『ビジネス法務』17年4月号を購入したところ、87頁以下に、元内閣IT総合戦略室参事官補佐で改正個人情報保護法の立案担当者である日置巴美弁護士の「「顔」情報の活用と個人情報保護」という防犯カメラ・顔認証システムに関連する論文が掲載されていました。
2.利用目的の特定(15条)
法15条は、利用目的をできる限り特定しなければならないと規定しています。
日置弁護士は、本論文で、法15条やガイドランが利用目的をできる限り特定しなければならないことを定めていること等をあげて、
“単に「防犯目的」等というものではなく、「カメラで取得した顔を含む映像を録画し、犯罪行為等の防止・発覚時の対応等の監視のために利用します」等、どのような行為が行われるか本人が理解できる程度の内容としなければならない。また、第三者提供を行うのであれば、利用目的の中でその旨明らかとなるような記載が必要である。”
としています。
つまり、「防犯のため」等の利用目的の記述はあいまいで利用目的が特定されておらず、法15条違反となります。
3.利用目的の通知・公表(18条)
従来、法18条4項4号により「利用目的が取得状況から明らか」な場合は目的の通知・公表は不要で、防犯カメラはこれにあたるとされ、利用目的の通知・公表は不要とされてきました。
この点、防犯カメラで取得した画像から顔認証システムにより顔認証データを取り万引きデータベースと照合したりすることが、防犯カメラと一体といえるかが問題となります。
日置弁護士は、
“防犯カメラによる画像等の取得については、取得の状況から録画・監視等の目的は明らかであるとされてきたが、顔認証データを作成しての認証による行動把握・商用利用についてはこの限りではないため、利用目的の通知・公表が求められる。”
としています。
そしてより具体的には、
“単に防犯カメラが設置されているのみでは足りないため、店舗入り口、カメラの周辺、レジ等に利用目的を掲示すること等によって利用目的を通知・公表することになる。”とし、“経済産業省の「カメラ画像利活用ガイドブックver.1.0」が参考となる”
としています。
・カメラ画像利活用ガイドブックver.1.0|経済産業省
なお、平成29年2月16日に個人情報保護委員会が公表した、「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」は、小売店等の店頭に顔認証システム付の防犯カメラを設置した場合に関するQ&A1-11でつぎのような回答をしています。
(略)防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます。また、カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。
http://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
http://www.ppc.go.jp/files/pdf/kojouhouQA.pdf
つまり、店舗に顔認証システムのある防犯カメラを設置しているのに、何の通知・公表をしていなかったり、していても「防犯カメラ作動中」等の記述にとどまる場合は、法18条違反となります。
例えば、聞くところによると、現在もジュンク堂書店は顔認証システム付防犯カメラについて「防犯カメラ作動中」としか表示しておらず、顧客が店員に質問しても「顔認証システムを導入しているかどうか答えられない」と回答しているそうですが、本年5月30日の改正個人情報保護法施行以降は、そのような実務は違法となります。
4.顔認証データの共有
現在、万引き犯の顔認証データを複数の団体が共有しているといわれています。個人情報保護法上、個人データを第三者提供するためには、原則として本人の同意が必要です(法23条1項)。しかしすべての小売店ですべての来店客から個々の同意を得ることは現実的ではないので、日置弁護士は、オプトアウト手続き(法23条2項から4項まで)または共同利用(法23条5項3号)を当該団体等が取る必要があるとしています。
オプトアウト手続きを行うためには、事業者等は個人情報保護委員会に届出を行い、通知や、店頭に掲示をするなど本人が容易に知りうる状態に置くことなど、本人が確実に認識できる適切な方式によらなければならないとされています(法法23条2項から4項まで)。
共同利用とは、共同して利用される個人データの項目、利用目的、管理責任者の氏名などをあらかじめ本人に通知または容易に知りうる状態とし、個人データを特定の者の間で共同利用する場合に本人の同意が不要とされるものです(法23条5項3号)。
そのため、店舗の従業員等により誤って万引き犯として万引きデータベースに登録されてしまった、いわゆる冤罪被害者の方々は、オプトアウト手続きを公示している事業者・団体に対してはオプトアウトの請求を、そして共同利用をしている旨の公示をしている事業者・団体に対しては、訂正、追加、削除、消去の請求あるいは民事訴訟を提起することになると思われます(法29条、30条、34条)。
■関連するブログ記事
・防犯カメラの顔認証システムに関して、個人情報保護法上の訂正等・利用停止等・民事訴訟など
・防犯カメラによる顔認証データ取得・共有と個人情報保護法改正
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
法律・法学 ブログランキングへ
にほんブログ村