はじめに
2020年1月にNYタイムズが、「The Service Company That Might End Privacy as We Know It(プライバシーを終わらせる可能性のある秘密の会社)」というタイトルで記事をリリースした。一面に人々の「顔」が表示され、一体何を私たちに問いかけているのだと不思議になる記事。その核となる企業がClearview AI(ニューヨーク州)だ。
Clearview AIは顔認識技術を開発する企業で、様々な機関にソフトウェアや情報を提供している。主な顧客は世界中の法執行機関となっていて、その中にはFBI(連邦捜査局)も含まれている。これだけ聞くと、かなり有用的なサービスのようにも聞こえる。
本記事では、Clearview AIのサービス概要や問題点、過去の問題事例などをまとめてみようと思う。
Clearview AIの概要
会社概要
Clearview AIは2017年に設立されたアメリカ・ニューヨークに拠点を置く企業だ。だが、先ほどのNYタイムズの2020年1月の報道があるまでは実態がほとんど掴めない企業で、まさに「秘密の企業」だった。
創業者は、現在もCEOを担当するHoan Ton-That氏と、政治家のRichard Schwarz氏の2人だ。
そして、PayPalの創業者でもありFacebookの初期投資家でもあるPeter Thiel氏によって、財政的に支援が行われていた。また、Kirenaga Partnersという小さなプライベート・エクイティ・ファンドが初期投資家となっている。
サービス内容
Clearview AIのサービス内容は非常にシンプルだ。Clearview AIには、ニュースメディア、マグショット(逮捕写真)、SNSなどのパブリックなWebソースのみから供給された100億以上の顔画像のデータベースがある。そして顔認識技術によって、顔画像のみで個人を識別することが可能になるのだ。簡単にいうなら、Googleの検索エンジンの顔写真特化版ということになる。
例えば、Clearview AIのユーザーが何かしらの顔画像をアップロードする。するとClearview AIの顔認識技術が顔画像を処理し、似ている顔画像が表示されているリンクを返すのだ。顔写真だけでSNSを特定する、というのも可能になるのだろう。
ユースケースとしては、犯罪捜査が挙げられる。Clearview AIを利用すれば、防犯カメラで取得した顔画像から、個人を特定することが可能になる。他にも、空港の検閲などにおけるテロリストの炙り出しにも応用できる。最近ではウクライナに技術提供をしたとの報道もあった(これは後に説明する)。
このようにClearview AIは個人の顔データをソースにしたサービスであるが、「LEGAL OVERVIEW」によれば、法的な面でも大丈夫だと書かれている。
同社的には法律上問題ない解釈だと見て取れる。
Clearview AIの問題点
しかしClearview AIのサービスには様々な問題点がある。結局は「法律」の問題に触れていたようだ。ここではClearview AIのサービスの問題点についてまとめてみた。
プライバシーを大きく侵害するサービス
まず考えられるのは、Clearview AIのサービスはプライバシーを大きく侵害するサービスであるということだ。顔画像だけで個人情報の大半を抜き出すことができるサービスのため、プライバシーの不文律を破っているのではないかという声が挙げられている。しかし結局は不文律のため、絶対的に「NO」と断言できないのが現状だ。
また、オープンだからとはいえSNSから顔画像を収集している点も賛否両論となっている。もちろん、本人の同意はない。
Facebookなどの米国発のSNSから顔画像を取得していることを考慮すると、日本人の多くの顔画像も、Clearview AIのデータベースに登録されているとみていいだろう。
顔認識技術の悪用
また、顔認識技術の悪用も想定される。
Clearview AIは法執行機関のみにサービスを提供しているとしている。しかし、いくら法執行機関が中立的な立場であっても、個人レベルで中立的だとは限らない。例えば、法執行機関内の個人が、ストーキング的な利用をする可能性も十分考えられる。
さらにNYタイムズの報道によれば、Clearview AIの基礎となるコンピューターコードに、ARメガネと組み合わせるためのプログラミング言語が含まれていることが分かった。これが本当であれば、ARメガネで認識した人全てを特定できるようになる時代が来るかもしれない。Clearview AIの投資家や警察官も、「Clearview AIは、いずれ一般公開される」と予想しているようだ。もし、Clearview AIが一般化され、ARグラスが普及すれば、プライバシーは完全に終わってしまうだろう。
そしてそもそも、顔認識技術で全ての人を特定するサービスは、業界ではタブーだった。NYタイムズの報道によると、2011年のGoogleの当時の会長だったエリック・シュミット氏は「この技術は非常に悪い方法で使われる可能性があるため、同社が手控えた技術の一つだった」と述べていた。しかし、Clearview AIによってそのタブーが破られた今、同様のサービスが乱立する可能性は十分にある。NYタイムズが言う通り、プライバシーが終わる時代が到来するかもしれないのだ。
Clearview AIの過去に起こった問題
ここでは、Claerview AI関連の問題、そしてそれに対する対応についてまとめていく。
カリフォルニア州の対応
2020年1月1日、CCPA(カリフォルニア州消費者プライバシー法)が適用開始となった。同法によって、州民は自らの個人データにアクセスし、管理の権限を取り戻すことが可能となる。そしてこれはClearview AIのサービスにも大きく影響した。Clearview AIの公式HPのプライバシーポリシーのページで、州民は個人情報の削除をリクエストすることができるのだ。
Clearview AIが話題になったのは2020年に入ってから。つまり州民には、「Clearview AIの動向に注視していれば、Clearview AIの被害をほとんど受けずに済むチャンス」が与えられていたことになる。もしかしたらGoogleやMetaの従業員は、時を移さずして、Clearview AIに対して個人情報の削除をリクエストしていたかもしてない。
そういう意味では、CCPAは良いスタートを切ったと見ていいかもしれない。
California’s new privacy law is off to a rocky start
イリノイ州の対応
2020年2月、米イリノイ州が、Clearview AIに対して訴訟を起こした。同州の生体情報プライバシー法(BIPA)に違反しているためだ。
同法は2008年に制定された法律だが、非常に先進的な法律だと評価されている。その上、Facebookに対して5億5,000万ドル(約700億円)の和解金を勝ち取っている法律でもあった。今回のClearview AIに対する訴訟は、Facebookに対する訴訟との類似性がかなり高い。そのため、高確率でClearview AIに対して厳しい処置が下されるだろうとの見方が強かった。
そして2022年5月9日、Clearview AIは訴訟を和解することに同意した。この和解によってClearview AIは、イリノイ州だけでなく全国的に、民間企業や個人への顔認識データベースのアクセスの販売や譲渡が禁止される。ただし、NYタイムズの報道によれば、連邦政府及び州の機関、米国の一部の金融機関に対しては今後もデータベースを販売できるようだ。
また、同社は5年間、イリノイ州の政府関係者や地方公共団体にソフトウェアを提供することができなくなった。そしてイリノイ州の居住者は、Clearview AIの検索結果からの削除を申請できるようになる。
これに対しClearview AIの弁護団は、「今回の和解は我々にとって大きな勝利であり、同社のビジネスに影響はなく、法廷闘争を終わらせることができて満足している」と述べている。また、Hoan Ton-That氏は「同社はBIPAを遵守するために、データベースのアクセスではなく、アルゴリズムを米国の民間企業に売却する予定だ」とコメントしている。
ビッグテックの対応
Clearview AIの情報源となってしまっているGoogleやFacebookなどのビッグテック各社は、「利用規約でスクレイピングを禁止している」として訴訟を起こした。Twitterに関しては、顔認識のためのデータの使用の禁止を明示している。
しかし、2022年5月、米国の控訴裁判所で、一般に公開されているデータのスクレイピングは合法だとする判決が下った。これによって、ビッグテック各社がClearview AIに対して厳しい対応を取ることが難しくなると考えられる。
カナダの対応
カナダは2021年2月、Clearview AIがカナダ人の顔写真を同意なく取得したとして、同国のプライバシー法に違反していると判断した。
これに対しClearview AIは、「カナダとの実質的な繋がりがないため、カナダのプライバシー法は適用されない」と主張し、申し立てを拒否した。ちなみに、Clearview AIによれば、王立カナダ騎馬警察とトロント警察が同社のサービスを使用した後、同社は2020年7月にカナダの顧客への技術提供を中止したとしている。
これに対しカナダのプライバシーウォッチドッグは、Clearview AIの主張を拒否し、「会社がカナダ人の収集を停止し、これまでの全ての画像を削除しなければ、他の行動を追求する」と述べている。この「他の行動」とは賠償金や事業停止命令が考えられる。
これに対しClearview AIの弁護士のDoug Mitchell氏は、「PIPEDAで明示的に許可されているインターネットからのみ情報を取得している。連邦控訴裁判所は以前、プライバシーの文脈で、公に入手可能な情報とはまさに”市民が広く利用できる、またはアクセスできる”という意味であると判決を下した。ここで異なる基準を適用する理由はない」とコメントした。
このコメントの中のPIPEDAとは、「The Personal Information Protection and Electronic Documents Act」の略で、和訳すると「個人情報保護及び電子文書法」となる。これはカナダの連邦法で、カナダの全ての州での商業活動における個人情報の収集、使用、開示に適用される。
EUの対応
2021年11月、欧州議会は「生体認証による大量監視の全面禁止を支持すること」を決議した。従来からヨーロッパでは、AIを活用したリモート監視技術が公の場で利用されていた。犯罪及びテロの抑止力が目的だったと考えられる。だが、ヨーロッパ内でプライバシー規制の声が強まり、欧州議会は「市民は犯罪の疑いがある場合にのみ監視されるべき」という判断をしたようだ。
そしてもちろん、この背景にはClearview AIがある。欧州議会は、Clearview AIの「個人の顔認識データベースの使用の禁止」を求めている。そして欧州議会だけでなく、EUに加盟している各国もClearview AIに対して厳しい対応を見せている。
スウェーデンの対応
2021年2月12日、スウェーデンのデータ保護当局(IMY)は、地元警察当局に25万ユーロ(約3,400万円)の罰金を科した。地元警察当局がClearview AIを違法に使用したとして、同国の犯罪データ法が適用されたためだ。
地元警察当局がどのように利用したのかは正確に報じられていない。実際にIMYは「警察当局がClearview AIに送った写真データがどうなったか、同社が情報を保管しているかについては判断できない」としている。そこでIMYは地元警察当局に対し、「データを確実に削除するための措置を、Clearview AIに講じさせるように」と命令した。
フランスの対応
2021年12月16日、フランス共和国データ保護機関(CNIL)は、Clearview AIがGDPRに違反していると発表した。また、CNILは発表の中で、Clearview AIに対して「違法な処理」を停止するように正式に通知し、2ヶ月以内にユーザーデータを削除しなければならないと述べている。
CNILによれば、Clearview AIは、GDPR第6条で規定されている「処理の合法性」と、第12条、第15条、第17条で規定されている様々な「データアクセス権の侵害」に違反しているという。
イタリアの対応
2022年3月9日、イタリアのデータ保護機関はClearvier AIに対して、2,000万ユーロ(約27億円)の罰金を命じた。EU法に違反したためだ。また、Clearview AIに対して、イタリア人に関するデータの削除と、市民の顔の生体認証の処理を今後一切禁止することを命じた。
プレスリリースで報じられた調査結果では「同社が保有する個人データが適切な法的根拠なく違法に処理されていることが明らかになった。これは確かに、米国企業の正当な利益になり得ない」としている。また、GDPRの違反として、透明性義務の欠如、目的制限違反、オンラインで公開している目的以外でユーザーデータを利用したこと、データ保持規則違反が指摘されている。
これに対しHoan Ton-That氏は「Clearview AIはイタリアとEUに事業者を持たず、顧客も持っていない。GDPRの適用を受けるような行動をとっていない」と主張した。
オーストラリアの対応
2021年11月4日、オーストラリアは、Clearview AIが市民の顔写真を密かに収集し、AIを利用したIDマッチングサービスに組み込んだ際に、同国のプライバシー法に違反したことを認定した。そして規制当局は、Clearview AIに対し、オーストラリア人の顔の生体情報と生体情報テンプレートの収集を中止し、保有しているデータ全てを削除するように命令した。
これに対しClearview AIは、「同社が扱う情報は個人情報ではなく、米国に拠点を置く企業であるため、オーストラリア法の管轄下にはない」と主張している。また、Clearview AIは、オーストラリア情報委員会(OAIC)の調査開始直後に、オーストラリアの法執行機関へのサービス提供を停止しているという。
イギリスの対応
2021年11月30日、イギリスのデータ保護機関(ICO)が、Clearview AIに1,700万ポンド(約27億円)以上の罰金を科す意向を発表した。Clearview AIが英国市民のデータの処理を停止し、保有データを削除しなければ、高額なペナルティが科せられる可能性があるということだ。
ICOはOAICとの共同調査で、Clearviewr AIについて調査していた。そしてOAICは一足早く、11月4日にClearview AIに対してデータの削除を命じた。オーストラリア国内の法律に違反していると判断したためだ。そういう意味では、オーストラリアと比べてイギリスは遅れを取っているという見方もできる。ただし、オーストラリアはデータ削除命令だけだったが、イギリスは高額のペナルティをバックにデータ削除を命令している。
これに対しClearview AIは「ICOの主張は事実的にも法的にも正しくない。Clearview AIはインターネットで公開されている情報を法執行機関に提供している。加えて、Clearview AIは英国でビジネスを行っておらず、現時点で英国の顧客を保有していない」との声明を発表している。
そして2022年5月23日、ICOはついにClearview AIに対するペナルティを確定させた。現地のプライバシー法に違反したとして、750万ポンド(約12億円)以上の罰金を科すという。また、Clearview AIに対して、インターネット上で公開されている英国居住者の個人情報の取得と使用の停止、および英国居住者の情報をシステムから削除するよう命じる強制執行通知も発行している。
気になる点としては、2021年11月では1,700万ポンドの罰金を科す予定だったのが、750万ポンドと大幅に軽減されていることが挙げられる。TechCrunchの取材によると、「企業からの陳情に関連している可能性があり、最終的な金銭的処罰の通知を出すか決める前に考慮することができるから」というようになっているようだ。実際にICOは規制措置方針を新たに発表しており、これによってICOが課す罰金のレベルを決定することができるという。
これらの発表に対しClearview AIは「ICOがClearview AIに対する罰金を減らしたがっていることは評価するが、そもそも罰金自体が法的に間違っていることを我々は支持している。Crearview AIはICOの管轄外であり、Clearview AIは英国でビジネスを行っていない」と述べている。
Clearview AIがウクライナに技術提供
2022年3月13日、**ウクライナの防衛省がClearview AIの顔認識技術の使用を開始した。**Clearview AIのアドバイザーであり、近年の民主党政権で外交官を務めていたLee Wolosky氏は、「ウクライナはClearview AIの強力な顔検索エンジンへの無料アクセスを受けており、当局は検問所などで関心のある人々を審査できる可能性がある」とコメントしている。
Hoan Ton-That氏によると、ロシアのSNS「VKontakte」から20億枚以上の写真をデータベースに搭載しており、従来の方法より簡単に死者を特定することができる。また、顔に損傷があっても、高い確率で個人を特定できるようだ。NYタイムズによれば、戦死したロシア兵や捕虜の顔を、ロシア国内の家族に連絡するという作戦も実行されているとのこと。
さらに、家族と離れ離れになった家族との再会、ロシアの工作員の特定、SNSの虚偽投稿を政府が否定する際に、Clearview AIの技術が役立つという。
ただしHoan Ton-That氏によれば、ウクライナ防衛省が、同社の技術を利用する正確な目的は不明とのことだ。
どちらにせよ、顔認識技術がついに、戦争で活用されるようになってしまった。これをポジティブに捉えるかネガティブに捉えるかは、意見が分かれるだろう。
まとめ
- Clearview AIは、SNSなどから顔画像をスクレイピングし、それを基に顔認識エンジンを開発・販売する事業を展開している
- 欧米各国が、Clearview AIに対して厳しい対応を見せる
- ウクライナ対ロシアの戦争で、Clearview AIが活躍している
参考文献
The NewYork Times,The Secretive Company That Might End Privacy as We Know It
BUILDING A SECURE WORLD ONE FACE AT A TIME
Exclusive: Ukraine has started using Clearview AI’s facial recognition during war