AMTrust Europeでセキュリティ責任者を務めるIan Thornton-Trumpは、システムを立ち上げる上で2つのルールに従うべきだと指摘する。「保護できないデータは集めるべきでない。データを集める必要があるのであれば、必要最低限の情報を集めるべきだ」
「セキュリティを設計に組み込むことが最適なアプローチであり、強固な暗号化をまず導入するべきだ。生体認証の結果、乗客が搭乗拒否リストと一致しなければ、その人物のデータを保存しておく必要はない。データベースから削除しても、多くの国は到着と出発の記録を残しているからだ」とThornton-Trumpは述べている。
税関・国境警備局は、今回の取り組みに関して「プライバシー影響評価を行い、強力なセキュリティ・セーフガードを織り込んだ」としている。また、同局は個人を特定する情報の取得を制限するという。
しかし、米国には顔認証を取り締まる法律が存在しないため、こうしたシステムがデータを乱用することは現実的には可能だ。顔認証システムを導入する航空会社は、デルタ航空、ジェットブルー航空、ブリティッシュ・エアウェイズ、ルフトハンザ航空、アメリカン航空などだ。
EUは、GDPR(一般データ保護規則)をアップデートし、生体情報は「個人情報」として保護することを明記している。Outpost24のCSO、Martin Jarteliusによると、英国では顔認証はeパスポート用のセルフサービスレーンのほか、欧州の地下鉄駅の一部で既に導入されているという。
しかし、今回のような巨大プロジェクトが他に及ぼす影響は大きいため、性急に進めるべきではないだろう。「心配なのは、システム設計やセキュリティ対策、信頼性が乏しいまま導入を急いでいる点だ。法的に不明瞭な点を残したまま進めるのは無責任だ。このようなプロジェクトを急ぐと、正しく安全な導入を妨げる結果になるだろう」とJarteliusは警鐘を鳴らした。
