個人情報保護委員会は5月27日、携帯電話の開通時に導入されている顔認証の試験運用を巡り、科学技術情報通信部に制度改善を勧告すると決めた。生体情報の取り扱いに見合った事前検討が不十分だったほか、法的根拠の明確性や本人の選択権、委託先での情報管理にも課題があると判断した。

科学技術情報通信部は、政府合同の「ボイスフィッシング根絶総合対策」の一環として、2025年12月23日から携帯電話開通時の顔認証制度を試験運用している。本人が提示した身分証の顔写真と実際の顔をリアルタイムで照合する仕組みだ。

この制度を巡っては、市民団体の申し立てや報道を通じて、個人情報保護上の懸念が指摘されていた。これを受け、個人情報保護委員会が実態調査を進めていた。

調査の結果、同委員会は、科学技術情報通信部が顔情報を用いた本人確認を試験導入する過程で、生体情報の機微性を踏まえた制度設計や運用面の検討が不十分だったと結論付けた。

個人情報保護委員会によると、顔情報を含む生体情報は個人情報保護法上の機微情報に当たり、本人の同意または法令上の根拠がある場合に限って取り扱うことができる。ただ、現行の電気通信事業法など関係法令では、携帯電話の開通時に顔情報を本人確認手段として利用できる法的根拠が明確ではないという。

また、本人の選択権が十分に確保されないまま同意を得る構造になっており、実質的に拒否が難しい点も問題視した。あわせて、委託先のシステムで処理される情報についても、必要最小限にとどめる必要があると判断した。

こうした点を踏まえ、同委員会は科学技術情報通信部に対し、個人情報保護を軸に制度を設計・運用するよう勧告した。具体的には、生体情報処理の機微性を踏まえ、制度導入の必要性や適用範囲、運用方法の実効性、適切性、比例性について、正式施行前に十分な事前検討を行うよう求めた。

そのうえで、Privacy by Designの考え方に基づいて制度を設計し、事前検討の結果、導入目的の正当性や適用範囲・方式の妥当性が認められる場合に限り、個人情報保護法の順守策を前提に運用すべきだとした。

今後、個人情報保護委員会は改善勧告の履行状況を点検し、政府全体のボイスフィッシング対策が、個人情報を安全に処理できる環境のもとで進められるよう支援していく方針だ。