レイバン・メタのような人工知能(AI)を備えたスマートグラスの出現は、音声アシスタント、秘密録音・録画、クラウド接続、顔認識といった先進的な機能を提供することで、私たちのテクノロジーと社会的習慣を変えつつある。しかしながら、それらの利点と共に、当該デバイスは重要な法的課題を提示している。現行の規制と判例に基づき、プライバシー、個人データ保護、刑事責任、労働上の権利、および、基本的人権の擁護に関するリスクと義務を分析することが必要不可欠である。
個人情報の取扱い
スマートグラスで実行された特定可能な個人の画像と音声の撮影、録画、配信の全ての行為は、個人情報の取扱いとみなされ、一般データ保護規則(GDPR)および個人データ保護およびデジタル権利保証に関する基本法3/2018(LOPDGDD)の適用対象となる。当該デバイスを通じて得られた画像と音声は、使用される手段や技術に関わらず、個人情報に該当する。
このことは、取扱責任者に対し以下のような義務が生じることを示唆する。
- (i). 合法性、透明性、最小化、正確性、目的と保存期間の制限などの原則に則って個人情報取扱いを適応する。
- (ii). 影響を受ける者に対して、明確且つ視認性の高い情報を提供する。従来のビデオ監視の場合、目立つ場所に掲示や情報表示装置を設置することが義務付けられている。レイバン・メタのようなスマートグラスでは、録画表示灯が十分に認識できない場合、同意や事前通知なしの録画を可能にするものであり、行政上および刑事上の違反となる可能性がある。
スマートグラスの機能が自動顔認証システムやその他の生体認証要素を含んでいる場合、合法性の基準はさらに厳しくなる。生体認証データの取扱いにて要求されることは以下が挙げられる。
- (i). 確固たる合法化の根拠とその例外(特に職場環境においては、通常のように、同意の取得だけでは不十分であり、)。
- (ii). データ保護影響評価(DPIA)の実施。
- 必要性の根拠、相応性、および透明性に関する追加的保証。公共空間における生体認証や顔認識の大規模な利用は、感情の推論、特に保護されたデータによる分類、または顔認識の大量データベースの作成を目的とする場合、ごく限られた例外を除き、現行規制と矛盾するとみなされ、新しい欧州AI規則(AI Act)によって明示的に禁止されている。
同意、透明性、および使用制限
個人情報取扱いは有効な法的根拠に基づく場合にのみ合法である。つまり、明示的同意、契約の履行、法的義務、生命に関わる利益、公共的利益、もしくは正当に考慮された法的利益などがある。同意が不可能または無効となる状況(例えば、雇用関係や不平等な状況など)においては、有効かつ正当な代替的な根拠を探求すべきである。
スマートグラスユーザーは録画だけでなくクラウド保存、第三者への譲渡、プロフィール生成、またアルゴリズムやA Iトレーニングのための利用可能性なども認識すべきである。データライフサイクル、個人データ取扱いの目的と関係者の権利に対する明瞭かつ透明性のある政策が欠如していることにより、GDPRおよびLOPDGDDが要求する透明性の義務に直接的な侵害が生じている。
特に、メタデータ(位置情報、利用習慣、社会的交流)の取扱いは、特定の情報、拒否権の可能性、および権利の行使(アクセス権、訂正権、削除権、データ可搬性権、および反対権)が必要となる。
セキュリティ対策と責任
クラウド上でのデータ保存は、セキュリティ侵害や不正アクセスのリスクを高める。現行の規制に基づき、製造業者とユーザーは、個人データへの不正アクセスや不正使用を防止するための適切な技術的・組織的措置(暗号化、アクセス制御、監査、サイバー攻撃対策)を実施するよう義務付けられている。これらの対策が欠如または不十分な場合、行政上の責任または影響を受けたものに対する民事上の責任が生じ、監督当局による厳しい制裁を受ける可能性がある。
罰則の範囲
人工技術による第三者の録画、画像や音声の使用または拡散は、本人の同意がなく、認識できる警告がほとんどまたはまったくない場合には、秘密の発見及び開示の罪(スペイン刑法第197条)となる可能性がある。データが未成年者や脆弱な立場にある者に影響を及ぼしたり、営利目的である場合には、その責任はさらに重くなる。違法に得た録画の配信や提供は、また別の犯罪となる可能性がある。
職場環境
職場でのスマートグラスの使用には、従業員のプライバシーの尊重と保護、監視やビデオ監視を正当な場合に限定すること、かつ従業員や代表者への明確な方法で情報提供といった追加的な義務が課される。休憩スペースでの録画、および常設的、干渉的な監視形態、または十分な法的根拠を欠くあらゆる形態の監視は禁止されている。勤怠管理のための生体認証データ収集の場合、同意は無効と推定されるため、より侵害性の低い別の方法を模索するべきである。
新たな法的義務
2024年8月より欧州AI規則(AI Act)が施行され、2026年8月に完全適用される。この規則は以下を義務付ける:
- (i). 「AIリテラシー」の原則:プロバイダーとユーザーは、これらのシステムの安全な使用を確保するために、最低限のトレーニングと理解を備えている必要がある。
- (ii). 当該デバイスが「高リスク」のシステム(例:生体認証システム、個人に関する自動決定)を構成しているかどうかという運用開始前のリスク評価および分析。
- 健康や安全以外の目的で、感情の推論、または生体認証による分類といった、特定のAIの運用の禁止。
- 透明性、ユーザーへの情報提供と人的監査に関する義務の強化。
当該義務の不履行は、市場からの製品回収、及び、多額の罰金につながる可能性がある。
推奨事項とグッドプラクティス
上記のリスクを踏まえ、適応可能な規制は、次のとおりである。
- 設計段階からプライバシーの観点を組み込む:製造業者は最初からプライバシーを保証し、不要な情報収集を最小限に抑え、アクセス制限のあるメカニズムを組み込むべきである。
- 明示的な情報掲示と視覚認識可能な警告:第三者に録画の可能性を警告する効果的な情報表示メカニズムを備えるべきである。
- 録画と生体認証に対する明示的な同意:該当取扱いは、例外的状況において完全に情報提供をされた状態でのみ実行されるべきである。
- 影響評価と監督当局への照会:高リスク状況での展開前に、データ保護影響評価(DPIA)を実施する必要がある。
- 保存と配信に対するセキュリティ強化手段:クラウドストレージに内在する脆弱性とリモートアクセスの可能性を考慮するにつけ、安全性が最優先事項である。
- デリケートな空間や職場における制限に関して:プライベート空間、デリケートな空間、休憩スペースなどでの当該装備使用を避け、モニタリングや制御技術を導入する前に職場の代表者に指導を仰ぐ。
- プライベート及びセキュリティ方針の定期検証と更新:製造業者とユーザーは、規制の急速な進展、特にIA規則および引用された判例法に関して常に最新の情報を把握する必要がある。
シャミン・ハニフ (Shameem Hanif)
ヴィラ法律事務所
より詳細な情報につきましては下記までご連絡ください。
2026年1月2日
