(2023年3月14日)意見募集の結果が公表されました。
第8回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

案件名:犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集について
提出先:個人情報保護委員会


提出日:2023年2月12日
提出者:一般社団法人MyDataJapan

一般社団法人MyDataJapanでは、個人情報保護委員会の「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」のパブコメに対して、下記の通り意見を提出しました。

提出意見

MDJ01

 
(該当箇所)
 P1

(意見)
自動運転車に搭載されるビデオカメラに映り込む顔画像も防犯目的で使われないとは限らない。この点が考慮されていないので、自動運転における利用を制約しないような書き方にすべきではないか。
自動運転導入以前であっても、車両搭載のカメラも全て対象になる可能性がある。
すでに車載のドライブレコーダーは、煽り運転対策で防犯用といえなくもない。このようなケースが対象にならないことは明記すべきである。

(理由)
自動運転は実用化されれば、顔画像の部分はビデオカメラ内部の処理で削除できるが、問題は開発段階で、顔画像排除のアルゴリズムのAI学習するときには、顔画像入りの実データが大量に必要なので、そこを制限すると開発が不可能になるため、制限してはしてはいけない。
いずれにしても、この例が示すように、顔画像データが収集されるビデオカメラが防犯目的カメラと併用してしまう場合、異なる規律が適用されるので、どうするべきかを明確化しないと開発現場の委縮ないしは実効性にないルールになる可能性がある。
MDJ02(該当箇所)
 P5 L23 (顔認証)
 
(意見)
以下のように変更する。
本人の要請に応じてデ ータベースより本人に該当すると目される1レコードを抽出し、カメラにより撮影された顔画像から抽出された顔特徴データと、当該レコードにひもづけられた顔特徴データを照合して同一性を確認すること。
 
(理由)
この定義だと1:1になっておらず、顔識別もデータベースに登録されたデータと照合するので、実質的に同じと読むこともできてしまわないか。「本人の要請に応じて」「同一性を確認すること」で1:1を暗黙に言っているのだろうが、明示的に1:1を要求するほうが良い。
MDJ03(該当箇所)
P6 L15(照合)
 
(意見)
以下のように変更する。
ある顔特徴データと他の顔特徴データの類似性又は被類似性を評価すること。
 
(理由)
「見積り」と書かれているが、具体的内容が不明であり、さらにその後にかかれている「測定する」だけでは照合しての評価にはならないのではないか。
MDJ04(該当箇所)
P6 L22 (検知)
 
(意見)
「顔特徴データが同一人物である可能性があらかじめ設定した閾値より高いと判定すること」を以下のように変更する。
「顔特徴データが同一人物である可能性があらかじめ設定した閾値より高く、あるいは同一人物でない可能性が予め設定した閾値より低いと判定すること」
 
加えて、閾値によってはfalse positive, false negativeが相当数発生するので、たとえば、個人からの開示請求の容易化など、それらの対応する方法を明記すべきである。
また、規定した閾値を超えない範囲はグレーゾーンになるので、この部分の扱いについての指針も示すべきである。
 
(理由)
検知は、可能性が予め設定した閾値より高いのみならず、そうでない可能性が設定した閾値より低いことも合わせて行われるべきであり、このことを記述すべきである。
MDJ05(該当箇所)
P6 L22(検知)
 
(御意見)
定義 コ に以下の注釈を加える。
注釈:誤検知は本人が認識できない可能性があることも考慮されるべきである。また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてあるが、問い合わせに対して該当なしとの回答を安易に返すべきではない。
 
(理由)
本人が誤登録されていることをどのような手段で認識するかは大きな問題であり、指摘すべき項目である。
また、防犯目的では省令5条で保有個人データとして扱わなくて良いと書いてある。そうすると、該当なしとの回答になってしまい、誤登録された場合の濡れ衣被害が継続することになる可能性がある。
MDJ06(該当箇所)
P6 L28(登録対象者)

(意見)
定義の下に以下の注をつけて注意喚起すべき。
 
注:登録対象者指定は当該個人に対して多大なプライバシーインパクトを生む可能性がある要注意概念である。詳細については第6章も参照のこと。
また、6章には、不利益を被る人に対するインパクトアセスメントと、間違って登録した場合に関する記述を加える。
不審な行動(41頁14行目)の定義がないことも指針としては不十分であるので、定義を明記すべきである。
 
(理由)
「登録対象者」になることは、多大なプライバシーインパクトを受ける可能性がある要注意概念であることに留意すべき。
また、現在の6章ではこのあたりの記述が薄い。
具体的には、(1)不利益を被る人に対するインパクトアセスメントが丁寧に記述されていない。(2)PIAでのチェック、運用でのチェックなどに追いやってしまっている。(3)間違って登録した場合に関する記述がない。(4)広報手段しか書いていない。
MDJ07(該当箇所)
P6 L28(登録対象者)
 
(意見)
登録すべきものの定義を具体的に記述する。
不審者の定義を明確にする。
また、これをプライバシー通知に入れ、告知する。
迷惑行為に関する考え方を記載する。
 
(理由)
登録すべき者の外延が明確でないので、具体的に記述できればすべきであろう。また、不審者は、定義が不明確である。さらに、防犯目的に限定すMDJ01ると、迷惑行為を行う者が対象でなくなるが、それでもよいのか?
MDJ08(該当箇所)
P8 L15(照合用データベースの作成)
 
(意見)
検知対象者として特定する基準を文書化するとともに、その正当性を説明し、ステークホルダーの代表者から同意を得、PIAレポートの一部として公表を義務化する。また、その基準をプライバシー通知として公表する。両者ともに、そのありかを一定の集積度があるレポジトリへ登録することを義務化する。
 
(理由)
「顔識別機能付きカメラシステムによる検知対象者を定め、その者の顔画像から、特定の個人を識別することができる顔特徴データを抽出し、当該顔特徴データを照合用データベースに登録する。」とあるが、その検知対象者としたことの正当性をどう確保するか?
MDJ09(該当箇所)
P10 L14(カ 動線分析の下)
 
(意見)
キ として歩容認証を加える
 
(理由)
動線分析があるのに、どうして歩容認証はここに入らないのか疑問である。
アメリカでは、プライバシーの懸念から顔ではなくこちらの方が使われているらしいが(ソース:SC27の某委員)。最近の科学捜査への応用の日本語論文↓
https://www.jstage.jst.go.jp/article/essfr/14/4/14_318/_pdf/-char/en
MDJ10(該当箇所)
P12 L2(ア 不変性と追跡性)
 
(意見)
「不変性が高い」の後ろに「継続的識別子として機能し」を挿入。
「広範囲」の前に「無指向性識別子として」を挿入。
段落末に、「これらの識別子の性質により、個人による制御性、選択的回避性が低く、プライバシー影響度が大きいことに留意すべきである。」と挿入。
 
(理由)
ここで指摘されているように、顔特徴データは、継続的識別子かつ無指向性識別子として機能し、個人による選択的回避可能性も低くプライバシー影響度が高いため、上記の挿入部分は必要ではないか。
MDJ11(該当箇所)
P12 L13(ウ 利用目的の予測困難性)
 
(意見)
同意は処理の根拠としては使えないことを明示する。
処理の根拠は同意以外でなければならない。
 
(理由)
利用目的の予測が困難である場合、「同意」行為は同意を構成しておらず無効である。したがって、処理の根拠としての同意は使えない。
MDJ12(該当箇所)
P12 L23(エ 差別的効果)
 
(意見)
バイアスのかかった学習データの利用などにかかるAI倫理規範文書など、例えば『人間中心のAI社会原則(内閣府)』を参照する可能性が考えられる。ただし、AI倫理指針では差別の原因が人種、性別などの典型的なものだけ書かれているものが多いのでそこは注意して、参照文書を選ぶべきである。
 
AI倫理指針では差別の原因が人種、性別などの典型的なものだけ書かれているものが多いのでそこは注意
 
(理由)
本件にかかわる差別的効果等に関する留意事項は、AI倫理規範に近い。学習データの偏り問題など。
MDJ13(該当箇所)
P13 L1(オ 行動の萎縮効果)
 
(意見)
社会・コミュニティにとってのリスク評価も、システムの設計時から行うように求めるとともに、定期的に実際の効果を計測して基準の見直しをするプロセスを入れるようにする。
 
 
(理由)
目的の限定性の確保、「防犯」と経済性の関係の正当性の確保は、社会・コミュニティに対する影響という点からも重要である。
MDJ14(該当箇所)
P16 L15(イ 撮影場所)
 
(意見)
設置範囲、撮影範囲に対する配慮をより詳細に記述されたし。
 
(理由)
オプトアウト可能性の評価が必要である。この判例のケースだとオプトアウト不能なので実施してはいけないのではないか。
MDJ15(該当箇所)
P17 L13(エ 撮影の態様)
 
(意見)
「カメラが作動中である旨の周知をしていること」だけでなく、その「目的」を明示すること。
 
 日本の監視カメラはひっそりと設置されていることが多い。
 EUだと監視カメラがあるエリアは大々的にNotice/告知(通知)があるこ とが多い。なお告知は回避可能性も若干関係する点も留意してほしい。
 
(理由)
Notice要件が欠落しているので加える。
MDJ16(該当箇所)
P18 L1(カ 撮影されたが画像の管理方法)
 
(意見)
(3)に判例に関する指摘事項を記入する。
また、生画像の場合と顔特徴量だけの場合は分けて記載する。
 
(理由)
(2)は単なる判例の紹介なので、報告書としての意見かどうかが判然としない。その判例から導出される指摘事項、対策を(3)に記載すべきである。また、
顔特徴量だけの場合は分けて書いたほうが良い。
MDJ17(該当箇所)
P19 L1(誤認識)
 
(意見)
誤認識の累計として、他の人と認識する可能性だけでなく、複数の人を一人として認識してしまう可能性についても記述すべき。
 
(理由)
複数の人を一人としてしまう現象は、いわゆる濡れ衣問題である。これにより無関係な人が犯罪者として認識される可能性がある。
MDJ18(該当箇所)
P20 L3(個人による開示)
 
(意見)
手続きのハードルを上げることによって事実上開示請求ができなくすることを禁ずるとともに、より具体的に、開示の手続きのガイドラインが示されることが望ましい。
 
(理由)
個人による開示の請求はできることになっているが、実際にやろうとすると大変にハードルが高く、事実上不可能となっていることが多い。
MDJ19(該当箇所)
P30 L11(透明性を確保する意義)
 
(意見)
1) グレーゾーンの扱いを明記
2) 疑いを晴らすための方法の開示
3) 問い合わせがあったときにヒットがなかった事の証明ができるようなログを取ることの要求を入れる。
 
(理由)
より実質的な指摘はできないか?確率的な情報の開示請求だけだと対象者なしになってしまうこともありうる。
MDJ20(該当箇所)
P30 L14(事業者が・・・)
 
(意見)
「事業者が」を「事業者にとって」と修正
 
(理由)
文法的誤記。
MDJ21(該当箇所)
P31 L1(情報の例)
 
(意見)
フィールドとして特徴量を加える。
 
(理由)
データベースに格納されている項目としての特徴量が抜けている
MDJ22(該当箇所)
P33 L20(法第21条)
P34 L4(自社のホームページから・・)
P34 L9(利用目的の通知)
 
(意見)
施設に入る前に見ることができるように、そこでの通知を必須にする。また、できれば中央レポジトリに掲載して、監視団体がその内容を監視できるようにする。
 
(理由)
どこかで公表していれば出さなくていいのか。
 
監視カメラの運営会社のホームページは一般人は見にいかないのではないか。
 
「望ましい」との記述では不足すると思われる。少なくとも「施設に入る前に」が必須ではないか。
抑止効果として必要なことである。
MDJ23(該当箇所)
P37 L16(イ 差別的取り扱い)
 
(意見)
demographics等、コミュニティ毎の検出比率の差や、文句があった場合の比率などの観測を通じて偏りが生じていないことを確認し続けることの重要性を記載する。
 
(理由)
カメラから取得したデータの学習への利用はまずいのではないか。
特に誤認識がpositive feedbackされることは問題であろう。
 
特に誤認識および機械学習におけるPositive feedbackの問題は注意すべきである。
MDJ24(該当箇所)
P39 L16(要配慮個人情報)
 
(意見)
該当する顔特徴量データは要配慮個人情報に準じて取り扱うべきである旨記載する。
 
(理由)
不審者はまだ犯罪を犯していないので、前科前歴のあるものではないため、その人の顔画像は要配慮個人情報ではない。
しかし、顔特徴データの不変性広範囲性取得容易性にかんがみて高リスクデータとして扱うべきではないか。
MDJ25(該当箇所)
P40 L2(本人の同意)
 
(意見)
本件に関する考え方を記載されたし。
 
(理由)
要配慮ということは犯罪歴があるということが想定され、その場合に素直に同意が取れるのか?また、なにか条件をつけた場合には同意にならないのではないか?
MDJ26(該当箇所)
P41 L1(利用する必要がなくなったとき)
 
(意見)
「照合用データベースについては、システムの運用に先立ち明確な運用基準を定め、 当該運用基準に従って運用することで、個人データを正確かつ最新の内容に保ち、利用する必要がなくなった個人データを遅滞なく消去するよう努めなければならない」を以下のように改める。
 
照合用データベースについては、システムの運用に先立ち、利用する必要性の可否の判断基準を含めた明確な運用基準を定め文書化し、 当該運用基準に従って運用するとともに、運用基準自体を運用状況に応じて適宜見直すことで、個人データを正確かつ最新の内容に保ち、利 用する必要がなくなった個人データを遅滞なく消去するよう努めなければならない。
 
(理由)
利用する必要がなくなったときを適切に検出するには、その方法を文書化してマネジメントシステムを回すことが必要であろう。このことを指摘したほうが良い。そうでないと、消去が行われなくなってしまう可能性がある。
MDJ27(該当箇所)
P42 L8(遅延なく消去)
 
(意見)
p.12の「不変性と追跡性」に対する意見を踏まえると、、顔特徴データの保存や、共同利用、第三者提供などについては、特別な配慮を要すると案内すべきではないか。
 
(理由)
p.42(3)のイにおいて、「イ 顔識別機能付きカメラで撮影した画像から抽出した顔特徴データで照合をした結果、検知対象者ではなかった者の情報」については、「遅滞なく消去するよう努めなければならない」とされている一方で、p.34の注41では「データベースとして保有する」ということもあり得るという想定である。
MDJ28(該当箇所)
P43 L1(登録消去)
 
(意見)
システム障害等でバックアップなどから戻したときに、削除したデータが戻ってしまうことがある。これは再度削除できるように、手順を組むことを要求すべき。
 
(理由)
システム障害等でバックアップなどから戻したときに、削除したデータが戻ってしまうことがある。これを再度削除できるためには、削除データを認識できる番号などのリストが必要。
MDJ29(該当箇所)
P44 L26(④技術的安全管理措置 パスワード)
 
(意見)
カッコの記載を削除。
 
(理由)
要配慮に準ずる情報の管理策の例として、パスワードは適切でない。
MDJ30(該当箇所)
P45 L7(第三者提供)
 
(意見)
提供してはいけない代表例もこの節に記載していただきたい。
 
(理由)
第三者提供してはいけない代表例も記載いただけると、読み手の理解に資すると考えられる。
MDJ31(該当箇所)
P48 L1(共同利用)
 
(意見)
適正性の判断は事業者だけではできない。PIAをやってステークホルダーの承認をうけ、PIAレポート公表することを義務化すべきである。
 
(理由)
適正性は事業者が決めるものであるならば、その利用目的や利用範囲が適正で(正当な)個人に被害が及ばないことをどのように担保するかが問題になる。
MDJ32(該当箇所)
P49 L15
 
(意見)
誤登録された店舗等利用者が開示請求を通じて是正(登録情報の削除)をしてもらう可能性が失われることになる。誤登録された情報に基づく検出行為はプライバシー侵害となる可能性もある情報の利用であるため、保有個人データに該当するかどうかにかかわらず、誤登録の疑いを理由とする開示請求には対応すべきものとすべきである。
また、どうしても施行令第5条の例外規定を使うという場合に備えて、この節の最終行「ただし、施行令第5条各号は例外的な場合であるため、慎重な判断を要する。」を以下のように改める。
「ただし、施行令第5条各号は例外的な場合であるため、慎重な判断を要する。安易に適用することなく、もしそのような判断をする場合には、判断の経緯、理由等を文書化して保管しなければならない。」
 
(理由)
誤登録の疑いがある場合の開示請求について
本報告書49頁は
「なお、施行令第 5 条で定めるものとして、「当該個人データの存否が明らかになることにより、本人又は第三者の生命、身体又は財産に危害が及ぶおそれがあるもの」(施行令第5条第1号)や「当該個人データの存否が明らかになることにより、違法又は不当な行為を助長し、又は誘発するおそれがあるもの」(施行令第5条第2号)があり、これに当たる場合、保有個人データには該当しない。」
としており、その結果として、本報告書は、照合用データベースに登録された情報は保有個人データには当たらず、事業者は開示請求に応じる義務はないという結論を取るようである。しかしながら、誤登録された店舗等利用者が開示請求を通じて是正(登録情報の削除)をしてもらう可能性が失われることになる。誤登録された情報に基づく検出行為はプライバシー侵害となる可能性もある情報の利用であるため、保有個人データに該当するかどうかにかかわらず、誤登録の疑いを理由とする開示請求には対応すべきものとすべきである。
MDJ33(該当箇所)
P50 L25(WEBサイトへの掲載)
 
(意見)
業界で集約したレポジトリを設置する、ないしは行政に報告して行政が公開するなど、中央レポジトリの導入を推奨するのが良い。
JIS X 9252 (ISO/IEC 29184) にはこの事に関する記載がある。
 
(理由)
単に事業者のWebサイトに記載するのでは、個人から見て発見可能でないのであまり意味がない。
一般の個人情報に比べてより強く配慮されるべき顔識別情報に関しては、追加の考慮ががあるべきと考えられる。
MDJ34(該当箇所)
P50 L25(WEBサイトへの掲載)
 
(御意見)
業界での統一のオプトアウト窓口を作ることを推奨する旨ご記載いただきたい。
 
(理由)
オプトアウトをしようとしても、そもそも対象事業者が個人にとって発見不能であればオプトアウトのしようがない。
MDJ35(該当箇所)
P53 L17(顔画像の提出)
 
(意見)
下記の経緯でmatchしなくなり、誤認識が続く可能性も記載すべき。
 
(理由)
監視カメラは様々な角度から撮っている。False Positive で追いかけられている場合など、正面からの2次元画像を提出してもマッチしないのではないか?どの程度照合したら良いのかを記載すべきであろう。
MDJ36(該当箇所)
P59 L23(PIA)
 
(意見)
リンクを正しくする。
JIS X 9251 も合わせて参照する。
 
(理由)
提供されているリンクは現在有効ではなく、「お探しのページが見つからない」になるので正しいリンクを張ってほしい
(また、URLが変わるときには、リダイレクトを設定すべし)
また、PIAとしては、JIS X 9251 (ISO/IEC 29134) があるので、これもご参照いただきたい。
MDJ37(該当箇所)
P60 L2(被害者への説明)
 
(意見)
「望ましい。」の後に以下を挿入する。
 
通知の書き方や通知のタイミング、方法などについては、JIS X 9252 として規格化されており、参照可能である。
 
(理由)
実際の方法に関して、よくわからない、となってしまう事業者が多いので、JIS規格を参照するなどして、より具体的な知識を得られるようにすべきではないか。

以上