ニュース

Jun 04, 2023

プロファイリングを含む自動化された意思決定に関連する権利

Trova articolo

記事を探す

英国の GDPR に準拠するには...

☐ 当社にはプロファイリングや自動化された意思決定を実行する法的根拠があり、これを当社のデータ保護ポリシーに文書化します。

☐ 当社が個人データを間接的に取得した場合、当社のプライバシー ステートメントへのリンクを個人に送信します。

☐ プロフィールの作成に使用した情報の詳細にユーザーがアクセスする方法について説明します。

☐ 当社は、個人データを提供する人々に対し、マーケティング目的のプロファイリングを含むプロファイリングに反対する方法を伝えます。

☐ 当社では、顧客がプロファイルに入力された個人データにアクセスして、正確性の問題を確認および編集できるようにするための手順を用意しています。

☐ 当社では、脆弱なグループ (子供を含む) を保護するために、プロファイリング/自動意思決定システムに対して追加のチェックを実施しています。

☐ 当社は必要な最小限のデータのみを収集し、作成したプロファイルには明確な保持ポリシーを設けています。

ベストプラクティスのモデルとして...

☐ 当社は、新たに自動化された意思決定やプロファイリングを開始する前に、リスクを検討して対処するために DPIA を実行します。

☐ 当社は、当社が実行するプロファイリングと自動化された意思決定、プロファイルの作成に使用する情報、およびその情報の入手先についてお客様に伝えます。

☐ 当社はプロファイリング活動で匿名化されたデータを使用します。

英国の GDPR に準拠するには...

☐ 当社は、個人に対するリスクを特定し、それにどのように対処するか、英国の GDPR 要件を満たすためにどのような対策を講じているかを示すために DPIA を実施します。

☐ 当社は契約上の目的で第 22 条第 1 項に基づく処理を実行しており、それが必要な理由を証明できます。

または

☐ 当社は、個人の明示的な同意を記録しているため、第 22 条第 1 項に基づいて処理を実行します。 いつ、どのようにして同意を得たかを示すことができます。 私たちは個人に対して、同意を撤回する方法と、それを行うための簡単な方法を伝えます。

または

☐ 当社は、権限を与えられている、またはそうする必要があるため、第 22 条第 1 項に基づいて処理を実行します。 これが私たちの目的を達成するための最も適切な方法です。

☐ 当社は、法的根拠があり、その根拠が何であるかを実証できる場合を除き、自動意思決定システムで特別なカテゴリのデータを使用しません。 誤って作成された特殊カテゴリデータは削除されます。

☐ 当社は、プロファイリングを含む自動化された意思決定プロセスを使用していることを説明します。 私たちがどのような情報を使用するのか、なぜそれを使用するのか、どのような影響があるのか​​について説明します。

☐ 人々が自動化された決定を再考するよう求める簡単な方法があります。

☐ 私たちは、組織内でレビューを実行し、決定を変更する権限を有するスタッフを特定しています。

☐ 当社はシステムの精度と偏りを定期的にチェックし、変更を設計プロセスにフィードバックします。

ベストプラクティスのモデルとして...

☐ 私たちは、どのような情報を収集/使用するのか、そしてなぜそれがプロセスに関連するのかを説明するためにビジュアルを使用します。

☐ 当社は、顧客との信頼を築くために一連の倫理原則に[標準]に署名しています。 これは当社のウェブサイトおよび紙面で入手できます。

自動化された個別の意思決定は、人間の介入なしに自動化された手段によって行われる意思決定です。

この例には次のようなものがあります。

自動化された個人の意思決定では、プロファイリングを行う必要はありませんが、プロファイリングを行う必要がある場合もあります。

英国の GDPR では、プロファイリングとは次のように述べられています。

「自然人に関する特定の個人的側面を評価するための個人データの使用からなる個人データのあらゆる形式の自動処理。特に、自然人の仕事上のパフォーマンス、経済状況、健康、個人の好みに関する側面を分析または予測するため、興味、信頼性、行動、場所、または動き。」

【第4条(4)】

組織は、さまざまな情報源から個人に関する個人情報を取得します。 携帯電話、ソーシャル ネットワーク、ビデオ監視システム、モノのインターネットから収集されるインターネット検索、購買習慣、ライフスタイルおよび行動データは、組織が収集する可能性のあるデータの種類の例です。

情報は、アルゴリズムと機械学習を使用して分析され、人々をさまざまなグループまたは分野に分類します。 この分析では、さまざまな行動と特性の間の関連性を特定し、個人のプロファイルを作成します。 アルゴリズムと機械学習についての詳細は、ビッグデータ、人工知能、機械学習、データ保護に関する論文に記載されています。

類似しているように見える他の人の特徴に基づいて、組織はプロファイリングを次の目的で使用します。

これは、医療、教育、金融サービス、マーケティングなど、多くの分野の組織や個人にとって非常に役立ちます。

自動化された個人の意思決定とプロファイリングにより、より迅速で一貫性のある意思決定が可能になります。 しかし、それらが無責任に使用されると、個人にとって重大なリスクが生じます。 英国の GDPR 規定は、これらのリスクに対処するように設計されています。

英国の GDPR では、個人に対して法的または同様に重大な影響を与える、プロファイリングに基づく意思決定を含む、自動化された意思決定のみを行うことを制限しています。

「データ主体は、彼または彼女に関して法的効果を生み出す、または同様に彼または彼女に重大な影響を与える、プロファイリングを含む自動処理のみに基づく決定の対象とならない権利を有するものとします。」

【第22条第1項】

何かを完全に自動化するには、意思決定プロセスに人間が関与してはなりません。

この制限は、法的効果または同様に重大な効果を生み出す、自動化された個人の意思決定のみを対象としています。 このような種類の影響は英国の GDPR では定義されていませんが、この規定の適用を受けるには、その決定が個人に重大な影響を与える必要があります。

法的効果とは、誰かの法的権利に影響を与えるものです。 同様に重大な影響を定義するのはさらに困難ですが、たとえば、オンライン信用申請の自動的な拒否や、人間の介入を必要としない電子求人活動などが含まれます。

法的または同様の重大な影響を伴う、プロファイリングを含む自動化された個人の意思決定のみは制限されていますが、この制限は特定の状況では解除される場合があります。

あなたはできるのみ決定が以下の場合、法的または同様に重大な影響を伴う自動化された意思決定のみを実行する。

特別なカテゴリの個人データを使用している場合は、次のことができます。のみ次の場合には、第 22 条 (1) に記載されている処理を実行します。

この種の処理は高リスクであると考えられているため、英国の GDPR では、データ保護影響評価 (DPIA) を実行して、それらのリスクが何であるか、およびそれらにどのように対処するかを特定および評価していることを示すことが求められています。

英国の GDPR は、自動化された個人の意思決定 (第 22 条第 1 項に記載) のみを実行できる状況を制限するだけでなく、次のことも行います。

これらの規定は、お客様による個人データの使用方法についての個人の理解を高めることを目的としています。

絶対です：

第 22 条は、プロファイリングを含む、法的または同様に重要な効果を伴う、自動化された個人の意思決定のみに適用されます。

処理がこの定義と一致しない場合は、プロファイリングと自動化された意思決定を引き続き実行できます。

ただし、英国の GDPR 原則に従う必要があります。

処理の法的根拠を特定し、記録する必要があります。

人々が権利を行使できるように、プロセスを整備する必要があります。

個人は、特定の状況においてプロファイリングに反対する権利を有します。 この権利の詳細を特に彼らの注意を引く必要があります。

外部リンク

さらに詳しく – ICO ガイダンス

さらに詳しく – 欧州データ保護委員会

第 29 条作業部会 (WP29) に代わって設立された欧州データ保護委員会 (EDPB) には、各 EU 加盟国のデータ保護当局の代表が含まれています。 EU 版 GDPR の要件に準拠するためのガイドラインを採用しています。

WP29 は、EDPB によって承認された、自動化された個人の意思決定とプロファイリングに関するガイドラインを採用しました。

WP29 によって発行され、EDPB によって承認されたその他の関連ガイドラインには、次のものがあります。

データ保護影響評価に関する WP29 ガイドライン

さらに読む – ICO ガイダンス

説明責任フレームワークは、プロファイリングを含む自動化された意思決定に関連する権利に関する ICO の期待を検討します。