インターネットから自撮り写真を収集し、約100億枚の画像データベースを構築して法執行機関にID照合サービスを販売する、物議を醸している顔認証企業Clearview AI(クリアビューAI)が、またしてもデータの削除命令を受けた。
フランスのプライバシー保護当局は現地時間12月16日、Clearviewが欧州の一般データ保護規則(GDPR)に違反したと発表した。
違反認定の発表の中で、CNIL(情報処理・自由委員会)はClearviewに対して「違法な処理」を停止するよう正式に通知し、2カ月以内にユーザーデータを削除しなければならない、としている。
当局は、2020年5月以降に寄せられたClearviewに対する苦情に対処している。
ClearviewはEUに拠点を置いていないため、同社の事業はEU全域で各国のデータ保護監督機関からも規制措置を受ける可能性があることを意味する。CNILの命令は、同社が保有するフランス領の人々に関するデータ(CNILは「数」千万人のインターネットユーザーが対象となると推定)にのみ適用されるが、EU各国の当局からもこのような命令が出される可能性が高い。
CNILは、調査結果を共有することで他の当局との協力を模索してきたと述べている。これは、Clearviewが、GDPRを国内法に移項した他のEU加盟国およびEEA諸国(合計で約30カ国)の当局からデータ処理の停止命令をさらに受けるかもしれないことを示唆している。
2021年、Clearviewのサービスはすでにカナダ、オーストラリア、英国(EU離脱後も現在GDPRを国内法に残している)でプライバシー規則違反と認定され、罰金の可能性がある他、2021年11月ユーザーデータの削除を命じられた。
関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法
2つのGDPR違反
フランスのCNILは、Clearviewが2つのGDPR違反を犯したと認定した。法的根拠なく生体データを収集・使用したことによる第6条(処理の合法性)違反、そして第12条、第15条、第17条に規定されたさまざまなデータアクセス権の違反だ。
第6条の違反は、Clearviewが顔認証の使用について人々の同意を得ておらず、データの収集と使用について正当な利益の法的根拠にも依拠できないことによる。
「さまざまなウェブサイトやソーシャルネットワークで写真やビデオにアクセスできるこれらの人々は、国家が(警察などの)目的のために使用できる顔認証システムに供給するために、自身の画像がClearview AIによって処理されることは望まないでしょう」とCNILは書いている(フランス語からの翻訳)。
また、GDPRデータアクセス権を取得しようとした際に遭遇した多くの「困難」に関して、個人からの苦情も寄せられている。
CNILは、Clearviewが「正当な理由なく」個人のデータアクセス権を年2回に制限したり、過去12カ月間に収集されたデータに限定したり「同1人物からの過剰な数の要求」の後にのみ特定の要求に応じるなど、多くの点で規制に違反していることを明らかにした。
Clearviewは、人々のデータの削除要求に応じることを含め、データ主体の権利を適切に促進するよう命じられている。
同社がフランスの命令に従わない場合、さらなる規制措置(罰金の可能性も含む)に直面する可能性があるとCNILは警告している。
GDPRでは、DPAは2000万ユーロ(26億円)または企業の世界年間売上高の最大4%のいずれか高い方の制裁金を科すことができる。しかし、EUに拠点を持たない企業に対して罰金を科すことは、規制上の課題となっている。
TechCrunchはCNILの命令についてClearviewにコメントを求めている。
画像クレジット:Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Nariko Mizoguchi)