EU、新システムで出入国を指紋と顔認証で実施-各種生体情報や個人情報も厳格に保存

セキュリティニュース

投稿日時: 更新日時:

EU、新システムで出入国を指紋と顔認証で実施-各種生体情報や個人情報も厳格に保存

欧州連合(EU)は、2025年10月12日より新たな「出入国管理システム(Entry/Exit System:EES)」の運用を段階的に開始します。このシステムは、EU域外からシェンゲン圏に入国するすべての旅行者を対象に、従来のパスポートチェックに代えて指紋や顔写真といったバイオメトリクス(生体情報)を用いた本人確認を実施するもので、2026年4月10日までに全参加国で完全導入される予定です。

EESとは何か?

EESは、欧州29カ国(シェンゲン圏)で導入される新しい入出国管理システムで、非EU市民の出入国をより厳格に管理することを目的としています。これにより、紙のスタンプによる出入国履歴の確認から、顔認証・指紋認証によるデジタル記録管理へと大きく転換されます。

このシステムの導入により、以下のような点が実現されます:

  • 不法滞在者の特定と追跡の効率化

  • 偽造パスポートやなりすましの防止

  • 移民の流れの最適化とテロ・重犯罪対策の強化

  • 出入国履歴の正確なトラッキング

これらはすべて、EU規則「Regulation (EU) 2017/2226」に基づき法的に定められた目的のもとに運用されます。

収集されるデータの内容と保存期間

EESでは、渡航者がEU圏の外部国境を越えるたびに、以下の情報が収集・記録されます:

収集される情報:

  • パスポート記載の個人情報(氏名、生年月日など)

  • 入出国の日時と場所

  • 指紋と顔写真(バイオメトリクスデータ)

  • 入国拒否の有無

  • ETIASやビザのステータス(該当者のみ)

これらの情報は、「Biometric Matching Service(sBMS)」と呼ばれる共通システムにテンプレート化され、他のEU内情報システム(例:Visa Information System, ETIAS)との相互運用性を担保します。

保存期間:

  • 通常の入出国記録:3年

  • 個人ファイル(顔・指紋など):3年と1日

  • 出国記録がない場合:5年

  • EU市民の家族など特定条件の旅行者:1年または記録保持なし

保存期間が経過したデータは自動的に消去されます。

拒否した場合の対応と法律的根拠

旅行者が指紋や顔写真の提出を拒否した場合、EU域内への入国は認められません。この対応は、正当な国境管理とセキュリティ維持を目的としたものであり、EU法に準拠しています。

また、渡航者は国境を越える際にEESに関する情報提供とデータ処理に関する説明を受け取ることになっており、個人データに対する権利も明確に保証されています。

EESデータへのアクセスと保護体制

EESに格納されたデータは、以下の機関・関係者のみが厳格な条件下でアクセス可能です:

  • 国境警備、査証、移民当局(入国の適格性確認)

  • EU加盟国の法執行機関およびEuropol(重大犯罪・テロ捜査)

  • 一部の国際機関(IOM、赤十字など)

一方で、航空会社などの民間業者が個人データに直接アクセスすることはできません。彼らはビザの使用回数の確認程度に限定されています。

さらに、データ処理・管理は「eu-LISA(欧州大規模ITシステム運用庁)」が担い、システム全体は**データ保護設計の原則(Privacy by Design)**に基づいて開発されています。

監督機関としては「欧州データ保護監視官(EDPS)」および各国の独立監視機関が関与し、市民のプライバシー保護と法令遵守を監督します。

オーバーステイ(滞在超過)の取扱い

EESでは、旅行者の滞在期間も記録され、“短期滞在カレンダー”を用いて自身の滞在可能日数を確認することができます。

しかし、許可期間を超えて滞在した場合(オーバーステイ)には、以下のような制裁を受ける可能性があります:

  • 強制退去

  • 行政罰(罰金・拘留など)

  • 将来的な再入国拒否

ただし、予測不能な事情(病気や事故による入院など)によるオーバーステイは、証拠を提出すればシステム上の記録を修正できる場合があります。

データ主体の権利と救済手段

EESに記録された個人データに対し、旅行者は以下の権利を有しています:

  • 自身のデータへのアクセス請求

  • 不正確な情報の訂正や削除の要求

  • 違法な処理に対する処理停止要求

  • 苦情の提出(各国監督機関またはEDPS)

これらはすべて、GDPRに準拠した欧州の個人データ保護法に基づいており、各国のデータ管理者またはDPO(データ保護責任者)に連絡することで行使できます。