LinkedInで認証バッジを手に入れるために提出したパスポートや顔写真のデータはどこへ行くのか？

Microsoftが運営するビジネス用SNSのLinkedInには、ユーザーの身元が確認されていることを示す認証バッジが存在します。LinkedInの認証バッジを入手するにはパスポートなどの身分証明書や顔写真のデータが必要ですが、これらのLinkedInに提出したデータがどうなるのかを調べた結果が、テクノロジー系ブログのTHE LOCAL STACKで報告されました。

I Verified My LinkedIn Identity. Here's What I Actually Handed Over. | THE LOCAL STACK
https://thelocalstack.eu/posts/linkedin-identity-verification-privacy/

THE LOCAL STACKを運営するロギ氏は、LinkedInに偽のリクルーターやボットアカウント、AIが生成した顔写真があふれかえっているため、自分が本物だと示す認証バッジを手に入れることにしました。ロギ氏はパスポートをスキャンしたり自撮りを送ったりして、わずか3分で認証バッジを手に入れることができたとのこと。

その後、ロギ氏が認証バッジに関するプライバシーポリシーと利用規約を熟読したところ、LinkedInに提出したデータがどこに行き、どのように処理されているかがわかったとしています。

まず、LinkedInに提出したデータはそのままLinkedInが処理するのではなく、アメリカのカリフォルニア州サンフランシスコにある「Persona Identities」という本人確認企業へと送られます。つまり、LinkedInは本人確認サービスを提供するPersonaの顧客であり、実際に本人確認作業を行うのはPersonaというわけです。

ロギ氏によると、わずか3分間の本人確認でPersonaは「フルネーム」「パスポートの写真および表面、記載事項」「リアルタイムで撮影した自撮り写真」「顔写真から抽出された顔の形状データ」「パスポートに内蔵されたNFCチップデータ」「国民ID番号」「国籍・性別・生年月日・年齢」「メールアドレス・電話番号・郵便番号」「IPアドレス・デバイスの種類・MACアドレス・ブラウザ・OSバージョン・言語」「IPアドレスから推測される位置情報」など、さまざまな個人情報を入手するとのこと。また、本人確認プロセス中に一時停止したかどうかや、コピー＆ペーストを行ったかどうかなどの行動データも収集しているそうです。

Personaはこれらのデータを自分たちだけで調べるのではなく、「政府データベース」「国民ID登録簿」「消費者信用機関」「公益事業会社」「モバイルネットワークプロバイダ」「郵便番号データベース」など、信頼できるサードパーティーのデータベースと照合を行います。つまり、LinkedInで認証バッジを手に入れる過程では、実質的な身辺調査も行われているといえます。

Personaのプライバシーポリシーには、ユーザーがアップロードした身分証明書の写真が、さまざまな国の身分証明書を識別するシステムのトレーニングに使われていることも記されています。この利用についてPersonaは「legitimate interests(正当な利益)」に依拠するとしていますが、ロギ氏はこの点がEU一般データ保護規則(GDPR)に照らしても成立するかどうかに疑念を呈しています。

LinkedInを経由してPersonaが入手したデータには、サービス提供に関して提携している第三者機関(サブプロセッサー)もアクセスすることができます。Personaの公式ページには17社のサブプロセッサーが記載されており、その中にはAnthropicやOpenAIといったAI開発企業に加えてAmazon Web Services(AWS)やGoogle Platformなども掲載されていますが、16社がアメリカで残り1社がカナダに拠点を置いています。つまり、ヨーロッパのユーザーが地元のビジネス関係者とつながるためにさまざまなデータを提供した場合、それらのデータは北米の企業に送信されるというわけです。

さらにロギ氏は、Personaはアメリカ企業であるため2018年に成立したアメリカのCLOUD法による影響を受けると指摘。CLOUD法では、データの保存場所が海外であっても、事業者にデータ開示を求めることが可能とされています。Personaにはアメリカだけでなくドイツのフランクフルトにもサーバーがありますが、アメリカの法執行機関が求めればPersonaもデータを引き渡さざるを得ないとのこと。

ロギ氏は、「私はアメリカの企業にパスポートや顔、そして頭蓋骨の幾何学的形状を渡しました。彼らは信用調査機関や政府のデータベースと照合し、私の書類を使ってAIを訓練するでしょう。そして、もしアメリカ政府が訪ねてきたら、彼らは全てを渡すでしょう。たとえデータがヨーロッパに保管されていても、私がヨーロッパ人であっても、そしておそらく私に何も告げずにそうします」と述べました。

このブログについてセキュリティ専門家のブライアン・クレブス氏がLinkedInで共有したところ、Personaの共同創業者兼CEOを務めるリック・ソン氏がコメントしています。

LinkedIn Verification Data Disclosure: 17 Companies Involved | Brian Krebsさんがトピックについて投稿しました | LinkedIn
https://www.linkedin.com/feed/update/urn:li:activity:7430615492442091520

ソン氏によると、LinkedIn経由で処理された個人データはAIおよびモデルのトレーニングには使用されず、本人確認に限定して使用されるとのこと。また、生体認証個人データは処理後速やかに削除され、その他の個人データも30日以内に自動削除されるとしています。

さらに、Personaがデータを共有するサブプロセッサーはサービスによって異なり、本人確認サービスではAWS・Confluent・DBT・ElasticSearch・Google Cloud Platform・MongoDB・Sigma Computing・Snowflakeの8社のみで、OpenAIやAnthropicなどのAI開発企業は含まれないと主張。「今後はこの点を明確化するため、リストに注記を追加します」とソン氏は述べました。