モバイル加入者が生体認証データベースへ加入することを政府が奨励している

  • 2020年 3月 04日

ミャンマーでは、中央データベースに個人情報を保存するという政府の計画の下で携帯電話サービスを購入する際、親指の指紋などの生体認証データを提供する必要が出てくる見込みである。
ミャンマータイムズは「ミャンマーにおける全てのモバイルネットワークユーザーからのモバイル加入者登録生体認証情報を保存及び管理するための全国データベース」への加入を呼びかけている提案書について2019年11月に報道した。
生体認証情報には少なくとも本人の名前、親指の指紋、ID番号及びIDカードのスキャンの両方が含まれるとその文書にはある。それに加えて父親の名前、生年月日、住所などが要求される場合もある。
本提案は運輸通信省下の郵政局(PTD)によって行われた。同システムがいつ開始するかは不明である。
PTDは、「モバイルネットワークユーザーの適切かつ安全な登録を確保し、モバイルネットワークの悪意のある使用を防止する」ために、「全てのモバイルネットワークユーザーのモバイル加入者登録生体認証情報を収集する全国データベースを構築することを意図している」と文書の中で述べている。
提案書に名前が記載されている役人たちは、ミャンマータイムズからの書面によるコメント依頼に応じていない。
「非常に複雑な情報を収集するための正当な理由を見出すことはできない。運輸通信省が通信会社に生体認証情報の収集を依頼することが非常に心配される」と、言論の自由の番人であるFree Expression Myanmarの役員Yin Yadanar Thein氏は述べている。
「政府は、たとえばサービスや政策を改善したり犯罪を防いだりするために、特定の通信情報を収集したいと考えている。ただし、通信会社に生体認証情報の収集を依頼することは個人情報に深く関わってくるため、独裁国家のみが実施しているような非常に不均衡な政策である。ベトナムと中国の通信企業は、政府が国民を常に監視することを望んでいるため、生体認証情報を収集している」と彼女は付け加えた。
彼女は同省の目的を説明するよう呼びかけ、これは通信ネットワークの悪意のある使用を防ぐことではなく、オンライン上における全ての国民の行動や発言を監視するため大量の個人データを収集することに関するものではないかと懸念していると述べた。
提案書には、国民の情報を追跡するという政府の意図は全く記載されていない。しかし、イギリスのPrivacy Internationalによると、SIMカードの登録、特に生体認証データにより、国家はサービス加入者を特定し、時間がある際に電話をかけたりメッセージを送信したりする可能性が最も高い人物を知ることができる。
強力な法的枠組みと厳格な保護手段がなければ、生体認証システムがプライバシーや個人情報の保護に重大な脅威をもたらすと同団体は警告している。

政府が合法的な傍受という形で企業の通信データにアクセスする必要はある。ミャンマーには個人情報に関する法律や規制がないため、個人情報は国家のアクセスから法的に保護されていない。
「他のデータベースと同様に、この情報の収集はプライバシーと個人情報保護に関する懸念を引き起こす」と、Myanmar Centre for Responsible BusinessのVicky Bowman氏は述べている。
この個人生体認証データには、通信事業者及びシステム提供会社がアクセスできるようになると彼女は述べた。
「当局は、生体認証データを収集する必要がある理由とその使用方法を説明する必要がある。また、このデータベースが政府のe-ID計画に関連しているかどうかについても明確ではない」とBowman氏は述べている。
データベース及びSIMに対する規制が国内避難民、社会的弱者及び紛争地域で活動する人道団体によるモバイルサービス利用に対する影響を懸念する声が一部のNGOからミャンマータイムズに対して表明されている。
ミャンマーでは現在、SIMカードの購入者に身分証明書の登録が義務付けられている。

提言されたさらなる制限
提案書では、システムは「加入者ごとの登録SIMの数を制限するために、選択されたビジネスロジックを定義する必要がある」となっている。
2018年4月以降、PTDは、IDごとに最大2つのSIMカードのみを登録できるように定めた。提案書にある要件は、新システムがこの制限を実装することを示唆している。しかし、政府はこれまでのところ、この措置を取るための経済的又は公的政策を策定していない。
インド、パキスタン、シンガポールなど他の国でも、個人ごとのSIMカードの数は制限されている。一方、中国政府は2019年12月、インターネットユーザーの真の身元を確認するために、新しい携帯電話サービスの登録時に顔のスキャンを要求するようになった。
また、この文書は、1つの生体認証スキャンを、国家登録カードや運転免許証など、当局が発行した複数の有効な身分証明書とリンクできるようにする必要があるともしている。
これは、一元化されたデータベースにおいて通信事業者がアクセスできる親指の指紋などの異なる形式のIDをリンクする可能性があることを意味している。提案書には、このデータベースの範囲が明確に記載されていない。電子ID作業委員会のサポートオフィスは、本紙に対して、労働・入国管理・人口省がデータベースプロジェクトに関与していることを明言した。
加えて、モバイル加入者は「政府レベルの中央集中型生体認証データベース」の要求を満たし全てのハードウェア、ソフトウェア、ライセンス、及びサービスを申告し、全てのモバイルネットワークの相互接続機器の販売時点における価格を申告する必要があると同提案書は付け加えている。
さらに、システムには「災害、サイバー攻撃に対する機密性、完全性、可用性、情報漏えいを防ぐ厳しいセキュリティ対策」と、全ての個人データを暗号化する必要がある。データ漏洩を防ぐ責任は加入者に課される。
提案要求では、政府又は加入者のどちらがデータベースの運用を担当するか否かが指定されていない。また、データの所有者又は管理者、データの使用方法、販売時点で必要な同意の概要も示されていない。

通信事業者は関心を表明
Ooredoo Myanmarはこのプロジェクトを支援し、政府への提案要求を作成している間には政府と会談したと、Ooredooの法務規則最高責任者であるChristopher Peirce氏は述べた。データベースプロジェクトは「顧客のセキュリティにとって重要であり、SIMを使用及び廃棄する個人への複数のSIMの販売を停止するのに役立つ」とのことである。
最良の方法は、他の国と同様に、データベースを国民IDに接続することである。このことにより、通信事業者は顧客情報をより確実に保護でき、「脅威ではなくプライバシー保護をサポートできる」と付け加えた。
Telenor Myanmarは、計画が進行中であるため、この件について意見を表明することを拒否した。しかし、「プライバシーは我々にとって非常に重要」であり、「ミャンマーを含む市場全体で、加入者のプライバシーを保護するための強力な内部手順」があると述べた。
Mytelは、プロジェクトに加入するか否かは決定していないと述べた。システムが適切に実装されれば、サイバーの脅威を減らすとも述べた。「個人情報は銀行や病院などに既に提供されているため、現在の状況よりもプライバシーの問題に大きな影響を及ぼすことは考えられない」とし、そして、一般的なデータベース範囲による個人データ、例えば指紋などの収集は極めて常識的なことだと、最高対外関係責任者は本紙に語った。
国営MPTは、PTDからの指示に従うと述べた。
(Myanmar Times 2019年12月4日 第4面より)