スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

今回は「スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断」についてご紹介します。

関連ワード (Clearview AI、スウェーデン、プライバシー、顔認証等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


スウェーデンのデータ保護機関であるIMYは、物議を醸している顔認識ソフトウェアClearview AIを違法に使用し、同国の犯罪データ法に違反したとして警察当局に罰金25万ユーロ(約3200万円)を科した。

執行の一環として警察当局は、今後個人データの処理でデータ保護規則と規制を破ることがないよう、スタッフにさらなるトレーニングと教育を実施しなければならない。

IMYはまた、自身の個人データがClearviewに送られた人に通知するよう命じた。IMYによると、守秘義務規則でそうするようになっている。

調査により警察が数多くのケースで顔認識ツールを使い、何人かのスタッフが承認を得ずにツールを使ったことが明らかになった。

2020年1月初め、カナダのプライバシー当局はClearviewが人々の写真を顔認識データベースに載せるために人々に知らせることなく、あるいは許可を得ることなく写真を収集し、法律に違反したと判断した。

関連記事:Clearview AIの顔認識技術はカナダでもプライバシー侵害で違法

「IMYは、警察がClearview AIの使用に関する数多くのケースでデータ管理者としての義務を果たさなかったと結論づけました。警察は、このケースの個人データの処理が犯罪データ法に準拠して実行されたことを裏づけ、証明するような十分な組織的手段を実行しませんでした。Clearview AIを使ったとき、警察は顔認識のための生体データを違法に処理し、この処理ケースで必要とされるデータ保護影響アセスメントを実施しませんでした」とデータ保護当局はプレスリリースに書いている。

IMYの決定全文はここで閲覧できる。

「警察当局が特に法執行目的の場合においていかに個人データを処理するか、明らかに定義された規則と規制があります。スタッフにそうした規則を認識させるのは警察の責任です」とIMYの法務アドバイザーであるElena Mazzotti Pallard(エレナ・マッツォッティ・パラード)氏は声明で述べた。

IMYによると、罰金(現地通貨で250万スウェーデンクローナ、約3200万円)は総合的な評価を元に決定されたが、スウェーデンの法律での違反罰金限度額にははるかにおよばない額であることには疑問が残る。監視機関は1000万スウェーデンクローナ(約1億2600万円)になると指摘している(規則を知らなかった、あるいは不適切な手順だったことは罰金を減らす理由ではなく、なぜ警察がより大きな額の罰金を回避したのかは完全に明らかになっていない、と当局の決定は指摘している)。

データ当局は、Clearviewがまだ情報を保存しているかどうかなど、警察によって写真がClearviewに送られた人々のデータに何が起こったのかをはっきりとさせることはできなかったと述べた。そのためデータ当局は、Clearviewが確実にデータ削除するための措置を講じるよう警察に命令した。

IMYは、現地の報道を受けて議論を呼んでいるテクノロジーの警察による使用を調査したと述べた。

ちょうど1年前、ニューヨークタイムズ紙は米国拠点のClearview AIが何十億枚という顔写真のデータベースを抱えている、と報じた。ここには、公開されているソーシャルメディアの投稿のスクレイピングや、本人の認識や同意なく扱いに慎重を要する生体データの取り込みなどが含まれた。

欧州のデータ保護法は生体認証のような特別なカテゴリーのデータの処理に高いハードルを設けている。

警察による商業顔認証データベースの特別な使用は、ローカルのデータ保護法にまったく注意が払われていないようだが、明らかにそのハードルを満たしていない。

2020年1月、自身の生体データが同意なく処理されたというドイツ在住者からの苦情を受けて、ハンブルグのデータ保護当局がClearviewに対する調査を行ったことが明らかになった。

ハンブルグの当局は、個人が明白に同意していない限り個人を特定する目的で生体データを処理することを禁じているGDPRの第9条(1)を引用し、Clearviewの処理が法に反しているとした。

しかしながらドイツの当局は、個人の苦情の数理的ハッシュ値(生体プロフィールを示すもの)の削除を命じたにすぎなかった。

写真そのものの削除は命じなかった。また、欧州のプライバシー啓発グループnoybが求めており、そうしようと思えばできた欧州の住人の写真の収集を禁止するEU全体における命令は出さなかった。

noybはEUの全住人に、Clearviewに自身のデータのコピーを要求し、同社が保存しているデータを削除するよう、そしてデータベースに含まれることに対して反対するよう求めるためにClearview AIのウェブサイトにあるフォームを使うよう促している。noybはまた、Clearviewが自身のデータを持っていることが判明した個人に、同社に対する苦情を地域のDPAに提出することを推奨している。

EU議員は人工知能の応用を規制するためのリスクベースの枠組みを作成中だ。法案は2021年進められる見込みだが、委員会はEUのGDPRにすでに盛り込まれているデータ保護を勘案しながら取り組むことにしている。

2020年1月初め、議論を巻き起こしているClearviewはカナダのプライバシー当局よって違法と判断された。カナダの当局は、同社がカナダ人のデータの収集の停止やこれまでに収集した画像の削除を含む勧告に従わなければ「他のアクションを起こす」と警告した。

Clearviewは2020年夏にカナダの顧客への同社のテック提供を停止したと述べた。

同社はまたイリノイ州の生体情報保護法に準拠した集団訴訟にも直面している。

関連記事:米移民局や検察局などが採用中の顔認識技術が一般企業にも売られていた

英国と豪州のデータ保護監視機関は2020年夏、Clearviewの個人データ取り扱いに関する共同調査を発表している。

関連記事:物議を醸したClearview AIが再び米政府機関と顔認識ソフトウェアで契約

画像クレジット:Design Cells / Getty Images


【原文】

Sweden’s data protection authority, the IMY, has fined the local police authority €250,000 ($300,000+) for unlawful use of the controversial facial recognition software Clearview AI, in breach of the country’s Criminal Data Act.

As part of the enforcement the police must conduct further training and education of staff in order to avoid any future processing of personal data in breach of data protection rules and regulations.

The authority has also been ordered to inform people whose personal data was sent to Clearview — when confidentiality rules allow it to do so, per the IMY.

Its investigation found that the police had used the facial recognition tool on a number of occasions and that several employees had used it without prior authorization.

Earlier this month Canadian privacy authorities found Clearview had breached local laws when it collected photos of people to plug into its facial recognition database without their knowledge or permission.

“IMY concludes that the Police has not fulfilled its obligations as a data controller on a number of accounts with regards to the use of Clearview AI. The Police has failed to implement sufficient organisational measures to ensure and be able to demonstrate that the processing of personal data in this case has been carried out in compliance with the Criminal Data Act. When using Clearview AI the Police has unlawfully processed biometric data for facial recognition as well as having failed to conduct a data protection impact assessment which this case of processing would require,” the Swedish data protection authority writes in a press release.

The IMY’s full decision can be found here (in Swedish).

“There are clearly defined rules and regulations on how the Police Authority may process personal data, especially for law enforcement purposes. It is the responsibility of the Police to ensure that employees are aware of those rules,” added Elena Mazzotti Pallard, legal advisor at IMY, in a statement.

The fine (SEK2.5 million in local currency) was decided on the basis of an overall assessment, per the IMY, though it falls quite a way short of the maximum possible under Swedish law for the violations in question — which the watchdog notes would be SEK10 million. (The authority’s decision notes that not knowing the rules or having inadequate procedures in place are not a reason to reduce a penalty fee so it’s not entirely clear why the police avoided a bigger fine.)

The data authority said it was not possible to determine what had happened to the data of the people whose photos the police authority had sent to Clearview — such as whether the company still stored the information. So it has also ordered the police to take steps to ensure Clearview deletes the data.

The IMY said it investigated the police’s use of the controversial technology following reports in local media.

Just over a year ago, U.S.-based Clearview AI was revealed by The New York Times to have amassed a database of billions of photos of people’s faces — including by scraping public social media postings and harvesting people’s sensitive biometric data without individuals’ knowledge or consent.

European Union data protection law puts a high bar on the processing of special category data, such as biometrics.

Ad hoc use by police of a commercial facial recognition database — with seemingly zero attention paid to local data protection law — evidently does not meet that bar.

Last month it emerged that the Hamburg data protection authority had instigated proceedings against Clearview following a complaint by a German resident over consentless processing of his biometric data.

The Hamburg authority cited Article 9 (1) of the GDPR, which prohibits the processing of biometric data for the purpose of uniquely identifying a natural person, unless the individual has given explicit consent (or for a number of other narrow exceptions which it said had not been met) — thereby finding Clearview’s processing unlawful.

However, the German authority only made a narrow order for the deletion of the individual complainant’s mathematical hash values (which represent the biometric profile).

It did not order deletion of the photos themselves. It also did not issue a pan-EU order banning the collection of any European resident’s photos as it could have done and as European privacy campaign group, noyb, had been pushing for.

Indeed, noyb is encouraging all EU residents to use forms on Clearview AI’s website to ask the company for a copy of their data and ask it to delete any data it has on them, as well as to object to being included in its database. It also recommends that individuals who find Clearview holds their data submit a complaint against the company with their local DPA.

European Union lawmakers are in the process of drawing up a risk-based framework to regulate applications of artificial intelligence — with draft legislation expected to be put forward this year, although the Commission intends it to work in concert with data protections already baked into the EU’s General Data Protection Regulation (GDPR).

Earlier this month the controversial facial recognition company was ruled illegal by Canadian privacy authorities — who warned they would “pursue other actions” if the company does not follow recommendations that include stopping the collection of Canadians’ data and deleting all previously collected images.

Clearview said it had stopped providing its tech to Canadian customers last summer.

It is also facing a class action lawsuit in the U.S. citing Illinois’ biometric protection laws.

Last summer the U.K. and Australian data protection watchdogs announced a joint investigation into Clearview’s personal data handling practices. That probe is ongoing.

 

(文:Natasha Lomas、翻訳:Nariko Mizoguchi)

COMMENTS


4246:
2021-02-15 22:41

今日は暖かく良いお天気 緊急事態宣言中ではあるけれど 密を避けて花の美術館へ 入り口に顔認証の体温計 皆んな35度台だけど正確なのかしら お花もとても綺麗でよく歩きました? 今日もお疲れさまでした?~~ 穏やかな夜をお過ごしく…

4238:
2021-02-15 21:16

加工カメラで可愛く顔加工しておくろうかな♪るんるん 昨日マイナンバー認証で自撮り送らされたvポイントかなんかもまだ認証中だしクソかこの世の中は

4249:
2021-02-15 16:41

これが、顔認証システム被害、集団ストーカー犯罪の基礎工作になっています。 良心を持つ人間は、こんな卑劣なことは出来ない。 加害者達はサイコパスであり、悪人です。

4243:
2021-02-15 16:17

ワイの顔認証から外れたのって髪型だけなんかな

4250:
2021-02-15 15:09

自分たちでコロナをでっち上げて、コロナ対策と称してボロ儲けすると同時に、 自分たちで顔認証を開発して、顔認証を防止すると称してボロ儲け。 マッチポンプが過ぎてますぞ。 まあ、マッチポンプを知らない人だけに売りつけてください。 ht…

4241:
2021-02-15 10:51

新しいスマホ、ロック解除が顔認証なんだけど最初気付かんくて、持ち上げたとき勝手にロック解除されるときとされないときあって????????ってなってた

4240:
2021-02-15 10:27

コスメイクしてるせいで、顔認証のパソコンが起動してくれない ノォォォォ

4239:
2021-02-15 10:27

大河の撮影中、衣装で手袋をつけるとスマホが反応しなくなるので鼻で操作していた、というびっくり行動を明かされる染谷さん。織田信長の姿でも顔認証は反応してくれるって得意げなのと、たまたま藤吉郎の手袋の人差し指のところに穴が空いていてドヤ顔してくる蔵之介さん…

4242:
2021-02-15 07:42

うちの職場、元葬儀屋なんだけどカメラ使ってるとめっちゃ顔認証が出て動きまくる話する?

4247:
2021-02-15 07:04

これが、顔認証システム被害、集団ストーカー犯罪の基礎工作になっています。 良心を持つ人間は、こんな卑劣なことは出来ない。 加害者達はサイコパスであり、悪人です。

4248:
2021-02-15 05:52

初めて名前の漢字が顔文字認証された

4245:
2021-02-15 05:20

ん????????完全不一致すぎて顔認証とかしたら絶対あかへんのやが、、、??

4251:
2021-02-15 04:30

顔認証付きカードリーダー申込完了 パナソニックにしてみたけど……… もう、何回も動画やカタログを見ても、どれがいいのかわからん orz パナソニックは高さがあるから、子供達に倒されるのが怖いけど………

4244:
2021-02-15 04:15

顔認証するとき変顔すなw お美しいのでもっと投下していいんですよ^^

Recommended

TITLE
CATEGORY
DATE
Google、コード生成や補完のAIモデル「Codey」が日本語での指示や説明に対応したと発表
Google
2023-08-23 21:13
サイバーエージェント、和製生成AI開発や広告のAI活用基盤にデル製サーバーを採用
IT関連
2023-08-02 01:17
ロシアへの輸出など順次停止–日立、ウクライナ危機下の対応説明
IT関連
2022-03-12 18:09
ラウンドアップ:迫るクッキーレス時代–新たなマーケティング手法
IT関連
2022-08-17 10:09
“アクキーの出し汁”に着想 FeliCa内蔵「推し払いキーホルダー」開発秘話 (1/2 ページ)
くわしく
2021-05-15 03:38
Node.jsの新LTS版となる「Node.js 16」正式リリース。Apple M1チップ対応、JavaScriptエンジン「V8 9.0」搭載など新機能
JavaScript
2021-04-23 17:49
アビームコンサルティング、三井物産のグローバル人材戦略基盤を構築
IT関連
2022-03-03 08:16
ポケモンGOに「メガギャラドス」初登場 旧正月イベントで リモート交換にキラ率アップも
くらテク
2021-02-11 04:53
DXで変化したIT子会社への期待–吸収合併などさまざま
IT関連
2022-10-25 12:31
Rapid7、脅威インテリジェンス分野のIntSights Cyber Intelligenceを買収
IT関連
2021-07-20 07:05
Uber Eats、徒歩での配達OKに 東京23区で試験導入
企業・業界動向
2021-06-22 16:11
IT人材の副業、コロナ禍後に開始が79.4%
IT関連
2022-12-24 11:09
「ChatGPT」を使って無料で手書きメモをデジタル化する方法
IT関連
2024-06-28 23:34
日本のDX、「変革」は未達、人材面も課題山積–IPA白書で判明
IT関連
2023-02-11 05:45