目次
第1章 DXで変容する社会
第2章 ケーススタディ
1 ケース1-顔認証データを活用したDX
2 ケース2-紙資料の電子データ化
3 ケース3-仮名加工情報への加工による利活用
第3章 おわりに
第1章 DXで変容する社会
最近、「DX」という言葉を耳にする機会が増えました。DXとは、デジタルトランスフォーメーション(Digital Transformation)の略語です。トランスフォーメーションとは、日本語では「変革」と訳されることが多く、「今まであったものを大きく変える」といったニュアンスがあります。
デジタルトランスフォーメーションにおいて目指すべきことは、ITの活用によって、「製品・サービス・ビジネスモデル」を変革し、さらには、「業務そのもの・組織・プロセス・企業文化・風土」を変革することです。
最近DXブームが起きている背景には、経済産業省による「2025年の崖」問題への取組みがあります。「2025年の崖」問題とは、IT人材不足が深刻化している一方で、2025年までに従来型のシステムの老朽化が進んで管理コストが増大し、国際的なデジタル競争の敗者となっていくのではないかという問題です。このような課題を乗り切るために、経済産業省が力を入れているのが、2025年までにIT人材不足を解消して集中的な新規システムの刷新を図ることです。このような流れのほか、IoTやAIの普及、働き方改革、テレワーク推進といった様々な理由が重なって、DXブームにつながっていると考えられます。
DX促進の課題の1つが、データの利活用です。新規にデータを収集することだけでなく、既存のデータを分析してマーケティングに活用したり、企業間でデータ連携をしたりと、様々な利活用が考えられます。ただ、データの利活用には、個人情報保護法上の課題もあります。パーソナルデータを当初想定していなかった方法で利活用すると、個人情報保護法違反に問われるおそれがあるからです。
このコラムでは、業務のDX化において個人情報保護法に留意すべきポイントを、ケーススタディを交えてご紹介します。
第2章 ケーススタディ
ケース1-顔認証データを活用したDX
芦屋百貨店では、お客様の店内の移動の流れについて、性別や年齢層によってどのような違いがあるかを分析するために、店内に多数のカメラを設置して、次のようなシステムを導入しました。
(1) 店舗の入り口に、コロナ対策のためにサーマルカメラを設置し、お客様がサーマルカメラで体温を測定する際に、顔認証データを取得します。
(2) 顔認証データを取得する際に、AIでお客様の性別と年齢層を取得します。
(3) 店内の多数のカメラでもお客様の顔認証データを取得して、来店時に取得したデータと突合します。それにより、お客様がどのような経路で店内を移動しているかを推定します。
(4) 顔認証データは短時間で消去し、性別・年齢層・移動経路の情報のみを保存します。
(1) 個人情報の洗い出し
このケースを検討するうえで第1に取り組むべき課題は、個人情報の取扱いに該当するものを明確にすることです。
「個人情報」という言葉は、あまりに身近すぎて曖昧に使いがちです。しかし、「個人情報とは何か?」は、個人情報保護法の中でも難しいテーマです。まずは、「個人情報」の定義を正確に確認しながら、このケースで個人情報の取扱いに該当するものを洗い出す作業から始めましょう。
(a)「個人情報」の定義
個人情報保護法に定められる「個人情報」の定義を整理すると、おおむね次のとおりです。
i. 生存する個人に関する情報であって
ii. (α)または(β)に該当するもの
(α) その情報に含まれる記載・データにより特定の個人を識別することができるもの
(β) 個人識別符号が含まれるもの
このうち、特定の個人を識別することができるについては、「他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの」も含むとされています。
(α)と(β)については、まずは(β)の要件を満たすかどうかを検討し、(β)の要件を満たさないのであれば、さらに(α)の要件を満たすかどうかを検討する流れが分かりやすいです。
(b)生存する個人に関する情報
「個人情報」に該当するためには、少なくとも、「生存する個人に関する情報」でなければなりません。
ここでいう「個人に関する情報」の意味は、「個人情報保護法ガイドライン(通則編)」によれば、「ある個人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表す全ての情報」とされています。例えば、その人についてプロファイリングして得られた推定結果は、その人の属性に関する判断や評価に該当しますので、「個人に関する情報」であると考えられます。
このケースでは、次の4つが、「生存する個人に関する情報」に該当するものといえます。
① 顔を撮影した画像
② 顔認証のために顔の特徴を抽出したデータ
③ 年齢層や性別の推定のために顔の特徴を抽出したデータ
④ 顔の特徴をデータ化したものをAIで分析することで年齢層・性別を推定したデータ
(c)個人識別符号が含まれるもの
「個人識別符号」とは、個人情報保護法施行令第1条に列挙されるものをいいます。「個人識別符号」が含まれる場合は、後ほど取り上げる「特定の個人を識別することができる」記載・データが含まれるかどうかを検討するまでもなく、「個人情報」に該当することになります。
現在、「個人識別符号」として個人情報保護法施行令第1条に列挙されているものは、大きく次の2種類です。
① 身体の特徴を変換した符号
【主な該当例】
・顔認証データ
・歩行特徴データ
・指紋・掌紋データ
・声紋データ
② 公的サービスで割り当てられた符号
【主な該当例】
・パスポート番号
・免許証番号
・保険証記番号
・基礎年金番号
① 顔を撮影した画像 ×
→ 顔を撮影した画像自体は、顔認証に必要な特徴を抽出してはいないことから、顔認証データには該当しません。つまり、「個人識別符号」には該当しません。
② 顔認証のために顔の特徴を抽出したデータ ○
→ これは、典型的な顔認証データに該当しますので、「個人識別符号」に該当します。
③ 年齢層や性別の推定のために顔の特徴を抽出したデータ ?
→ 判断が難しいところです。年齢層や性別の推定のために抽出するだけであれば、特定の人物を識別することができるほどの精度の高い情報を抽出する必要はありません。そのため、一般的には顔認証データに該当しないケースが多いように思いますが、その技術を踏まえてケースバイケースで判断せざるを得ません。
④ 顔の特徴をデータ化したものをAIで分析することで年齢層・性別を推定したデータ ×
→ 年齢層・性別を推定したデータから特定の人物を顔認証技術で発見することはできませんので、顔認証データには該当しません。つまり、「個人識別符号」には該当しません。
(d)その情報に含まれる記載・データにより特定の個人を識別することができるもの
個人識別符号が含まれていない場合でも、「その情報に含まれる記載・データにより特定の個人を識別することができるもの」は、個人情報に該当します。
① 顔を撮影した画像 ○
→ 顔を撮影した画像は、その顔が「だれ」の顔かを認識することが容易ですので、「その情報に含まれる記載・データにより特定の個人を識別することができるもの」に該当します。
③ 年齢層や性別の推定のために顔の特徴を抽出したデータ ?
→ 判断が難しいところです。年齢層や性別の推定のために抽出するだけであれば、特定の人物を識別することができるほどの精度の高い情報を抽出する必要はありません。そのため、一般的には顔認証データに該当しないケースが多いように思いますが、その技術を踏まえてケースバイケースで判断せざるを得ません。
④ 顔の特徴をデータ化したものをAIで分析することで年齢層・性別を推定したデータ ×
→ 年齢層・性別を推定したデータだけから特定の人物を認識することはできませんので、「その情報に含まれる記載・データにより特定の個人を識別することができるもの」に該当します。
以上の検討結果、「③ 年齢層や性別の推定のために顔の特徴を抽出したデータ」は個人情報に該当しない可能性があり、「④ 顔の特徴をデータ化したものをAIで分析することで年齢層・性別を推定したデータ」は個人情報に該当しない結論になりそうです。
ただ、ここでさらに検討すべきなのが、「他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの」に該当しないかです。この要件は、簡単にいえば、個人情報と紐づいたことで、特定の個人を識別することができることを意味します。
例えば、「④ 顔の特徴をデータ化したものをAIで分析することで年齢層・性別を推定したデータ」は、個人情報と紐づいている結果、「他の情報と容易に照合することができ、それにより特定の個人を識別することができるもの」に該当します。
【補足】「特定の個人を識別することができる」の意味
特定の個人を識別することができるかどうかは、とても曖昧です。例えば、携帯電話番号が特定の個人を識別することができるものかどうかは、(否定派のほうが多いとは思いますが)見解が分かれうるところです。特定の個人を識別することができるかどうかは、①その情報が社会的にどのような意味合いのあるものか、②その情報は本人とどれくらい結びつきが強いものか、③その情報はずっと変わらないようなものか、④その情報から本人にたどり着ける可能性はどれくらいかといった要素を総合的に考慮して判断すべきものと考えられています。
(2) 個人情報の取扱い
このケースでは、個人情報のうち、顔を撮影した画像については、特徴を抽出した時点ですぐに消去します。
この場合、顔を撮影した画像を取り扱うといえるのでしょうか。これについて、個人情報保護委員会のQ&Aでは、「保存期間が一瞬であっても、その情報を事業のために利活用している以上、「取り扱う」に該当する」とされています。このケースであれば、顔を撮影した画像は、保存期間が一瞬であるものの、その特徴を抽出してその後に利活用される以上、「取り扱う」に該当するといえます。
(3) 取り扱う個人情報の利用目的
個人情報保護法第15条第1項(※条文番号改正予定あり)
・・・個人情報を取り扱うに当たっては、その利用目的・・・をできる限り特定しなければならない。
個人情報保護法によれば、取り扱う個人情報は、その利用目的をできる限り特定しなければならないとされています。そして、特定した個人情報は、本人に通知するか、あるいは、公表しなければなりません。一般的には、プライバシーポリシーの形式で利用目的を公表することが多いです。
「できる限り特定」の意味について、個人情報保護委員会の公表するQ&Aでは、「一連の個人情報の取扱いの中で、本人が合理的に予測・想定できないような個人情報の取扱いを行う場合には、このような取扱いを行うことを含めて特定する」と示されています。
さて、このケースの場合、どこまで利用目的を具体的に特定すべきでしょうか。
例えば、次のような特定ではどうでしょうか。
「お客様の顔を撮影した画像からお客様の店内での行動を分析して、店舗内のレイアウトの改善のために利用いたします。」
一見、利用目的が十分特定されているように見えます。しかし、結論としては、このような特定方法では不十分です。それは、特定した利用目的が示していることを図にしてみると分かります。
これでは、顔を撮影した画像がどのように利活用されているのかが、ほとんどブラックボックスになってしまいます。利用目的の特定において必要なことは、本人が、自分の個人情報をどのように使われるのか予測・想定できることです。
このケースにおける個人情報の利活用のプロセスを図示すると、次のようになります。
利用目的の特定においては、このようなプロセスをうまく反映することが必要です。
適切な利用目的の特定例を示します。
「お客様が入店される際に顔画像を撮影し、そこからお客様の顔認証データを取得するとともに、お客様の年齢層と性別を推定します。また、お客様を、店内に設置されたカメラで撮影して、入店時に取得した顔認証データと突合することで、お客様の行動経路を推定します。このようにして得られたお客様の行動経路と年齢層・性別の情報をもとに、年齢層・性別と店内での行動傾向との関係性を分析します。分析結果は、店舗内のレイアウトの改善のために利用します。」
(4) 不正な手段による取得にならないための配慮
このケースにおいて留意すべきその他の問題として、「不正な手段による取得にならないためにはどうしたらよいか」があります。このケースでは、一見すると専ら感染症対策のために設置されたように見えるサーマルカメラを、全く別の目的に利用しています。顧客からすれば、「感染症対策だから協力したのに、騙された!」という気持ちになります。
個人情報保護法には、次のようなルールがあります。
個人情報保護法第17条第1項(※条文番号改正予定あり)
・・・偽りその他不正な手段により個人情報を取得してはならない。
この規定について、個人情報保護委員会の公表するQ&Aでは、「カメラにより特定の個人を識別できる顔画像を取得する場合、偽りその他不正な手段による取得とならないよう、カメラにより自らの個人情報が取得されていることを本人において容易に認識可能とするための措置を講ずる必要があります」と示されています。
個人情報保護法違反に問われないための方策として、例えば、サーマルカメラに次のような表示をする配慮が考えられます。
(5) プライバシーポリシー作成上の留意点
プライバシーポリシー作成のノウハウについて、詳しくは、プライバシーポリシー改訂のポイントを弁護士が解説で取り上げていますので、そちらをお読みください。
このケースにおいては、特に、利用目的の特定の問題で配慮が必要ですので、その点は先ほど説明した内容を意識してください。
ケース2-紙資料の電子データ化
芦屋百貨店では、これまで会議資料を紙ベースで保管していましたが、スキャンで電子データ化したうえで、OCR機能によって内容の検索をすることができるようにしたいと思っています。
役員会議においてこの件について話し合っていたところ、役員の1人から、「会議資料の内容を検索できるようになったら、出席者の名前を検索するとその人の発言内容が一覧表示されるようになるから、『個人データ』に該当して管理がややこしくなるのでは」という意見が出ました。
(1) 個人情報と個人データ
このケースについて検討する前に、「個人情報」と「個人データ」の違いについて確認しておきましょう。
個人情報保護法第2条
4 この法律において「個人情報データベース等」とは、個人情報を含む情報の集合物であって、次に掲げるもの・・・をいう。
一 特定の個人情報を電子計算機を用いて検索することができるように体系的に構成したもの
二 前号に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして政令で定めるもの
6 この法律において「個人データ」とは、個人情報データベース等を構成する個人情報をいう。
個人情報保護法が主に規制対象とするのは、「個人情報」ではなく、「個人データ」です。個人データに該当しない個人情報については、その利用目的を公表したり、直接取得の際に明示したりすれば(利用される範囲を本人が予測・想定することができる状態にすれば)足り、基本的にそれ以上の規制対象とはなりません。一方で、個人データに該当する個人情報については、安全管理措置(いわゆる情報セキュリティマネジメント)、第三者提供の制限、重大インシデント発生時の報告・通知義務など、様々な規制が課せられます。詳しくは、プライバシーポリシー改訂のポイントを弁護士が解説や個人情報保護法改正で変わる漏えい対応を弁護士が解説で取り上げています。
では、「個人情報」と「個人データ」の違いを確認しておきましょう。両者の違いをイメージで示すと、次のようになります。
簡単にいえば、「個人情報」をデータベース化したり、ファイリングしたりして、検索の容易な形にすると、「個人データ」になります。
さて、このテーマでは、個人情報が含まれる資料をOCRで検索可能にすることで、その個人情報が個人データに該当することにならないかが問題になっています。
結論としては、単にOCRによって検索可能にしただけでは、個人情報が体系的に構成された状態とはいえないため、個人データには該当しないと考えられています。つまり、OCRによって直ちに個人情報保護法の規制が厳しくなるわけではありません。
ケース3-仮名加工情報への加工による利活用
芦屋百貨店では、会員登録をしているお客様の過去の購買履歴からお客様の住所・年齢・性別に応じた購買傾向を分析して、その結果に基づいて、お客様の居住地域・年齢層・性別ごとにニーズに合った商品クーポンを発行することにしました。現在のプライバシーポリシーには、購買履歴の利用目的について、「商品の売上推移を把握するため」としか示されていません。なお、クーポン発行に当たって、お客様から個別に同意を得ることは(システム実装のためのコストが多大になることから)避けたいと考えています。
(1) 利用目的の変更の制限
利用目的を特定したうえで取得した個人情報(あるいは取得後に利用目的を特定した個人情報)については、利用目的を自由に変更することができるわけではありません。自由な変更を認めてしまうと、本人にとって予測・想定ができない範囲で個人情報が利用されることになり、利用目的の特定を求めた趣旨に反するからです。
個人情報保護法第16条第1項(※条文番号改正予定あり)
個人情報取扱事業者は、あらかじめ本人の同意を得ないで、・・・特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
個人情報保護法第15条第2項(※条文番号改正予定あり)
・・・利用目的を変更する場合は、変更前の利用目的と関連性を有すると合理的に認められる範囲を超えて行ってはならない。
このケースであれば、「商品の売上推移を把握するため」から「購買傾向を分析してお客様のニーズを分析し、ニーズに適したクーポンを提供するため」などに利用目的を変更しなければ、特定された利用目的の達成に必要な範囲を超えて個人情報を取り扱うことになると思われます。このケースに限らず、既存データを新たな目的で利活用しようとすると、個人情報保護法上の課題が生じます。
このケースのように、本人の同意によるスキームを採用することができない場合は、既存データを加工して利用目的の自由な変更が可能な形に変えなければなりません。
まず考えられるスキームは、個人情報を「特定の個人を識別することのできない」状態に加工することです。ただ、先ほど少し取り上げたように、そもそも、「特定の個人を識別することのできない」という定義自体が曖昧なため、どこまで加工すればよいのか判断が難しいことがしばしばあります。
(2) 匿名加工情報の制度
このような問題に対処するために、平成27年個人情報保護法改正で、自由な利用目的の変更等を認める「匿名加工情報」という制度ができました。
「匿名加工情報」は、個人情報保護法に定められる基準に従って個人情報を加工することで、自由な利用目的の変更等を認めるものです。ただし、個人情報保護法に定められる基準では、基本的に、特定の個人の識別ができないレベルまで加工を施して、もとの個人情報への復元もできない水準が求められています。なお、詳細は、個人情報保護法改正で変わる!仮名加工情報と匿名加工情報の利活用を弁護士が解説で解説しています。
このケースのように、購買履歴が含まれる個人情報については、特定の個人の識別ができないレベルまで加工を施すことがハードルになります。
いつ何を買うかは、人によってまちまちです。買ったものが完全に一致するケースは、ほとんどありません。そうすると、購買履歴がそのままの形で残っていると、たとえ氏名や住所等をすべて削除しても、購買履歴の突合によってそれがだれの個人情報であるかを特定することが可能になってしまいます。先に触れたように、「他の情報と容易に照合することができ、それにより特定の個人を識別することができる」場合も特定の個人の識別ができるレベルに該当するとされていますので、このままでは匿名加工情報の水準も満たすことができません。
(3) 仮名加工情報の制度
このような経緯から、匿名加工情報よりも自由度を制約した中間的な制度として、令和2年個人情報保護法改正で、「仮名加工情報」の制度が新設されました。
個人情報保護法第2条第9項
・・・「仮名加工情報」とは、・・・個人情報の区別に応じて当該各号に定める措置を講じて他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報をいう。
1号 個人識別符号以外の個人情報
当該個人情報に含まれる記述等の一部を削除すること(当該一部の記述等を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
2号 個人識別符号
当該個人情報に含まれる個人識別符号の全部を削除すること(当該個人識別符号を復元することのできる規則性を有しない方法により他の記述等に置き換えることを含む。)。
仮名加工情報が匿名加工情報と大きく違うのは、他の個人情報(個人データ)との突合によって個人が特定されるかどうかを考えなくてよい点です。
これにより、仮名加工情報であれば、匿名加工情報の場合のように購買履歴への加工まで求められることがなくなります。
仮名加工情報に加工するために求められる基準は、次のようなものです。
1 個人情報に含まれる特定の個人を識別することができる記述等の全部・一部を削除する/他の記述等に置き換える
・お客様の氏名を削除する
・お客様の住所を市町村名に変更する
2 個人識別符号の全部を削除する
・顔認証データを削除する
・免許証番号を削除する
3 不正に利用されることにより財産的被害が生じるおそれのある記述等を削除する
・クレジットカード番号を削除する
匿名加工情報と比較すると、仮名加工情報に加工するための基準は簡潔で、加工のハードルが低くなっています。
ただし、匿名加工情報と仮名加工情報では、利活用の自由度に違いがありますので、仮名加工情報に加工すれば必要な目的を達成可能か、それとも、匿名加工情報に加工しなければ必要な目的を達成できないかの見極めは必要です。
(4) このケースの場合
このケースの場合であれば、氏名や住所の情報を削除すれば、購買履歴や年齢・性別の情報を残したまま、仮名加工情報の水準を満たすことができると考えられます。仮名加工情報は、利用目的の変更に制限がないことから、利用目的を変更したうえで、「購買傾向を分析してお客様のニーズを分析し、ニーズに適したクーポンを提供するため」に利用することが可能になります。
ただし、分析結果を加工前の情報に追記することはできません。これは、仮名加工情報において禁止される「本人識別のための照合」に該当するからです。
その代わり、分析結果を抽象化したうえで、照合に該当しない形で利用することはできます。
上記の例でいえば、「神戸花子さんはA社クッキーが好き」という情報をそのまま神戸花子さんのリストに追加することはできませんが、「20代女性はA社クッキーが好きな傾向にある」という分析結果を、20代女性のリストに追加することは許されます。
第3章 おわりに
今回は、ケーススタディを交えながら、業務DXにおいて課題になる個人情報保護法対応について詳しく解説しました。Web Lawyersでは、プライバシーポリシー作成のご支援や、個人情報保護法に対応するためのスキーム検討のご相談、弁護士による社内研修などのご依頼を承っております。お困りのことがございましたら、お気軽にお問い合わせください。
関連サービス
