スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

今回は「スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断」についてご紹介します。

関連ワード （Clearview AI、スウェーデン、プライバシー、顔認証等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

スウェーデンのデータ保護機関であるIMYは、物議を醸している顔認識ソフトウェアClearview AIを違法に使用し、同国の犯罪データ法に違反したとして警察当局に罰金25万ユーロ（約3200万円）を科した。

執行の一環として警察当局は、今後個人データの処理でデータ保護規則と規制を破ることがないよう、スタッフにさらなるトレーニングと教育を実施しなければならない。

IMYはまた、自身の個人データがClearviewに送られた人に通知するよう命じた。IMYによると、守秘義務規則でそうするようになっている。

調査により警察が数多くのケースで顔認識ツールを使い、何人かのスタッフが承認を得ずにツールを使ったことが明らかになった。

2020年1月初め、カナダのプライバシー当局はClearviewが人々の写真を顔認識データベースに載せるために人々に知らせることなく、あるいは許可を得ることなく写真を収集し、法律に違反したと判断した。

関連記事：Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

「IMYは、警察がClearview AIの使用に関する数多くのケースでデータ管理者としての義務を果たさなかったと結論づけました。警察は、このケースの個人データの処理が犯罪データ法に準拠して実行されたことを裏づけ、証明するような十分な組織的手段を実行しませんでした。Clearview AIを使ったとき、警察は顔認識のための生体データを違法に処理し、この処理ケースで必要とされるデータ保護影響アセスメントを実施しませんでした」とデータ保護当局はプレスリリースに書いている。

IMYの決定全文はここで閲覧できる。

「警察当局が特に法執行目的の場合においていかに個人データを処理するか、明らかに定義された規則と規制があります。スタッフにそうした規則を認識させるのは警察の責任です」とIMYの法務アドバイザーであるElena Mazzotti Pallard（エレナ・マッツォッティ・パラード）氏は声明で述べた。

IMYによると、罰金（現地通貨で250万スウェーデンクローナ、約3200万円）は総合的な評価を元に決定されたが、スウェーデンの法律での違反罰金限度額にははるかにおよばない額であることには疑問が残る。監視機関は1000万スウェーデンクローナ（約1億2600万円）になると指摘している（規則を知らなかった、あるいは不適切な手順だったことは罰金を減らす理由ではなく、なぜ警察がより大きな額の罰金を回避したのかは完全に明らかになっていない、と当局の決定は指摘している）。

データ当局は、Clearviewがまだ情報を保存しているかどうかなど、警察によって写真がClearviewに送られた人々のデータに何が起こったのかをはっきりとさせることはできなかったと述べた。そのためデータ当局は、Clearviewが確実にデータ削除するための措置を講じるよう警察に命令した。

IMYは、現地の報道を受けて議論を呼んでいるテクノロジーの警察による使用を調査したと述べた。

ちょうど1年前、ニューヨークタイムズ紙は米国拠点のClearview AIが何十億枚という顔写真のデータベースを抱えている、と報じた。ここには、公開されているソーシャルメディアの投稿のスクレイピングや、本人の認識や同意なく扱いに慎重を要する生体データの取り込みなどが含まれた。

欧州のデータ保護法は生体認証のような特別なカテゴリーのデータの処理に高いハードルを設けている。

警察による商業顔認証データベースの特別な使用は、ローカルのデータ保護法にまったく注意が払われていないようだが、明らかにそのハードルを満たしていない。

2020年1月、自身の生体データが同意なく処理されたというドイツ在住者からの苦情を受けて、ハンブルグのデータ保護当局がClearviewに対する調査を行ったことが明らかになった。

ハンブルグの当局は、個人が明白に同意していない限り個人を特定する目的で生体データを処理することを禁じているGDPRの第9条（1）を引用し、Clearviewの処理が法に反しているとした。

しかしながらドイツの当局は、個人の苦情の数理的ハッシュ値（生体プロフィールを示すもの）の削除を命じたにすぎなかった。

写真そのものの削除は命じなかった。また、欧州のプライバシー啓発グループnoybが求めており、そうしようと思えばできた欧州の住人の写真の収集を禁止するEU全体における命令は出さなかった。

noybはEUの全住人に、Clearviewに自身のデータのコピーを要求し、同社が保存しているデータを削除するよう、そしてデータベースに含まれることに対して反対するよう求めるためにClearview AIのウェブサイトにあるフォームを使うよう促している。noybはまた、Clearviewが自身のデータを持っていることが判明した個人に、同社に対する苦情を地域のDPAに提出することを推奨している。

EU議員は人工知能の応用を規制するためのリスクベースの枠組みを作成中だ。法案は2021年進められる見込みだが、委員会はEUのGDPRにすでに盛り込まれているデータ保護を勘案しながら取り組むことにしている。

2020年1月初め、議論を巻き起こしているClearviewはカナダのプライバシー当局よって違法と判断された。カナダの当局は、同社がカナダ人のデータの収集の停止やこれまでに収集した画像の削除を含む勧告に従わなければ「他のアクションを起こす」と警告した。

Clearviewは2020年夏にカナダの顧客への同社のテック提供を停止したと述べた。

同社はまたイリノイ州の生体情報保護法に準拠した集団訴訟にも直面している。

関連記事：米移民局や検察局などが採用中の顔認識技術が一般企業にも売られていた

英国と豪州のデータ保護監視機関は2020年夏、Clearviewの個人データ取り扱いに関する共同調査を発表している。

関連記事：物議を醸したClearview AIが再び米政府機関と顔認識ソフトウェアで契約

画像クレジット：Design Cells / Getty Images

【原文】

Sweden’s data protection authority, the IMY, has fined the local police authority €250,000 ($300,000+) for unlawful use of the controversial facial recognition software Clearview AI, in breach of the country’s Criminal Data Act.

As part of the enforcement the police must conduct further training and education of staff in order to avoid any future processing of personal data in breach of data protection rules and regulations.

The authority has also been ordered to inform people whose personal data was sent to Clearview — when confidentiality rules allow it to do so, per the IMY.

Its investigation found that the police had used the facial recognition tool on a number of occasions and that several employees had used it without prior authorization.

Earlier this month Canadian privacy authorities found Clearview had breached local laws when it collected photos of people to plug into its facial recognition database without their knowledge or permission.

“IMY concludes that the Police has not fulfilled its obligations as a data controller on a number of accounts with regards to the use of Clearview AI. The Police has failed to implement sufficient organisational measures to ensure and be able to demonstrate that the processing of personal data in this case has been carried out in compliance with the Criminal Data Act. When using Clearview AI the Police has unlawfully processed biometric data for facial recognition as well as having failed to conduct a data protection impact assessment which this case of processing would require,” the Swedish data protection authority writes in a press release.

The IMY’s full decision can be found here (in Swedish).

“There are clearly defined rules and regulations on how the Police Authority may process personal data, especially for law enforcement purposes. It is the responsibility of the Police to ensure that employees are aware of those rules,” added Elena Mazzotti Pallard, legal advisor at IMY, in a statement.

The fine (SEK2.5 million in local currency) was decided on the basis of an overall assessment, per the IMY, though it falls quite a way short of the maximum possible under Swedish law for the violations in question — which the watchdog notes would be SEK10 million. (The authority’s decision notes that not knowing the rules or having inadequate procedures in place are not a reason to reduce a penalty fee so it’s not entirely clear why the police avoided a bigger fine.)

The data authority said it was not possible to determine what had happened to the data of the people whose photos the police authority had sent to Clearview — such as whether the company still stored the information. So it has also ordered the police to take steps to ensure Clearview deletes the data.

The IMY said it investigated the police’s use of the controversial technology following reports in local media.

Just over a year ago, U.S.-based Clearview AI was revealed by The New York Times to have amassed a database of billions of photos of people’s faces — including by scraping public social media postings and harvesting people’s sensitive biometric data without individuals’ knowledge or consent.

European Union data protection law puts a high bar on the processing of special category data, such as biometrics.

Ad hoc use by police of a commercial facial recognition database — with seemingly zero attention paid to local data protection law — evidently does not meet that bar.

Last month it emerged that the Hamburg data protection authority had instigated proceedings against Clearview following a complaint by a German resident over consentless processing of his biometric data.

The Hamburg authority cited Article 9 (1) of the GDPR, which prohibits the processing of biometric data for the purpose of uniquely identifying a natural person, unless the individual has given explicit consent (or for a number of other narrow exceptions which it said had not been met) — thereby finding Clearview’s processing unlawful.

However, the German authority only made a narrow order for the deletion of the individual complainant’s mathematical hash values (which represent the biometric profile).

It did not order deletion of the photos themselves. It also did not issue a pan-EU order banning the collection of any European resident’s photos as it could have done and as European privacy campaign group, noyb, had been pushing for.

Indeed, noyb is encouraging all EU residents to use forms on Clearview AI’s website to ask the company for a copy of their data and ask it to delete any data it has on them, as well as to object to being included in its database. It also recommends that individuals who find Clearview holds their data submit a complaint against the company with their local DPA.

European Union lawmakers are in the process of drawing up a risk-based framework to regulate applications of artificial intelligence — with draft legislation expected to be put forward this year, although the Commission intends it to work in concert with data protections already baked into the EU’s General Data Protection Regulation (GDPR).

Earlier this month the controversial facial recognition company was ruled illegal by Canadian privacy authorities — who warned they would “pursue other actions” if the company does not follow recommendations that include stopping the collection of Canadians’ data and deleting all previously collected images.

Clearview said it had stopped providing its tech to Canadian customers last summer.

It is also facing a class action lawsuit in the U.S. citing Illinois’ biometric protection laws.

Last summer the U.K. and Australian data protection watchdogs announced a joint investigation into Clearview’s personal data handling practices. That probe is ongoing.

（文：Natasha Lomas、翻訳：Nariko Mizoguchi）