指紋や顔などの生体情報は、いったん特徴がデータ化されて流出してしまうと元の情報の変更ができないので取り返しがつかない。特に、社会で利用が広がろうとしているのが顔認識を利用したシステムだ。
施設内を通行する人の動線把握や年齢、性別の推定を行い、マーケティングなどに役立てるシステムは既に実用化が進んでいる。もしこれが個人特定できる情報と結びついたら、個人の行動が逐一監視できることになり、プライバシー保護上問題が大きい。
ちなみに顔認識データは、主に額から目の周辺画像の特徴によって、データベースにその人の顔データがある場合には高い精度で一致を検出できる。以前Facebookの画像からの顔認識機能が話題になったが、米カーネギーメロン大学が写真撮影に同意した人の顔写真をFacebookのデータと照合したところ、3分の1の人のプライベート情報(社会保障番号の一部を含む)が分かったということだ。
個人情報保護法施行から約10年間でソーシャルメディアは急速に普及しており、そこから得られるプライベート情報は膨大だ。たとえ本人がプライベート情報を公開していなくても、友達のリンクと投稿を丁寧にたどればさまざまな関連情報が手に入る。
これは何も顔画像に限ったことではなく、物品の購入情報やGPSによる特定時間帯の位置情報、あるいは上の例のような特定駅での乗降情報など複数の情報をSNSの情報に突き合わせれば、個人特定は不可能ではない。
そこで骨子案では購買履歴や移動履歴も個人情報としようとしていたが、容易に他の情報と照合できるかどうかは微妙なところで、現在のところはこれらは氏名などとセットになっている場合以外は個人情報から除外される見込みだ。法案でどうなるかが注目される。
2014年4月に情報通信研究機構(NICT)が、JR大阪駅ビルでカメラ撮影した人の流れを追跡したデータを収集して防災目的に役立てようという実験を行おうとしたところ、市民からの抗議の声が上がり、実験を取りやめる事態になった。
この件は第三者委員会によって検討され、民法や個人情報保護法には違反していないが、実験実施には(1)撮影回避手段を設けること、(2)映像センサーの存在、稼働を施設利用者に明らかにすること、(3)安全管理措置を徹底すること、(4)実験に関する計画、目的、手段などを丁寧に説明することが提言された。
NICTはこれを受け、2014年11月から夜間の一般利用者が入れないエリアにおいて文書で同意を得たエキストラのみによって実験を再開した。
また、商業施設などでは、顔画像を利用して性別や年齢を推定してマーケティングなどに役立てる取り組みが行われており、個人を特定しはしないものの、やはり事前通知や回避が難しいという課題がある。
その他、個人ごとに与えられる符号も個人情報とされている。免許証番号、パスポート番号などがそれに当たる。例示では携帯電話の番号も示されているが、こちらは民間事業者が付番していて強制的なものではなく、本人が変更できるとして除外される可能性がある。
また2015年から付番が始まるマイナンバーは、「特定個人情報」となり、個人情報保護法よりも厳重な保護が規定されている。
なお、家電製品はじめ多くの個人使用機器の製造番号はどうなのかは気になるところだが、こちらは付番の目的が個人の特定とは大きく異なるので個人情報にはあたらない見込みだ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。