個人情報保護委、タクシー利用者の顔画像撮影でJapanTaxiに対する指導を公表
――フェイスブック、リクルートキャリアに続く事案、会社側は経緯を詳細に説明――
個人情報保護委員会(嶋田実名子委員長)は9月17日、JapanTaxi 株式会社(本社:東京都千代田区。情報処理サービス業、旧・株式会社日交データサービス)に対し、個人情報の保護に関する法律41条に基づき9月12日付で指導を行ったと公表した。
同委員会は個人情報等の取扱いに関する監督権限を有しており、個人情報取扱事業者等に対して必要な報告徴収・立入検査(個人情報保護法40条)、指導・助言(同法41条)、法令違反があった場合には勧告・命令(同法42条)を行うことができる。本件指導は(A)平成30年10月22日付・フェイスブックインク(SH2164 個人情報保護委、フェイスブック利用者のアカウント情報に対する不正アクセスについて 藤原宇基(2018/10/30)参照)、(B)本年8月26日付・株式会社リクルートキャリア(事案のポイント等について、SH2734 リクルートキャリア、『リクナビDMPフォロー』における学生7983名を対象としたプライバシーポリシー同意取得の不備と、サービスの廃止 山田祐大(2019/08/23)参照。同社への勧告および指導は本稿掲載後のこととなる)に続く事案とみられる。なお、このような行政上の対応については一定の場合を除き、その権限の行使について「表現の自由、学問の自由、信教の自由及び政治活動の自由を妨げてはならない」とする制限が設けられている(同法43条)。
個人情報保護委員会によると、本件は「タクシー車内に設置したタブレット端末付属のカメラを用いてタクシー利用者の顔画像を撮影して広告配信に利用しているが、その旨をタクシー利用者に対して十分に告知していなかった」事案。利用者へ分かりやすい説明を徹底することなどについて平成30年11月30日付で指導を行ったものの、今年「4月に至るまで改善策が実施されていなかったことが判明した」との認識で問題視されており、(α)タクシー利用者の権利利益に対する影響の程度、(β)事業者における顧客目線の重要性、(γ)委員会の指導への対応に時間を要した組織体制上の問題点が勘案された結果、再度の指導および公表へとつながった模様である。
一方の JapanTaxi においては昨年10月30日、「『JapanTaxi』アプリ 位置情報データ取り扱いについて」と題するリリースのなかで「広告利用の即時停止」等の対応を説明。今年3月24日には同日付日本経済新聞報道を受け、10月の発表のとおり第三者の広告利用を目的とした位置情報等の取得は即時停止していることとともに、(ア)個人情報保護委員会から同社へ指導があったことは事実であるが、指導は「同社が展開するタクシー車両搭載の広告配信用タブレットが行う、端末フロントカメラによる性別の推定機能について、カメラの存在・利用目的の通知公表が不十分である」という内容であること、(イ)本指導を受け、利用者に対してタブレット上で機能の説明をするための開発を進めており、4月公開予定となっていること、(ウ)性別を推定するために取得する顔画像について、位置情報・お客様情報との紐付けは従前より実施しておらず、端末のバッファ上で性別を推定した直後に破棄し、端末上にもネットワーク/システム上にも一切保存をしていないことを明らかにしたうえで、「お客様情報の取り扱いについて管理をより厳重にすべく、社内および業務委託先に対する管理体制の強化を実施しております」と述べた(3月24日付「当社に関する一部報道について」参照)。
その後、4月9日付発表「タクシー車載タブレットによる広告最適化について」によれば、告知方法の変更として「端末フロントカメラおよびオプトアウト方法について、乗車前および乗車後画面へご説明を追加」しており、個人情報保護委員会も「平成31年4月以降、乗車時にタブレット端末の画面上で告知を表示する対応がなされているところ、その他の改善策についても方針に関する報告は受けており、引き続きフォローしてゆく」としている。
今般の指導に応じ、JapanTaxi では9月17日、同月12日付で指導を受けたことを公表するとともに「指導に至る対応経緯」を説明。同社によると「2018年12月5日個人情報保護委員会より……指導を受け」たとされており、その後の検討の結果、「機能提供は継続しつつ、2019年4月上旬までに車内タブレット上においてカメラの存在・利用目的を表示するという方針を、2018年12月中に決定」した。対応方針・予定時期を定めた理由として(ⅰ)サービスの開始時点からプレスリリース等でカメラの存在や利用目的を公表していたことから直ちに不適切との認識ではなかったこと、(ⅱ)表示機能の開発、関係者との調整に要する時間を検討した結果、2019年4月を合理的なスケジュールと判断したこと、(ⅲ)再発防止に向けた社内体制の整備を並行して実施したことを挙げている。また、対応および再発防止の取組みとして、①タブレット上のカメラの存在の公表、②情報セキュリティ管理に係る国際規格「ISO27001(ISMS)」の認証取得、③個人情報の取扱いに特化した規定類・社内体制の整備、④業務委託先(タクシー会社等)における個人情報の保護についても管理を徹底することの4点を掲げた。
個人情報保護委員会は本件指導の公表に際し、「事業者において適法性の検討が十分になされた上で、 新たなデジタル技術を活用した事業やサービスが円滑に実現されるよう取り組んでまいります」とコメントしている。