顔認識の国家基準に関する意見募集：顔のスキャンや嗜好予測の義務化はなし

近年、顔認証が話題になっていますが、現実には、通知なく顔認証データを取得したり、強制的に顔認証させられたりする現象が頻繁に発生しています。今回公布される国家基準は、顔データの悪用、漏洩、紛失、過度な保管・使用などの問題を解決することを主な目的としており、「個人情報保護法」草案における顔認識関連の規定を反映し、精緻化している。

[[395478]]

国家規格では、顔認識データを収集する際には、データ主体の明示的な同意を得る必要があり、顔認識データはデータ主体の職務遂行能力、経済状況、健康状態、嗜好、興味などを評価または予測するために使用してはならないと規定されています。同時に、顔認識以外の身元識別方法もユーザーに選択できるように提供され、データ主体が顔認識データの収集に同意しないという理由で基本的なビジネス機能へのアクセスを拒否されることがあってはなりません。

さらに、顔認識を行う開発者には技術的な資格基準が設定されており、「ライブ写真」などの手段で顔認識が不正に解読されることを防ぐために、対応するデータセキュリティ保護機能と個人情報保護機能を備えていることが求められています。

明示的な同意が必要であり、識別目的のみに使用される

編集指示書では、顔認識技術が金融、交通、人材・社会保障、医療などの業界で広く活用され、大きな社会的・経済的価値を生み出していると指摘している。しかし同時に、顔認識情報は変更が容易ではなく、一度失われると永久に失われる可能性があり、一種の敏感な個人情報です。 「関連する標準や仕様がないため、顔認識データの無差別な収集、保管、使用に対する明確なセキュリティ要件がなく、セキュリティ保護対策が脆弱になっています。ユーザーの明示的な許可なし、または範囲を超えた顔情報の使用には、広範囲にわたる課題があります。」

そのため、国家標準は主に顔データの悪用、漏洩、紛失、過剰な保管、使用などの問題を解決するために策定されており、データ管理者が顔認識データ関連業務を安全に行うのに適しています。

実際、顔認識は常に国民の関心を集めて熱く議論されてきたテーマであり、顔認識データの違法な収集や悪用が何度も暴露されてきました。例えば、営業所には顔認識システムが設置されており、今年の「3.15」夜会では、多くの商店が顧客に通知したり同意を得たりすることなく、顔認識システムを通じて密かに顧客の顔認識情報を入手していることが明らかになった。

「個人情報保護法案」第27条では顔認識についても具体的な規定を設けており、公共の場における画像収集や個人識別装置の設置は、公共の安全を維持するために必要であり、関連する国の規制を遵守し、目立つ警告標識を設置する必要があると規定している。収集された個人画像および個人識別特性情報は、公共の安全を維持する目的でのみ使用され、個人の個別の同意がある場合、または法律や行政規制で別途規定されている場合を除き、他者に開示または提供されません。

国家標準は上記の混乱に対して一定の対応を行い、「個人情報保護法」草案にも関連規定を反映し詳細化しました。

例えば、国家標準では、顔認識データを収集する際には、データ主体に収集目的、データの種類と量、処理方法、保存期間などの規則を通知し、データ主体の明確な同意を得る必要があると規定しています。顔認証や顔認識は、非顔認識方法の安全性や利便性が顔認識方法よりも著しく低い場合にのみ実行できます（空港や駅での書類照合など）。顔認識データは、データ主体の職務遂行能力、経済状況、健康状態、嗜好、興味などを評価または予測するなど、本人確認以外の目的には使用しないでください。

また、国家標準では、公共の場で顔認識データを収集する場合、データ主体が顔認識に積極的に協力するための仕組み（つまり、データ主体が収集装置を直接見て特定のジェスチャーや表情をすることを要求する、または「顔認識」と表示された専用の収集チャネルを経由することなど）を設ける必要があると規定されています。この規制により、本人の知らないうちに顔データが収集されることを効果的に防止し、データ主体のインフォームドコンセントの権利を保護することができます。

これまでメディアで何度も報じられてきた「ライブ写真」を使って顔認証を破る技術を防ぐため、国家標準では顔認証を行う企業や開発者の資格要件も提示している。国家標準では、データ管理者は対応するデータセキュリティ保護と個人情報保護の機能を備え、妨害攻撃を防止できなければならないと規定されています。プレゼンテーション妨害攻撃には、主に顔写真、紙マスク、顔ビデオ、顔合成アニメーション、シミュレートされた顔の3次元マスクなどを使用して、顔認識を攻撃および妨害することが含まれます。

顔のスキャンは必須ではないが、保管には書面による許可が必要

4月9日、国内初の顔認証訴訟で最終判決が下された。 21世紀ビジネスヘラルドは以前、原告の郭兵氏が動物園が入場方法を指紋認証から顔認証に変更し、顔認証を有効化していない客の通常の入場を許可しなかったことに不満を抱き、ワイルドライフワールドを訴えたと報じていた。杭州市中級人民法院は最終的に、ワイルドライフワールドに対し、郭氷氏に1,038元の賠償金を支払い、郭氷氏の顔の特徴情報と指紋認識情報を削除するよう命じる判決を下した。

現実には「顔認証を有効化していないお客様は正常に入場できない」といった強制顔認証の状況が頻繁に発生しており、国家基準にもこれに対応する規定がある。顔認識以外の身元識別方法を提供し、データ主体がそれらの使用を選択できるようにする必要がある場合、データ主体は顔認識データの収集に同意しないという理由で基本的なビジネス機能の使用を拒否されるべきではありません。

データ主体が顔認識を許可した場合でも、国の基準に従って、機能やサービスの使用を明示的に停止するか、許可を取り消すことによって、データ管理者に顔認識データの削除または匿名化を要求することができます。原則として、顔認識データは共有または転送しないでください。ビジネス目的で共有または転送する必要がある場合は、関連規制に従ってセキュリティ評価を実施し、共有または転送の目的、受信者の身元、受信者のデータセキュリティ能力、データの種類、考えられる影響などの関連情報をデータ主体に別途通知し、データ主体の書面による許可を取得する必要があります。

顔画像については、国家標準により、検証または識別が完了したらすぐに削除することが義務付けられています。開発者が顔画像を保管したい場合は、データ主体から別途書面による許可を得る必要があります。

国家規格では、「原則として、顔認識は14歳未満の未成年者の識別には使用すべきではない」とも明記されていることは注目に値する。

これまで、未成年者のゲーム依存症を防ぐため、一部の政治協商会議委員、全人代代表、保護者らの要請に応えて、ゲームメーカー各社は顔認証の導入を計画していた。しかし、未成年者の個人情報保護がますます重要になるにつれ、こうした対策の実施は困難になるだろう。

この点について、浙江大学光華法学院インターネット法研究センター所長の高延東氏は、企業が心理的成熟の方向からより多くのイノベーションを起こし、ゲームへのアクセス段階で相応の「テスト」を設計し、「精神的に成熟しているかどうかを区別しながら、未成年者の達成感と自制心を高める」ことを提案した。