「ネットにアップした顔写真が勝手に個人情報と一緒に収集されている」ことの実例が報告される

「TwitterやFacebookに自分の顔写真を投稿すると、基本的に誰でもその画像にアクセスできるようになる」ということを頭では理解していても、実際にその画像が見知らぬ誰かに利用されていることを実感する機会は少ないもの。しかし、「自分の顔写真と詳細な個人情報が知らない間にプロファイリングされていた」との実例が報告されています。

I Got My File From Clearview AI, and It Freaked Me Out
https://onezero.medium.com/i-got-my-file-from-clearview-ai-and-it-freaked-me-out-33ca28b5d6d4

2020年1月に、Clearview AIという新興企業がウェブスクレイピングにより収集した顔写真などのデータが、連邦捜査局(FBI)をはじめとする多数の法執行機関によって利用されていることが報道されました。この問題は大きく取り沙汰され、Google・YouTube・Venmo・LinkedInなどの企業が相次いでClearview AIにデータの使用停止を求める事態にまで発展しています。

Clearview AIの問題については以下の記事に詳しく書かれています。

ネット上の30億枚超の顔写真から顔認証アプリを開発する「Clearview AI」にGoogle・YouTube・Venmo・LinkedInなどがデータの使用停止を求める - GIGAZINE

by teven Lilley

AIを活用した画像管理ソフトウェアなどを手がけるGado Imagesの共同創設者兼CEOであるトーマス・スミス氏も、Clearview AIのプライバシー侵害を深刻に受け止めている人物の1人。そこでスミス氏は、カリフォルニア州消費者プライバシー法(CCPA)を活用して、Clearview AIが自分の情報を保有していないか照会してみることにしました。

2020年1月1日から施行されたCCPAは、企業による個人情報の収集を厳格に規定したEU一般データ保護規則(GDPR)のカリフォルニア州版ともいえる法律です。

この法律は事業者に対し、「消費者から要請があった場合は、45日以内に情報の開示、削除または個人情報の売却を停止しなければならない」と義務づけており、違反した場合は1件につき最大7500ドル(約83万円)の罰金が課せられるほか、民事訴訟に発展した場合は「カリフォルニア州の居住者1人につき1ドル(約110円)から750ドル(約8万3000円)の法定損害賠償金、または実際の損害額のいずれか大きい方」の支払いが命じられることになっているので、Clearview AIはカリフォルニア在住のスミス氏の要求を突っぱねることはできないというわけです。

スミス氏がCCPAに基づく照会請求をClearview AIに送ってから1カ月が経過してからようやく、サイト上の入力フォームで追加の申請を行うよう促す連絡が届きました。スミス氏がこの求めに応じてからさらに数週間後、Clearview AIから今度は「運転免許証のコピーとスミス氏がはっきり映った写真」を送るよう要求がありました。

スミス氏が照会用の写真としてClearview AIに送ったのがこの画像です。これは、スミス氏が東欧系ユダヤ民族の伝統料理ラトケスを作っている際の様子を携帯電話で撮影したものだそうです。

Clearview AIは、スミス氏が自分の写真を送ってからわずか数分で、自社が保有するスミス氏の情報を返信してきました。

その内容が以下。なお、赤色の枠はスミス氏自身の編集によるものです。

スミス氏は「Clearview AIが私について収集したデータの深さやバラエティの豊かさには驚かされます。2012年に母校で開かれた同窓会の写真や、所属していたことすら忘れていたPythonプログラマーの集いの写真、私と妻が結婚してすぐのころにブログにアップロードした写真までありました」とコメントしました。

スミス氏はさらに、「このデータから、Clearview AIが私についてかなりのことを知っていることが推測できます。名前はもとより、通っていた学校や現在の職業、住んでいる場所まで筒抜けになっています」と述べています。

しかし、Clearview AIが収集したデータが完璧というわけではありません。スミス氏のものだとされているFacebookのプロフィールの1つは、スミス氏とは全く無関係な別人のものだったとのこと。このことからスミス氏は「もしFBIの捜査官がこのシステムで私の顔を検索したら、まったくの別人が犯した罪で起訴されてしまうかもしれません」と話しています。

その一方でスミス氏は、こうした情報収集が一概に悪いことばかりだとは考えていません。スミス氏は「Clearview AIのようなシステムは単にプライバシー侵害するだけではありません。児童の性的虐待や長年にわたり捜査が進展しなかった未解決事件に切り込むための画期的なテクノロジーでもあります。また、新型コロナウイルスが世界中にまん延するに伴い、多くの顔認証関連企業がパンデミックを人々の監視やサービス拡大の口実に使っています。しかし、この手法が時には有用な安全対策につながるのは事実です」と指摘。

スミス氏はさらに、今回CCPAによりClearview AIにデータを開示させることに成功した経緯から、「データを制御する力は、これまでは大企業の手に委ねられてきましたが、だんだん私たちのものになりつつあります」と述べて、個々人がGDPRやCCPAのような法制度を活用したプライバシー対策を講じていくことが重要だと結論付けました。