ネットから「顔」100億枚、AI顔認識に規制当局が削除命令
SNSなどから100億枚超の顔画像を収集するAI顔認識ベンチャーに、政府当局が削除を命令した――。
オーストラリアのプライバシー当局は3日、AI顔認識サービスを提供する米ベンチャー、クリアビューAIに対し、プライバシー法違反だとして、国民の顔画像と関連データの削除命令を行ったことを明らかにした。
ソーシャルメディアなどからスクレイピング(自動収集)した膨大な顔画像をもとに、捜査機関などに顔認識サービスを提供し、国際的に物議をかもしている米ベンチャー「クリアビューAI」に対する、新たな規制措置だ。
ただ、同社は命令に対して異議を申し立てるといい、なお曲折がありそうだ。
顔認識を巡っては、オーストラリア当局の発表の前日、メタ(フェイスブック)が10億人を超すユーザーの顔画像データベースを削除する、と表明したばかりだ。
顔認識による「大規模監視」への懸念は、世界的な潮流となっている。
●「監視されている」という懸念
オーストラリアの情報コミッショナー兼プライバシーコミッショナー、アンジェリーン・フォーク氏は3日、米AIベンチャーのクリアビューAIへの削除命令発表の中で、そう指摘した。
フォーク氏は、クリアビューAIによるネット上からの膨大な顔画像の収集行為が、「本人同意のない機微情報の収集」「不当な手段による個人情報の収集」などを禁じた同国のプライバシー法に違反していると指摘。
その上で同社に対し、オーストラリア国民からの顔画像の収集と、顔認識のためのデータ作成を停止し、すでに収集・作成済みのデータの破棄を命じている。
フォーク氏はさらにこう述べている。
今回の決定は、オーストラリア情報コミッショナー事務局(OAIC)と英国のプライバシー当局である情報コミッショナー事務局(ICO)が、2020年から行ってきた共同調査結果に基づくもの。英国のICOの結論はまだ出ていないという。
OAICの認定では、2019年10月から、クリアビューAIに対してこの共同調査の通告を行った2020年3月まで、オーストラリア連邦警察を含む複数の警察において、同サービスの試験運用が行われていたことが明らかになっているという。
OAICは、連邦警察のクリアビューAIの使用に問題がなかったかについて、さらに調査中だという。
今回のOAICの決定は10月14日付けで、90日以内の顔画像とデータ破棄と、その報告を命じている。
だがクリアビューAIは、この命令に対して不服申し立てを行っている、という。
ロイター通信などによれば、同社の弁護士は「クリアビューAIはオーストラリア国内でビジネスを行っておらず、顧客もいない」とし、同国の情報コミッショナーには管轄権がない、と主張している。
●100億枚超のデータベース
クリアビューAIは自社サイトのサービス紹介で、顔画像データベースについてこう説明している。
クリアビューAIの設立は2017年だが、ニューヨーク・タイムズが2020年1月に報道したことをきっかけに、世界的な注目を集めることになる。
同紙によれば、クリアビューAIは米連邦捜査局(FBI)や国土安全保障省(DHS)を含む600を超す法執行機関にサービスを提供しているという。
※参照:SNS投稿30億枚から顔データべース、警察に広がるAIアプリのディストピア(01/19/2020 新聞紙学的)
※参照:SNSから収集、30億枚の顔データベースが主張する「権利」(03/22/2021 新聞紙学的)
懸念を呼んだのは、その顔画像の収集方法と規模だ。
クリアビューAIは、フェイスブックやユーチューブ、ツイッター、インスタグラムなどのソーシャルメディアにユーザーが投稿した顔画像を自動収集し、顔認識のためのデータベースを作成しているという。
同社はこれまで、収集した顔画像の規模を「30億枚超」と自社サイトで表明していた。だが、2021年10月には、その数を3倍以上の「100億枚超」に更新している。
米会計検査院が2016年に公開した米上院への報告書によると、FBIの顔写真データベースの検索対象数は4億1,190万枚。
クリアビューAIの顔画像の規模は現在、その24倍に当たる。
●相次ぐプライバシー当局の動き
ニューヨーク・タイムズが報じた2020年1月には、イリノイ州の州法である生体情報プライバシー保護法に基づき、クリアビューAIに対する集団訴訟、同年5月にも米市民自由連合(ACLU)による訴訟などが起こされた。
また、顔画像を自動収集されたフェイスブック、グーグル、ツイッターなどのプラットフォームによる規約違反を理由とした停止通告書も相次いで送付されている。
米国外でも、動きは出ている。
ドイツ・ハンブルク州のデータ保護・情報公開コミッショナー(HmbBfDI)は2021年1月、ドイツを拠点とするハッカーグループ「カオス・コンピューター・クラブ(CCC)」のメンバーで、ハンブルク大学研究員、マティアス・マークス氏の申し立てに対して、欧州連合(EU)のプライバシー保護法制「一般データ保護規則(GDPR)」違反を認めた。
ただ同コミッショナーは、対象を申立人であるマークス氏の顔画像のデータのみに限定して、その削除を命じている。
スウェーデンではプライバシー保護庁(IMY)が2月、警察庁がクリアビューAIを使用したことを巡り、犯罪データ法に違法するとして、同庁に対して250万クローナ(約3,340万円)の過料を科している。
さらにカナダでも同月、連邦プライバシーコミッショナー事務局と、ケベック州の情報委員会、ブリティッシュコロンビア州とアルバータ州の情報・プライバシーコミッショナー事務局の共同調査によって、クリアビューAIが連邦と州のプライバシー保護法に違反していた、と認定。
「クリアビューが行っているのは大規模監視であり、違法だ」として、同社に対し、同国内での顧客へのサービス提供と、顔画像収集の停止、およびすでに収集した顔画像データの削除を勧告した。
これに対してクリアビューAIは、警察へのサービス提供は停止したものの、それ以外の勧告は拒否。だが7月には、同国内での活動の停止を通知した。データの収集停止や削除については、なお調査中だという。
このほかにも、「プライバシー・インターナショナル」などの人権擁護団体は5月、英国、フランス、イタリア、ギリシャ、オーストリアの5カ国のプライバシー当局に対して、クリアビューAIがGDPRに違反しているとして、連携した強制措置を求める申し立てを行っている。
これまでの各国プライバシー当局の動きは、独ハンブルク州が申立人のデータのみに限定した削除命令、スウェーデンがクリアビューAIではなく使用側の同国警察庁への過料、カナダでは強制力のない勧告、と限定的なものだった。
これに対して、今回のオーストラリア当局の命令は、政府機関としての本格的な強制措置となる。
●メタは10億人の顔認識データ削除
メタ(フェイスブック)のAI担当副社長、ジェローム・ペセンティ氏は11月2日、公式ブログで、同社の顔認識システムの停止について、そう説明した。
フェイスブックに投稿する写真に写った顔を自動認識し、名前のタグ付けがしやすくなるこのサービスを停止し、顔認識のもとになっているデータも一斉に削除するのだという。
その理由として挙げているのが、顔認識に対する懸念の高まりと、制度整備の不十分さだ。
ペセンティ氏が指摘するような、顔認識への懸念と、制度整備の不十分さを象徴するのが、クリアビューAIをめぐる動きだと言える。
すでにIBM、アマゾン、マイクロソフトといったIT大手は2020年6月、顔認識への批判の高まりの中で、相次いでサービスからの撤退や警察への提供見合わせなどを表明している。
※参照:IBM、Amazon、Microsoftが相次ぎ見合わせ、AIによる顔認識の何が問題なのか?(06/10/2020 新聞紙学的)
●社会としての歯止め
クリアビューAIに象徴される顔認識への懸念とは、リアルタイムの大規模監視というディストピアへの懸念だ。
EUが4月に発表したAI規制法案でも、警察などの法執行機関によるリアルタイムの顔認識は原則として禁止されている。
※参照:「すごく危ないAI」の禁止に潜む大きな「抜け穴」とは(04/25/2021 新聞紙学的)
日本でも9月、JR東日本が出所者らを対象に防犯カメラで顔認識を使用していたことを読売新聞が報道し、これを受けた反響の中で、「社会的なコンセンサスがまだ得られていない」として即日、使用が取りやめになる騒動があった。
クリアビューAIが各国で物議をかもし続ける背景には、このような「リアルタイムの大規模監視」への懸念に加え、オープンな情報共有を前提としたソーシャルメディア社会で、言わば「フリーライダー(タダ乗り)」としての振る舞いと、膨大な顔画像の収集規模がある。
このような動きに、社会として明確な歯止めがかけられるのか。
今回のオーストラリア当局の命令の成り行きは、この問題を考える手がかりになりそうだ。
(※2021年11月5日付「新聞紙学的」より加筆・修正のうえ転載)