ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

【個人情報Q&A】顔写真は要配慮個人情報やSpecial Categories of Dataに当たるか

Q)顔認証が急速に広まっています。近所のスーパーにいったら、レジの真上にカメラが常設されていて、顔画像を取得しているようです。顔認証や顔画像への規制が強化されるのではないかとも聞きますが、日本法やGDPR上、顔認証や顔画像はどのような位置づけなのでしょうか。

 

A)

日本の個人情報保護法

  • 電子計算機で認証できるような顔認証、顔画像は、「個人識別符号」に当たり、それ単体で、特に氏名などがわからなくても、「個人情報」に当たり、多くの場合「個人データ」にも当たる。
  • 認証できないような顔画像(スナップ写真、証明写真、運転免許証のスキャナ画像に含まれる顔画像等がそのままの状態で保存されているような場合。平たくいうと、それでシステムにログインできたりドアが空いたり顔パスで通れたりしないような状態の画像。)は、「個人識別符号」に当たらないが、それ単体で、特に氏名などがわからなくても、「個人情報」に当たる。もっとも、「個人データ」に当たるかどうかは、検索できるよう体系的に構成されているかなどのデータの状態に依る。
  • 「要配慮個人情報」や「機微情報」には当たらない。

GDPR

  • 顔認証、顔写真ともに個人データに当たると考えられる。
  • 顔認証は特別な種類の個人データSpecial Categories of Personal Dataに当たるが、顔写真の多くは当たらない(認証できるような特別なものだけが当たる)。

 

詳細解説

日本の個人情報保護法

  • 「要配慮個人情報」「機微情報」「個人識別符号」「個人情報」「個人データ」という概念がある。
  • 電子計算機で認証できるような顔認証、顔画像は、「個人識別符号」に当たり、それ単体で、特に氏名などがわからなくても、「個人情報」に当たる。電子計算機で認証できるということは、多くの場合「個人データ」性も肯定できるので、「個人識別符号」であり「個人情報」であり「個人データ」であることが多い。
  • では、認証できないような顔画像(スナップ写真、証明写真、運転免許証のスキャナ画像に含まれる顔画像等)はどうか。
  • これは、「個人識別符号」には当たらない。なぜなら電子計算機で認証できないと、個人識別符号の要件(施行令1条1号、規則2条)を満たさないからである。

政令第 1 条 個人情報の保護に関する法律(以下「法」という。)第 2 条第 2 項の政令で定める文字、番号、記号その他の符号は、次に掲げるものとする。

(1) 次に掲げる身体の特徴のいずれかを電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、特定の個人を識別するに足りるものとして個人情報保護委員会規則で定める基準に適合するもの

ロ 顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状によって定まる容貌

規則第 2 条 個人情報の保護に関する法律施行令(以下「令」という。)第 1 条第 1 号の個人情報保護委員会規則で定める基準は、特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする。

 

ガイドライン10ページ

顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたものhttps://www.ppc.go.jp/files/pdf/190123_guidelines01.pdf

 

 

  • しかし認証できない顔写真についても、通常、特に氏名などがわからなくても、それ単体で、誰の情報かわかると考えられ、「個人情報」に当たると考えられる。
  • 「個人データ」に当たるかどうかはそれが検索できるよう体系的に構成されているか等、データの状態に依る。デジカメで撮ったりスマホで撮った写真画像をただ単に日付順・イベント順などで保存している状態では「個人データ」に当たらないと考えられる。
  • 「要配慮個人情報」や「機微情報」の定義に、顔画像などは含まれていないので、それだけでは「要配慮個人情報」や「機微情報」には当たらない。もっとも、履歴書に顔写真が貼られ、賞罰欄に前科が書かれていたりすると、前科は要配慮個人情報に当たるので、この履歴書は一体として要配慮個人情報に当たる。とはいえ、要配慮個人情報には当たるものの、要配慮になってもオプトアウトができないだけであるので、前科が書かれた履歴書が仮に送られてきたとしても、本人が任意で書いて提出したものであれば、本人同意があると考えられ、取得することはできる。

GDPR

  • 特別な種類の個人データSpecial Categories of Personal Dataという概念があり、規制が強化されている=原則取扱い禁止(GDPR9条)。
  • 自然人を一意に識別することを目的とする「生体データ」biometric data for the purpose of uniquely identifying a natural personは、特別な種類の個人データSpecial Categories of Personal Dataとされている。
  • ここにいう「生体データ」とは、自然人の身体的、生理的又は行動的な特性に関連する特別な技術的取扱いから得られる個人データであって、顔画像や指紋データのように、当該自然人を一意に識別できるようにするもの、又は、その識別を確認するものを意味する(GDPR4条14項)。‘biometric data’ means personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, which allow or confirm the unique identification of that natural person, such as facial images or dactyloscopic data;  
  • 定義規定だけを見ると、顔写真が特別な種類のデータに当たるかどうか論点となるが、写真の取扱いは、特別な種類の個人データの取扱いであると即断してはならないとされている(前文51)。なぜなら、自然人を一意に識別又は認証をすることができる特別な技術的手段を用いて取扱われる場合においてのみ生体データに含まれるからである(前文51)。 The processing of photographs should not systematically be considered to be processing of special categories of personal data as they are covered by the definition of biometric data only when processed through a specific technical means allowing the unique identification or authentication of a natural person

 

※水町作成PDFに、上記の点を追加しました。このPDFの最後のページです。