Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ニッポンの個人情報のいま

edited by Security Online   2016/10/26 17:55

東京地裁判決が示した顔識別カメラの問題点

鈴木 あと、オリンピック前におもてなしアプリとか作るじゃないですか。そうすると、成田空港とか日本に来る前にダウンロードしてくださいとかアナウンスしますよね。当然、EUからもいっぱいいらっしゃいますよね。

山本 波乱含みの五輪専用アプリ、構想が出ましたねえ。EUからお客さんが来ますねえ。

鈴木 そうすると、ほとんどのアプリの開発事業者さんは、EU砲の直撃を受けないようにEU法、一般データ保護規則を結構、注視してますよね。

山本 きついですよねえ。うっかり頒布したら大変なことになりかねない勢いです。

鈴木 もう日本法だけ見てコンプライアンスは大変危険ですよね。ヤフーくらいの規模になりますと、米国法もEU法もしっかりと見てらっしゃるんでしょう。アプリも結局もiOSとAndroidに載ってますから、両社の規約、契約の上で仕事をすることになります。両社とも米国法とホワイトハウスの政策、FTC等の法執行の様子を見ながら自社の規約や契約を決めていますから、それに載るアプリ開発側だって、当然に米国法を意識してビジネスすることになりますよね。そうすると日本法だけ規制を緩くしても、こうした企業にはあんまり意味がない。経団連、新経連も経済紙もいずこも単純規制緩和の大合唱で頑張ってたけど、それに安易に乗っちゃったらまずいですよね。

山本 それは私の立場からはちょっと……(苦笑)

鈴木 ああ、言えないんですか。そうですか。

山本 すいません(笑)。で、あの、次に行っていいですか?

鈴木 はい。

山本 このところの一年間、まあ、たとえばマンボウ、全国万引犯罪防止機構。

高木 マンボウ機構。

鈴木 マンボウって呼んでますよね。

全国万引犯罪防止機構のトップページ

山本 偉い人です。

鈴木 偉い人です。

山本 偉い人ですね、はい。

鈴木 この筋は怖いですから、少し口を慎みましょう。

山本 あと、かなり際どい法人や省庁といったあたりのところがダーっと出てきましたけどこれいかがですか。

高木 えっとですね、それは何の話かというと、去年4月のニュースでしたが、これは防犯カメラが捉えた万引き容疑者の顔データベースをスーパーや書店などで共有するっていうのが始まりつつあるんだけども、個人情報保護法上どうなのかとか、ルールの整備はどうするの?といった新聞の解説記事がありました。で、ルール整備について最近、8月の日経の記事(「顔は個人情報」対応急ぐ 改正法来年に施行 客に告知/匿名化、自主ルール、日本経済新聞8月29日朝刊)でも、ガイドライン策定が進められているとあって、「顔認証カメラメーカーなどで構成する「日本万引防止システム協会」は今年10月をめどに、漏洩防止の徹底などを盛り込んだ指針を作る。」って書かれてるのですが、漏洩……また漏洩とか言ってる!

鈴木 また漏洩!もう漏洩と書いている記者はほんとだめですね。新聞社も。これ、漏洩の問題じゃないだろ、と。まあ、漏洩もまずいけど。

山本 ちょっと書いた青山さんには申し訳ないですけど、たぶん、取材をかけてみたところ、実際に相手からそう言われてしまったんでしょうね。

鈴木 まあ、上の方がね。取材している記者はけっこう説明するんで、ああって思うけど、上が今度、読者はわかんないから漏洩等ってまとめちゃって、啓発の役割を新聞社が果たさなくなっている。その代わりブログが正確になっていくというね。

山本 ありがとうございます。実際問題として警察庁・警視庁における個人情報の考え方っていうのはやはり問題となる漏洩に関しては常に「漏洩等」で扱われるんですよね。こういう特に万引きやデータベースぶっこぬきみたいな警察事案な話になってくると、用語としては「漏洩等に対する……」っていう決まり文句になってしまうっていうところが、本来の字義として定義が全く異なるわけですから、非常に弱いところかなと思います。このあたりは、やはり文化差といいますか、同じ表現でも受け取り方が所属によって全く異なるわけです。この差異を埋められないと、なかなか対策が前に進められません。この後、こういう活動をプライバシーフリークとしてやっていくというご説明をするところでもう少し細かくやっていきたいなと思っているんですけども。

高木 何か予定されている…?

山本 予定しています、はい。そのあたりは、プライバシーフリークの今後の活動に乞うご期待! ということで。

高木 で、この記事の見出しもですね、「客に告知/匿名化、自主ルール」って、まあ告知はいいかもしれないですけど、「匿名化」って、また匿名化って言ってる! いや、匿名って言いますけどね、誰かわからないけど同じ人が来たら、万引犯の人が来たっていう警告を出すわけですよね。これ、識別しているわけですよ。冒頭言いましたように、個人識別符号なるものが法改正で入ります。そこに顔識別の特徴量情報も該当することになりましたから、もろにこれは個人データであって、匿名化とか言ってられなくなってきます。

鈴木 やっぱり氏名じゃないって言って、はいはいっていうんですけど、各論で当てはめると、「氏名につながらないから個人情報じゃない」に戻っているんですよ。結局理解していないんですよ。

山本 や、それはいろいろ難しい界隈なので、古い解釈のまま進んでいる部分はあります。どうしても「『名前』さえなければ本人に特定できない」っていうところで止まっちゃうんですよ。でも、面が割れるかどうかってとても大事なことじゃないですか。それが「名前さえ紐づかなければよいだろう」ということで、顔画像などのデータに犯罪者だっていう情報が紐づいて流通しちゃったら、かなりの問題になるっていうことをあまりちゃんと認識をしていないっていうことなんですよね……この辺の話題はここで言っちゃっていいんですか。

高木 そこで大事なのが、このあと鈴木先生に解説してもらう予定の……

鈴木 ……ん?

高木 東京地裁判決の話に入っていこうと思いますが、こんなニュースもありまして。これはさっきの解説記事とは別の記者による記事で、これより前にですね、某顔識別システム会社の……

山本 リカオンですか?

鈴木 あっ……

高木 ……システム会社の記事が出たときに、「ブラック企業アナリスト」の方がですね、とんでもない取材で無いこと書かれた!みたいなことがこのビジネスジャーナル記事に……

山本 我々の大好物なビジネスジャーナルじゃないですか!

高木 ……記事になったりしたんですが、これがその後、裁判になったようで?

山本 なりましたね。

高木 なんと、判決が出ておりまして。

鈴木 判決が出ておりましたねえ。びっくりしました。

高木 判例データベースから持ってきました。

鈴木 なんか、山本さんは裁判所界隈をよく散歩されているようで。

山本 はい。ありがとうございます。

鈴木 たまたま見かけたようですね、この裁判を(笑)。

山本 今日もたまたまダブルヘッダーだったんですけど(笑)。

鈴木 そういえば、ファンレターのようにいっぱい内容証明が来てるそうですが、年間何通くらい来るんですか?

山本 16から20くらいですかねえ。月2通以上来る…

鈴木 なんか時候の挨拶とかいって…

山本 ええ、ご挨拶でございますねえ。ただ、ちょっと今回のリカオンの件につきましては、実際もう結審しているので、このあたりのお話をぜひお読みいただきたいなと思うんですけど、問題としては、まあ、かなり踏み込みをリカオン側がしました。それについて読売新聞の特定のとあるHさんという方がですね、今ロシアに行っちゃったんですけど、踏み込んで素晴らしい記事を書きましたと。で、その踏み込んだ者同士がプライドをかけた争いになるという非常にほほえましい裁判事例であります。

鈴木 そうですね。名誉棄損だと。風評被害だと。我々そんなことやってないのに大新聞に書かれちゃって、うちの会社の名誉が失墜したゎっていうんで、訴訟を起こされて平成27年9月17日の東京地裁で判決が下りて、もう広く公表されていますね。

山本 いい話ですね。

鈴木 いい話ですね。結論から言えば新聞社の勝ちでありまして。どんな事件だったかというと、まあ、小売りにしてみたら万引ってもう最悪じゃないですか。消費税増税で商売やめようかっていう、数パーセントで利益の大半が吹っ飛ぶ小売り店が、万引被害でどんだけ生活を脅かしているかっていうことは、重々承知しているんですが、とはいえシステム会社が防犯カメラではなく、さらに防犯カメラに顔識別システムをつけて、悪いやつが来たら登録するんですね。たとえば、注意とか、厳重注意とか、入店禁止とか、不審人物とか、挙動不審とか、万引犯、クレームトラブル、万引の疑いありとかいうようなタグがありまして、それを顔識別して導き出した特徴量情報に紐づけて、来店すると、店員のレジ脇でアラートが上がったり、店内にいる店員の携帯電話が鳴ったりする。そうすると、「あ、万引きの常習犯がきたぞ!」と注意する。店舗にしては麗しいシステムですよね。しかもオプションでこうした情報をシェアするシステムがあるようで、その会社以外にも共有できるようなんですよね。そのことを新聞報道をしたところ、事実と異なるとシステム会社から訴えられたという事件です。

山本 何をもって事実とするのかよくわからないんですけど。

鈴木 そうですね。取材の過程で信じるに相当の理由があったので名誉棄損にあたらないとシステム会社側の主張を退けて終わった。新聞社勝訴ということでありました。

山本 営業情報に書いてありましたからね。

鈴木 パンフレット作ってシェアするシステムがあることやその販売実績をPRしてたようですからね。

山本 そうなんですよ。みなさんに共有するよって営業資料に思い切り書いておられたわけですよね。それは事実としてそのまま報じられたら、もちろん、これは適法性としてどうなんだとか、プライバシーにどう配慮しているんだとか、そういう話に当然発展するじゃないですか。

高木 ええ、この判決は記者がそうだと信じるに足りるものだったとしているのですが、ついでにこんなことも判決文に書かれてしまった。つまり、顧客の顔情報が無断で共有されるのが本当にそうだとすれば、店側が恣意的に誤って登録したとしても、その当該顧客にはこれに反論し異議を唱える機会もないと。そして取り消すこともできない。となると、行ったことのない店舗で不利益な扱いを受ける恐れがあるというのももっともなことであると。裁判官が、一般論としてそれはもっともなことと。まあ、そうした傍論は判例ではないんでしょうけども。

平成27年9月17日 東京地裁 判決 平26(ワ)10758号 損害賠償請求事件より

(6)  本件記事の意見ないし論評としての相当性
  前記(2)のとおり,本件記事は,本件製品を導入した事業者が店舗内の防犯カメラで自動的に撮影された顧客の顔情報を無断で共有しているとの本件摘示事実を前提とし,店側が恣意的に不審者だと登録でき,客にとっては,行ったことのない店舗で不利益な扱いを受けるおそれがあり,誤って登録されても,反論する機会はなく,顧客が異議を申し立てるなどして取り消す手段もないとの意見ないし論評を述べ,さらに,個人情報を第三者に無断で提供することを禁じた個人情報保護法に抵触するおそれがあるほか,提供された顔特徴データが犯歴や購入履歴などと結びついて個人が特定されれば,プライバシー侵害につながりかねないとの意見ないし論評を述べるものである。顧客の顔情報が無断で共有されているとの本件摘示事実を前提とすれば店側が恣意的に誤って登録したとしても,当該顧客にはこれに反論し異議を唱える機会もないから,当該登録を取り消すこともできず,行ったことのない店舗で不利益な扱いを受けるおそれがあることももっともなことである個人情報を第三者に無断で提供することを禁じた個人情報保護法に抵触するおそれがあるほか,提供された顔特徴データが犯歴や購入履歴などと結びついて個人が特定されれば,プライバシー侵害につながりかねないとの指摘も十分にあり得るところであり,本件記事における指摘は,意見ないし論評としての域を逸脱したものということはできない。

(7)  まとめ
 以上のとおり,本件記事に係る報道は,公共の利害に関する事実に係り,かつ,その目的が専ら公益を図ることにあったということができ,本件記事の意見ないし論評の前提としている本件摘示事実は真実であると認められ,本件記事は,意見ないし論評としての域を逸脱するものでもないから,本件記事に係る報道は違法性を欠くものである。仮に本件摘示事実が真実であると認められないとしても,本件記事を取材したC記者には本件摘示事実が真実であると信ずるについて相当な理由が認められるから,C記者の故意又は過失は否定され,いずれにしても,被告に不法行為責任が認められることはない。

第4  結論
 以上によれば,その余の点につき判断するまでもなく,原告の請求はいずれも理由がないからこれらを棄却することとし,主文のとおり判決する。

鈴木 まあ、あえて言ってくれたんでしょうね。

山本 ということですよね。ちゃんと釘を刺してくれて、司法はちゃんと仕事をしたなと感じますね。

鈴木 あと、よくみなさん、同意があればいいって言いますけども、もちろん万引は当然に犯罪ですけど、捕まえて店の裏に連れて行って許してやるから「お前これにサインしろ」とやれば誰だってサインしてしまいますからね。万引きした事実を各店舗で共有するっていうことをね、普通は誰も同意するわけがない。そういう状況と関係下で強要するからしぶしぶサインするわけで、それを承諾・同意とみなしていいか?というとかなりきわどいじゃないですか。

山本 きわどいですねえ。とてもきわどいですねえ。

鈴木 そう。こういうことをね、まずいだろと言うと。必ず万引犯で悪いやつだからしょうがないと言う有識者が出てくるんですよ。これを、ネットでやるとけっこう賛同者がわらわらと出てきて相応に力を持つんですよね。逆に、なにおまえらは万引犯を擁護しているんだっと批判がわっときたりします。まったくもっとどうしようもないですね。

 ところで、この万引情報ってどのくらいの期間各店舗間で共有されるんですかね?

山本 いや、それがまったくこのシステム上は定かではない。あとこれとは若干違うんですけど、昔「まんだらけ」というサブカル専門の大手販売店が、店の前にあった鉄人28号を持って行っちゃったやつの顔をウェブに公開するという暴挙をやったんですよね。もちろん、暴挙ではあるけど気持ちは分かる。んで、犯人は名乗り出ろと。要は、何をもって犯罪とするか。もちろん持ち去ったら犯罪なんですけど、犯罪を犯した人のデータをみだりに出すこと共有することの課題っていったものに対して、どう配慮していくかっていうことについてはこれから詰めていかないといけないところなんですけど、その前にこれが出ちゃったんですよね。

鈴木 リンチですよね。ある種の私刑。窃盗を働く悪いやつだから店が犯人を罰してもいいと。公表という、見せしめをやってもいいということですよね。これもネットでは擁護論が出てきます。でも、そこは国家権力が独占することで秩序が保たれていますのでね。

山本 なんだか胸が痛みますよね。被害者の心情も分かるだけに。

鈴木 そうですね。

高木 で、この判決でも触れられているように、大事なことは、異議を唱える機会もなく、登録を取り消すこともできないという点ですよ。日本の個人情報保護法ですら、「保有個人データ」についての開示請求への対応義務があるわけで、今度の改正で開示請求権として認められることになっています。そうすると、万引犯、もしくはその疑いのある人物として、あるいはクレーマーとして登録されているか、自分が登録されているかどうかの本人情報開示請求があったら応じるのが法的義務であるべきと思うんですけど、ただ、例外規定がありまして、……

鈴木 「事業の実施に著しい支障がある場合」

高木 それもありますが、財産と……

鈴木 「生命身体財産の例外条項」とかありましたよね。

高木 「財産その他の権利利益を害するおそれがある場合」に該当して不開示対応が許されてしまうのかどうか。

鈴木 個人情報保護法って、すごくゆるい、実はみなさんが思っているより、きわめて緩い。あらゆる法律に劣後する形になっている規律ですけど、「人の生命、身体」だけならともかく、そこに並んで「財産の保護」まで入っているんですよね。「財産の保護の必要性がある場合であって、本人の同意を得ることが困難であるとき」には、第三者提供を本人の同意なくできるっていう条項がありますし、「本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがある場合」には開示しなくていいともされています。果たして本件がそれに該当するかっていうところが問題になるんですけれども、ただ、事案から見て、明らかに本人の同意を得ることが容易ですからね、この例外条項は適用できないと思いますけどね。

山本 そういう意味では財産や権利にまつわる情報全体の流通に関して、これは個人情報保護法のはるか前ですけれども、要は消費者金融の貸し出しブラックリストですね。これがかねてから共有をされてきました。

鈴木 CRINのことですか?

山本 これはきわめて重要な個人情報および財産にかかわる秘匿事項であるにもかかわらず、ふつうに消費者金融関係の団体に加盟すれば、自動的に入手できる時代がありました。最近はもちろんちょっと状況が違うんですけれども。ただ、そういったものを含めて、カード決済や、新しいクレジットカードの取得申請がうまくいかなかったとき、その利用者が「私はブラックリストに載っていますか?」っていう照合がきちんと確認できるかどうかっていうのは今後大きな課題になってくると思うんですよね。

 加えて、ちょっと別の話になってしまうんですけど、東京五輪が2020年に開催されるにあたって、その予備的な事項としてテロ防止の目的で、いわゆるアメリカがホームランドセキュリティと近いレベルの警戒をできるような個人情報関係条項の整備を求めてきている、という状況があります。これについては「関係条項の整備」って一言で言っているんですけども、言うなれば、テロを起こすかもしれないやつをグレード付けして、グレードの高いものに関しては、たとえば空港であったり、駅であったり、そういったところの顔情報など個人に関する情報と治安対策を連携させるところまで本当はいきたいですよね、ということはみんなで話し合っているんです。ただ実際には話し合ってるだけであって、それは実施できないよねと思っていたら、とある大学ととある警察本部がですね、結託して、顔写真がそこを通ったかどうかの実証試験を始めようみたいな話があって燃えるわけですよ。まあ、私の心の中が燃えるんですけど(笑)

鈴木 うん(笑)。

山本 それは実際にやられたら大変なことかもしれないけど、ただ、テロ防止の名目である意味プライバシー関連の閾値を超えたところで情報が流通するのが本当に望ましいのかどうか。自分が、たとえばテロリストとしてどれくらいのグレードで判断されていますか?みたいな、そういう照会ってかけうるのかっていうところ、まさにこの判決文の中で問題提起されているところとものすごくかぶるわけですよね。

 だって、知らない間にテロリスト扱いされているかもしれない、なぜならば特定の公共施設、駅とか空港とかで後ろを張られていると気づいたときに、何か不審だな、何かを疑われているのかな、という気持ちになるじゃないですか。海外では、結構日常的にそういう経験をするわけでして、なんかイミグレ通らないぞ、チケット発行されないぞ、空いている地下鉄車内なのにガタイのいい奴が近くに座ってるぞ、こっちみてるぞってあるわけじゃないですか。それと同じことが、日本で起きる可能性がある、のが東京五輪2020だよってことです。

鈴木 そうですね。ただ、私はね、真にテロ対策の場合には当然ながら必要だろうと。特に入管で顔識別、生体識別するってアメリカだって人差し指をかざしたりしていますから。

山本 4項目全部やりますね。ESTA登録されていない人は10本指紋取られます。

鈴木 どの国だって表玄関ではしっかりチェックする。これは当然だろうと。入国管理において顔識別などのシステムを導入することに関してはほとんどのみなさんは、むしろやってくれって感じだと思うんですよね。東京五輪のテロ対策となればなおのことそうだと思います。ところが入管だけではなく、たとえば国立競技場のゲートにつけるか、うーん必要かなぁと。じゃぁ、JRの主要駅につけるか、ちょっと躊躇しますね。これをどこまで拡大しうるか、東京五輪期間中と限定するならどこまで拡大できるか?いやいや東京五輪を口実に拡大しっぱなしになるのは怖いから嫌だとかね。いずれにせよ顔識別など生体識別システムの導入の議論は、テロ対策というレベルで議論すべき話しですが、これって、万引きですからね。テロ対策の議論すっとばして、日本では万引きですよ。いいんですか。

山本 そうですね。物事の軽重っていうものはありますよね。

鈴木 万引きで導入できるんだったら、これすべての犯罪対応で使えますよ。それをコンビニ等のチェーン店や小売店全部に導入しようぜみたいな議論が一部有識者やネット民に支持されてしまうというね。いや、これはやばいなと。

高木 で、万引犯罪防止機構と日本万引防止システム協会は10月に指針を出すということですが、できるんだろうかと。

山本 心の暖まるいいお話ですね。

高木 実はこれ、今年春に出すってかつて豪語されていて、私も発表会を見に行ったのに、何も発表がなかったという、1度できなかった過去があるんですよね。来月も本当にできるのかどうか、注目だと思います。それから先ほどのシステム会社が訴えていた件、その後どうなったか、先日、展示会で出展されていたのでちょっと見てきまして。

山本 お、さすが!

鈴木 どこの展示会?

高木 「SECURITY SHOW 2016」でしたかね。見に行ったところ、いろいろ聞いたらですね、登録データは半年で自動的に消す設定があるというんです。これは個人情報保護法の「保有個人データ」に当たらないようにする設定ですね。

山本 あーなるほど。

鈴木 そうすると開示請求訴訟できないじゃないですか。

高木 ええ。

鈴木 できないように短期消去すると。

高木 そもそも、短期だったら開示請求に応じなくていいっていう日本の個人情報保護法の是非っていうのもあるとは思いますが、この会社は、以前に比べてちゃんと法律を守るべく、保有個人データになるのを意識して、短期で消す機能を導入したということですね。

山本 それはその懸案の会社のオーナーが変わっちゃったからですかね。

鈴木 オーナー変わっちゃったんですか?

山本 変わりました。

鈴木 売っちゃったみたいですね。

山本 売って、そのあと、首謀者の方はとあるTBSの元女子アナウンサーを篭絡したりとかいろいろやってましたけど。

鈴木 それはまたブログの方でぜひ。

山本 これに関しては興味深いステキ情報がいろいろあるんですけど、すみません、先に行きます。

鈴木 ええ。


関連リンク

著者プロフィール

  • 山本 一郎(ヤマモト イチロウ)

    1973年東京生まれ、1996年、慶應義塾大学法学部政治学科卒。2000年、IT技術関連のコンサルティングや知的財産管理、コンテンツの企画・製作を行うイレギュラーズアンドパートナーズ株式会社を設立。ベンチャービジネスの設立や技術系企業の財務・資金調達など技術動向と金融市場に精通。著書に『ネットビジネ...

  • 鈴木 正朝(スズキ マサトモ)

    新潟大学 大学院現代社会文化研究科/法学部 教授(情報法)。理化学研究所 革新知能統合研究センター 情報法制チームリーダー、一般財団法人情報法制研究所 理事長を兼務。 1962年生。中央大学大学院法学研究科修了、修士(法学)。情報セキュリティ大学院大学修了、博士(情報学)。 情報法制学会 運営委員・...

  • 高木 浩光(タカギ ヒロミツ)

    国立研究開発法人産業技術総合研究所 情報技術研究部門 主任研究員。1967年生まれ。 1994年名古屋工業大学大学院工学研究科博士後期課程修了、博士(工学)。 通商産業省工業技術院電子技術総合研究所を経て、2001年より産業技術総合研究所。2013年7月より内閣官...

バックナンバー

連載:プライバシーフリークカフェ

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5