スウェーデンのデータ保護機関であるIMYは、物議を醸している顔認識ソフトウェアClearview AIを違法に使用し、同国の犯罪データ法に違反したとして警察当局に罰金25万ユーロ(約3200万円)を科した。
執行の一環として警察当局は、今後個人データの処理でデータ保護規則と規制を破ることがないよう、スタッフにさらなるトレーニングと教育を実施しなければならない。
IMYはまた、自身の個人データがClearviewに送られた人に通知するよう命じた。IMYによると、守秘義務規則でそうするようになっている。
調査により警察が数多くのケースで顔認識ツールを使い、何人かのスタッフが承認を得ずにツールを使ったことが明らかになった。
2020年1月初め、カナダのプライバシー当局はClearviewが人々の写真を顔認識データベースに載せるために人々に知らせることなく、あるいは許可を得ることなく写真を収集し、法律に違反したと判断した。
関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法
「IMYは、警察がClearview AIの使用に関する数多くのケースでデータ管理者としての義務を果たさなかったと結論づけました。警察は、このケースの個人データの処理が犯罪データ法に準拠して実行されたことを裏づけ、証明するような十分な組織的手段を実行しませんでした。Clearview AIを使ったとき、警察は顔認識のための生体データを違法に処理し、この処理ケースで必要とされるデータ保護影響アセスメントを実施しませんでした」とデータ保護当局はプレスリリースに書いている。
IMYの決定全文はここで閲覧できる。
「警察当局が特に法執行目的の場合においていかに個人データを処理するか、明らかに定義された規則と規制があります。スタッフにそうした規則を認識させるのは警察の責任です」とIMYの法務アドバイザーであるElena Mazzotti Pallard(エレナ・マッツォッティ・パラード)氏は声明で述べた。
IMYによると、罰金(現地通貨で250万スウェーデンクローナ、約3200万円)は総合的な評価を元に決定されたが、スウェーデンの法律での違反罰金限度額にははるかにおよばない額であることには疑問が残る。監視機関は1000万スウェーデンクローナ(約1億2600万円)になると指摘している(規則を知らなかった、あるいは不適切な手順だったことは罰金を減らす理由ではなく、なぜ警察がより大きな額の罰金を回避したのかは完全に明らかになっていない、と当局の決定は指摘している)。
データ当局は、Clearviewがまだ情報を保存しているかどうかなど、警察によって写真がClearviewに送られた人々のデータに何が起こったのかをはっきりとさせることはできなかったと述べた。そのためデータ当局は、Clearviewが確実にデータ削除するための措置を講じるよう警察に命令した。
IMYは、現地の報道を受けて議論を呼んでいるテクノロジーの警察による使用を調査したと述べた。
ちょうど1年前、ニューヨークタイムズ紙は米国拠点のClearview AIが何十億枚という顔写真のデータベースを抱えている、と報じた。ここには、公開されているソーシャルメディアの投稿のスクレイピングや、本人の認識や同意なく扱いに慎重を要する生体データの取り込みなどが含まれた。
欧州のデータ保護法は生体認証のような特別なカテゴリーのデータの処理に高いハードルを設けている。
警察による商業顔認証データベースの特別な使用は、ローカルのデータ保護法にまったく注意が払われていないようだが、明らかにそのハードルを満たしていない。
2020年1月、自身の生体データが同意なく処理されたというドイツ在住者からの苦情を受けて、ハンブルグのデータ保護当局がClearviewに対する調査を行ったことが明らかになった。
ハンブルグの当局は、個人が明白に同意していない限り個人を特定する目的で生体データを処理することを禁じているGDPRの第9条(1)を引用し、Clearviewの処理が法に反しているとした。
しかしながらドイツの当局は、個人の苦情の数理的ハッシュ値(生体プロフィールを示すもの)の削除を命じたにすぎなかった。
写真そのものの削除は命じなかった。また、欧州のプライバシー啓発グループnoybが求めており、そうしようと思えばできた欧州の住人の写真の収集を禁止するEU全体における命令は出さなかった。
noybはEUの全住人に、Clearviewに自身のデータのコピーを要求し、同社が保存しているデータを削除するよう、そしてデータベースに含まれることに対して反対するよう求めるためにClearview AIのウェブサイトにあるフォームを使うよう促している。noybはまた、Clearviewが自身のデータを持っていることが判明した個人に、同社に対する苦情を地域のDPAに提出することを推奨している。
EU議員は人工知能の応用を規制するためのリスクベースの枠組みを作成中だ。法案は2021年進められる見込みだが、委員会はEUのGDPRにすでに盛り込まれているデータ保護を勘案しながら取り組むことにしている。
2020年1月初め、議論を巻き起こしているClearviewはカナダのプライバシー当局よって違法と判断された。カナダの当局は、同社がカナダ人のデータの収集の停止やこれまでに収集した画像の削除を含む勧告に従わなければ「他のアクションを起こす」と警告した。
Clearviewは2020年夏にカナダの顧客への同社のテック提供を停止したと述べた。
同社はまたイリノイ州の生体情報保護法に準拠した集団訴訟にも直面している。
関連記事:米移民局や検察局などが採用中の顔認識技術が一般企業にも売られていた
英国と豪州のデータ保護監視機関は2020年夏、Clearviewの個人データ取り扱いに関する共同調査を発表している。
関連記事:物議を醸したClearview AIが再び米政府機関と顔認識ソフトウェアで契約
カテゴリー:セキュリティ
タグ:Clearview AI、顔認証、プライバシー、スウェーデン
画像クレジット:Design Cells / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Nariko Mizoguchi)