個人情報に該当する「顔」情報
IT・情報セキュリティ
個人情報に該当する「顔」情報とはどのようなものでしょうか。
顔写真・画像、映像のうち、具体的な人物の顔が判別できる程度のものや、顔認識データ(具体的な人物の顔の特徴を数値化し(特徴値といいます)、同一の特徴値を有する者を同一人物として判定できるようにしたデータ)が個人情報に該当します。このうち顔認識データについては、平成27年の個人情報保護法の改正に設けられた個人識別符号に該当し、個人情報該当性が明確化されています。
解説
※本QAの凡例は以下のとおりです。
- 個人情報保護法:個人情報の保護に関する法律(平成15年法律第57号)
- 個人情報保護法施行令:個人情報の保護に関する法律及び行政手続における特定の個人を識別するための番号の利用等に関する法律の一部を改正する法律の施行に伴う関連政令の整備及び経過措置に関する政令(平成28年10月5日政令第324号)に基づく改正後の個人情報の保護に関する法律施行令
- GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日(平成29年3月一部改正)個人情報保護委員会告示第6号)
- Q&A:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日(平成29年5月30日更新)個人情報保護委員会)
「「顔」情報の活用の留意点」
個人情報とは
個人情報保護法は個人情報を以下のとおり定義しています(個人情報保護法2条1項)。
- 「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(個人情報保護法2条1項1号)
- ①のうち、他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの(個人情報保護法2条1項1号かっこ書)
- 「個人識別符号が含まれるもの」(個人情報保護法2条1項2号)。
個人情報とは、「特定の個人を識別することができるもの」であり、生存する具体的な人物とデータとの間に同一性を認めるに至ることができるものをいいます。具体的には、個人情報保護法は、生存する①特定の個人を識別することができるもの(個人情報保護法2条1項1号)、②他の情報と容易に照合することができることによって、特定の個人を識別することができるもの(個人情報保護法2条1項1号かっこ書)、③個人識別符号が含まれるもの(個人情報保護法2条1項2号)が個人情報であると定義しています。①から③までのいずれも、「特定の個人を識別することができるもの」であるか否かが判断要素となり、その判断は、一般人の判断力や理解力が基準とされます。
典型的なものとして、正面から写した顔写真のように、具体的な人物を判別可能な画像・動画が個人情報に該当します。また、顔の特徴を数値化したデータも、後述のとおり、一定以上の詳細さが認められるものについては、個人識別符号に該当する場合があります。
顔認識データとは
個人情報保護法を所管する個人情報保護委員会は、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」が個人識別符号に該当するとしています(GL(通則編)2-2ロ)。
たとえば、具体的な人物の顔の特徴を数値化し(特徴値といいます)、同一の特徴値を有する者を同一人物として判定できるようにしたデータ等がこれに該当します。これは、顔認識データと呼ばれ、認証や、空港、駅、商業施設、店舗等で同一人物をトレースする際等に利用されています。
その他、個人識別符号に該当する身体に関するデータは、顔以外にDNA、虹彩、指紋・掌紋、静脈、歩容について定義されています(個人情報保護法施行令1条)。個人情報保護委員会は、これらに係る情報を組み合わせることによって本人認証することができるようにしたデータについても個人識別符号に該当するとしています(GL(通則編)2-2チ)。「顔」情報にその他の身体に関するデータを組み合わせて取り扱う場合は、この点にも注意が必要です。
たとえば、商業施設内で撮影された映像から顔、歩容の特徴値のデータを組み合わせたもののうち、認証可能な程度のものが個人識別符号に該当します。
個人識別符号に該当する身体に関するデータの詳細は、個人情報保護委員会が公表するGL(通則編)2-2をご覧ください。
顔認識データの利活用
また、顔認識データをIDとし、同一人物の動線・滞留時間等の行動データを集積して活用することがありますが、行動データの集積後に生成したIDとなる顔認識データを削除し、その他の個人情報との容易照合性が認められないような場合には、集積された行動データのみでは個人情報に該当しないこともあり得ます。
容易照合性とは、それ自体は特定の個人を識別することができないデータであっても、これを取り扱う事業者が、特別の調査を行ったり、特別の費用や手間をかけたりすることなく、当該事業者が行う業務における一般的な方法で、他のデータとの照合が可能な状態にあることをいいます。事業者ごとの技術的、組織的な事情を総合判断するものですが、たとえば、ID連携によって個人情報とその他のデータを全体として管理、利用しているような場合は容易照合性があるためにその他のデータも個人情報に該当することになります(Q&A:Q1-16参照)。
なお、個人情報に該当する顔写真や、顔認証データを体系的に構成して個人情報データベース等を構築した場合、これに含まれる個人情報は個人データに該当します。この場合、第三者提供を認める旨の本人同意の取得(個人情報保護法23条1項。「「顔」情報の活用の留意点」の「2.個人データに該当する「顔」情報の第三者への提供」参照)や、安全管理措置(個人情報保護法20条)等への対応が必要となります。
三浦法律事務所