セキュリティの
学び場

今回の解説ニュース

SNSの写真から個人情報が漏洩してしまったということです。SNSで写真を投稿する際に気を付けるべきポイントについて説明します。

今回のインシデントは、大阪市立科学館が運営するツイッターへ職員が写真を投稿したところ、応募者の住所及び氏名が書かれたはがきが映り込んでしまい、フォロワーからの連絡で発覚したということです。

再発防止策として、SNSに投稿する際は内容について複数人によるチェックを必須にするとともに、個人情報に係る意識向上に向けた研修を実施するということです。

アップロード写真に写った何が個人情報にあたるのか

今回のケースで個人情報に該当するものは、写真に映り込んだはがき、もしくははがきが映り込んだ写真そのものであると考えられます。個人情報保護法の条文を引用しながら、何が個人情報に該当するか説明します。

個人情報保護法の正式名称である「個人情報の保護に関する法律」の第二条には「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。」とされています。個人情報とは何か理解するために、この条文を分解していきます。

まず「生存する個人に関する情報であって」とありますので、生きている人が関連すると考えられます。続けて「当該情報に含まれる氏名、生年月日その他の記述等により」とありますので、生きている人の氏名や生年月日などが関連すると考えられます。最後に「特定の個人を識別することができるもの」とあります。実はここが一番重要で、個人情報は氏名や生年月日など個々の「生存する個人に関する情報」自体ではなく、特定の個人を識別することができる「もの」自体が個人情報に該当すると考えられています。

少し難しいと思うので、今回のインシデントにあてはめてみます。今回、写真に映り込んでいたのは「1名分の住所と氏名」です。1名分の住所と氏名は「生存する個人に関する情報」なので、今回漏洩した個人情報は何かと問われたら「特定の個人を識別することができるもの」として「はがきもしくは写真」とするのが妥当と考えられます。

重要なことは、氏名や生年月日を分離しても個人情報に該当する場合があるということです。ただし、専門分野によっては議論の余地があると思われますので、個別の判断については弁護士の先生にご相談してください

SNSへ写真アップロードを行う際の注意点

SNSへ写真を投稿する前に確認しておいた方が良いことは、『文字以外の個人情報も含まれていないか』、『写真に映像以外の位置情報などが含まれていないか』、『生体情報が映り込んでいないか』などが挙げられます。それぞれについて説明します。

• 文字以外の個人情報も含まれていないか
• 文字以外の個人情報ですが、投稿している文章と映り込んでいる背景や衣服などから、写真が特定の個人を識別することができるものになってしまう可能性があります。例えば、最寄り駅で撮影した写真に駅名が入っていたり、制服のデザインから所属している組織がわかってしまったりすることがあります。直接映り込んでいなくても、瞳に反射した映像から判断できてしまうこともあるので注意が必要です。
• 写真に映像以外の位置情報などが含まれていないか
• 写真に含まれるデータに、撮影された位置情報が含まれている場合があります。スマートフォンやデジタルカメラで撮影された画像には、写真を撮影した位置情報の他に、カメラの機種名や設定などの情報が記録できる「Exif」と呼ばれる規格があります。スマートフォンやデジタルカメラの設定でGPSの機能が使えると、写真に位置情報が自動的に保存される可能性があるので注意が必要です。撮影するデバイスやSNSの設定で位置情報が保存されないようにすることができる場合があります。
• 生体情報が映り込んでいないか
• 写真に映り込んだ生体情報が認証の突破に悪用されてしまう可能性があります。平成28年に国立情報学研究所が行った実験で、ピースサインをした自撮り写真を拡大して画像処理を施したところ、1～2時間程度の作業で高度な技術を使わずに指紋認証を突破できたということが報告されています。最近のスマートフォンには指紋認証の機能が搭載されていますので、悪用されるリスクを考えると注意が必要です。

SNSは便利なサービスではありますが、様々なリスクが潜在していることもお分かりいただけたのではないでしょうか。皆さんの個人情報がかけがえのないものであることも忘れずに、SNSを安全に楽しく利用してください。