改正個人情報保護法が施行 「防犯カメラと個人情報について」

1 - 個人情報保護法について

近年、情報通信技術の進展によりビッグデータの活用が新産業・新サービスの創出、およびイノベーション創出への寄与が期待されています。特に、個人の行動や状態などに関する情報は、個人の利益ならびに公益への活用が見込まれます。こうした中、プライバシー保護の観点から、個人情報を適正に扱うことが求められ、法整備されてきたものが個人情報保護法です。
特に改正個人情報保護法では、第三者提供に係るトレーサビリティの確保や、外国の事業者に対する情報提供規定が整備されました。また、個人情報を事業活動に利用している企業や組織のうち、取り扱う個人情報が5,000人以下の小規模取扱事業者にも適用されることになり、個人情報取扱事業者が大幅に拡大されたこともポイントです。

改正法では、近年の社会情勢に鑑み、個人情報の定義が明確化されると共に、情報の利活用のための有用性も確保されました。ただし、届出や義務、罰則規定も改正されているため、個人情報を取扱う事業者は組織として対応をしなければなりません。

2 - 個人情報の定義

個人情報保護法における、個人情報とは次のように定義されています。

今回の改正法で、追加されているのは、このうち後者の「個人識別符号」です。
「個人識別符号」とは、当該情報単体から特定の個人を識別できるものとして個人情報の保護に関する法律施行令（平成15年政令第507号）に定められた文字、番号、記号その他の符号をいい、これに該当するものが含まれる情報は個人情報となります。

明らかに文字や番号記号で表される符号（旅券番号、年金番号、運転免許証番号、住民票コード、個人番号（マイナンバー）、被保険者証記号・番号など）に加え、身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものも個人識別符号とされます。
条文では具体的に『顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌』と掲げられており、いわゆる「顔情報」をはじめ、虹彩、声紋、歩行の様態、静脈の形状、指紋又は掌紋といった生体に係る情報が網羅されています。

つまり、改正法では顔情報をはじめとする生体情報は「個人情報」に該当すると、明確に定義されたことになります。

3 - 改正個人情報保護法のポイント

改正法では、「個人情報の定義の明確化」「機微情報への配慮」「適切な規律の下でのビッグデータの活用促進」等を目的とし、以下６つのポイントが主な改正となります。

① 個人情報の定義の明確化

身体的特徴が個人識別符号に該当することが明確化。要配慮個人情報（機微な情報等）に関する規定整備。

② 個人情報の有用性を確保

情報を利活用できるよう、匿名加工情報に関する規定整備。個人情報保護方針の策定・届出・公表等の規定整備。

③ 個人情報の保護規制が強化

主に名簿業者対策として、第三者提供のトレーサビリティ（確認と記録）義務化。

④ 個人情報保護委員会の新設

個人情報保護法の所管がこれまでの消費者庁から、独立した機関として個人情報保護委員会へ改組し新設。

⑤ グローバル化への対応

外国にある第三者への個人データ提供に関する規定整備。

⑥ その他改正

• ・本人の同意を得ない第三者提供（オプトアウト規定）の届出・公表を義務化。
• ・利用目的の変更を可能とする規定。
• ・中小規模事業者（扱い個人情報が5,000人以下）への適用除外規定の廃止。

個人情報として新たに「個人識別符号」「要配慮個人情報」「匿名加工情報」の定義が設けられました。ここで特に留意すべきポイントは、顔情報を含む生体情報が個人識別符号に該当する個人情報であることです。
これにより、防犯カメラの映像をはじめとする顔情報を符号化した信号は個人データであり、取扱う事業者には安全管理措置が義務化されました。

4 -【ケーススタディ】防犯カメラ設置と事業者の責務

以下は、防犯カメラや生態認証システムを設置・運用する際に、事業者の責務として講ずべき措置をケーススタディとして例示します。

Case-1　防犯目的のために「防犯カメラ」を利用する場合

カメラ画像を取得してこれを防犯目的のみに使用し、顔認証データは取り扱わない、従来型の防犯カメラの場合には、「取得の状況からみて利用目的が明らかであると認められる場合」（法第21条 第4項 第4号）に該当することから、利用目的の通知・公表は不要と考えられますが、最新のガイドライン（令和4年4月）では、この場合でも防犯カメラが作動中であることの掲示をする等の措置が望ましいとされています。

Case-2　防犯カメラを設置し「顔認証データ」を防犯目的で利用する場合

個人情報保護法では、「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」（法21条）と定められています。
この場合、個人情報の利用目的をあらかじめ公表するか、または個人情報の取得後、本人へ通知または公表する必要があります。
具体的には、防犯カメラが作動中であることを掲示する等、防犯カメラにより自らの個人情報が取得されていることを本人が容易に認識できる措置を講ずる必要があります。さらに、利用目的や問い合わせ先を防犯カメラの設置場所に明示、またはそれらを掲載したホームページURL、QRコードを示すなどが考えられます。

Case-3　カメラ画像から抽出した性別や年齢の「属性情報」を利用する場合

抽出元の本人を判別可能なカメラ画像（スナップショット＝顔情報）や個人識別符号等で本人を識別できる情報と容易に照合をできる場合を除き、属性情報だけでは個人情報には該当しません。
また、人物を全身のシルエットに置き換えて作成した移動軌跡データ（人流データ）も同様に、本人を識別できる情報と容易に照合できる場合を除き、個人情報に該当しません。

Case-4　カメラ映像から「顔情報」を取得し、来訪者へおすすめ商品を知らせるためにパーソナライズされた広告を配信する電子掲示板を設置する場合

顔情報は、個人識別符号に該当する個人情報に該当します。この場合、取得した顔画像（スナップショット＝顔情報）を直ちに破棄したとしても当該顔画像について特定の個人を識別した上で、広告配信を行っていると解釈されます。よって、顔画像から抽出した属性情報に基づいて広告配信が行われることを通知・公表するとともに、利用目的の範囲内で顔画像を利用しなくてはなりません。

いずれのケーススタディで共通することは、カメラで取得した顔情報は個人情報であり、設置事業者はデータの安全管理措置はもちろんのこと、取得対象となる本人が予測・想定できるよう利用目的を特定し、通知・公表する責務が伴います。

5 - まとめ

ここまで、改正個人情報保護法における事業者の責務を確認するとともに、特に個人識別符号となる防犯カメラの顔情報をはじめとする生体認証データがどのように位置づけられているかを検証してきました。
まとめとして、個人データを情報管理する上で、「安全管理措置」のために事業者が取り組むべき義務を示します。

個人情報を取扱う事業者へは、これら「安全管理措置」に加え、「従業者に対する監督」、「委託先への監督」、「正確性の確保」が義務付けられています。これらについても、組織の規則整備と運用を行い、チェックと改善サイクルを回していく必要があります。

当社では、個人情報ならびに防犯カメラに関するアンケート調査を実施いたしました。
調査レポートを公開しておりますので、こちらも併せてご一読ください。

おわりに

近年、コロナ禍で非接触・非対面でのサービスが加速。無人店舗の入店・決済、イベント入場の顔パスなど、生体情報を用いたサービスが次々と生み出され、私たちの生活はより便利になっています。また、メタバースと言われる仮想空間でも、ログイン情報に紐づく個人情報によって、ショッピングやエンタメ体験も試されています。
個人情報保護法は時代に合わせた改正が行われ、その内容は定期的に見直されています。
私たちは生活者として、または事業者として個人情報を安全かつ安心して利活用できる社会を築きたいと考えます。