英個人情報監督局が公共の場でのライブ顔認証による「ビッグデータ」監視の脅威に警鐘を鳴らす

今回は「英個人情報監督局が公共の場でのライブ顔認証による「ビッグデータ」監視の脅威に警鐘を鳴らす」についてご紹介します。

関連ワード （イギリス、個人情報、生体認証、顔認識等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

英国のデータ保護規制当局最高責任者はライブ顔認識（live facial recognition、LFR）を公共の場で無謀かつ不適切に使用することについて警鐘を鳴らした。

公共の場でこの生体認証監視を使用することについて、個人情報保護監督官のElizabeth Denham（エリザベス・デナム）氏は「エンゲージメントの規則」と題する活動の開始点として見解を発表し、データ保護規制当局はLFRの利用計画に対して多くの調査を実施したが、すべてのケースで問題が発覚したと述べた。

「ライブ顔認証テクノロジーが不適切に、過剰に、あるいは無謀に使用される可能性について深く憂慮しています。機密性の高い個人情報が、本人の知らないところで、本人の許可なしに大規模に収集された場合、その影響は計り知れません」と同氏はブログの投稿で警告した。

「これまでの用途としては、公共の安全性の懸念に対応したり、生体認証プロファイルを作成して絞り込んだターゲットにパーソナライズされた広告を配信するといったものがあります」。

「調査対象となった組織の中でその処理を完全に正当化できた組織は1つもなく、実際に稼働したシステムのうち、データ保護法の要件に完全に準拠していたものは皆無でした。すべての組織はLFRの使用を中止する選択をしました」。

「CCTV（Closed-Circuit Television、監視カメラ）と違って、LFRとそのアルゴリズムは、映っている人を自動的に特定し、その人に関する機密性の高い情報を推測します。そして即座にプロファイルを作成してパーソナライズされた広告を表示したり、毎週食料品店で買い物をするあなたの画像を万引犯の画像と比較したりします」とデナム氏はいう。

「将来は、CCTVカメラをLFRで置き換えたり、ソーシャルメディデータやその他の『ビッグデータ』システムと組み合わせて使用する可能性もあります。LFRはCCTVの強化版なのです」。

生体認証テクノロジーを使用して個人をリモートから特定すると、プライバシーや差別のリスクなど、人権に関する重大な懸念が生じる。

欧州全体で、自分の顔を取り戻そうといった、生体認証による大衆監視の禁止を求めるさまざまな運動が起こっている。

顔認証にターゲットを絞ったもう1つのアクションとして、2021年5月、プライバシー・インターナショナルなどが、物議を醸している米国の顔認証企業Clearview AI（クリアビュー・エーアイ）の欧州での営業を停止するよう求める法的な異議申し立てを行った（一部の地域警察部隊も例外ではない。スウェーデンでは、2021年初め、Clearview AIの技術を不法に使用したという理由で警察がDPAによって罰金を課された）。

関連記事：スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

欧州では生体認証監視に対して一般市民が大きな反対の声を上げているが、議員たちはこれまでのところ、この論争中の問題の枝葉末節をあれこれいじくりまわしているだけだ。

欧州委員会が2021年4月に提示したEU全体の規制では、人工知能の応用に関するリスクベースのフレームワークが提案されているが、法執行機関による公共の場での生体認証監視の利用については一部が禁止されているに過ぎない。しかも、広範な適用例外が設けられていたため、多くの批判を招いた。

関連記事
・欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す
・欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める
・EUデータ保護当局のトップ監督官が公共の場での顔認識の禁止を強く要請

党派を問わずあらゆる欧州議会議員から、ライブの顔認証などのテクノロジーの公共の場での使用の全面禁止を求める声も上がっている。また、EUのデータ保護監督庁長官は、国会に対し、公共の場での生体認証監視の使用を、少なくとも一時的に禁止するよう求めている。

いずれにしても、英国はEUから離脱したため、EUが計画しているAI規制は英国には適用されない。英国政府が国のデータ保護体制を緩和する方向に舵を切るかどうかはまだわからない。

ブレグジット後に英国の規制体制の変更について同国政府が調査会社に依頼した最近のレポートでは、英国GDPRを新しい「英国フレームワーク」で置換して「イノベーションと公共の利益のためにデータを開放する」こと、そしてAIおよび「成長分野」に有利な修正を行うよう主張している。そのため、ブレグジット後、英国の官僚たちがデータ保護体制の修正に手を付けるかどうかが人権ウォッチャーたちの主要な関心事となっている。

「Taskforce on Innovation, Growth and Regulatory Reform（イノベーション、成長、規制改革に関するタスクフォース）」と題するレポートでは、自動処理のみに基づく決定に従わない権利を市民に与えるGDPRの第22項の完全削除を支持しており、（個人情報保護監督庁［INFORMATION COMMISSIONER OFFICE、ICO］からと思われる指導を受け）「自動化プロファイリングが合法かどうか、公共の利益を満たすものかどうかに焦点を移した表現」で置き換えることを提案している。ただし、英国政府はデナム氏の後任人事についても検討しており、デジタル相は、後任には「データを脅威ではなく、我々の時代の大いなる機会とみなす大胆な新しいアプローチ」を採って欲しいと考えていると述べた。つまり、公正、説明責任、透明性とはさようならということだろうか。）

プライバシー監視機関によると、現在のところ、英国でLFRを実装しようとする者は、英国のデータ保護法2018と英国一般データ保護規則（つまり、EU GDPRの英国版。ブレグジット前に国内法令となった）の条項に準拠する必要がある。具体的には、英国GDPR第5条に明記されているデータ保護原則（合法性、公正、透明性、目的の制限、データの最小化、保存の制限、セキュリティ、説明責任など）に準拠する必要がある。

この見解には、監督機関は個人が権利を行使できるようにしなければならないとも書かれている。

「組織は最初から高水準のガバナンスと説明責任を実証する必要があります。これには、LFRを使用することが、導入先の個々のコンテキストにおいて、公正、必要、かつ適切であることを正当化できることも含まれます。侵害性の低い手法は機能しないことを実証する必要があります」とデナム氏は書いている。「これは重要な基準であり、確固とした評価を必要とします」。

「組織はまた、潜在的に侵害的なテクノロジーを使用するリスクとそれが人々のプライバシーと生活に与える影響を理解し評価する必要があります。例えば正確性と偏見をめぐる問題によって、人物誤認が起こり、それにともなって損害が発生することを理解する必要があります」。

英国がデータ保護とプライバシーに関して進む方向についての広範な懸念という視点から見ると、プライバシー監視機関がLFRに関する見解を表明したタイミングは興味深い。

例えば英国政府が後任の個人情報保護監督官に、データ保護とAI（生体認証監視などの分野を含む）に関する規則書を喜んで破り捨ててしまうような「御しやすい」人物を任命するつもりだとしても、少なくとも、LFRの無謀で不適切な使用にともなう危険性を詳述した前任者の見解が公文書に記載されている状態では、そのような政策転換を行うのはかなり気まずいだろう。

もちろん、後任の個人情報保護監督官も、生体認証データがとりわけ機密性の高い情報であり、年齢、性別、民族などの特性を推定または推論するのに使用できるという明らかな警告を無視できないだろう。

あるいは、英国の裁判所がこれまでの判決で「指紋やDNAと同様、顔生体認証テンプレートは本質的にプライベートな特性をもつ情報である」と結論づけており、ICOの見解のとおり、LFRを使用すると、この極めて機密性の高いデータを本人に気づかれることなく取得できるという点を強調していることも当然認識しているはずである。

またデナム氏は、どのようなテクノロジーでも成功するには市民の信頼と信用が必要であるという点を繰り返し強調し、次のように述べている。「そのテクノロジーの使用が合法的で、公正かつ透明性が高く、データ保護法に記載されている他の基準も満たしていることに市民が確信を持てなければなりません」。

ICOは以前「警察によるLFRの使用について」という文書を公開しており、これがLFRの使用に関して高いしきい値を設定することになった（ロンドンメトロポリタン警察を含め、いくつかの英国の警察部隊は、顔認証テクノロジーの早期導入者の1つであり、そのために、人種偏見などの問題について法的苦境に陥った部隊もある）。

関連記事：人権侵害の懸念をよそにロンドン警視庁がNEC製の顔認証を導入

人権運動家にとっては残念なことだが、ICOの見解では、民間企業や公的機関による公開の場での生体認証監視の使用の全面禁止を推奨することは避けており、監督官は、このテクノロジーの使用にはリスクがともなうが、極めて有用となるケース（行方不明の子どもを捜索する場合など）もあると説明している。

「テクノロジーにお墨付きを与えたり禁止したりするのは私の役割ではありませんが、このテクノロジーがまだ開発中で広く普及していない今なら、データ保護に然るべき注意を払うことなくこのテクノロジーが拡散しまうのを防ぐ機会が残されています」と同氏は述べ、次のように指摘する。「LFRを導入するいかなる意志決定においても、データ保護と利用者のプライバシーを最優先する必要があります」。

また、デナム氏は次のように付け加えた。現行の英国の法律では「ショッピング、社交、集会などの場で、LFRとそのアルゴリズムを使用することを正当化するには、高いハードルをクリアする必要があります」。

「新しいテクノロジーでは、利用者の個人情報の使い方について市民の信頼と信用を構築することが不可欠です。それがあって初めて、そのテクノロジーによって生まれる利点を完全に実現できます」と同氏は強調し、米国ではこの信頼が欠如していたために、一部の都市で、特定のコンテキストでのLFRの使用が禁止されたり、ルールが明確になるまで一部の企業がサービスを停止することになったことを指摘した。

「信頼がなければ、このテクノロジーによってもたらされる利点は失われてしまいます」と同氏は警鐘を鳴らした。

このように「イノベーション」というもっともらしい大義を掲げて英国のデータ保護体制を骨抜きにする方向へと慌てふためいて舵を切ろうとしている英国政府だが、1つ越えてはならない一線があることを忘れているようだ。英国が、EUの中心原則（合法性、公正、均整、透明性、説明責任など）から国のデータ保護規則を「解放」しようとするなら、EUとの規制同盟から脱退するリスクを犯すことになる。そうなると、欧州委員会は（締結したばかりの）EU-英国間のデータ適合性協定を破棄することになるだろう。

EUとのデータ適合性協定を維持するには、英国はEUと実質的に同等の市民データ保護を維持する必要がある。このどうしても欲しいデータ適合性ステータスを失うと、英国企業は、EU市民のデータを処理するのに、現在よりはるかに高い法的なハードルを超える必要が出てくる（これは、セーフハーバー原則とプライバシー・シールドが無効化された後、米国が今まさに体験していることだ）。EUのデータ保護機関がEU英国間のデータの流れを完全に停止する命令を下す状況もあり得る。

このようなシナリオは英国企業と英国政府の掲げる「イノベーション」にとって恐ろしい事態だ。テクノロジーに対する市民の信頼とか英国市民が自らプライバシーの権利を放棄してしまってよいと思っているのかどうかといったより大きな問題について検討する以前の問題である。

以上の点をすべて考え合わせると、英国政府にはこの「規制改革」の問題について徹底的に考え抜いた政治家が本当にいるのかどうか疑わざるを得ない。今のところ、ICOは少なくとも政府に代わって考える能力をまだ維持している。

関連記事
・グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない
・欧州人権裁判所は「大規模なデジタル通信の傍受には有効なプライバシー保護手段が必要」と強調
・フェイスブックの広告データ利用について英国と欧州の規制当局が競争規則違反の疑いで調査開始

画像クレジット：Ian Waldie / Staff / Getty Images

【原文】

The UK’s chief data protection regulator has warned over reckless and inappropriate use of live facial recognition (LFR) in public places.

Publishing an opinion today on the use of this biometric surveillance in public — to set out what is dubbed as the “rules of engagement” — the information commissioner, Elizabeth Denham, also noted that a number of investigations already undertaken by her office into planned applications of the tech have found problems in all cases.

“I am deeply concerned about the potential for live facial recognition (LFR) technology to be used inappropriately, excessively or even recklessly. When sensitive personal data is collected on a mass scale without people’s knowledge, choice or control, the impacts could be significant,” she warned in a blog post.

“Uses we’ve seen included addressing public safety concerns and creating biometric profiles to target people with personalised advertising.

“It is telling that none of the organisations involved in our completed investigations were able to fully justify the processing and, of those systems that went live, none were fully compliant with the requirements of data protection law. All of the organisations chose to stop, or not proceed with, the use of LFR.”

“Unlike CCTV, LFR and its algorithms can automatically identify who you are and infer sensitive details about you. It can be used to instantly profile you to serve up personalised adverts or match your image against known shoplifters as you do your weekly grocery shop,” Denham added.

“In future, there’s the potential to overlay CCTV cameras with LFR, and even to combine it with social media data or other ‘Big Data’ systems — LFR is supercharged CCTV.”

The use of biometric technologies to identify individuals remotely sparks major human rights concerns, including around privacy and the risk of discrimination.

Across Europe there are campaigns — such as Reclaim your Face — calling for a ban on biometric mass surveillance.

In another targeted action, back in May, Privacy International and others filed legal challenges at the controversial US facial recognition company, Clearview AI, seeking to stop it from operating in Europe altogether. (Some regional police forces have been tapping in — including in Sweden where the force was fined by the national DPA earlier this year for unlawful use of the tech.)

But while there’s major public opposition to biometric surveillance in Europe, the region’s lawmakers have so far — at best — been fiddling around the edges of the controversial issue.

A pan-EU regulation the European Commission presented in April, which proposes a risk-based framework for applications of artificial intelligence, included only a partial prohibition on law enforcement’s use of biometric surveillance in public places — with wide ranging exemptions that have drawn plenty of criticism.

There have also been calls for a total ban on the use of technologies like live facial recognition in public from MEPs across the political spectrum. The EU’s chief data protection supervisor has also urged lawmakers to at least temporarily ban the use of biometric surveillance in public.

The EU’s planned AI Regulation won’t apply in the UK, in any case, as the country is now outside the bloc. And it remains to be seen whether the UK government will seek to weaken the national data protection regime.

A recent report it commissioned to examine how the UK could revise its regulatory regime, post-Brexit, has — for example — suggested replacing the UK GDPR with a new “UK framework” — proposing changes to “free up data for innovation and in the public interest”, as it puts it, and advocating for revisions for AI and “growth sectors”. So whether the UK’s data protection regime will be put to the torch in a post-Brexit bonfire of ‘red tape’ is a key concern for rights watchers.

(The Taskforce on Innovation, Growth and Regulatory Reform report advocates, for example, for the complete removal of Article 22 of the GDPR — which gives people rights not to be subject to decisions based solely on automated processing — suggesting it be replaced with “a focus” on “whether automated profiling meets a legitimate or public interest test”, with guidance on that envisaged as coming from the Information Commissioner’s Office (ICO). But it should also be noted that the government is in the process of hiring Denham’s successor; and the digital minister has said he wants her replacement to take “a bold new approach” that “no longer sees data as a threat, but as the great opportunity of our time”. So, er, bye-bye fairness, accountability and transparency then?)

For now, those seeking to implement LFR in the UK must comply with provisions in the UK’s Data Protection Act 2018 and the UK General Data Protection Regulation (aka, its implementation of the EU GDPR which was transposed into national law before Brexit), per the ICO opinion, including data protection principles set out in UK GDPR Article 5, including lawfulness, fairness, transparency, purpose limitation, data minimisation, storage limitation, security and accountability.

Controllers must also enable individuals to exercise their rights, the opinion also said.

“Organisations will need to demonstrate high standards of governance and accountability from the outset, including being able to justify that the use of LFR is fair, necessary and proportionate in each specific context in which it is deployed. They need to demonstrate that less intrusive techniques won’t work,” wrote Denham. “These are important standards that require robust assessment.

“Organisations will also need to understand and assess the risks of using a potentially intrusive technology and its impact on people’s privacy and their lives. For example, how issues around accuracy and bias could lead to misidentification and the damage or detriment that comes with that.”

The timing of the publication of the ICO’s opinion on LFR is interesting in light of wider concerns about the direction of UK travel on data protection and privacy.

If, for example, the government intends to recruit a new, ‘more pliant’ information commissioner — who will happily rip up the rulebook on data protection and AI, including in areas like biometric surveillance — it will at least be rather awkward for them to do so with an opinion from the prior commissioner on the public record that details the dangers of reckless and inappropriate use of LFR.

Certainly, the next information commissioner won’t be able to say they weren’t given clear warning that biometric data is particularly sensitive — and can be used to estimate or infer other characteristics, such as their age, sex, gender or ethnicity.

Or that ‘Great British’ courts have previously concluded that “like fingerprints and DNA [a facial biometric template] is information of an ‘intrinsically private’ character”, as the ICO opinion notes, while underlining that LFR can cause this super sensitive data to be harvested without the person in question even being aware it’s happening. 

Denham’s opinion also hammers hard on the point about the need for public trust and confidence for any technology to succeed, warning that: “The public must have confidence that its use is lawful, fair, transparent and meets the other standards set out in data protection legislation.”

The ICO has previously published an Opinion into the use of LFR by police forces — which she said also sets “a high threshold for its use”. (And a few UK police forces — including the Met in London — have been among the early adopters of facial recognition technology, which has in turn led some into legal hot water on issues like bias.)

Disappointingly, though, for human rights advocates, the ICO opinion shies away from recommending a total ban on the use of biometric surveillance in public by private companies or public organizations — with the commissioner arguing that while there are risks with use of the technology there could also be instances where it has high utility (such as in the search for a missing child).

“It is not my role to endorse or ban a technology but, while this technology is developing and not widely deployed, we have an opportunity to ensure it does not expand without due regard for data protection,” she wrote, saying instead that in her view “data protection and people’s privacy must be at the heart of any decisions to deploy LFR”.

Denham added that (current) UK law “sets a high bar to justify the use of LFR and its algorithms in places where we shop, socialise or gather”.

“With any new technology, building public trust and confidence in the way people’s information is used is crucial so the benefits derived from the technology can be fully realised,” she reiterated, noting how a lack of trust in the US has led to some cities banning the use of LFR in certain contexts and led to some companies pausing services until rules are clearer.

“Without trust, the benefits the technology may offer are lost,” she also warned.

There is one red line that the UK government may be forgetting in its unseemly haste to (potentially) gut the UK’s data protection regime in the name of specious ‘innovation’. Because if it tries to, er, ‘liberate’ national data protection rules from core EU principles (of lawfulness, fairness, proportionality, transparency, accountability and so on) — it risks falling out of regulatory alignment with the EU, which would then force the European Commission to tear up a EU-UK data adequacy arrangement (on which the ink is still drying).

The UK having a data adequacy agreement from the EU is dependent on the UK having essentially equivalent protections for people’s data. Without this coveted data adequacy status UK companies will immediately face far greater legal hurdles to processing the data of EU citizens (as the US now does, in the wake of the demise of Safe Harbor and Privacy Shield). There could even be situations where EU data protection agencies order EU-UK data flows to be suspended altogether…

Obviously such a scenario would be terrible for UK business and ‘innovation’ — even before you consider the wider issue of public trust in technologies and whether the Great British public itself wants to have its privacy rights torched.

Given all this, you really have to wonder whether anyone inside the UK government has thought this ‘regulatory reform’ stuff through. For now, the ICO is at least still capable of thinking for them.

（文：Natasha Lomas、翻訳：Dragonfly）

イギリス - Wikipedia

グレートブリテン及び北アイルランド連合王国（グレートブリテンおよびきたアイルランドれんごうおうこく、英語: United Kingdom of Great Britain and Northern Ireland ）、通称イギリスは、ヨーロッパ北西岸に位置し、グレートブリテン島、 国家

イギリスのおすすめ観光・観光スポット情報【HIS】

HISが魅力満載のイギリス観光をお届けします！ロンドン、エディンバラといった有名観光都市の情報を豊富に掲載しています。イギリスのホテル、アクティビティ、お土産の情報なども紹介しています！

英国（グレートブリテン及び北アイルランド連合王国）｜外務省

 · 英国（グレートブリテン及び北アイルランド連合王国）United Kingdom of Great Britain and Northern Ireland. 令和3年6月9日. 英語版 ( English) ツイート. 動画：パラスポーツを通じたエンパワーメント. [ 日本語]

イギリスってどんな国？【街とエリア】4つの国とは ...

イギリスは4つの国からなる連合国です！イギリスはイングランド、スコットランド、ウェールズ、北アイルランドの4地域で構成され、おのおののエリアや街が独自の特徴を持ち、ユニークな文化と豊かな自然の両方が楽しめる。連合王国の政治経済の中心　イング

英国政府観光庁 | VisitBritain

 · 賑やかで刺激的なシティ、花咲き乱れる美しい庭園から英国を象徴するビッグベン、バンクシー、バンガー＆マッシュは訪れる者の期待を裏切りません。[イギリス]

2021年 イギリスで絶対外さないおすすめ観光スポットトッ …

イギリス(ヨーロッパ)で観光するならトリップアドバイザーで口コミ、写真、ランキングをチェック！イギリスにある78,811 件の観光名所を、46,328,135 件の口コミ、写真を地図と共にご紹介しています。

イギリスの歴史 - Wikipedia

イギリスの歴史（イギリスのれきし）は、イングランド、ウェールズ、スコットランド、アイルランド（現在では北アイルランドのみ）より構成される連合王国（イギリス）の歴史である。

イギリスという国はない - ASAHI Net

イギリスという国はない. たとえば、わが国では、「イギリス」とか「イギリス人」という言葉をよく. 使用する。. この時、われわれの頭の中には「日本」とか「日本人」という概念に. 対応するものとして、「イギリス」とか「イギリス人」という表現を理解し. ている。. しかしイギリス（イングランドまたはイングリッシュ）とこの国または国籍. をこのように ...

理解できないイギリス人の不思議行動 [イギリス] All About

真冬なのに半袖＆ナマ足、お酒を飲むときには食べない……など日本人にもちろん、ヨーロッパ諸国の人々ですら理解不能なイギリス人の不可解な行動とは。

イギリスに存在する3つの身分制度とは？日本人が知らない現 …

イギリスには、現在でも階級制度が存在します。 存在するとはいっても、この制度が法律で定められているわけではありません。 「人々の間に階級意識が浸透している」という方が正しいかもしれません。 イギリス人は、階級によって、英語のアクセント・服装・読んでいる新聞が違います。