なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:顔識別

渋谷02

1.「渋谷100台AIカメラ設置プロジェクト」
最近、X(Twitter)上で「渋谷100台AIカメラ設置プロジェクト」というものが話題となっています。これは、報道によると、Intelligence Design株式会社が、一般社団法人渋谷未来デザイン、一般社団法人渋谷再開発協会と共に、渋谷駅周辺に100台のAIカメラを設置して、リアルタイムで人流データなどの取得・解析を行い、それらのデータをオープンデータ化するものであると説明されています。本プロジェクト開始は、2023年7月開始を予定しているとのことです(exciteニュース「渋谷駅周辺にAIカメラ100台設置!人流データを解析し、イベント混雑時の警備問題の解決へ」より)。

つまり本プロジェクトは、防犯対策や事業者のマーケティングのために幹線道路の交通量や各種商業施設への入店客数などのリアルタイムの利用者の属性情報や滞在時間などの人流データを複合的に分析・可視化したデータを利用するものであり、このデータを各協賛事業者が利用できる形で渋谷の事業者や商店街などに還元するものであるそうです。

2.これは個人情報・個人データなのでは?
個人情報保護委員会(PPC)の個人情報保護法ガイドラインQ&A1-12は、人流データについて「特定の個人を識別することができる情報と容易に照合することができる場合を除き、個人情報には該当しません。 」と規定しています。そのため人流データは原則として個人情報ではありません。

しかし「渋谷100台AIカメラ設置プロジェクト」サイトをみるとつぎのような図が掲げられています。
渋谷01
(「渋谷100台AIカメラ設置プロジェクト」サイトより)

つまり、「オフライン顧客の見える化」として「カメラ100台(による)通年の行動データがリアルタイムで蓄積」とあり、ある男性の画像の下に「40代男性、同席者有り(30代女性)、ブランドAを着用/所持、休日12時より渋谷に銀座線で到着、ヒカリエでランチ、明治通りを通り宮下パークへ低速で移動(ショッピング目的を想定)、月3回目・・・」等と記述があります。

このようにAIカメラにより、属性情報が連続的に蓄積されれば、たとえその本人の氏名などは分からないとしても、「あの人、この人」と特定の個人を識別できるので、これは個人情報であるといえます(個情法2条1項1号)。またこの属性情報には顔画像も添付されているので、これも特定の個人を識別できるといえます。(なおID社サイトをみるとAIカメラで取得した顔画像はすぐに廃棄するとありますが、そうであるとしてもAIカメラで顔画像から取得された顔識別データは個人情報・個人データです。)

ところが「渋谷100台AIカメラ設置プロジェクト」サイトのあるIntelligence Design社(ID社)のプライバシーポリシーの「利用目的」の部分をみると、「渋谷100台AIカメラ設置プロジェクト」で収集されたデータについては何の記載もありません。 渋谷プラポリ
(ID社のプライバシーポリシーより)

つまり、ID社はこれを個人情報と認識していないのではないかと思われます。しかしこれは上でみたように個人情報であり、体系的に構成されたDBに収録された場合には個人データです。個人データであるとした場合、ID社には安全管理措置の責務(法23条)やデータを第三者提供する際の本人同意の取得の義務(法27条1項)などが課されます。この点、ID社の認識には誤りがあるのではないかと思われます。

また、このAIカメラは顔識別機能付きカメラシステムであり、マーケティング目的および防犯目的であることからPPCの個人情報保護法ガイドラインQ&A1-14や経産省・総務省の商用カメラ向けの「カメラ画像利活用ガイドブックver3.0」に準拠して、「利用目的、運用主体、同システムで取り扱われる個人情報の利用目的、問い合わせ先、さらに詳細な情報を掲載したWebサイトのURL又はQRコード等を店舗の入口や、カメラの設置場所等に掲示すること」等が要請されますが(個情法21条1項)、少なくとも「渋谷100台AIカメラ設置プロジェクト」サイトを見る限りは、ID社はこれらの責務を果たしていないようです。

3.カメラやAIに関する立法措置などが必要なのではないか
この渋谷100台AIカメラ設置プロジェクトについてX(Twitter)上では「まるで中国のようだ」「もう渋谷には行きたくない」などの声が多く寄せられています。

この点EUはAI規制法案で、警察などの行政機関による公共空間でのAIを用いた防犯カメラの利用を原則禁止の「禁止のAI」の分類にカテゴライズしています。また欧州評議会は2021年に「顔認証に関するガイドライン」を策定・公表しましたが、同ガイドラインは「顔認証は、管理された環境下でのみ行われるべきであり、マーケティング目的や私的なセキュリティ目的のために、ショッピングモールのような管理されていない環境では、顔認証技術を使用すべきではない」としています(個人情報保護委員会「顔識別機能付き防犯カメラの利用に関する国内外動向」より)。

日本では上でみたように防犯カメラ・商用カメラはPPCおよび経産省・総務省のガイドラインを遵守すれば合法な状況ですが、この「渋谷100台AIカメラ設置プロジェクト」などにみられるような現在の状況に合っていないのではないでしょうか。日本でもEUのようなAIやカメラに関する立法やガイドライン・指針の策定が求められるように思われます。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■追記(9月6日)
Intelligence Design社(ID社)が9月5日付で「HP記載内容の修正について」とのリリースを公表しています。同リリースは「当社が収集するデータは、総務省の定める「カメラ画像利活用ガイドブック」に従った人流に関する属性情報およびこれに基づく統計情報となります。よって、個人情報保護法の定義する個人情報には該当しないものと認識しております。」等と記載されており、同社は自社が収集しているデータは個人情報ではないとの考えのようです。

・HP記載内容の修正について|Intelligence Design

ところでID社は同社のシステムは経産省・総務省の「カメラ画像利活用ガイドブックver3.0」に準拠していると主張しているわけですが、にもかかわらず同社サイトを見る限り、「カメラ画像利活用ガイドブックver3.0」が求めている、”商用カメラの利用にあたっては事業者はつぎのような事項を掲示やウェブサイトなどで通知・公表せよ”としている事項の通知・公表を行っていないことは、同ガイドブック違反であると思われます。

F5VN2XYagAAVjr8 - コピー
(経産省・総務省「カメラ画像利活用ガイドブックver3.0」35頁より)

なお、上の9月5日付のリリースではID社は同社のAIカメラによる取組みはあくまでも商用が目的であると主張しています。しかし、9月6日のFNNプライムオンラインの「【物議】渋谷に“AIカメラ”100台設置し行動を検知 防犯に期待の一方“懸念”も…若狭弁護士「個人情報保護法違反になりかねない」」では、同社の取引先である渋谷センター商店街振興組合の幹部の方は、「(繁華街は)騒動が起きやすい場所なので、そういう点では防犯上の抑止力になるのではないかと。」と防犯が目的でもあると発言しています。

この点は矛盾であり、ID社のこの渋谷のAIカメラを利用した取組みは法的に大丈夫なのか疑問が残ります。

■関連するブログ記事
・防犯カメラ・顔識別機能付きカメラシステムに関する個人情報保護法ガイドラインQAの一部改正について
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメ結果を読んでみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■関連するニュース記事
・渋谷に「AIカメラ」100台設置→通行人の行動履歴監視? IT企業施策に「完全にストーカーやん」と物議 サイト表記訂正

人気ブログランキング

PR
このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
1.はじめに
「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメが2023年1月12日から2月12日まで行われていたところ、その結果が3月23日に公表されたので、誤登録の問題の部分を中心にざっと読んでみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。|個人情報保護委員会

結論からいうと、本パブコメ結果は、個人情報保護委員会の回答をみると、つぎの回答7にあるような「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式的な回答が多く、誤登録の問題にあまり前向きでないと感じました。どこか他人事のように見えます。

【意見7】
(略)ガイドラインやQ&Aに示されていても改善されない。よって、第三者機関によるチェック体制が必要である。 運用基準は国会で議論し立法化して欲しい。 【個人】

【PPCの回答7】
本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。

2.誤登録の問題
とはいえ、いわゆる「誤登録」の問題、「防犯カメラの万引き犯の冤罪被害者」の問題について、つぎの個人情報保護委員会(PPC)の回答は比較的丁寧に回答しています。

すなわち、誤登録された本人は、「個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ」るとし、そして「個人情報取扱事業者は、これらの条文に従って対応する必要があります。」としています。またPPCは、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と明記したとしています。

【意見272】
防犯カメラの顔認証登録について、誤登録の可能性と、登録された本人には認知も抗議もできない一方的な現状に抗議する。(略)【個人】

【PPCの回答272】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。 また、本報告書案においては、「自らの個人情報が誤登録されていると考える者から、開示等の請求やその他問合せがあった際に、請求者の請求に応じた対応や、誤登録の有無を直ちに確認し、誤登録の場合には消去するための体制をあらかじめ整えておくことが望ましい。」と示しています。

3.施行令5条の問題
個人情報保護法施行令5条各号に該当すれば当該データは保有個人データではなくなり、個人情報取扱事業者は保有個人データに関する義務を負わなくてよい(個情法16条4項)と現行制度がなってしまっているところにはつぎのように多くの意見が寄せられていました。

施行令5条
(個人情報保護法施行令5条。PPCの本有識者検討会議の資料2より)

しかしこれに対してもPPCの意見は形式論が目立ちます。PPCは「なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。」と説明していますが、しかし誤登録の人々がスーパーや警備会社などに申し出を行っても「当店ではそのようなDBはない」等と回答されてしまっている実務を変えるものとはなっていません。

【意見45】
(意見内容)
定義コに以下の注釈を加える。 注釈:誤検知は本人が認識できない可能性があることも考慮されるべきである。また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてあるが、問い合わせに対して該当なしとの回答を安易に返すべきではない。

(理由)
本人が誤登録されていることをどのような手段で認識するかは大きな問題であり、指摘すべき項目である。 また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてある。そうすると、該当なしとの回答になってしまい、誤登録された場合の濡れ衣被害が継続することになる可能性がある。 【一般社団法人MyData Japan】

【PPCの回答45】
第2章は用語の定義を行っているものであり、顔識別機能付きカメラシステムの利用の在り方について述べるものではありませんので原案どおりとさせていただきます。 なお、施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。


【意見94】
32頁7行目以下について、個情法第4章の個人情報取扱事業者の顔データの取扱いの各義務が検討されているが、そのような法の運用をするためには、個情法16条4項や個情法施行令5条の改正が必要なのではないか。 個情法第4章の個人情報取扱事業者の顔データの取扱い等が検討されているが、しかし顔識別機能付き防犯カメラによる顔データは、個情法施行令5条のいずれかの号に該当し、当該顔データは保有個人データではないということになり(個情法16条4項)、結局、顔識別機能付き防犯カメラを運用する個人情報取扱事業者は個情法を守る必要がないということになってしまうが、そのような結論はいわゆる「防犯カメラの万引き犯の冤罪被害者」の被害との関係で妥当とは思えない。そのため個情法16条4項や施行令5条の法改正などの法的手当が必要なのではないか。 【個人】

【PPCの回答94】
施行令第5条の該当性は個別の事案に応じて慎重に判断されるべきものであり、防犯目的であれば直ちに施行令第5条に該当するということを述べるものではありません。 また、保有個人データには該当しない場合であっても、個人情報取扱事業者は、個人情報又は個人データを取り扱う場合は、個人情報保護法の定めに基づき取り扱わなければなりません。

4.個情法19条
なお、スーパーや警備会社等が誤登録の人々からの申し出に誠実に対応しないことは個情法19条(不適正利用の禁止)や個情法23条(安全管理措置)違反となるのではないかとの意見に対してもPPCは答えをはぐらかしてゼロ回答です。

個人情報保護法
(不適正な利用の禁止)
第十九条 個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。

(安全管理措置)
第二十三条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。

【意見112】
誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも個情法19条違反または法23条違反となることを明記すべきではないか。 誤登録された人、いわゆる「防犯カメラの万引き犯の冤罪被害者」の人からの苦情や開示請求・削除等の請求に個人情報取扱事業者が誠実に対応しないことも「違法又は不当な行為を助長し、又は誘発するおそれがある方法」による個人情報の利用または安全管理措置違反であるといえる。 【個人】

【PPCの回答112】
照合用データベースに登録されているデータが保有個人データである場合には、当該保有個人データの本人は、個人情報取扱事業者に対して、法第33条に基づく開示請求、法第34条に基づく訂正等請求及び法第35条に基づく利用停止等請求を行うことができ、個人情報取扱事業者は、これらの条文に従って対応する必要があります。
また、第5章6(3)において、法令上の開示等の請求に該当しないような法令上対応する義務がない問合せについても、信頼醸成の観点から、できる限り丁寧に対応していくことが重要であると示していますので、原案どおりとさせていただきます。

5.共同利用の問題
さらに、個人データの共同利用(個情法27条5項3号)においてどの範囲までを認めるのか、全国レベルの共同利用も認めてよいのかについては、本有識者検討会でも長く議論がなされ、「全国レベルでの共同利用には事前に個人情報保護委員会への相談を求めるべき」などの意見が出されていたにもかかわらず、本報告書はその点をスルーしてしまっています。この点に関するPPCの回答も木で鼻をくくったような形式的なものとなっています。

【意見210】
顔識別機能付きカメラシステムによる顔データの共同利用については、全国レベルや複数の県をまたがる等の広域利用を行う場合には、事前に個人情報保護委員会に相談を求めることを明記すべきではないか。そのために必要であれば個情法の法改正等を行うべきでないか。 第6回目の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」の議事録5頁に、「そういった観点から、一つ地域というのがメルクマールになると理解している。広域利用に関しては相当の必要性がなければできないとしつつ、個人情報保護委員会に相談があったような場合に対応していくのが1つの落としどころかと感じた。」との議論がなされているから。 また、宇賀克也『新・個情法の逐条解説』275頁、園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁などにおいても、共同利用が許される外延・限界は「一つの業界内」、「一つの地域内」などと解説されており、全国レベルの共同利用や県をまたぐ広域利用、業界をまたぐ共同利用などは法が予定していないと思われるから。

【PPCの回答210】
個人情報保護法には、個人情報取扱事業者における個人情報の取扱いについて、事前審査に係る規定は設けられておりません。(後略)

6.防犯カメラについて立法を求める意見などについて
さらに防犯カメラの運用に関して規制法を国会で立法すべきとの意見も非常に多く寄せられていましたが、これに対してもPPCは「本報告書案では、顔識別機能付きカメラシステムを導入する際に、個人情報保護法の遵守や肖像権・プライバシー侵害を生じさせないための観点から少なくとも留意するべき点や、被撮影者や社会からの理解を得るための自主的な取組について整理を行っています。 まずは、事業者において、本報告書を踏まえて適切な運用を行うことが期待されます。」という形式論で退けてしまっています。(本有識者検討会のメンバーの一人の山本龍彦・慶大教授は「防犯カメラについて事業者等や行政にガイドライン等を遵守させるための枠組み立法が必要」とのお考えだったのですが、残念です。)

7.まとめ
このように本パブコメ結果はおおむね、NECや全国万引犯罪防止機構などの防犯カメラの利活用を行う事業者や団体の意向に沿う一方で、誤登録の被害を受けた個人や、これからそのような被害を受けるかもしれない国民の意思を不当に軽視したものといえます。

EUでは2021年にAI規制法案が公表され、警察当局等による公共空間での防犯カメラの利用は禁止となっています。またEUのGDPR22条はコンピュータの個人データの自動処理のみによる法的決定等を拒否する権利を規定しています。日本でも近年、情報法制研究所の高木浩光先生が、個人情報保護法(個人データ保護法)の立法目的は「データによる人間の選別・差別」を防止することであると主張し、注目を集めています。(防犯カメラの誤登録の問題は「データによる人間の選別・差別」の問題そのものと思われます。)このような世界や日本の近年の動向に、誤登録の問題に消極的な日本のPPCの本パブコメ結果は大きく逆行しています。顔識別機能付き防犯カメラの問題は、引き続き国会などで議論が行われてほしいと思います。

※なお、本パブコメ結果後のPPCの予定が不明だったので、PPCに電話にて問い合わせを行ったところ、「本パブコメ結果を踏まえて、個人情報保護法ガイドラインQ&Aの見直しを行う」とのことでした。

このブログ記事が面白かったらシェアやブックマークをお願いします!

■関連するブログ記事
・個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関するパブコメに意見を書いてみた
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)

■参考文献
・宇賀克也『新・個情法の逐条解説』275頁
・園部逸夫・藤原静雄『個情法の解説 第二次改訂版』187頁
・成原慧「プライバシー」『Liberty2.0』187頁
・高木浩光「高木浩光さんに訊く、個人データ保護の真髄」 | Cafe JILIS



[広告]






このエントリーをはてなブックマークに追加 mixiチェック

bouhan_camera
2022年にはいってから、個人情報保護委員会(PPC)で「防犯予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されています。そこで、PPCサイトで公表されている同検討会の資料を読み、気がついたところを簡単にまとめてみました。

・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第1回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第2回)
・犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会(第3回)

Ⅰ.資料2「顔識別機能付き防犯カメラの利用に関する法的整理と検討課題」について
1.2頁の3.カメラ画像の提供の(3)共同利用について
(1)防犯カメラの個人データが際限なくどんどん広範囲に共同利用されてしまうおそれへの歯止めが必要ではないか。学者の先生方の教科書をみると、共同利用の限界は「書店業界」など「〇〇業界」のなかが限界(外延)であるように読めるが(園部逸夫・藤原静雄『個人情報保護法の解説 第二次改訂版』187頁)、もし防犯カメラの個人データが「日本の小売業全体」で共同利用されてしまったら、それは範囲が広すぎではないか。立法などで歯止めをかけるべきではないか。

(2)また第三者提供の例外である委託、事業承継、共同利用のなかで、共同利用は一番抽象的で事業者にいかようにも利用されてしまうリスクが高い。(例、TポイントのCCCの個人データの管理が当初、共同利用とされていたことなど)この点は、今後の個人情報保護法の改正などで明確化を図るべきではないか。

2.2頁の開示等請求について
(1)いわゆる「防犯カメラの冤罪被害者」の方々がスーパーや警備会社などに開示等請求をしても、一番多い対象は「うちはそういうことはやってない」「そういうデータは保存していない」と対応を断られることである。この場合、個人情報保護法上は開示等請求の民事訴訟を提起するしか対応方法がないが、これは一般市民にはハードルが高すぎる。例えば個人情報保護委員会(PPC)への相談、申告などの手続きを経て、PPCから事業者に対して助言・指導を行わせるなど、PPCが関与して紛争解決をするための手続きがあったほうがよいのではないか。

3.3頁の(1)利用目的の特定について
(1)PPCの個人情報保護法QA1-12は、ただの防犯カメラは個人情報保護法21条4項4号との関係で事業者は「防犯カメラ作動中」との掲示・表示さえすればよしとされているが、顔識別機能付き防犯カメラの場合は「防犯のために顔識別技術を用いた顔識別データの取扱が行われていること」を示す掲示・表示が必要としているが、現状ではほとんどの事業者が後者を遵守していない。遵守させるために、ガイドラインやQAだけでなく立法が必要なのではないか。

4.12頁のカメラ画像の提供の(3)共同利用、個人情報保護法ガイドラインQA7-50について
(1)共同利用する個人データは「真に必要な範囲に限定」、「データベースへの登録条件を整備」とあるが、特にいわゆる「防犯カメラの冤罪被害者」の人々が被る権利利益の侵害、個人の尊重と基本的人権(プライバシー権など)の侵害は重大であるため、この部分を事業者や認定個人情報保護団体のブラックボックスとさせないように、登録条件・基準や保存期間、開示等請求の手続き、問合せ窓口などを事業者に制定させ公開させ遵守を義務付けるための立法が必要なのではないか。ガイドラインやQAなどでは足りないのではないか。個人情報保護法は事業者による個人情報の利用と国民の権利利益の保護や人権保障のバランスをとる法律であることを考えると、PPCは国民の個人の尊重と基本的人権を守るための行政活動や立法活動がより必要なのではないか(個人情報保護法1条、3条)。

5.13頁の開示等請求の施行令5条各号について
(1)一般論としては、事業者側の対犯罪対応、反社対策、警察などの対テロ対応、安全保障対策のためにこのような除外規定があることは理解できるが、しかしいわゆる「防犯カメラの冤罪被害者」のように間違ってデータベースに登録された人々の権利救済のためには、施行令5条にも、本人が異議申し立てをできる場合を明記するような方向で、個人情報保護法を改正すべきではないか。施行令5条が事業者の免罪符になっている現状は問題である。(例えば施行令5条に該当する場合でも、冤罪被害のおそれが高い場合には、PPCや裁判所の関与のもとにインカメラ手続きなどを利用して本人の権利救済を図るなど。)

個人情報保護法施行令5条
(個人情報保護法施行令5条。PPCの資料2より)

6.企業の特定分野を対象とする団体を認定する認定個人情報保護団体の創設について
(1)この法改正により、あまりにも広い範囲で個人データの共同利用がなされてしまった場合、本人の合理的な予測ができず、本人の権利利益の侵害となってしまうのではないか。(例えば業界をまたぐ個人データの共同利用などは認めるべきではないのでは。)認定個人情報保護団体や事業者の利便性とは別に、本人・国民の側の権利利益の保護も図られるべきではないか。

7.17頁の事業者の自主的な取り組みについて
(1)これらの事業者の自主的な取り組みを事業者に実施させるために、自主的な取り組みの制定・公表を事業者や認定個人情報保護団体に義務付け、遵守させるために、枠組み立法が必要なのではないか。

Ⅱ.資料3「顔識別機能付き防犯カメラの利用に関する国内外動向」について
(1)EUのGDPR22条だけでなく、同22条のプロファイリング拒否権やAI規制法案も検討すべきではないか。また、GDPR22条については、日本の2000年の旧労働省の「労働者の個人情報保護のための行動指針」第2第6(6)もプロファイリング拒否権を明記していたことをもっと注目すべきではないか。

(2)ドイツは憲法擁護庁など諜報機関の防犯カメラなどの統制のために「テロ対策データベース法」などを制定して諜報機関の防犯カメラなどの運用を第三者機関などがチェックしているそうなので、日本も同法を検討してはどうか(日弁連『監視社会をどうする』95頁以下に概要あり。)。また、米オレゴン州ポートランドは2020年9月に、民間企業も公共空間での防犯カメラの利用を禁止する法律を制定し、2020年8月にはアメリカの連邦裁判所が警察による防犯カメラの利用に違憲判決を出しているので、個人情報保護委員会は本検討会でこれらの法律や判決を検討すべきではないか。

Ⅲ.第1回議事録について
1.5頁開示請求について
(1)万引き犯などのブラックリストは施行令5条により保有個人データに該当しないとなると、事業者側は一切開示等請求に応じなくてよいことになってしまい、いわゆる防犯カメラの冤罪被害者の人権侵害を救済できない。施行令5条で一律に保有個人データに該当しないのではなく、ブラックリストに載せられた人を救済できるための何らかの手当が必要ではないか。

2.5頁GDPRについて
(1)DGPR9条だけでなく、同22条やAI規制法案も検討すべき。また、例えばドイツの憲法擁護庁など諜報機関に関する対テロ法など、諜報機関の情報管理を第三者がチェックするための法律なども検討すべき。本検討会の射程に収まるかは別として、PPCはプロファイリング拒否権やAI規制法を日本にも導入するために検討をすべきではないか。また、欧米は2000年代に制定した遺伝子差別禁止法なども日本も早く立法化すべきではないか。

Ⅳ.第2回議事録について
1.2頁目の真ん中の〇の部分
(1)「制定当初の個人情報保護法は…個人情報の中に機微性における区別はなかった」は、事実誤認である。制定当初の個人情報保護法に基づいて制定された、金融庁の金融分野における個人情報保護ガイドラインなどは、センシティブ情報に関する規定を置いている。また、2000年の旧労働省の「労働者の個人情報保護の行動指針」もプロファイリング拒否権の条文を置いている。

(2)3頁目の3番目の〇の「立法者意思説でなく法律意思説でいくべき」について 賛成である。立法者の意思も重要であるが、現在の社会情勢や判例・学説の動向を勘案の上、機動的に個人情報保護(個人データ保護)、個人の尊重や基本的人権の確立のための行政活動・立法活動を行うべきである。

2.6頁の顔識別機能付きカメラについて
(1)顔識別機能付きカメラにより個人のプロファイリングがなされてしまうとの問題意識に賛成である。この点をさらに深堀りし、国民の個人の尊重と基本的人権を守る方向で議論をすすめていただきたい。

3.7頁目の「検討すべき事項」について
(1)経産省・総務省の商用カメラに関する「カメラ画像利活用ガイドブック」と個人情報保護法や同ガイドラインの防犯カメラに関する部分との統一化が必要ではないか。カメラを利用し個人の顔識別やプロファイリングなどを行う面では同じ問題なのであるから。また、国民の個人の尊重と基本的人権の保護のために、これらを規制する枠組み立法が必要である。

(2)8頁目の「カメラ画像の第三者提供や共同利用」を広げていく議論に関しては、慎重な議論が必要である。個人情報保護法17条(利用目的の特定)の背後にある、「必要最低限の原則」に180度反する可能性が高いので、慎重な議論が必要である。同様に、デジタル庁等が現在推進している、「学習データ利活用ロードマップ」や「行政の保有する子供の個人データの共有化」「スーパーシティ構想・デジタル田園都市構想」などの政策も、この「必要最低限の原則」に180度反しているので、PPCは個人情報保護法の所管官庁として、しかるべき対応をすべきではないか。

(3)その他、就活生のSNSの「裏アカウント」を採用企業や調査会社などが調査し分析している問題や、ネット系人材紹介会社が本人の承諾なしに勝手にSNSやGithubなどの個人データを収集・分析して人材紹介ビジネスを行っている問題など、労働法(職安法など)と個人情報保護法が交錯する分野についても、PPCは厚労省と共担でしかるべき対応を行うべきではないか。また、最近、警察庁が国民のSNSをAIで捜査するシステムを導入したとのことであるが、これらについてもPPCは個人情報保護法(個人データ保護法)の担当所管としてしかるべき対応をすべきではないか。

(参考)
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた(追記あり)
・防犯カメラ・顔認証システムと改正個人情報保護法/日置巴美弁護士の論文を読んで
・ジュンク堂書店が防犯カメラで来店者の顔認証データを撮っていることについて
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・デジタル庁「教育データ利活用ロードマップ」は個人情報保護法・憲法的に大丈夫なのか?
・Github利用規約や労働法、個人情報保護法などからSNSなどをAI分析するネット系人材紹介会社を考えた
・警察庁のSNSをAI解析して人物相関図を作成する捜査システムを法的に考えた-プライバシー・表現の自由・GPS捜査・データによる人の選別
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)
・日銀『プライバシーの経済学入門』の「プロファイリングによって取得した情報は「個人情報」には該当しない」を個人情報保護法的に考えた(追記あり)













このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ