もっと詳しく

欧州のプライバシー監視機関がまたもや、物議を醸している顔認識企業Clearview AI(クリアビューAI)に制裁を科した。同社はインターネットから自撮り写真を収集し、約100億の顔データベースを構築して、法執行機関に身元確認サービスを販売している。

イタリアのデータ保護当局は現地時間3月9日、EU法に違反したとして同社に2000万ユーロ(約25億円)の罰金を科すと発表した。また、同社が保有するイタリア国民に関するあらゆるデータの削除を命令し、市民の顔の生体情報を今後処理することを一切禁止した。

当局の調査は「苦情と報告」を受けて開始されたもので、個人情報保護法違反に加えて、同社がイタリア国民とイタリアに住む人々を追跡していたことが判明した、と述べている。

「調査によって、生体認証データや位置情報データを含め、同社が保有する個人データが、適切な法的根拠なく違法に処理されていることが明らかになり、これはClearview AIの正当な利益とはなり得ない」と、イタリアのデータ保護機関Garanteはプレスリリースで述べている。

その他のGaranteが欧州一般データ保護規則(GDPR)違反と認めたものには、透明性義務違反(Clearview AIがユーザーの自撮り写真で何をしているかを十分に伝えていない)、目的制限違反、ユーザーデータをオンラインで公開した目的以外に使用したこと、さらに保存に制限がないデータ保持規則違反が指摘されている。

「したがって、Clearview AIの活動は、機密の保護や差別されない権利など、データ主体の自由を侵害している」とも当局は述べている。

今回のGDPR制裁について、Clearview AIにコメントを求めている。

イタリア当局の対応は欧州のプライバシー監視機関としてはこれまでで最も強いものだ。英国のデータ保護機関ICOは2021年11月に同社に罰金の可能性を警告し、またデータ処理の停止を命じた。

同年12月にはフランスのデータ保護機関CNILも同社に市民のデータ処理の停止を命じ、保有しているデータの削除に2カ月の猶予を与えたが、金銭的制裁については言及しなかった。

しかし、イタリアが米国に本社を置く同社から2000万ユーロの罰金を徴収できるかどうかは、かなり大きな疑問だ。

制裁を発表したプレスリリースでGaranteは「データ主体の権利行使を容易にするため」、Clearview AIにEU域内の代表者を指名するよう命じたことも記されている(EU法での法的要件を同社が満たしていなかったと判断された)。しかし、EUに拠点を置く同社の事業体がないため、イタリアが罰金を徴収することはかなり難しい。

EUのGDPRは、書類上では域外適用となり、EU域内の人々のデータを処理するすべての人に適用されるが、制裁を加えるべき現地法人や役員を持たない外国企業に対して制裁を加えることは、法律の適用範囲を現実的に制限することになる。

とはいえ、DPAは制裁対象企業の顧客となった愚かな現地企業を常に追及することができる。スウェーデンの監視機関が2021年、Clearview AIの顔認識ソフトウェアを違法に使用したとされる地元警察に罰金を科したのはいい例だ。

同社がEU市場で禁止行為を行うたびに、潜在的な顧客基盤は縮小していく。確かに公共部門においては、法執行機関がIDマッチング技術の主要なターゲットであることに変わりはない(だが、最近のワシントンポスト紙の報道によると、金融サービスやギグエコノミープラットフォームをターゲットとした民間セクターへのID照合サービスの販売を含む、同社のビジネスの大規模な拡大を投資家に売り込んでいるようだ)。

国際的な事業拡大について、Clearview AIは自社の投資家に対して強気の発言をしていると伝えられているが、物議を醸している同社はカナダからオーストラリアまで、世界中でプライバシーに関する制裁を受けている。

そのため、米国に拠点を置く法執行機関が利用し続けるとしても、国際的に拡大する同社の能力の制限は広がり続けている。当の米国でも、いくつかの州が生体認証の使用を制限する法律を可決した。これは、同社が自国においてさえ、その反プライバシー技術の使用拡大で法的問題に直面していることを意味する。

画像クレジット:John M Lund Photography Inc / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi