皆さん、会社に防犯カメラや監視カメラは設置していますか?
防犯上、コンビニ等のお店には当然のように付いている監視カメラですが、最近では事務所の出入り口や重要な情報を置いている部屋(サーバー室など)にも設置されていることも多く、鮮明に撮影された映像がPCやスマホで確認出来たりします。
そんな監視カメラですが、個人情報保護の観点ではどんな取り扱いになるか疑問に思ったりしないですか?
今回は、監視カメラを設置したりする際に個人情報保護の観点から注意しなければならない点について少し触れてみたいと思います。
また、こうしたISMS/Pマークや情報セキュリティ上のお悩みについて、弊社の熟練した情報セキュリティコンサルタントがサポートいたします。月額5,000円からご利用いただけます。
まずは無料でご相談、お問い合わせください。
メール相談し放題! 柔軟・多彩なサポート内容!
録画された映像は個人情報?
監視カメラに映る映像はそもそも個人情報にあたるのでしょうか?
実は、れっきとした個人情報に該当します。カメラに映る映像が単独で個人が特定可能なものであれば、それは個人情報です。実際「個人情報の保護に関する法律についてのガイドライン(通則編)」の定義の中でも、個人情報に該当すると記載されています。
逆に言うと個人の顔が一切識別できない画質の映像であれば個人情報に該当しないわけですが、それだとカメラ設置の意味があるとはいえません。
監視カメラで個人情報が漏えいする場面
監視カメラは、今では街中のいたるところに設置されていますが、犯罪の防止であったり、従業員の監視であったりという目的で設置されていることがほとんどです。では、どのような場面で監視カメラから個人情報が漏えいするのかを解説していきたいと思います。
例えば、あるコンビニで強盗事件があったと仮定します。犯人は逃走しており、行方不明の状態であるとします。その犯人を特定するためには、監視カメラに録画された映像を再生して、犯人を特定しなければならない、という事例で、もしその犯罪の現場に自分が居合わせたとします。
事件時の映像を再生して、自分が写っているときに「はっきりと自分だと判別できる」映像であったとしましょう。もし、この映像を従業員が不正に持ち出した場合、これは、個人情報の漏えいに当たってしまいます。
要注意!特定の個人を識別できる情報の取り扱い
JISQ15001:2006規格(プライバシーマークを取得するために遵守すべき規格)の「2.用語及び定義」の部分で、「個人情報」の定義がなされています。その定義では、「特定の個人を識別できる」情報を個人情報としています。
では、先ほどの具体例に戻って考えてみましょう。ここで私が仮定しているのは、監視カメラの映像で「はっきりと自分だと判別できる」場合です。
この具体例をJISQ15001:2006規格と照らし合わせると、監視カメラの映像は個人情報に当たるのです。
監視カメラを社内に設置している場合は、その映像にも配慮してください。もしその映像が社外に流出してしまうと、個人情報の漏洩につながる恐れがあります。さらに従業員の方へも映像の取り扱い方について周知しておくことが必要です。
個人情報の定義は、JISQ15001:2006規格に書いている通り「ある特定の個人だと判別できるもの」です。それは、名前や生年月日等だけではなく、監視カメラの映像のような意外なものが個人情報に当たるということも知っておきましょう。
データはどう管理すべき?
では、次に監視カメラの映像をどう管理すべきか解説します。
上記で触れた通り、監視カメラの映像が個人情報に該当する以上、適切なデータ管理が求められます。
例えば、以下のようなことが挙げられます。
- 録画データが保存されている先にアクセス制限をかけ、誰でも見れるような状態にしない。
- 別媒体(外付けHDD等)にデータを保存している場合、その媒体の盗難対策等を実施する。
- 録画データの保管・管理を外部の会社に任せる場合、委託先としての評価を実施する。
監視カメラと言う特性上、誰もがデータを見れてしまってはいけません。また、何かがあった際の証拠になるので盗まれてしまう危険性や勝手に削除されてしまう危険性は先に排除しておく必要もあります。
また、外部に管理を任せる場合はその委託先が安心できる会社かどうか(情報セキュリティ上安心できる委託先かどうか)を確認しておくことも重要です。
Pマーク取得事業者として実施すべきことって?
最後は、Pマークを取得している企業の場合、カメラに映る・録画される個人情報の取扱いについてどうすべきかです。
Pマークを取得している場合、映像は個人情報である以上、個人情報として特定し、リスク分析の実施が必要です。
更に、個人情報として利用目的の公表も必要となります。カメラに映る映像はPマーク上の言葉を使うと「直接書面以外での取得」の個人情報になります。その場合、利用目的の通知もしくは公表が必要となります。ですので、何らかの形で利用目的の通知もしくは公表をおこないましょう。
よく目にするものとしては、たとえば、撮影される人の分かりやすい場所に「監視カメラ作動中」という張り紙を掲示し利用目的を記載する方法や、ホームページ上で利用目的を掲載するなどの方法が挙げられます。
また、仮に監視カメラを従業員の方のモニタリング(業務監視)に利用する場合、その利用目的に対して同意を得ることが必要になりますので、その旨を同意書等に記載することが望まれます。
このように監視カメラ1つにしても個人情報になる以上、様々なことが求められます。
カメラを設置して情報を収集するには、安心してもらうためにもしっかりとした管理が必要になってきます。
まとめ
防犯カメラや監視カメラを導入することは、犯罪発生時に証拠となる映像を収集できることだけでなく、犯罪そのものを抑止させることにもつながります。ただし、収集された映像に人物が記録されている場合、それは個人情報として取り扱われる可能性があります。そのため映像データの適切な管理が必要です。もし防犯カメラや監視カメラを導入するのであれば、その目的を明確にして、個人情報に対する十分な配慮が求められることを忘れないようにしましょう。
また、LRMの熟練した情報セキュリティコンサルタントによる定額制ISMS/Pマーク運用ご支援サービスについて詳しくはこちら。
