2017年2月20日 (月)

カメラ画像利活用ガイドブックについて(2)

IoT推進コンソーシアムデータ流通促進ワーキンググループ(座長:森川博之東京大学教授)の下に設けられたカメラ画像利活用サブワーキンググループ(座長:菊池浩明明治大学教授)がとりまとめた『カメラ画像利活用ガイドブック』は、「適用ケース(2)」として、コンビニやスーパーなどの小売事業者において、来客が移動する画像を撮影し、顔画像から生成する特徴量データ、属性データや動線データ、購買行動データ生成に必要な情報を抽出したのち、速やかに撮影画像を廃棄するというものだ。個人情報となる属性データについても、店外へ出た時点で破棄することを前提にしている。

ガイドブックが想定する適用ケースは5つに分かれており、そのうち(1)と(2)が店舗内を撮影するものだ。とはいえ、この二つを片方だけ運用するとは思われず、両方を併用する店舗が大半となろう。

適用ケース(2)が適用ケース(1)と異なる点は、動線データ等を作成する必要上、顔画像等から生成した特徴量情報がそれなりに詳細になることと、その詳細なデータを、遅くとも客が店外に出るまではシステム内に保持する点である。

特徴量情報が単なる属性情報より詳細になり、個人の特定が可能なレベルになってくると、これが個人情報にあたるのかが問題となってくる。

この点、改正個人情報保護法は、「個人識別符号が含まれる」情報は個人情報にあたると規定し、「個人識別符号」の中には、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができ るもののうち、政令で定めるもの」と規定し、これを受けた改正個人情報の保護に関する法律施行令は、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置 及び形状によって定まる容貌」を「電子計算機の用に供するために 変換した文字、番号、記号その他の符号であって、特定の個人を識別 するに足りるものとして個人情報保護委員会規則で定める基準に適合 するもの」が個人識別符号に該当すると規定し、その「基準」については個人情報の保護に関する法律施行規則案が、「特定の個人を識別することができる水準が確保されるよう、適切な範囲を適切な手法により電子計算機の用に供するために変換することとする」と規定し、「適切な範囲を適切な手法」の意味については、個人情報保護委員会の定める「個人情報の保護に関する法律についてのガイドライン(通則編)」が、「顔の骨格及び皮膚の色並びに目、鼻、口その他の顔の部位の位置及び形状から抽出した特徴情報を、本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにしたもの」と定めている。

ポイントは、「個人識別符号」の定義が、法律・政令・規則と、ガイドラインとでは異なっている点だ。法律・政令・規則では、「特徴量情報が客観的に特定の個人を識別できる」ものであれば個人識別符号に該当するのに対して、ガイドラインでは、「本人を認証することを目的とした装置やソフトウェアにより、本人を認証することができるようにした」ことが絞り込みの条件として加わっている。より具体的にいうと、絞り込みの条件は「認証目的」と「…にした」の2点であるが、重要なのは「認証目的」だ。

まず問題となるのは「認証」の意味だ。法律上の「認証」は、「公的機関が人や文書の公的地位や権限等を認定すること」を意味するが、上記ガイドラインの「認証」がこの意味とは思われない。ガイドライン上の「認証」は、「コンピューターやネットワークシステムを利用する際に必要な本人確認のこと」を意味するのだろう。いずれにせよ、「さっきビールを購入した客と、いま紙おむつを購入した客が同一人物である」程度の判断を行う目的は、「認証目的」には含まれないと考えられる。そうだとすれば、適用ケース(2)のように特徴量情報を用い、本人の特定に用いない場合には、個人識別符号を収集しているわけではないから、改正個人情報保護法の適用を受けないということになる。

特徴量情報が、単に客観的な個人特定性を備えるだけではなく、「認証目的…にした」要件を満たして初めて個人識別符号になると解釈する場合、問題となりうるのは「顔写真」とのバランスだ。顔写真は、現行個人情報保護法上、鮮明なものである以上は「個人情報」に該当しうるとされており、この解釈は、改正個人情報保護法でも維持されるものと思われる。しかし、当たり前のことだが、顔写真だけで特定の本人を識別することは、大半の場合、不可能だ。識別できるのは、著名人でないかぎり、本人か、その知人に限られる。著名人ではない市井の顔写真を渡されて、「どこの誰かを特定しなさい」と命じられても途方に暮れるだけだ。だが、「この写真の人間が目の前を通ったら報告しなさい」と命じられれば対応は可能である。つまり、「さっきビールを購入した客と、いま紙おむつを購入した客が同一人物である」か否かの判断を、顔写真で行えば個人情報保護法が適用され、特徴量情報を使って行えば適用されないことになる。この結論はいかにも不自然ではないだろうか。

個人情報保護委員会策定のガイドラインが、個人識別符号に「認証目的」との限定を付したことについて、板倉陽一郎弁護士は「(規則の)文言解釈の限界を超えている」と批判している(Business Law Journal 201612月号)。しかし、個人情報保護委員会の定めたガイドラインである以上、これを覆しうる機関は事実上存在しない。個人情報保護法という「業法」の限界といえるだろう。

| | コメント (0) | トラックバック (0)

2017年2月13日 (月)

万引き犯写真の公開について

2月8日の毎日新聞によると、千葉市内の大手コンビニ店舗で、客の防犯カメラ画像に「万引き犯です」と書き加えたポスターが、2週間にわたり店内に張り出された。コンビニ本社は、外部から本社への指摘により、店舗に指示して剥がさせたという。

同日の産経新聞によると、神戸市のコンビニでも、「数カ月前から店内のトイレ付近に約20枚の(万引犯の)画像を張り出していた」という。

今回のコンビニの行為は、法律的に許されるのだろうか。

小野智彦弁護士は、「それくらいの見せしめは必要だと思いますし、貼り出した店側が法的責任を問われることはないと考えます。」と述べ、法律的には問題ないという見解だ。同弁護士によれば、名誉毀損の問題にはなりうるが、「誰が見ても万引き犯だと特定できるような不審な行動」が防犯カメラに写っていた場合には、名誉毀損の罪にも賠償責任にも問われないという。

一方、甲南大学法科院教授でもある園田寿弁護士は、名誉毀損の正当化事由である①公益性②公益目的③真実性の証明のうち、②公益目的を満たさない可能性があると指摘する。自力救済としても正当化できないし、「被害者自らが被害回復を行うことを無制限に認めることには、制度的なパニックを引き起こす危険性」すらあると述べる。

私は、今回のコンビニの行為は、違法ではないと考える。もっとも、社会的あるいは倫理的批判に値するか否かは別問題だ。

たとえば、営業時間外の店舗で侵入盗事件が発生したとする。店の防犯カメラには、レジから現金を取り出す瞬間の犯人が撮影されていた。店が、この写真を警察に提出するほかに、店舗の外壁に張り出した場合、この行為は違法になるだろうか。違法とする弁護士は、ごく少数と思われる。

この設例が違法にならないとするならば、冒頭のコンビニの事例は、「万引の瞬間が撮影されているか、または誰が見ても万引き犯だと特定できるような不審な行動が撮影されている場合」であるかぎり、違法にならないと考えるほかない。双方の店主の内心には、被害回復という私的目的や復讐心も含まれているかもしれないが、だからといって、「専ら公益を図る目的」がないとはいえないので、名誉毀損にはあたらないと考える。

では、犯人が逮捕され被害が回復された後も顔写真を張り出すことはどうか。報道によると、どこかの鮮魚市場では、「私は万引をしました」と書いた札を掲げた万引現行犯人の写真が複数枚掲示されているという。

この場合、改正個人上保護法(5月20日施行予定)が、「犯罪の経歴」を要配慮個人情報として特段の保護の対象にしていることは、同法が業法であって刑法上民法上の適法違法と直接の関係がないとはいえ、参考にされるべきであろう。他方、犯人検挙後の写真掲載であっても、同種犯罪の防止という公共性や公益目的はあろう。また、最高裁判所は、児童買春禁止法違反罪で略式命令を受けた男性が、氏名を検索すると表示される逮捕記事の削除をgoogleに求めた訴えを退けた。「(記事の削除請求は)当該事実を公表されない法的利益が優越することが明らかな場合」に限り認められるとする判決文から推測すると、万引犯の写真を逮捕後も当該店舗に掲示する限度においては、違法とされない可能性がある。

ところで、今回のコンビニ事件と類似したものとしては、2014年の8月、中古ショップ「まんだらけ」が万引犯の顔写真をネットに公開し、商品を返却しなければモザイクを外すと発表し話題になったことがある。このときは、警察の要請に基づき公開は行われなかった。また、2月9日の朝日新聞によれば、東京都のメガネ販売店が、万引犯と思われ男性の画像をホームページに掲載し、警察に出頭するか弁償しなければモザイクを外すと警告しているという。

これらの事例は、ネットでの公開である点が、コンビニ事件とは異なる。公開範囲が広い分、被撮影者の名誉やプライバシー権等に対する侵害が強いといえるが、検挙前である限り、犯人検挙という公益目的が認められるので、違法とまではいえないように思う。

もっとも、そう考えるなら、なぜ警察はモザイク外しの中止を要請したのか、が問題となる。おそらく、警察が守ろうとしたのは、被撮影者の人権ではない。「犯罪の捜査と検挙は警察が独占する」という価値観そのものと思われる。悪く言ってしまえば「縄張り意識」にほかならないが、この価値観が、わが国の秩序なり治安なりを守ってきたことも事実であろう。この価値観から、万引犯人写真の公開を批判する見解は、尊重に値するけれども、この批判は、あくまで社会的倫理的批判であって、法的批判(=違法だと批判すること)とはいえないだろう。

万引犯人の写真を公開することの是非をめぐる論争は、一見法的論争のように見えるが、その本質は、犯罪捜査を専ら警察に任せるべきなのか、被害者自身もある程度やってもよいのか、という社会政策的倫理的な問題に存する。その意味では、「(万引犯写真の公開を許すことは)制度的なパニックを引き起こす危険性がある」とする園田寿弁護士の指摘は、正鵠を射ていることになろう。

 

| | コメント (2) | トラックバック (0)

2017年2月 6日 (月)

カメラ画像利活用ガイドブックについて(1)

IoT推進コンソーシアムデータ流通促進ワーキンググループ(座長:森川博之東京大学教授)の下に設けられたカメラ画像利活用サブワーキンググループ(座長:菊池浩明明治大学教授)がとりまとめた『カメラ画像利活用ガイドブック』が公開された。

このガイドブックは、主に以下の類型のカメラによって撮影された画像の利活用について、運営主体が行うべき準則を規定している。いいかえれば、下記の具体的事例に則したガイドブックであって、汎用性のあるものではない。

(1)閉ざされた空間(店舗等)に設置されたカメラで、入出の時点で、画像を取得し、特徴量データを抽出した後、速やかに撮影画像を破棄するもの。
(2)閉ざされた空間(店舗等)に設置されたカメラで、空間内を移動する画像を取得し、動線データの生成に必要な座標値を抽出した後、速やかに撮影画像を破棄するもの。
(3)屋外に向けたカメラで、通行する物体を、人・車等を識別し、カウントした後、速やかに撮影画像を破棄するもの。
(4)屋外に向けたカメラで、街中の看板・交通標識、及び道路の混み具合を識別し、これらの情報を抽出した後、速やかに撮影画像を破棄するもの。
(5)準公共空間(駅改札等)に設置されたカメラで、通行する人物を撮影し、アイコン化処理の後、速やかに撮影画像を破棄するもの。

筆者も上記サブワーキンググループのメンバーであったが、全4回の会議のうち最初と最後の2回にしか出席できず、内容の策定にはあまり関われなかった。そこで、罪滅ぼしというわけではないが、このガイドブックについて、コメントをしておきたい。

まず「適用ケース(1)」は、コンビニやスーパーなどの小売事業者において、来店者の人物属性(年齢・性別)を判別し、店内での平均滞在時間やレジ到達人数を予測し、従業員の効率的なオペレーション(レジが混雑しない時間帯にフロア業務を行うなど)を図る、という使用方法である。このケースにおいては、入店時の画像から属性に関する特徴量データを抽出し、速やかに撮影画像を破棄する、という。

適用ケース(1)の場合、顔画像から抽出される特徴量情報は性別や年齢(正確には年代であろう)といった抽象的なものであり、個人特定不能であるから、個人情報にはあたらない。プライバシー権の侵害にもあたらないと考える。

ここで議論になったのは、抽出する属性に人種を含めてよいか否かであった。私は含めてよいし、今後来日外国人が増えることを踏まえると含めるべきだと主張したが、大勢は反対だったようだ。反対の理由の一つは、人種が改正個人情報保護法の規定する要配慮情報に該当することにあった。だが、個人特定不能な情報なら、人種も個人情報にはあたり得ないのだから、要配慮情報に該当することもあり得ない。反対の意見として、「人種を理由に対応を変えることは、人種による差別につながるから許されない」というものがあった。それなら、性別による差別も許されないのだから、男女の属性をとるのも許されないとしなければ一貫しない。また、そもそも、店内の混み具合を予測して「店員の効率的なオペレーションを図る」というなら、来店人数だけ数えればよく、なぜ性別年代などの属性情報を抽出するのか、分からない。たとえば「女性は一般に滞在時間が長い」などの前提があるのかもしれないが、もしそうなら、外国人客の滞在時間も一般的には長いだろう。

適用ケース(1)には、「入り口で属性を取るだけで本当によいのか?」という問題もある。このケースでは「店内滞在時間」を計るというのだから、本来出店時も撮影し、突合しなければ滞在時間は計れない。あるいは、出店時は撮影せず、レジで店員が入力した客の属性情報と突合すればよく、何も買わずに出店した客は無視するという考えかもしれないが、この場合、入店時のコンピューターによるによる属性分類と店員の入力属性とが齟齬する、という問題が発生する。これを防ぐためには、レジでも撮影を行いコンピューターで属性分類を行う必要があるが、そのためには、特徴量情報を突合可能なレベルで残しておく必要がある。実際には、大概の店舗はそうするだろう。そうなると、「適用ケース(1)の特徴量情報は個人情報ではない」という前提が崩れる可能性が出てくるから、個人情報にあたる場合、あたらない場合に関する考察が必要になる。

以上をまとめると、適用ケース(1)は、設例としてやや中途半端感が否めない、ということになろう。

他の問題もあるが、それは適用ケース(2)に関する考察で触れることにしたい。

| | コメント (1) | トラックバック (0)

2016年9月26日 (月)

顔認識技術による購買履歴の収集について

20151125日の日本経済新聞電子版は、「生体情報は仕事を変える(中)会員カードより安く安全 『顔認証』で購買行動を捕捉」と題して、作業衣、工事・工場用品専門店の取り組みを紹介している。

記事によると、店舗では「ビデオカメラ作動中」と断ったうえで、レジ後方のカメラで顧客の顔写真を自動撮影し、50桁の数値に置き換えたうえ、購買品と紐付けて保存する。後日、同じ顧客が来店し、顔写真から生成された数値が一致すれば、その人の購買履歴が判明する。この店舗は、専門性が高く、ヘビーユーザーが多いことから、収集した購買履歴を分析してマーケティングに生かすという。

経営者によれば、購買履歴の把握は、会員カードによっても可能だが、「会員カードはコストがかかる上、漏洩防止など個人情報管理負担が大きい。顔認証を使った場合、画像データはすぐ消去するから、情報漏洩の心配もない」とのことだ。

このシステムは違法だろうか。

深く考えると複雑な問題があるのだが、まずは、教科書的な解説を試みよう。

第一に、「顔画像データから生成した50桁の数値は個人情報ではない」という理解は間違いである。

この数値は、「特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの」にあたるから、改正個人情報保護法上、「個人識別符号」と定義され、個人情報に該当するとされている。改正個人情報保護法は現時点で未施行だが、現行法の解釈上も、かかる数値が個人情報に該当することについては、現時点で争いがないところと思われる(この点は、筆者も関与したJR大阪駅問題に関するNICTの検討委員会で問題となり、個人情報に該当するとの結論に至った)。したがって、上記50桁の数値は、れっきとした個人情報であるから、現行法上も、保有者は個人情報取扱事業者に該当する限り、法定の管理義務を負う。「会員カードを使った顧客管理より『安くて安全』ということはないのだ。

第二に、この店舗は個人情報保護法上問題なければよい、と理解しているようだがこれも間違っている。個人情報保護法に違反しているか否かと、顧客のプライバシー権という民法上の権利を違法に侵害しているか否かは別問題だ。

ちなみに、ここで問題となるプライバシー権は、肖像権ではない(肖像権が全く問題にならないとは言わないが、撮影された画像データが直ちに消去される限りにおいて、法的に問題とするほどの侵害はないとみてよいと考える)。問題となるのは、「購買履歴」、すなわち、いつ何を買ったか、という情報をみだりに知られない、という利益である。

人には、他人に知られても差し支えない購買履歴もあれば、知られたくない購買履歴(エ○本とか、避○具とか)もある。これらの購買履歴は、みだりに他人に知られないことを法的に保護された法的権利であるといえる。ところが、上記システムを導入した店舗では、一度顔情報を登録されれば、過去の購買履歴はもちろん、未来にわたって、すべての購買履歴を把握されてしまうことになる。

店舗が顧客の購買履歴を知る方法としては、たとえば会員カードがある。会員カードは、購買履歴というプライバシー情報と引き替えに、ポイントとか割引とかという便宜を受けるシステムだ。つまり会員登録する顧客は、プライバシー情報を売り渡すかわりに対価を得ていることになる。また、会員であっても匿名性を保ちたいときは、会員カードを提示せずに買い物することができる。ところが、上記システムは、顧客の便益や選択肢を一切考慮せず、一方的に購買履歴というプライバシー情報を取得するものである。しかも、顧客にはその店舗で匿名性を保つ手段がない。したがって、このシステムは、顧客のプライバシー権を違法に侵害していると言わざるを得ない。

第三に、「ビデオカメラ作動中」と断ればよい、という理解が間違っている。この表示は、社会通念上、万引防止目的の撮影と理解されるから、この断り書きでマーケティングに利用することは目的外利用である。また、上述したプライバシー権との関係で見れば、「ビデオカメラ作動中」では足りないことは明白だろう。民法上適法といえるためには、「この店舗では顔認証システムを用いてお客様の購買履歴を収集しています」と明示するべきである。

以上により、上記システムは、教科書的解説に従う限り、明らかに違法と考える。

| | コメント (5) | トラックバック (0)

2016年9月 5日 (月)

万引き常習犯検知のための顔認証システムについて

2015年11月20日付日本経済新聞電子版に、ジュンク堂書店池袋本店で実施されている万引き防止のための顔認証システムが紹介された。記事によると、土日には5万人が来店する同店では、2014年6月以来の1年間で約500人の「万引常習者」の顔データを蓄積しており、怪しい客が来店すると、店内を巡回する保安員に画像を送信。保安員は送られてきた画像と目視した客が同一人物か否かを判断して監視する仕組みとのことだ。記事の最後には、「万引を繰り返す常習犯の取り締まりに、顔認証システムは絶大な効果をもたらす」という店長のコメントが掲載されている。

この記事は、ジュンク堂池袋支店をプチ炎上させたらしい。twitter上では賛否両論がまとめられているが、批判のtweetとしては、「ジュンク堂さん、これはやめてください。司法機関でもないのに犯罪者認定するのは人権侵害になり得ます」といったものがある。

このシステムは違法だろうか。

まず、録画しない撮影について考えてみる。書店が、売り場内に防犯カメラを設置して来店客を撮影(モニタリング)することについて、法律家の多くは、基本的に(カメラの設置方法などについて問題がない限り)適法と回答するだろう。適切な警告文の掲示を条件とするとの見解もあろうが、そうだとしても、「防犯カメラ設置中」程度の文言で足りよう。弁護士の中には、公道に設置された防犯カメラは違法と考える者もいるが、その立場に立ったとしても、書店は私的な空間であり、オーナーの施設管理権が及ぶから、公道と同視することはできない。

では、警備員が防犯カメラ画像をモニタリング中、万引を目撃したとして、その様子や万引犯の顔画像を録画し保存することはどうか。これが適法であることに異論はないだろう。最近の防犯カメラは常時録画しているが、たとえば営業時間終了後に万引き映像を発見した場合、当該映像を他の映像から切り離して保存する(他の映像は一定期間経過後消去する)ことも適法と考える。

次に、「万引犯」の画像を保存しておいたところ、当人と思われる者が来店した場合、その事実を保安員に連絡するなどして監視することは適法か。これが適法であることについても、異論はないと思われる。

このように見てくると、何の問題もないように見える。ではなぜ炎上したのだろうか。もう少し、報道されたジュンク堂での運用実態に迫って検討してみよう。

第1に、記事によれば、このシステムは、来店客全員の顔画像を数値に変換し、保存してある「万引常習者」リストと突合する仕組みになっている。この過程では、万引犯であると否とにかかわらず、来店客全員の顔画像と、そこから作成された顔認証情報が、店側に保存される。顔画像や顔認証情報は、いずれも個人情報に該当するし、プライバシー情報にもあたるから、店側がこれを保存するには、一定の正当事由が必要だ。この点は記事上詳らかにされていないが、「万引常習者」リストと突合後、該当しなければ速やかに削除されるという前提であれば、適法と認めてよいと考える。また、万引犯リストと突合し、犯人の疑いありと分類された場合であっても、実際に確認して別人であると分かれば、その人の顔画像や顔認証情報は、速やかに削除されなければならない。

第2に、店側に保存された「万引常習者」リストに問題はないのだろうか。上述したとおり、当該リストが、実際に万引を行っている画像であれば、問題はない。問題は、実際の運用上は、「万引をしたと疑われるが、断定まではできない」客の画像がリストに登録されてしまう点にある。この点については、結論として、「万引きしたと合理的に疑われる画像」である限りにおいて、適法と考える。これをジュンク堂書店についてみると、システム導入後1年間に登録された「万引犯」は約500人という。一日平均2万人来店するとして、延べ約700万人中の500人だから、登録率は1万分の1以下となる。この程度であれば、登録されているのは「万引きしたと合理的に疑われる画像」であるとみてよいように思われる。これは店が客の人権に配慮したというより、「疑わしい画像」を何でもかんでも登録したのでは、ハズレの警報が頻発し、システム自体の信頼性が無くなってしまうという、運用上の必要性に基づくものと思われる。

第3に、記事によれば「監視カメラで撮影していることを来店客に伝える張り紙がある」とのことだが、上記のような照合システムを運用するにあたり、この程度の文言で足りるだろうか。足りないとする立場に立てば、たとえば、「当店はお客様の顔画像を万引犯リストと照合するシステムを運用しています」との文言が必要となろう。確かに、当該システムは単なる監視にとどまらず、来店客の顔画像を万引犯リストと照合する点で特異性があるから、この点を告知する必要はあると思われる。

| | コメント (11) | トラックバック (0)

2015年2月16日 (月)

NICTのJR大阪駅実証実験に関する調査報告書について(8)

独立行政法人情報通信研究機構(NICT)が公表した『大規模センサー実証実験調査報告書』について、執筆者の一人という立場から、考えを述べる。これは委員会の総意ではなく、個人的見解であることをあらかじめお断りする。

 

個人情報保護法は、個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定める。

この中で、いま問題にするのは「…記述等により特定の個人を識別することができるもの」という部分だ。

技術検討WGは、この部分に関して、「識別」(誰か一人の情報であること)と「特定」(誰であるかがわかること)という基準を立て、この二つの基準が導く組み合わせのうち、「識別特定情報」のみを個人情報とするのが従来の議論であるとしつつ、「識別非特定情報」をも法的保護の対象とするべきだという主張を展開した。

しかし、この主張は立法論として傾聴に値するとしても、現行個人情報保護法の解釈論としては成立しえないことは、すでに述べたとおりである。

したがって、本件実証実験において生成される「特徴量情報」が現行個人情報保護法上の「個人情報」に該当するか否かは、技術検討WGの定立した基準とは別の、解釈論を用いて検討すべきことになる。

ところで(顔の)「特徴量情報」とは、撮影された実在の人物の顔画像と、「平均顔」とを比較して、その差分を数値化したものだ。差分とは、たとえるなら、「目と目の間の距離は平均顔より1ポイント短い」「右眉の起点は平均顔より3ポイント下」といったもので、現在の技術水準では顔画像一つにつき100箇所程度で差分を取るらしい。100箇所とは多いと思う人がいるかもしれないが、NICTの説明では、特徴量情報から元画像を再現することはできない。無理矢理再現しても、非常にぼんやりした画像しか生成できないから、人間が見ても、誰の顔かを判別することはできない。しかし、特徴量情報を与えられたコンピューターは、同じ人が再び現れれば、その人を見分けることができるし、他の人と混同することも(理論上は)ない。

法律的なポイントは、「元画像は再現できないが、同一人が再び現れれば、コンピューターには見分けがつき、人間にはできない」点だ。これをもって「特定の個人を識別することができる」といえるかどうかが問題となる。

価値判断としては、「同一人が再び現れれば、見分けがつく」という点において、「特徴量情報」は「顔画像」と差異がない。したがって、顔画像が個人情報であるなら、特徴量情報も個人情報というべきであろう。「コンピューターには見分けがつくが、人間にはできない」からといって、個人情報該当性を否定するのは、デジタルネットワーク時代の現状を無視した見解というべきであろう。

 

| | コメント (1) | トラックバック (0)

2015年1月26日 (月)

NICTのJR大阪駅実証実験に関する調査報告書について(7)

独立行政法人情報通信研究機構(NICT)が公表した『大規模センサー実証実験調査報告書』について、執筆者の一人という立場から、考えを述べる。これは委員会の総意ではなく、個人的見解であることをあらかじめお断りする。

 

報告書は、画像データが消去された後の「特徴量情報」は、識別非特定情報だから個人情報ではない、と述べた。この理解は、「識別」(誰か一人の情報であること)と「特定」(誰であるかがわかること)という基準を立て、「識別特定情報」のみが個人情報であるとする内閣府IT総合戦略本部パーソナルデータに関する検討会の技術検討WGの立場と同じである。しかし、この基準によると、氏名や住所は識別性を欠くから個人情報ではなくなるし、顔画像は特定性を欠くから個人情報ではなくなることになって、個人情報に関する従前の理解と矛盾することになる。

それでは、技術検討WGは何故このような基準を立てたのだろうか。

技術検討WGの構成員ではないが、当委員会の委員である高木浩光氏のプレゼン「個人識別性の再考と法改正に向けた提案」(20131222日)によると、このプレゼンは技術検討WGの「識別」「特定」基準を紹介したうえで、「従来は、識別非特定情報は個人情報でないとされてきた」として、いくつかの例を紹介して批判し、結論としては「識別非特定情報を保護する必要性」があると主張している。なお、紹介された「個人情報ではない識別非特定情報」としては、「RFIDタグの固有番号でトラッキングして集積される情報」や、「車両のナンバープレート番号」、「クッキー技術を用いて生成された識別情報」「契約者固有ID」といった、経産省・総務省もしくはその諮問機関となる研究会の見解が挙げられている。

この文脈から推定するに、高木氏は、上記の例で個人情報ではないとされた情報のうち、ある種の情報を保護する必要がある、と主張する文脈の中で、「識別非特定情報」という概念を持ちだしたことが分かる。

だが、高木氏が批判する経産省・総務省や、その研究会が、「識別」(誰か一人の情報であること)と「特定」(誰であるかがわかること)という基準に従い、かつ、「識別非特定情報は個人情報ではない」という判断をしていたのか否かは、当の本人以外、誰も分からないことだ。いいかえるなら、「おい、識別非特定情報を個人情報ではない、という君の考えは、グローバルスタンダードに合わないぞ」と批判しても、「いや、識別非特定情報が個人情報ではない、などという基準で仕事してませんから」と返されてしまえばおしまいの議論をしていることになる。

新保史生慶應技術大学総合政策学部教授は、『自由と正義』201412月号の特集記事「パーソナルデータの利活用を促進するための枠文の導入等」において、「(技術検討WGによる)分類は、現行の個人情報保護法が『特定の個人』の『識別』をもって個人情報に該当するとしている解釈とは異なるものであり、『今後における議論のために別概念の定立を新たに試みたものとみるべき』[1]との指摘のとおりである。」と述べているし、その通りだと思う。

新保教授らの見解に従うなら、技術検討WGによる分類は、現行個人情報保護法の解釈論ではない、ということになる。そうだとすれば、本件実証実験が現行個人情報保護法に違反するか否かを検討する際の基準として、技術検討WGによる分類を持ち出すのは、論理的に間違っているという結論になる。

 



[1] 岡村久道「パーソナルデータの利活用に関する制度見直しと検討課題(中)」NBL102070頁(2014年)

続きを読む "NICTのJR大阪駅実証実験に関する調査報告書について(7)"

| | コメント (1) | トラックバック (0)

2015年1月 5日 (月)

ウェアラブル端末と「洗練された奴隷制」について

2015年は、ウェアラブル端末が本格的に普及する年ともいわれている。とはいえ、まず普及するのは産業用の端末だろう。すでに一昨年の放送だが、201311月のNHKクローズアップ現代 ウェアラブル革命~”着るコンピューター”働き方を変えるでは、二つの産業用ウェアラブル端末を紹介していた。

一つは、ムラタシステム株式会社販売する手術準備支援システムである。放送によれば、一回の手術に必要となる医療器具は、50種類、100点以上に及ぶため、その準備は、看護師の大きな負担であったという。そこでこのシステムは、メガネに装着されたディスプレイで医療器具の名称と保管場所を指示し、目的の器具を右手に装着したバーコードリーダーで読み取り確認することにより、医療知識を全く持たない派遣労働者による手術器具の準備を可能にした。取材された派遣労働者の女性は、装着したウェアラブル端末を「先生」と呼んでおり、京都第二赤十字病院医療情報室長の田中聖人医師は、「経験の無い方でも、やっていただけるようなシステムを作ることで、プロフェッショナルの方の仕事が少し楽になる。スキルのある方、資格のある方には、それを生かすほうにシフトしていただきたい。」と述べていた。

もう一つは、日立製作所が開発した「Business Microscope」というシステムである。見かけは首からぶら下げる社員証のようなもので、「従業員が座ったり、立ったりする動作や、歩く速さを計測できる加速度計、従業員どうしの位置関係や会話を把握できる、赤外線センサーなどが組み込まれており、この端末を身につけることで、従業員が社内のどこで、どんな仕事を、どれくらい集中して行っていたのか、誰が誰に話しかけ、会話がどれくらい盛り上がり、何分間、話をしていたのかまでもが計測できる」という。取材された女性の従業員(SUICAと書かれたカードをぶら下げていることから、JR東日本関係の人材派遣会社か)は、「ちょっと恥ずかしいっていう部分が、正直あるんですけれども、そのあたりは、ちゃんと情報の管理とか、ちゃんとしていただいていると思いますし…。」「会話を聞かれるわけじゃないんで、監視っていう感じはしないです。」と答えているし、これによって、従業員がお昼休みの休憩時間をバラバラに過ごすよりも、同僚と一緒におしゃべりをして楽しく過ごした方が、業績の上がることが発見されたとしている。しかし、国谷裕子キャスターと、ゲストの黒崎政男東京女子大学教授は、プライバシーとの関係について、懸念を隠せないという趣旨のコメントをしていた。

法律的な観点から見てみると、まず、ムラタシステム社の「手術準備支援システム」について想定されるリスクとしては、プログラム等の欠陥により、誤った手術器具が用意されてしまったことがありえよう。この場合には、メーカーが契約上または製造物責任法上の法的責任を負うことがありうる。もっとも、このシステムの方が、人間が準備するより効率的で、ミスも少ないということであるならば、製品そのものを排除する理由にはならない。

もっとも、このビデオを見て感じることは、コンピューターと人間の関係が逆転し、人間がコンピューターに使われていることに対する違和感である。この点は、派遣社員がウェアラブルデバイスを「先生」と呼んだことに象徴されていよう。システムを導入した病院の担当医師が、利点として「プロフェッショナルの仕事が楽になること」「スキルや資格のある人が、それを生かす職制にシフトできること」を挙げているが、この言葉はそのまま、プロでない人、スキルや資格のない人に跳ね返ってくる。すなわち、プロフェッショナルとなる人間がコンピューターに命令し、コンピューターがスキルのない人間に命令するヒエラルヒーだ。ややセンセーショナルな表現を許していただけるなら、洗練された奴隷制とでもいうべきシステムと言えよう。

次に、「Business Microscope」は、休憩時間を含む勤務時間中における従業員の行動履歴を丸ごと把握する点で、「職場監視」にあたるのではないかとの問題が生じる。この点に関する法令は存在しないが、経済産業省が策定した個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」(平成21年10月9日厚生労働省・経済産業省告示第2号)には、【従業者のモニタリングを実施する上での留意点】として、次の点が定められている。

 モニタリングの目的、すなわち取得する個人情報の利用目的をあらかじめ特定し、社内規程に定めるとともに、従業者に明示すること。

 モニタリングの実施に関する責任者とその権限を定めること。

 モニタリングを実施する場合には、あらかじめモニタリングの実施について定めた社内規程案を策定するものとし、事前に社内に徹底すること。

 モニタリングの実施状況については、適正に行われているか監査又は確認を行うこと。

また、ガイドライン上には、「雇用管理に関する個人情報の取扱いに関する重要事項を定めるときは、あらかじめ労働組合等に通知し、必要に応じて、協議を行うことが望ましい。また、その重要事項を定めたときは、労働者等に周知することが望ましい」との記載がある。

いずれにしろ、このガイドラインは法令ではないから、法的効力は存在しない。したがって、ガイドラインに従って端末の装着を義務づける就業規則を設けたとしても、拒否する従業員に対して装着を命じることができるか、あるいは、装着拒否を理由とした懲戒や、雇用契約の更新拒絶が許されるか、といった法的問題は残る。非常に難しい問題だが、少なくとも、休憩時間中の従業員に端末を装着する法的義務はない筈だし、休憩時間中における従業員同士の私的なコミュニケーション状況を雇用主が把握することについては、プライバシー権侵害の疑いが濃いように思う。

 

 

 

| | コメント (0) | トラックバック (0)

2014年12月25日 (木)

NICTのJR大阪駅実証実験に関する調査報告書について(6)

独立行政法人情報通信研究機構(NICT)が公表した『大規模センサー実証実験調査報告書』について、執筆者の一人という立場から、考えを述べる。これは委員会の総意ではなく、個人的見解であることをあらかじめお断りする。

 

個人情報保護法は、個人情報を「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう」と定義する。

この定義が本来予定していた「個人情報」とは、私の考えで一例を挙げれば、このようなものだ。

 

「マリナーズのイチロー選手は、2004101日、本拠地セーフコ・フィールドで迎えたテキサス・レンジャーズ戦で、84年間破られることのなかったジョージ・シスラーのメジャー歴代シーズン最多安打記録の257安打を更新した。」

 

内閣府IT総合戦略本部パーソナルデータに関する検討会の技術検討WGの佐藤一郎主査は、「識別」(誰か一人の情報であること)と「特定」(誰であるかがわかること)という基準で情報を分類し、「氏名、住所、顔画像」は個人情報だが、パスポート番号、クレジットカード番号や指紋は個人情報ではない、とした。

だが、この定義に従えば、「スズキイチロー」は明らかに個人情報ではない(同じ読みの氏名は多数いるから識別性がない)し、「イチロー」も個人情報ではない。だが、「マリナーズのイチロー」となれば、俄然、個人情報となる。そして、上記の例で特に注目していただきたいのは、「マリナーズのイチロー」という部分を削除しても、この記載は、個人情報性を全く失わない、という点だ。

この例が示すように、氏名や住所、生年月日等のバラバラの情報は、もともと、個人情報保護法の立法者が想定する「個人情報」ではなかった、という点は、留意しておく必要があるように思う。立法者の感覚では、このようなバラバラの情報が、それだけで、誰かの情報だと特定されることはなかったのだ。個人情報保護法の文言上も、氏名や住所等のバラバラの情報は、誰か特定の人の情報と識別するための情報と位置付けられている。

もとより、氏名や住所などの識別情報は、バラバラだからと言って、直ちに個人情報性を失うわけではない。歴史的な視点から見ると、かつては、バラバラの識別情報だけで、それが特定個人の情報であるとされることはなかったが、デジタル・データベース社会の到来と発展によって、バラバラの識別情報だけでも、特定個人の情報とわかることが可能となった、ということなのだ。

一言で総括すると、情報技術の進歩に法律が追いついていない典型例ということになるのだろう。この状況が、個人情報保護法の解釈に混乱を及ぼしているともいえる。

 

| | コメント (1) | トラックバック (0)

2014年12月 9日 (火)

NICTのJR大阪駅実証実験に関する調査報告書について(5)

独立行政法人情報通信研究機構(NICT)が公表した『大規模センサー実証実験調査報告書』について、執筆者の一人という立場から、考えを述べる。これは委員会の総意ではなく、個人的見解であることをあらかじめお断りする。

内閣府IT総合戦略本部パーソナルデータに関する検討会の技術検討WGの佐藤一郎主査は、「識別」(誰か一人の情報であること)と「特定」(誰であるかがわかること)という基準で情報を分類し、「氏名、住所、顔画像」は個人情報だが、パスポート番号、クレジットカード番号や指紋は個人情報ではない、とした。

確かに、パスポート番号やクレジットカード番号は、識別性はあるが、その数字を見ただけでは誰の情報であるかは分からない、といえる。しかし、この分類で行くなら、氏名や住所だって、同姓同名や同居人がいる以上、識別性がないから個人情報とは言えないのではないか、という疑問が出てくる。

ところで、佐藤主査は、「氏名、住所」と並べ、個人情報として「顔画像」を挙げている。では、「識別性」「特定性」の基準を適用すると、「顔画像」は個人情報なのだろうか。

「顔画像」は、おそらく個人情報保護法制定当初より、「個人情報」に該当するとされてきた。たとえば総務省のWEBサイトには、「映像から特定の個人を識別することができる場合には、個人情報に当たりますが、識別できない場合には当たりません。テープに記録された音声情報も同様です」とある。世界には瓜二つの人間が三人いると言われているし、解像度等が不十分であれば、見分けがつかない場合もあろうが、とりあえずそういった点を割愛すれば、十分に鮮明な顔写真であれば、識別性(誰か一人の情報であること)はある、と言ってよいだろう。つまり、「氏名」や「住所」と異なり、「顔画像」には識別性があることになる。

では、「特定性」(誰であるかがわかること)はどうだろうか。もちろん、知り合いの顔画像であれば、誰であるかは分かる。だが、知らない人の顔画像であれば、それを見せられたところで、誰であるかは分からない。氏名も住所も分からないし、勤務場所も生年月日も分からない。「そういう顔の人」ということが分かるだけだ。いいかえるなら、例えばあなたが犯罪の目撃者となり、警察から容疑者の写真を何枚か見せられたとき、一枚の写真を指さして「犯人はこの人です!」と叫ぶことはできるが、その写真に写っているのが誰かを証言することはできない。

では、顔画像は、識別性はあっても特定性はないから、個人情報ではないというべきだろうか。賛成する人は、おそらく少数だろう。そうだとすれば、「特定性」を「誰であるかが分かること」と定義したことが問題とも考えられる。たとえば、「誰であるかが分かる」ということの意味は、「氏名が分かる」ということではなく、「後に同種の情報を複数示されたとき、その中から当該情報を指示することができる」ことである、と定義し直せば、顔画像は識別性と特定性があるから、個人情報に該当する、ということになろう。

だが、この新定義に従えば、佐藤主査が「グレーゾーン」に分類した、パスポート番号、クレジットカード番号や指紋は、個人情報に含まれることになる。

考えれば考えるほど、「識別性」「特定性」という物差しの適用範囲に混乱が深まるばかりである。こうまでぐちゃぐちゃになってくると、そもそも、「識別性」「特定性」という切り分けで個人情報を定義する、というアプローチの妥当性を疑う必要が出てくるように思われる。

| | コメント (1) | トラックバック (0)

より以前の記事一覧