「違法に顔収集」26億円払え、100億枚AI企業に制裁へ
顔画像の違法な収集を停止・削除し、26億円を支払え――。
ソーシャルメディアなどから100億枚以上の顔画像を収集したというAI顔認識ベンチャーに、そんな巨額の制裁金が突き付けられた。
英国の規制当局は11月29日、データ保護法が定める上限の制裁金を示し、米AI顔認識ベンチャー「クリアビューAI」に英国民の顔画像の収集・処理停止とデータ削除を命じる仮決定を公表した。
英国はオーストラリアと共同でクリアビューAIの調査を進め、すでにオーストラリアは11月初めに同社への顔画像の削除命令を公表している。
クリアビューAIをめぐっては、これまでカナダなどでも違法認定が出ているが、同社に制裁金が突き付けられるのは初めてだ。
AI顔認識をめぐる深刻な懸念が、改めて規制当局から示されたことになる。
●法定上限の制裁金
情報コミッショナー事務局(ICO)は本日、“世界最大の顔画像ネットワーク”と称する企業、クリアビューAIに対し、1,700万ポンド(約25億6,600万円)余りの制裁金を科すとの仮決定を公表した。加えてICOは、同社による英国データ保護法の重大な違反に対して、英国民の個人データの処理の停止と削除を命じる仮通告を行った。
英国のプライバシー保護当局であるICOは11月29日、クリアビューAIに対する調査結果の発表で、そう述べた。
欧州連合(EU)のプライバシー保護法制「一般データ保護規則(GDPR)」に対応する形で2018年に施行された英国のデータ保護法(UK GDPR)では、違反に対する制裁金の上限を「1,750万ポンドか世界の売上高の4%の、いずれか高額な方」と規定している。
つまりICOは、クリアビューAIに対してほぼ法定上限の制裁金を突き付けたことになる。
同社は7月に3,000万ドル(約34億円)の資金調達(シリーズB)を行ったばかりだが、制裁金はその調達額の75%に当たる。
英国が絡んだ大型プライバシー事件としては、2018年3月に発覚した、ロンドンの選挙コンサルティング会社「ケンブリッジ・アナリティカ」によるフェイスブックのユーザーデータ7,800万人分の不正流用事件がある。
※参照:トランプ大統領を誕生させたビッグデータは、フェイスブックから不正取得されたのか(03/18/2018 新聞紙学的)
この時は、英国データ保護法の改正前だったため、ICOがフェイスブックに科した制裁金は、当時の法定上限の50万ポンド(約7,600万円)。
クリアビューAIへの制裁金は、その30倍以上に上る。
クリアビューAIをめぐっては、スウェーデンのプライバシー保護庁(IMY)が2月、同国警察庁が同社のサービスを使用したことが犯罪データ法に違法するとして、同庁に対して250万クローナ(約3,340万円)の制裁金を科している。
だがニューヨーク・タイムズへのクリアビューAIの説明によれば、同社が巨額の制裁金に直面するのは、今回の英国の仮決定が初めてのケースだという。
●違法なデータ収集
クリアビューAIは、ニューヨーク・タイムズが2020年1月に報道したことをきっかけに、世界的な注目を集めた。
フェイスブックやユーチューブ、ツイッター、インスタグラムなどのソーシャルメディアにユーザーが投稿した顔画像を自動収集し、顔認識のためのデータベースを作成しているという。
同社は従来、収集した顔画像の規模を「30億枚超」としていたが、現在はその数を「100億枚超」に更新している。
ニューヨーク・タイムズによれば、クリアビューAIは米連邦捜査局(FBI)や国土安全保障省(DHS)を含む600を超す法執行機関にサービスを提供している。
ICOは今回のクリアビューAIに対する仮決定の発表で、こう指摘している。
クリアビューAIのデータベースの画像には、英国民が相当数含まれていると見られる。それらはソーシャルメディア・プラットフォームなど、オンラインで一般公開された情報から、本人の知らぬところで収集されたようだ。ICOはまた、英国の複数の法執行機関が、クリアビューAIのサービスを無料で試用していたこと、現在ではそれらは終了し、英国内では同社のサービスは行われていないことも把握している。
米バスフィード・ニュースは2020年2月段階のクリアビューAIの内部資料を基に、24カ国に上る同社のサービス提供先のデータベースをつくり、公開している。
それによると、英国では国家犯罪対策庁や国防省、ロンドン警視庁などの警察にバーミンガム大学を加えた9つの機関で使用されていた。
ICOは、クリアビューAIによるデータ保護法違反について、6点を挙げている。
- 英国民の情報の処理を、予測可能で公正な方法で行っていない。
- データの無期限保有を停止させるための手続きを設定していない。
- 情報を収集する合法的な理由がない。
- 生体データに対して要求される高度な保護基準を満たしていない(GDPRとUK GDPRにおける“特別な種類の個人データ”)。
- 英国民に対して自身のデータの取り扱いについて告知していない。
- また、そのような告知には、写真を含む追加的な個人情報の提供を要求しており、データの処理に異議申し立てをしようとする個人にとって、その阻害要因となる。
ICOは、今回公表された仮決定に対して、クリアビューAIは意見表明をすることができるとしている。2022年半ばに最終決定を行うといい、制裁金の金額などの仮決定の内容が変更される可能性もある、としている。
●オーストラリアに続き
今回のICOのクリアビューAIに対する判断は、オーストラリアのプライバシー保護機関である情報コミッショナー事務局(OAIC)の11月3日の発表に続く、規制当局による措置となる。
両国は2020年7月からクリアビューAIへの共同調査を実施しており、今回のそれぞれの措置はその結果に基づくものだ。
OAICは、クリアビューAIが同国プライバシー法に違反していると認定。顔画像の収集と、顔認識のためのデータ作成を停止し、すでに収集・作成済みのデータの破棄を命じている。
※参照:ネットから「顔」100億枚、AI顔認識に規制当局が削除命令(11/05/2021 新聞紙学的)
またオーストラリアに先立つ2月、カナダでも連邦プライバシーコミッショナー事務局と、ケベック州の情報委員会、ブリティッシュコロンビア州とアルバータ州の情報・プライバシーコミッショナー事務局の共同調査によって、クリアビューAIが連邦と州のプライバシー保護法に違反していた、と認定している。
●クリアビューAIの反論
クリアビューAIの創業者でCEOのホアン・トンタット氏は、英BBCなどのメディアへの声明で、こう述べている。
英国情報コミッショナーが私のテクノロジーと意図を誤解したことに深く失望している。
当社と私は、英国と英国民のためを思って行動してきた。子どもや高齢者など、不正行為の犠牲となる人々への凶悪犯罪を解決するために、法執行機関に協力をしてきた。当社はオープンなインターネットの公開データのみを収集し、あらゆるプライバシー基準と法律を遵守している。
また、クリアビューAIは声明の中で、今回の仮決定への異議申し立てを検討しているという。
英国情報コミッショナーの主張は、事実において、また法律上も不正確だ。当社は異議申し立てとさらなる対応を検討している。
●退任の前日に
クリアビューAIに対する今回の仮決定の発表のタイミングは、情報コミッショナーのエリザベス・デナム氏にとって、やや特別な意味がありそうだ。
歯に衣着せぬ物言いで知られたデナム氏は、5年間の在任期間を発表翌日の11月30日で終え、退任となったためだ。今回の仮決定は、在任中の最後の処分発表になる。
2016年にカナダ・ブリティッシュコロンビア州の情報・プライバシーコミッショナー兼カナダのプライバシーコミッショナー補佐から英国の情報コミッショナーに就任したデナム氏。
UK GDPRの施行をはさんだ在任期間の5年で、ICOの規模は500人弱から800人超へと急増したという。
日本の個人情報保護委員会の事務局の定員は148人。ICOの800人超という規模は、日本の場合、公正取引委員会(定員841人)に匹敵する。
デナム氏は、仮決定発表の声明の中で、こう述べている。
個人データが、国民が思いもしない形で処理されたことに、私は深刻な懸念を持っている。(中略)英国のデータ保護法は、犯罪との闘いのための効果的なテクノロジー利用を止めるものではない。テクノロジープロバイダーが製品に対する国民の信頼と信用を享受するためには、人々の法的保護を尊重し、遵守することが必要だ。
後任は、ニュージーランドのプライバシーコミッショナー、ジョン・エドワーズ氏が決まっており、2022年1月に就任予定だ。
巨額の制裁金を示したクリアビューAIへの措置は、デナム氏の置き土産となる。コミッショナーの交代により、その内容が最終決定で、どう変わるのか、変わらないのか。
(※2021年12月2日付「新聞紙学的」より加筆・修正のうえ転載)
