ホーム > Media Site > コラム 改正個人情報保護法が施行 「防犯カメラと個人情報について」

改正個人情報保護法が施行 「防犯カメラと個人情報について」

改正個人情報保護法が施行「防犯カメラと個人情報について」

企業や組織において、個人情報はお客様から預かっている情報資産であり、個人情報保護法の遵守はもちろん、プライバシーマークやISMS(情報セキュリティマネジメントシステム)といった組織の仕組みとして運用される制度が普及しています。
このコラムでは、改正個人情報保護法における事業者の責務を確認するとともに、特に個人識別符号となる防犯カメラの顔情報をはじめとする生体認証データがどのように位置づけられているかを検証。防犯カメラ等の機器を設置・管理する事業者が対処すべき対策についてケーススタディを交えて考察します。

目次

  1. 1 - 個人情報保護法について
  2. 2 - 個人情報の定義
  3. 3 - 改正個人情報保護法のポイント
  4. 4 -【ケーススタディ】防犯カメラ設置と事業者の責務
  5. 5 - まとめ

1 - 個人情報保護法について

近年、情報通信技術の進展によりビッグデータの活用が新産業・新サービスの創出、およびイノベーション創出への寄与が期待されています。特に、個人の行動や状態などに関する情報は、個人の利益ならびに公益への活用が見込まれます。こうした中、プライバシー保護の観点から、個人情報を適正に扱うことが求められ、法整備されてきたものが個人情報保護法です。
特に改正個人情報保護法では、第三者提供に係るトレーサビリティの確保や、外国の事業者に対する情報提供規定が整備されました。また、個人情報を事業活動に利用している企業や組織のうち、取り扱う個人情報が5,000人以下の小規模取扱事業者にも適用されることになり、個人情報取扱事業者が大幅に拡大されたこともポイントです。

個人情報保護法のあゆみ

平成17年(2005年)4月1日
「個人情報の保護に関する基本方針」(個人情報保護法)全面施行。
平成27年(2015年)9月9日
「改正個人情報保護法」(以下「改正法」)公布。
平成28年(2016年)1月1日
「改正法」一部施行(個人情報の保護に関する法律の所管が消費者庁から個人情報保護委員会に移管)
令和4年(2022年)4月1日
デジタル社会の形成を図るための関係法律の整備に関する法律(附則第一条第三号)掲げる規定の施行。

改正法では、近年の社会情勢に鑑み、個人情報の定義が明確化されると共に、情報の利活用のための有用性も確保されました。ただし、届出や義務、罰則規定も改正されているため、個人情報を取扱う事業者は組織として対応をしなければなりません。

2 - 個人情報の定義

個人情報保護法における、個人情報とは次のように定義されています。

個人情報

「個人情報」とは、生存する個人に関する情報であって、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」又は「個人識別符号が含まれるもの」をいう。

今回の改正法で、追加されているのは、このうち後者の「個人識別符号」です。
「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令(平成15年政令第507号)に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。

明らかに文字や番号記号で表される符号(旅券番号、年金番号、運転免許証番号、住民票コード、個人番号(マイナンバー)、被保険者証記号・番号など)に加え、身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものも個人識別符号とされます。
条文では具体的に『顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌』と掲げられており、いわゆる「顔情報」をはじめ、虹彩、声紋、歩行の様態、静脈の形状、指紋又は掌紋といった生体に係る情報が網羅されています。

つまり、改正法では顔情報をはじめとする生体情報は「個人情報」に該当すると、明確に定義されたことになります。

3 - 改正個人情報保護法のポイント

改正法では、「個人情報の定義の明確化」「機微情報への配慮」「適切な規律の下でのビッグデータの活用促進」等を目的とし、以下6つのポイントが主な改正となります。

① 個人情報の定義の明確化
身体的特徴が個人識別符号に該当することが明確化。要配慮個人情報(機微な情報等)に関する規定整備。
② 個人情報の有用性を確保
情報を利活用できるよう、匿名加工情報に関する規定整備。個人情報保護方針の策定・届出・公表等の規定整備。
③ 個人情報の保護規制が強化
主に名簿業者対策として、第三者提供のトレーサビリティ(確認と記録)義務化。
④ 個人情報保護委員会の新設
個人情報保護法の所管がこれまでの消費者庁から、独立した機関として個人情報保護委員会へ改組し新設。
⑤ グローバル化への対応
外国にある第三者への個人データ提供に関する規定整備。
⑥ その他改正
  • ・本人の同意を得ない第三者提供(オプトアウト規定)の届出・公表を義務化。
  • ・利用目的の変更を可能とする規定。
  • ・中小規模事業者(扱い個人情報が5,000人以下)への適用除外規定の廃止。

個人情報として新たに「個人識別符号」「要配慮個人情報」「匿名加工情報」の定義が設けられました。ここで特に留意すべきポイントは、顔情報を含む生体情報が個人識別符号に該当する個人情報であることです。
これにより、防犯カメラの映像をはじめとする顔情報を符号化した信号は個人データであり、取扱う事業者には安全管理措置が義務化されました。

4 -【ケーススタディ】防犯カメラ設置と事業者の責務

以下は、防犯カメラや生態認証システムを設置・運用する際に、事業者の責務として講ずべき措置をケーススタディとして例示します。

Case-1 防犯目的のために「防犯カメラ」を利用する場合
カメラ画像を取得してこれを防犯目的のみに使用し、顔認証データは取り扱わない、従来型の防犯カメラの場合には、「取得の状況からみて利用目的が明らかであると認められる場合」(法第21条 第4項 第4号)に該当することから、利用目的の通知・公表は不要と考えられますが、最新のガイドライン(令和4年4月)では、この場合でも防犯カメラが作動中であることの掲示をする等の措置が望ましいとされています。
Case-2 防犯カメラを設置し「顔認証データ」を防犯目的で利用する場合
個人情報保護法では、「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」(法21条)と定められています。
この場合、個人情報の利用目的をあらかじめ公表するか、または個人情報の取得後、本人へ通知または公表する必要があります。
具体的には、防犯カメラが作動中であることを掲示する等、防犯カメラにより自らの個人情報が取得されていることを本人が容易に認識できる措置を講ずる必要があります。さらに、利用目的や問い合わせ先を防犯カメラの設置場所に明示、またはそれらを掲載したホームページURL、QRコードを示すなどが考えられます。
Case-3 カメラ画像から抽出した性別や年齢の「属性情報」を利用する場合
抽出元の本人を判別可能なカメラ画像(スナップショット=顔情報)や個人識別符号等で本人を識別できる情報と容易に照合をできる場合を除き、属性情報だけでは個人情報には該当しません。
また、人物を全身のシルエットに置き換えて作成した移動軌跡データ(人流データ)も同様に、本人を識別できる情報と容易に照合できる場合を除き、個人情報に該当しません。
Case-4 カメラ映像から「顔情報」を取得し、来訪者へおすすめ商品を知らせるためにパーソナライズされた広告を配信する電子掲示板を設置する場合
顔情報は、個人識別符号に該当する個人情報に該当します。この場合、取得した顔画像(スナップショット=顔情報)を直ちに破棄したとしても当該顔画像について特定の個人を識別した上で、広告配信を行っていると解釈されます。よって、顔画像から抽出した属性情報に基づいて広告配信が行われることを通知・公表するとともに、利用目的の範囲内で顔画像を利用しなくてはなりません。

いずれのケーススタディで共通することは、カメラで取得した顔情報は個人情報であり、設置事業者はデータの安全管理措置はもちろんのこと、取得対象となる本人が予測・想定できるよう利用目的を特定し、通知・公表する責務が伴います。

5 - まとめ

ここまで、改正個人情報保護法における事業者の責務を確認するとともに、特に個人識別符号となる防犯カメラの顔情報をはじめとする生体認証データがどのように位置づけられているかを検証してきました。
まとめとして、個人データを情報管理する上で、「安全管理措置」のために事業者が取り組むべき義務を示します。

「安全管理措置」のステップ ~ 事業者が取組むべき義務
1 - 基本方針の策定 プライバシーポリシー、個人情報取扱方針を策定し、ホームページなどで公表する。
2 - 規律の整備 社内規定を作る。
※中小規模事業者の軽減措置あり。
3 - 組織的安全管理措置 社内に組織を作る。

例:責任者を置く、規律に従った運用をする、取扱い状況を把握する(台帳等で管理)、万が一の際の対応を決めておく、取扱いの見直しPDCAサイクルを回す。

4 - 人的安全管理措置 従業者の教育をする。

例:年一度程度の教育機会を設ける。新任者への教育を行う。

5 - 物理的安全管理措置 個人データを保管、運用する区域を適切に管理する。

例:アクセスコントロール等で区域を管理する、のぞき見されないよう管理する。データ廃棄方法を管理する。

6 - 技術的安全管理措置 個人データを扱うコンピュータを管理する。

例:アクセス制御をする。ID/PWによるアクセス者識別の認証。外部侵入の防止、および情報漏えい防止の対策を行う。

個人情報を取扱う事業者へは、これら「安全管理措置」に加え、「従業者に対する監督」、「委託先への監督」、「正確性の確保」が義務付けられています。これらについても、組織の規則整備と運用を行い、チェックと改善サイクルを回していく必要があります。

当社では、個人情報ならびに防犯カメラに関するアンケート調査を実施いたしました。
調査レポートを公開しておりますので、こちらも併せてご一読ください。

「改正個人情報保護法」アンケート調査レポート ダウンロード

おわりに

近年、コロナ禍で非接触・非対面でのサービスが加速。無人店舗の入店・決済、イベント入場の顔パスなど、生体情報を用いたサービスが次々と生み出され、私たちの生活はより便利になっています。また、メタバースと言われる仮想空間でも、ログイン情報に紐づく個人情報によって、ショッピングやエンタメ体験も試されています。
個人情報保護法は時代に合わせた改正が行われ、その内容は定期的に見直されています。
私たちは生活者として、または事業者として個人情報を安全かつ安心して利活用できる社会を築きたいと考えます。


編集:株式会社JVCケンウッド・公共産業システム マーケティング担当(2022年5月12日)

<参考資料・出典>
個人情報保護委員会ホームページより
「委員会について」、「広報お知らせ」、「個人情報保護等」開示資料より

※本資料は、公開掲載時点での情報であり、内容の完全性・正確性を保証するものではありません。
※本資料内の文章・画像等の内容の無断転載及び複製等の行為はご遠慮ください。

お問い合わせはこちら
システムのご相談はお気軽にどうぞ

ページの先頭へ