日本語
English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
ホームページ
May 27, 2023
規制の問題
Trova articolo
記事を探す
個人を特定できる神経データは、目的に関係なく常に個人情報とみなされます。 ただし、英国の GDPR では、ニューロデータを特定の形式の個人情報または特別なカテゴリのデータとして明確に定義していません。 したがって、組織は次の両方を慎重に検討する必要があります。
主な課題には次のようなものがあります。
たとえば、神経データが医療目的で収集および処理される場合、それは英国の GDPR 第 9 条第 1 項に基づく特別カテゴリの健康データ (SCD) となる可能性があります。 したがって、第 6 条に基づく処理の法的根拠と、第 9 条に基づく特別カテゴリのデータ処理の条件を満たすことが必要です。組織は、処理の適切な根拠を特定することができ、同意が適切な法的根拠と特別カテゴリの条件となる可能性があります。
民間企業の Neurorights Foundation などの一部のグループは、あらゆる場合に神経データが処理される前に明示的な同意を提供することを推奨しています。14 このような問い合わせには慎重に対処する必要があります。 医療上の同意は依然として明確かつ重要な問題ですが、データ処理に対する明示的な同意は、英国の GDPR に基づくさまざまな適切な特別カテゴリー条件の 1 つにすぎません。 それは本質的に他の条件よりも「優れている」わけではありません。 組織は何が最も適切かを慎重に検討する必要があります。
消費者の目的で個人情報を使用する際の同意への広範な自動的な依存も混乱を引き起こす可能性があり、英国の GDPR の下では不適切となる可能性があります。 同意の使用を求める広範な対話と呼びかけにより、人々は自分の情報を使用する組織への同意を自動的に撤回する権利があると考えるようになる可能性があります。 実際、組織は処理に他の適切なベースを使用する可能性があり、それについて透明性を保つ必要があります。どれの彼らが使用した根拠と適用される権利。 常に同意に焦点を当てるのではなく、処理の透明性が、組織が情報をどのように使用しているかを人々が理解するのに効果的であることが判明する可能性があります。
まれに、組織が神経データを直接使用して自然人を識別または検証する場合があります。 この場合は特別なカテゴリです生体認証 GDPR 第 9 条第 1 項にも該当するデータ。 ただし、技術的には実現可能ですが、シナリオで検討されているように、ほとんどの用途は機密扱いになる可能性があります。 これは、他の堅牢な生体認証方法と比較して、この方法で個人を識別するのに費用がかかり、複雑であるためです。 情報がどこにあるか5月組織が個人を特定できるようにするため、神経データは英国の GDPR 第 4 条 (14) に基づいて生体認証データとなる場合もあります。 したがって、これは個人情報ではありますが、特別なカテゴリのデータではありません。 (特別なカテゴリの生体認証データでは、組織が一意の識別を目的として個人情報を処理する必要があります)。 個人情報を処理する組織は、使用している情報がいつ、どのように個人の特定を可能にするか、またどのような影響が考えられるかを考慮する必要があります。
対照的に、組織は、特別なカテゴリのデータを処理するための追加の保護手段を適用せずに、一部の大規模な神経データを広範囲に使用する場合があります。
たとえば、上記のシナリオの多くは、雇用、幸福、娯楽などの目的で、人々を感情的および行動的に分類することについて説明しています。 したがって、さらなるプロファイリングや匿名化が解除されるリスクがあります。 これは、収集される情報が複雑になり、情報と個人を関連付けることが容易になったためです。 組織は、最大限の利益を実現するために、識別または検証後に情報を意図的に個人にリンクする可能性があります。
このような場合、組織は英国 GDPR 第 9 条の特別カテゴリ データの定義を満たしていない可能性がある情報を保有している可能性がありますが、悪用されると重大な損害をもたらす可能性があります。 (特に、自主性の喪失、差別、萎縮効果、個人レベルでの個人的苦痛)。15 このような情報の大規模な処理は、ベストプラクティスの促進に課題を引き起こす可能性があります。 これは、明示的に特別なカテゴリー データとしてカウントされないコンテキストで使用される場合でも、神経データを大きな影響と高いリスクとして考慮する必要性を強調しています。 最後に、組織は、個人情報が特別なカテゴリのデータになる可能性があるかどうかについても常に認識しておく必要があります。 たとえば、メンタルヘルスデータを明らかにする可能性のある集中力などの従業員情報を追跡します。
英国の GDPR に基づいて、すべての個人情報を処理するための強力な保護が導入されています。 神経データを処理する組織にとって、英国 GDPR 第 9 条の目的において、神経データがどのような場合に健康に関するデータとみなされるのかを明確にすることが重要です。 これは、私たちが最近のテクノロジーホライゾンズレポートでさらに詳しく調査した問題です。 組織は、神経データが人の生理学に由来するという理由だけで、直ちに健康データであると想定すべきではありません。 また、組織は、複雑な処理に生体認証データの処理が含まれる場合と、生体認証データが特別なカテゴリのデータである場合の状況を明確にする必要があります。
神経データの処理は特に斬新であり、個人情報の親密な性質が明らかになるため、重大なリスクが生じます。 ニューロテクノロジーは人々が気づいていない情報を収集することができます。 神経データには、他の多くの種類のデータの中でもとりわけ、感情状態の推定、職場または教育の有効性と取り組み、メンタルヘルスに関する医療情報が含まれます。 組織は、これらのカテゴリの個人情報を収集し、さらに処理することにより、人々のデータ保護の権利を著しく危険にさらす可能性があります。
ニューロテクノロジーは、(たとえば、集中力のレベルや神経変性病状の兆候ではなく)感情や複雑な行動を分析する場合に、特定のリスクをもたらします。 人間の感情の分析を支える科学については、多くの議論がなされています (Biometrics Foresight レポートで検討したように)。 多くの関係者や学者は、アルゴリズムが感情的な手がかりを正確に検出できるかどうかについて大きな懸念を抱いています。 人間の脳の定量的データのセットからそのような複雑な推論を引き出すプロセスは、依然として非常に困難であることが予想されます。
組織がますます大規模なデータセットを導き出して分析するにつれて、2010 年平等法などの関連法の下ではこれまで認識されていなかった新たな形態の差別が出現する可能性があります。これらのモデルの堅牢かつ独立した検証がなければ、これらのアプローチは、体系的な偏見に根ざしており、人々やコミュニティに関する不正確で差別的な情報を提供する可能性があります。 この情報は、多くの場合、自動システムに入力される可能性があります。 そうなると、第 22 条の処理と透明性 (前述の自動処理とプロファイリングに関連する権利を規定する) に関してさらなる疑問が生じる可能性があります。 特に、神経多様性のある人々は、神経規範パターンに基づいて訓練された不正確なシステムやデータベースから差別される危険にさらされている可能性があります。
あるいは、組織的ではなく積極的な差別が現れる可能性もあります。 組織は、特定の神経パターンや情報が 2010 年平等法などの現行法で保護される特徴とみなされていない場合、それらを望ましくないものとみなす可能性があります。人々は、認識された感情状態に基づいて提供される仕事やサービスにおいて不公平な扱いを受ける可能性があります。あるいは、これまで認識されていなかった、または診断されていなかった身体的または精神的状態さえも。
差別はデバイスを通じても発生する可能性があります。 個人データを収集して使用する組織を通じてだけではありません(上記)。 専門家らは、データ収集の正確性と信頼性を確保するために、さまざまな人を対象にデバイスを試用および評価しないと、リスクが生じる可能性があると指摘しています。 これは、正確かつ適切な情報を収集するために、デバイスが適切かつ快適に設置されていることを確認するのと同じくらい簡単な場合があります。 これが行われない場合、デバイスのキャリブレーションの問題によりデータ セットが偏り、不完全になるリスクが高まります。
上で述べたように、医療以外の状況では、神経データは特別なカテゴリのデータとして分類されない場合があります。 これにより、その処理に関する法的保護手段と制限が軽減されます。 その結果、組織はベスト プラクティスを実装できなくなる可能性があります。 たとえば、技術的セキュリティに関しては、神経データが紛失や盗難から安全に保たれるようにするためのものです。 情報の機密性に関するこのリスクについても上で説明しました。
個人情報を本人が知らないときに使用することについて、組織に対して十分なインフォームド・コンセントを提供できる状況はありますか?何この情報の正確な性質は何ですか? これは、組織が神経データの処理に対して有効な同意を得ることができるかどうかを考えるときの基本的な問題です。 特別なカテゴリのデータのしきい値を満たさない神経データを使用する場合でも、組織は英国の GDPR 第 6 条に基づいて個人データを処理するための法的根拠を特定する必要があります。 組織が商業目的で考慮すべき潜在的に関連する根拠は、同意、正当な利益、契約の履行です。
たとえば、オンライン ゲームのパフォーマンスを向上させるために EEG ヘッドセットを使用している場合、公開される可能性のある情報の正確な性質を本当に認識し、理解することができるでしょうか。 組織もそれを知っているのでしょうか? 同意を使用するリスクをさらに高めるのは、情報の流れを完全に理解するための神経データの収集と使用に関する技術的知識を多くの人が持っていない可能性があるという事実です。 ただし、組織は、有効な同意を得るために収集した情報から導き出そうとしている推論について、具体的な保証を提供できるかどうかを検討する場合があります。 組織がこれに依存している場合は、処理の基礎としての同意の使用に関する当社のガイダンスを検討する必要があります。
雇用に関するシナリオの中でも、組織は情報を収集するために他の技術よりも神経データを使用する明確な必要性を示す必要があります。 雇用主と従業員の間の力の不均衡を考慮すると、ほとんどの場合、同意は処理の適切な根拠ではない可能性があります。
処理に対する同意が不適切な場合、組織は、正当な利益または契約上の義務を使用することが適切である場合も考慮する必要があります。 これは、娯楽や幸福の処理において特に重要であることが判明する可能性があります。 このような場合、正当な利益についての 3 部構成のテストに合格するのは難しいことが判明する可能性があります。 これは、デバイスから得られる情報のリスクが高く親密な性質を持っていること、またデバイスが提供する情報について人々に明確な期待や理解を示すことが難しいためです。
上で述べたように、神経データの処理を計画している組織が検討すべき、英国 GDPR に基づく処理の基礎に関するガイダンスをすでに提供しています。
専門家の関係者は、クローズドループ処理が新興ニューロテクノロジーデバイス全体でますます普及するだろうと私たちに懸念を表明しています。 これらのデバイスは、脳からの電気パターンの形で個人情報を評価する自動アルゴリズム処理を使用します。 これらは、ユーザーによるプロンプトがなく、人間による大幅な介入なしに自動化されたアクションを実行します。 閉ループ処理は、ニューロテクノロジー、特に埋め込み型デバイスの臨床機能を強化するために研究されています。 AI や機械学習 (ML) を使用することが多い閉ループ ニューロテクノロジーでは、不適切な自動処理のリスクが高まる可能性があります。 英国の GDPR 第 22 条に基づき、人々は、適切な条件が整わない限り、「プロファイリングを含む自動処理のみに基づいた、自分に関して法的効果を生み出す、または同様に重大な影響を与える決定の対象とならない権利を有します」。処理は第 22 条 (2) に基づいて行われます。 条件の 1 つは明示的な同意ですが、前述のように、これには独自の課題がないわけではありません。
自動化された意思決定とプロファイリングに関する当社のガイダンスでは、「同様に重要な効果それは、人の状況、行動、選択に同等の影響を与えるものです。 上記のシナリオで検討したように、ニューロテクノロジーとそれに関連する処理は、人々の行動に重大な影響を与える可能性があります(たとえば、集中力、生産性、睡眠に影響を与えるなど)。 完全に自動化された情報処理に適切な条件が存在する場合、これは重大な課題となります。 英国の GDPR に基づく有意義な人的介入は、決定に異議を唱え、必要に応じて決定を覆すことができなければなりません。 これは、たとえば神経刺激や脳から音声への出力では不可能な場合があります。 組織は、神経データとニューロテクノロジーにとって適切な介入とはどのようなものかを検討する必要があります。
たとえば、情報の処理方法を定義するために、デバイス パラメータがユーザーによって以前に設定されている (そして将来変更される) 可能性があります。 これらは、品質と研究の目的で、組織によって定期的に見直される場合があります。 しかし、これは第 22 条に基づく有意義な介入の要件を満たさない可能性があります。これは、処理の後ではなく処理の前に行われるためです。 組織は、データ フローにおける個人の役割も考慮する必要があります。 データまたはパラメータのみを入力しても、依然として自動処理のみが行われる可能性があります。
福利厚生、雇用、娯楽などの他の用途では、組織は自動化された処理だけの代わりに、適切な人間の関与を実装する必要がある場合があります。
さらに、神経刺激または神経調節の処理により、個人の個人情報を評価し、これについて意思決定を行う能力が根本的に変化する可能性があります。 おそらく、より広範に関連するのは、多くの人が、特にデバイスが利用できる唯一または最善の治療法である場合に、複雑なシステムを理解し、どのように操作するかを決定するための専門知識が不足していると感じているという事実です。
最後に、クローズドループ処理の複雑さは、個人情報の透明性と正確性の両方に影響を与える可能性があります。 自動化された意思決定のみを使用している組織は、第 22 条に違反しないことを確認する必要があります。システムに意味のある人間の介入が存在する場合でも、組織は AI ガイダンスを考慮する必要があります。 これは、十分に複雑なアルゴリズム処理は、その複雑さとデバイスのユーザーに対する透明性の欠如により、単に自動化された処理としてみなされる可能性があることを説明しています。
神経データを収集して使用すると、英国の GDPR に基づく精度要件を遵守する組織の能力が問われる可能性があります。 精度の低下は次の原因で発生する可能性があります。
英国の GDPR の第 5 条 (1) (d) に基づき、個人データは「正確であり、必要に応じて最新の状態に保たれなければなりません。目的を考慮し、個人データが不正確であることを保証するためにあらゆる合理的な措置を講じなければなりません」それらは処理され、遅延なく消去または修正されます (「正確さ」)。」
これは、神経データと神経可塑性に関して重要な疑問を引き起こします。 神経データはどれくらいの期間正確さを保てますか? 生年月日、遺伝情報、特定のハード生体認証データなど、一部の情報は永続的または固有のものです。 ただし、神経データは、ある瞬間から次の瞬間まで流動しています。 記録およびセンシング機能の進歩により、神経データはより詳細かつ正確になる可能性があります。 他の種類の生体認証データと組み合わせると、現在は不可能な新しい洞察が明らかになる可能性もあります。 組織は、引き出している推論の影響と比較した精度のしきい値を検討する際に、AI ガイダンスを参照する必要があります。
このため、ニューロデータを使用する組織は、ニューロデータの単一のインスタンスやスナップショットに基づいて意思決定を行わないようにする必要があります。 これは、ほとんどではないにしても、神経データを解釈する多くの技術が、精度を達成するために時間をかけて収集された大量の比較データに依存しているためです。
組織は処理目的で十分な情報を収集する必要がありますが、特定の時点で決定を下すことを明確にする必要があります。 たとえば、組織が特定の時点で達成した意思決定や成果は、その段階では正確だったかもしれませんが、脳の神経可塑性により、後日正確ではなくなる可能性があります。
特に健康データや医療に関して、この情報を保持する適切な理由がある場合があります。 しかし、これはデータ最小化の要件につながります。 組織は、正確かつ公平な成果物を提供するために、必要最小限の情報を保持するように努めるべきです。 正確性と公平性を確保するために情報を保持する一方で、過剰な情報を保持しないこととの間でバランスを取る必要があります。
関係者から、神経科学研究は発展途上にあるため、追加の情報源、特に研究室の外からの長期的な情報が必要であるとの報告がありました。 特に医学研究者は、神経変性状態、特に精神的健康をより深く理解するために、市販の機器から情報にアクセスしたいと考えています。 これにより、データ フローが複雑になる可能性があり、組織が透明性のある情報を提供することが困難になる可能性があります。
この目的で情報の共有を検討している組織は、英国の GDPR に基づく調査規定に関するガイダンスをお読みください。
新興のニューロテクノロジーは、情報法の権利を行使する人々に新たな課題を引き起こす可能性があります。 これは、これらのテクノロジーを使用して個人情報を処理する組織が認識し、対応する必要があることです。 次の例は、英国の GDPR に基づくデータ権利に関連する問題の一部を示しています。
14 彼らは技術者に「ヒポクラテスの誓い」を要求することを提案している (lavanguardia.com)
15 規制政策方法論フレームワーク バージョン 1-20210505.pdf (ico.org.uk)
どの生体認証が同様に重要な影響を与えるか アクセスの権利 修正の権利: ポータビリティの権利 消去の権利