2020年6月5日、改正個人情報保護法が国会において可決、成立し、2022年4月1日より、この改正法は全面施行されています。
本稿では、この個人情報保護法に関連し、防犯カメラ映像の扱いについて、個人情報保護法ガイドラインの内容等を中心に解説します。

第1 個人情報保護法に関する基礎知識

1 個人情報保護法とは

個人情報保護法(正式名称:個人情報の保護に関する法律)は、平成15年に成立した法律です。
この法律は、個人情報の適切な取り扱いに関し、個人情報の有用性に配慮しつつ、個人の権利利益の保護を図ることを目的としています。
平成28年には、国の機関として個人情報保護委員会が設立され、個人情報保護法のガイドラインの策定・公表や、事業者に対する監督などを行っています。

2 個人情報とは(概要)

個人情報保護法では、「個人情報」とは、生きている個人に関する情報であることを前提に、①特定の個人であると分かるもの(氏名、住所、生年月日等)及び他の情報と紐づけることで容易に特定の個人であると分かるもの、または、②個人識別符号が含まれるものと定義されています(個人情報保護法第2条第1項)。

したがって、亡くなった方の情報は、個人情報保護法における「個人情報」にはあたりません。
また、法人(企業や団体など)は生きている個人ではないため、法人情報は「個人情報」に含まれません(もっとも、法人の情報であっても、法人の役員の氏名といった情報は、「個人情報」に含まれることになります。)。

第2 防犯カメラの映像が個人情報にあたるか

個人情報保護法第2項第1項第1号は、以下のように規定しています。

「当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第2号において同じ。)で作られる記録をいう。以下同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。」

長くて読みづらい条文ですが、要するに、「当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」が個人情報ということになります。
なお、他の情報と容易に照合することができ、それにより特定の個人を識別することができるものを含まれます。
また、生存する個人の情報であることが前提であることは、前記の通りです。

そして、防犯カメラに記録された映像も、個人情報に該当します。顔は一人一人異なるものであり、特定の個人を識別することができるからです。

第3 防犯カメラに関する個人情報保護法上の問題点

1 利用目的の特定

顔認証データは取り扱わないような、従来型の防犯カメラの場合には、利用目的は誰の目にも明らかといえます。
したがって、利用目的の通知・公表は不要と考えられています(個人情報保護法第21条第4項第4号)。
とはいえ、防犯カメラが作動中であることを店舗入口や防犯カメラの設置場所などにおいて示し、防犯カメラで自らの個人情報が取得されていることを本人が容易に認識できるようにしておくことが望ましいといえます。

一方で、設置した防犯カメラによりカメラ画像を取得し、そこから顔認証データを抽出してこれを防犯目的で利用する場合には、本人がこれを容易に認識できるとは言えません。
また、顔認証データは、マーケティングなどの他の目的にも利用され得る個人情報ですので、利用目的も一見して明らかとは言えません。
したがって、防犯の目的で、カメラ画像及び顔認証技術を用いた顔認証データの取り扱いが行われることについて、利用目的を特定し、これをあらかじめ公表するか、取得後速やかに通知・公表する必要があると考えられています。

2 映像の保存期間

個人情報保護法第22条は、次のように規定しています。
「個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人データを遅滞なく消去するよう努めなければならない。」

防犯カメラ映像についても、上記の規定から、利用する必要のある最低限の期間にする必要があります(期間は一概に決まっているわけではありません。)。
また、必要以上に長く映像を保管することは、個人情報の流出のリスクを高めることになりかねません。
したがって、事業者は、いつまで防犯カメラ映像を保管しておくのか、期間を定めておくことが重要です。

3 安全管理措置

個人情報保護法第23条は、次のように規定しています。
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」

このように、事業者は、個人データについて、安全管理措置を講ずる必要があります。
個人情報保護委員会が公表している個人情報保護法のQ&Aでは、以下のような措置が例示されています。

①組織的安全管理措置
例:カメラ画像等を取り扱う情報システムを使用できる従業者を限定する、事業者内の責任者を定める、管理者及び情報の取扱いに関する規程等を整備する等

②人的安全管理措置
例:従業者に対する適切な研修(個人情報保護法の適用範囲・義務規定、カメラ画像の取扱いに関する講義等)等を実施する等

③物理的安全管理措置
例:カメラ及び画像データを保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じた適切な安全管理を行う等

④技術的安全管理措置
例:情報システムを使用してカメラ画像等を取り扱う場合や、IPカメラ(ネットワークカメラ、WEB カメラ)のようにネットワークを介してカメラ画像等を取り扱う場合に、必要とされる当該システムへの技術的なアクセス制御や漏えい防止策等を講ずる(アクセス制御には適切な場合にはパスワード設定等の措置も含む。)等

⑤外的環境の把握
例:外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずること

なお、カメラ画像等が保有個人データに該当する場合には、上記の安全管理のために講じた措置の内容を本人の知り得る状態に置く必要があります。
本人の求めに応じて遅滞なく回答することでも構いません。
ただし、本人の知り得る状態に置くことによって安全管理に支障を及ぼすおそれがあるものについては、この限りではありません。

第4 まとめ

今ではどこにでもある防犯カメラですが、個人情報保護法の観点では、相応の対応を講じておく必要があります。
個人情報の取り扱いについてのご相談がある場合は、ぜひ当事務所までお問い合わせください。

ご相談 ご質問
グリーンリーフ法律事務所は、設立以来30年以上の実績があり、18名の弁護士が所属する、埼玉県ではトップクラスの法律事務所です。
また、各分野について専門チームを設けており、ご依頼を受けた場合は、専門チームの弁護士が担当します。まずは、一度お気軽にご相談ください。

■この記事を書いた弁護士
弁護士法人グリーンリーフ法律事務所
弁護士 赤木 誠治
弁護士のプロフィールはこちら