ブログ

カメラ画像利活用ガイドブックについて(2)

IoT推進コンソーシアムの”データ流通促進ワーキンググループ”(座長:森川博之東京大学教授)の下に設けられた”カメラ画像利活用サブワーキンググループ”(座長:菊池浩明明治大学教授)がとりまとめた『カメラ画像利活用ガイドブック』は、「適用ケース(2)」として、コンビニやスーパーなどの小売事業者において、来客が移動する画像を撮影し、顔画像から生成する特徴量データ、属性データや動線データ、購買行動データ生成に必要な情報を抽出したのち、速やかに撮影画像を廃棄するというものだ。個人情報となる属性データについても、店外へ出た時点で破棄することを前提にしている。

ガイドブックが想定する適用ケースは5つに分かれており、そのうち(1)と(2)が店舗内を撮影するものだ。とはいえ、この二つを片方だけ運用するとは思われず、両方を併用する店舗が大半となろう。

適用ケース(2)が適用ケース(1)と異なる点は、動線データ等を作成する必要上、顔画像等から生成した特徴量情報がそれなりに詳細になることと、その詳細なデータを、遅くとも客が店外に出るまではシステム内に保持する点である。

特徴量情報が単なる属性情報より詳細になり、個人の特定が可能なレベルになってくると、これが個人情報にあたるのかが問題となってくる。

この点、改正個人情報保護法は、「個人識別符号が含まれる」情報は個人情報にあたると規定し、「個人識別符号」の中には、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができ るもののうち、政令で定めるもの」と規定し、これを受けた改正個人情報の保護に関する法律施行令は、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置 及び形状によって定まる容貌」を「電子計算機の用に供するために 変換した文字、番号、記号その他の符号であって、特定の個人を識別 するに足りるものとして個人情報保護委員会規則で定める基準に適合 するもの」が個人識別符号に該当すると規定し、その「基準」については個人情報の保護に関する法律施行規則案が、「特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする」と規定し、「適切な範囲を適切な手法」の意味については、個人情報保護委員会の定める「個人情報の保護に関する法律についてのガイドライン(通則編)」が、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」と定めている。

ポイントは、「個人識別符号」の定義が、法律・政令・規則と、ガイドラインとでは異なっている点だ。法律・政令・規則では、「特徴量情報が客観的に特定の個人を識別できる」ものであれば個人識別符号に該当するのに対して、ガイドラインでは、「本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにした」ことが絞り込みの条件として加わっている。より具体的にいうと、絞り込みの条件は「認証目的」と「…にした」の2点であるが、重要なのは「認証目的」だ。

まず問題となるのは「認証」の意味だ。法律上の「認証」は、「公的機関が人や文書の公的地位や権限等を認定すること」を意味するが、上記ガイドラインの「認証」がこの意味とは思われない。ガイドライン上の「認証」は、「コンピューターやネットワークシステムを利用する際に必要な本人確認のこと」を意味するのだろう。いずれにせよ、「さっきビールを購入した客と、いま紙おむつを購入した客が同一人物である」程度の判断を行う目的は、「認証目的」には含まれないと考えられる。そうだとすれば、適用ケース(2)のように特徴量情報を用い、本人の特定に用いない場合には、個人識別符号を収集しているわけではないから、改正個人情報保護法の適用を受けないということになる。

特徴量情報が、単に客観的な個人特定性を備えるだけではなく、「認証目的…にした」要件を満たして初めて個人識別符号になると解釈する場合、問題となりうるのは「顔写真」とのバランスだ。顔写真は、現行個人情報保護法上、鮮明なものである以上は「個人情報」に該当しうるとされており、この解釈は、改正個人情報保護法でも維持されるものと思われる。しかし、当たり前のことだが、顔写真だけで特定の本人を識別することは、大半の場合、不可能だ。識別できるのは、著名人でないかぎり、本人か、その知人に限られる。著名人ではない市井の顔写真を渡されて、「どこの誰かを特定しなさい」と命じられても途方に暮れるだけだ。だが、「この写真の人間が目の前を通ったら報告しなさい」と命じられれば対応は可能である。つまり、「さっきビールを購入した客と、いま紙おむつを購入した客が同一人物である」か否かの判断を、顔写真で行えば個人情報保護法が適用され、特徴量情報を使って行えば適用されないことになる。この結論はいかにも不自然ではないだろうか。

個人情報保護委員会策定のガイドラインが、個人識別符号に「認証目的」との限定を付したことについて、板倉陽一郎弁護士は「(規則の)文言解釈の限界を超えている」と批判している(Business Law Journal 2016年12月号)。しかし、個人情報保護委員会の定めたガイドラインである以上、これを覆しうる機関は事実上存在しない。個人情報保護法という「業法」の限界といえるだろう。

関連記事

  1. ゴミ出しルールを守らない住人の監視カメラ映像は公開してよいか
  2. ショッピングモールにおける顔認証システムの導入について
  3. 万引犯から万引画像の開示を求められた場合、開示に応じる義務はある…
  4. 取得した(する)個人情報の告知・公表について
  5. 万引き犯写真の公開について
  6. 防犯カメラと肖像権とプライバシー権について
  7. Google glassは違法か?
  8. カメラ画像利活用ガイドブックについて(1)

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

PAGE TOP
%d人のブロガーが「いいね」をつけました。