スウェーデンのデータ監視機関が警察によるClearview AIの使用は違法と判断

スウェーデンのデータ保護機関であるIMYは、物議を醸している顔認識ソフトウェアClearview AIを違法に使用し、同国の犯罪データ法に違反したとして警察当局に罰金25万ユーロ(約3200万円)を科した。

執行の一環として警察当局は、今後個人データの処理でデータ保護規則と規制を破ることがないよう、スタッフにさらなるトレーニングと教育を実施しなければならない。

IMYはまた、自身の個人データがClearviewに送られた人に通知するよう命じた。IMYによると、守秘義務規則でそうするようになっている。

調査により警察が数多くのケースで顔認識ツールを使い、何人かのスタッフが承認を得ずにツールを使ったことが明らかになった。

今月初め、カナダのプライバシー当局はClearviewが人々の写真を顔認識データベースにのせるために人々に知らせることなく、あるいは許可を得ることなく写真を収集し、法律に違反したと判断した。

IMYは、警察がClearview AIの使用に関する数多くのケースでデータ管理者としての義務を果たさなかったと結論づけました。警察は、このケースの個人データの処理が犯罪データ法に準拠して実行されたことを裏付け、証明するような十分な組織的手段を実行しませんでした。Clearview AIを使ったとき、警察は顔認識のための生体データを違法に処理し、この処理ケースで必要とされるデータ保護影響アセスメントを実施しませんでした」とデータ保護当局はプレスリリースに書いている。

IMYの決定全文はここで閲覧できる(スウェーデン語)。

「警察当局が特に法執行目的の場合においていかに個人データを処理するか、明らかに定義された規則と規制があります。スタッフにそうした規則を認識させるのは警察の責任です」とIMYの法務アドバイザーElena Mazzotti Pallard氏は声明で述べた。

IMYによると、罰金(現地通貨で250万スウェーデンクローナ)は総合的な評価をもとに決定されたが、ウェーデンの法律での違反罰金限度額には遥か及ばない額であることには疑問が残る。監視機関は1000万スウェーデンクローナになると指摘している(規則を知らなかった、あるいは不適切な手順だったことは罰金を減らす理由ではなく、なぜ警察がより大きな額の罰金を回避したのかは完全に明らかになっていない、と当局の決定は指摘している)。

データ当局は、Clearviewがまだ情報を保存しているかどうかなど、警察によって写真がClearviewに送られた人々のデータに何が起こったのかをはっきりとさせることはできなかったと述べた。なので、データ当局は、Clearviewが確実にデータ削除するための措置を講じるよう警察に命令した。

IMYは、現地の報道を受けて議論を呼んでいるテクノロジーの警察による使用を調査したと述べた。

ちょうど1年前、ニューヨークタイムズ紙は米国拠点のClearview AIが何十億枚という顔写真のデータベースを抱えている、と報じた。ここには、公開されているソーシャルメディアの投稿のスクレイピングや、本人の認識や同意なく扱いに慎重を要する生体データの取り込みなどが含まれた。

欧州のデータ保護法は生体認証のような特別なカテゴリーのデータの処理に高いハードルを設けている。

警察による商業顔認証データベースの特別な使用は、ローカルのデータ保護法に全く注意が払われていないようだが、明らかにそのハードルを満たしていない。

先月、自身の生体データが同意なく処理されたというドイツ在住者からの苦情を受けて、ハンブルグのデータ保護当局がClearviewに対する調査を行ったことが明らかになった。

ハンブルグの当局は、個人が明白に同意していない限り個人を特定する目的で生体データを処理することを禁じているGDPRの第9条(1)を引用し、Clearviewの処理が法に反しているとした。

しかしながらドイツの当局は、個人の苦情の数理的ハッシュ値(生体プロフィールを示すもの)の削除を命じたにすぎなかった。

写真そのものの削除は命じなかった。また、欧州のプライバシー啓発グループnoybが求めていて、そうしようと思えばできた欧州の住人の写真の収集を禁止する汎EU命令は出さなかった。

noybはEUの全住人に、Clearviewに自身のデータのコピーを要求し、同社が保存しているデータを削除するよう、そしてデータベースに含まれることに対して反対するよう求めるためにClearview AIのウェブサイトにあるフォームを使うよう促している。noybはまた、Clearviewが自身のデータを持っていることが判明した個人に、同社に対する苦情を地域のDPAに提出することを推奨している。

EU議員は人工知能の応用を規制するためのリスクベースの枠組みを作成中だ。法案は今年進められる見込みだが、委員会はEUのGDPRにすでに盛り込まれているデータ保護を勘案しながら取り組むことにしている。

今月初め、議論を巻き起こしているClearviewはカナダのプライバシー当局よって違法と判断された。カナダの当局は、同社がカナダ人のデータの収集の停止やこれまでに収集した画像の削除を含む勧告に従わなければ「他のアクションを起こす」と警告した。

Clearviewは昨夏にカナダの顧客への同社のテック提供を停止した、と述べた。

同社はまたイリノイ州の生体情報保護法に準拠した集団訴訟にも直面している。

英国と豪州のデータ保護監視機関は昨夏、Clearviewの個人データ取り扱いに関する共同調査を発表した。

カテゴリー:
タグ:

画像クレジット: Design Cells / Getty Images

[原文へ]

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。