顔認証と個人情報の保護 ~顔認証の活用に必要な基礎知識、必要な対応について解説【2024年最新版】
FaceMe®
< 全ての記事

顔認証と個人情報の保護 ~顔認証の活用に必要な基礎知識、必要な対応について解説【2024年最新版】

2024/05/03

さまざまな場所で活用が広がる顔認証カメラ。街頭やオフィス、店舗内にカメラを設置し、業務の効率化やサービス向上、マーケティング施策に活用したいと考える企業も多いことでしょう。

しかし一方で、特に個人情報保護の観点で、データの取り扱いや必要な体制など、どのように対応すればいいのか不明な点があり、設置をためらってしまうという声も聞かれます。

ルールを順守し、適切な運用をすれば、顔認証はより便利で豊かな生活を実現し、ビジネスに大きなメリットをもたらす技術です。

本稿では、顔認証をビジネスシーンで活用するために必須となる、個人情報保護の考え方について解説し、顔認証カメラを設置する際の注意点、顔認証で得たデータの取り扱い方法などについて、わかりやすく紹介します。


2台の監視カメラが一人の男性を撮影

個人情報保護法と顔認証(2022年4月改正法対応)

最初に、そもそも個人情報とは何なのか、顔認証カメラの利用で関係してくるデータとの関係について、みてみましょう。

「個人情報」とは

個人情報保護法において「個人情報」とは「生存する個人に関する情報で、氏名、生年月日、住所、顔写真などにより特定の個人を識別できる情報」のこと。これらを記録しているデジタルデータは全て個人情報保護法のルールに則り運用する必要があります。

つまり、認証のためにカメラに映した顔はもちろんのこと、通りに向けたカメラや防犯カメラに写りこんだ人であっても、特定の個人を識別することができれば基本的には個人情報として扱わなければいけません。

個人情報保護の本

それから、例えば、マイナンバーカードやパスポート番号といった、番号、記号、符号など、特定の個人を識別できる情報で、政令・規則で定められたものを「個人識別符号」といい、この個人識別符号が含まれる情報は個人情報となります。

個人識別符号は、マイナンバーやパスポート番号などに限らず、身体の一部の特徴を電子処理のために変換したものも含みます。顔認証の用途においては、顔の特徴量をベクトルデータ化した、特徴点データがこれにあたり、顔認証を行う上で特徴点データを取得する場合は「個人情報」として扱う必要があります。

個人情報とは「特定個人を識別できる」もの

例)

  • 氏名、生年月日、住所
  • 顔写真
  • 顔認証データ、指紋認証データ
  • マイナンバー、パスポート番号

※単体で個人を識別できないものでも、他の情報と組み合わせることで識別できる場合は個人情報となります。

個人情報データベース等/個人データ

「個人識別符号」などの「個人情報」を検索できるように体系化して構成したものを、個人情報保護法では「個人情報データベース等」とよんでいます。顔認証の場合では、1:N検索を行う為に作成される認証用特徴点データを収めたデータベースが「個人情報データベース等」に当たります。

さらに、この「個人情報データベース等」を構成する個人情報を「個人データ」といいます。「個人データ」である認証用特徴点を集め、「個人情報データベース等」を作成、取り扱いをする場合にも、法律に定められたルールに従う必要があります。

保有個人データ

個人データのうち、個人情報取扱事業者が、開示、内容の訂正、追加又は削除、利用の停止、消去及び第三者への提供の停止を行うことのできる権限を有するものを「保有個人データ」といいます。

個人情報を扱う際のルール

「政府広報オンライン」のサイトでは、個人情報を取り扱う際の基本的なルールについて、取得・利用するとき、保管・管理するとき、第三者に提供するとき、本人から開示等を求められたとき、の4つのシーンに分けて注意を促しています。それぞれの内容について、引用してご紹介します。

(1)個人情報を取得・利用するとき

  • 個人情報を取り扱うに当たっては、どのような目的で個人情報を利用するのか具体的に特定する必要があります。
  • 個人情報の利用目的は、あらかじめホームページ等により公表するか、本人に知らせなければなりません。
  • 個人情報は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により利用してはなりません。
  • 「要配慮個人情報」を取得するときはあらかじめ本人の同意が必要です。
  • 取得した個人情報は、利用目的の範囲で利用しなければなりません。
  • 取得している個人情報を、特定した利用目的の範囲外のことに利用する場合、あらかじめ本人の同意が必要です。

(2)個人データを保管・管理するとき

  • 個人データの漏えい等が生じないように、安全に管理するために必要な措置を講じなければなりません。
  • (例)

    紙で管理している場合:鍵のかかるキャビネットに保管するパソコンで保管している場合:ファイルにパスワードを設定する、セキュリティ対策ソフトを導入する、など

  • 従業者や委託先においても、個人データの安全管理が図られるよう、必要かつ適切な監督を行わなければなりません。
  • 個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会に報告し、本人に通知する義務があります。

(3)個人データを第三者に提供するとき

  • 個人データを本人以外の第三者に提供するときは、原則として、あらかじめ本人の同意が必要です。ただし、本人の同意を得なくても、例外的に個人データを第三者に提供できる場合があります。
  • (例)

    法令に基づく場合(警察、裁判所、税務署等からの照会)、人の生命・身体・財産の保護に必要で本人の同意取得が困難な場合、公衆衛生・児童の健全育成に必要で本人の同意取得が困難な場合、学術研究目的での提供・利用、委託・事業承継・共同利用など

  • 外国にある第三者に提供する際には、次のいずれかを満たす必要があります。
  • [1] あらかじめ本人の同意を得る

    同意を得る際に、その外国の個人情報保護制度や、提供先が講じる保護措置などの情報を本人に提供する必要があります。

    [2] 外国にある第三者が適切な体制を整備している

    提供先における個人データの取扱い実施状況等の定期的な確認及び問題が生じた場合の対応の実施、更には本人の求めに応じて移転先における個人情報保護委員会が定める基準に適合する体制の整備の方法に関する情報などを提供する必要があります。

    [3] 外国にある第三者が個人情報保護委員会が認めた国又は地域に所在している

    第三者に個人データを提供した場合は「いつ・誰の・どんな情報を・誰に」提供したか、第三者から個人データの提供を受けた場合は「いつ・誰の・どんな情報を・誰から」提供されたかを確認・記録する必要があります。記録の保存期間は原則3年です。

(4)本人から保有個人データの開示等を求められたとき

  • 本人からの請求があった場合は、保有個人データの開示、訂正、利用停止などに対応する必要があります(「保有個人データの利用停止、消去、第三者への提供の停止を請求できるケースとは?」参照)。
  • 個人情報の取扱いに対する苦情を受けたときは、適切かつ迅速に対処する必要があります。
  • 以下の内容について、ウェブサイトで公表するなど本人が知り得る状態にしておかなければなりません。
  • [1] 個人情報取扱事業者の氏名又は名称、住所

    [2] 全ての保有個人データの利用目的

    [3] 保有個人データの利用目的の通知の求め又は開示などの請求手続

    [4]保有個人データの安全管理のために講じた措置

    [5]保有個人データの取扱いに関する苦情の申出先

  • 第三者に個人データを提供した記録も開示請求の対象となります。
  • 保有個人データの開示方法について、電子データなどによる提供を含め、本人が請求した方法で対応する必要があります。

政府広報オンライン「個人情報や個人データを取り扱うときの基本ルールとは?」より引用


このように、個人情報を取り扱う際は、それぞれのシーンにおいて、細かく必要な対応が定められています。

2022年4月以降に施行された改正法のポイント

個人情報保護法は2020年に改正され、その改正法が2022年4月に施行されましたが、その後も2023年にも改正され、国の行政機関、民間事業者、地方公共団体等においてこれまで別々の法律、条例によって運用されてきた個人情報の取扱いが、同一の法の規律によって取り扱われるようになっています。

以前は6ヶ月以内に消去するデータ(短期保存データ)は、保有個人データに含まれず、開示、利用停止等の対象外となっていました。2022年4月施行の改正法で、6ヶ月以内に消去するデータ(短期保存データ)も、保有個人データに含めることとなり、開示、利用停止等の対象となっています。

例えば、1日で消去されるものであっても、検索できるように体系的に構成されている「個人情報データベース等」を構成する「保有個人データ」に該当する場合は、開示請求の対象となり得ます。

また、イノベーションを促進する観点から、氏名等を削除した「仮名加工情報」が創設されたことも大きなポイントです。これにより、内部分析に限定する等を条件に、開示・利用停止請求への対応等の義務が緩和されています。

参考)個人情報保護員会「令和2年改正個人情報保護法について」

2023年3月には内閣府の外局である個人情報保護委員会から、「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」という文書を公表して、より具体的に犯罪予防という観点からの顔認証システムの在り方について、事業者による適切な対応を促すためのガイドラインを公開しています。

参考)個人情報保護委員会「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」

顔認証カメラ利用で取り扱うデータと個人情報について

顔認証カメラを実際に利用する場合、目的によって、取得した情報の処理方法、保存の有無等がそれぞれ異なってきます。どの情報、どのようなケースが個人情報に該当するのでしょうか。

カメラで撮影した画像

カメラに撮影された画像は、特定の個人を識別できる場合、個人情報にあたります。カメラにより顔の画像を撮影し、その画像から特徴量データを抽出することは個人情報の取扱いに該当します。特徴量データを抽出した後、もとの顔画像をすぐに破棄し、保存しない場合でも、同じく個人情報を取り扱うことになります。

よって、前述した「個人情報を扱う為のルール」にあるように、個人情報保護法に則した対応をする必要があります。

特徴点データ

顔認証においては、カメラで取得した画像をそのまま用いるのではなく、目的に沿って別の形式のデータに変換され利活用されています。

顔の画像から、目や鼻といったパーツの位置、輪郭などの特徴を抽出し、数値化した特徴点データは、特定の個人を識別できるものであれば、「個人識別符号」に該当し、個人情報となります。

また、それらをデータベースとして保存し利用する場合、検索性があることから、「個人情報データベース等」に該当し、これに含まれる個人情報は「個人データ」となります。

属性情報

「40代・男性」など、画像データから推定した、性別・年代等の属性情報は、これだけでは特定の個人を識別できないため、個人情報にはあたりません。しかし、特徴点データと紐づけられている場合には、特徴点データと同様の扱いとなります。

例えば、個人情報である顔画像や特徴点データと、単体では個人情報とならない撮影日時や「40代・男性」という属性情報を別々のデータベースで管理していたとしても、管理番号やID等によって照合することができる場合には、特定の個人を識別することが可能となります。そのため、このケースではいずれの情報も個人情報に該当します。

カウントデータ

カメラの画像から人の形を判別して、その人数を計測したデータは、顔など人物の特徴にあたるデータを識別しないため、これだけでは特定の個人を識別することはできません。そのため、カウントデータ単体では個人情報には該当しません。

顔認証カメラを設置する際に、個人情報等の観点で必要な対応とは

このように、顔認証に関する個人情報の考え方は、取得・処理・保存など、さまざまな工程ごとに細かくみる必要があり、非常に複雑です。

総務省や経済産業省などが参画するIoT推進コンソーシアムは、「カメラ画像利活用ガイドブック」を公開し、具体的な顔認証カメラを活用するケースを想定して、必要な対応についてわかりやすく一覧にしています。一部を抜粋してご紹介します。

店舗にカメラを設置し、顧客の属性情報から、混雑状況等を予測する


店舗内設置カメラ(属性の推定)

特定空間(店舗等)に設置されたカメラで、入出の時点で、画像を取得し、特徴量データを抽出し人物属性を推定した後、速やかに撮影画像と特徴量データを破棄するもの。

【カメラ画像の取得目的】

  • 店舗への来店者数を把握するとともに、来店人物の属性(年齢・性別)を推定し、属性に対する傾向値(店舗内での平均滞在時間等)を用いて、レジ到達人数やレジ混雑状況を予測。
  • 得られた予測値に基づいて、レジ対応従業員数の最適化検討。

IoT推進コンソーシアム「カメラ画像利活用ガイドブック」より引用


このケースでは、カメラ撮影により個人情報を取得(画像)し、その画像から特徴点データを抽出しています。さらに、特徴点データから年齢や性別といった属性情報を推定しています。撮影画像や特徴点データは保存せず、削除しています。

ここで注意が必要なのは、個人情報にあたる撮影画像や特徴点データは破棄していますが、カメラ撮影の実施や目的などについて、情報提供をするなど、さまざまな対応が必要になるという点です。

ガイドブックでは、このケースについて、

  • 問い合わせ窓口の設置や、ウェブサイトや店頭の張り紙での事前告知、カメラ撮影実施時の案内掲示など、事業者がとるべき必要な対応
  • 事前告知や撮影開始後の案内に掲載すべき内容
  • データアクセスをシステム管理者に限定することや、不正アクセスから保護する仕組みの導入など、データ管理で配慮すること

など、事業者が考慮すべきことがらについて一覧で案内しています。

事前告知などの文章例なども掲載されていますので、必要に応じて、参考にすることをおすすめします。

店舗内にカメラを設置し、顧客の特徴点データをマーケティングに利用する


店舗内設置カメラ(リピート分析)

特定空間(店舗等)に設置されたカメラで、入店の時点で画像を取得し特徴量データ(個人識別符号)を抽出し人物属性の推定及び、空間内を人物等が行動する画像を取得し特徴量データ(個人識別符号)を抽出しこれに基づき座標値を取得し動線データを生成した後に、速やかに撮影画像を破棄。特徴量データ(個人識別符号)のみ一定期間保持し、同一人物の2回目以降の入店の判定キーとする。一定期間中、特徴量データ(個人識別符号)をキーにして、来店履歴、店舗内動線、購買履歴等を紐づけて保存する。一定期間経過後、速やかに特徴量データ(個人識別符号)を破棄するもの。

【カメラ画像の取得目的】

  • 生活者の属性推定、来店履歴や行動履歴(一定期間における来店頻度、店舗内の移動状況や棚前行動)の取得と分析(購買履歴の紐づけも含む)

IoT推進コンソーシアム「カメラ画像利活用ガイドブック」より引用


こちらのケースでは、前述の例と異なり、個人識別符号である特徴点データを保存、利用します。

この場合も、同じく事前告知や実施時の案内掲示などが必要となりますが、加えて、本人から開示や利用停止などの請求があった場合に対応する必要が出てきます。あらかじめ、体制や手順などを整えておくと安心です。

こうした特徴点データを保存するケースについても、ガイドブックに対応一覧や例文が掲載されているので、参考として活用しましょう。

防犯目的で顔認証カメラを設置する

IoT推進コンソーシアムの「カメラ画像利活用ガイドブック」では、主にマーケティングなどビジネス目的での顔認証カメラ利用について、留意するべきポイントなどが紹介されていましたが、一方で、ビジネス目的以外に、防犯目的での顔認証カメラの活用も、近年、各地で広がっています。

こうした動きを受けて、2023年3月、内閣府の外局である個人情報保護委員会は、「犯罪予防や安全確保のための 顔識別機能付きカメラシステムの利用について」という文書を公表しました。

注:本文書では、「顔識別」「顔認証」の用語について、以下で記載されています。

顔識別:カメラにより撮影された者の中から、その者の顔特徴データと照合用データベースに登録された顔特徴データを照合してデータベースに登録されている特定の個人を見つけ出すこと。

顔認証:当人の要請に応じて、カメラにより撮影された顔画像から抽出された顔特徴データとデータベースに登録された顔特徴データを照合して当人が主張する人物(本人)であることを確認すること。

防犯目的で顔認証カメラを利用する際でも、個人情報保護の観点で留意する点や必要な対応は基本的にビジネス目的での利用と同じとなります。しかし、その目的から、一部例外的なルールが適用される場合があるため、注意が必要です。

例えば、個人データを第三者に提供する場合、原則としてあらかじめ本人の同意を得る必要があります。しかし、防犯目的で設置した顔認証カメラに犯罪行為が映っていた場合、その個人データを捜査機関に渡すことについて本人から同意を得ることは現実的ではありません。そのため、個人情報保護法27条第1項に、例外として認められる場合が書かれており、「法令に基づく場合」(令状や捜査関係事項照会もこれに該当します)、「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき」、「公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき」などが挙げられています。

ここにも、前述したガイドラインのように、顔認証カメラを設置する際に必要な対応や、掲示する内容などについて詳細が紹介されていますので、設置を検討する際に目を通すと参考になります。

ここにも、前述したガイドラインのように、顔認証カメラを設置する際に必要な対応や、掲示する内容などについて詳細が紹介されていますので、設置を検討する際に目を通すと参考になります。

プライバシー、肖像権への配慮

実際にカメラを設置する際は、場合によって、個人情報だけではなく、プライバシーや肖像権にも配慮する必要があります。目的に対して必要以上に人や場所が映りこまないようにする、わかりやすく十分な説明を心がけるなどして、トラブルが起きないよう、対応しましょう。

女性の店員、笑顔で紙袋を差し出す

まとめ

顔認証は、生活を便利にし、安全な社会を実現し、より豊かで快適な体験を提供できる、素晴らしいテクノロジーです。

ただし、その活用にあたっては、個人情報の取扱いやプライバシーなどに留意し、カメラの存在を安心して認識してもらえるよう、配慮が必要になります。

十分な情報提供や運用体制の整備を心がけ、顔認証のもたらす価値を最大限に活用していきましょう。

FaceMeは世界最高水準の顔認証をより身近なサービスに利用できるよう、今後もパートナー様とソリューションを展開していきます。

FaceMe®: サイバーリンクの顔認証トータルソリューション

FaceMe について
のお問い合わせ

FaceMe に関するお問い合わせ