1. HOME
  2. ブログ
  3. 顔認証による顔データと個人情報の保護について徹底解説!

顔認証による顔データと個人情報の保護について徹底解説!

顔認証により取得した顔データは個人情報にあたるのか…?

昨今では、体温を測定するために建物の出入口にカメラが置いてあったり、無人店舗の決済に顔認証が採用されていたりと、「顔認証」が身近になりつつあります。

富士経済によると、日本の顔認証の市場は2019年比で3倍の伸び率と予想されています。コロナ禍で非接触の需要が高まっており、体温測定機能等の拡張も可能な点から、オフィスでの入退室管理や無人店舗での利用が広がっています。

この記事では個人情報保護の観点から顔認証により取得した顔データの取り扱いについて、詳しく解説していきます。

そもそも個人情報とは

第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、 次の各号のいずれかに該当するものをいう。

 一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電 磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。 次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録 され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を 除く。)をいう。以下同じ。)により特定の個人を識別することができるもの (他の情報と容易に照合することができ、それにより特定の個人を識別することができる こととなるものを含む。)

二 個人識別符号が含まれるもの

参照URL:個人情報保護法の基本

個人情報の定義

広義の個人情報には3つの種類があり、それぞれ定義があります。

①個人情報
→生存する特定の個人を識別できるもの、および個人識別符号が含まれるもの
②個人データ
→個人情報のうち、特定の個人情報を検索できるよう体系的に構成したもの
③保有個人データ
→個人データのうち、個人情報取扱事業者に開示・訂正・消去等の権限があり、6ヶ月を超えて保有するもの

取得した顔データは個人情報に該当するのか?

特定の個人の身体的特徴をデジタル化した符号は、個人識別符号として、個人情報にあたります。
そして、取得した顔データは顔の特徴をデジタル化して、これを認証データとして用いるものであり、個人識別符号として個人情報にあたります。
なお、顔の特徴をデジタル化していない場合は、個人情報保護法の規制を受けることはありません。

つまり、録画をせずに単にリアルタイムで監視しているだけの場合などはかかる特徴のデジタル化を行うものではなく、個人情報には当たらないとされる余地があります。

顔認証により取得した顔データの取り扱い注意

取得したデータの取り扱いについては下記6つが記されています。

①内容の正確性の確保
「個人データ」を取り扱う事業者は、利用目的の達成に必要な範囲内で、個人データを最新かつ正確な内容に保ち、利用する必要がなくなった個人データは遅滞なく消去することに努めなければなりません(努力義務)。

②安全管理措置
個人データを取扱う事業者は、「個人データ」が漏えい、滅失しないよう「安全管理措置」を取らなければなりません。

③従業員・委託先の監督
事業者は、「個人データ」を従業員や委託先に取り扱わせる場合、必要かつ適切な「監督」をする必要があります。ここでいう「監督」とは、「個人データ」の取扱いに際し、従業員や委託先が負うこととなる安全管理措置義務を契約書に盛り込むこと、従業員や委託先が安全管理措置義務を遵守していることを定期的に確認することを指します。

④第三者提供の制限
「第三者提供」とは、事業者が保有する「個人データ」をその事業者以外の者に提供することをいいます。「個人データ」を第三者に提供する場合には、原則として、あらかじめ本人から同意を得る必要があります。

⑤通知義務など
「保有個人データ」※を取り扱う事業者は、以下の事項を自社HPに掲載するなどして、本人の知り得る状態に置いておく必要があります。
※「個人データ」を6か月以上保有する場合には、そのデータは「保有個人データ」に当たります。

⑥開示、訂正、利用停止など、事業者は本人から保有個人データの開示・訂正・利用停止等の請求を受けたときには、遅滞なくこれらに応じなければなりません。

顔認証の活用事例

顔認証を活用している例は大きく以下の2つに分けることが出来ます。

・防犯目的
・ビジネスへの活用目的


ここからは具体的な事例をご紹介しながら、
併せて個人情報保護の観点から注意すべき点について記載します。

【防犯活用事例】

防犯カメラであることが明らかであって防犯目的のみのために撮影する場合、「取得の状況からみて利用目的が明らか」(個人情報保護法18条4項4号)であることから、利用目的の通知・公表は不要です。

事例1 万引きの防止

万引きによる商品ロスの被害は全体の売り上げの1~2%と言われています。
年間売上が10億円の企業様は1年で1000万円の万引き被害にあっているということになります。

万引きの特長は「一度手を染めると何度も繰り返してしまう再犯率」です。
顔認証により、その再犯率を逆手に取ります。

防犯カメラに顔認証の技術を搭載することで、一度万引きしてしまった方を登録しておき、その人が来た時に警備員に知らせたりメールで通知をすることが可能になります。

このような場合、万引き防止という目的が明らかな為、利用目的の通知や公表は不要です。
気を付けるべきは事例5のように、万引き犯のデーターベースを他企業に提供する場合です。

事例2 入退室管理システムとの連携

入退室時に顔認証を行う事により、本人と認証した場合に限り特定のドアが開くといったシステムの構築です。

システムの履歴をしっかりと取り、部外者の侵入だけでなく、内部不正の対策が可能です。
また、高セキュリティ、且つ利便性の高い「顔認証」をうまく活用することでPマークの取得や、機密情報の適切な管理に役立てることができます。

さらに詳しく知りたい方はこちら
参照リンク:注目!顔認証での入退室管理システムの最前線は?

ビジネスへの活用事例

防犯目的等、例外を除き個人情報の取得には「通知」「公表」が必要になります。

顔認証により顔データを取得する場合、「あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、または公表する必要」があります。(個人情報保護法18条1項)
「公表」とは、広く「個人情報」の「利用目的」を世間一般に知らせることをいいます。

例えば、HP上での掲載、広報誌への掲載、ポスターやパンフレットへの掲示等が必要になると考えられます。

事例3 無人店舗

無人店舗の最大の特長は、入店~決済、退店までノンストップで行う事が可能なことです。
事前登録を済ませておくことで、手ぶらで買い物ができ、手に取った商品は自動認識され、決済は待ち時間なく行えます。

顧客分析による1人1人への商品提案や、商品選択時の口コミ表示など、単なる「買い物」ではなく、新しい「顧客体験」を提供し、新しい小売業の在り方を示しています。

AI顔認証で入店、決済

事例4 来店者分析

顔認証により来店客の属性を分析し、来店客数、滞在人数、施設内の混雑度情報を測ることができます。

例えば、1日の中でのピークの時間帯により多くの従業員を配置し、
少ない時間帯には休憩の従業員を増やすことも可能です。また、来店者数の増減によってシフトを柔軟に組むことも可能です。

事例5 万引き防止データベースの提供事業

「万引き犯は大抵、どこのお店でも万引きをするはずなので万引き犯の顔は全店舗で共有しよう」というお話です。

下記2点に注意が必要です。
①小売業者からの「万引き犯顔情報」の提供
②情報提供業者からの「万引き犯データベース情報」の提供

①は小売業者から、情報提供事業者への監督義務が発生します。
②は情報提供事業者から各個人など利用する人に対し、利用目的などの必要事項を通知、公表する必要があります。

匿名加工情報

個人を特定できないよう、個人情報を適切に加工することで
本人の同意を得ることなく、情報の利用が可能になります。

例えば下記の例が挙げられます。
・性別、年齢などの属性情報
・ヒートマップなどの動線データ
・個人を録画保存しない場合の各個人の傾向や特長のテキストデータ
・体温データ

まとめ

個人情報保護の観点から見た場合、
顔認証により取得した「顔データ」の利用を行うためには
少なくとも利用目的などの必要情報の通知、公表が必要となります。

一方で、
①防犯カメラなど、防犯目的として利用することが明らかな場合
②匿名加工情報などで個人を特定できない情報として扱う場合
は本人の同意や事前の通知、公表は必要なくなります。

顔認証分野の成長は
市場規模の成長から見ても明らかです。

利便性とセキュリティ性を兼ね備えており、
今後に期待されている分野ではありますが、個人情報の保護など、
利用の際には細心の注意が必要となります。

導入実績3,000社。AI顔認証と入退室管理システム詳細はこちら

関連記事