映像監視における第三者のプライバシーの保護

記事
2020年05月21日
EU一般データ保護規則 (GDPR) の導入は、映像監視を使用するビジネスに大きな影響をもたらしました。 映像という個人データを扱う中で、安全性とセキュリティという二つのニーズと、第三者のプライバシー保護のバランスをとるのは容易なことではありません。しかし、システム設計、適切な文書化、適切なツール、そして適切なパートナーがいれば、実現することができます。

EU一般データ保護規則 (GDPR) は、EU(欧州連合)における個人データ保護に関する法律で、2018年5月に施行されました。保護対象の個人データは、EU加盟国に加えEEA(欧州経済領域)加盟3か国に所在する一般消費者の情報のみならず従業員、企業担当者などを含むすべての個人について、その個人識別につながる情報です。GDPRはこの個人データを収集、処理、共有方法などについて定めています。個人データは名前や住所などの情報が記載されたものだけでなく、個人を特定することのできるあらゆる情報に適用されるため、画像や映像などの映像監視データも含まれます。

コンプライアンスに役立つガイドライン

個人データを取り扱う際は、事業主としてしっかりと理解しておくべき点がいくつかあります。欧州データ保護会議 (EDPB) は、企業が正しく個人データを取り扱うために必要なガイドラインを公開しており、映像監視システムの設計から設置、運用に至るまで、GDPRに準拠するためのあらゆる点について指導しています。たとえば、録画できる内容、保存期間、エクスポートの方法やタイミングなどが含まれます。

専門的な知識とスキルを備えたサプライヤーであれば、監視システム構築におけるハードウェアとソフトウェア両側面からの適切な情報提供に加え、第三者のプライバシーを保護するために必要な情報も提供してくれるはずです。

確実なスタート

仮に皆さんが店舗のオーナーとして、映像監視の設置を進めているとしましょう。設置目的は、例えば破壊行為からの建物の保護や、盗難を減らすための店舗内モニタリング、またはスタッフや顧客の安全性の向上などとします。この場合、皆さんはデータ管理者になります。

GDPRに準拠するには、文書化とプロセスが極めて重要です。最初のステップは、第三者のプライバシーを侵害する可能性のあるカメラをなぜ設置する必要があるのか、その理由を説明することです。この利害関係のバランス、つまり事業者の正当な利益と、個人データが収集、保持、処理される個人との関係のバランスが非常に重要になります。

 

映像監視において考慮すべきポイント

映像監視システムを設置すべき理由が説明できれば、次はシステム設計です。システム全体の観点から、考慮すべきいくつかのポイントがあります。

Third-party privacy
  • システム設計

映像監視システムを設計する際は、AXIS Site Designerが、GDPRの義務を適切に考慮するのに役立ちます。ここでは保存期間、カメラの視野、解像度を設定し、適切な画像が確実に撮影されるようにすることができます。

AXIS Site Designerでは、プライバシーマスクの必要性や特定の設置要件などのGDPRに関する考慮事項を設置担当者に通知するための備考を記入することができます 。

 

  • データストレージ

データストレージは、データの保存期間と保護方法という2つのポイントをカバーします。

一般的に、GDPRで「ストレージ制限」と呼ばれる「データが処理される目的に必要な期間」よりも長くデータを保存することは許可されていません。目的にもよりますが、通常は3~4日で十分です。データを保存する期間が長いほど、正当で重要な関心事が存在する必要があります。

データを保護するには、ビデオ管理システムとデータが保存されている場所への物理的なアクセスを保護する必要があります。

ビデオ管理システム自体は、保存されている個人データを含む録画への不正アクセスから保護する必要があります。

AXIS Camera Stationを使用することで、VMSとカメラに対して安全なパスワードを簡単に設定できるだけでなく、パスワードをランダム化することもできます。また、ユーザー権限を適用し、オペレーターに合わせて機能を制限することもできます。

個人データの漏洩やセキュリティ侵害は、関連する監督当局に速やかに報告する必要があります。

 

  • VMSにおける第三者のプライバシー

プライバシーを保護するためのツールは、ビデオ管理ソフトウェアの中核機能である必要があります。規則に準拠するため、映像内の物体、無関係の第三者、スタッフなどをマスキングしなければならない場合があります。

AXIS Camera Stationに組み込まれたビデオリダクション機能を使用することで、録画映像をエクスポートする前に映像の一部を容易にぼかすことができます。

マスキングされた映像を素早くエクスポートできるため、個人データへのアクセスに対する第三者の要求に迅速かつ効率的に対応できます。

 

  • 書類

GDPRでは、プランニング時と運用時における、監視システムに関する書類に重点を置いています。データの処理方法と収集されたデータへのアクセス権を持つユーザーに関する情報を提供できる必要があります。また、運用について記録された書面を保存しておく必要があります。AXIS Site DesignerとAXIS Camera Station Installattion Verifier、およびAXIS Camera Stationのログは、映像監視システムの文書化に役立つ情報を提供します。

 

  • カメラの配置

カメラが撮影するのは、関連する領域のみであることが非常に重要です。これは、GDPRでは「データの最小化」と呼ばれており、個人データは「妥当で関連性があり、処理の目的に必要なものに限定されている」必要があるとされています。たとえば、店頭エリアを保護したい場合、カメラの撮影領域に無関係な道路の領域を含めてはいけません。

静的プライバシーマスクを使用して、例えば窓から外の公共エリアが見えないようにする必要があります。アクシスでは、ほとんどのカメラでプライバシーマスクを提供しています。これは、画像の表示や録画の際に、シーン特定の部分をブロックまたはマスキングする機能です。3DマスキングをサポートするアクシスのPTZカメラでは、マスキングがカメラの座標系とともに移動するため、パン、チルト、ズームによってカメラの視野が変化しても、マスキングを維持できます。

AXIS Live Privacy Shieldは、動的プライバシーマスクを提供します。これはカメラのインテリジェント機能で、機密性の高い個人データを収集することなく、屋内の行動をライブ監視するために使用できます。映像内の人物を特定できないようにすることによってプライバシーを保護しながら、行動や動きの監視を可能にします。

 

正確な情報

該当の領域がカメラで監視されていることを第三者に示す、明確な標識を設置する必要があります。人々は、録画されている理由とデータの使用方法に関する詳細を知る権利があります。

また、概要と実際のデータの両方において、収集されたすべての個人データにアクセスする権利を持っています。

 

その他の考慮事項

上記のポイントに加えて、一般的なITシステムのセキュリティを検討する必要があります。これは、データ侵害につながる可能性があるためです。

  • すべてのデバイスとソフトウェアに強力なパスワードとポリシーを適用し、システムの安全性を確保します。
  • サイバーセキュリティのベストプラクティスを適用する企業の機器を選択します。
  • インターネットへの露出を考慮し、可能であれば制限します。
  • すべてのデバイスが最新のファームウェアで実行されていることを確認します。最新版は、脆弱性を修正できる場合があります。AXIS Camera Stationは、ファームウェアを更新するようユーザーに求め、映像監視デバイスの管理を容易にします。
  • システムがHTTPSなどの、システムのデバイス間の暗号化データ通信に対応していることを確認します。AXIS Camera Stationは、サーバークライアントとカメラ間のHTTPSをサポートしているため、システムはデータを安全に処理できます。

 

適切なパートナーを得る

要求される第三者のプライバシー保護を提供し、GDPRに準拠することは、非常に困難なことのように感じられるかもしれません。データ管理者は全般的にGDPRへの準拠に対する責任を負いますが、設置担当者、ディストリビューター、メーカーからのサポートを利用することができます。

適切な監視サプライヤーまたはパートナーがいれば、個人データを保護する機器だけでなく、負担を軽減するサポートとサービスも得られます。また、GDPRへの準拠と、必要な安全性とセキュリティという2つの重要事項を実現するためのサポートも得られます。

GDPRへの準拠に関する詳細情報が必要な場合は、足がかりとしてアクシスのホワイトペーパーが役立ちます。映像監視システムをすでに所有しているか、設置を計画しているかにかかわらず、規則を遵守する方法についての詳細情報が得られます。

もっと詳しく