HP制作の提供写真は個人情報に該当する?公開前提でも必要な安全管理措置とは
個人情報の対象についてお伺いします。
HPの制作などの際に、クライアントより写真データを頂くことがあります。
当然、HP上に公開しても良いという条件で頂いているデータです。
見る人が見れば、誰だか分かってしまうような、個人の写真などもあります。
こういった場合も個人情報の対象となるのでしょうか?
制作物データとして、取引がなんらかの形で終了するまでは、データ管理しています。その点を考慮して、「流出を防ぐ対象」と考えれば、個人情報の対象になるような気もしますが・・・・
HP制作の提供写真は個人情報に該当します。
特定の個人を識別できる情報(顔写真、氏名、社員証、住所など)が含まれている場合、個人情報保護法における「個人情報」に該当します。
よって、見る人が見れば誰だか分かるとのことですので、「個人情報」の対象となります。
制作の現場においては、「素材」と思われがちですが、法的な定義やセキュリティ管理の観点では、非常に取り扱いに注意が必要なデータとなります。
他の個人情報と同じように、管理(安全管理措置や同意など)が必要となります。
ちなみに、写真以外でも「ビデオ」、「音声」なども同様です。ご注意下さい。
1. なぜ「個人の写真」が個人情報になるのか
個人情報保護法において、個人情報とは「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」(法第二条)と定義されています。
「見る人が見れば誰だか分かってしまう」ということは、特定の個人を識別できる状態に該当することになります。
「個人情報の保護に関する法律についてのガイドライン(通則編)」の「2 定義」の「2-1 個人情報(法第2条第1項関係)」において、「【個人情報に該当する事例】」が掲載されていますので、合わせてご参考ください。
2. 「公開前提」でも個人情報であることに変わりはない
「HPで公開するのだから」と思われがちですが、公開することと、預かった写真データ(個人情報)を管理することは別問題です。
あくまでも、HP制作のためにクライアントから預かっているのであり、「公開前の高画質データ」や制作の過程で不採用になった写真も、流出した場合には「個人情報の漏洩」となります。
また、「個人情報」であるということは、同意を得ないで、特定された利用目的の達成に必要な範囲を超えて、写真データを取り扱ってはいけないということになります。
例えば、HP制作のために預かっているのであれば、「別の案件のサンプルにする」とか、「AI学習に使う」といった流用をしてはいけません。
3. 受け取った写真データの取り扱いに関して
受け取った写真データは「個人データ」として、適切に管理・使用する必要があります。以下に注意すべきポイントをまとめましたので、ご参考ください。
なお、不審な点がある場合や、どのように管理すべきか不明な場合は、必ずクライアントに確認を取るようにしてください。
- 取扱い上の注意点
- 管理責任:個人情報が漏洩しないよう、安全に管理する措置(暗号化、アクセス制限、紛失防止など)が必須です。
- 利用目的の制限:クライアントから許可された利用目的以外に使用してはいけません。
- 第三者への提供禁止:原則として、本人の同意を得ずに第三者に提供することはできません。
- データを受け取ったらすぐに行うべきこと
- 目的の確認:どのような目的で、どこまで使用して良いか、クライアントに必ず確認する。
- 情報の削除・隠蔽:不要な個人情報が写っている場合は、画像をトリミングしたり、ぼかしを入れるなどの加工を行う。
- Exifデータの削除:写真に含まれる位置情報(GPS)、撮影日時などのメタデータ(Exif)を削除する。
- 保管場所:セキュリティ対策のされたサーバーや、アクセス制限されたフォルダに保存する。
まとめ
ご指摘のとおり、取引終了まで保管するのであれば、それは保護すべき対象となります。
クライアントから提供された写真は、「特定の個人を識別できる個人情報」を預かっているという意識を持つことが重要です。
データの受け渡し方法、保存媒体の管理及び取扱い、データの保管方法、預かった写真データの返却または破棄に関すること等の管理が必要になります。
以上、ご参考ください。
