(AbemaTIMESより)
1.はじめに
2017年9月4日のネットのAvemaTVに、防犯カメラ・顔認証システムについて、全国万引犯罪防止機構の菊間千乃弁護士が出演し、アナウンサーなどと質疑応答を行っている様子が放送されました。
https://twitter.com/AbemaTV/status/904672920730976256
・「万引きの実態、もっと知って」元フジテレビアナ・菊間千乃弁護士が訴え|AbemaTIMES
菊間氏が述べていたとおり、小売業などにおける万引き犯罪は無くすべきです。しかし、これも菊間氏が番組で述べていたとおり、「私は何もしてないのに万引き犯データベースに登録された」という冤罪が起こることも、そのいわゆる冤罪被害者の人々にとって重大な人権侵害であり問題です。
とくに後者の問題からは、番組中に菊間氏の説明にあった、一つは顔認証データの「共同利用」の考え方、二つ目に顔認証データ(万引き犯DB)の「保存期間」の問題の2点が気になりました。以下順にみていきます。
2.顔認証データ(万引き犯DB)の共同利用について
菊間氏は番組の前半で、『今回の(個人情報保護法の)改正で、「共同利用」ができるようになって自分のお店のグループ会社や地域のお店などと共有することが可能となった』と説明していましたが、これは正しくありません。
個人データの「共同利用」(個人情報保護法23条5項3号)は平成27年改正により本号の文言がやや変化したが、本項各号において表現の統一を図るものにすぎず、改正前と趣旨・内容は同じです(岡村久道『個人情報保護法 第3版』265頁)。
つまり、共同利用については、共同利用者の範囲、利用する情報の種類、利用目的、情報管理の責任者の名称等について、あらかじめ本人に通知するか、本人が容易に知りうる状態に置くこと(=HPに掲載するなど)が要件となっており、本人の認知できない主体が予期しない情報の取扱いを行いうるものではないことから、事業者の便宜を図りつつ本人の同意を不要としているものです。
つぎに、菊間氏は番組で顔認証データの共同利用の具体例として、「グループ会社や地域のお店などと共有すること」をあげていました。
この点、解説書における共同利用の具体例をみると、①グループ企業で総合的なサービスを提供するため、②親子兄弟会社間、③使用者と労働組合(岡村・前掲266頁)、④金融機関間・旅行業界で顧客情報を共有すること、⑤病院と訪問看護ステーションが共同で医療サービスを提供すること(宇賀克也『個人情報保護法の逐条解説 第5版』171頁)があがっています。
菊間氏があげていた、「グループ企業」は上の①に該当し、「地域のお店」は⑤に該当するように思われ、この点は妥当であるようです。
なお、全国万引犯罪防止機構サイトの『防犯画像の取扱いに関する見解及び提言』によると、同機構は、『また、各小売業団体におかれては、業界間で、防犯画像の活用の在り方について議論を深め、防犯画像情報を共有するための指針と要件等に関し、業界方針やガイドラインを検討するとともに、その動きを加速していただきたい。』として、小売業界においては業界間の垣根をまたいだ小売業界全体での顔認証データの共同利用を提言しています。
・防犯画像の取扱いに関する見解及び提言|全国万引犯罪防止機構
この点について解説書をみると、『「当社が承認する者」といった程度の記載は許されない。金融分野においては共同利用する者を個別列挙することが望ましい』(岡村・前掲266頁)としています。上でみた具体例①から⑤においても共同利用の最大サイズが「旅行業界」等とされていることを考えると、同機構の提言する業界間の垣根をまたいだ共同利用は法23条5項3号との関係で違法となる可能性が高いと思われます。
なお、例えば、全国のコンビニや外食チェーンなど100社以上で利用されているCCCのTポイントは、利用規約上、従来は個人データの利用形態を「共同利用」としていましたが、消費者からの「利用者への説明が足りない」等の批判を受け、2014年11月にこれを「第三者提供」と改め、オプトアウト方式による本人の同意を取得しています。やはり業界をまたぐ個人データの授受は共同利用で説明しきれるものではないと思われます。
さらに、菊間氏は番組中で「冤罪の防止」の必要性についても言及していました。この点はより具体的には、共同利用の際に、情報管理の責任者の名称としてHPなどで明示された情報管理責任者が、冤罪被害者本人からの開示・訂正・利用停止等(個人情報保護法28条以下)に誠実に対応する必要があります(瓜生和久『一問一答平成27年改正個人情報保護法』72頁)。
なお現在も、顔認証カメラを導入している大手スーパーなどが、冤罪被害者から開示請求があっても「そういったデータは当社は持っていない」と明らかに虚偽の回答をしているそうです。これは個社の問題であるとしても個人情報保護法上、大いに問題です。
これらの個人情報保護法違反は個人情報保護委員会からの報告徴収・助言・指導・勧告・命令・立入検査の対象となります(法40条以下)。また本人からの民事訴訟の対象となります(法34条)。
3.顔認証データ(万引き犯DB)の「保存期間」の問題
菊間氏は番組で、顔認証データの保存期間について、『法律上は必要がなくなったら削除するとなってますが、期限は書いてありません。ただ、そうなると捕まって刑期を終えたときか捕まったらと解釈している』と述べつつも、『大体3年から5年の間には消去』と述べています。
この点、個人情報保護法19条は、つぎのように規定しています。
第19条 個人情報取扱事業者は、(略)利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。
そして個人情報保護委員会の『個人情報の保護に関する法律についてのガイドライン(通則編) 』は、
『個人情報取扱事業者は、保有する個人データについて利用する必要がなくなったとき、(略)当該個人データを遅滞なく消去するよう努めなければならない。なお、法令の定めにより保存期間等が定められている場合は、この限りではない。』
としており、法令に定めがあればそれに拠り、それがなければその事業者が定めた保存期間で廃棄することになります。(法20条以下の安全管理措置の観点からも。)
そこで法令を調べてみると、たとえば『東京都が設置する防犯カメラの運用に関する要綱』18条は、保管期限を原則として1週間としています。また、杉並区の『防犯カメラの設置及び利用に関する基準』も7日間としており、世田谷区は14日間、三鷹市は7日間などとなっています。
防犯カメラとそこから作成される顔認証データとの関係を考えるに、個人情報保護委員会の「ガイドライン(通則編)」の2016年11月30日付のパブコメ結果である「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)(案)」に関する意見募集結果(概要)」項番14においては、個人情報保護委員会が防犯カメラと顔認証システムを一体のものととらえていることが示されています。
したがって、全国万引犯罪防止機構は顔認証データについても防犯カメラで撮影された録画と一体のものとして保存期間を遵守する必要があります。
各自治体の防犯カメラ条例が保存期間を7日間ないし14日間としているところ、菊間氏の主張する3年ないし5年という保存期間はあまりに長すぎて法19条、20条との関係で違法となると考えられます。(また、全国万引犯罪防止機構の上述の提言においては、保存期限が1年間と示されていますが、これも各自治体の条例との関係で長すぎるものであり違法となると考えられます。)
上で述べたとおり、これらの個人情報保護法違反も、個人情報保護委員会などからの行政処分の対象となります。
4.まとめ
このように、菊間氏および全国万引犯罪防止機構が推進している顔認証カメラは、個人データの共同利用と保存期限の2点で法的に問題があるように思われます。
■参考文献
・宇賀克也『個人情報保護法の逐条解説 第5版』171頁
・岡村久道『個人情報保護法 第3版』265頁
・瓜生和久『一問一答平成27年改正個人情報保護法』72頁
■関連するブログ記事
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
 |
 |
 |
 |
