なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:防犯カメラ

OIG2
(Microsoftのdesignerで生成)

1.はじめに

つぎの個人情報保護法改正にむけて、個人情報保護委員会が2024年3月6日付で「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」(以下「本資料」)を公表しているので、個人的に興味深いと思った部分をまとめてみたいと思います。

本資料は大きく分けて、①生体データの取扱いに係る規律の在り方、②代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方、③不適正取得・不適正利用に係る規律の在り方、④個人関連情報の適正な取扱いに係る規律の在り方、の4つの部分に分かれています。

2.生体データの取扱いに係る規律の在り方

(1)犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について
本資料ではまず、犯罪予防や安全確保のための顔識別機能付きカメラシステム(防犯カメラ)について大きく取り上げられています。

PPC2頁
(本資料2頁)

つまり、個情委は「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」(以下「本検討会」)を開催し、2023年3月に報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」(以下「本報告書」)を公表し、個人情報保護法ガイドラインQAの一部改正を行ったとして、同報告書や個情法ガイドラインQAの改正部分について簡単にまとめています。

■関連するブログ記事


本報告書の柱の一つは、"顔識別機能付きカメラシステムはそれだけでは個人が顔識別が行われていると合理的に判断できないため、事業者は店舗等につぎのような「顔識別機能付きカメラシステム作動中」などの掲示等が望ましい"ということだったと思います。

防犯カメラ作動中の掲示
(個人情報保護委員会「個人情報保護法いわゆる3年ごと見直し規定に基づく検討(個人の権利利益のより実質的な保護の在り方①)」3頁より)

しかし、JRや私鉄のホームや列車内などをみても、このような「顔識別機能付きカメラシステム作動中」との掲示は見たことがありません。やはり、個情法ガイドラインQAなどで「のぞましい」と書くレベルでは不十分であり、個情委は個人情報保護法や同施行規則などに根拠規定をおいて、掲示を事業者に義務付ける必要があるのではないでしょうか。

また、本検討会では顔識別機能付きカメラシステムの「誤登録」の問題(いわゆる「防犯カメラの万引き冤罪被害者の問題」)について、ごくわずかながら触れられていたのですが、それが本報告書にはほとんど盛り込まれていないことは問題だと思います。

そもそもこのような万引き犯DBなどのブラックリストについては、一律で個人情報保護法施行令5条が保有個人データの対象外としてしまっているわけですが(個情法16条4項参照)、そのような法令の規定のあり方は、誤登録された人々の権利利益の保護の観点から大きな問題であり、つぎの個人情報保護法改正の機会に見直しを行ってほしいと思われます。(また、個情法ガイドラインQAにも誤登録の問題に関するQAを追加する等の対応が必要と思われます。)

さらに、本検討会では、万引き犯などに関するブラックリストの個人データを小売業などが全国レベルでデータの共同利用(個情法27条5項3号)を行うことはさすがに共同利用の趣旨目的から行き過ぎであり、そのような共同利用を行うためには事前に個人情報保護委員会への相談を必要とするべきとの議論もなされていたところです。

しかし、本報告書ではそのような記載はなくなってしまっています。この点は、共同利用制度を不当に拡大解釈するものであり、次の個人情報保護法改正で、法令に法的根拠を置いた上で、全国レベルなどの共同利用について個人情報保護委員会への事前申請制度などを新設すべきだと思われます。

(2)生体データの取扱いに関する外国制度等
つぎに本資料では、生体データにかかわる、EUのGDPRやAI規制法などの規定ぶりや、データ保護当局による執行事例が紹介されています。韓国におけるFacebookによる本人同意のない顔識別テンプレートの収集などの事例が掲載されています(9頁)。

(3)生体データの取扱いに関する社会的反響の大きかった事例等
本資料が興味深いのは、「社会的反響の大きかった事例」についても掲載しているところだと思います。生体データに関しては、①2014年のJR大阪駅のカメラ事件、②2021年のJR東日本が駅構内に顔識別機能付き防犯カメラを設置し刑務所からの出所者や不審者等を監視しようとした事件、③渋谷100台AIカメラ設置プロジェクト事件、の3つが掲載されています(本資料10頁)。

ppc3年ごと見直し資料10頁
(本資料10頁)

■関連するブログ記事


3.代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方

(1)国内の他法令等における主な規律
本資料11頁以下では、「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」について取り上げられています。まず本資料11頁では、①独禁法2条9項5号ロや公取委「「デジタル・プラットフォーム事業者と個人情報等を提供する消費者との取引における優越的地位の濫用に関する独占禁止法上の考え方」、②金融分野の個人情報保護ガイドラインの与信業務に関する部分、とともに、③職業安定法5条の5および平成11年労働省告示141号、④労働安全衛生法104条、が取り上げられているのが興味深いです。

PPC11頁
(本資料11頁より)

とくに労安法104条が、事業者に対して、「労働者の健康の確保に必要な範囲を超えて、労働者の心身の状態に関する情報を収集・保管・使用すること」を原則禁止していることは注目されます。

最近、新型コロナの流行などによりリモートワークが広まっていますが、それと同時に企業側がPCなどにより従業者の集中度合いなどをモニタリングする事例が増えていますが、そのような事例はこの労安法104条との関係で違法とされる可能性があるのではないでしょうか。企業の人事・労務部門や法務部門の方々は今一度確認が必要なように思われます。

■関連するブログ記事


また、本資料12頁は裁判例が掲載されており、①企業が外回りの営業担当者にGPSシステムをつけさせたことが違法とされた事例(東京地判平24.5.31)、②受刑者を7か月にわたり天井に監視カメラのある独房に入れたことが違法とされた熊本刑務所の事例(福岡高判平31.2.21)、の概要が載っています。

さらに、本資料13頁は、①市営住宅の自治会の役員を決めるにあたり、知的障害者の方に自分の病状などを詳細に紙に書かせる等したことが違法とされた裁判例(大阪高判令4.9.2)、②会社の元役員を告訴しようとした従業員に対して人事担当者がその詳細を問いただしたことが違法とされた裁判例(東京地判令5.4.10)、の2つの裁判例が「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」に関する裁判例として掲載されていることが興味深いです。このような事例は、これまではあまり個人情報法制に関する問題とは考えられてこなかったと思われますが、個情委は個人情報保護に関する問題ととらえていることがうかがわれます。

本資料に先立つ、令和6年2月21日付の個情委の「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁では、個情委の委員の意見の一つに「本人同意があれば何でもよいということではなく、当事者の従属関係等も考慮して、実体的な権利利益保護の在り方を検討すべき」との意見が掲載されていますが、本資料の「代替困難な個人情報取扱事業者による個人情報の取扱いに係る規律の在り方」の部分は、このような個情委の問題意識を反映したものと考えられます。

PPCこれまでの主な意見
(個情委2024年2月21日付「個人情報保護法いわゆる3年ごと見直し規定に基づく検討項目」3頁より)

現状の日本の個人情報保護法においては、本人の同意さえあれば個人情報の目的外利用や第三者提供、要配慮個人情報の収集や第三者提供等が合法となっており、さらに「同意」についても口頭でもよく、さらに医療分野においては「黙示の同意」も許されるなどと非常にゆるい規律がなされているわけですが、次の個人情報保護法改正では、個人の権利利益保護のため、これらの部分の規律が強まるのかもしれません。

(2)代替困難と評価し得る者による個人情報の取扱いに関する海外における主な執行事例等
この部分においては、GoogleやFacebookなどの、本人同意のない個人データのターゲティング広告などへの利用などに対する各国のデータ保護当局による執行事例などが掲載されています(本資料14頁、15頁)。

(3)代替困難と評価し得る者による個人情報の取扱いに関連する個人情報保護法に基づくこれまでの行政上の対応
この部分については1ページを丸々使って2019年の就活生の内定辞退予測データに関するリクナビ事件を取り上げています。まさにAIとプロファイリング、そして個人関連情報や個人情報の不適正利用に関する重要な事件といえます(本資料16頁)。

PPC資料リクナビ事件
(本資料16頁)

■関連するブログ記事


4.不適正取得・不適正利用に係る規律の在り方

(1)不適正取得・不適正利用に係る個人情報保護法に基づくこれまでの行政上の対応
この部分においては、①破産者マップ事件、②名簿屋への個人情報の第三者提供に関する有限会社ビジネスプランニング事件、などが掲載されています(19頁)。

(2)個人情報の取扱いの適正性に関連する国内の主な他法令の規律(概要)
この部分については、①公益通報者保護法11条2項、②障害者差別解消法8条1項、③特定商取引法7条1項5号、などが掲載されています(20頁)。ただ、③についてはいわゆる適合性原則に関するものなので、金融商品取引法40条なども掲載したほうがよかったのではと思いました。

(3)個人情報の取扱いの適正性に関連する主な裁判例
この部分においては、①トランスジェンダーの方が経営する会社が会員制ゴルフクラブに入会しようとしたところ入会を拒否されたことは違法であるとされた裁判例(東京地判平27.7.1)、②東京医大など医学部不正入試事件(東京高判5.5.30)、などが掲載されています(21頁、22頁)。

これらの事件は、従来はあまり個人情報保護法制上の論点とはされていなかったと思われますが、「データによる個人の選別・差別」の問題ということはできます。近年、「関連性のないデータによる個人の選別・差別」が個人情報保護法(個人データ保護法)の趣旨・目的であるとする情報法制研究所の高木浩光氏などの学説が影響しているのかもしれません。

なお、本資料24頁には、アメリカ・イギリスにおける選挙・民主政との関係で大きな問題となった、ケンブリッジ・アナリティカ事件も掲載されています。

いずれにせよ、現状の不適正利用禁止の条文は抽象的で個情委としても執行しにくいと思われますが、つぎの個人情報保護法改正では、不適正利用禁止の条文をより具体化し、AIやプロファイリングの問題などに対して発動しやすくしていただきたいと思います。

5.個人関連情報の適正な取扱いに係る規律の在り方

「個人関連情報の取扱いに起因する個人の権利利益の侵害に関連する主な裁判例」(本資料27頁)の部分では、さいたま市の公立学校の体罰事故報告書の開示請求に関する裁判例(東京高判令4.9.15)などが掲載されています。報告書のなかの自己の状況などが非開示情報となるか否かが争点となっています。

PPC資料27頁
(本資料27頁)

個人関連情報の話とはややずれますが、この東京高判令4.9.15については、「「特定の個人を識別することはできないが、公にすることにより、なお個人の権利利益を害するおそれがあるもの」とは、本人の財産権等の正当な権利利益が害されるおそれのあるものや、個人の人格と密接に関連しており、当該個人がその流通をコントロールすることが可能であるべきであり、本人の同意なしに第三者に流通されることが適切でないものなどの社会通念上秘匿性の高い法的保護に値する情報をいう」と判示しているところ、下線部分が日本の憲法上のプライバシーの趣旨・目的の通説的立場である自己情報コントロール権的である点が興味深いと思いました。

■このブログ記事が面白かったらシェアやブックマークをお願いします!

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

渋谷02

1.「渋谷100台AIカメラ設置プロジェクト」
最近、X(Twitter)上で「渋谷100台AIカメラ設置プロジェクト」というものが話題となっています。これは、報道によると、Intelligence Design株式会社が、一般社団法人渋谷未来デザイン、一般社団法人渋谷再開発協会と共に、渋谷駅周辺に100台のAIカメラを設置して、リアルタイムで人流データなどの取得・解析を行い、それらのデータをオープンデータ化するものであると説明されています。本プロジェクト開始は、2023年7月開始を予定しているとのことです(exciteニュース「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」より)。

つまり本プロジェクトは、防犯対策や事業者のマーケティングのために幹線道路の交通量や各種商業施設への入店客数などのリアルタイムの利用者の属性情報や滞在時間などの人流データを複合的に分析・可視化したデータを利用するものであり、このデータを各協賛事業者が利用できる形で渋谷の事業者や商店街などに還元するものであるそうです。

2.これは個人情報・個人データなのでは?
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQ&A1-12は、人流データについて「特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。 」と規定しています。そのため人流データは原則として個人情報ではありません。

しかし「渋谷100台AIカメラ設置プロジェクト」サイトをみるとつぎのような図が掲げられています。
渋谷01
(「渋谷100台AIカメラ設置プロジェクト」サイトより)

つまり、「オフライン顧客の見える化」として「カメラ100台(による)通年の行動データがリアルタイムで蓄積」とあり、ある男性の画像の下に「40代男性、同席者有り(30代女性)、ブランドAを着用/所持、休日12時より渋谷に銀座線で到着、ヒカリエでランチ、明治通りを通り宮下パークへ低速で移動(ショッピング目的を想定)、月3回目・・・」等と記述があります。

このようにAIカメラにより、属性情報が連続的に蓄積されれば、たとえその本人の氏名などは分からないとしても、「あの人、この人」と特定の個人を識別できるので、これは個人情報であるといえます(個情法2条1項1号)。またこの属性情報には顔画像も添付されているので、これも特定の個人を識別できるといえます。(なおID社サイトをみるとAIカメラで取得した顔画像はすぐに廃棄するとありますが、そうであるとしてもAIカメラで顔画像から取得された顔識別データは個人情報・個人データです。)

ところが「渋谷100台AIカメラ設置プロジェクト」サイトのあるIntelligence Design社(ID社)のプライバシーポリシーの「利用目的」の部分をみると、「渋谷100台AIカメラ設置プロジェクト」で収集されたデータについては何の記載もありません。 渋谷プラポリ
(ID社のプライバシーポリシーより)

つまり、ID社はこれを個人情報と認識していないのではないかと思われます。しかしこれは上でみたように個人情報であり、体系的に構成されたDBに収録された場合には個人データです。個人データであるとした場合、ID社には安全管理措置の責務(法23条)やデータを第三者提供する際の本人同意の取得の義務(法27条1項)などが課されます。この点、ID社の認識には誤りがあるのではないかと思われます。

また、このAIカメラは顔識別機能付きカメラシステムであり、マーケティング目的および防犯目的であることからPPCの個人情報保護法ガイドラインQ&A1-14や経産省・総務省の商用カメラ向けの「カメラ画像利活用ガイドブックver3.0」に準拠して、「利用目的、運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗の入口や、カメラの設置場所等に掲示すること」等が要請されますが(個情法21条1項)、少なくとも「渋谷100台AIカメラ設置プロジェクト」サイトを見る限りは、ID社はこれらの責務を果たしていないようです。

3.カメラやAIに関する立法措置などが必要なのではないか
この渋谷100台AIカメラ設置プロジェクトについてX(Twitter)上では「まるで中国のようだ」「もう渋谷には行きたくない」などの声が多く寄せられています。

この点EUはAI規制法案で、警察などの行政機関による公共空間でのAIを用いた防犯カメラの利用を原則禁止の「禁止のAI」の分類にカテゴライズしています。また欧州評議会は2021年に「顔認証に関するガイドライン」を策定・公表しましたが、同ガイドラインは「顔認証は、管理された環境下でのみ行われるべきであり、マーケティング目的や私的なセキュリティ目的のために、ショッピングモールのような管理されていない環境では、顔認証技術を使用すべきではない」としています(個人情報保護委員会「顔識別機能付き防犯カメラの利用に関する国内外動向」より)。

日本では上でみたように防犯カメラ・商用カメラはPPCおよび経産省・総務省のガイドラインを遵守すれば合法な状況ですが、この「渋谷100台AIカメラ設置プロジェクト」などにみられるような現在の状況に合っていないのではないでしょうか。日本でもEUのようなAIやカメラに関する立法やガイドライン・指針の策定が求められるように思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■追記(9月6日)
Intelligence Design社(ID社)が9月5日付で「HP記載内容の修正について」とのリリースを公表しています。同リリースは「当社が収集するデータは、総務省の定める「カメラ画像利活用ガイドブック」に従った人流に関する属性情報およびこれに基づく統計情報となります。よって、個人情報保護法の定義する個人情報には該当しないものと認識しております。」等と記載されており、同社は自社が収集しているデータは個人情報ではないとの考えのようです。

・HP記載内容の修正について|Intelligence Design

ところでID社は同社のシステムは経産省・総務省の「カメラ画像利活用ガイドブックver3.0」に準拠していると主張しているわけですが、にもかかわらず同社サイトを見る限り、「カメラ画像利活用ガイドブックver3.0」が求めている、”商用カメラの利用にあたっては事業者はつぎのような事項を掲示やウェブサイトなどで通知・公表せよ”としている事項の通知・公表を行っていないことは、同ガイドブック違反であると思われます。

F5VN2XYagAAVjr8 - コピー
(経産省・総務省「カメラ画像利活用ガイドブックver3.0」35頁より)

なお、上の9月5日付のリリースではID社は同社のAIカメラによる取組みはあくまでも商用が目的であると主張しています。しかし、9月6日のFNNプライムオンラインの「【物議】渋谷に“AIカメラ”100台設置し行動を検知 防犯に期待の一方“懸念”も…若狭弁護士「個人情報保護法違反になりかねない」」では、同社の取引先である渋谷センター商店街振興組合の幹部の方は、「(繁華街は)騒動が起きやすい場所なので、そういう点では防犯上の抑止力になるのではないかと。」と防犯が目的でもあると発言しています。

この点は矛盾であり、ID社のこの渋谷のAIカメラを利用した取組みは法的に大丈夫なのか疑問が残ります。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■関連するニュース記事
・渋谷に「AIカメラ」100台設置→通行人の行動履歴監視? IT企業施策に「完全にストーカーやん」と物議 サイト表記訂正

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正
個人情報保護委員会(PPC)は、本年3月30日に有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」を公表したこと等を踏まえて、5月25日に個人情報保護法ガイドラインQ&Aについて、防犯カメラや顔識別機能付きカメラシステムに関して一部改正等を行ったことをウェブサイトで公表しています。このブログ記事ではこの一部改正を見てみたいと思います。

・令和5年5月25日 個人情報保護委員会「「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新」(PDF)

2.従来型防犯カメラ(QA1-13)
01
02
改正個人情報保護法ガイドラインQ&A(以下「QA」)は、防犯カメラを「従来型防犯カメラ」(QA1-13等)と「顔識別機能付きカメラシステム」(QA1-14等)の2つに分けて解説しています。

顔識別機能付きカメラシステムとは、「顔識別機能付きカメラシステムは、検知対象者の顔画像12 及び顔特徴データをあらかじめ照合用データベースに登録しておき、カメラにより取得した画像から抽出した被撮影者の顔特徴データと照合し、被撮影者がデータベースに登録された者と同一人物である可能性が高いと検知した場合にアラート通知等がなされるシステムである。 」と解説されています(PPC「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(令和5年3月)」8頁)。

そしてPPCは従来型防犯カメラについて「防犯目的で設置されているカメラのうち、撮影した画像から顔特徴データの抽出を行わないもの」と定義しています(QA1-13)。この顔識別機能付きカメラシステムについて大きく取り上げたことが、今回のQAの改正の大きな目玉であるといえます。

QA1-13は、従来型の防犯カメラについて個人情報保護法上の留意点を解説しています。すなわち、従来型防犯カメラの設置状況などから個人情報の「取得の状況からみて利用目的が明らか」な場合には個人情報保護法21条4項4号により国民個人への利用目的の通知・公表は不要とする一方で、「偽りその他不正の手段」による個人情報の取得を禁止する法20条1項との関係で、「カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能といえない場合には、容易に認識可能とするための措置を講じなければなりません」として、「例えば、防犯カメラが作動中であることを店舗や駅・空港等の入口や、カメラの設置場所等に掲示する等の措置を講じることが考えられます。」としています。

さらに、「「カメラの設置状況等から、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能」な場合であっても、同様の措置をとることが望ましいとしています。

3.顔識別機能付きカメラシステムによる防犯カメラ(QA1-14)
05
06

QA1-14は顔識別機能付きカメラシステムによる防犯カメラについて解説しています。この点、顔識別機能付きカメラシステムは顔画像だけでなく顔識別データを取得していることが「取得の状況からみて利用目的が明らか」な場合には該当しないので(法21条4項4号)、事業者は「従来型防犯カメラの場合と異なり、犯罪防止目的であることだけではなく、顔識別機能を用いていることも明らかに」しなければならないと明記されていることは非常に重要であると思われます。またQA1-14は、事業者は顔識別機能付きカメラシステムを設置する場合は、保有個人データに関する事項の公表等(法32条)などの義務も果たさなくてはならないとしています。その上で法20条1項(不正な個人情報の取得の禁止)に関する部分はQA1-13を参照のこととしています。

さらにQA1-14は、本人へ分かりやすく情報提供を行うために、①顔識別機能付きカメラシステムの運用主体、②同システムで取り扱われる個人情報の利用目的、③問い合わせ先、④さらに詳細な情報、を掲載したサイトのURLまたはQRコード等を店舗や駅・空港等の入り口やカメラの設置場所に掲示することが望ましいとしています。この点に関しては上述の有識者検討会報告書33頁以下に詳しい解説があります。(ただ、この部分に関しては、書面等に上の事項を列挙して掲示するのではなく、サイトのURLやQRコードなどの掲示としてしまうことは、本人への分かりやすさとして大丈夫なのかと個人的に疑問です。)

03

04
(PPC有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」35頁、36頁より)

加えて、QA1-14は、顔識別機能付きカメラシステムによる防犯カメラを設置・運用するにあたっては、同システムの濫用を防止するために、事業者は「登録基準」や運用の「文書化された統一的な基準」を制定し、それらを運用するための組織内の「体制を整備」しなくてはならないと明記していることも非常に重要であると思われます。

4.カメラ画像・顔特徴データの共同利用
07
08

QA7-50は、顔識別機能付きカメラシステムの防犯カメラによるカメラ画像・顔特徴データの共同利用について解説していますが、「組織的な窃盗の防止」などを例に挙げて、「全国的」な共同利用も「利用目的に照らして真に必要」な場合には許容されると記述したことが大きな改正点であろうと思われます。(有識者検討会の会議では、全国レベルでの共同利用を行う場合には「事業者に事前にPPCに相談させるべきである」趣旨の議論も行われていたのですが、報告書の段階ではカットされたようです。)

この点に関してはこのブログでも取り上げてきた通り、個人情報保護法に関する教科書は、共同利用の最大限度・外延は県などの一つの地域や一つの業界と解説するものが一般的であると思われ(宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁など)、このQA7-50の改正は大きく踏み込んだものであるといえます。

このQA7-50も指摘するとおり、事業者あるいは事業団体等は、かりに全国レベルで顔識別機能付きカメラシステムの防犯カメラによるカメラ画像・顔特徴データの共同利用を行うとしても、利用目的の達成に必要な最低限度の慎重な運用が必要であると思われます。

この点、QA7-50においてPPCは、QA1-14の登録基準などに加えて、事業者・事業団体に「共同利用する全ての者が同様の取扱いを行うための統一的な運用基準(登録基準や保存期間等)を作成すること」等を求めています。

5.顔識別機能付きカメラシステムのカメラ画像や顔特徴データ等は個人情報データベース等に該当しないのか?(QA1-41)
09

QA1-41は「防犯カメラ等で収集されたカメラ画像等は個人情報データベース等に該当しますか?」というQに対して、「個人情報に該当し得るが、特定の個人を検索できない状態であれば「体系的に構成」されたと言えないので、個人情報データベース等には該当しない」とのみ解説してしまっています。しかしこれはやや説明が足りないのではないでしょうか。

すなわち仮に個人情報データベース等に該当しない場合には、当該データベースに含まれるデータは保有個人データではなく、事業者は本人からの開示・利用停止等の請求に応じる必要がなくなってしまいます。

この点、従来型防犯カメラで収集されたカメラ画像などは個人情報データベース等に該当しないとしても、顔識別機能付きカメラシステムで収集されたカメラ画像や顔特徴データは個人情報データベース等(および保有個人データ)に該当すると思われます。

すなわち、PPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」30頁以下には顔識別機能付きカメラシステムの仕組み等が解説されていますが、同システムの照合用データベースは、例えば①ID、②顔画像、③顔特徴データ、④発生日時、⑤犯行の状況(ドアをこじ開け立入禁止地区に侵入など)、⑥犯人の特徴(男性/40代/スーツ姿など)などの情報で構成されていると解説されています。

照合用データベースの図
(PPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」31頁より)

つまり、日時などだけでなく、顔写真、犯行の状況、犯人の特徴などさまざまな項目から照合用データベースは検索可能なのですから、これは「体系的に構成」されており、照合用データベースつまり顔識別機能付きカメラシステムは個人情報データベース等に該当します。したがってそれを運用している事業者は、本人からの開示等の請求に応じる法的義務があります(法33条以下)。

6.開示・利用停止等の開示請求
10

QA9-13は、防犯カメラに関する保有個人データの開示について説明しています。すなわち「顔識別機能付きカメラシステム等に登録された顔特徴データ等が保有個人データに該当する場合、法令に基づき開示請求等に適切に対応しなければなりません。」と解説しています。

しかしその次の1行は、「すなわち、開示請求がなされた場合には、保有個人データの開示義務の例外事由に該当しない限り、開示請求に適切に対応しなければなりません。」と説明しています。

この点、防犯カメラに関するいわゆるブラックリストについては、個人情報保護法施行令5条1号などの「本人又は第三者の生命、身体または財産に危害がおよぶおそれがあるもの」に該当し、保有個人データの開示義務の除外事由に該当する可能性があります。

施行令5条
(PPCのパブコメ「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」より)

ここについてはPPCの有識者委員会報告書「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」のパブコメでも多くの見直しを求める意見が寄せられていました。これらの意見に対してPPCはパブコメ結果において、「施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。」等と回答しています(パブコメ結果45など)

そのため、事業者は誤登録の被害者などから開示等の請求があった場合には、例外事由に該当するからと一律に請求への対応を拒否するのではなく、開示等の請求に誠実に対応する姿勢が求められます。(PPCはこのパブコメ結果45の回答の趣旨をQA1-13にも盛り込むべきだったのではないでしょうか。疑問が残ります。)

なお、PPCは今回のQA改正において、誤登録されてしまった本人が読んで分かりやすい開示・利用停止等の請求のやり方をもQAに載せるべきだったのではないでしょうか(例えば、誤登録していると思われる小売店や警備会社のウェブサイトに掲載されているプライバシーポリシーの開示等の請求手続きに従って書面で請求を行う等)。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで

人気ブログランキング

PR




このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメが2023年1月12日から2月12日まで行われていたところ、その結果が3月23日に公表されたので、誤登録の問題の部分を中心にざっと読んでみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。|個人情報保護委員会

結論からいうと、本パブコメ結果は、個人情報保護委員会の回答をみると、つぎの回答7にあるような「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式的な回答が多く、誤登録の問題にあまり前向きでないと感じました。どこか他人事のように見えます。

【意見7】
(略)ガイドラインやQ&Aに示されていても改善されない。よって、第三者機関によるチェック体制が必要である。 運用基準は国会で議論し立法化して欲しい。 【個人】

【PPCの回答7】
本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。

2.誤登録の問題
とはいえ、いわゆる「誤登録」の問題、「防犯カメラの万引き犯の冤罪被害者」の問題について、つぎの個人情報保護委員会(PPC)の回答は比較的丁寧に回答しています。

すなわち、誤登録された本人は、「個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ」るとし、そして「個人情報取扱事業者は、これらの条文に従って対応する必要があります。」としています。またPPCは、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と明記したとしています。

【意見272】
防犯カメラの顔認証登録について、誤登録の可能性と、登録された本人には認知も抗議もできない一方的な現状に抗議する。(略)【個人】

【PPCの回答272】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。 また、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と示しています。

3.施行令5条の問題
個人情報保護法施行令5条各号に該当すれば当該データは保有個人データではなくなり、個人情報取扱事業者は保有個人データに関する義務を負わなくてよい(個情法16条4項)と現行制度がなってしまっているところにはつぎのように多くの意見が寄せられていました。

施行令5条
(個人情報保護法施行令5条。PPCの本有識者検討会議の資料2より)

しかしこれに対してもPPCの意見は形式論が目立ちます。PPCは「なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。」と説明していますが、しかし誤登録の人々がスーパーや警備会社などに申し出を行っても「当店ではそのようなDBはない」等と回答されてしまっている実務を変えるものとはなっていません。

【意見45】
(意見内容)
定義コに以下の注釈を加える。 注釈:誤検知は本人が認識できない可能性があることも考慮されるべきである。また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてあるが、問い合わせに対して該当なしとの回答を安易に返すべきではない。

(理由)
本人が誤登録されていることをどのような手段で認識するかは大きな問題であり、指摘すべき項目である。 また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてある。そうすると、該当なしとの回答になってしまい、誤登録された場合の濡れ衣被害が継続することになる可能性がある。 【一般社団法人MyData Japan】

【PPCの回答45】
第2章は用語の定義を行っているものであり、顔識別機能付きカメラシステムの利用の在り方について述べるものではありませんので原案どおりとさせていただきます。 なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。


【意見94】
32頁7行目以下について、個情法第4章の個人情報取扱事業者の顔データの取扱いの各義務が検討されているが、そのような法の運用をするためには、個情法16条4項や個情法施行令5条の改正が必要なのではないか。 個情法第4章の個人情報取扱事業者の顔データの取扱い等が検討されているが、しかし顔識別機能付き防犯カメラによる顔データは、個情法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個情法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個情法を守る必要がないということになってしまうが、そのような結論はいわゆる「防犯カメラの万引き犯の冤罪被害者」の被害との関係で妥当とは思えない。そのため個情法16条4項や施行令5条の法改正などの法的手当が必要なのではないか。 【個人】

【PPCの回答94】
施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。 また、保有個人データには該当しない場合であっても、個人情報取扱事業者は、個人情報又は個人データを取り扱う場合は、個人情報保護法の定めに基づき取り扱わなければなりません。

4.個情法19条
なお、スーパーや警備会社等が誤登録の人々からの申し出に誠実に対応しないことは個情法19条(不適正利用の禁止)や個情法23条(安全管理措置)違反となるのではないかとの意見に対してもPPCは答えをはぐらかしてゼロ回答です。

個人情報保護法
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

【意見112】
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも個情法19条違反または法23条違反となることを明記すべきではないか。 誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用または安全管理措置違反であるといえる。 【個人】

【PPCの回答112】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。
また、第5章6(3)において、法令上の開示等の請求に該当しないような法令上対応する義務がない問合せについても、信頼醸成の観点から、できる限り丁寧に対応していくことが重要であると示していますので、原案どおりとさせていただきます。

5.共同利用の問題
さらに、個人データの共同利用(個情法27条5項3号)においてどの範囲までを認めるのか、全国レベルの共同利用も認めてよいのかについては、本有識者検討会でも長く議論がなされ、「全国レベルでの共同利用には事前に個人情報保護委員会への相談を求めるべき」などの意見が出されていたにもかかわらず、本報告書はその点をスルーしてしまっています。この点に関するPPCの回答も木で鼻をくくったような形式的なものとなっています。

【意見210】
顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、事前に個人情報保護委員会に相談を求めることを明記すべきではないか。そのために必要であれば個情法の法改正等を行うべきでないか。 第6回目の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」との議論がなされているから。 また、宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは法が予定していないと思われるから。

【PPCの回答210】
個人情報保護法には、個人情報取扱事業者における個人情報の取扱いについて、事前審査に係る規定は設けられておりません。(後略)

6.防犯カメラについて立法を求める意見などについて
さらに防犯カメラの運用に関して規制法を国会で立法すべきとの意見も非常に多く寄せられていましたが、これに対してもPPCは「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式論で退けてしまっています。(本有識者検討会のメンバーの一人の山本龍彦・慶大教授は「防犯カメラについて事業者等や行政にガイドライン等を遵守させるための枠組み立法が必要」とのお考えだったのですが、残念です。)

7.まとめ
このように本パブコメ結果はおおむね、NECや全国万引犯罪防止機構などの防犯カメラの利活用を行う事業者や団体の意向に沿う一方で、誤登録の被害を受けた個人や、これからそのような被害を受けるかもしれない国民の意思を不当に軽視したものといえます。

EUでは2021年にAI規制法案が公表され、警察当局等による公共空間での防犯カメラの利用は禁止となっています。またEUのGDPR22条はコンピュータの個人データの自動処理のみによる法的決定等を拒否する権利を規定しています。日本でも近年、情報法制研究所の高木浩光先生が、個人情報保護法(個人データ保護法)の立法目的は「データによる人間の選別・差別」を防止することであると主張し、注目を集めています。(防犯カメラの誤登録の問題は「データによる人間の選別・差別」の問題そのものと思われます。)このような世界や日本の近年の動向に、誤登録の問題に消極的な日本のPPCの本パブコメ結果は大きく逆行しています。顔識別機能付き防犯カメラの問題は、引き続き国会などで議論が行われてほしいと思います。

※なお、本パブコメ結果後のPPCの予定が不明だったので、PPCに電話にて問い合わせを行ったところ、「本パブコメ結果を踏まえて、個人情報保護法ガイドラインQ&Aの見直しを行う」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■参考文献
・宇賀克也『新・個情法の逐条解説』275頁
・園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁
・成原慧「プライバシー」『Liberty2.0』187頁
・高木浩光「高木浩光さんに訊く、個人データ保護の真髄」 | Cafe JILIS



[広告]






このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera

個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ(2023年1月12日~2月12日)に、つぎのような意見を書いて提出しました。

1.「2 本報告書の対象範囲について」について
(該当箇所)
2頁8行目
(意見)
「2 本報告書の対象範囲について」に、本報告書30頁に記載のある「ドローンやロボット」、トヨタなどのコネクテッドカー・「つながる自動車」の車載カメラ、職場やリモートワークの業務用PCのカメラなども対象として含まれることを明記すべきではないか。
(理由)
記載が抜けているため。


2.「(2)顔識別機能付きカメラシステムを利用することの懸念点」について
(該当箇所)
11頁15行目
(意見)
「(2)顔識別機能付きカメラシステムを利用することの懸念点」の部分に、顔識別機能付きカメラシステムによる誤登録や、いわゆる「防犯カメラの万引き犯の冤罪被害者」の問題を明記すべきではないか。
(理由)
顔識別機能付きカメラシステムに関する一番の問題点・課題であると思われるから。


3.「エ 撮影の態様」について
(該当箇所)
17頁・12行目
(意見)
「エ 撮影の態様」の部分に、⑦⑭の裁判例などに関連し、「防犯カメラが追跡的か、被撮影者のプライバシー侵害が強度か」などの「手段・方法の相当性」の観点も明記すべきではないか。
(理由)
⑭、⑦などの裁判例は、違法性の判断において、防犯カメラによる被撮影者のプライバシー侵害が強度か否かなどにより防犯カメラの手段・方法の相当性を検討しているため。また、GPS捜査事件判決(最高裁平成29年3月15日判決)も「継続的・網羅的」な情報収集はプライバシー侵害となり個別の立法が必要である旨判示しており、手段・方法の相当性の検討も、顔識別機能付き防犯カメラシステムを検討する上で重要であるため。


4.住基ネット訴訟の最高裁判決の「判旨」について
(該当箇所)
28頁・3行目
(意見)
住基ネット訴訟の最高裁判決の「判旨」に、「裁判所は、①システムの技術上の安全性、②十分な法的手当の存在などの構造審査により住基ネット制度を適法とした」等の記述を置くべきではないか。
(理由)
情報システム上の十分な安全性および十分な法的手当が施されていない情報システムを、裁判所は違法と判断することを本判決は示しており、このことは顔識別機能付き防犯カメラシステムを検討する上で重要であるから。


5.「顔画像とそれに関する情報の例①」および「顔画像とそれに関する情報の例②」の図について
(該当箇所)
31頁・1行目と9行目
「顔画像とそれに関する情報の例①」および「顔画像とそれに関する情報の例②」の図
(意見)
図に顔特徴データを加えるべきではないか。
(理由)
重要なのは顔画像でなく顔特徴データなので。


6.個人情報保護法第4章の個人情報取扱事業者の顔データの取扱いの各義務と法16条4項や個人情報保護法施行令5条について
(該当箇所)
32頁7行目以下
(意見)
個人情報保護法第4章の個人情報取扱事業者の顔データの取扱いの各義務が検討されているが、そのような法の運用をするためには、個人情報保護法16条4項や個人情報保護法施行令5条の改正が必要なのではないか。
(理由)
個人情報保護法第4章の個人情報取扱事業者の顔データの取扱い等が検討されているが、しかし顔識別機能付き防犯カメラによる顔データは、個人情報保護法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個人情報保護法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個人情報保護法を守る必要がないということになってしまうが、そのような結論はいわゆる「防犯カメラの万引き犯の冤罪被害者」の被害との関係で妥当とは思えない。そのため個人情報保護法16条4項や施行令5条の法改正などの法的手当が必要なのではないか。


7.本報告書はテロ防止、万引防止というひとまとまりの目的のための顔識別機能付き防犯カメラの遵守すべき事柄を検討していることについて
(該当箇所)
33頁15行目
(意見)
本報告書はテロ防止、万引防止のための顔識別機能付き防犯カメラの遵守すべき事柄を検討しているが、「テロ防止のためには~」「万引き防止のためには~」と場合分けをして個人情報取扱事業者が遵守すべき事項を検討すべきではないか。
(理由)
テロ対策や鉄道等の重大事故対策等に関しては、もしテロ等が発生してしまうと発生してしまう被害は重大なので、反対利益となる個人のプライバシー権などの権利利益はある程度侵害されてもやむを得ないという判断になりやすいと思われるが、その一方、万引き犯等は反対利益となる個人の権利利益が侵害されてもやむを得ないという幅はテロ対策などに比べれば小さいと思われ、テロ対策や鉄道の重大事故などと万引き対策を一まとまりにして検討するのは適切ではないのではないのだろうか。そのため、「テロ対策のためには~」「万引き対策のためには~」と場合分けして対応を検討する必要があるのではないか。


8.いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことと個人情報保護法19条、23条について
(該当箇所)
37頁8行目
(意見)
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも個人情報保護法19条違反または法23条違反となることを明記すべきではないか。
(理由)
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用または安全管理措置違反であるといえるから。


9.脚注の「なお、顔識別機能付きカメラシステムにより個人情報を取り扱う場合は、取得の状況からみて利用目的が明らかであるとは認められない(法21条4項4号)。」について
(該当箇所)
38頁注56
(意見)
「なお、顔識別機能付きカメラシステムにより個人情報を取り扱う場合は、取得の状況からみて利用目的が明らかであるとは認められない(法21条4項4号)。」という一文は非常に重要であるため、脚注ではなく本文に明記すべきではないか。
(理由)
顔識別機能付きカメラシステムの運用を考える上で非常に重要な法的な事項であるから。


10.データの保存期間について
(該当箇所)
42頁8行目以下
(意見)
保存期間について個人情報保護委員会が具体的な目安を示すべきではないか。例えば「万引き対策のためのデータの保存期間は最長で1か月」など。
(理由)
保存期間について個人情報保護委員会などから具体的な保存期間の例示がないため、個人情報取扱事業者の実務上、その設定に困ることがあるため。なお、たとえば自治体の防犯カメラ条例のデータの保存期間をみると、静岡県は1か月、千葉県市川市は7日間、東京都三鷹市も7日間などとなっている。


11.データの共同利用について
(該当箇所)
47頁17行以下
(意見)
顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、事前に個人情報保護委員会に相談を求めることを明記すべきではないか。そのために必要であれば個人情報保護法の法改正等を行うべきでないか。
(理由)
第6回目の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」との議論がなされているから。
また、宇賀克也『新・個人情報保護法の逐条解説』275頁、園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは法が予定していないと思われるから。
さらに、共同利用についても、例えばテロ対策なのか、万引き対策なのか等で許容される共同利用の範囲は異なってくるのではないか。場合分けをした検討が必要なのではないか。


12.「⑦東京地判平成27年11月5日判タ1425号318頁」の【事案の概要】について
(該当箇所)
24頁9行目以下
(意見)
「⑦東京地判平成27年11月5日判タ1425号318頁」の【事案の概要】について「建物1階にカメラを設置」とあるが、これは「Yは共有建物の共有部分の屋根の支柱などにカメラ4台を設置したところ、裁判所はそのうちのカメラ1台の撤去と損害賠償を認めた」等が正当ではないか。
(理由)
判例タイムズ1425号318頁に掲載された判決文によると、「建物1階にカメラを設置」との記載はないので。


13.「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正等を行うべきである
(該当箇所)
48頁18行目
(意見)
個人の権利利益の救済のために、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正等を行うべきである。
また、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が事業者に苦情申し出や開示等請求をした場合に事業者側が誠実に対応しなかった場合には、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が個人情報保護委員会に申し出を行い、個人情報保護委員会が当該事業者に助言・指導を行うなどの対応を個人情報保護委員会に法的に義務付ける方向で個人情報保護法を法改正すべきである。
(理由)
個人情報保護法施行令5条各号のいずれかに該当すると保有個人データでないことになり(個人情報保護法16条4項)、個人情報取扱事業者は本人からの開示・訂正等の請求や苦情への対応に応じなくてよくなってしまう。
この点、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々はスーパーや警備会社などの事業者に苦情申し出や開示訂正等の請求を行っても、事業者から「当社にはそのようなデータベースはない」「当社は顔識別技術つき防犯カメラを導入していない」等と拒絶されてしまっている。個人情報保護法33条以下には開示・訂正等請求の手続き規定があるにもかかわらず、施行令5条が悪質な事業者の免罪符になってしまっている。そのような「防犯カメラの万引き犯冤罪被害者」はまともな日常生活・社会生活が送れなくなってしまい、権利利益や人格権の侵害は重大である(個人情報保護法1条、3条、憲法13条)。
そのため、個人の権利利益の救済のために、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々については施行令5条から除外する方向で、施行令5条や個人情報保護法16条4項の法改正を行うべきである。
あわせて、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が事業者に苦情申し出や開示等請求をしたにもかかわらず事業者側が誠実に対応しなかった場合には、誤登録された人や「防犯カメラの万引き犯冤罪被害者」の人々が個人情報保護委員会に申し出を行い、個人情報保護委員会が当該事業者に助言・指導・報告徴求・立入検査・命令を行うなどの対応を個人情報保護委員会に法的に義務付ける方向で個人情報保護法を法改正すべきである。


14.民間事業者・業界団体および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるための枠組み立法を国会で制定すべきである
(該当箇所)
全般
(意見)
民間事業者・業界団体および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるための枠組み立法を国会で制定すべきである。
(理由)
防犯カメラに関する個人情報保護委員会のガイドライン等や、民間事業者や業界団体などによる自主的なガイドラインが策定されたとしても、それが遵守されなくては国民個人の権利利益が侵害される。この点、2021年夏の朝日新聞社主催の個人情報保護法に係る市民講座において、本有識者検討会の構成員の山本龍彦教授は「民間事業者および行政機関に防犯カメラに関する指針やガイドライン等を遵守させるために枠組み立法を設けるべきである」とのご見解であったため。
また、海外をみてもEUではGDPR22条に「プロファイリング拒否権」を規定する条項が置かれ、警察などによる公道などにおける防犯カメラの利用を禁止するAI規制法案も公開されている。海外の動向に照らして日本でも、防犯カメラに関する立法が必要なのではないか。
さらに、現在、個人情報保護委員会の個人情報保護法ガイドラインと経産省・総務省の商用カメラ利用ガイドラインは分離しているが、重なり合う部分も多いため統一化すべきである。


15.今後の方針やスケジュールについて
(該当箇所)
全般
(意見)
個人情報保護委員会は本報告書のパブリックコメント後、顔識別機能付きカメラシステムについて何らかのガイドライン等を策定するのか、あるいは何らかの立法を行うのか等、今後の方針やスケジュールを具体的に公表すべきである。また、ウェブサイト等をみても個人情報保護委員会は議事録や資料が非公開とされていることが多いが、個人情報保護委員会は国民のための公共の行政機関なのであるから、原則公開とすべきである。
(理由)
本報告書に係る議事録などを読んでも、今後の方針やスケジュール等が全く公表されていないので。個人情報保護委員会は国民の税金で運営される公的な行政機関なのであるから、内輪で物事を決めるのではなく、もう少し情報公開に努めるべきである。同様の理由で議事録や会議資料などの情報公開に努めるべきである。


16.「顔画像とそれに関する情報の例②」のデータベースBについて
(該当箇所)
31頁1行目
(意見)
「顔画像とそれに関する情報の例②」のデータベースBは、「含まれる発生日時や状況、特徴単体だけでは特定の個人を識別することはできない」とあるが、「特定の個人を識別することはできる」のではないか。
(理由)
「顔画像とそれに関する情報の例②」の事例でも、データベースBに含まれる、発生日時や状況、特徴単体などのデータだけで当該個人の氏名はわからないとしても、「その人」と特定の個人を識別できるのだから、データベースBはデータベースAとの容易照合性をまつまでもなく単体で個人情報(個人情報データベース等)であり、データベースBに含まれる各データも個人情報(個人データ)である(個人情報保護法2条1項1号、岡村久道『個人情報保護法 第4版』75頁)。


このブログ記事が面白かったらブックマークやシェアをお願いします!

■関連する記事
・PPCの「防犯予防や安全確保のためのカメラ画像利用に関する有識者検討会」の資料を読んでみた(第3回まで)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて



[広告]








このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ