顔認証と個人情報のおはなし

みなさん、こんにちは。
以前「顔認証にまつわるおはなし」のコラムで
わたしたちの生活の中で身近になりつつある
顔認証の認証方法、認識閾値についてお話しました。

個人情報保護法での顔データの取り扱いについて

個人情報保護法では、「個人情報」を次のように定義しています。

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等（文書、図画若しくは電磁的記録（電磁的方式（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。）で作られる記録をいう。第十八条第二項において同じ。）に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項（個人識別符号を除く。）をいう。以下同じ。）により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）
二 個人識別符号が含まれるもの

２ この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的 方式により記録された文字、番号、記号 その他の符号であって、その利用者若しくは 購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受け る者を識別することができるもの

個人情報保護法（個人情報の保護に関する法律：平成十五年法律第五十七号）

第二条2項1にあるとおり、
顔認証に用いる顔特徴量データは個人識別符号に該当します。

個人識別符号は、大きく2つに分けられます。

顔認証、指紋データなど身体情報を
デジタル化したものと、

マイナンバー、旅券、運転免許証など
個人に割り当てられた番号(符号)です。

この個人識別符号に関する項目は、
平成27年(2017年)5月30日施行の改正個人情報保護法で追加されました。

その点では技術革新に法律が早く対応した方だと言われています。

そして・・・

同時に、この個人情報の管理が厳密になりました。

従来は取り扱う個人情報の数が5,000以下である事業者は
規制対象外でしたが、廃止されています。

要するに、顔認証技術を使うには
個人情報保護法を避けては通れないのです。

顔認証システム利用時の注意点とは…？

顔認証システムを利用する際の
個人情報の取り扱いに関する主な注意点は
下記のとおりです。

• 個人情報を取り扱うにあたり、その利用目的を出来る限り特定する
• 本人の同意を得ないで、利用目的の達成に必要な範囲を超えて個人情報を扱ってはならない
• 偽りその他不正の手段により、個人情報を取得してはならない
• 個人情報を取得した場合は、あらかじめ利用目的を公表している場合を除き、速やかにその利用目的を本人に通知し、又は公表しなければならない
  ：

厳密には細かい例外などもあるため
一概には言えませんが、

かなりざっくり言うと…

あらかじめ許可を得て登録した人以外、特に不特定多数の人が往来する場所に
顔認証システムを設置する場合は、

「ここでは顔認証により〇〇をするために
　顔特徴量データを取得していますよ」

…と利用目的を対象者が見える場所に明示しなければなりません。

まとめ

顔認証技術を用いたシステムを企画する際には、
個人情報の取り扱いについての配慮もお忘れなく…！

詳細は個人情報保護委員会「法令・ガイドライン等」のページをご参照ください。

次回のエンジニア'sコラムもお楽しみに！