さまざまな場所で活用が広がる顔認証カメラ。街頭やオフィス、店舗内にカメラを設置し、業務の効率化やサービス向上、マーケティング施策に活用したいと考える企業も多いことでしょう。
しかし一方で、特に個人情報保護の観点で、データの取り扱いや必要な体制など、どのように対応すればいいのか不明な点があり、設置をためらってしまうという声も聞かれます。
ルールを順守し、適切な運用をすれば、顔認証はより便利で豊かな生活を実現し、ビジネスに大きなメリットをもたらす技術です。
本稿では、顔認証をビジネスシーンで活用するために必須となる、個人情報保護の考え方について解説し、顔認証カメラを設置する際の注意点、顔認証で得たデータの取り扱い方法などについて、わかりやすく紹介します。
最初に、そもそも個人情報とは何なのか、顔認証カメラの利用で関係してくるデータとの関係について、みてみましょう。
個人情報保護法において「個人情報」とは「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」のこと。これらを記録しているデジタルデータは全て個人情報保護法のルールに則り運用する必要があります。
つまり、認証のためにカメラに映した顔はもちろんのこと、通りに向けたカメラや防犯カメラに写りこんだ人であっても、特定の個人を識別することができれば基本的には個人情報として扱わなければいけません。
それから、例えば、マイナンバーカードやパスポート番号といった、番号、記号、符号など、特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、この個人識別符号が含まれる情報は個人情報となります。
個人識別符号は、マイナンバーやパスポート番号などに限らず、身体の一部の特徴を電子処理のために変換したものも含みます。顔認証の用途においては、顔の特徴量をベクトルデータ化した、特徴点データがこれにあたり、顔認証を行う上で特徴点データを取得する場合は「個人情報」として扱う必要があります。
個人情報とは「特定個人を識別できる」もの
例)
※単体で個人を識別できないものでも、他の情報と組み合わせることで識別できる場合は個人情報となります。
「個人識別符号」などの「個人情報」を検索できるように体系化して構成したものを、個人情報保護法では「個人情報データベース等」とよんでいます。顔認証の場合では、1:N検索を行う為に作成される認証用特徴点データを収めたデータベースが「個人情報データベース等」に当たります。
さらに、この「個人情報データベース等」を構成する個人情報を「個人データ」といいます。「個人データ」である認証用特徴点を集め、「個人情報データベース等」を作成、取り扱いをする場合にも、法律に定められたルールに従う必要があります。
個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものを「保有個人データ」といいます。
「政府広報オンライン」のサイトでは、個人情報を取り扱う際の基本的なルールについて、取得・利用するとき、保管・管理するとき、第三者に提供するとき、本人から開示等を求められたとき、の4つのシーンに分けて注意を促しています。それぞれの内容について、引用してご紹介します。
(1)個人情報を取得・利用するとき
(2)個人データを保管・管理するとき
(例)
紙で管理している場合:鍵のかかるキャビネットに保管するパソコンで保管している場合:ファイルにパスワードを設定する、セキュリティ対策ソフトを導入する、など
(3)個人データを第三者に提供するとき
(例)
法令に基づく場合(警察、裁判所、税務署等からの照会)、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的での提供・利用、委託・事業承継・共同利用など
[1] あらかじめ本人の同意を得る
同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要があります。
[2] 外国にある第三者が適切な体制を整備している
提供先における個人データの取扱い実施状況等の定期的な確認及び問題が生じた場合の対応の実施、更には本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要があります。
[3] 外国にある第三者が個人情報保護委員会が認めた国又は地域に所在している
第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。記録の保存期間は原則3年です。
(4)本人から保有個人データの開示等を求められたとき
[1] 個人情報取扱事業者の氏名又は名称、住所
[2] 全ての保有個人データの利用目的
[3] 保有個人データの利用目的の通知の求め又は開示などの請求手続
[4]保有個人データの安全管理のために講じた措置
[5]保有個人データの取扱いに関する苦情の申出先
政府広報オンライン「個人情報や個人データを取り扱うときの基本ルールとは?」より引用
このように、個人情報を取り扱う際は、それぞれのシーンにおいて、細かく必要な対応が定められています。
個人情報保護法は2020年に改正され、その改正法が2022年4月に施行されましたが、その後も2023年にも改正され、国の行政機関、民間事業者、地方公共団体等においてこれまで別々の法律、条例によって運用されてきた個人情報の取扱いが、同一の法の規律によって取り扱われるようになっています。
以前は6ヶ月以内に消去するデータ(短期保存データ)は、保有個人データに含まれず、開示、利用停止等の対象外となっていました。2022年4月施行の改正法で、6ヶ月以内に消去するデータ(短期保存データ)も、保有個人データに含めることとなり、開示、利用停止等の対象となっています。
例えば、1日で消去されるものであっても、検索できるように体系的に構成されている「個人情報データベース等」を構成する「保有個人データ」に該当する場合は、開示請求の対象となり得ます。
また、イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」が創設されたことも大きなポイントです。これにより、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されています。
参考)個人情報保護員会「令和2年改正個人情報保護法について」
2023年3月には内閣府の外局である個人情報保護委員会から、「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」という文書を公表して、より具体的に犯罪予防という観点からの顔認証システムの在り方について、事業者による適切な対応を促すためのガイドラインを公開しています。
参考)個人情報保護委員会「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」
顔認証カメラを実際に利用する場合、目的によって、取得した情報の処理方法、保存の有無等がそれぞれ異なってきます。どの情報、どのようなケースが個人情報に該当するのでしょうか。
カメラに撮影された画像は、特定の個人を識別できる場合、個人情報にあたります。カメラにより顔の画像を撮影し、その画像から特徴量データを抽出することは個人情報の取扱いに該当します。特徴量データを抽出した後、もとの顔画像をすぐに破棄し、保存しない場合でも、同じく個人情報を取り扱うことになります。
よって、前述した「個人情報を扱う為のルール」にあるように、個人情報保護法に則した対応をする必要があります。
顔認証においては、カメラで取得した画像をそのまま用いるのではなく、目的に沿って別の形式のデータに変換され利活用されています。
顔の画像から、目や鼻といったパーツの位置、輪郭などの特徴を抽出し、数値化した特徴点データは、特定の個人を識別できるものであれば、「個人識別符号」に該当し、個人情報となります。
また、それらをデータベースとして保存し利用する場合、検索性があることから、「個人情報データベース等」に該当し、これに含まれる個人情報は「個人データ」となります。
「40代・男性」など、画像データから推定した、性別・年代等の属性情報は、これだけでは特定の個人を識別できないため、個人情報にはあたりません。しかし、特徴点データと紐づけられている場合には、特徴点データと同様の扱いとなります。
例えば、個人情報である顔画像や特徴点データと、単体では個人情報とならない撮影日時や「40代・男性」という属性情報を別々のデータベースで管理していたとしても、管理番号やID等によって照合することができる場合には、特定の個人を識別することが可能となります。そのため、このケースではいずれの情報も個人情報に該当します。
カメラの画像から人の形を判別して、その人数を計測したデータは、顔など人物の特徴にあたるデータを識別しないため、これだけでは特定の個人を識別することはできません。そのため、カウントデータ単体では個人情報には該当しません。
このように、顔認証に関する個人情報の考え方は、取得・処理・保存など、さまざまな工程ごとに細かくみる必要があり、非常に複雑です。
総務省や経済産業省などが参画するIoT推進コンソーシアムは、「カメラ画像利活用ガイドブック」を公開し、具体的な顔認証カメラを活用するケースを想定して、必要な対応についてわかりやすく一覧にしています。一部を抜粋してご紹介します。
店舗内設置カメラ(属性の推定)
特定空間(店舗等)に設置されたカメラで、入出の時点で、画像を取得し、特徴量データを抽出し人物属性を推定した後、速やかに撮影画像と特徴量データを破棄するもの。
【カメラ画像の取得目的】
IoT推進コンソーシアム「カメラ画像利活用ガイドブック」より引用
このケースでは、カメラ撮影により個人情報を取得(画像)し、その画像から特徴点データを抽出しています。さらに、特徴点データから年齢や性別といった属性情報を推定しています。撮影画像や特徴点データは保存せず、削除しています。
ここで注意が必要なのは、個人情報にあたる撮影画像や特徴点データは破棄していますが、カメラ撮影の実施や目的などについて、情報提供をするなど、さまざまな対応が必要になるという点です。
ガイドブックでは、このケースについて、
など、事業者が考慮すべきことがらについて一覧で案内しています。
事前告知などの文章例なども掲載されていますので、必要に応じて、参考にすることをおすすめします。
店舗内設置カメラ(リピート分析)
特定空間(店舗等)に設置されたカメラで、入店の時点で画像を取得し特徴量データ(個人識別符号)を抽出し人物属性の推定及び、空間内を人物等が行動する画像を取得し特徴量データ(個人識別符号)を抽出しこれに基づき座標値を取得し動線データを生成した後に、速やかに撮影画像を破棄。特徴量データ(個人識別符号)のみ一定期間保持し、同一人物の2回目以降の入店の判定キーとする。一定期間中、特徴量データ(個人識別符号)をキーにして、来店履歴、店舗内動線、購買履歴等を紐づけて保存する。一定期間経過後、速やかに特徴量データ(個人識別符号)を破棄するもの。
【カメラ画像の取得目的】
IoT推進コンソーシアム「カメラ画像利活用ガイドブック」より引用
こちらのケースでは、前述の例と異なり、個人識別符号である特徴点データを保存、利用します。
この場合も、同じく事前告知や実施時の案内掲示などが必要となりますが、加えて、本人から開示や利用停止などの請求があった場合に対応する必要が出てきます。あらかじめ、体制や手順などを整えておくと安心です。
こうした特徴点データを保存するケースについても、ガイドブックに対応一覧や例文が掲載されているので、参考として活用しましょう。
IoT推進コンソーシアムの「カメラ画像利活用ガイドブック」では、主にマーケティングなどビジネス目的での顔認証カメラ利用について、留意するべきポイントなどが紹介されていましたが、一方で、ビジネス目的以外に、防犯目的での顔認証カメラの活用も、近年、各地で広がっています。
こうした動きを受けて、2023年3月、内閣府の外局である個人情報保護委員会は、「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」という文書を公表しました。
注:本文書では、「顔識別」「顔認証」の用語について、以下で記載されています。
顔識別:カメラにより撮影された者の中から、その者の顔特徴データと照合用データベースに登録された顔特徴データを照合してデータベースに登録されている特定の個人を見つけ出すこと。
顔認証:当人の要請に応じて、カメラにより撮影された顔画像から抽出された顔特徴データとデータベースに登録された顔特徴データを照合して当人が主張する人物(本人)であることを確認すること。
防犯目的で顔認証カメラを利用する際でも、個人情報保護の観点で留意する点や必要な対応は基本的にビジネス目的での利用と同じとなります。しかし、その目的から、一部例外的なルールが適用される場合があるため、注意が必要です。
例えば、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得る必要があります。しかし、防犯目的で設置した顔認証カメラに犯罪行為が映っていた場合、その個人データを捜査機関に渡すことについて本人から同意を得ることは現実的ではありません。そのため、個人情報保護法27条第1項に、例外として認められる場合が書かれており、「法令に基づく場合」(令状や捜査関係事項照会もこれに該当します)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」などが挙げられています。
ここにも、前述したガイドラインのように、顔認証カメラを設置する際に必要な対応や、掲示する内容などについて詳細が紹介されていますので、設置を検討する際に目を通すと参考になります。
ここにも、前述したガイドラインのように、顔認証カメラを設置する際に必要な対応や、掲示する内容などについて詳細が紹介されていますので、設置を検討する際に目を通すと参考になります。
実際にカメラを設置する際は、場合によって、個人情報だけではなく、プライバシーや肖像権にも配慮する必要があります。目的に対して必要以上に人や場所が映りこまないようにする、わかりやすく十分な説明を心がけるなどして、トラブルが起きないよう、対応しましょう。
顔認証は、生活を便利にし、安全な社会を実現し、より豊かで快適な体験を提供できる、素晴らしいテクノロジーです。
ただし、その活用にあたっては、個人情報の取扱いやプライバシーなどに留意し、カメラの存在を安心して認識してもらえるよう、配慮が必要になります。
十分な情報提供や運用体制の整備を心がけ、顔認証のもたらす価値を最大限に活用していきましょう。
FaceMeは世界最高水準の顔認証をより身近なサービスに利用できるよう、今後もパートナー様とソリューションを展開していきます。