日本におけるデジタルIDウォレットの活用ケース:空港での顔認識とOne IDの継続利用
IISEでは、個人のデータを個人がコントロールする非中央集権型の“web3”のソートリーダーシップ活動を推進しています。今回はIISE調査研究部主幹研究員の小泉 雄介が日本におけるデジタルIDウォレットの活用ケースとして、空港で「顔パス」で搭乗できるOne IDの課題と今後の可能性について解説します。
成田空港と羽田空港では、手荷物預け機や保安検査場、搭乗ゲートを顔認証を使って「顔パス」で通過できるOne IDサービスが提供されている。顧客経験(UX)の向上が期待されているが、現状では個人情報保護上の理由から、毎回搭乗のたびに顔情報を登録し直す必要がある。本稿では、本年公表されたEUの指針も参考に、デジタルIDウォレットを用いてOne IDを継続利用できるようにすることで、利用者の利便性をさらに高める方法について検討したい。
1.成田空港と羽田空港の顔認証One IDサービス「Face Express」
成田空港と羽田空港では2021年4月に、国際線について、顔認証技術を用いた新しい搭乗手続き「Face Express」の実証実験が開始され、同年7月からは本格運用がスタートした。Face Expressは、IATA(国際航空運送協会)が提唱する空港での生体認証を活用した本人確認のための取組み「One ID」の日本版サービスである。
利用者は、空港での最初の手続きである自動チェックイン時にパスポート読み取りと併せて顔情報を登録すると[1]、その後の手続き(手荷物預け、保安検査、搭乗ゲート)において、従来必要であったパスポートや搭乗券を提示することなく 「顔パス」で通過できる。
空港内でパスポートや搭乗券を持ち歩かなくて済むため、大変に魅力的なサービスに見えるが、利便性の点からは1つの「難点」がある。それは、登録した顔情報が24時間以内に自動削除されてしまうことである。そのため、利用者は一度登録した顔情報を、次回の旅行時・出張時などに継続利用することができず、毎回登録し直す必要がある。
2.国土交通省のOne ID個人データ取扱いガイドブック
なぜ、Face Expressで登録した顔情報は24時間以内に削除されてしまうのだろうか。それは、国土交通省のガイドブックでそのように規定されているからである。
国土交通省は2020年3月に、有識者検討会での検討を受けて、「空港での顔認証技術を活用したOne IDサービスにおける個人データの取扱いに関するガイドブック」を策定した。このガイドブックでは、One IDサービスの導入を検討する事業者に対して、個人情報保護・プライバシー保護の観点から、個人データの取扱いについて以下3点が留意事項として挙げられている。
① 利用目的を搭乗手続きにおける利用のみに限定すべき。
② 顔認証を使用しない従来通りの手続きも残すべき。
③ One IDサービスで利用する個人データは、利用目的が達成され、不要となった段階で直ちに消去すること。具体的には、原則24時間以内に確実に消去するべき。
これらの留意事項は個人情報保護法上の義務ではないが、「顔画像情報という高い追跡機能を有する生体情報」の性質に鑑み、事業者に対して自発的に守るべき事項として提示されている。特に③により、国際線の利用頻度の高いビジネス旅客等についても、毎回顔情報とパスポート情報を登録し直さないといけないこととなった。
国土交通省ガイドブックは、航空分野において顔認証という新たな技術を導入するに当たって、利用者の個人情報が濫用されることのないよう、人権に十分に配慮した取組みとして評価できる。しかし、運用開始から3年が経過した今、一定の社会的コンセンサスが得られることを条件に、一度登録した利用者のOne ID情報(顔情報およびパスポート情報)を一定期間、継続利用できるようにすること、さらには他の空港(成田空港と羽田空港)でも相互利用できるようにすることが、利用者目線に立った本来のOne IDの在り方ではなかろうか。
「本ガイドブックに記載された配慮事項は、事業者へ強制するものではなく、One IDサービスを導入する際にシステム構築や旅客とのコミュニケーション体制を検討するにあたり、参考となる考え方を示すものである」とも書かれており、上記3つの留意事項について柔軟に捉える余地を事業者に与えていると読むこともできる。ただし、事業者としては国が直々に示した「基準」を緩めるような運用を行いにくいのも事実である。
しかし今般、EDPB(欧州データ保護会議)という機関から、日本の個人情報保護法よりも厳しいと言われるEUのGDPR(一般データ保護規則)に照らして、上記のOne IDのような空港での顔認識において顔情報を継続利用することは必ずしも違法ではないとする指針が公表された。
3.EDPB(欧州データ保護会議)の空港における顔認識使用に関する意見書
EDPB(欧州データ保護会議)は、EUのデータ保護に関する諮問機関であり、EU各国のデータ保護監督機関の代表者から構成されている。このEDPBは2024年5月に、「空港旅客の流れを効率化するための顔認識の使用に関する意見書ver1.1」という指針を公表した。これは、EDPBがフランスのデータ保護監督機関(CNIL)からの要請を受けて、空港の保安検査場、手荷物カウンター、搭乗ゲート、旅客ラウンジといったチェックポイントにおいて顔認識技術を使用することがEUのGDPR(一般データ保護規則)に適合しているか、評価を行ったものである。CNILは要請の理由として、EU域内の複数の空港で様々なモデルがテストされているが、各国のデータ保護監督機関の間で解釈が食い違うとEU の個人の基本的権利と自由に(国によって)異なる影響を与えてしまうリスクを挙げている。
同意見書では、空港のチェックポイントにおける顔認識技術の使用について、以下の4つのシナリオにおける個人データ処理のGDPRへの適合性に関して評価が行われた[2]。
シナリオ1: 利用者の顔情報(顔特徴データ)を、利用者が管理する端末(スマホ等)のみに保存する
シナリオ2: 利用者の顔特徴データを、空港内DBに暗号化して保存し、復号鍵は利用者のみが(スマホ等で)管理する[3]
シナリオ3: 利用者の顔特徴データを、空港内DBに暗号化して保存し、復号鍵は空港運営者が管理する
シナリオ4: 利用者の顔特徴データを、クラウド上のDBに暗号化して保存し、復号鍵は航空会社が管理する
EDPBはシナリオ1と2については、一定の保護措置を行うという条件の下で、GDPRへの適合性があると評価している[4]。他方、シナリオ3と4については、主にデータ保護バイ・デザイン(第25条)の観点から、GDPRの要件を遵守していないと評価している。
シナリオ1と2は「○」で、シナリオ3と4は「✕」という訳だが、この両者を分けるのは、突き詰めると「利用者本人が自分の顔特徴データ(または暗号化された顔特徴データの復号鍵)を管理しているか、否か」という点になる。ではなぜ、利用者がこれらを管理していればGDPR遵守で、利用者が管理していない(事業者が管理している)とGDPR違反ということになるのか。
それは、端的に言うと、(シナリオ3や4のように)暗号化された顔特徴データが事業者のDBに保存され、事業者がその復号鍵を管理していると、(利用者本人が顔認証を行う際のみならず)他の利用者が顔認証を行う際に、1対NでDB内の顔特徴データに照合をかけて一致するものを探す必要があるため、事業者によって自分の顔特徴データまで復号化され、強制的に利用されてしまうからである。これにより、利用者は「自分のデータに対するコントロールを大幅に失う」ことになるが、「これよりも侵入性の低い方法[5]で空港での旅客の流れを効率化する同様の結果を達成できる」ため、GDPRの定める「データ保護バイ・デザイン」の要件に適合しないとEDPBは言うのである。
他方、シナリオ1や2では利用者の顔特徴データや復号鍵を本人のみが管理しているため、自分が顔認証をしたいときのみ自分の行為(スマホを読み取り機にかざす等)を通じて顔特徴データが利用されることになり、他人の顔認証の際にまで自分のデータが利用されてしまうことはない。そのため、GDPRのデータ保護バイ・デザインの要件に合致するとEDPBは判断している。
※このような解釈と併せてEDPBは、シナリオ1や2のように顔特徴データの「1対1」の比較が行われる場合は「顔認証」に当たるものの、シナリオ3や4のように顔特徴データの「1対N」の比較が行われる(DB内に一致する顔特徴データがあるか否かをチェックする)場合には、「顔認証」ではなく(より厳格な保護が必要な)「顔識別」に該当するとみなしている。他方、日本では後者の場合も、通常は「顔認証」とみなされる。実際に、個人情報保護委員会の「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」では、顔認証を以下のように定義している。「顔認証:当人の要請に応じて、カメラにより撮影された顔画像から抽出された顔特徴データとデータベースに登録された顔特徴データを照合して当人が主張する人物(本人)であることを確認すること。顔認証機能を搭載するシステムとしては、例えば、入退館システムが考えられる。あらかじめ、ある施設に入館できる者だけをデータベースに登録しておく。そして、当該施設の入口に設置されたカメラで撮影した当該施設に入館しようとする者の顔画像から顔特徴データを抽出し、入館希望者があらかじめ登録したデータベース中の顔特徴データと照合のうえ、一致した場合には入館を許可するシステムである。」(p.6)[6]
これまでのところ、EDPBによるGDPRの解釈は厳しすぎるようにも思われるが、他の箇所で事業者にとっての「朗報」もある。意見書のシナリオ2では、利用者が登録した顔情報(顔特徴データ)やパスポート情報を、事業者が利用者に保存期間を選択できるオプションを与えるならば、一定期間(例えば1年間)保存することを許容している。また、そもそもシナリオ1では顔情報を利用者のスマホに保存しているため、こちらも利用者が希望する期間、持ち続けることが可能と考えられる。すなわち、EDPBは利用者の顔情報を事業者側がコントロールすることには難色を示しているが、利用者本人が自分の利益のためにスマホ等で管理して継続的に利用することについては認めている訳である。
4.デジタルIDウォレットを活用したOne IDの継続利用の実現
このようなEDPBのスタンスは、デジタルIDウォレットにおける「自己主権型ID」(SSI)の考え方と極めて親和的である。デジタルIDウォレットの特徴の1つである自己主権型IDの下では、利用者はウォレットを通じて、自分のID情報や個人情報のどの項目を個々の事業者に提供するかを選択でき、データの保存期間を選択したり、提供したデータの削除を要求することができる。
成田空港と羽田空港のOne IDサービスではDBに登録した顔情報を24時間以内に削除することとなっている。前述のように、このことは顔情報の濫用や漏洩などを防ぐための重要な保護措置ではあるが、利用者の利便性(利用者の利益)の観点からは難がある。もし仮に、一度登録した顔情報やパスポート情報を、(パスポートの有効期限が切れない限り)何回でも利用できるとしたら、また成田空港と羽田空港で相互利用[7]できるとしたら、国際線の利用頻度が高いビジネス旅客等にとっては非常に使い勝手がよいものとなるだろう。そして、このような運用方法は、利用者がデジタルIDウォレットで顔情報またはその復号鍵を管理するというモデルを取り[8]、顔情報の保存期間を本人に選択させるようにするならば、EUのGDPRの厳しい基準をクリアすることも可能なのである(※日本国内で必ずしもGDPRを遵守する必要はないが)。
また国内線においては、パスポート提示は必要ないものの、手荷物預け機、保安検査場、搭乗ゲートで航空券(QRコードやICカード)を提示する必要がある。これらの国内線での手続きについても、One IDで登録した顔情報を活用して、顔認証で代替していく余地があるのではないだろうか。
[1] 羽田空港の場合は、チェックイン後にFast Express専用機等で顔情報を登録する。
[2] 同意見書はGDPR第5条(1)(e)(記録保存の制限の原則)、第5条(1)(f)(完全性および機密性の原則)、第25条(データ保護バイ・デザインおよびデータ保護バイ・デフォルト)、第32条(処理の安全性)の観点からのみGDPRへの適合性を評価しており、第6条(適法性の根拠)、第7条(同意の条件)、第9条(特別なカテゴリーの個人データの処理)等の観点からの適合性の分析はなされていない。
[3] 具体的な方法としては以下が例示されている。利用者はスマホアプリで復号鍵を含むQRコードを生成でき、紙に印刷するか、スマホ画面に表示できる。空港チェックポイントを通過する際にQR スキャナーとカメラを備えた専用ポッドにQR コードを提示すると、利用者の登録番号がDB側に送信され、暗号化されている顔特徴データが専用ポッドにダウンロードされる。QRコードで復号化された顔特徴データと、ポッドで撮影された顔特徴データが1対1で比較され、顔認証される。
[4] GDPR第5条(1)(e)(f)、第25条、第32条の観点からの適合性。
[5] 具体的には、シナリオ1や2の方法など。
[6] 個人情報保護委員会の文書で、「顔識別」については「カメラにより撮影された者の中から、その者の顔特徴データと照合用データベースに登録された顔特徴データを照合してデータベースに登録されている特定の個人を見つけ出すこと」と定義されている。すなわち、日本では(EDPBの解釈のように)「1対1照合」か「1対N照合」かという技術的な区分によって「認証」と「識別」の区別がなされているのではなく、「本人の要請に応じて、ある人物が主張する人物(本人)であることを確認すること」と「ある人物がどこの誰なのかを(本人の要請なく)第三者が判断すること」という意味的な差異・目的上の差異によって両者の区別がなされていると考えられる。
[7] ただし、事業者をまたがって個人情報を取扱うことになるため、共同利用等のスキームを用いる必要がある。
[8] なお、成田空港は2024年10月にIATAが主催するスマホのウォレットを活用したデジタル渡航実証実験に参加している。同実証実験では、旅客が事前にウォレットに登録した顔情報やパスポート情報等のデータを空港の顔認証システムと共有することによって、成田空港と香港空港において出発時に保安検査入口ゲートと搭乗ゲートを顔認証で通過できることが確認された。この実証実験は、OneID情報の継続利用に向けた道を拓くものである。https://www.iata.org/en/pressroom/2024-releases/2024-10-30-03/も参照のこと。
小泉 雄介
国際社会経済研究所 調査研究部 主幹研究員
新しい技術の導入が人間社会にもたらす影響という観点から、プライバシー/個人情報保護、国民ID/マイナンバー制度、海外デジタル政策等についての調査研究に長年従事している。
<主な所属団体>
・電子情報技術産業協会(JEITA)個人データ保護専門委員会 客員
・日本セキュリティ・マネジメント学会 編集部会員
<主な著書・論文>
・『国民 ID 導入に向けた取り組み』(共著)
・『現代人のプライバシー』(共著)
・「『国民IDの原則』の素描:選択の自由を手放さないために」
・「中央銀行デジタル通貨における個人情報保護と日本での発行モデル」
・「感情認識の倫理的側面:データ化される個人の終着点」
・「『快適で安全』な監視社会 ― 個人の自由が保障されなくていいのか」