個人情報保護の展望
2021.04.07
<キーワード>
匿名化 個人情報保護
<概要>
本記事では、個人情報保護の現状を振り返った上で、今後特に注目すべき対象は顔の写った動画・画像データであることをお伝えします。
本記事の内容を踏まえた上で、動画・画像データ保護の新技術を紹介する記事はこちらです。AIによる新技術「Face Identity Transformer」を用いた動画・画像データ保護方法を提案しています。
なお、Face Identity Transformerは、Xiuye Guらによる「Password-conditioned Anonymization and Deanonymization with Face Identity Transformers」という論文の中で提案され、 ECCV2020で受理された論文の技術です。(参考文献[18])
<POINT>
①企業活動において、引き続き個人情報保護へ関心を向けることが重要
②今後の個人情報保護に関して、特に注目すべきなのが顔の写った動画・画像データ
<目次>
・はじめに
・個人情報保護の過去と今
・今後、特に注目すべき個人情報保護対象は顔の写った動画・画像データ
・終わりに
・参考文献
はじめに
インターネットの発達による情報流通の活発化と常に隣り合わせだったのが、個人情報保護に関する問題です。各企業は自身の保管する個人情報に対して、万全のセキュリティ対策を施してきました。それでも、悪意あるサイバー攻撃による情報漏えいの事故はあとを絶ちません。
テクノロジーの進化に伴いさらなるデータの利活用が期待される中で、個人情報保護における今後の動きはどのようになっていくのでしょうか?
個人情報保護の過去と今
個人情報保護の今後を考える前に、まずは現在までの個人情報保護に関する出来事を振り返ってみます。
本章では、日本の個人情報保護法を取り巻く歴史と、国内外で発生した個人情報に関する事故について紹介します。
個人情報保護法を取り巻く歴史
日本の個人情報保護法は、制定当初から諸外国の影響を抜きに説明することはできません。20世紀後半、テクノロジーの発達に伴い、国をまたいだ情報交換が活発になりました。それに伴い、各国の個人情報の取扱いに関して、経済的な観点から足並みを揃える必要が出てきました。
当時は個人情報保護に関する国際的な統一基準がなかったため、1980年にOECD(経済協力開発機構)で個人情報保護と情報流通に関する世界水準を定めた「プライバシーガイドライン」が採択されました。プライバシーガイドラインが採択されたあとも、テクノロジーの急速な発展は続いたため、1995年には国内での法整備を義務付ける「EUデータ保護指令」が制定されています。(参考文献[1])
一方、当時の日本では個人情報保護において、民間を対象とした法整備は進んでいなかったため、EU各国との情報流通に制限がかかる可能性が浮上しました。
そこで諸外国との自由な情報流通を維持するために、国内の法整備が開始されました。結果、2005年に個人情報保護法が施行され、個人情報の例として、生存する特定の個人が識別できる文字情報の「名刺」、画像の「顔写真」などが挙げられました。(参考文献[2][16])
その後、ICT技術の発展により生体認証の利用が活発になったことを受け、2017年には改正個人情報保護法が施行されました。2017年の改正では、身体の一部の特徴を変換したデータも個人識別符号として個人情報の定義に含まれるようになりました。同時に、時代の変化に合わせた法の制定を行うため、3年ごとに見直しを行うことが決められました。(参考文献[3][8])
そのため3年後の2020年には、時代の流れに合わせるべく新たに「個人情報の保護に関する法律等の一部を改正する法律」が公布されています。この改正法には、個人情報を保護しつつ活用できるよう、新たに『仮名加工情報』というものが導入されました。個人情報保護委員会は、公布後2年以内の法施行を目指しています。(参考文献[11])
また、近年の諸外国における個人情報保護、プライバシー尊重の動きも活発です。EUでは、2018年にGDPR(EU一般データ保護規則)が施行され、多額の制裁金や適用範囲の広さから注目が集まりました。(参考文献[9])
世界有数のIT企業が集まるシリコンバレーのあるカリフォルニア州では、2020年からCCPA(カリフォルニア州消費者プライバシー法)が適用開始となりました。カリフォルニア州以外でも、アメリカでは個人情報漏洩時の通知に関する規律が州ごとに設定されており、連邦法による包括的な個人情報保護の規律を定める動きも進んでいます。(参考文献[4][5])
このような諸外国の動向に対し、日本は積極的な歩み寄りを見せています。一例として、日本とEU間における個人データ移行に関する取り決めが挙げられます。日EU間における情報流通を円滑にするため、日本は法整備と同時に欧州委員会との協議を進め、日本の法制度に関する説明も行っています。
その結果、人権への関心が高く個人情報保護に積極的な欧州のGDPRにおいても、日本の個人情報保護制度は十分性認定をされました。同時に、日本側も個人情報保護法に基づいてEUの指定を行い、日EU両者における個人情報保護体制が同等のレベルであることが示されました。(参考文献[15][17])
実際、熊澤春陽個⼈情報保護委員会委員とベラ・ヨウロバー欧州委員会委員による共同声明でも、包括的な個人情報保護の法律や独立機関によるデータ保護の遵守体制について、両者が高い類似度を持つと述べられています。(参考文献[15])
日EU間で相互に十分性認定を行い、自由なデータ移転が可能な経済圏を形成することは、両国における今後の経済に大きな利益を生み出すでしょう。
このように、日本の個人情報に関する法律は、制定当初から現在に至るまで海外の動向と深い関係にあります。インターネットの急速な発展に伴い世界規模でのビジネスが当たり前となっている現代社会では、経済的観点から世界各国が足並みを揃える必要は今後も大いにあるでしょう。
特に日本は、EUを始めとする個人情報保護に前向きな流れと密接な関係にあったため、引き続き個人情報の保護に関して積極的になることが予想されます。
国内外で発生した個人情報に関する事故
前節で、世界各地で個人情報保護に関する取り組みが活発化していることを紹介しました。その背景には、インターネット上に収集された個人情報が流出し、深刻な被害をもたらす可能性が高まっているという現実があります。
近年、個人情報の悪用が社会的に大きな影響を与えた例として有名なのが、世界有数のSNSを運営するFacebook社の事例です。
選挙のコンサルティングを行う英国のケンブリッジ・アナリティカ社が、Facebookの個人情報を不正に大量取得し、2016年のアメリカ大統領選挙において大きな影響を与えた可能性が指摘されました。(参考文献[12][13])
また、世界的に有名なセキュリティ企業が個人情報の流出を指摘された例もあります。世界中の政府機関、金融機関、大学、企業に提供されており、特に生体認証サービスにおけるシェアがトップクラスの企業であったため、大きな波紋を呼びました。
記憶に新しい例では、国内の有名大学が不正アクセスにより、顔写真を含む個人情報を流出してしまった可能性があるという報道がありました。
残念なことに、情報漏えいの事故は日々発生しているため、このような事例は際限なく列挙できてしまいます。実際に、株式会社セキュアオンラインが運営するサイバーセキュリティ.com(参考文献[10])には、2021年もすでに10件を超える被害事例が載せられています。
上記の事例におけるケンブリッジ・アナリティカ社の場合は、2018年に破産申請を行ったことが報じられ、Facebook社も大きな代償を払うことになりましたが、いかなる企業も流出事故が起きた場合の被害は無視できないでしょう。
個人情報が流出した場合の被害額に関しては、IBM Security が発行した『情報漏えい時に発生するコストに関する調査2020年版』では、「2020年版の調査レポートでは、情報漏えいの世界的な総コストが平均386万ドル」(IBM:『情報漏えい時に発生するコストに関する調査2020年版を公開』より引用)という報告がなされ、状況によっては金銭的に大きな代償を背負うことが分かります。(参考文献[14])
また、個人情報流出に対する企業や団体のイメージダウンも深刻です。ユーザー離れによる売上低下、株価暴落、事業撤退など、様々な方向に間接的な被害が及びます。
このような事例から、企業活動における個人情報保護への取り組みは、法令遵守や社会的責任を果たす上で必須であると同時に、企業やサービスに対するイメージ、サイバー攻撃を受けた際の被害に大きく関係してくることが分かります。
そのため、個人情報の取り扱いには引き続き注意を払うとともに、今後の動向に関心を持つことが重要です。
それでは、個人情報の取り扱いに世界的な関心が寄せられる中、今後の動向はどのようになっていくのでしょうか。
今後、特に注目すべき個人情報保護対象は顔の写った動画・画像データ
では、今後の個人情報保護の動きはどのような方向に進んでいくのでしょうか?
多種多様な可能性が考えられますが、今回は筆者が特に取り扱いに注意すべきだと考える「顔の写った動画・画像データ」に関して取り上げたいと思います。
なぜ、顔の写った動画・画像なのか
では、なぜ顔の写った動画・画像データに注目すべきなのでしょうか?
それは通信技術やAIなどの発展に伴い、画像データを活用する場面が飛躍的に増えたのに対し、顔の写った動画・画像データが持つリスクへの対策が不十分だと考えられるからです。
ここ数年、新型コロナウイルスの蔓延も影響し、動画面接、オンラインミーティング、SNS、オンライン本人確認など、個人を特定する上で有効な顔の写った動画、画像がますますインターネット上を飛び交うようになりました。
その背景には、動画・画像データを送受信できるだけの通信網の発達、AIを用いた画像データ解析技術の進歩とハードウェアの進化、Instagram、TikTok、Zoomといったサービスの増加など様々な要因があります。
しかし、それらの動画、画像に関して匿名化の処理が施されたり、ユーザーが意図しない他者の閲覧を制限できたりするなどの措置は、十分に実現していません。
そのため、最新の技術を用いてインターネット上の画像が悪用されるケースも発生しています。特に、AIを用いたディープフェイクという技術で有名人の画像を用いた合成を行い、名誉毀損によって訴えられたケースは有名です。ディープフェイクによる合成技術は完成度が高く、顔の動きや音声などを組み合わせて本人そっくりのフェイク動画を作成できます。
この合成技術は使用における難易度はそこまで高くなく、SNS上にアップされている一般人の画像、動画を収集し行うこともできるため、誰もが被害にあう可能性があるのです。(参考文献[6])
また、前節にて紹介した個人情報流出事故では、匿名化されていない多くの顔写真が流出した可能性があります。顔写真や顔から抽出される特徴量は、生体認証に用いられる重要な情報です。認証・認可に用いられる情報の中でもパスワードのように容易に変更ができず、個人を特定する上で非常に有用な情報のため、悪用されるリスクも高くなります。
AI、ビッグデータといったワードが注目される今、インターネット上に蓄積されたデータの利活用による恩恵は計り知れません。しかし同時に、プライバシー保護に関する技術や法規制へ関心を向けなければ、誰もが被害者になりかねないのが現状です。
企業活動においても、今後はオンラインによる手続き簡略化、通信技術の発展に伴い動画、画像などのデータを活用する機会は増えていくでしょう。
今まで以上に動画・画像データへの配慮が必要になることが予想されます。
終わりに
このような現状と、動画・画像データの利活用が進んでいく可能性が高いことから、動画・画像データはより一層の保護対策が施されるでしょう。今後も個人情報保護に関するサービスや技術には目が離せません。
本記事の続きとして、動画・画像データの保護に関するサービスと最新技術を紹介する記事はこちらです。
AIによる新技術「Face Identity Transformer」を用いた動画・画像データ保護方法を提案していますので、ぜひ御覧ください。
なお、BTCでは最新の技術をいち早くキャッチアップし、お客様のビジネスに繋げられるよう様々な取り組みをしています。
コンサルティング・テクノロジー双方に精通するプロフェッショナル集団として、皆様のお役に立てる日を心待ちにしております。
参考文献
[1]一般財団法人 日本情報経済社会推進協会 「2-1.制度が誕生した背景~世界的な動き~」
[2]鶴巻 浩 「個人情報保護法制定までの経緯、論点、展望」
[4]Priv Lab 「個人情報にまつわる法律と動向を解説!海外・日本の違いとは?」
[5]国立研究開発法人 情報通信研究機構 (欧州連携センター) 「欧州におけるプライバシー保護に係る研究開発および法制度の動向」
[6]LIONBRIDGE AI 「ディープフェイク(Deepfake)とは」
[7]AI-SCHOLAR 「パスワードで顔の匿名化と復元、プライバシーとアクセシビリティを両立する新しいFace Identity Transformer」
[8]新崎卓 「生体認証と改正個人情報保護法をめぐる動き」(PDF)
[9]高崎 晴夫 「個人情報保護に関わる法制度をめぐるEUの状況」(PDF)
[10]サイバーセキュリティ.com. 「個人情報漏洩事件・被害事例一覧」
[11]BUSINESS LAWYERS 「2020年6月成立の個人情報保護法改正の経緯とポイントを板倉弁護士が講演」
[12]総務省 「30年版 サイバーセキュリティに関する国際動向」
[13]BBC NEWS JAPAN 「ケンブリッジ・アナリティカ廃業へ フェイスブックデータ不正収集疑惑で」
[14]IBM 「情報漏えい時に発生するコストに関する調査2020年版を公開」
[15]個人情報保護委員会 「日EU間・日英間のデータ越境移転について」
[16]堀部政男 「プライバシー・個人情報保護議論の世界的展開と日本」(PDF)
