英国のデータ保護規制当局最高責任者はライブ顔認識(live facial recognition、LFR)を公共の場で無謀かつ不適切に使用することについて警鐘を鳴らした。
公共の場でこの生体認証監視を使用することについて、個人情報保護監督官のElizabeth Denham(エリザベス・デナム)氏は「エンゲージメントの規則」と題する活動の開始点として見解を発表し、データ保護規制当局はLFRの利用計画に対して多くの調査を実施したが、すべてのケースで問題が発覚したと述べた。
「ライブ顔認証テクノロジーが不適切に、過剰に、あるいは無謀に使用される可能性について深く憂慮しています。機密性の高い個人情報が、本人の知らないところで、本人の許可なしに大規模に収集された場合、その影響は計り知れません」と同氏はブログの投稿で警告した。
「これまでの用途としては、公共の安全性の懸念に対応したり、生体認証プロファイルを作成して絞り込んだターゲットにパーソナライズされた広告を配信するといったものがあります」。
「調査対象となった組織の中でその処理を完全に正当化できた組織は1つもなく、実際に稼働したシステムのうち、データ保護法の要件に完全に準拠していたものは皆無でした。すべての組織はLFRの使用を中止する選択をしました」。
「CCTV(Closed-Circuit Television、監視カメラ)と違って、LFRとそのアルゴリズムは、映っている人を自動的に特定し、その人に関する機密性の高い情報を推測します。そして即座にプロファイルを作成してパーソナライズされた広告を表示したり、毎週食料品店で買い物をするあなたの画像を万引犯の画像と比較したりします」とデナム氏はいう。
「将来は、CCTVカメラをLFRで置き換えたり、ソーシャルメディデータやその他の『ビッグデータ』システムと組み合わせて使用する可能性もあります。LFRはCCTVの強化版なのです」。
生体認証テクノロジーを使用して個人をリモートから特定すると、プライバシーや差別のリスクなど、人権に関する重大な懸念が生じる。
欧州全体で、自分の顔を取り戻そうといった、生体認証による大衆監視の禁止を求めるさまざまな運動が起こっている。
顔認証にターゲットを絞ったもう1つのアクションとして、2021年5月、プライバシー・インターナショナルなどが、物議を醸している米国の顔認証企業Clearview AI(クリアビュー・エーアイ)の欧州での営業を停止するよう求める法的な異議申し立てを行った(一部の地域警察部隊も例外ではない。スウェーデンでは、2021年初め、Clearview AIの技術を不法に使用したという理由で警察がDPAによって罰金を課された)。
関連記事:スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断
欧州では生体認証監視に対して一般市民が大きな反対の声を上げているが、議員たちはこれまでのところ、この論争中の問題の枝葉末節をあれこれいじくりまわしているだけだ。
欧州委員会が2021年4月に提示したEU全体の規制では、人工知能の応用に関するリスクベースのフレームワークが提案されているが、法執行機関による公共の場での生体認証監視の利用については一部が禁止されているに過ぎない。しかも、広範な適用例外が設けられていたため、多くの批判を招いた。
関連記事
・欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す
・欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める
・EUデータ保護当局のトップ監督官が公共の場での顔認識の禁止を強く要請
党派を問わずあらゆる欧州議会議員から、ライブの顔認証などのテクノロジーの公共の場での使用の全面禁止を求める声も上がっている。また、EUのデータ保護監督庁長官は、国会に対し、公共の場での生体認証監視の使用を、少なくとも一時的に禁止するよう求めている。
いずれにしても、英国はEUから離脱したため、EUが計画しているAI規制は英国には適用されない。英国政府が国のデータ保護体制を緩和する方向に舵を切るかどうかはまだわからない。
ブレグジット後に英国の規制体制の変更について同国政府が調査会社に依頼した最近のレポートでは、英国GDPRを新しい「英国フレームワーク」で置換して「イノベーションと公共の利益のためにデータを開放する」こと、そしてAIおよび「成長分野」に有利な修正を行うよう主張している。そのため、ブレグジット後、英国の官僚たちがデータ保護体制の修正に手を付けるかどうかが人権ウォッチャーたちの主要な関心事となっている。
「Taskforce on Innovation, Growth and Regulatory Reform(イノベーション、成長、規制改革に関するタスクフォース)」と題するレポートでは、自動処理のみに基づく決定に従わない権利を市民に与えるGDPRの第22項の完全削除を支持しており、(個人情報保護監督庁[INFORMATION COMMISSIONER OFFICE、ICO]からと思われる指導を受け)「自動化プロファイリングが合法かどうか、公共の利益を満たすものかどうかに焦点を移した表現」で置き換えることを提案している。ただし、英国政府はデナム氏の後任人事についても検討しており、デジタル相は、後任には「データを脅威ではなく、我々の時代の大いなる機会とみなす大胆な新しいアプローチ」を採って欲しいと考えていると述べた。つまり、公正、説明責任、透明性とはさようならということだろうか。)
プライバシー監視機関によると、現在のところ、英国でLFRを実装しようとする者は、英国のデータ保護法2018と英国一般データ保護規則(つまり、EU GDPRの英国版。ブレグジット前に国内法令となった)の条項に準拠する必要がある。具体的には、英国GDPR第5条に明記されているデータ保護原則(合法性、公正、透明性、目的の制限、データの最小化、保存の制限、セキュリティ、説明責任など)に準拠する必要がある。
この見解には、監督機関は個人が権利を行使できるようにしなければならないとも書かれている。
「組織は最初から高水準のガバナンスと説明責任を実証する必要があります。これには、LFRを使用することが、導入先の個々のコンテキストにおいて、公正、必要、かつ適切であることを正当化できることも含まれます。侵害性の低い手法は機能しないことを実証する必要があります」とデナム氏は書いている。「これは重要な基準であり、確固とした評価を必要とします」。
「組織はまた、潜在的に侵害的なテクノロジーを使用するリスクとそれが人々のプライバシーと生活に与える影響を理解し評価する必要があります。例えば正確性と偏見をめぐる問題によって、人物誤認が起こり、それにともなって損害が発生することを理解する必要があります」。
英国がデータ保護とプライバシーに関して進む方向についての広範な懸念という視点から見ると、プライバシー監視機関がLFRに関する見解を表明したタイミングは興味深い。
例えば英国政府が後任の個人情報保護監督官に、データ保護とAI(生体認証監視などの分野を含む)に関する規則書を喜んで破り捨ててしまうような「御しやすい」人物を任命するつもりだとしても、少なくとも、LFRの無謀で不適切な使用にともなう危険性を詳述した前任者の見解が公文書に記載されている状態では、そのような政策転換を行うのはかなり気まずいだろう。
もちろん、後任の個人情報保護監督官も、生体認証データがとりわけ機密性の高い情報であり、年齢、性別、民族などの特性を推定または推論するのに使用できるという明らかな警告を無視できないだろう。
あるいは、英国の裁判所がこれまでの判決で「指紋やDNAと同様、顔生体認証テンプレートは本質的にプライベートな特性をもつ情報である」と結論づけており、ICOの見解のとおり、LFRを使用すると、この極めて機密性の高いデータを本人に気づかれることなく取得できるという点を強調していることも当然認識しているはずである。
またデナム氏は、どのようなテクノロジーでも成功するには市民の信頼と信用が必要であるという点を繰り返し強調し、次のように述べている。「そのテクノロジーの使用が合法的で、公正かつ透明性が高く、データ保護法に記載されている他の基準も満たしていることに市民が確信を持てなければなりません」。
ICOは以前「警察によるLFRの使用について」という文書を公開しており、これがLFRの使用に関して高いしきい値を設定することになった(ロンドンメトロポリタン警察を含め、いくつかの英国の警察部隊は、顔認証テクノロジーの早期導入者の1つであり、そのために、人種偏見などの問題について法的苦境に陥った部隊もある)。
関連記事:人権侵害の懸念をよそにロンドン警視庁がNEC製の顔認証を導入
人権運動家にとっては残念なことだが、ICOの見解では、民間企業や公的機関による公開の場での生体認証監視の使用の全面禁止を推奨することは避けており、監督官は、このテクノロジーの使用にはリスクがともなうが、極めて有用となるケース(行方不明の子どもを捜索する場合など)もあると説明している。
「テクノロジーにお墨付きを与えたり禁止したりするのは私の役割ではありませんが、このテクノロジーがまだ開発中で広く普及していない今なら、データ保護に然るべき注意を払うことなくこのテクノロジーが拡散しまうのを防ぐ機会が残されています」と同氏は述べ、次のように指摘する。「LFRを導入するいかなる意志決定においても、データ保護と利用者のプライバシーを最優先する必要があります」。
また、デナム氏は次のように付け加えた。現行の英国の法律では「ショッピング、社交、集会などの場で、LFRとそのアルゴリズムを使用することを正当化するには、高いハードルをクリアする必要があります」。
「新しいテクノロジーでは、利用者の個人情報の使い方について市民の信頼と信用を構築することが不可欠です。それがあって初めて、そのテクノロジーによって生まれる利点を完全に実現できます」と同氏は強調し、米国ではこの信頼が欠如していたために、一部の都市で、特定のコンテキストでのLFRの使用が禁止されたり、ルールが明確になるまで一部の企業がサービスを停止することになったことを指摘した。
「信頼がなければ、このテクノロジーによってもたらされる利点は失われてしまいます」と同氏は警鐘を鳴らした。
このように「イノベーション」というもっともらしい大義を掲げて英国のデータ保護体制を骨抜きにする方向へと慌てふためいて舵を切ろうとしている英国政府だが、1つ越えてはならない一線があることを忘れているようだ。英国が、EUの中心原則(合法性、公正、均整、透明性、説明責任など)から国のデータ保護規則を「解放」しようとするなら、EUとの規制同盟から脱退するリスクを犯すことになる。そうなると、欧州委員会は(締結したばかりの)EU-英国間のデータ適合性協定を破棄することになるだろう。
EUとのデータ適合性協定を維持するには、英国はEUと実質的に同等の市民データ保護を維持する必要がある。このどうしても欲しいデータ適合性ステータスを失うと、英国企業は、EU市民のデータを処理するのに、現在よりはるかに高い法的なハードルを超える必要が出てくる(これは、セーフハーバー原則とプライバシー・シールドが無効化された後、米国が今まさに体験していることだ)。EUのデータ保護機関がEU英国間のデータの流れを完全に停止する命令を下す状況もあり得る。
このようなシナリオは英国企業と英国政府の掲げる「イノベーション」にとって恐ろしい事態だ。テクノロジーに対する市民の信頼とか英国市民が自らプライバシーの権利を放棄してしまってよいと思っているのかどうかといったより大きな問題について検討する以前の問題である。
以上の点をすべて考え合わせると、英国政府にはこの「規制改革」の問題について徹底的に考え抜いた政治家が本当にいるのかどうか疑わざるを得ない。今のところ、ICOは少なくとも政府に代わって考える能力をまだ維持している。
関連記事
・グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない
・欧州人権裁判所は「大規模なデジタル通信の傍受には有効なプライバシー保護手段が必要」と強調
・フェイスブックの広告データ利用について英国と欧州の規制当局が競争規則違反の疑いで調査開始
画像クレジット:Ian Waldie / Staff / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)
データは研究目的でのみ提供され、対象は基本的に大学の研究室や公的研究機関となる。
OUR RESPONSE
