「顔」情報の活用の留意点
IT・情報セキュリティ
当社では「顔」情報を活用したいと考えていますが、一般的にどのような点に気を付ける必要がありますか。
「顔」情報を活用する多くの場合、その取扱いは個人情報保護法の適用を受けます。このため、①活用しようとする情報が、個人情報に該当するかを判断すること(個人情報保護法2条1項)、②本人に対して適切な対応を行うこと(適正取得(個人情報保護法17条1項)、利用目的の通知・公表(個人情報保護法18条))、そして取得態様によっては③第三者提供の困難さ(個人情報保護法23条1項参照)を伴うことを認識し、自社の活用ニーズ、必要なデータを精査して、適切な対応を行ってください。
解説
目次
※本QAの凡例は以下のとおりです。
- 個人情報保護法:個人情報の保護に関する法律(平成15年法律第57号)
- 個人情報保護法施行規則:個人情報の保護に関する法律施行規則(平成28年個人情報保護委員会規則第3号)
- GL(通則編):個人情報の保護に関する法律についてのガイドライン(通則編)(平成28年11月30日(平成29年3月一部改正)個人情報保護委員会告示第6号)
- Q&A:「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A(平成29年2月16日(平成29年5月30日更新)個人情報保護委員会)
「顔」情報を活用する多くの場合、個人情報保護法の適用を受けます。このため、まず初めに、活用しようとする情報が個人情報に該当するかを判断することが大切です。
本人に対する適切な対応
個人情報を取得し、利用する際には、①当該個人情報を適正な方法で取得すること(個人情報保護法17条1項)、②利用目的を特定し、当該利用目的を取得経緯に照らしつつ、あらかじめの公表、速やかな公表もしくは通知、または明示をすること(個人情報保護法15条1項、18条1項・2項。個人情報保護法18条については、以下「取得に際しての利用目的の通知等」といいます)が必要となります。
「顔」情報の主な取得経緯は、大別すると本人自らがデータを提供する場合(下記1-1)、駅、店舗その他施設内に設置したカメラを利用して取得する場合(下記1-2)、第三者から提供を受ける場合(下記1-3)があり得ます。それぞれの状況に応じて、適正な取得と利用目的制限に対応するための適切な措置を講ずる必要があります。
本人自らがデータを提供する場合
(1)適正な取得
本人自らがデータを提供する場合、適正な取得が問題となることは少ないでしょう。ただし、たとえば、利用目的Aのためにデータが必要であるにもかかわらず、この目的によっては思うようにデータが集まらないからといって、本人の理解を得やすい利用目的Bを掲げ、Aを秘匿して情報を収集して利用するような場合、適正な取得がなされていないと考えられます(GL(通則編)3-2-1事例3)。
(2)利用目的の特定
次に、個人情報取扱事業者ごとに利用目的は様々であることから、それぞれ利用態様に従って、できるかぎり具体的に利用目的を特定する必要があります。
利用目的の特定は、一般人の能力、理解力を判断の基準としています。利用目的を単に抽象的、一般的に特定することでは足りず、個人情報が個人情報取扱事業者において、どのような目的で利用されるのかを、目的を確認する本人が一般的かつ合理的に想定できる程度に特定することが求められます(GL(通則編)3-1-1参考)。顔認識データの作成、利用については、一回きりの撮影と、反復してデータが利用されるのとでは方法のみならず、利用目的が異なるといえるため、当事者がその事実を認識できる程度の記載が必要と考えられます。いずれにせよ、本人が意図せずデータが収集され得ることから、レピュテーションリスクも勘案し、慎重な対応が求められるところです。
(3)特定した利用目的の取得に際しての利用目的の通知等
そして、特定した利用目的の取得に際しての利用目的の通知等については、たとえば、履歴書に写真を貼付する場合や、他の個人情報と共に顔画像を何らかの申込フォームへアップロードして送信する場合等であれば、あらかじめ当該利用目的を明示する必要があります(個人情報保護法18条2項)。
駅、店舗その他施設内に設置したカメラを利用して取得する場合
(1)適正な取得
個人情報取扱事業者がカメラを設置して「顔」情報を取得する場合、取得の具体的な状況によっては適正な取得とはいえない場合も考えられます。たとえば、不法行為が成立し得るような取得は不適正なものといえますので、撮影の場所、範囲、態様、目的、必要性、映像管理方法等を総合考慮し、本人の権利・利益が社会生活上受忍の限度を越えるものといえるかどうかを最低限判断する必要があります。
イメージしやすいように極端な例を挙げると、個人情報取扱事業者の運営する商業施設内であっても、試着室などの中を撮影するようなことが不適切であるのは明らかです。
その他、利用する目的がないにも関わらず、不必要な撮影を行ってデータを継続的に収集するような場合、不法行為が成立することがあり得ますが、これは利用目的制限に違反するとともに、適正な取得がなされていないものと考えられます。また、本人が不快感を覚えるリスクも勘案してデータを取得することが求められています。
(2)利用目的の制限
利用目的制限については、個人情報取扱事業者ごとに利用目的が様々であるものの、まずは典型的な利用目的である防犯目的を例として説明し、比較として商用目的の利用について触れておきます。
①利用目的の特定(個人情報保護法15条1項)
利用目的の特定については、「カメラで取得した顔を含む映像を録画し、犯罪行為等の防止・発覚時の対応等の監視のために利用します」とすることが考えられます。
②取得に際しての利用目的の通知等(個人情報保護法18条1項)
取得に際しての利用目的の通知等については、防犯カメラであることが明らかであって防犯目的のみのために撮影する場合、「取得の状況からみて利用目的が明らか」(個人情報保護法18条4項4号)であることから、利用目的の通知・公表は不要とされています。
ただし、個人情報保護委員会は、「防犯カメラが作動中であることを店舗の入口に掲示する等、本人に対して自身の個人情報が取得されていることを認識させるための措置を講ずることが望ましいと考えられます」と説明しています(Q&A:Q1-11参照)。
なお、仮に、防犯目的で取得したデータを商用目的で利用したいと考えた場合、本人の同意を得なければ商用目的による取扱いを行うことはできません(個人情報保護法16条1項)。
個人情報保護法は、特定した利用目的を変更し得る要件を定め、これを満たさない場合を含めて当該利用目的を達成するのに必要な範囲を超えた取扱いを行う場合には、あらかじめ、本人の同意を得る必要があります(個人情報保護法15条2項、16条1項)。防犯目的と商用目的とでは、両者間に合理的関連性があるとはいえず、当初特定した防犯目的の達成に必要な範囲を超える取扱いがなされることは明らかであり、目的外利用として本人の同意を得ることが必要です。
③商用目的でデータを取得する場合の利用目的制限への適切な対応
商用目的でデータを取得する場合の利用目的制限への適切な対応について、主な注意点は次のとおりです。
利用目的の特定については、施設内でのカメラの設置による防犯対策は一般的な用法として浸透してきていることに比べて、商用利用はそれほど浸透したものではないことも考慮したうえで行うことが良いと考えます。
また、通知・公表は、「事業の性質及び個人情報の取扱状況に応じ、合理的かつ適切な方法によらなければならない」とされ(GL(通則編)2-10、2-11)、第三者を介してデータが取得されることを勘案し、本人が利用目的を認識し得る方法を検討し、対応することが求められます。
第三者から提供を受ける場合
(1)適正な取得
個人情報取扱事業者が第三者から「顔」情報の提供を受ける場合として、企業間でのデータの提供・共有や、私人によるソーシャルネットワーキングサービス(SNS)での他人が写った画像のアップロードが考えられます。いずれの場合も、本人から直接データの提供を受けるものではないため、取得の経緯等に留意した対応が必要となります。
確認・記録義務(個人情報保護法26条)によって、個人データの第三者提供を受ける個人情報取扱事業者は、提供を受けようとする個人データについて、取得経緯を確認することとされています。このため、漏えい等の違法・不正な行為によって得られるデータは、これを承知して取得する場合には、適正取得義務(個人情報保護法17条1項)に違反する場合があります。
たとえば、漏えいしたデータであることを互いに承知したうえで提供が行われる場合は、不適正な取得にあたると考えられます。
適正な取得が担保されるよう、企業間のデータ提供・共有に際して本人同意を得ている旨の表明保証条項が設けられることや、SNSの利用規約において他人の権利・利益の侵害を禁止事項として設けるなどし、不適切なアップロードがなされないようにすることが考えられます。
(2)利用目的制限
利用目的については、個人情報取扱事業者ごとにデータの取扱い実態に即した特定を行い、あらかじめの公表または取得後速やかな本人への通知もしくは公表が求められます(個人情報保護法15条1項、18条1項)。なお、通知・公表については、第三者を介してデータが取得されることを勘案し、本人が利用目的を認識し得る方法を検討し、対応することが求められます。
個人データに該当する「顔」情報の第三者への提供
データベースを構築し、個人情報に該当する「顔」情報を利用する場合、個人データの取扱い規制への対応が必要となります。
本人同意の取得
個人情報取扱事業者は、個人データの第三者への提供にあたり、あらかじめこれを認める旨の本人同意を得なければなりません(個人情報保護法23条1項)。本人自らがデータを提供する場合を含め、個人情報取扱事業者と本人との接点が無いかぎり、連絡先を得られなければ本人同意を得ることは難しく、また仮に連絡先を得られたとしても、連絡の上同意を得るためには時間、費用の面で相当なコストを負担しなければなりません1。
このため、取扱い実態に左右されるものの、個人情報保護法上、第三者提供に該当しないとされる委託や共同利用(個人情報保護法23条5項1号・3号)による対応の余地が無いかを検討し、対応することが考えられます。
確認・記録義務への対応
また、個人情報取扱事業者は、提供者・受領者のいずれかの立場で個人データの第三者提供を行う場合、確認・記録義務(個人情報保護法25条・26条)への対応が求められることがあります。上述の委託、共同利用の場合や、本人の指示に従って個人データを提供する場合等の法律またはガイドラインで認められる一定の事由が無いかぎり、確認・記録に対応する必要があります。具体的な記録の態様については、「個人情報の保護に関する法律についてのガイドライン(第三者提供時の確認・記録義務編)」をご覧ください。
-
本人同意取得に代えてオプトアウト手続(個人情報保護法23条2項)を利用することが考えられるものの、個人情報保護法施行規則7条で「(個人情報保護法23条2項各号の事項を)確実に認識できる適切かつ合理的な方法に」よって一定の事項(同項各号)を通知または容易に知り得る状態とすることとされています。このため、個人情報取扱事業者と本人との接点がない場合には、通知できず、また通知に相当の負担が生じる場合が多く、オプトアウト手続によることは困難であるといえます。 ↩︎
三浦法律事務所