警察が広く利用する大規模な顔画像検索エンジンを開発する物議を醸している顔認識技術会社が、オランダで重大なデータプライバシー侵害により約3,300万ドルの罰金を科された。
オランダのデータ保護当局(DPA)によると、Clearview AIはオランダ国民を含む関係者の同意を得ることなくウェブをクロールし、「数十億枚の顔写真を含む違法なデータベースを構築した」という。
クリアビューAIの技術は、法執行機関に人々の日常生活を追跡する無制限の権限を与えるとの懸念から米国の一部の都市で禁止されているが、オランダDPAの調査によると、この技術は「地理的な場所や国籍に関するいかなる制限も設けずに」ウェブから400億以上の顔画像を取り込むことで機能する。おそらく最も懸念されるのは、クリアビューAIが「子供を識別するための顔認識ソフトウェア」も提供しており、そのため未成年の個人データを無差別に処理している点だとオランダDPAは述べた。
顔画像データをトレーニングすることで、この技術は誰の写真でもアップロードしてインターネット上で一致するものを検索できるようにする。オランダDPAは、検索結果に現れる人物は「明確に」特定できるとしている。オランダDPAは、法執行機関のみがアクセスできる公共安全リソースと謳っているクリアビューAIの顔データベースは対象範囲が広すぎると述べ、このツールに取り込まれた人々の大半は警察の捜査対象にはならない可能性が高いとしている。
「個人データの処理は複雑かつ広範囲にわたるだけでなく、クリアビューの顧客には、個人に関するデータを調べ、これらの個人の生活を詳細に把握する機会も提供される」とオランダのデータ保護当局は述べた。「したがって、これらの処理作業は、データ主体にとって非常に侵害的である」
クリアビューAIは、欧州連合の一般データ保護規則(GDPR)の下では、同社の侵入的なデータ収集に正当な利益はない、とオランダDPAの会長アレイド・ウォルフセン氏はプレスリリースで述べた。オランダ当局者は、クリアビューAIの広範囲に及ぶ行き過ぎた行動を「恐怖映画の破滅シナリオ」に例え、その決定の中で、クリアビューAIはオランダだけでなくEU全体の市民からのデータへのアクセスや削除の要請に応じなくなったことを強調した。
「顔認識は非常に侵入的な技術であり、世界中の誰に対しても簡単に利用できるわけではない」とウルフセン氏は言う。「インターネット上に自分の写真があれば、それは私たち全員に当てはまるのではないだろうか? クリアビューのデータベースに登録され、追跡される可能性がある」
オランダ国民のプライバシーを保護するため、オランダDPAはおよそ3,300万ドルの罰金を科したが、Clearview AIがコンプライアンス命令に従わない場合は、罰金が約550万ドルに増額される可能性がある。オランダDPAは、Clearview AIのサービスを利用しようとするオランダ企業も「GDPRでは禁止されている」ため、「多額の罰金」を科される可能性があると警告した。
Clearview AI 社には、オランダ国内での個人情報(生体認証データを含む)の処理を停止し、オランダのユーザーに GDPR に基づく権利を知らせるためにプライバシーポリシーを更新するために、EU に代表者を任命する 3 か月の猶予が与えられた。しかし、オランダのデータ保護当局の決定によると、オランダ国内でプライバシー権の行使が「不可能」であると考える人々からのデータアクセスまたは削除の要請の処理を再開できるのは 1 か月しかないという。
しかし、Clearview AI はこれに従うつもりはないようだ。Clearview AI の最高法務責任者であるジャック・マルカイア氏は Ars に対し、同社は GDPR の対象ではないと主張していることを認めた。
「クリアビューAIはオランダやEUに事業所を持たず、オランダやEUに顧客もおらず、GDPRの対象となるような活動も行っていない」とムルカイア氏は述べた。「この決定は違法であり、適正手続きを欠いており、執行不可能だ」
しかし、オランダのデータ保護当局は、Clearview AI がオランダ国民の個人情報を本人の同意なしに、またいかなる時点でもユーザーにデータ収集について警告することなく収集しているため、GDPR が同社に適用されると判断しました。
「データベースに登録されている人々も、自分のデータにアクセスする権利がある」とオランダのDPAは述べた。「つまり、クリアビューは、人々が要求すれば、同社が彼らについてどのようなデータを保有しているかを彼らに示さなければならないということだ。しかしクリアビューは、アクセス要求には協力しない」
オランダDPA、クリアビューAI幹部の調査を約束
プレスリリースでウルフセン氏は、クリアビューAIがイタリアやギリシャを含む欧州連合の他の国々で罰金を科された後もデータ収集方法の変更を拒否したことを受けて、オランダDPAは「この種の技術の不適切な使用」を強調して「非常に明確な線引きをしなければならない」と述べた。
ウルフセン氏は、クリアビューAIが警察の捜査を強化するために使用できることを認めたが、この技術は民間企業によって無差別に管理されるのではなく、「極めて例外的な場合にのみ」法執行機関によって管理される方が適切だと述べた。
「同社はデータベースを構築すべきではなかったし、透明性も不十分だ」とオランダのデータ保護局は述べた。
Clearview AI社は罰金に対して抗弁する用意があるようだが、オランダのデータ保護局は、同社は定められた6週間の期限内に異議を申し立てなかったため、この決定に対して控訴することはできないと述べた。
さらに、オランダDPAは、当局が罰金以外にも「クリアビューが違反行為を止めるための方法を模索している」と確認しており、その中には「同社の取締役が違反行為に対して個人的に責任を負わされる可能性があるかどうかを調査する」ことも含まれている。
ウルフセン氏は、このような「取締役がGDPR違反を認識し、それを阻止する権限を持ちながらそれを怠り、このようにして意識的に違反を認めた場合には、すでに責任が存在する」と主張した。