１．「渋谷100台AIカメラ設置プロジェクト」
最近、X（Twitter）上で「渋谷100台AIカメラ設置プロジェクト」というものが話題となっています。これは、報道によると、Intelligence Design株式会社が、一般社団法人渋谷未来デザイン、一般社団法人渋谷再開発協会と共に、渋谷駅周辺に100台のAIカメラを設置して、リアルタイムで人流データなどの取得・解析を行い、それらのデータをオープンデータ化するものであると説明されています。本プロジェクト開始は、2023年7月開始を予定しているとのことです（exciteニュース「渋谷駅周辺にAIカメラ100台設置！人流データを解析し、イベント混雑時の警備問題の解決へ」より）。

つまり本プロジェクトは、防犯対策や事業者のマーケティングのために幹線道路の交通量や各種商業施設への入店客数などのリアルタイムの利用者の属性情報や滞在時間などの人流データを複合的に分析・可視化したデータであり、これを各協賛事業者が利用できる形で渋谷の事業者や商店街などに還元するものであるそうです。

２．これは個人情報・個人データなのでは？
個人情報保護委員会（PPC）の個人情報保護法ガイドラインQ&A1-12は、人流データについて「特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。 」と規定しています。そのため人流データは原則として個人情報ではありません。

しかし「渋谷100台AIカメラ設置プロジェクト」サイトをみるとつぎのような図が掲げられています。

（「渋谷100台AIカメラ設置プロジェクト」サイトより）

つまり、「オフライン顧客の見える化」として「カメラ100台（による）通年の行動データがリアルタイムで蓄積」とあり、ある男性の画像の下に「40代男性、同席者有り（30代女性）、ブランドAを着用/所持、休日12時より渋谷に銀座線で到着、ヒカリエでランチ、明治通りを通り宮下パークへ低速で移動（ショッピング目的を想定）、月３回目・・・」等と記述があります。

このようにAIカメラにより、属性情報が連続的に蓄積されれば、たとえその本人の氏名などは分からないとしても、「あの人、この人」と特定の個人を識別できるので、これは個人情報であるといえます（個情法2条１項１号）。またこの属性情報には顔画像も添付されているので、これも特定の個人を識別できるといえます。（なおID社サイトをみるとAIカメラで取得した顔画像はすぐに廃棄するとありますが、そうであるとしてもAIカメラで顔画像から取得された顔識別データは個人情報・個人データです。）

ところが「渋谷100台AIカメラ設置プロジェクト」サイトのあるIntelligence Design社（ID社）のプライバシーポリシーの「利用目的」の部分をみると、「渋谷100台AIカメラ設置プロジェクト」で収集されたデータについては何の記載もありません。
（ID社のプライバシーポリシーより）

つまり、ID社はこれを個人情報と認識していないのではないかと思われます。しかしこれは上でみたように個人情報であり、体系的に構成されたDBに収録された場合には個人データです。個人データであるとした場合、ID社には安全管理措置の責務（法23条）やデータを第三者提供する際の本人同意の取得の義務（法27条１項）などが課されます。この点、ID社の認識には誤りがあるのではないかと思われます。

また、このAIカメラは顔識別機能付きカメラシステムであり、マーケティング目的および防犯目的であることからPPCの個人情報保護法ガイドラインQ&A1-14や経産省・総務省の商用カメラ向けの「カメラ画像利活用ガイドブックver3.0」に準拠して、「利用目的、運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗の入口や、カメラの設置場所等に掲示すること」等が要請されますが（個情法21条１項）、少なくとも「渋谷100台AIカメラ設置プロジェクト」サイトを見る限りは、ID社はこれらの責務を果たしていないようです。

３．カメラやAIに関する立法措置などが必要なのではないか
この渋谷100台AIカメラ設置プロジェクトについてX（Twitter）上では「まるで中国のようだ」「もう渋谷には行きたくない」などの声が多く寄せられています。

この点EUはAI規制法案で、警察などの行政機関による公共空間でのAIを用いた防犯カメラの利用を原則禁止の「禁止のAI」の分類にカテゴライズしています。また欧州評議会は2021年に「顔認証に関するガイドライン」を策定・公表しましたが、同ガイドラインは「顔認証は、管理された環境下でのみ行われるべきであり、マーケティング目的や私的なセキュリティ目的のために、ショッピングモールのような管理されていない環境では、顔認証技術を使用すべきではない」としています（個人情報保護委員会「顔識別機能付き防犯カメラの利用に関する国内外動向」より）。

日本では上でみたように防犯カメラ・商用カメラはPPCおよび経産省・総務省のガイドラインを遵守すれば合法な状況ですが、この「渋谷100台AIカメラ設置プロジェクト」などにみられるような現在の状況に合っていないのではないでしょうか。日本でもEUのようなAIやカメラに関する立法やガイドライン・指針の策定が求められるように思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします！

■追記（9月6日）
Intelligence Design社（ID社）が9月5日付で「HP記載内容の修正について」とのリリースを公表しています。同リリースは「当社が収集するデータは、総務省の定める「カメラ画像利活用ガイドブック」に従った人流に関する属性情報およびこれに基づく統計情報となります。よって、個人情報保護法の定義する個人情報には該当しないものと認識しております。」等と記載されており、同社は自社が収集しているデータは個人情報ではないとの考えのようです。

・HP記載内容の修正について｜Intelligence Design

ところでID社は同社のシステムは経産省・総務省の「カメラ画像利活用ガイドブックver3.0」に準拠していると主張しているわけですが、にもかかわらず同社サイトを見る限り、「カメラ画像利活用ガイドブックver3.0」が求めている、”商用カメラの利用にあたっては事業者はつぎのような事項を掲示やウェブサイトなどで通知・公表せよ”としている事項の通知・公表を行っていないことは、同ガイドブック違反であると思われます。


（経産省・総務省「カメラ画像利活用ガイドブックver3.0」35頁より）

なお、上の9月5日付のリリースではID社は同社のAIカメラによる取組みはあくまでも商用が目的であると主張しています。しかし、9月6日のFNNプライムオンラインの「【物議】渋谷に“AIカメラ”100台設置し行動を検知　防犯に期待の一方“懸念”も…若狭弁護士「個人情報保護法違反になりかねない」」では、同社の取引先である渋谷センター商店街振興組合の幹部の方は、「（繁華街は）騒動が起きやすい場所なので、そういう点では防犯上の抑止力になるのではないかと。」と防犯が目的でもあると発言しています。

この点は矛盾であり、ID社のこの渋谷のAIカメラを利用した取組みは法的に大丈夫なのか疑問が残ります。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書（案）」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた（追記あり）

■関連するニュース記事
・渋谷に「AIカメラ」100台設置→通行人の行動履歴監視？　IT企業施策に「完全にストーカーやん」と物議　サイト表記訂正



PR

タグ ：

渋谷100台AIカメラ設置プロジェクト

IntelligenceDesign

個人情報

security

privacy

AI

顔識別

カメラ

防犯カメラ

これはひどい

情報法制研究所の高木浩光先生がTwitter（X）で「東京都教育ダッシュボードにおける教育データ取扱い方針について」を取り上げておられたので私も読んでみました。


（高木浩光先生のTwitterより）

東京都教育ダッシュボードにおける教育データ取扱い方針について｜東京都


（東京都「東京都教育ダッシュボードにおける教育データ取扱い方針について」より）


（東京都「東京都教育ダッシュボードにおける教育データ取扱い方針について」より）

この取扱い方針によると、教育データの利用目的は①生徒の学習指導・進路指導・生活指導、②指導方法の検討・学校経営の検討等となっています。しかしこれは漠然としており、また幅広すぎて、個情法61条（17条）の「利用目的をできるだけ特定」に抵触のおそれがあるのではないでしょうか。

また、この東京都の取組は、学校の学習データに係る個人データをありったけ集めて利用しようとしている点で個情法61条（17条）の「必要最小限」の趣旨に反しているように思われます。

さらにこの東京都の取組は、生徒の検診データや体力データ等で生徒の学習指導・進路指導・生活指導をするようですが、これは最近、高木先生が主張されておられる「関係のないデータで判断しない」とのOECDガイドライン第２原則違反ではないでしょうか。

加えて生徒・保護者の本人同意につき、オプトインでなくオプトアウト方式なのは大丈夫なのかと気になります。それとデータの保存期間が「卒業後５年間」となっているのは、やや長すぎるのではないかと思われます。

そもそも教育データで生活指導や児童福祉みたいなことを判断するのは個人データの「関連性」がなくアウトなのでは…と心配になります。

このように、東京都の「東京都教育ダッシュボードにおける教育データ取扱い方針について」はツッコミどころ満載です。東京都は再検討が必要なのではないでしょうか。

このブログ記事が面白かったらシェアやブックマークをお願いします！

■参考文献
ニッポンの教育ログを考える——プライバシーフリーク・カフェ＃16（後編）｜Cafe JILIS

■関連するブログ記事
デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか？
小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた－AI・教育の平等・データによる人の選別
埼玉県の公立中学校の「集中しない生徒をリアルタイムで把握」するシステムを個人情報保護法や憲法から考えた



PR

タグ ：

教育データ

security

privacy

高木浩光

東京都

個人情報

OECDガイドライン

関連性

１．名古屋大学等が若者の早期退職をＡＩで分析
NHKニュースが、”名古屋大学大学院の鈴木智之准教授の研究室と民間企業「レイル」との共同研究が企業の採用試験で行う適性検査の回答データをＡＩを使って分析することで入社３年未満で退職する若者を採用前の段階で予測することに成功した”と報道していることがネット上で話題となっています。2019年の、AIによる内定辞退予測データで炎上したリクナビ事件を彷彿とさせる研究ですが大丈夫なのでしょうか。
・若者の早期退職をＡＩが分析 名大大学院などが研究｜NHKニュース

そこで名古屋大学サイトをみてみると、鈴木智之研究室サイトにより詳しいリリースが出されていました。
・「Z世代はなぜすぐ辞めたがる？」　AIで"ダーク人材"を発見、早期退職者を100％予測（2023年8月1日）｜名古屋大学鈴木智之研究室

（略） 「2022年6月から、企業や団体が採用試験などで実施する適性検査の回答データについて、AIと組織心理学を用いて分析するメソッドの開発に着手。 これまで約400名分のサンプルデータを解析した結果、入社３年未満の早期退職者を１００％、つまり全員分、学生の段階で予測することに成功しました。

2023年6月から約10万人分のビッグデータ（全て匿名化済）への対象を拡大し、メソッドを展開して分析したところ、ダーク・トライアド（Dark Triad)という心理特性が強い人（以下「ダーク人材」）ほど、よくない仕事の辞め方を繰り返していることが分かりました。

「ダーク人材」は上司をけなし、職場に不平不満を言い、同僚の好意を素直に受け入れず、新メンバーに冷たく、恩を仇で返して職場を去る傾向が強く「サイコパス」「自己愛主義者」などの人を指し、職場にも一定数存在することが分かりました。」
（後略）
（「「Z世代はなぜすぐ辞めたがる？」　AIで"ダーク人材"を発見、早期退職者を100％予測」（2023年8月1日）名古屋大学鈴木智之研究室リリースより）

（「「Z世代はなぜすぐ辞めたがる？」　AIで"ダーク人材"を発見、早期退職者を100％予測」（2023年8月1日）名古屋大学鈴木智之研究室リリースより）

２．本リリースを読んで考えたこと
（１）研究倫理・AI倫理
「ダーク人材」、「サイコパス」、「自己愛主義者」など激しい言葉が並ぶリリースですが、そもそも事前に名古屋大学内の研究倫理の事前審査を受けているのか気になります。

（２）個人情報保護
また、私はHRtechなどの分野は素人の人間ですが、10万人分もの就活生等の適性検査の結果データと企業等に入社した後に３年未満に退職したというどちらも機微なデータを研究機関が適法に入手できるものなのか気になります。

個人情報保護法上、適性検査の結果データは要配慮個人情報とはいえませんが、しかし本人の内心に係るセンシティブなデータです。第三者提供を名古屋大学が受ける場合には、オプトアウト（個人情報保護法27条２項等）などの適正な手続きを踏まえているのでしょうか。

なお本リリースはこの10万件のデータは「匿名化済」と説明していますが、逆にこれが匿名加工情報を指す場合、匿名加工情報により「この学生は〇年未満で退職する」という精密なAIの機械学習が可能なものなのでしょうか。この点も疑問です。

さらにもしこれが欧州であった場合、このような個人データの取扱いはもろにGDPR（一般データ保護規則）22条の「コンピュータの個人データの自動処理のみによる法的決定・重要な決定を拒否する権利」に抵触することになります。

またEUでは最近、AI規制法が成立しました。同法はAIの危険性により４段階にAIの利用を分類していますが、人事労務におけるAIの利用は上から２番目の「ハイリスク」にカテゴライズされており、法規制を受けることになります。本リリースにある本研究は、これらのEUの法令との関係では違法と評価される可能性があるのではないでしょうか。

日本においても上であげた2019年のリクナビ事件のAIの内定辞退予測データの取扱い等の問題を受けて、2020年の改正個人情報保護法は「個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。」との規定を新設しています（法19条、法63条）。すなわち、不適正な個人情報の利用は禁止されています。

個人情報保護法
（不適正な利用の禁止）
第１９条　個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

この不適正利用の禁止規定をこれまでの個人情報保護委員会（PPC）は発動することに慎重でありましたが、今後は個人情報保護とプライバシーが重なり合う領域において、PPCが不適正利用禁止規定を発動することもあり得るかもしれないと、個人情報保護法制に詳しい弁護士の田中浩之先生は、2023年7月1日の日本データベース学会「2023年度第1回DBSJセミナー「AI生成コンテンツ利用における法的課題や活用事例」」の講演のなかで述べておられます。そのため、日本においてもAIを用いたプロファイリング等がまったく野放しに許されるわけではない状況です。

加えて、近年、情報法制研究所の高木浩光先生などは、個人情報保護法の立法目的はコンピュータ・AIの「データによる個人の選別・差別」の防止であるとの説をとなえておられます。

本研究はAIによる人事ビッグデータの機械学習により、３年未満に退職する就活生のデータ等を生成するものですが、それがAIの「データによる個人の選別・差別」に該当しないか大いに問題なのではないでしょうか。

AIはある事象と別の事象の集団的な相関関係を見つけ出す技術ですが、それは100％正しいことはあり得ず、AIによりある集団にカテゴライズされてしまった人間が、実はそのカテゴライズが正しくないことはあり得ます。にもかかわらず自動化バイアスにより、「AIが分析したのだから正しいだろう」と考え、AIの分析結果のみで採用選考や人事考課を行うことは、個人に対する誤った決定を行ってしまう危険があるのではないでしょうか。そしてそのようなAIによる選別・差別が繰り返されてしまった結果、ある個人が電子的に社会の底辺に追いやられてしまう危険もあるのではないでしょうか（いわゆる「バーチャル・スラムの問題」）。

（３）労働法（職業安定法）
職業安定法５条の５および厚労省指針通達平成11年第141号は、求人企業や人材会社などに対して就活生等の個人情報保護や、思想・信条などの内心やプライベートに関する情報を原則として収集してはならないことを定めています。そのため本研究がもし実用段階になり、「ダーク人材」を排除する目的で本研究に基づくAIが採用選考に利用された場合、それは個情法19条違反にとどまらず、職安法5条の５および厚労省指針通達平成11年第141号の違反となる可能性があるのではないでしょうか。


（厚労省「公正な採用選考の基本」より）

また、厚労省の「公正な採用選考の基本」は、健康診断などは業務に必要なものだけに最小限に限定することなどを規定しています。本研究のような「ダーク人材」排除を目的とした適性試験・性格試験等は、「公正な採用選考の基本」に抵触し、採用選考におけるあらゆる差別を禁止した職安法３条の定める職業差別の禁止に抵触する可能性があるのではないでしょうか。

３．まとめ
このように少し考えただけでも本研究にはAI倫理や個人情報保護法、労働法などの面から、さまざまな問題があるように思われます。この研究開発の実用化にはさらにさまざまなハードルがあるように思われます。また、日本においてもEUのAI規制法のような立法の制定が望まれます。

このブログ記事が面白かったらシェアやブックマークをお願いします！

■参考文献
・山本龍彦『AIと憲法』59頁
・高木浩光「マイナンバー問題の深層（後編）　利用拡大に潜む懸念、その情報は関係ありますか #1191」朝日新聞ポッドキャスト
・高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱|Cafe JILIS



PR

タグ ：

名古屋大学

鈴木智之

レイル

AI

Z世代

早期退職

個人情報

データによる個人の選別

ダーク人材

職業安定法