顔認証データは個人情報に含まれるのか？

プライバシーテック

2021.11.11
2022.10.28

投稿者：編集部

URL copied

Acompany無料メルマガに
登録しませんか？

プライバシーテックに関する情報を配信！

はじめに

顔認証システムで取得される顔データは個人情報に含まれるケースが多い、センシティブな情報だ。

一方これら顔データを活用した認証システムは現在幅広いシーンで導入されている。当たり前になりつつある今、ユーザーにとってもハードルが低くなっているわけだが、プライバシー的には問題ないのだろうか。

今回は、顔認証システムを活用しているサービスや実際の活用事例、プライバシー問題の有無と対処法について解説していく。

顔認証システムの仕組み

顔認証はディープラーニングが行える高度なAIを使用したシステムだ。

ビッグデータから取得した情報を活用し、カメラが取得した画像・映像からAIが顔を検出、顔の特徴を抽出したうえで、データベースに登録されている顔写真と照合し、本人の特定を行っていく。

抽出する顔の特徴は主に目や鼻、口、輪郭などが基本だが、顔の大きさをはじめ、細かいポイントを識別することも可能だ。

また、新型コロナウイルスの流行によってマスク着用が一般化した近年では、マスクを着用した状態でも本人を識別できる顔認証システムも増えてきている。

顔認証システムを活用しているサービス

顔認証システムを活用している代表的なサービスは、不審者・不審物の検知や万引きの防止、生体認証（入退室管理など）、店舗のマーケティング、導線設計・人員配置などに用いられている。

身近なものでいえば、インターネットを介した金融口座開設の本人確認や、スマホのロック解除も顔認証システムを活用しているサービス・機能の1つだ。

顔認証を活用したサービスはプライバシー的に問題ないのか？

冒頭でも触れたとおり、顔認証システムで取得される顔データは個人情報に含まれる。したがって、顔認証を活用したサービスはプライバシー問題に発展しやすい。

ここでは顔認証サービスが起こしたプライバシー問題の代表的な事例についてみていこう。

待ったがかかった大阪ステーションシティの実証実験

2013年11月、NICTは大阪ステーションシティに設置しているカメラを活用して施設利用者の動線を把握し、避難誘導などへの活用を検証することを目的とした実証実験を行なった。

日経クロステックによれば、NICTは取得した映像データは施設内で個人が識別されないように処理したうえで利用し、実証実験以外でデータを活用したり、第三者には提供したりしないとしていた。

しかし、大阪駅や駅ビルの利用者は通勤経路を変更しない限り、参加を拒否できず、半ば参加を強制されるような状態だったこともあり、プライバシー問題へ発展。

結局、この実証実験は延期に追い込まれている。

JR東日本が巻き起こした監視カメラ問題

2021年9月21日付けの読売新聞は、JR東日本が「顔認識カメラを使って、刑務所からの出所者や仮出所者の一部を駅構内などで検知する防犯対策を実施している」と報道した。同記事によれば、JR東日本は7月から、顔認識カメラを用いて出所者と仮出所者の一部を駅構内などで検知。その他、不審者や指名手配者も含め検知しており、必要に応じた手荷物検査や通報などのプロセスも示されていたようだ。

これは何が問題なのか。

日経クロステックによれば、JR東日本が監視カメラによる運用システムを開示していなかったことが指摘された。

また成城大学法学部教授の指宿信氏によれば、今回の事例はそもそもが肖像権の侵害となるのではないかと指摘。しかし、現行する法律との矛盾もあり先進国の事例から「顔情報の利用について包括的な規制の枠組みを構築していくべき」との見方を示した。

監視カメラによる監視は、個人情報保護委員会が2019年6月に公開したQ&Aに詳しく書かれている。 Q1-13-2の「防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入しようとする場合にどのような注意が必要とされますか」という質問に対して、

カメラ画像や顔認証データを体系的に構成して個人情報データベース等を構築した場合、個々のカメラ画像や顔認証データを含む情報は個人データに該当するため、個人情報保護法に基づく適切な取扱いが必要です。防犯目的のために、万引き・窃盗等の犯罪行為や迷惑行為に対象を限定した上で、顔認証システムを導入して顔認証データを含む個人データを用いようとする場合には、特定された利用目的の達成のために必要最小限の範囲内において顔認証システムへの登録を行い、個人データを正確かつ最新の内容に保つ必要があります。具体的には、各事業者においてどのような基準でデータベースに登録するか社内ルールを設定し、誤登録等を防ぐための適切な措置として、例えば被害届の有無により判断を行うなど客観的に犯罪・迷惑行為が確認されるケース等に限定するとともに、事業者内で責任を有する者により登録の必要性と正確性について確認が行われる体制を整えること等が重要です。（平成 30 年 12 月追加）

と回答している。

ここから現状、顔認証データをどのように扱えばいいのか、事業者に判断が委ねられているとも言える。

JR東日本のデータ活用に関しては、こちらで詳しくまとめている。

どう見る？JR東日本のデータ活用と個人情報保護法

顔認証で取得した画像データを安全に取り扱う必要がある

前項で取り上げた事例からも分かるとおり、顔認証システムのデータは非常にセンシティブなものであり、プライバシー問題に発展しやすい。

したがって、プライバシー問題を起こさないためには、導入リスクを踏まえて、安全に取り扱う必要がある。

ここでは、顔認証で取得した映像・画像データを安全に取り扱うにはどうしたらよいのか「データを利活用する場合」「安全に利活用する体制構築」の2項目に分けて紹介していく。

データを利活用する場合

個人情報保護委員会のFAQ索引では、以下のように記載されている。

本人を判別可能なカメラ画像やそこから得られた顔認証データを取り扱う場合、個人情報の利用目的をできる限り特定し、当該利用目的の範囲内でカメラ画像や顔認証データを利用しなければなりません。また、個人情報の利用目的をあらかじめ公表するか、又は個人情報の取得後速やかに本人に通知若しくは公表する必要があります。

引用：個人情報保護員会-FAQ索引（Q1-12）

また、既存カメラに新しい利用目的を追加し撮影する際は「カメラ画像利活用ガイドブック」の「4. 5-事前告知時の配慮」に沿った運用を行わなければならない。

「事前告知時の配慮」の項では、以下のように記載されている。

カメラ画像の撮影及び利活用を開始する前に、十分な期間をもって事前告知を行う。告知は、撮影の対象となる場所における物理的な方法（ポスターの掲示やパンフレットの配布等）又は電子的な方法（自社ウェブサイト上でのリリース等）、あるいはその両方を組み合わせた方法によって行う。具体的な告知内容・告知方法については、生活者がその情報を得る機会が増すよう、撮影の対象となる場所や利用目的等を事業者が総合的に考慮し、決定する。「4.2.1 生活者とのコミュニケーション」（配慮事項②～⑧）を参照し、カメラに写り込み得る生活者の母集団を分析した上で適切な方法で実施すること。

引用：カメラ画像利活用ガイドブック（4. 5-事前告知時の配慮）

光和総合法律事務所弁護士の渡邊涼介氏も著書において、顔認証システムにおいて個人データを活用する場合、パンフレット配布やHPでの告知、ポスター掲示などによって個人への事前告知が必要だという見解を示している。

顔認証システムのデータ利活用におけるプライバシーリスクを軽減するには、システム運用前に十分な期間を設けて、個人への事前告知が必要だと解釈できるだろう。

安全に利活用する体制構築

事前告知の徹底と並行して行わなければならないのが、安全に利活用するための体制構築だ。

顔認証システムで取得した映像・画像データを、個人情報ではないデータに処理して安全に利用する場合、以下のような対策を講じていく必要がある。

データ漏えいを防止するためのセキュアな開発および保管環境の構築
被撮影者への対応体制の整備
画像のマスキング処理

上記のような対策を複数重ねながら、安全性が担保された運用体制を構築しなければならない。

ただし、画像をマスキング処理したとしても、処理済み画像が元画像と紐づいている場合は本人が特定されてしまうため、個人情報とみなされてしまう。

したがって、マスキング処理する場合は処理済み画像のみを保管し元画像を破棄するなど、マスキング処理済み画像から元画像への復元や紐づけができないようにして保管しなければならない。

また、データベース等を構築した場合は、個人データとして取り扱う必要があり、個人情報保護法に基づいた対応が求められるため、保管方法がデータベース化していないかどうか把握しておくことも重要だ。

顔認証システムの代表的な活用事例5選

ここまでみると、顔認証システムの導入リスクは高いと思われがちだ。しかし、安全な運用体制を構築し、プライバシー問題にしっかりと取り組んでいれば、これほど有用なシステムはない。

ここでは顔認証システムの代表的な活用事例についてみていく。

1.成田空港が出した顔認証データ活用の際の個人データ取り扱いガイドブック

成田空港は国土交通省と共同で2020年3月に「空港での顔認証技術を活用した One IDサービスにおける個人データの取扱いに関するガイドブック」を公開している。

成田空港は顔認証システムによって、チェックインから出国審査、搭乗といったすべての手続きを顔パスとすることを目指している。これにより搭乗券やパスポート提示をなくしてスムーズな搭乗手続きが可能だ。

ガイドブックでは、顔認証システムの活用における個人データの取り扱いについて配慮すべき点がまとめてられている。

成田空港における顔認証システムの活用事例では、「顔認証IDの利用制限」「旅客のオプトインがある時のみ顔パスサービスを提供」「顔認証ID生成後、24時間以内にデータ削除」といった運用方針を掲げている。

2.証明写真機の顔写真データを活用した顔認証システム

大日本印刷とDNPフォトイメージングジャパンは証明写真機「Ki-Re-i」の顔写真データを活用した顔認証システムの提供をしている。

国内で約5,600台運用されている「Ki-Re-i」とdotBravoが運用している顔認証システム「dotFace」を連動させたサービス。

リリースでは「Ki-Re-i」で撮影した顔写真データをリモートで収集し、収集したデータを顔認証システムに活用することで、非接触の入退室管理と検温を可能にしていると報じている。

3.顔が鍵代わりとなるチェックインシステム

三井住友不動産が運営しているホテルブランド「sequence（シークエンス）」は、NECの顔認証パッケージ「スマートホスピタリティサービス」を導入し、チェックイン時の宿泊客の予約情報確認や客室ドア解錠時の鍵として活用する仕組みを構築している。

日経クロステックによると、予約時完了時に取得できる予約番号をNEC専用アプリに登録する際、サービスの利用希望者は併せて自分の顔を登録しておくと、冒頭で紹介した顔パスシステムを活用できるとのこと。

取得した顔情報は宿泊客がチェックアウトしたらすべて消去するとしており、データの不正利用およびデータの漏洩リスク低減にも注力している。

4.顔認証を活用したマーケティングサービス

システム・ケイは顔認証システムを活用したマーケティングサービスを提供している。

ネットワークカメラ映像から複数の人間の顔データのみを抽出してクラウドサーバーシステムのデータベースと照合することで効果的なマーケティングを行うことが可能だ。

抽出した顔データは年齢・性別の識別が可能な他、顔認識で新規顧客とリピーター顧客の店舗・時間別のマーケティングレポートも作成できるため、レポートをもとにマーケティング施策の立案も行える。

5.サーバーの設置・管理が難しい場所でも顔認証を導入できるクラウドサービス

NECは2017年から顔認証クラウドサービス「NeoFace Cloud」を提供している。従来の顔認証システムはサーバーの設置・管理が必須だったため、屋外やシステム管理者不在など、サーバーの設置・管理が難しい場所だと顔認証が活用できなかった。

サーバーの設置・管理が難しい場所でも顔認証を導入したいという要望を受けて誕生したのが「NeoFace Cloud」だ。「NeoFace Cloud」であれば、認証対象者の顔データをクラウド上に登録しておけば、カメラで取得した顔データをクラウドへ送信して顔認証が行える。

顔認証の需要は年々高まっており、「NeoFace Cloud」も「顔認証決済」や「インターネットを介した金融口座開設時の本人確認」「顔認証を活用したスタンプラリー」「対面型ロボットのおもてなし」など、急速に活用シーンが広がっている。

まとめ

顔認証は深層記憶（ディープラーニング）が行える高度なAI（人工知能）を使用し、カメラから検出した顔データをデータベースに登録されている顔写真と照合して本人特定するシステム
顔認証システムは生体認証をはじめ、マーケティングや導線設計・人員配置、不審者・不審物検知など幅広く活用されている
有用なシステムであり幅広く活用されているものの、取得した顔データは個人情報に含まれるため、プライバシー問題に発展しやすい
プライバシーリスクを軽減するには個人情報保護委員会やカメラ画像利活用ガイドブックに沿った運用が大切
顔認証システムの活用事例は増えてきており、今後も活用事例は増えていくことが予想される