顔認識システム企業、個人データ管理不備で26億円の罰金に直面

 
オーストラリアの顔認識システム開発企業が、登録された本人の許可なしに顔画像を使用していたとして、イギリスの個人情報管理当局から数十億円の罰金を科される可能性に直面しています。

最大1,700万ポンドの罰金

iPhoneにFace IDとして採用されたことで、今では至極一般的な技術となった感のある顔認証ですが、数ある生体認証の中でも個人特定に比較的繋がりやすいため、データの取り扱いには慎重さが求められます。
 
例えば、Appleの顔認証データはiPhoneなどのデバイス内だけで完結しており、iCloudやその他の場所に保管されることはありません。また顔データ自体も数学的モデルによって暗号化されています。
 
一方、今回問題となったオーストラリアの顔認識システム開発企業Clearviewは、データベース化した100億枚以上の顔画像のずさんな取り扱いによって、英国から1,700万ポンド（約26億円）の罰金を科せられる可能性が浮上しています。
 
英国個人情報保護監督機関（Information Commissioner’s Office:ICO）は、Clearviewの顔認識ソフトウェアが警察で使用されていることについて、重大な懸念があると指摘、ただちに個人データの処理を中止し、保有するデータを削除するよう求めました。

対策と告知が不十分

Clearviewは「事実だけでなく法的にも間違っている」と、ICOの指摘を全面的に否定しましたが、向けられた疑惑を全面否定するのは難しいように思われます。
 
というのも、問題となっているソフトウェアは、容疑者を特定したいユーザー（警察官）が顔写真をアップロードすると、SNSを始めとしたインターネットから収集した数十億枚の画像データベースの中から、一致するものを探し出す仕組みとなっており、その多くは本人が知らないうちに収集された画像だからです。
 
ICOは、（1）英国市民の情報を公正に処理することを怠っている、（2）データが無制限に保持されることへの対策を講じていない、（3）情報収集のための合法的な理由を持っていない、（4）英国内の人びとにデータを保存していることを知らせていない等を具体的な問題点とし、「誰もが予想しなかった方法で個人データが処理されていることに大きな懸念を抱いている」と懸念を示しました。
 
なお、Clearviewはすでに地元オーストラリアの個人情報保護法にも違反していると認定されています（現在は裁定見直しを要求中）。
 
 
Source:BBC
(kihachi)