最近、インターネットに接続された防犯カメラ(「ウェブカメラ」)の一部にパスワードの設定などがなされておらず、第三者から防犯カメラからの映像が「丸見え」となってしまっていることが大きな問題となっています。
・ウェブカメラ、ネットで丸見え3割 パスワード設定せず|朝日新聞
この問題は、防犯カメラを設置した店舗、その防犯カメラ・ウェブカメラのサービスを提供している個人情報取扱事業者(以下、単に「事業者」という)、それを監督する官庁の対応や法令・ガイドラインの整備の遅れなどの複合的な問題であるといえます。本ブログ記事では、主に防犯カメラを設置している個々の事業者の取るべき対応策などについて考えてみたいと思います。
2.防犯カメラで撮った映像は「個人情報」といえるのか
まず、防犯カメラで撮った映像が個人情報保護法の保護の対象となる「個人情報」(個人情報保護法2条1項)に含まれるかどうかが問題となります。
個人情報保護法2条1項は、個人情報を、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定義します。
この点、経済産業省の個人情報保護ガイドラインの2-1-1「個人情報」は、「【個人情報に該当する事例】」のひとつとして、明確に「事例3 防犯カメラに記録された情報等本人が判断できる映像情報」をあげています。
また、金融庁の個人情報保護ガイドラインに関連する、「『金融分野における個人情報保護に関するガイドライン」(案)への意見一覧』における金融庁の回答50番において、金融庁は、防犯カメラの映像について、「特定の個人を識別することができる」情報であれば、「個人情報」に当たるという見解を示しています。ロングショットでとらえた米粒大の映像なら「個人を特定した」とは呼べないでしょうが、もっと近くで撮った映像は、個人情報にあたると思われます。
・個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(平成26年12月12日改正・PDF)
・金融庁「『金融分野における個人情報保護に関するガイドライン』(案)への意見一覧」(PDF)
つまり、個人情報保護法2条1項が例として列挙する、氏名、生年月日などでなくても、防犯カメラがとらえた映像で「特定の個人を識別」することができる場合は個人情報に含まれるということになります。
なお、この点、本年3月に今国会の通常国会に提出された個人情報保護法の改正法案では、この個人情報の範囲をさらに拡大し、①身体的特徴等(指紋、顔認証情報、歩き方等)、②ポイントカードなどに割り振られた番号や、商品や役務の販売履歴等も、個人情報に含まれるとされる予定です。
この①身体的特徴等が個人情報に含まれることが法律の条文上明確化されることとなるため、法改正後は、防犯カメラに映った映像も明確に個人情報に含まれることとなります。
3.個人情報取得の際の「通知」または「公表」とそれが不要な場合
さらに、事業者は、その個人データの取得にあたり、本人に対して利用目的の「通知」または「公表」(個人情報保護法18条1項)しなければならないと規定されています。この点、防犯カメラで撮影した動画などのデータが個人情報保護法2条1項の「個人情報」であるとすると、事業者は、防犯カメラにより、本人(国民・市民)の個人データの取得をするにあたり、本人に対して利用目的の「通知」または「公表」(個人情報保護法18条1項)しなければならないのかが問題となります。
この点、同法18条4項4号は、「取得の状況からみて利用目的が明らかであると認められる場合」には、この通知または公表は不要と規定しており、防犯カメラはこれにあたると解されているので、通知または公表は不要とされています(菅原貴与志『詳解 個人情報保護法と企業法務[第4版]』105頁)。
とはいえ、事業者はあくまでも「防犯」の目的で、防犯カメラで個人データを撮影しているので、その目的の範囲外に、この個人データを利用することはできません(個人情報保護法15条、16条)。
利用目的を変更するためには、改めて本人の同意が必要となります。また、この個人データを第三者に提供する場合も、本人の同意が必要となります(同法23条)。
4.事業者の安全管理措置
さらに、事業者は、個人情報を適切に守る、「安全管理措置」を行う義務を負っています(個人情報保護法20条から22条まで)。
これを受けて、「経済産業省の個人情報保護ガイドライン」36頁以下は、事業者がとるべき「技術的安全措置」のひとつとして、パスワードを使用するなどして、アクセス制御を行うべきであると規定しています。
同様に、「金融庁の個人情報保護ガイドライン」10頁以下は、「技術的安全管理措置」のひとつとして、「個人データの管理区分の設定及びアクセス制御」などを定めています。
今回問題となった、ウェブカメラにおいてパスワードが設定されておらず、悪意の第三者から丸見えの状態になっていたことは、これらの個人情報保護法20条や、各主務大臣の出しているガイドラインに抵触する行為であると思います。
そのため、事業者は、安全管理措置(個人情報保護法20条)を確実に行う一環として、適切にウェブカメラの機器にパスワードを設定したり、防犯カメラのサービスを提供している事業者に問い合わせて、他に取るべき措置があるのかどうか照会するなどが必要であると思われます。
また、経済産業省や金融庁のガイドラインなどは、事業者に個人データの「保管期間」を定めるよう求めており、その期限がきたら速やかにその個人データを廃棄しなければならないとしています。事業者が古い個人データをいつまでも大量に保管していることは、個人情報漏洩のリスクを招く危険性があるという考え方です。
そのため、事業者は、社内規定などで個人データなどの保管期間をあらかじめ策定しておき、その期限が到来したら、すみやかに当該個人データを廃棄することが、個人情報漏洩の防止につながると思われます。
■補足
この防犯カメラ・監視カメラ問題に関連して、つぎのようなブログ記事も作成しました。
・全国の防犯カメラに映った万引き犯の映像を共有化するデータベースの構築は許されるのか?
■参考文献
・宇賀克也『個人情報保護法の逐条解説』87頁
・菅原貴与志『詳解 個人情報保護法と企業法務[第4版]』105頁、111頁
■参考
個人情報保護関連につきましては、こちらもご参照ください。
・【解説】個人情報保護法の改正法案について
・日本郵政グループかんぽ生命保険コンプライアンス統括部が部内でパワハラ/ブラック企業
・再びかんぽ生命保険のコンプライアンス統括部内でのパワハラを法的に考える/ブラック企業
 |
 |
 |
 |
 |
 |
法律・法学 ブログランキングへ
にほんブログ村