欧州データ保護機関がスパイウェア「Pegasus」のEU全域での使用禁止を呼びかけ

欧州データ保護監察機関(EDPS)は、物議を醸しているスパイウェアツール「Pegasus(ペガサス)」について「前代未聞のレベルの攻撃」につながる恐れがあると警告して欧州全域での禁止を求めた。

この悪名高いスパイウェアを開発したイスラエルのNSO Group(NSOグループ)は、犯罪やテロと戦う目的で政府にのみPegasusを販売すると主張している。しかし、複数の報道により、このスパイウェアがフランス、スペイン、ハンガリーなどいくつかのEU加盟国のジャーナリスト、活動家、政治家を標的として使用されていたことが明らかになった。

Citizen Labの研究者は2022年1月、Pegasusがポーランド政府を批判する人物3人のスパイに使用されていたことを発見し、同国の2019年の議会選挙の正当性に疑問を呈した。

関連記事:ポーランドのモバイルスパイウェア事件で2019年の選挙に疑念が浮上

これらの事例を踏まえ、欧州委員会にガイダンスと勧告を出す役割を担うEDPSは「Pegasusの機能を持つスパイウェアのEU内での開発・使用の禁止」を求めた。EDPSは、ゼロクリック攻撃によってデバイスに密かにインストールされ、個人データ、写真、メッセージ、正確な位置情報など、標的とするデバイスへのほぼ完全なアクセスを入手するといった、このスパイウェアの「強力な」機能を挙げている。

関連記事:自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

ブリュッセルに本部を置くEDPSは、Pegasusのようなスパイウェアの禁止は「基本的な自由だけでなく、民主主義と法の支配」を守るために必要だと指摘する。

EDPSは報告書の中で、多くの加盟国がスパイウェアの購入を認めたと述べている。しかし「多くの加盟国が、少なくともNSO Groupと製品のライセンス交渉を開始したようだ」として、本当の顧客リストは「もっと多いかもしれない」とも付け加えている。

EDPSは、たとえばテロのような差し迫った深刻な脅威を防ぐためなど、例外的な状況でスパイウェアを導入する必要性を否定できないと付け加えた。また、政府がPegasusを使用する場合、あらゆる形態の監視が「有意義かつ効果的」であることを確認し、EUのプライバシー規則を厳格に適用するなど、8つのステップを踏むべきだと述べている。

名前を明かさないNSOの広報担当者は声明の中で、ジャーナリストや人権活動家を含む、明らかになっているPegasus感染の証拠を発見・発表した学者や研究者を非難した。

EDPSの報告書が発表される数カ月前には、米商務省がNSOを貿易取引制限リストに追加し、明確な許可を得ない限り米企業がNSOと取引することを禁止した。

関連記事:米国がスパイウェア「Pegasus」問題でセキュリティ企業NSOグループとの取引を禁止

画像クレジット:Amir Levy / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

長らく待たれていたが、ついにFacebookは、大々的に報じられていた欧州のデータ保護体制からの批判を感じ始めている。2021年9月初旬、アイルランドのデータ保護委員会(DPC)が、WhatsAppに2億2500万ユーロ(約294億円)の制裁金を科すことを発表した。

Facebook傘下の同メッセージングアプリは、欧州連合(EU)のデータ統括者であるアイルランドのDPCによって2018年12月から調査を受けている。その数カ月前には、WhatsAppのユーザーデータ処理方法をめぐって最初の苦情が申し立てられていた。同社のユーザーデータ処理方法は、欧州の一般データ保護規則(GDPR)の適用が2018年5月に開始されている。

関連記事:GDPR施行、「同意の強制」でさっそくFacebookとGoogleに対し初の提訴

WhatsAppに関する具体的な苦情がいくつも寄せられたにもかかわらず、2021年9月初旬に決定が下されたDPCによる調査は「自発的」な調査として知られているものであった。つまり、規制当局が調査自体のパラメータを選定し、WhatsAppの「透明性」に関する義務を監査することを選択したものだ。

GDPRの重要な原則の1つは、個人のデータを処理する事業体はその個人の情報がどのように使用されるかについて、その個人に対して明確でオープンかつ正直でなければならない、ということにある。

この度のDPCの決定(266ページに及ぶ)は、WhatsAppがGDPRで要求されている基準を満たしていなかったと結論づけている。

この調査では、WhatsAppが同サービスのユーザーと非ユーザーの両方に対する透明性に関する義務を果たしているかどうかが検討された(例えばWhatsAppは、ユーザーが他人の個人情報を含む電話帳を取り込むことに同意すれば、非ユーザーの電話番号をアップロードすることができる)。また、親会社のFacebookとのデータ共有に関してプラットフォームが提供する透明性にも注目していた(2016年にプライバシーUターンが発表された当時、大きな議論を呼んだが、GDPRの適用前だった)。

要約すると、DPCはWhatsAppによる一連の透明性侵害を発見した。GDPRの第5条1項(a)号、第12条、第13条、第14条に及ぶものである。

多額の制裁金を科すことに加えて、当局はWhatsAppに対し、ユーザーと非ユーザーに提供する透明性のレベルを向上させるために多くの措置を講じるよう命じている。このテック大手には、指示されたすべての変更を行うために3カ月の期限が与えられた。

WhatsAppはDPCの決定に対する声明の中で、調査結果に異議を唱え、この制裁金を「まったく不相応」と表現するとともに、控訴する意向を示し、次のように記している。

WhatsAppは、安全でプライベートなサービスを提供することに尽力しています。当社は提供する情報の透明性と包括性の確保に努めており、今後も継続的に取り組んでいきます。当社が2018年に人々に提供した透明性に関するこの度の決定には同意できず、制裁金はまったく不相応なものです。当社はこの決定に控訴する意向です。

最終的な決定が下されたDPC調査の範囲は、WhatsAppの透明性に関する義務への考慮に限定されていたことを強調しておきたい。

規制当局は、明示的に、広範囲の苦情について調査してこなかった。それはFacebookのデータマイニング帝国に対して3年以上も前から提起されているもので、そもそもWhatsAppが人々の情報を処理していると主張する法的根拠に関するものである。

したがって、DPCはGDPR施行のペースとアプローチの両方について批判を受け続けることになるだろう。

実際、今日に至るまで、アイルランドの規制当局は「ビッグテック」に対処するための国境を越えた大規模な訴訟において、わずか1つの決定しか下していなかった。Twitterに対して行われたもので、2020年の12月に遡るが、歴史的なセキュリティ侵害をめぐりこのソーシャルネットワークに55万ドル(約6045万円)の制裁金を科したというものだった。

これとは対照的に、WhatsAppの最初のGDPR罰則はかなり大きく、EUの規制当局がGDPRのはるかに深刻な侵害だと考えていることを反映している。

透明性は規制の主要原則の1つである。そして、セキュリティ侵害はずさんな慣行を示しているかもしれない一方で、アドテック帝国が大きな利益を上げるためにそのデータに依存する人々に対する、組織的な不透明さは、むしろ意図的なものに見える。確かに、それは間違いなくビジネスモデル全体のことである。

そして、少なくとも欧州においては、そのような企業は、人々のデータを利用して何をしているのかについて最前線に立たされることになるだろう。

GDPRは機能しているだろうか?

WhatsAppの決定は、GDPRが最も重要なところで効果的に機能しているかどうかについての議論を再燃させるだろう。世界で最も強力な、そしてもちろんインターネット企業でもある各社に対して。

EUの代表的なデータ保護規制では、越境事案の決定には影響を受ける全規制当局(27の加盟国)の同意が必要である。そのためGDPRの「ワンストップショップ」メカニズムは、主規制当局を介して苦情や調査を集めることにより、越境企業の規制上の義務を合理化しようとしているが(通常は企業がEU内に主要な法的根拠を持っている場合)、今回のWhatsApp事案で起きたように、主監督当局の結論(および提案された制裁)に対して異議を申し立てることができる。

アイルランドは当初、WhatsAppに対して5000万ユーロ(約65億円)という、はるかに少額の制裁金を科すことを提案していたが、他のEU規制当局がさまざまな局面でこの決定案に異議を唱えた。その結果、欧州データ保護会議(EDPB)が最終的に介入し、多様な論争を解決するための拘束力のある決定を下さなければならなかった(EDPBはこの夏に施行された)。

DPCはその(確かにかなり痛みをともなう)共同作業を通じて、WhatsAppに科される制裁金の額を引き上げるよう求められた。Twitterの決定草案で何が起きたかを反映して、DPCは当初、より軽微な制裁金を提案していたのだった。

EUの巨大なデータ保護機関の間の紛争を解決するには、明らかな時間的コストがかかる。DPCは12月にWhatsAppの決定草案を他のDPAに提出して審査を求めていたので、WhatsAppの不可逆的ハッシュ化などに関するすべての紛争を徹底的に洗い出すのに半年以上かかっている。その決定と結論に「修正」が加えられているという事実は、たとえ共同で合意していなくても、少なくともEDPBに押し切られた合意を経て到達しているのであれば、プロセスが遅くて不安定ではあるが機能していることを示している。少なくとも技術的な意味においては。

それでも、アイルランドのデータ保護機関は、GDPRに関する苦情や調査の処理における大きな役割について批判を受け続けるだろう。DPCが、どの問題を(ケースの選択や構成によって)詳細に調査し、どの問題を完全に排除すべきか(調査を開始していない問題や、単に取り下げられたり無視されたりしている苦情)を、本質的に選り好みしていると非難する声もある。最も声高な批判者たちは、DPCが依然として、EU全体におけるデータ保護権の効果的な実施の大きなボトルネックになっていると主張している。

この批判に関連した結論は、Facebookのようなテック大手は、欧州のプライバシー規則に違反するためのかなりのフリーパスをまだ得ている、というものである。

しかし、2億2500万ユーロの制裁金がFacebookのビジネス帝国の駐車違反切符に相当するものであることは事実だとしても、そのようなアドテック大手が人々の情報を処理する方法を変更するよう命じられたことは、少なくとも問題のあるビジネスモデルを大幅に改善するポテンシャルを秘めている。

とはいえ、このような広範な命令が期待される効果をもたらしているかどうかを判断するには、やはり時間を要することになるであろう。

欧州の長年のプライバシー活動家Max Schrems(マックス・シュレムス)氏によって設立されたプライバシー擁護団体noybは、この度のDPCのWhatsAppの決定に反応した声明で次のように述べている。「アイルランドの規制当局によるこの初の決定を歓迎します。しかし、DPCには2018年以来、年間約1万件の苦情が寄せられていますが、今回が初めての大きな制裁措置です。DPCはまた、当初は5000万ユーロの制裁金を科すことを提案しており、他の欧州データ保護当局によって2億2500万ユーロへの移行を余儀なくされました。それでもFacebookグループの売上高の0.08%にすぎません。GDPRは売上高の最大4%の制裁金を想定しています。このことは、DPCが依然として極めて機能不全に陥っていることを示しています」。

シュレムス氏はさらに、同氏とnoybは、DPCの前で保留中の訴訟をいくつか抱えており、その中にはWhatsAppも含まれていることを指摘した。

さらなる発言の中で同氏らは、DPCが他のEUのDPAによって強化を余儀なくされた制裁措置を筋の通った形で擁護するのかについて、また上訴プロセスの長さについての懸念を表明した。

「WhatsAppは確かに決定を不服として控訴するでしょう。アイルランドの裁判所のシステムにおいて、これは制裁金が実際に支払われるまでに何年もかかることを意味します。私たちのケースでは、DPCは事実上の基礎固めを行うことよりも、見出しに関心があるように私たちはしばしば感じていました。DPCが実際にこの決定を守るかどうかを見るのは、非常に興味深いことです。なぜなら、DPCは基本的に欧州のカウンターパートによって今回の決定を下さざるを得なかったからです。私はDPCが単純にこの訴訟に多くのリソースを割くことをしないか、アイルランドにおいてWhatsAppと「和解」することを想像することができます。私たちは、DPCが確実にこの決定に従って進めていることを確認するために、この件を注意深く監視していきます」。

【更新】別の反応声明で、Facebook傘下のWhatsAppに対して苦情を申し立てている欧州の消費者保護団体BEUCは、この決定を「遅すぎた」と評している。

デジタルポリシーのチームリーダーであるDavid Martin(デビッド・マーティン)氏は次のように付け加えた。「今回のことは、Facebookとその子会社に対して、データ保護に関するEUの規則を破ることは重大な結果をもたらすという重要なメッセージを送っています。また、アイルランドのデータ保護当局がEUのカウンターパートによってさらに厳格なスタンスを取ることを余儀なくされたことから、欧州データ保護委員会がGDPRの施行に果たした決定的な役割も今回示されました。私たちは、消費者当局がこの決定に留意し、BEUCがWhatsAppに対して起こしている、規約やプライバシーポリシーの最近の変更を受け入れるよう同社がユーザーに不当な圧力をかけたことに関する別の苦情について、速やかな対応がなされることを願っています」。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始

欧州の主要データ保護規制当局は、EU機関による米国クラウド大手Amazon(アマゾン)とMicrosoft(マイクロソフト)のそれぞれのクラウドサービス利用について、調査を開始した。欧州の団体、機関、官公庁は、AWSおよびMicrosoftの間でいわゆる「Cloud II」契約を締結している。

欧州データ保護監察機関(EDPS)によると、欧州委員会によるMicrosoftのOffice 365の使用についても、以前の勧告への準拠状況を評価するための独立した調査が開始されたという。

Wojciech Wiewiórowski(ヴォイチェフ・ヴィヴィオロフスキ)氏は、2020年10月に発表されたより広範なコンプライアンス戦略の一環として、EUのクラウドサービスの利用を調査している。当該戦略は、欧州司法裁判所(CJEU)による画期的な裁定(通称Schrems II)を受けたものだ。この裁定は、EU-米国間の「Privacy Shield」データ移転協定を無効にし、EUユーザーの個人データが大規模監視体制によって危険にさらされる可能性のある第三国に流出している場合の、代替的なデータ移転メカニズムの実行可能性に疑問を投げかけるものだった。

EUの最高プライバシー規制当局は去る2020年10月、EU加盟国以外の国への個人データの移転について報告するようEU加盟国の機関に要請した。EDPSが米国時間5月27日の発表したところによると、この分析によってデータが第三国に流れていることが確認されたという。また、特に米国への流入が顕著であり、その理由として、EU機関が大手クラウドサービスプロバイダ(その多くは米国を拠点としている)への依存を高めていることが挙げられる。

驚くことではない。しかしEDPSは、Schrems II判決以前に署名された2社との契約がCJEUの判断に沿っているかどうかを見極めたいと考えており、次のステップは非常に興味深いものになるだろう。

実際、EDPSはその準拠性について懸念を示しており、将来的にはEU諸機関に対して代替のクラウドサービスプロバイダ(法的な不確実性を回避するためにEU内に設置されている可能性が高い)を探すことを要請する可能性もある。今回の調査は、規制当局主導による、EUの米国クラウド大手からの移行の始まりとなるかもしれない。

ヴィヴィオロフスキ氏は声明で次のように述べている。「EUの機関や団体からの報告の結果を受けて、私たちは両社との契約が特別な注意を要するものであることを特定しました。それが今回の2つの調査を開始することにした理由です。『Cloud II契約』は『Schrems II』判決前の2020年初めに署名されたこと、そしてAmazon(アマゾン)とMicrosoftの両方がその判決に沿うことを目的とした新たな措置を発表したことを認識しています。しかし、これらの措置はEUのデータ保護法を完全に遵守するのに十分ではない可能性があり、適切に調査する必要があります」。

AmazonとMicrosoftは、EU機関とのCloud II 契約に適用した特別措置に関する問い合わせに応じているところだ。

【更新1】現在、Microsoftの広報担当者が次のような声明を出している。

当社は、欧州データ保護監督機関から提起された質問に答えるために、EU機関を積極的に支援し、いかなる懸念にも迅速に対応する自信があります。EUのデータ保護要件を確実に遵守し、それ以上の成果を上げるための当社のアプローチに変更はありません。当社の「Defending Your Data」イニシアチブの一環として、EUの公共部門または商業部門のお客様のデータを求める政府の要請に対し、我々に合法的な根拠がある場合はすべて異議を申し立てることを約束しています。また、適用される個人情報保護法に違反してデータを開示し、損害を与えた場合には、ユーザーに金銭的な補償を行います。当社は今後も規制当局の指導に対応し、顧客のプライバシー保護の強化を継続的に図っていきます。

【更新2】Amazonからも次の声明が届いている。

EUの機関は、Schrems IIの要件に準拠してAWSサービスを利用することができ、お客様が欧州データ保護監察機関(EDPS)にそのことを実証してくださることをうれしく思います。顧客データを保護するための当社の強化された契約上のコミットメントは、Schrems II判決で要求されている以上のものであり、法執行機関の要求に挑戦してきた当社の長年の実績に基づいています」と述べている。

EDPSは、EUの機関に模範的な主導を求めていると表明した。欧州データ保護委員会(EDPB)は2020年、Schrems IIの判決の意味するところを実行するための規制猶予期間はないと公に警鐘を鳴らしたが、未だにデータ移転に関する本格的な取り組みがなされていないことを考えると、今回の動きは重要に思える。

対応が遅れていた理由として最も可能性が高いのは、法的基準を満たすことを期待して契約に加えられた、かなりの量の向こう見ずな反応や表面的な変更だろう(ただし規制当局による審査はまだ行われていない)。

EDPBからの最終的なガイダンスも保留中だが、当委員会は2020年秋に詳細な勧告を提示している。

CJEUの判決は、当該領域のEU法は看過されるべきではないことを明確に示した。EUのデータ規制当局がEUのデータを外部へ持ち出している契約を精査し始めることで、必然的にこれらの取り決めのいくつかは不十分であると判断され、関連するデータフローは停止を命じられることになるだろう。

ちなみに、長期戦となっているFacebook(フェイスブック)によるEU-米国間データ移転をめぐる苦情申し立ては、まさにそのような可能性に向けての歩みを遅らせている。申し立ての発端は、EUのプライバシー活動家で弁護士でもあるMax Schrems(マックス・シュレムス)氏によって2013年に提起された訴えにある。

2020年秋のSchrems II判決を受けて、アイルランドの規制当局はFacebookに対し、欧州の人々のデータを海を越えて移動させることはできないとする仮命令を出していた。Facebookはアイルランドの裁判所でこれに異議を唱えたが、今月初めにはその手続きを阻止する試みに失敗した。そのため、数カ月以内に業務停止命令を受ける可能性がある。

Facebookがどう反応するかは誰もが予想しているところだが、シュレムス氏は2020年夏TechCrunchに対し、同社は最終的にEUユーザーのデータをEU内に保存し、サービスをフェデレートする必要があると示唆している。

Schrems IIの判決は、法的な不確実性の問題を解決するために自らを位置づけることができるEUベースのクラウドサービスプロバイダにとって、一般的には朗報になりそうだ(米国ベースのクラウド大手ほど競争力のある価格や拡張性がない場合であっても)。

一方、CJEUの裁判官が繰り返し指摘しているように、EUの人々のデータへの脅威とみなされないようにする目的において、米国の監視法を独立した監督下に置き、市民以外の人々が利用可能な救済メカニズムを確立するには「数カ月」よりもはるかに長い時間がかかる可能性が高いだろう。それも米国当局が自らのアプローチを改革する必要性を確信することができるのならではあるが。

それでも、EUの規制当局が最終的にSchrems IIに対して行動を起こすようになれば、米国の政策立案者の意識を監視改革に集中させるのに役立つかもしれない。そうでなければ、ローカルストレージが将来の新しい標準になることもあり得る。

関連記事
フェイスブックのEU米国間データ転送問題の決着が近い
EUがゲイツ氏のBreakthrough Energyと提携、クリーンテックの開発・浸透加速へ
不正なやり方でCookie同意を求めるウェブサイトの粛清が欧州で始まる
EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入
【コラム】欧州のAIに必要なのは過剰な規制ではなく、戦略的なリーダーシップだ
英国は大手テック企業を規制するにあたり画一的なアプローチを採用しない方針

カテゴリー:パブリック / ダイバーシティ
タグ:EUAWSAmazonMicrosoftMicrosoft Azureプライバシー欧州データ保護監察機関 / EDPS欧州司法裁判所 / CJEU

画像クレジット:Jason Alden / Bloomberg / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す

欧州連合(EU)の欧州委員会が、域内市場のリスクの高い人工知能(AI)の利用に関するリスクベースの規制案を公表した。

この案には、中国式の社会信用評価システム、身体的・精神的被害を引き起こす可能性のあるAI対応の行動操作手法など、人々の安全やEU市民の基本的権利にとって危険性の高さが懸念される一部のユースケースを禁止することも含まれている。法執行機関による公共の場での生体認証監視の利用にも制限があるが、非常に広範な免除を設けている。

今回の提案では、AI使用の大部分は(禁止どころか)いかなる規制も受けていない。しかし、いわゆる「高リスク」用途のサブセットについては「ex ante(事前)」および「ex post(事後)」の市場投入という特定の規制要件の対象となる。

また、チャットボットやディープフェイクなど、一部のAIユースケースには透明性も求められている。こうしたケースでは、人工的な操作を行っていることをユーザーに通知することで、潜在的なリスクを軽減できるというのが欧州委員会の見解だ。

この法案は、EUを拠点とする企業や個人だけでなく、EUにAI製品やサービスを販売するすべての企業に適用することを想定しており、EUのデータ保護制度と同様に域外適用となる。

EUの立法者にとって最も重要な目標は、AI利用に対する国民の信頼を醸成し、AI技術の普及を促進することだ。欧州の価値観に沿った「卓越したエコシステム」を開発したいと、欧州委員会の高官は述べている。

「安全で信頼できる人間中心の人工知能の開発およびその利用において、欧州を世界クラスに高めることを目指します」と、欧州委員会のEVP(執行副委員長)であるMargrethe Vestager(マルグレーテ・ベステアー)氏は記者会見で提案の採択について語った

「一方で、私たちの規制は、AIの特定の用途に関連する人的リスクおよび社会的リスクに対処するものです。これは信頼を生み出すためです。また、私たちの調整案は、投資とイノベーションを促進するために加盟国が取るべき必要な措置を概説しています。卓越性を確保するためです。これはすべて、欧州全域におけるAIの浸透を強化することを約束するものです」。

この提案では、AI利用の「高リスク」カテゴリー、つまり明確な安全上のリスクをともなうもの、EUの基本的権利(無差別の権利など)に影響を与える恐れのあるものに、義務的な要件が課されている。

最高レベルの使用規制対象となる高リスクAIユースケースの例は、同規制の附属書3に記載されている。欧州委員会は、AIのユースケースの開発とリスクの進化が続く中で、同規制は委任された法令によって拡充する強い権限を持つことになると述べている。

現在までに挙げられている高リスク例は、次のカテゴリーに分類される。

  • 自然人の生体認証およびカテゴリー化
  • クリティカルなインフラストラクチャの管理と運用
  • 教育および職業訓練
  • 雇用、労働者管理、および自営業へのアクセス
  • 必要不可欠な民間サービスおよび公共サービスならびに便益へのアクセスと享受
  • 法執行機関; 移民、亡命、国境統制の管理; 司法および民主的プロセスの運営

AIの軍事利用に関しては、規制は域内市場に特化しているため、適用範囲から除外されている。

リスクの高い用途を有するメーカーは、製品を市場に投入する前に遵守すべき一連の事前義務を負う。これには、AIを訓練するために使用されるデータセットの品質に関するものや、システムの設計だけでなく使用に関する人間による監視のレベル、さらには市販後調査の形式による継続的な事後要件が含まれる。

その他の要件には、コンプライアンスのチェックを可能にし、関連情報をユーザーに提供するためにAIシステムの記録を作成する必要性が含まれる。AIシステムの堅牢性、正確性、セキュリティも規制の対象となる。

欧州委員会の関係者らは、AIの用途の大部分がこの高度に規制されたカテゴリーの範囲外になると示唆している。こうした「低リスク」AIシステムのメーカーは、使用に際して(法的拘束力のない)行動規範の採用を奨励されるだけだ。

特定のAIユースケースの禁止に関する規則に違反した場合の罰則は、世界の年間売上高の最大6%または3000万ユーロ(約39億4000万円)のいずれか大きい方に設定されている。リスクの高い用途に関連する規則違反は4%または2000万ユーロ(約26億3000万円)まで拡大することができる。

執行には各EU加盟国の複数の機関が関与する。提案では、製品安全機関やデータ保護機関などの既存(関連)機関による監視が想定されている。

このことは、各国の機関がAI規則の取り締まりにおいて直面するであろう付加的な作業と技術的な複雑性、そして特定の加盟国において執行上のボトルネックがどのように回避されるかという点を考慮すると、各国の機関に十分なリソースを提供することに当面の課題を提起することになるだろう。(顕著なことに、EU一般データ保護規則[GDPR]も加盟国レベルで監督されており、一律に厳格な施行がなされていないという問題が生じている)。

EU全体のデータベースセットも構築され、域内で実装される高リスクシステムの登録簿を作成する(これは欧州委員会によって管理される)。

欧州人工知能委員会(EAIB)と呼ばれる新しい組織も設立される予定で、GDPRの適用に関するガイダンスを提供する欧州データ保護委員会(European Data Protection Board)に準拠して、規制の一貫した適用をサポートする。

AIの特定の使用に関する規則と歩調を合わせて、本案には、EUの2018年度調整計画の2021年アップデートに基づく、EU加盟国によるAI開発への支援を調整するための措置が盛り込まれている。具体的には、スタートアップや中小企業がAIを駆使したイノベーションを開発・加速するのを支援するための規制用サンドボックスや共同出資による試験・実験施設の設置、中小企業や公的機関がこの分野で競争力を高めるのを支援する「ワンストップショップ」を目的とした欧州デジタルイノベーションハブのネットワークの設立、そして域内で成長するAIを支援するための目標を定めたEU資金提供の見通しなどである。

域内市場委員のThierry Breton(ティエリー・ブレトン)氏は、投資は本案の極めて重要な部分であると述べている。「デジタル・ヨーロッパとホライズン・ヨーロッパのプログラムの下で、年間10億ユーロ(約1300億円)を解放します。それに加えて、今後10年にわたって民間投資とEU全体で年間200億ユーロ(約2兆6300億円)の投資を生み出したいと考えています。これは私たちが『デジタルの10年』と呼んでいるものです」と同氏は今回の記者会見で語った。「私たちはまた、次世代EU[新型コロナウイルス復興基金]におけるデジタル投資の資金として1400億ユーロ(約18兆4000億円)を確保し、その一部をAIに投資したいと考えています」。

AIの規則を形成することは、2019年末に就任したUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)EU委員長にとって重要な優先事項だった。2018年の政策指針「EUのためのAI(Artificial Intelligence for Europe)」に続くホワイトペーパーが2020年発表されている。ベステアー氏は、今回の提案は3年間の取り組みの集大成だと述べた。

ブレトン氏は、企業がAIを適用するためのガイダンスを提供することで、法的な確実性と欧州における優位性がもたらされると提言している。

「信頼【略】望ましい人工知能の開発を可能にするためには、信頼が極めて重要だと考えます」と同氏はいう。「(AIの利用は)信頼でき、安全で、無差別である必要があります。それは間違いなく重要ですが、当然のことながら、その利用がどのように作用するかを正確に理解することも求められます」。

「必要なのは、指導を受けることです。特に新しいテクノロジーにおいては【略】私たちは『これはグリーン、これはダークグリーン、これはおそらく若干オレンジで、これは禁止されている』といったガイドラインを提供する最初の大陸になるでしょう。人工知能の利用を考えているなら、欧州に目を向けてください。何をすべきか、どのようにすべきか、よく理解しているパートナーを得ることができます。さらには、今後10年にわたり地球上で生み出される産業データの量が最も多い大陸に進出することにもなるのです」。

「だからこそこの地を訪れてください。人工知能はデータに関するものですから―私たちはガイドラインを提示します。それを行うためのツールとインフラも備えています」。

本提案の草案が先にリークされたが、これを受けて、公共の場での遠隔生体認証による監視を禁止するなど、計画を強化するよう欧州議会議員から要請があった。

関連記事
EUがAIのリスクベース規則の罰金を全世界年間売上高の最大4%で計画、草案流出で判明
欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める

最終的な提案においては、遠隔生体認証監視を特にリスクの高いAI利用として位置づけており、法執行機関による公の場での利用は原則として禁止されている。

しかし、使用は完全に禁止されているわけではなく、法執行機関が有効な法的根拠と適切な監督の下で使用する場合など、例外的に利用が認められる可能性があることも示唆されている。

脆弱すぎると非難された保護措置

欧州委員会の提案に対する反応には、法執行機関による遠隔生体認証監視(顔認識技術など)の使用についての過度に広範な適用除外に対する批判の他、AIシステムによる差別のリスクに対処する規制措置が十分ではないという懸念が数多くみられた。

刑事司法NGOのFair Trialsは、刑事司法に関連した意義ある保護措置を規制に盛り込むには、抜本的な改善が必要だと指摘した。同NGOの法律・政策担当官であるGriff Ferris(グリフ・フェリス)氏は、声明の中で次のように述べている。「EUの提案は、刑事司法の結果における差別の固定化の防止、推定無罪の保護、そして刑事司法におけるAIの有意義な説明責任の確保という点で、抜本的な改革を必要としています」。

「同法案では、差別に対する保護措置の欠如に加えて、『公共の安全を守る』ための広範な適用除外において刑事司法に関連するわずかな保護措置が完全に損なわれています。この枠組みには、差別を防止し、公正な裁判を受ける権利を保護するための厳格な保護措置と制限が含まれていなければなりません。人々をプロファイリングし、犯罪の危険性を予測しようとするシステムの使用を制限する必要があります」。

欧州自由人権協会(Civil Liberties Union for Europe[Liberties])も、同NGOが主張するような、EU加盟国による不適切なAI利用に対する禁止措置の抜け穴を指摘している。

「犯罪を予測したり、国境管理下にある人々の情動状態をコンピューターに評価させたりするアルゴリズムの使用など、問題のある技術利用が容認されているケースは数多く存在します。いずれも重大な人権上のリスクをもたらし、EUの価値観を脅かすものです」と、上級権利擁護担当官のOrsolya Reich(オルソリヤ・ライヒ)氏は声明で懸念を表明した。「警察が顔認識技術を利用して、私たちの基本的な権利と自由を危険にさらすことについても憂慮しています」。

ドイツ海賊党の欧州議会議員Patrick Breyer(パトリック・ブレイヤー)氏は、この提案は「欧州の価値」を尊重するという主張の基準を満たしていないと警告した。同氏は、先のリーク草案に対して基本的権利の保護が不十分だと訴える書簡に先に署名した40名の議員のうちの1人だ。

「EUが倫理的要件と民主的価値に沿った人工知能の導入を実現する機会をしっかり捕捉しなれけばなりません。残念なことに、欧州委員会の提案は、顔認識システムやその他の大規模監視などによる、ジェンダーの公平性やあらゆるグループの平等な扱いを脅かす危険から私たちを守るものではありません」と、今回の正式な提案に対する声明の中でブレイヤー氏は語った。

「公共の場における生体認証や大規模監視、プロファイリング、行動予測の技術は、私たちの自由を損ない、開かれた社会を脅かすものです。欧州委員会の提案は、公共の場での自動顔認識の高リスクな利用をEU全域に広めることになるでしょう。多くの人々の意思とは相反します。提案されている手続き上の要件は、煙幕にすぎません。これらの技術によって特定のグループの人々を差別し、無数の個人を不当に差別することを容認することはできません」。

欧州のデジタル権利団体Edriも「差別的な監視技術」に関する提案の中にある「憂慮すべきギャップ」を強調した。「この規制は、AIから利益を得る企業の自己規制の範囲が広すぎることを許容しています。この規制の中心は、企業ではなく人であるべきです」と、EdriでAIの上級政策責任者を務めるSarah Chander(サラ・チャンダー)氏は声明で述べている。

Access Nowも初期の反応で同様の懸念を示しており、提案されている禁止条項は「あまりにも限定的」であり、法的枠組みは「社会の進歩と基本的権利を著しく損なう多数のAI利用の開発や配備を阻止するものではない」と指摘している。

一方でこうしたデジタル権利団体は、公的にアクセス可能な高リスクシステムのデータベースが構築されるなどの透明性措置については好意的であり、規制にはいくつかの禁止事項が含まれているという事実を認めている(ただし十分ではない、という考えである)。

消費者権利の統括団体であるBEUCもまた、この提案に対して即座に異議を唱え、委員会の提案は「AIの利用と問題の非常に限られた範囲」を規制することにフォーカスしており、消費者保護の点で脆弱だと非難した。

「欧州委員会は、消費者が日々の生活の中でAIを信頼できるようにすることにもっと注力すべきでした」とBEUCでディレクターを務めるMonique Goyens(モニーク・ゴヤンス) 氏は声明で述べている。「『高リスク』、『中リスク』、『低リスク』にかかわらず、人工知能を利用したあらゆる製品やサービスについて人々の信頼の醸成を図るべきでした。消費者が実行可能な権利を保持するとともに、何か問題が起きた場合の救済策や救済策へのアクセスを確保できるよう、EUはより多くの対策を講じるべきでした」。

機械に関する新しい規則も立法パッケージの一部であり、AIを利用した変更を考慮した安全規則が用意されている(欧州委員会はその中で、機械にAIを統合している企業に対し、この枠組みに準拠するための適合性評価を1度実施することのみを求めている)。

Airbnb、Apple、Facebook、Google、Microsoftなどの大手プラットフォーム企業が加盟する、テック業界のグループDot Europe(旧Edima)は、欧州委員会のAIに関する提案の公表を好意的に受け止めているが、本稿執筆時点ではまだ詳細なコメントを出していない。

スタートアップ権利擁護団体Allied For Startupsは、提案の詳細を検討する時間も必要だとしているが、同団体でEU政策監督官を務めるBenedikt Blomeyer(ベネディクト・ブロマイヤー)氏はスタートアップに負担をかける潜在的なリスクについて警鐘を鳴らしている。「私たちの最初の反応は、適切に行われなければ、スタートアップに課せられる規制上の負担を大幅に増加させる可能性があるということでした」と同氏はいう。「重要な問題は、欧州のスタートアップがAIの潜在的な利益を享受できるようにする一方で、本案の内容がAIがもたらす潜在的なリスクに比例するものかという点です」。

その他のテック系ロビー団体は、AIを包み込む特注のお役所仕事を期待して攻撃に出るのを待っていたわけではないだろうが、ワシントンとブリュッセルに拠点を置くテック政策シンクタンク(Center for Data Innovation)の言葉を借りれば、この規制は「歩き方を学ぶ前に、EUで生まれたばかりのAI産業を踏みにじる」ものだと主張している。

業界団体CCIA(Computer & Communications Industry Association)もまた「開発者やユーザーにとって不必要なお役所仕事」に対して即座に警戒感を示し、規制だけではEUをAIのリーダーにすることはできないと付け加えた。

本提案は、欧州議会、および欧州理事会経由の加盟国による草案に対する見解が必要となる、EUの共同立法プロセスの下での膨大な議論の始まりである。つまり、EUの機関がEU全体のAI規制の最終的な形について合意に達するまでに、大幅な変更が行われることになるだろう。

欧州委員会は、他のEU機関が直ちに関与することを期待し、このプロセスを早急に実施できることを望んでいると述べるにとどまり、法案が採択される時期については明言を避けた。とはいえ、この規制が承認され、施行されるまでには数年かかる可能性がある。

【更新】本レポートは、欧州委員会の提案への反応を加えて更新された。

カテゴリー:パブリック / ダイバーシティ
タグ:EU人工知能チャットボットディープフェイク透明性GDPR欧州データ保護委員会生体認証顔認証

画像クレジット:DKosig / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

EUデータ保護当局のトップ監督官が公共の場での顔認識の禁止を強く要請

欧州連合(EU)のデータ保護監督官は、次期AI関連法案の下で、公共の場での遠隔バイオメトリックサーベイランスを全面的に禁止するよう求めた。

欧州データ保護監察機関(EDPS)の介入は、欧州議会の議員らが中央ヨーロッパ時間4月21日に発表した、AI(人工知能)の適用先を規制するためのリスクベースアプローチに関する提案を受けたものだ。

欧州委員会の立法案には、法執行機関による公共の場での遠隔バイオメトリックサーベイランス技術(顔認識など)の使用を一部禁止することが含まれている。しかし、この文書には広範な例外規定が含まれており、デジタル権および人権団体は、EU市民の基本的権利の大幅な侵害につながると彼らが主張する抜け穴について、早くも警告を発している。そして先週、欧州議会の党派を超えたグループは、欧州委員会に対し、勇気を奮い起こしてこうした権利を侵害する技術を違法とするよう求めた。

欧州委員会のために勧告やガイダンスを発行する役割を担うEDPSは、これに同意する傾向にある。4月23日に発表されたプレスリリースでは、現在、EDPSの席を保持するWojciech Wiewiórowski(ヴォイチェフ・ヴィヴィオロフスキ)氏が再考を促している。

「EDPSは、顔認識を含む遠隔生体識別システムが公に利用可能なスペースで使用されることの一時停止を求める我々の以前の呼びかけが、欧州委員会によって対処されていないことを遺憾に思います」と同氏は書いている。

「EDPSは、商業や行政、あるいは法執行目的で使用されるかどうかにかかわらず、公共の場における人間の特徴(顔だけでなく歩行、指紋、DNA、声、キーストローク、その他の生体・行動信号)の自動認識について、より厳格なアプローチを提唱し続けていきます」。

「遠隔生体識別に関してはAIが前例のない発展をもたらす可能性がありますが、個人の私生活に深く非民主的に侵入するリスクが極めて高いことを考えると、より厳格なアプローチが必要です」とも。

ヴィヴィオロフスキ氏は、欧州委員会が提示した水平的アプローチと広範な範囲を歓迎すると述べ、この立法案に対してエールを送った。またAIの適用先を規制する際に、リスクベースアプローチをとることにも賛成している。

しかしEDPSは、EU議会が引いたレッドラインが、彼が期待していたよりもはるかにピンク色であることを明確にした。そして、欧州委員会が「信頼できる」「人間中心の」AIを確保するためのフレームワークを作成したという大々的な主張に応えていないという批判に、権威ある声を加えることになった。

今後、規制の最終的な形をめぐる議論では、欧州でのAIの一線をどこに引くべきかについて、多くの議論が交わされることになるだろう。最終的な文書の合意は、早くても来年になる見込みだ。

「EDPSは、個人および社会全体の保護を強化するためにEUの共同立法機関を支援するため、欧州委員会の提案を綿密かつ包括的に分析していきます。この観点から、EDPSは特に、データ保護やプライバシーに関する基本的権利にリスクをもたらす可能性のあるツールやシステムに的確な境界線を設定することに注力します」と、ヴィヴィオロフスキ氏は付け加えた。

関連記事:スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

カテゴリー:パブリック / ダイバーシティ
タグ:EU顔認証欧州データ保護監察機関(EDPS)プライバシー個人情報

画像クレジット:Stegerphoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Aya Nakazato)