はじめに

「顔認証」を始めAIによる画像認識の技術が様々なシーンで利用されていますが、法律上どのような問題があるか理解している事業者は少ないのではないでしょうか。

特に顔認証の文脈での画像認識は、被写体が「人」であるため、その関係での法律問題、特に個人情報保護の問題を避けては通れません。ビジネススキームを構築する検討段階から知っておくべきルールがあります。

また、実際にビジネスを運用する段階でも、法律上課せられるルールを理解していないせいで、トラブルとなりたくないですよね。

そこで今回は、AIによるカメラ画像の認識技術・ビジネスについて、法律上どのような問題があるのかをITに強い弁護士が解説します。

目次

1 AIの画像認識技術の活用事例(カメラ画像)

AIと画像認識

AI(Artificial Intelligence)」とは、人間のような知能を人工的に作ったもの(人工知能)のことをいいます。AIは、高度な技術によって人間のように「学習」し、学習したデータに基づいて「判断」することができます。AIは大きく分けて2種類あります。1つ目は、「汎用型AI」や「強いAI」と呼ばれるもので、ドラえもんのように感情や高度な知性を持ったロボットのことをいいます。2つ目は、「特化型AI」や「弱いAI」と呼ばれるもので、今まで人がやってきた作業を代替的に行うロボットのことをいいます。もっとも、「強いAI」が活用されるようになるのはまだまだ先の話で、現在の日本で使われているのはほぼ「弱いAI」になります。

AIは画像認識にも活用されており、たとえば、iphoneのFaceIDや、Windows10のWindows Helloを使ってセキュリティのロック解除をしている人も多いのではないでしょうか。

AIは、このように個人利用目的で活用されることもありますが、街中や店舗でよく見かけるカメラも以下のような目的の下でAIによる画像認識が活用されています。

  1. 防犯・公共目的
  2. ビジネス目的

それぞれの活用事例を図で見ていきましょう。

(1)防犯・公共目的

AI_防犯・公共目的の活用事例

このように、迷子や不審者、トラブルなどを検出することで防犯に役立てたり、イベントの入場の本人確認にカメラ画像を用いることで不正な転売を防いだり、道路の混み具合や、通行人の移動履歴を確認することでインフラ整備に役立っています。

(2)ビジネス目的

AI_ビジネス目的の活用事例

ビジネス目的では、マーケティングなどにAIによる画像認識を活用しています。

 

以上からもわかるように、AIによる画像認識は様々な方法で活用されており、認識に用いるカメラ画像には、被写体として「」が映り込んでいます。そこで、被写体となっている「」との関係でどのような法律規制があるのかなどについて慎重に考える必要があります。
ですが、事業としては何に注意し、どういったルールを守らなければいけないのかなど分からない点が多いですよね。

このように、事業者が撮影した情報を活用する場合には、自身の利益のみならず、撮影された人の権利にも配慮しなければいけません。このような観点からも、特に重要となる法律規制が「個人情報保護法」です。

次の項目から、「個人情報保護法」について詳しく見ていきましょう。

2 個人情報保護法の概要

個人情報保護法

個人情報保護法」とは、事業者を対象として「個人情報」の取扱いに関するルールを定めた法律です。

ここでいう「個人情報」は、個人情報保護法上、以下の4つに分類されています。

  1. 個人情報
  2. 個人データ
  3. 保有個人データ
  4. 要配慮個人情報

事業者が保有する個人情報がどの情報にあたるかで、事業者に課される義務や必要とされる対応が変わってくるため、まずは「個人情報」の内容を正確に知っておく必要があります。この項目では、それぞれの概念と事業者に課される義務について、簡単に確認しておきましょう。詳細は後ほど説明します。

(1)個人情報

個人情報」とは、以下のどちらかにあてはまる情報のことをいいます。

  1. 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日、その他の記述等により、特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む)
  2. 個人識別符号を含むもの

それぞれ順番に見ていきましょう。

①生存する個人に関する情報であって、特定の個人を識別できるもの

特定の個人を識別できるもの」とは、分かりやすく説明すると、個人を特定できる情報のことをいいます。

たとえば、「2000年1月1日生まれ」という情報だけでは、それが誰のことを指しているのかわかりません。ですが、氏名が加わり、「2000年1月1日生まれの〇×さん」という情報であれば、誰のことか特定できるようになります。

それでは、「他の情報と容易に照合することができ」とはどういった場合のことをいうのでしょうか。

生年月日のリストと氏名のリストが別々に保管されている場合を想像してください。

生年月日のリストだけでは誰のことだか分かりませんね。もっとも、この場合でも、生年月日のリストと氏名のリストそれぞれにNo.1、No.2・・・と管理番号が書かれていて、相互に紐づけられていれば、2つのリストを照合することで、個人を特定することができます。このように照合することで個人を特定できる場合も、「特定の個人を識別できるもの」に含まれることになります。

以上のように、生きている個人に関する情報で、個人を特定できるものが「個人情報」にあたります。

②個人識別符号を含むもの

個人識別符号」とは、その情報自体から個人を特定できるものをいいます。たとえば、DNA、顔、指紋、声紋、歩行の態様、マイナンバー、パスポート番号などが挙げられます。そのため、顔などの容貌や歩き方など、「あれは〇×さんである」と個人を特定できる情報が含まれている画像は、「個人情報」にあたることになります。

そして、カメラ画像においては、特にこの「個人識別符号」が重要となります。

①②のどちらかに当てはまる「個人情報」を取得する場合、その事業者は、情報の利用目的を特定し、個人に対してそれを公表・通知することが義務となっています。

なお、個人を撮影することを目的としていないカメラ画像にたまたま個人が写り込んでしまった場合でも、特定の個人を識別できる画像となっていれば、その画像は「個人情報」にあたりますので、注意が必要です。

個人情報保護法上、以上の「個人情報」が最も広い概念となります。

次に、個人情報を一段階狭めた概念である「個人データ」について見ていきましょう。

(2)個人データ

個人データ」とは、特定の個人を検索することができるように構築したデータベースに含まれる「個人情報」のことをいいます。このデータベースを個人情報保護法上、「個人情報データベース等」といい、このデータベースを事業のために使用している者を「個人情報取扱事業者」といいます。

個人を特定できる顔の画像が特定の個人を検索できるようにデータベース化されていれば、「個人データ」となります。取り扱う個人情報が「個人データ」にあたる場合、その取扱事業者には、個人データが漏えい、滅失しないよう適切な安全管理措置を取ることが求められたり、個人データの第三者提供の制限等を受けたりといったように、「個人情報」を取り扱う事業者よりも重い義務を課されることになります。

次に、個人データよりもさらに狭い概念である「保有個人データ」について見ていきましょう。

(3)保有個人データ

保有個人データ」とは、「個人データ」のうち、以下をいずれもみたすものをいいます。

  1. 個人情報取扱事業者が、開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことができるもの
  2. 取得日から6か月を超えて保有することになるもの

取り扱う個人情報が「保有個人データ」にあたる場合、その取扱事業者は「個人データ」を取り扱う事業者に課される義務に加え、「保有個人データ」に関する事項の通知「保有個人データ」の開示、訂正、利用停止等の義務を負うことになります。

最後に、個人情報保護法改正により新設された「要配慮個人情報」について見ていきましょう。

(4)要配慮個人情報

要配慮個人情報」とは、人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害を受けた事実その他本人に対する不当な差別、偏見等が含まれた「個人情報」のことをいいます。個人情報の中でも特に慎重な取扱いが求められる情報であるにもかかわらず、これまでは法令で明確に定義されていなかったため、新設されました。

「要配慮個人情報」にあたる情報は、その取得に際し、本人から同意を得る必要があります。

このように、「個人情報」は細かく4つに分けることができ、概念が狭くなるにつれて事業者に課される義務も重くなります。

もっとも、検討しなければいけない法的問題点や課される義務は、以下の3つのフェーズに応じて異なります。

  1. 「取得」
  2. 「処理・保存」
  3. 「提供」

次の項目から、それぞれのフェーズごとに、詳しく解説していきます。

3 画像の「取得」フェーズの法的問題点

個人情報の取得

これまで見てきたとおり、例えば、個人を特定できる顔の画像は「個人識別符号」として、「個人情報」にあたります。

もっとも、「個人情報」にあたるような画像であっても、その画像を「取得」していなければ、個人情報保護法の規制を受けることはありません、

そのため、まずは、どんな場合に個人情報を「取得」したといえるのかが問題となります。

(1)個人情報の「取得」とは

個人情報の「取得」とは、個人情報を自己の管理しているデータサーバーに保管することをいうと考えられています。たとえば、個人を特定できる顔の画像を含むカメラ画像を、一瞬でも録画保存した場合には、個人情報を「取得」したことになります。

そのため、監視のみをリアルタイムで行い、録画保存を一切行わないのであれば、「取得」にはあたらないとされる余地があります。

もっとも、画像の活用方法によっては、録画保存を一切行わないという方法をとれない場合もあるため、そのような場合はやはり個人情報を取得したことになります。

それでは、個人情報を「取得」したといえる場合、その事業者は個人情報保護法上どのような義務を課されるのでしょうか。以下で、見ていきましょう。

(2)「個人情報」の取得に際し課される義務

「個人情報」の取得に際し課される義務は以下の2つとなります。

  1. 利用目的の特定
  2. 利用目的の公表・通知

それぞれ、確認していきましょう。

①利用目的の特定

個人情報の取得にあたっては、その利用目的を出来る限り特定する必要があります。ここでいう、「出来る限り特定」というのは、個人情報が最終的にどのような事業・サービスに、どのような目的で使われるか個人が想定できる程度に具体化することを意味します。

以下に具体例を挙げます。

    【特定できていない例】

  • 当社の事業活動に用いるため
  • 当社の提供するサービス向上のため
    【特定できている例】

  • 〇〇事業における新商品に関する情報のお知らせのため

「特定できていない例」を見るとわかるように、抽象的かつ一般的な目的にとどまっているため、これを見ても、どの事業・サービスに用いられるのか、どのように個人情報が使われるのか分かりません。そのため、「特定できている例」にあるように、できる限り具体的に特定する必要があります。

また、特定された利用目的は、以下のように、個人に対して公表・通知する必要があります。

②利用目的の公表・通知

個人情報を取得した場合には、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表する必要があります。

たとえば、自社のホームページから1回程度の操作で到達できる場所への提示、ポスターによる提示、パンフレットの配布等がここでいう「公表」にあたります。

もっとも、例外的に、防犯カメラによって個人を撮影・録画するような場合には、利用目的の公表・通知は不要です。

なぜなら、こういった撮影・録画は、犯罪予防を利用目的としていることが明らかだからです。

ただし、防犯カメラでの撮影・録画に加えて、AIの画像認識によって個人を追跡する場合、通常の防犯カメラが担う機能を超えており、利用目的が明らかであるとまではいえません。そのため、個人情報の利用目的の公表・通知が必要になると考えられます。

 

以上のように、個人情報を取得するときは、出来る限り具体的に利用目的を特定するとともに、その利用目的を本人に公表・通知することが必要です。

4 画像の「処理・保存」フェーズの法的問題点

画像の処理・保存

個人情報として「取得」した画像であっても、その後の加工処理によっては、個人情報にあたらないものと考えることもできます。とはいえ、画像の加工処理には、いくつかの方法がありますので、まずは、その点から確認しましょう。

(1)画像の加工処理方法

画像の加工処理方法は、以下の5つに分類することができます。

  1. 特徴量データ
  2. 属性情報
  3. カウントデータ
  4. 動線データ
  5. 処理済みデータ

以下で、順番に見ていきましょう。

①特徴量データ

特徴量データ」とは、画像から個人の目、鼻、口の位置関係等の特徴を抽出し、数値化するという処理方法によって得られたデータのことをいいます。「特徴量データ」は、顔認証データともいいます。顔の画像そのものではなく、数値化したデータも「個人識別符号」にあたるため、「個人情報」にあたります。

②属性情報

属性情報」とは、画像から抽出した個人の容貌を元にAIが推定した性別・年齢などをデータにしたものをいいます。「属性情報」だけでは、個人を特定できないため、「個人情報」にはあたりません。

もっとも、抽出元の画像と「属性情報」が容易に照合できる場合、個人を特定できるようになるため、この場合には「個人情報」にあたることになります。

③カウントデータ

カウントデータ」とは、人の形のみを判別して、その数量を計測する処理方法により得られたデータのことをいいます。人数をカウントするだけのため、特定の個人を識別することはできないデータとなります。そのため「個人情報」にはあたりません。

④動線データ

動線データ」とは、個人がどのように移動したかを示すデータです。どこにいたかという座標値を時系列にそって蓄積することで生成されます。「動線データ」だけでは、個人を特定することはできないため、「個人情報」にはあたりません。

もっとも、個人の移動経路の確認のために「動線データ」と「特徴量データ」を紐づけている場合には、これらを容易に照合して個人を特定できるようになるため、「個人情報」にあたります。

⑤処理済みデータ

処理済みデータ」とは、画像にモザイク処理等を施して、個人を特定できないようにする処理をしたデータのことをいいます。処理済みデータも個人を特定できないため、「個人情報」にはあたりません。

もっとも、人の歩き方は「個人識別符号」として「個人情報」にあたるため、顔にしかモザイク処理をしないといった不十分な処理や、復元が可能な処理がなされていた場合は、「個人情報」にあたる可能性があります。

 

以上のように、画像の加工処理によりそれ単体では「個人情報」にあたらないデータとなっていても、抽出元の画像や、他のデータと容易に照合して個人を特定できる場合には、「個人情報」と判断される可能性があります

そして、「個人情報」にあたる場合において、特定の個人を検索できるようにその個人情報をデータベース化しているような場合、その個人情報は「個人データ」にあたります。「個人データ」にあたる場合、その取扱事業者は「個人情報」のみを取扱う事業者に比べ重い義務を負うことになります。

そのため、「個人情報」にあたらないように画像を加工処理したり、個人が特定できる他の情報(個人識別符号や会員情報など)と紐づけずにデータベース化するなど、ビジネススキーム構築段階から情報の取扱いをどのように行うか十分に検討する必要があります。

それでは、「個人データ」を取扱う事業者に課せられる義務はどのようなものなのでしょうか。次の項目で、見ていきましょう。

(2)「個人データ」の取扱事業者に課せられる義務

「個人データ」の取扱事業者に課せられる義務は以下の4つです。

  • 【義務1】:内容の正確性の確保など
  • 【義務2】:安全管理措置
  • 【義務3】:従業員、委託先の監督
  • 【義務4】:第三者提供の制限

以下で、順に見ていきましょう。

①【義務1】:内容の正確性の確保など

「個人データ」を取り扱う事業者は、利用目的の達成に必要な範囲内で、個人データを最新かつ正確な内容に保ち利用する必要がなくなった個人データは遅滞なく消去することに努めなければなりません(努力義務)

たとえば、離婚などで姓が変わったにもかかわらず、以前の姓でダイレクトメールが届くことにいい気持ちがしない人もいるかもしれません。「内容の正確性を確保」するとは、このように個人データを更新する必要が発生した際に、事業者が本人に更新手続の案内をしたり、個人データそのものを更新することをいいます。

②【義務2】:安全管理措置

個人データを取扱う事業者は、「個人データ」が漏えい、滅失しないよう「安全管理措置」を取らなければなりません。

具体的に「安全管理措置」には、以下の4つの側面があります。

    (ⅰ)組織的安全管理措置

    (ⅱ)人的安全管理措置

    (ⅲ)物理的安全管理措置

    (ⅳ)技術的安全管理措置

以下で、順に見ていきましょう。

(ⅰ)組織的安全管理措置

組織的安全管理措置」とは、個人情報保護管理責任者の設置や、個人データの取扱台帳の作成、事故発生時の対応手順の整備など、社内体制を整備することをいいます。

(ⅱ)人的安全管理措置

人的安全管理措置」とは、従業員などに対して、内部規程の周知を行ったり、情報セキュリティの教育・訓練を実施することをいいます。

(ⅲ)物理的安全管理措置

物理的安全管理措置」とは、個人データが持ち出されないよう入退室管理を実施したり、PCが持ち出されないようセキュリティワイヤーをつけたりなどといった対策のことをいいます。

(ⅳ)技術的安全管理措置

技術的安全管理措置」とは、アクセス制御をかけて個人データにアクセスできる者を制限したり、アクセス状況の監視をしたり、不正ソフトウェア対策を施すことをいいます。

なお、事業の規模や個人データの取扱い状況によって、求められる内容・程度に違いがあることに注意が必要です。

※安全管理措置の手法や具体例について、詳しく知りたい方は、個人情報保護委員会の「個人情報の保護に関する法律についてのガイドライン(通則編)」の「8(別添)講ずべき安全管理措置の内容」をご参照ください。

③【義務3】:従業員、委託先の監督

事業者は、「個人データ」を従業員や委託先に取り扱わせる場合、必要かつ適切な「監督」をする必要があります。ここでいう「監督」とは、「個人データ」の取扱いに際し、従業員や委託先が負うこととなる安全管理措置義務を契約書に盛り込むこと、従業員や委託先が安全管理措置義務を遵守していることを定期的に確認することを指します。

近年、自前のサーバーを持たず、クラウドサービス上に全ての情報を保管している事業者が増えていますが、個人情報取扱事業者とクラウドサービス事業者の間の契約において、「個人データ」を取り扱わないことが定められ、適切にアクセス制御がなされている場合には、クラウドサービス事業者は「委託先」にあたらず、その監督も不要になるものと考えられます。

④【義務4】:第三者提供の制限

第三者提供」とは、事業者が保有する「個人データ」をその事業者以外の者に提供することをいいます。「個人データ」を第三者に提供する場合には、原則として、あらかじめ本人から同意を得る必要があります。

事業者が自分の知らないところで自由に「個人データ」をやり取りできるとしたら、「個人データ」が誰にどのように使われているか分かりません。そのため、あらかじめ本人から同意を得た場合にのみ個人情報の第三者提供を認めているのです。

もっとも、以下の場合には例外的に同意を得る必要はありませんが、第三者提供がビジネス目的である場合には、基本的にあてはまりませんので注意が必要です。

    (ⅰ)法令に基づく場合

    (ⅱ)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき

    (ⅲ)公衆衛生の向上または児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき

    (ⅳ)国の機関もしくは地方公共団体またはその委託を受けた者が法令に定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき

以上のように、「個人データ」を取り扱う事業者には多くの義務が課せられることになります。

さらにその「個人データ」を6か月保有する場合には、そのデータは「保有個人データ」にあたり、「個人データ」の取扱事業者に課される義務に加え、さらに2つの義務が課されることになります。

以下で、詳しく見ていきましょう。

(3)「保有個人データ」を取り扱う事業者に課せられる義務

「保有個人データ」を取り扱う事業者に追加的に課される義務は以下の2つです。

  • 【義務5】:通知義務など
  • 【義務6】:開示、訂正、利用停止など

以下で、順に見ていきましょう。

①【義務5】:通知義務など

「保有個人データ」を取り扱う事業者は、以下の事項を自社HPに掲載するなどして、本人の知り得る状態に置いておく必要があります。

    (ⅰ)個人情報取扱事業者の氏名または名称

    (ⅱ)すべての保有個人データの利用目的

    (ⅲ)利用目的の通知の請求、保有個人データの開示、訂正、利用停止の手続き

    (ⅳ)保有個人データの取扱いに関する苦情の申出先

このように、本人が確認できる状態に置くことで、長期間にわたる個人データの利用が適正に行われているか確認することができます。

②【義務6】:開示、訂正、利用停止など

事業者は、本人から保有個人データの開示、訂正、利用停止等の請求を受けたときには、遅滞なくこれらに応じなければなりません。

ここでいう「開示」とは、請求者本人の保有個人データの内容そのものを本人に示すことをいい、「訂正」とは、保有個人データの内容が事実でない場合に、事実に合致するように修正することを指します。

また、「利用停止等」とは、以下に挙げる違反を是正することを目的として、保有個人データの利用の停止または消去の請求を受けたときに、必要な限度で遅滞なく、保有個人データなどの利用を停止することを意味します。

  • 保有個人データが目的外利用された
  • 保有個人データが不正の手段により取得された
  • 同意なく要配慮個人情報が取得された
  • 保有個人データが同意なく第三者に提供された

 

以上のように、取り扱う情報によって、事業者に課される義務の内容も変わります。「個人データ」を6か月を超えて保管することの必要性などについて、十分に検討することも重要になってきます。

5 画像の「提供」フェーズの法的問題点

画像の提供

個人情報保護法上、データベース化されていない単なる「個人情報」であれば、本人の同意なく、第三者に提供できますが、検索可能な「個人情報データベース等」を構成する「個人データ」は、本人の同意がなければ原則として第三者に提供することはできません。

たとえば、グループ会社(親会社・子会社)間であっても、それぞれは別会社であるため、親会社から見て子会社、または子会社から見て親会社は、自社以外の事業者(第三者)にあたることになります。

そのため、グループ会社間でも本人の同意がなければ原則として個人データを提供することはできません。

もっとも、この原則を貫くと、グループ会社の各店舗における購買履歴や動線データを共有し、全ての店舗の品揃えや店舗レイアウトを最適化するといったような場合に、個人データの第三者提供をする都度に本人から同意をもらう必要があり、不都合性が生じます。

そこで、個人情報保護法は以下のように、提供先が【「第三者」にあたらない場合】と【「第三者」にはあたるが例外的に提供が許される場合】とに分けて、例外的な扱いを認めています。

以下で、順番に見ていきましょう。

(1)第三者にあたらない場合

①「委託先」への提供

委託」とは、自社の業務を他社にお願いすることをいいますが、業務に必要な個人データを委託先に提供する場合には、第三者提供にあたらず、本人の同意なく個人データの提供をすることができます。

たとえば、

  • カメラ画像の処理を委託する場合
  • データの打ち込みといった情報処理を委託する場合
  • 商品の配送を行うために宅配業者に個人データを提供する場合

といったケースが挙げられます。

委託先は委託を受けた業務の範囲を超えて個人データを利用することは許されていないため、委託元が自ら個人データを利用しているのと変わらないからです。

もっとも、委託に際しては以下のような「委託先を監督する義務」が委託元に課されます。

  • 適切な委託先の選定
  • 委託契約の締結
  • 委託先における個人データの取扱い状況の把握

これらの監督義務が課されるのは、ずさんな情報管理体制を取っているなど、リスクのある委託先に個人データが渡らないよう個人データを守るためです。

②「共同利用」

共同利用」とは、個人データを複数の事業者で共同で利用したり管理することをいいます。

たとえば、観光地の店舗や駐車場の管理者が、観光客がストレスを感じることなく観光できるように、自分たちで設置したカメラにより、人・車などの混雑状況を共有するようなケースが「共同利用」にあたります。

このように、人や車のナンバーといった個人情報をデータベース化して共同で利用する場合には、本人の同意の代わりに、あらかじめ以下の5点について本人に通知するか、本人が容易に知り得る状態に置くことにより、共同利用者に個人データを提供することができます。

  1. 共同利用をする旨
  2. 共同利用する個人データの項目
  3. 共同利用者の範囲
  4. 共同利用する個人データの利用目的
  5. 個人データを管理する責任者(法人の場合は法人名)

これらの事項を本人に通知などで知らせることにより、自分の個人データを、誰が、なんのために、どのような目的で使っているかが分かるようになるため、本人の同意を求める必要はなくなります。

③「合併など」

合併、会社分割、事業譲渡などにより事業が別会社に承継されることを「事業承継」といいます。事業を承継する場合、承継先の会社が、元の会社で利用していた個人データをそのまま利用したいと考えるのはごくごく自然のことであり、本人も承継先で自身の個人データが利用されることについては同意していると考えることができます。事業を承継している以上、個人情報の利用目的についても従前と変わらないと考えられるからです。そのため、合併などにより、事業を承継した承継先も第三者にあたらないとされています。

もっとも、事業が承継された途端、個人データの利用目的が変わってしまっては、本人にとって、自分の個人データがどのように利用されているか分からなくなってしまいます。そのため、個人データの利用目的を変更する場合には、あらためて本人の同意を得る必要があります。

(2)「第三者」にはあたるが例外的に提供が許される場合(オプトアウト方式)

オプトアウト方式」とは、一定の要件のもとで、本人に事後的な拒否権を与えて個人データを第三者に提供することをいいます。

これに対して「オプトイン」は、あらかじめ本人から同意を取得し第三者に提供する場合をいいます。

オプトアウトの方式で第三者に個人データを提供する場合、以下の要件をすべてみたす必要があります。

  1. 本人からの求めに応じて個人データの第三者提供を停止すること
  2. 以下の事項をあらかじめ本人に通知するか、本人が簡単に知ることができる状態にしておくこと
  3. ⅰ個人データの第三者提供を利用目的とすること

    ⅱ第三者に提供される個人データの項目

    ⅲ第三者への提供方法

    ⅳ本人の求めに応じて個人データの第三者提供を停止すること

    ⅴ本人の求めを受け付ける方法

  4. ⅰ~ⅴまでの事項を個人情報保護委員会へ届出ること

以上のように、本人からあらかじめ同意を取得する必要がなくなる一方で、本人からの申し出により個人データの第三者提供を停止する必要があったり、個人情報保護委員会への届出などの負担が生じます。

このように、個人情報保護法は、本人の同意を得ることなく個人データを第三者に提供することができる例外的な扱いを認めていますが、あくまで例外的な扱いであるため、原則を担保するために事業者に対して特別の義務を課しているのです。

個人データの第三者提供の局面においては、以上に挙げた義務とは別の観点から、「トレーサビリティの確保」という義務が事業者に課されます。

そこで、次の項目では、この「トレーサビリティの確保」について解説したいと思います。

※個人情報保護委員会への届出手続の具体的な方法、届出書の書式については、「オプトアウトによる第三者提供の届出」をご参照ください。

法律の悩みを迅速に解決します。
スタートアップ、IT、先端技術の法律相談なら私たちにお任せください!
豊富な契約書雛形もご用意していますので、IT企業に関わらずお気軽にお問い合わせください。

お問い合わせはこちらから

6 トレーサビリティの確保

トレーサビリティ

トレーサビリティ」とは、個人データの流通経路を明らかにし、後から追跡が可能な状態にすることをいいます。トレーサビリティの確保は、本人からの同意の有無にかかわらず必要です。

「トレーサビリティの確保」を分かりやすく図で説明すると以下のような流れになります。

トレーサビリティの確保ver3

そして、以上のようなトレーサビリティを確保するために、個人データの提供者・受領者にはそれぞれに以下のような義務が課されます。

トレーサビリティの確保のために課される義務

「トレーサビリティの確保」が求められるようになったのは、「ベネッセ個人情報流出事件」がきっかけでした。同事件では、無断で持ち出された個人情報が複数の名簿業者を通じて広く流通してしまいました。

このような個人情報の流通を抑止するため、必要に応じて個人情報の流通経路を辿ることができるように記録の作成・保存取得経緯の確認が義務付けられたのです。

もっとも、この「トレーサビリティの確保」は名簿業者だけでなく、AIによる画像認識をビジネスにしている事業者とっても、大きな負担となります。なぜなら、トレーサビリティの確保義務は、仮に本人の同意があっても、「第三者」に個人データを共有する際には必ず課される義務だからです。

 

以上に見てきたとおり、これまでは様々な個人データの提供方法やそれに伴い事業者に課される義務などについて見てきました。

これらを踏まえて、次の項目では、実際のケースにあてはめて、見ていきましょう。

7 具体的なケースの検討

具体例

(1)事業者間で共有したいケース

グループ会社の各店舗における購買履歴や動線データ、来店履歴を共有し、品揃えや店舗レイアウトの最適化を図りたいというケースを考えてみましょう。

この場合、購買履歴や動線データだけを共有するということであれば、これらの情報は個人を特定できる情報ではないため、個人情報にはあたりません。

もっとも、来店履歴や来店時の行動を分析する目的で、特徴量データと、購買履歴や動線データを紐づけていた場合、照合することにより個人を特定できるようになるため、購買履歴や動線データも個人情報にあたることになります。

そして、購買履歴や動線データを特徴量データと紐づけてデータベース化していた場合には、その個人情報は、個人データにあたることになります。

グループ会社としては、このような個人データを共有しようとする場合、以下のいずれかの方法で共有することが考えられます。

  1. オプトイン方式
  2. オプトアウト方式
  3. 委託先への提供
  4. 共同利用

以下で、順番に見ていきましょう。

①オプトイン方式

オプトイン」は本人からあらかじめ第三者提供の同意を得る方法です。このようにあらかじめ同意を得ている場合も、トレーサビリティを確保するための記録の作成・保存などが必要です。

もっとも、たとえ本人からあらかじめ同意を得ていたとしても、共有したいグループ企業が加わるたびに、提供先に変更が生じることになります。提供先を変更する場合には、再び同意を取得しなおす必要がありますが、再度同意を取得することは困難であり、実務上この方法を選択することは難しいと考えられます。

②オプトアウト方式

オプトアウト」は、一定の要件のもとで、本人に事後的な拒否権を与えて個人データを第三者に提供する方法です。この方法を選択する場合には、既に見たように、一定事項の通知個人情報保護委員会への届出、トレーサビリティを確保するための記録の作成・保存などが義務付けられます。

③委託先への提供

委託先は第三者に当たらないため、第三者提供を行う際にトレーサビリティを確保する必要はありません。そのため、記録の作成・保存や取得経緯の確認は不要となり、事務負担は軽くなるといえます。もっとも、自社の業務をお願いすることが前提として必要となります。グループ会社間でどのような業務を委託するのか、その業務は個人情報の取扱いが必要な業務なのか慎重に検討する必要があります。

④共同利用

共同利用の相手方は第三者に当たらないため、第三者提供を行う際にトレーサビリティを確保する必要はありません。また、利用目的などを通知・公表することは必要になりますが、「委託先への提供」とは異なり、監督義務も発生しません。もっとも、オプトイン方式と同様に、共有したいグループ企業の範囲が変更となる場合、再び同意を取得しなおす必要があります。

以上のように、いずれの方法においても長所と短所があります。

そのため、事業者間で行うビジネスを踏まえて、適切な方法を選択することが必要です。

(2)万引犯のカメラ画像を共有したいケース

たとえば、事業者Aが複数の小売店事業者から防犯カメラ画像の提供を受け、万引犯の顔を照合できるデータベースを構築したとします。そのデータベースを事業者Aが小売事業者に提供して、データベースにヒットする人物が来店した際に従業員にアラートがあがるようにするというケースを考えてみましょう。

このケースにおいて、個人情報は、以下の2つの局面で提供されることになります。

  1. 複数の小売店事業者から事業者Aへの防犯カメラ画像の提供
  2. 事業者Aから小売店事業者への万引犯のデータベースの提供

順に見ていきましょう。

①複数の小売店事業者から事業者Aへの防犯カメラ画像の提供

この局面でのカメラ画像の提供については、「委託先への提供」という方法がベストだと考えられます。

なぜなら、「オプトイン方式」、「オプトアウト方式」、「委託先への提供」、「共同利用」という方法の中で、当事者に課される義務が最も軽い方法が「委託先への提供」だからです。

「委託先への提供」を選択する場合、個人情報の取り扱いが必要な業務を委託する必要があるところ、このケースでは、たとえば、各小売店事業者は、事業者Aに防犯カメラ画像から万引犯の顔のデータを抽出し、データベース化する業務を委託することが考えられます。これらの業務を行うためには、委託先である事業者Aに防犯カメラ画像を提供する必要があります。

「委託先への提供」であれば、各小売店事業者は、事業者Aに対する監督義務のみを負担すればよく、ベストな選択だと考えられます。

②事業者Aから小売店事業者への万引犯のデータベースの提供

事業者Aから小売店事業者へのデータべースの提供の局面については、以下の4つの方法を順に検討していきましょう。

    (ⅰ)オプトイン方式

    (ⅱ)オプトアウト方式

    (ⅲ)委託先への提供

    (ⅳ)共同利用

事業者間で共有するケースと異なり、万引犯の場合、(ⅰ)オプトイン方式は使えないと考えられます。万引犯からあらかじめ個人データを利用することについて同意を得るなんてことは通常しないからです。

次に、(ⅱ)オプトアウト方式による方法を検討すると、万引き自体が、要配慮個人情報とされている「犯歴等」にあたる可能性があり、もし、要配慮個人情報にあたる場合、オプトアウト方式での第三者提供はできないということになります。

なぜなら、要配慮個人情報は、情報の性質上、慎重な取り扱いが必要なため、個人情報保護法により、オプトアウト方式での第三者提供が禁止されているからです。

この方法を選択することも難しいでしょう。

また、(ⅲ)委託先への提供を行うためには、事業者Aが小売店事業者に何かしらの業務を委託することが必要になります。もっとも、小売店事業者に、畑違いの画像分析などといった業務をお願いすることはできません。万引犯のデータベースを利用することが必要などのような業務を委託するのか、という問題をクリアできなければ、この方法を選択することはできません。

問題点を図解すると以下のとおりとなります。

万引犯のカメラ画像の共有

このように見てくると、このケースの場合には、利用目的などの必要事項を通知・公表することで第三者提供が可能となる(ⅳ)共同利用を選択するのがベターであると考えられます。

 

以上のように、「個人データ」を共有する場合には、個人情報保護法が様々な義務を事業者に課しています。もっとも、せっかく持っている情報をビジネスに活かさないことには、宝の持ち腐れとなってしまいます。

そこで、個人情報保護法では、少しでも多くの情報を活用できるようにするために「匿名加工情報」という概念を設けています。

次の項目で、詳しく見ていきましょう。

(3)「匿名加工情報」に加工して共有するケース

匿名加工情報」とは、個人を特定できないよう個人情報を加工することをいいます。

適切に加工することで、一定のルールのもとで、本人の同意を得ることなく、目的外利用第三者提供をすることができるようになります

それでは、どのように画像を処理すれば「匿名加工情報」といえるのでしょうか。

まずは、画像の処理方法について見ていきましょう。

既に見てきたように、画像の処理方法は、以下の5つに分類することができます。

  1. 特徴量データ
  2. 属性情報
  3. カウントデータ
  4. 動線データ
  5. 処理済みデータ

これらの処理方法により得られたデータを「匿名加工情報」として扱うことができるのでしょうか?

①特徴量データについては、顔のデータを数値化しているものの、その数値自体が、個人の特定が可能な個人識別符号であるため、匿名加工情報として利用することはできません。

一方で、②属性情報や③カウントデータ、④動線データ、⑤処理済みデータについては、元の画像を削除し、特徴量データや会員情報など、個人を特定できる情報と紐づけしないことを条件として、「匿名加工情報」とすることが可能となります。

次に「匿名加工情報」を取り扱う事業者に求められるルールについて確認しましょう。

「匿名加工情報」取扱事業者に求められるルールは以下の3つです。

  1. 公表義務
  2. 識別行為の禁止
  3. 安全管理措置

それぞれ、順に見ていきましょう。

①公表義務

「匿名加工情報」を作成したとき(加工の作業を完了したとき)、作成した事業者は、ホームページなどを通して、匿名加工情報に含まれる個人に関する情報の項目を公表する必要があります。

また、「匿名加工情報」を第三者に提供するときは、あらかじめホームページなどで第三者に提供する匿名加工情報に含まれる項目および匿名加工情報の提供の方法を公表する必要があります。

これらのことを公表することで、個人情報を提供した本人は、匿名加工情報に自身の個人情報が使われているか、適切な加工がなされているかを確認することができるようになります。

②識別行為の禁止

「匿名加工情報」を取り扱う事業者は、個人を特定する目的で、以下のことを行うことは禁止されています。

  • 自らが作成した「匿名加工情報」を、個人を特定するために他の情報と照合すること
  • 受領した「匿名加工情報」の加工方法を取得すること
  • 受領した「匿名加工情報」を、個人を特定するために他の情報と照合すること

「匿名加工情報」として個人を特定できないように加工したにもかかわらず、特定目的で照合されてしまっては、加工した意味がなくなってしまうため、これらの行為は禁止されています。

③安全管理措置

「匿名加工情報」に加工する事業者は、安全管理措置として、加工方法などの情報が漏えいしないようにする必要があります。加工方法が漏れ、個人が特定されることを防止するためです。

以上のように、これまでは、カメラ画像のAI活用について、主に個人情報保護法との関係で詳しく見てきましたが、これとは別に、「プライバシー」への配慮も必要となります。

この点について、次の項目で詳しく見ていきましょう。

8 プライバシーの問題

プライバシー

昨今のAIやITの発展に伴い、「プライバシー」は、何の理由もなく私生活を公開されることのないという消極的な権利から、自分の情報をコントロールするという積極的な権利へと概念が変わりつつあります。

自分の情報をコントロールする」とは、不当に自分の情報を取得・収集されないという意味を含んでいます。

現代においては、カメラでの撮影目的が多様になっており、防犯目的だけでなく、ビジネス目的での撮影も急速に増えています。

そのため、設置されているカメラがどういった目的で撮影しているのか、撮影されたカメラ画像はどのように使われるのか、などといったように、撮影目的や利用方法がわからない状況が生まれています。

このような状況であるからこそ、カメラで撮影を行う際にはプライバシーに配慮し、、以下のような点を店舗に掲載するなどして、これまで以上にプライバシーへの配慮を強めることが重要であると考えられます。

  • カメラ画像の内容と利用目的
  • 撮影者の名称と連絡先
  • カメラ画像の活用によるメリット
  • カメラの撮影範囲
  • カメラ画像から生成・抽出したデータの概要
  • 生成・抽出したデータからの個人の特定の可否
  • 第三者提供の有無と提供先
  • データの利活用開始時期

以上のように、プライバシーに配慮することはもちろんのこと、、撮影したカメラ画像やそこから生成・抽出したデータを適切に管理することも極めて重要です。ずさんな管理をしてしまうと、情報漏えいなどのリスクがあり、最悪の場合、事業の継続が困難になる可能性すらあります。

このような事態にならないためにも、事業者にはしっかりとしたセキュリティ管理が求められます。

最後の項目で、セキュリティの問題について確認しておきましょう。

※カメラ画像の活用について経済産業省が、「カメラ画像利活用ガイドブック」に見解をまとめています。ご参照ください。

9 セキュリティの問題

セキュリティー

個人情報やそこから生成・抽出したデータは、絶対に漏えいすることがないように適切に管理する必要があります。

そのためにも、セキュリティ対策は必須といえます。

NPO日本ネットワークセキュリティ協会がまとめた「2017年情報セキュリティインシデントに関する調査報告書」では、2017年における個人情報の漏えいに関するデータが紹介されています。漏えい件数の多かったトップ10の事例の漏えい原因は、10件中7件が不正アクセスによるものであるという結果がでています。

今後は、セキュリティとしてのログ監視などにAIが用いられる一方、不正アクセスをする側でもAIを用いることが想定されます。

そのため、より一層、外部からの不正アクセスに対するセキュリティ対策を強化する必要があります。

また、漏えいの原因としては「誤操作」、「紛失・置き忘れ」、「不正アクセス」、「管理ミス」によるものも多く、これらは全体のうちの4分の3を占めています。外部からの不正アクセスだけでなく、内部情報の管理体制やルールの見直し、従業員への教育も重要になってきます。

10 小括

まとめ

AIによる画像認識を行うためには、個人情報保護法による規制を検討することが最も重要です。ビジネススキームを構築する段階からカメラ画像を「個人情報」として残しておく必要があるのか、個人情報をデータベース化する必要があるのか(個人情報にあたらないよう加工したうえでデータベース化できないのか)、などといったように検討しなければならない事項は多岐にわたります。

事業を適切に展開していくためにも、個人情報保護法などによる法律規制を十分に理解したうえで、、ルールをしっかりと守ることが重要です。

11 まとめ

これまでの解説をまとめると、以下のようになります。

  • AIによる画像認識で特に重要な法律規制は個人情報保護法である
  • 個人情報保護法の「個人情報」には、①個人情報、②個人データ、③保有個人データ、④要配慮個人情報の4つがある
  • 「個人情報」は概念が狭くなるにつれ課される義務が重くなる
  • 個人情報の取扱いは、①取得、②処理・保存、③提供の3つのフェーズに分けることができる
  • 個人情報の取得に際しては①利用目的の特定、②利用目的の公表・通知の義務が課される
  • 画像の処理方法は①特徴量データ、②属性データ、③カウントデータ、④動線データ、⑤処理済みデータの5つに分類できる
  • 「個人データ」の取扱事業者には①内容の正確性の確保、②安全管理措置、③従業員、委託先の監督、④第三者提供の制限の4つの義務が課される
  • 「保有個人データ」の取扱事業者には「個人データ」に課された4つの義務に加えて、①通知義務、②開示、訂正、利用停止などの義務が課される
  • 「個人データ」は原則として第三者に提供できない
  • 「第三者」にあたらない場合として①「委託先」への提供、②「共同利用」、③「合併など」の3つがある
  • 「第三者」にあたるが例外的に提供できる場合として、オプトアウト方式がある
  • 「個人データ」を提供する場合、本人からの同意の有無にかかわらず、トレーサビリティの確保が必要である
  • 「匿名加工情報」に加工したうえで、情報を共有するという選択肢がある
  • 撮影にあたっては、プライバシーにも配慮する必要がある
  • 情報管理としてセキュリティ対策を万全にする必要がある