顔認証システムとプライバシー問題について

「オーム社 よく分かる生体認証 一般社団法人 日本自動認識システム協会編」からの引用とそれに補足する形で記載します。

プライバシー影響評価事例

プライバシー性の判定には多様性があり、法律で全てを規定することは難しい。今後ビックデータビジネスなどで、プライバシー性のあるデータを活用する場合も法律で全てを規定した場合その利用にかなりの制限が加えられるため、法律での規定範囲は限定し、ある程度のグレーゾーンを残しても良いと判断しています。
グレーゾーンの対応は、情報提供者に安心感をもたらす施策が必要であり、また次のことが必要と考えます。

  • 中立的・専門的な機関の設置
  • 分野ごとのガイドラインの整備
  • プライバシー影響評価によるプライバシーリスクの透明化及び情報公開

特にプライバシー影響評価は情報提供者に安心を与える有効なツールと考えます。例えばプライバシー影響評価を実施して設置した監視カメラと、実施せずに設置した監視カメラではロンドンの監視カメラのように誰がなんの目的で設置したか・問い合わせ先を明記しているのに対して秋葉原の監視カメラでは設置者は明記されているがコンタクト情報が欠如している…などの違いが生まれています。
欧米では、関係者にセキュリティとプライバシーのトレードオフを明確に理解させるため、監視カメラを設置する場合プライバシー影響評価の実施が義務付けられています。
先のロンドンの場合はプライバシー影響評価が実施されています。したがって「誰が」「何の目的」で設置をしているのか、「問い合わせ先(電話やアドレス)がカメラに明記されています。一方日本の場合は、プラリバシー影響評価が実施されていないため、目的や問い合わせ先が不明確であり、市民のプライバシーがどのように保護されているか、十分な説明責任が果たされていません。
以上のように、海外ではバイオメトリクスを扱うシステムに関してプライバシー影響評価が実施されており、システム構築の適正性を設置責任者及びデータ提供主体が客観的に把握しています。

監視カメラとプライバシー問題

群衆行動解析イラスト
群衆行動解析

監視カメラは日本に400万台以上設置されていると言われています。またカメラ画像に高度なデータ処理を実施した匿名化データは、従来の防犯、防災以外のマーケティング利用などにも活用されています。
豊島区が設置した防災目的でのネットワークカメラは「人がどこにどれくらい滞在しているか」と「群衆行動を解析する」もので AI 技術を用いた画像認識処理を実装しています。
小売店に設置したカメラの場合、顧客の購買情報を管理すると同時にマーケティングにも利用したり万引き犯を検知するシステムも運用されています。
JRの駅などに設置された飲料水の自動販売機では、販売機の上部にカメラを設置し、顔認証により属性データ(年齢、性別、購入物、時間)を収集してマーケティングに利用しています。多くのシステムではビックデータ解析が実施されています。

カメラ付き自動販売機イラスト
カメラ付き自動販売機

日本の場合は、いずれの例も経験則的なプライバシー対策しか実施されていません。例えば、個人の顔を識別できない解像度で撮影する、顔データは保存せず属性情報のみ解析する、撮影データは暗号化して保存し事件が発生したときにのみ視認するなどの対策しかされていないようです。これからは国際標準の方法論を導入する時期に来ているのかも知れません。

バイオメトリクスのプライバシー性と法律

2005年に民間部門を規制する個人情報保護法が制定・施行されました。
日本の個人情報保護法は民間部門も包括的に法律で規制している点は欧州型に近いのですが、事業者の自主性を尊重しつつ事後的に緩やかな規制を行っている点はアメリカ型に近いと言えます。

法など内容備考
個人情報保護法この法律において「個人情報」とは生存する個人に関する情報であって当該情報に含まれる氏名・生年月日その他の記述などにより特定の個人を識別することが出来るもの(他の情報と容易に照合することが出来、それにより特定の個人を識別することが出来ることになるものも含む)をいう。改正個人情報保護法では、顔画像なども保護対象となった。識別には、人間が行う場合と計算機が行う場合が有り、識別の容易性は異なる。
JIS Q 15001:2017個人情報保護法の改正に伴い、またISOマネジメント規格で使用している「HLS( High Level Sturcture )」に章立てを適合させるように、2017年に大幅に改正された。ISO27001やISO9001と同じ形になる。コレにより、他の規格や内部統制などに規制を統一しやすくなった。プライバシーマークを認証するための適合基準が規定されている
民法709条:故意または過失によって他人の権利または法律上保護される利益を侵害したものは、これによって生じた損害を賠償する責任を負う
710条:他人の身体、自由もしくは名誉を侵害した場合または他人の財産権を侵害した場合のいずれであるかを問わず前条の規定により損害賠償の責任を負うものは財産以外の損害に対してもその賠償をしなければならない。
この条項の規定領域は広い
憲法13条:全て国民は、個人として尊重される。生命、自由及び幸福追求に対する国民の権利については、公共の福祉に反しない限り、立法その他の国政の上で最大の尊重を必要とする同上
肖像権日本においては、日本国憲法第21条に表現の自由が明記されており、肖像権に関することを法律で明文化したものは存在せず、刑法などにより形而上の責任は問われることはない。しかし民事上では人格権、財産権の侵害が民法の一般原則に基づいて判断され立法化の流れも生まれている。公共の場所で不特定多数の人物を撮影する場合は、肖像権の侵害は基本的に認められない。顔認証が該当する

改正個人情報保護法のポイント

2017年から完全施行された改正個人情報保護法のポイントは監視カメラシステムを例に説明すると以下のとおりになります。

  • 個人識別符号:カメラの被写体となる顔容貌は、個人識別符号に該当すると考えられる。顔以外にも、いずれかの「身体の一部の特徴」が該当すると考えられる。
  • 要配慮個人情報:要配慮個人情報は、いわゆるプライバシーに関する情報に相当する。監視カメラで撮影された顔情報と犯罪歴との照合または照合目的での撮影、ならびに防犯防災用途での監視カメラ撮影が、本人の同意を得ないで要配慮個人情報として利用される場合として、改正法17条2項・3項に該当する問題となる
  • 利用目的の変更緩和:防犯、防災をはじめ多目的に利用する監視カメラの撮影データなどは、利用目的が当初の設置運用時の想定と変更される場合がある。この場合、利用目的の変更手続きは改正法16条に従って本人の同意を得ることとなる。
  • 匿名加工情報:個人情報取扱事業者が匿名加工情報を作成して第三者へ提供する場合、匿名加工情報が特定の個人を識別しない情報であることを確保するために第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供方法について公表すると共に、第三者に対して提供にかかる情報が匿名加工情報である旨を明示しなければならない(改正法36条4項)

匿名性を担保するには

これら個人情報保護法に基づき、Face01 では異なるデータの出力・保存が出来るように選択が出来ます。
顔ファイルとデータが紐付いているタイプ(図1)と紐付いていないタイプ(図2)です。

[図1] 顔ファイルとデータが紐付いているタイプ
[図1] 顔ファイルとデータが紐付いているタイプ
[図2] 顔ファイルとデータが紐付いていないタイプ
[図2] 顔ファイルとデータが紐付いていないタイプ

たとえば小売店で大量盗難犯だけに対してアラートを鳴らしたい場合、必ずしも顔ファイルを確認することはありません。こういった場合はデータのみ各店で共有し、同じ顔データを出力する来店者に対してアラートをつけるなどの方法が考えられます。
また入退室管理の場合、カードに顔データを登録しておけば顔ファイルはそもそも必要ありません。このように柔軟に法令に対応することが出来ます。

まとめ

顔認証システムとプライバシー問題は非常にデリケートな問題です。例えば顔認証システムを扱う事業者が個人情報保護に留意して一定期間を過ぎたら顔画像データを消去するなどの処理をしていたとしても、消費者はそれを確認するすべを持たないことから疑心暗鬼になる場合もあります。事業者はこの様な不利益を生み出さない為に消費者に対してどのように個人情報保護をしているかの開示を貼り出すなどの対処をしたいところです。法律を守っているからそれで良い、では事業者・消費者双方の不利益に繋がると考えるべきです。

顔認証システムを使うことで

  • どのような利益が消費者にあるのか
  • 個人情報保護にどのように取り組んでいるのか

消費者に対しての積極的な開示をしていくべきでしょう。