デジタルグリーン証明書フレームワークにおけるプライバシーとセキュリティについて

欧州委員会は、2021年3月17日「COVID-19 パンデミック時の EU 内の市民の安全で自由な移動」を促進するための COVID-19 デジタル グリーン証明書フレームワーク計画を発表しました。そして、6月1日EUゲートウェイが稼働、7月1日にはEU全体で適用される予定です。

Digital COVID certificate map 1 June

COVID-19 デジタル グリーン証明書は、次のいずれかを示すデジタル証明です。

ティックアイコンCOVID-19 の予防接種を受けている
ティックアイコン陰性の検査結果を受け取った
ティックアイコンCOVID-19から回復した
EU Digital COVID Certificate
ec.europa.eu

デジタルグリーン証明書の主な特徴

  • デジタルまたは紙媒体
  • QRコード対応
  • 無料
  • 自国語と英語
  • セーフティ
  • すべての EU 諸国で有効

EUゲートウェイの概要

相互運用性に関する EU Trust Frameworkをサポートするデジタル グリーン証明書ゲートウェイ (DGCG) のスコープ。
. これは次のもので構成されます。
正確性情報 (暗号資料、信頼できる本人からの参照など)
妥当性情報 (有効な証明書と無効な証明書を区別するためのルール/パターン)

前述のように、DGCG は、各国のバックエンド サーバー全体で正確性および妥当性情報を共有するために使用されます。
次の図は、このドキュメントで指定されている DGCG の概要を示しています。

図 1: DGCG の概要

DGCG を使用することで、バックエンド間の統合が促進され、各国は段階的にオンボーディングできますが、国内のバックエンドは柔軟性を維持し、ユーザーのデータ処理を制御できます。

図 2: 各国の自律型 バックエンド

各国のバックエンドは、各国の検証デバイスを最良の方法でサポートするために、任意のテクノロジーを介して鍵を自由に配布できます。 デジタル グリーン証明書が正しい形式の 2D コードである場合、検証デバイスがバックエンドに接続されている場合、または必要な公開鍵を事前にダウンロードして保存している場合、各検証デバイスは他国の各コードを検証できます。

アプローチ

このアーキテクチャのアプローチは、前述のように、市民のワクチン接種状況、検査結果、または (検査に基づく) 回復状況の検証をサポートするためにさまざまな種類の情報を交換することです。 この目的のために、EU Trust Framework は、2D コードで表される標準化された署名付き CBOR データ構造を導入します。 異なる EU 市民によって代表される各国でこのデータ構造を検証するには、暗号化公開鍵を EU 全体で共有する必要があります。 DGCG は、そのような情報をすべての加盟国に簡単に配布し、トラスト アンカーとして機能するように設計されています。 これにより、信頼できるガバナンス構造が保証されます。
アーキテクチャ全体は、加盟国間でGoogle/Apple Exposure Notification API (GAEN) 診断キーを共有するために使用される European Federation Gateway Service (EFGS) に触発されています。

このアーキテクチャの基礎となる主な前提は次のとおりです。

  1. 効果的な相互運用性のために、各証明書には発行機関を一意に識別する文字列が含まれている必要があります。
  2. 各機関は、認証、署名、発行者ドメイン、CSCA および対応するクライアント証明書、連絡先、24 時間年中無休のサポート情報を追加することにより、機関を一意に識別するオンボーディング プロセスを通過する必要があります。オンボーディング プロセスのセキュリティは、デジタル グリーン証明書のフレームワーク全体のセキュリティにとって不可欠です。 CSCA 証明書は、少なくとも 2 年間有効である必要があります。
  3. 各機関 (加盟国ごとに複数の場合があります) は、相互認証によって保護された、取り消しおよびオプションのコールバック用のエンドポイントを提供します。必要な証明書はオンボーディング中に提供され、DGCG 信頼リストをダウンロードすることにより当局によってホワイトリストに登録されます。 DGCG 信頼リストには、DGCG オンボーディング プロセスを正常に完了した当局など、すべての信頼できる当事者の公開鍵が含まれています。
  4. 各 2D コードはキー識別子に依存しています。これにより、各加盟国はスキャンされたグリーン証明書を DGCG (発行者がグリーン証明書にマップします) から受け取った暗号素材リストと照合することができます。暗号素材は一意に識別できる必要があります。(SHA256 証明書ハッシュの最初の 8 バイトを使用して、2D コード仕様で説明されています)
  5. すべてのデジタル グリーン証明書および関連する暗号素材は、発行機関によって管理されます。

バックエンドサーバーによる検証

加盟国の国内バックエンド サーバーは、特に関連する公開キー (信頼リスト) を使用して DGC の検証を実行するエンティティに、国内仕様に従って公開キーへのアクセスを提供します。 この目的のために、国内のバックエンド サーバーは最新の状態に保たれます。
これにより、署名検証サービスおよび/または検証の実行に必要な公開鍵へのアクセスが可能になります。
この機能は、たとえば安全な API インターフェースと SDK を介して、国内のバックエンド レベルで実装されます。 このような機能は、航空会社にとって特に重要です。

プライバシーとセキュリティの考慮すべき問題

EDPB-EDPS Joint Opinion
04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate)
Version 1.1
edpb.europa.eu

欧州委員会がフレームワークの提案を発表した直後に、欧州データ保護委員会 (EDPB) と欧州データ保護監督官 (EDPS) は、個人データ保護への影響に関して、フレームワークに関する共同意見を発表しました。
共同意見は、フレームワークの個人情報への影響に対処し、とりわけ、そのようなフレームワークは一貫性を持って一般データ保護規則 (GDPR) の適用と矛盾しない必要があることを強調しました。また、フレームワークのコンテキストにおいて、適切な技術的および組織的なプライバシーおよびセキュリティ対策を採用する必要があります。

共同意見において、以下の点が特定のデータ保護関連のコメントとして推奨事項が挙げられています。

主なデータ保護関連のコメント

5.1 一般的なコメント

デジタルグリーン証明書フレームワークの確立という口実の下で、EU レベルでのいかなる種類の個人データ中央データベースの作成も許可していない

すべての市民を確実に含めるために、証明書がデジタル形式と紙ベースの両方の形式で必ず利用可能であるべき

5.2 個人情報のカテゴリー

個人データの最小化の原則に沿って、証明書には、COVID-19パンデミック期間中の EU 内の自由な移動の権利の行使を促進する目的で必要な個人データのみを含める

技術的に可能な限り、個人情報の送信を必要としない検証技術がデフォルトで採用

ワクチン医薬品などのデータ フィールドの必要性についてCOVID-19 のパンデミック時に EU 内で自由に移動する権利の行使を促進する目的で、証明書に含められるワクチンの医薬品市販承認取得者または製造者および一連のワクチン接種/投与の数など追加の証明を提供する必要がある

5.3 提案のコンテキストにおける適切な技術的および組織的なプライバシーおよびセキュリティ対策の採用

管理者と作業者が適切なセキュリティ レベルを確保するために適切な技術的および組織的措置を講じることを明記する。例えば、採用されたプライバシーおよびセキュリティ措置の有効性の定期的なテスト、評価、および評価のためのプロセスの確立を考慮

適切な技術的および組織的なプライバシーおよびセキュリティ対策の採用が、前述のように、GDPR第25条で定められた設計によるデータ保護の原則とデフォルトでのデータ保護の原則に沿って、プロセス手段の決定時とプロセス自体の両方で行う

5.4 管理者と作業者の明確化

自由な移動の権利の行使のコンテキストにおけるデジタルグリーン証明書の関連性により、複数の加盟国での証明書の使用の可能性を考慮に入れて (たとえば、さまざまな加盟国を旅行する場合)、EDPB と EDPS は、その加盟国でデータの管理者、作業者、および受信者として機能すると予想されるすべてのエンティティ(提案の第 9 条 (4) にリストされている証明書の発行を担当する当局を除く)のリストを公開することを推奨

5.5 透明性とデータ主体の権利

「証明書に含まれる情報は、人間が読める形式でも表示されなければならない」

市民がデータ保護の権利を行使できるように、プロセスの透明性がアウトラインに示されていることを確認

5.6 データ保存

証明書を発行する目的で処理された個人データ (新しい証明書の発行を含む) は、必要以上に長く保持されないものとします。

個人データのデータ保存は、GDPR 第5条(1)(e) で確立された原則を尊重し、可能であれば、特定のデータ保存期間を明示的に定義する

5.7 国際データ転送

「信頼の枠組みは、可能な場合には、国際レベルで確立された技術システムとの相互運用性を保証する」

個人データの国際転送が予想されるかどうか、またいつ行われるかを明示的に明確にし、法律に保護措置を盛り込み、第三国が提案で指定された目的のために交換された個人データのみを処理することを保証する

ワクチン パスポートを取り巻くプライバシーとセキュリティ

なお、イスラエルのワクチン パスポートであるグリーン パスはすでに稼働しており 、他にもコモンズ プロジェクト財団と世界経済フォーラムは各国が国境制限と検疫要件の緩和を検討しているためCommon Passによって、入国する旅行者の健康状態を検証するためのより信頼できるモデルの構築を目指しております。

Common Trust Network
www.commontrustnetwork.org

プログラムが何であれ、個人データの収集を取り巻くプライバシーとセキュリティの考慮事項は類似しており、データのプライバシーとセキュリティに関する法律とガイダンスが重複し、時には矛盾し相反する場合もあります。グローバルなワクチン プログラムのコンテキストではますます複雑になっており、日本だけでも、従業員や顧客など、公的または私的な環境で個人からワクチン関連データを収集する場合に関係する法律が数多くあります。これには、マイナンバー法個人情報保護法予防接種法次世代医療基盤法などが含まれます。法制度上の義務に加えて、組織は、データの収集、共有、保存、または第三者に提供を制限する可能性がある既存の契約を考慮する必要もあります。また、開発ベンダーがワクチン パスポート プログラムに関与している場合、契約には、データのプライバシーとセキュリティについて同様の規定を含める必要があります。これは、ベンダーが組織の従業員または顧客について収集した情報を維持、保存、アクセス、または利用する場合に重要です。

つまり、ワクチン パスポート プログラムは、健康で安全暮らせる世界を取り戻すために重要な役割を果たします。一方でプライバシーとセキュリティによる安心安全な社会を守ることが同時に考慮されなければなりません。


EDPB-EDPS 共同意見

04/2021 COVID-19 パンデミック時の自由な移動を促進するためのワクチン接種、検査、回復に関する相互運用可能な証明書の発行、検証、および受け入れのための枠組みに関する欧州議会および理事会の規則の提案に関する提案 (デジタル グリーン証明書 )
バージョン 1.1
2021年3月31日

1 提案の背景

2 共同意見の範囲

3 予備的な考慮事項

4 包括的な法的枠組みの必要性

5 特定のデータ保護関連のコメント

5.1 一般的なコメント

  1. 第一に、EDPB と EDPS は、この提案がデジタルグリーン証明書フレームワークの確立という口実の下で、EU レベルでのいかなる種類の個人データ中央データベースの作成も許可していないことを強調しています。
  2. 提案の詳説 14 および第 5 条 (1) および 6 条 (1) では、「(…) 加盟国は、デジタル グリーン証明書を構成する証明書を自動的に、または要求に応じて (…) 発行する必要がある」と述べています。この点に関して、EDPB および EDPS は、デジタル グリーン証明書が自動的に作成され、データ主体の要求に応じてのみ提供されるのか、またはデータ主体の要求に応じてのみ発行されるのかを提案の中で明確にすることを推奨します。
  3. さらに、EDPB と EDPS は、すべての市民を確実に含めるために、証明書がデジタル形式と紙ベースの両方の形式で必ず利用可能であるべきだと考えています。この点に関して、提案書の詳説 14 および第 3 条 2 項の文言を補強することをお勧めします。
  4. EDPB と EDPS は、提案されている 3 種類の証明書 (すなわち、ワクチン接種証明書、検査証明書、回復証明書) の国境を越えた受け入れの鍵として、提案の詳説 15 が EU データ保護法への準拠を明示的に認めていることを受け入れます。 )。さらに、提案の詳説 38 は、「個人データの最小化の原則に沿って、証明書には、COVID-19パンデミック期間中の EU 内の自由な移動の権利の行使を促進する目的で必要な個人データのみを含める必要があります。」。
  5. EDPB および EDPS は、提案の詳説 37 が、GDPR の第 6 条 (1) (c) および第 9 条 (2) (g)の相互運用可能な証明書 を、個人データの処理の法的根拠として規定していることを認めています。 EDP​​B および EDPS は、これに関して、前述の法的根拠、または GDPR への準拠への言及を、提案の本文、特に第 1 条、第 2 段落、および第 1 条に含めることを推奨しています。提案の 8(2)(b)。
  6. 提案の詳説 39 に従い、「[f] またはこの規則の目的として、保有者のワクチン接種、検査、または回復状態を確認および検証するために必要な情報を取得することのみを目的として、個人データを国境を越えて送信/交換することができます。 」。 EDP​​B と EDPS は、相互運用性の観点から、「個人情報」という用語は、特にその点で eHealth Network Guidance に合わせることによって、さらに特定する必要があることに注意しています。デフォルトによるデータ保護に沿って、技術的に可能な限り、個人情報の送信を必要としない検証技術がデフォルトで採用されるものとします。
  7. EDPS および EDPS は、EUDPR の第 42 条 (2) に沿った EDPS および EDPB への共同協議に対する委員会からの要請を反映するために、提案の詳説 47 を修正する必要があることに留意する。
  8. EDPB と EDPS は、提案の第 3 条 (3) により、デジタルグリーン証明書に含まれる個人情報が正確でない、または最新でない場合、または所有者が証明書を利用できなくなった場合、市民は無料で新しい証明書を取得することができます。 EDP​​B と EDPS は、この規定で、証明書と同様、その変更は、データ主体の要求に応じて発行されるものとします。
  9. 最後に、EDPB と EDPS は、デジタル グリーン証明書が eIDAS 規則および ISA2 (以前の IDABC および ISA ) 欧州相互運用性フレームワークに取り組んでいます。

5.2 個人情報のカテゴリー

  1. EDPB と EDPS は、附属書 I がデジタルグリーン証明書の枠組み内で処理される個人情報のカテゴリーとデータフィールドを規定していることに留意する。この点に関して、私たちは、そのような特定のデータ フィールドの必要性の正当化が提案で明確に定義されていないと考えています。さらに、EDPB と EDPS は、附属書 I で提供される個人情報のすべてのカテゴリも、デジタルおよび紙ベースの証明書にクイック レスポンス (QR) コードを含める必要があるかどうかについて、さらに説明が必要であると考えています。 さまざまな包括的なデータセットと QR コードをサポートするアプローチにより、さまざまなユースケースでデータの最小化を改善できます。さらに、デジタルグリーン証明書の有効性に関して、各「証明書」の有効性の「有効期限」は特定されていません(「回復証明書」を除く)。この最後の側面は、データ保護の観点から、データ保持期間の指定がないことに関連しています。
  2. これらの考慮事項、より具体的にはワクチン接種証明書に照らして、EDPB と EDPS は、その詳説における提案は、 ワクチン医薬品などのデータ フィールドの必要性についてCOVID-19 のパンデミック時に EU 内で自由に移動する権利の行使を促進する目的で、証明書に含められるワクチンの医薬品市販承認取得者または製造者および一連のワクチン接種/投与の数など追加の証明を提供する必要があると考えています。加えて、我々は、提案における調和の欠如が、EU市民の自由な移動の権利の行使を促進するという目的を妨げる可能性があることに留意する.
  3. さらに、EDPB および EDPS は、提案の第 5 条 (2)、6(2)、7(1)、7(2) に沿って、委員会が委任された行為を採択する権限を与えられていることに注意してください。 3 種類の証明書の個人データのカテゴリのデータ フィールドを変更または削除します。データ フィールドを変更すると、影響評価が無効になる可能性があるため、リスクの再評価が必要になります。この点に関して、EDPB と EDPS は、委任された行為の採用を通じて、すでに定義されているデータ カテゴリに該当するより詳細なデータ フィールド (データのサブカテゴリ) のみを追加する必要があると考えています。そのような委任された行為が提案された場合、EDPS (および該当する場合は EDPB) に相談する必要があります。
  4. 最後に、提案の目的限定のコンテキストで既に述べたように、EDPB および EDPS は、附属書のポイント 3(c) が証明書のデータ フィールドとして「市民が回復した病気または代理人」を含むことにも注意して下さい。これに関して、EDPB と EDPS は、提案草案の範囲と現在直面している COVID-19 の状況を考慮して、市民が回復した病気または病原体は、その変種を含む COVID-19 にのみ限定されるべきです。

5.3 提案のコンテキストにおける適切な技術的および組織的なプライバシーおよびセキュリティ対策の採用

  1. EDPB と EDPS は、デジタル グリーン証明書に含まれる個人データの機密性が高いにもかかわらず、提案は、デジタル グリーン証明書が準拠する必要があるプライバシーおよびセキュリティ対策および要件に関する決定を、委員会による実施法 (提案の第 8 条) に提出します。
  2. EDPB と EDPS は、提案書には、管理者と作業者が適切なセキュリティ レベルを確保するために適切な技術的および組織的措置を講じることを明記すべきであると考えています。GDPR第32条に沿った処理のリスク。これらの措置は、例えば、採用されたプライバシーおよびセキュリティ措置の有効性の定期的なテスト、評価、および評価のためのプロセスの確立を考慮すべきである。実際、これらの措置は、データ主体の権利を保護するために必要な保護手段を処理に統合するように設計されていることに注意してください。強制措置の詳細は、提案の第 8 条に沿って委員会が採択した法律を実施することにより行うことができます。
  3. EDPB および EDPS は、適切な技術的および組織的なプライバシーおよびセキュリティ対策の採用が、前述のように、GDPR第25条で定められた設計によるデータ保護の原則とデフォルトでのデータ保護の原則に沿って、プロセス手段の決定時とプロセス自体の両方で行うべきです。
  4. 提案された種類の証明書の追加の技術仕様を規定する実施法を委員会が採択することに関して、EDP​​B および EDPS は、EUDPR 第 42 条に沿って、EDPS および EDPB (該当する場合) と協議する委員会の義務を想起します。
  5. 最後に、GDPR の文言との一貫性のため、および提案の文脈における適切な技術的および組織的措置の採用の妥当性のために、EDP​​B と EDPS は、第 8 条のタイトルに「および技術的および組織的措置」という文言を追加することも提案しています。

5.4 管理者と作業者の明確化

  1. EDPB と EDPS は、提案がデジタル グリーン証明書の枠組みの中での管理者と作業者の役割の明確化に関する出発点を提供することを受け入れます。これに関して、提案の第 9 条 (4) に従い、第 3 条で言及されているデジタル グリーン証明書の発行を担当する当局は、GDPR の第 4 条 (7) の意味で管理者と見なされることに注意してください。 さらに、提案の第 8 条 (g) は、委員会が、管理者および作業者に関して責任を割り当てるための技術仕様および規則を含む実施法を採択することを規定しています。
  2. 自由な移動の権利の行使のコンテキストにおけるデジタルグリーン証明書の関連性により、複数の加盟国での証明書の使用の可能性を考慮に入れて (たとえば、さまざまな加盟国を旅行する場合)、EDPB と EDPS は、その加盟国でデータの管理者、作業者、および受信者として機能すると予想されるすべてのエンティティ(提案の第 9 条 (4) にリストされている証明書の発行を担当する当局を除く)のリストを公開することを推奨しています。これにより、デジタル グリーン証明書を使用する EU 市民は、GDPR に基づくデータ保護の権利を行使するために依頼する可能性のあるエンティティの ID を知ることができます。特に、個人データの処理に関してデータ主体の権利が行使される可能性のある方法に関する透明な情報を受け取る権利を含みます。
  3. 最後に、EDBP と EDPS は、証明書間の相互運用性を保証する信頼の枠組みの中で、データ保護法の意味における委員会の役割を提案の中で明確にすることを推奨している。

5.5 透明性とデータ主体の権利

  1. EDPB と EDPS は、提案の第 3 条 (2) を受け入れ、「証明書に含まれる情報は、人間が読める形式でも表示されなければならない」と明確にしています。 関係するデータの機密性のため、EDPB と EDPS は、市民がデータ保護の権利を行使できるように、プロセスの透明性がアウトラインに示されていることを確認するよう委員会に推奨しています。
  2. EDPB と EDPS は、「証明書に含まれる個人データが正確でないか、もはや正確でない場合、または所有者は新しい証明書の発行を要求する権利がある」という提案の第 3 条 (3) を受け入れます。 これは、第 5 条 (1) (d) および 16 GDPR に沿っているためです。

5.6 データ保存

  1. EDPB と EDPS は、提案の詳説 40 を受け入れ、次のように述べています。 COVID-19のパンデミック中に特定の公衆衛生対策を実施することが国内法で義務付けられている事業者。」提案の第 9 条 (3) は、「第 3 条に言及された証明書を発行する目的で処理された個人データ (新しい証明書の発行を含む) は、必要以上に長く保持されないものとします。これは、どちらも GDPR のデータ ストレージ制限の原則に沿っているためです。
  2. EDPB および EDPS は、発行当局による個人データのデータ保存は、GDPR 第5条(1)(e) で確立された原則を尊重し、可能であれば、特定のデータ保存期間を明示的に定義する必要があることを想起します。これが不可能な場合、少なくともそのような保管期間を決定するために使用される特定の基準を指定する必要があります。 EDP​​B と EDPS は、いかなる場合でも、提案の第 15 条 (2) に沿って、加盟国での保管期間が COVID-19 パンデミックの終わりを超えてはならないと考えています。

5.7 国際データ転送

  1. EDPB および EDPS は、提案の詳説 39 に従い、「(…) 個人データは、保有者のワクチン接種を確認および検証するために必要な情報を取得することのみを目的として、国境を越えて送信/交換される可能性があることに注意してください。テストまたはリカバリステータス (…)」。さらに、提案の第 4 条 (2) では、「信頼の枠組みは、可能な場合には、国際レベルで確立された技術システムとの相互運用性を保証する」と規定しています。この文言に基づいて、EDPB と EDPS は、提案がデジタル グリーン証明書を実装する特定の状況で個人データの潜在的な国際転送への扉を開くことになることを理解しています。 EDP​​B と EDPS は、第三国がデジタル グリーン証明書フレームワーク内で交換されたデータを二次使用する可能性があるため、これらの国際的な転送は個人データの処理に追加のリスクを意味する可能性があると考えています。したがって、EDPB と EDPS は、個人データの国際転送が予想されるかどうか、またいつ行われるかを明示的に明確にし、法律に保護措置を盛り込み、第三国が提案で指定された目的のために交換された個人データのみを処理することを保証することを推奨します。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ