になります。 この法律は、スウェーデン国内に設置されたカメラに適用されます（カメラを運用する企業がスウェーデン国内に所在しているかどうか、また、生体認証データが使用されるかどうかは関係ありません）。公共の利益となる業務を遂行するために監視を実施する場合、カメラの設置場所によって、事前の承認が必要となります。例えば、校庭や入口の監視には事前の承認が必要な場合がありますが、教室や廊下の監視には通常、承認は必要ありません。

  承認が必要な場合、企業（Verkadaのお客様）は、指定されたフォームに必要な情報を記入しなければなりません。フォームには、こちら（スウェーデン語のみ）からアクセスできます。フォームには以下の情報を記入する必要があります。

  • 監視を実施する企業の情報。または、第三者が管理するかどうかを指定します（お客様が決定します）
  • 監視の目的（お客様が決定します）
  • 監視の説明。特に、機器、場所、エリア、時間（お客様が決定します）
  • 監視の必要性の評価、および監視の目的に対する監視の比例性の評価（お客様が決定します）
  • プライバシーに対するリスク評価とリスク軽減策の説明（お客様は、プライバシーリスクを軽減する方法の証拠として、ビデオ記録の削除など、Verkadaの対策の一部を挙げることができます）
  • カメラ監視を実施するのが公的機関ではない場合、カメラ監視の法的根拠を示す法律、その他の法令、団体協約、決定のいずれか
  • 雇用に関連する状況で実施される場合、安全担当者、安全委員会、職場の労働者を代表する組織のいずれかの見解を同時に提出しなければなりません
  • お客様は、承認申請を行う前に当局との話し合いを開始することで、手続き全体を通じて定期的なコミュニケーションを維持できます
• 英国

  カメラと生体認証

  英国のプライバシー規制当局であるICOは、CCTV、自動ナンバープレート認識（ANPR）、顔認識技術、生体認証データなどに関連してビデオ監視を実施する組織に詳しいガイドを発行しました。この包括的なガイドには、例えば、以下の点が記載されています。

  • 監視システムにはプライバシーリスクが内在しているため、生体認証を使用しない場合でも、データ保護影響評価（DPIA）が常に必要となる可能性が高いです
  • 生体認証データのような機密データの処理には、GDPRの原則を遵守する手順や、保持および消去に関するポリシーを説明する「適切なポリシー文書」が別途必要です（文書は、処理が完了してから6か月後まで定期的に更新する必要があります）
  • 処理に関する記録文書を保存する必要があります（GDPRの文書化要求事項）
  • 職場では、以下の点に留意する必要があります
    • 特にDPIAの過程では、従業員との話し合いが必要な場合があります
    • カメラはリスクのある特定のエリアに向けなければなりません
    • 継続的な監視には正当な理由がなければなりません
    • 生体認証の代替手段を用意しなければなりません
  • 犯罪防止のためにCCTVを使用する場合もICOにデータ保護料を支払う必要があります
  • 登録と支払いはオンラインで可能です（詳細についてはこちらをご覧ください）

  考慮すべき技術的要求事項

  • 音声はデフォルトでオフになっている必要があります。特別な事情がある場合にのみ使用してください
  • セキュリティ対策として以下の点を実施する必要があります。
    • アクセス制限および複製機能の制限
    • システムがネットワークに接続されている場合、十分な保護措置
    • 第三者への開示に関する管理
    • 従業員のトレーニング
    • 監視システムの誤用が犯罪行為に相当する可能性があることの通知
  • ANPRを利用する場合、ミスマッチを防止するために、データベースを最新かつ正確な状態に保ち、十分な品質を維持しなければなりません
  • ナンバープレートの誤認識を防止するため、十分な性能のカメラ（および使用するアルゴリズム）を使用しなければなりません
  • 顔認識関連のDPIAでは、バイアス防止対策を説明しなければなりません
  • 顔認識技術またはその他の生体認証データを使用する場合、お客様は以下を提供できなければなりません
    • 使用することが必要である、または公共の利益となると言える理由に関する「法的根拠」の説明
    • プライバシー侵害の度合いが低い選択肢を除外した理由
    • 顔認識技術を使用する目的が達成される可能性の評価
    • 有効性を測定する方法に関する説明
• 韓国

  韓国の個人情報保護法（PIPA）は、個人情報の収集と使用、特に顔認識に使用される顔の形状など、機密性のある「生体認証情報」に関する規制を課しています。

  民間機関:

  • 同意要件: 民間機関が生体認証データを収集または処理する場合、明示的かつ具体的な同意が必要となります。
  • 通知: 個人には、収集されるデータおよびその目的を明確に通知する必要があります。

  公共機関:

  • 限定的な例外: PIPAは、公共機関（法執行機関、公衆衛生、国家安全保障など）での生体認証の使用に対して限定的な例外を設けています。- プライバシーの評価: 顔認識を導入する前に、その必要性、適正な利用、適切なガバナンスを証明するために、プライバシー影響評価やリスク評価を行うことが重要です。

  職場:

  • 文書化された同意: 顔認識を使用する雇用主は、明確に文書化された具体的な同意を得る必要があります。
  • ベストプラクティス: 推奨される方法には、同意書への署名やインタラクティブなオンライン承認があります。
  • 代替アクセス: 同意が得られない場合は、キーカードの選択肢やその他の代替手段を提供する必要があります。
  • 訪問者の同意: 訪問者については、サインイン時に明示的かつ個別に同意を得てから、顔認識を使用する必要があります。

  韓国での大規模なまたは高リスクの環境におけるセキュリティ対策、データ保存、プライバシー影響評価（PIA）の詳細については、個人情報保護委員会の生体認証情報保護に関するガイドラインを参照してください（韓国語版はこちらから入手可能）。

• ニュージーランド

  2020年ニュージーランドプライバシー法（以下「法律」）では、情報プライバシー13原則に基づき、個人情報の収集と使用について規定されています。これらの原則に基づき、個人データの処理方法が定められ、自分の個人情報を閲覧および検証する権利が当人に付与されます。

  この法律では生体情報を特に分類していませんが、プライバシー委員会は最近、生体情報の処理プライバシー規定（以下「規定」）を確定しました。この規定は生体情報処理に関するもので、新しい生体認証システムに対しては2025年11月3日に施行されます。既存の処理システムの使用者は、2026年8月3日までに準拠する必要があります。健康情報に関するプライバシー規定で定義された保健機関、特定の情報／セキュリティ機関、個人的な目的で使用される消費者デバイスなどは、この規定から限定的に除外されています。

  生体情報の収集における当人の明示的な同意は義務付けられてはいません。その代わりに、通知、透明性、公正な使用の原則に基づき、当人に生体情報の収集について知らせること、使用を管理することが求められています。特筆すべきこととして、プライバシー委員会の指針（以下に記載）では、その他の条件がすべて満たされている限り、小売環境で照会リスト（警告のために生体システムに登録された個人リスト）を管理するために生体認証を使用することが一般的に許可されています。条件には以下などが含まれます。

  • 必要性と比例性の実証: 生体情報の使用の利点がプライバシーリスクを上回ることを「プライバシー評価」によって提示する。
  • 目的／保持制限の実行: 生体情報は記載された目的のみに使用し、合理的に必要な期間のみ保持する。
  • 通知と透明性の確保: 収集前または収集時に、処理に関する明確で透明性のある通知を行い、生体処理の代替手段があるかどうかを開示する。
  • 生体照会リストのためのプライバシー保護措置の実施: 照会リストの使用を開始する前に、一致しないデータを保持しない仕組みを導入すること、安全であれば照会リストに登録したことを当人に通知する（そうでない場合はウェブサイトにその存在を掲載する）こと、照会リストへの追加に異議を申し立てる公の仕組みを提供すること、精度確保のため措置前の人による監視を実施することを検討する。
  • 訓練／ガバナンス: 操作者が適切に訓練され、人による監視が実施され、生体システムの定期的なテストと監査が実行されるように手配する。
  • セキュリティ保護措置: 収集された生体情報に対する適切なセキュリティ対策を講じ、これらの措置がベンダーとの契約文書に確実に記載されるようにする。

  試験的パイロットプログラムは、プログラムが効果的であることを確認するうえで、また、必要性と比例性の要件を満たすうえで不足している証拠を集めるためにも推奨されます。

  プライバシー委員会が提供する有用な資料については、規定の遵守に関するガイダンスをご覧ください。

• オーストラリア

  1988年プライバシー法（以下「法律」）では、オーストラリアプライバシー13原則（以下「APP」）に基づき、個人情報の収集と利用について規定しています。同法では、個人データの取扱方法が定められ、自分の個人情報を閲覧および検証する権利が当人に付与されます。また、生体情報は「機微情報」に分類され、その収集および利用には、さらに厳格な義務が課されます。生体データの処理には、当人の明示的な同意が事前に必要とされます。ただし、生命、健康、安全への切迫した重大な危険や、違法行為が発生している場合を除きます。

  この例外を適用するためには、以下の要件を満たす必要があります。

  • 通知と透明性: 生体データの取得について、処理される時と場所を明確にし、公に開示する。これには、処理の内容と範囲、生体データの保持期間、その後の対応が必要な場合の連絡先情報が含まれる。
  • 比例性: 生体データの収集は「合理的に必要」で比例原則に応じたものとし、無差別に処理されないようにする。
  • プライバシー評価: 生命や財産に対する重大な危険への対応もしくは重大な違法行為の防止に生体データ処理が必要であることを記録した影響評価を作成する。
  • ガバナンス: システムの使用者を指導するための明確な方針を策定し、この技術の使用者を十分に訓練する。
  • 監査: 方針遵守を担保するため、使用者の操作を監督および監視する。

本ウェブサイト上の情報は情報提供のみを目的としており、いかなる事項についても法的助言を構成するものではなく、法的助言を意図するものでもありません。この情報を閲覧することにより、閲覧者は、閲覧者と発行者の間に弁護士と依頼者の関係が生じないこと、また、本ウェブサイト上の情報が弁護士免許を持つ弁護士からの法的助言の代わりとして使用されるべきではないことを理解するものとします。本ウェブサイト上の情報は、最新の法的情報またはその他の最新情報を反映していない可能性があります。本ウェブサイトには外部のウェブサイトへのリンクが含まれていますが、これらのリンクは閲覧者、ユーザー、またはブラウザの便宜のためにのみ提供されており、Verkadaが外部サイトのコンテンツを推奨または支持していることを示すものではありません。特定の法的問題に関して法的助言が必要な場合は、閲覧者自身の弁護士に相談することが推奨されます。