カメラを設置してカメラ画像・顔特徴データ等を取り扱う場合には、安全管理措置として特にどのような点に注意すればよいですか。

個人情報取扱事業者は、法第23条に基づき個人データについて安全管理措置を講ずることが義務付けられています。カメラ画像・顔特徴データ等が個人データに該当する場合には、その性質（特に、顔特徴データは不変性が高く、個人の行動の追跡が可能となること等）も踏まえ、当該個人データの漏えい、滅失又は毀損の防止その他の安全管理のために必要かつ適切な措置を講じなければならず、具体的には組織的安全管理措置、人的安全管理措置、物理的安全管理措置、技術的安全管理措置、外的環境の把握として、例えば以下のような措置が考えられます。

• ①組織的安全管理措置：カメラ画像・顔特徴データ等を取り扱う情報システムを使用できる従業者を限定、事業者内の責任者を定める、管理者及び情報の取扱いに関する規程等を整備する　等
• ②人的安全管理措置：従業者に対する適切な研修（個人情報保護法の適用範囲・義務規定、カメラ画像・顔特徴データ等の取扱いに関する講義等）等を実施する　等
• ③物理的安全管理措置：カメラ、画像データ・顔特徴データ等を保存する電子媒体等の盗難又は紛失等を防止するために、設置場所に応じた適切な安全管理を行う　等
• ④技術的安全管理措置：情報システムを使用してカメラ画像・顔特徴データ等を取り扱う場合や、IPカメラ（ネットワークカメラ、Webカメラ）のようにネットワークを介してカメラ画像等を取り扱う場合に、必要とされる当該システムへの技術的なアクセス制御や漏えい防止策等を講ずる（パスワード設定等の措置がアクセス制御のために適切な場合はかかる措置も含む。）、アクセスログの取得分析により不正利用の有無を監視する　等
• ⑤外的環境の把握：外国において個人データを取り扱う場合、当該外国の個人情報の保護に関する制度等を把握した上で、個人データの安全管理のために必要かつ適切な措置を講ずる

また、カメラ画像・顔特徴データ等が保有個人データに該当する場合には、保有個人データの安全管理のために講じた措置の内容を本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければなりません。ただし、本人の知り得る状態に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものについては、本人の知り得る状態に置く必要はありません（法第32条第１項第４号、施行令第10条第１号）。

なお、カメラ画像・顔特徴データ等がデータベースを構築していない場合には、個人データとして法第23条の安全管理措置を講ずる義務が直接適用される対象ではないものの、当該画像が漏えい等することがないよう、上記の各種安全管理措置を参考として適切に取り扱うことが望ましいと考えられます。
（平成30年12月追加・令和５年５月更新）