ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

顔認証についてPIAプライバシー影響評価を行いました

新しい技術やサービスは、世の中をより豊かに、便利にする可能性を有しています。

しかし、その技術やサービスで個人情報を取り扱うのであれば、同時にプライバシー権侵害の危険性もあります。

 

「プライバシーに良くないから一切禁止しろ!」

「良い技術なんだから、個人情報に対する規制を撤廃しろ!そうでないと日本の技術は廃れてしまいGAFAに負けてしまう」

 

両方の意見があり得ると思います。しかし、プライバシーと技術の進展・ビジネスの成功は、どちらかが立てばどちらかが立たないというゼロサムゲームではないはずです。

 

「プライバシーに配慮した、新しい技術を活用した新しいビジネス」これを実現できるようにする必要があるのではないかと考えます。

 

そのための考え方として、プライバシーバイデザインPrivacy by Designという考え方があります。平たくいうと、事業等の企画・設計段階から、初期設定としてデフォルトでプライバシー保護を埋め込んでいくという考え方です。なお、この考え方はGDPRではデータ保護バイデザインData Protection by Design、データ保護バイデフォルトData Protection by Defaultとして規定されています。

 

そして、その実践手法として、プライバシー影響評価Privacy Impact Assessment(PIA)、データ保護影響評価Data Protection Impact Assessment(DPIA)があります。

 

前置きが長くなりましたが、この度、NEC様のご協力を得て、NECの顔認証技術に対してPIAプライバシー影響評価を実施することができました。

 

「顔認証?怖そうだけど大丈夫なのかな?」

「個人情報保護はどうなっているの?」

「顔認証ってそもそも実際には何をしているの?」

 

そんな疑問に答えるべく、具体的に誰がどのような個人情報を、どのような管理方法で、またどのようなセキュリティ対策を講じて保持するのか、顔写真データや特徴量データを具体的にどのように利用し、どのような利用目的で利用するのか、外部提供は発生するのか等々、個人情報・プライバシー等への影響とその対策についての検討をしています。

まだまだPIAの実践スキームとして洗練されていないところもあるかと思いますが、いろいろなご意見を賜りながら日々努力してまいりたいと思っているところです。

 

よかったら、是非ご覧ください。

「顔認証を利用した顔パス イベント入場に関する個人情報リスク評価 DPIA・PIA(Data Protection/Privacy Impact Assessment)」

 

https://www.miyauchi-law.com/f/210812necpia.pdf

 

 

日本電気株式会社デジタル・ガバメント推進本部部長 岩田 孝一様には、本当に大変お世話になりました。岩田様のおかげで本PIAを無事完了することができました。心より感謝申し上げます。いつもありがとうございます。

 

なお、これまでも、民間企業の医療情報の取り扱いに対するPIAを実施したり、自治体の個人情報(マイナンバー以外)の取組に対してPIAを実施したり支援してきましたので、そのURLも貼っておきます。