カメラ画像を利用した広告
では、カメラ画像を利用した広告の場合、どのような点に注意するべきでしょうか。
この点について、ガイドラインに関するQ&A1-16では次のような事例が記載されています。
Q1−16 電光掲示板等に内蔵したカメラで撮影した本人の顔画像から、性別や年齢といった属性情報を抽出し、当該本人向けにカスタマイズした広告を電光掲示板等に表示しています。属性情報を抽出した後、顔画像は即座に削除しています。個人情報保護法上、どのような措置を講ずる必要がありますか。
この事例では、Q&A1-13・Q&A1-14を参考に必要な措置を検討することになると考えられます。
個人情報保護法において、個人情報取扱事業者は、個人情報を取り扱うに当たって、以下のような規律があります。
・その利用の目的をできる限り特定する(同法17条1項・利用目的の特定)
・当該利用目的の範囲内で個人情報を利用する(同法18条1項・利用目的の範囲内での利用)
・個人情報の利用目的は本人に通知し、または公表する(同法21条1項・利用目的の通知又は公表)
・個人情報の取得にあたっては、偽りその他不正の手段によって個人情報を取得してはならない(同20条1項・不適正取得の禁止)
もっとも、利用目的の通知又は公表に関しては、個人情報取得の状況からみて利用目的が明らかであると認められる場合には、その必要がありません(同法21条4項4号)。
以上を前提に、ガイドラインに関するA1-16では次のように記載されています。
A1−16 個人情報取扱事業者は、カメラにより特定の個人を識別することができる画像を取得する場合、個人情報を取得することとなるため、偽りその他不正の手段により取得してはなりません。そのため、カメラ設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません。一般に、電光掲示板等に内蔵したカメラで撮影する場合には、掲示等がなければ、自らの個人情報が取得されていることを本人において容易にに意識可能といえないと考えられるため、カメラが作動中であることを掲示する等、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講じなければなりません。 また、個人情報取扱事業者が、一連の取扱いにおいて、特定の個人を識別することができる顔画像を取得した後、顔画像から属性情報を抽出した上で、当該属性情報に基づき当該本人向けに直接カスタマイズした広告を配信する場合、当該顔画像を直ちに削除したとしても、個人情報を取り扱って広告配信を行なっていると解されます。このため、個人情報取扱事業者は、顔画像から抽出した属性情報に基づき広告配信が行われることを本人が予測・想定できるように利用目的を特定し、これを通知・公表するとともに、当該用目的の範囲内で顔画像を利用しなければなりません。
カメラ画像・顔特徴データの保有期間
(個人情報保護法による規律)
個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めることとされています(法22条)
そのため、Q&A5-1では次のように記載されています。
Q5−1 カメラ画像や顔特徴データ等の個人データの保有期間についてはどのように考えればよいですか。防犯目的のために取得したカメラ画像やそこから得られた顔特徴データをマーケティング等の商業目的に利用することを考えています。個人情報保護法との関係で、どのような措置を講ずる必要がありますか。
A5−1 個人情報取扱事業者は、法第22条に基づき、利用の必要性を考慮して保存期間を設定し、個人データを利用する必要がなくなったときは、遅滞なく消去するよう努めなければなりません。
個人情報取扱事業者の安全管理措置
個人情報保護法では、個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は既存の防止その他の個人データの安全管理のために必要な措置を講じなければならないと規定されています(法第23条)。
そのうえで、ガイドラインでは顔特徴データは、不変性が高く、個人の行動の追跡が可能になる性質を有することを踏まえて、当該個人データの漏えい、滅失又は毀損の防止その他の安全管理のために必要な措置を講じなければならないとしています。
そして、具体的には組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握として具体例を挙げています。
Q10−8 カメラを設置してカメラ画像・顔特徴データ等を取り扱う場合には、安全管理措置として特にどのような点に注意すればよいですか。
A10−8 個人情報取扱事業者は、法第23条に基づき、個人データについて安全管理措置を講ずることが義務付けられています。カメラ画像・顔特徴データ等が個人データに該当する場合には、その性質(特に、顔特徴データは不変性が高く、個人の行動の追跡が可能となること等)も踏まえ、当該個人データの漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じなければならず、具体的には組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握として、例えば以下のような措置が考えられます。 ①組織的安全管理措置:カメラ画像・顔特徴データ等を取り扱う情報システムを使用できる従業員を限定、事業者内の責任者を定める、管理者及び情報の取扱いに関する規定等を整備する 等 ②人的安全管理措置:従業員に対する適切な研修(個人情報保護法の適用範囲・義務規定、カメラ画像・顔特徴データ等の取扱いに関する講義等)等を実施する 等 ③物理的安全管理措置:カメラ、画像データ・顔特徴データ等を保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じた適切な安全管理を行う 等 ④技術的安全管理措置:情報システムを使用してカメラ画像・顔特徴データ等を取り扱う場合や、IPカメラ(ネットワークカメラ・・Webカメラ)のようにネットワークを介してカメラ画像等を取り扱う場合に、必要とされる当該システムへの技術的なアクセス制御や漏えい防止策等を講ずる(パスワード設定等の措置がアクセス制御のために適切な場合はかかる措置も含む。)、アクセスログの取得分析により不正利用の有無を監視する 等 ⑤外的環境の把握:外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる。
また、個人情報保護法では、「個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない」(法32条)と規定しています(ただし、本人の知り得る状況に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれのあるものについては、本人の知り得る状況に置く必要はありません(法32条1項4号、施行令10条1号)。
なお、ガイドラインでは、カメラ画像・顔特徴データがデータベースを構築していない場合について、法23条の安全管理措置の直接適用はないものの、当該画像が漏えい等することがないよう、上記の各種安全を参考として適切に取り扱うことが望ましいと考えられると記載しています。
このように、カメラ設置に関しては、個人情報保護法、「個人情報の保護に関する法律についてのガイドラインに関するQ&A」(ガイドライン)を参考に、個人情報の適切な取得、維持、管理が必要となります。