「顔スキャン」のリスクについてどれくらい知っていますか？

情報化の急速な発展に伴い、顔認証や指紋認証などの技術が徐々に普及しつつあります。技術の進歩によってもたらされた利便性を享受する一方で、個人の生体情報が漏洩したり悪用されたりするリスクを無視すべきではありません。

「顔スキャン」のリスクについてどれくらい知っていますか？

カレン・チャン・チアン・ワン

[[264686]]

生物医学研究の進歩により、指紋、虹彩、顔、DNAなどの個人の生物学的情報の取得、収集、保管、応用がますます便利になり、普及してきました。多くのプラットフォームは、顔認識や指紋認識など、ユーザーのログインキーとして個人の生体認証情報を収集しており、決済さえも「顔スキャン」の時代に入りました。

「顔決済」モデルは、人工知能、生体認証、ビッグデータリスク管理技術を活用し、ユーザーが「顔」だけで簡単、効率的、便利に決済を完了できると報告されている。 2018年以降、全国各地で「顔スキャン」決済が導入され、小売業や飲食業、医療など大規模業態では「顔スキャン」機能付きセルフレジが広く普及している。

最近、買い物をする際に、多くの商店やスーパーが「顔認証決済」という決済方法を試験的に導入し始めているのを記者が目にしたので、実際にその場で試してみた。手順は、購入した商品をセルフ決済端末に置き、画面に購入した商品の情報が表示されたら「顔決済」をクリックする。記者はカメラに顔を向けて「顔認証」し、携帯電話番号を入力すると、数秒後に決済が成功した。記者は、「対面支払い」を選択した場合、顧客は列に並ぶ必要がないものの、この支払い方法を選択する顧客は多くないと観察した。

人工知能アプリケーションの成熟に伴い、ますます多くの生体認証技術が生活や仕事で広く使用されるようになり、人々は生体認証情報のセキュリティにますます注意を払うようになりました。少し前に、「人工知能顔認識」と呼ばれる小さなプログラムがWeChat Momentsで人気を博しました。ユーザーはコードをスキャンしてアプリケーションインターフェースに入った後、個人の写真をアップロードしたり、リアルタイムで写真を撮影したりして顔認識テストの次のステップを実行し、それをWeChat Momentsに転送してテスト結果を取得できます。しかし同時に、多くのユーザーはそれを体験した後、「QRコード顔テストは行わないでください。ユーザーの顔情報が盗まれる可能性があるので注意してください」というメッセージを転送しました。

これらの使用シナリオに加えて、顔認識技術は「インターネット+政府業務」の分野でも広く使用されています。メディアの報道によると、湖北省武漢市では、武漢市公安局の出入国窓口に「顔スキャン」決済機が設置された。出入国レシートをスキャンし、「顔スキャン」を済ませ、携帯電話番号を入力して確認するだけで、支払いが完了する。寧夏回族自治区では、退職した高齢者がモバイルクライアントから情報を入力し、「顔スキャン」認証を行うことで、社会保障給付資格証明を完了できる。浙江省では、省住宅積立基金センターと協同銀行がデータ接続し、預金者は銀行に行って取引明細書を発行したり、現場で列に並んだりする必要がなくなった。マウスをクリックして顔をスキャンするだけで、ローン返済引き出しのオンライン申請が完了する...

「顔も指紋も裸だ」

多くのユーザーは、この「顔認証」操作モードがもたらす利便性について、「すごい。外出時に顔を見せるだけでいい。ドアロックも顔認証でロックできる。もう食事にスマホを持っていく必要はない」「顔認証はQRコードをスキャンするよりずっと便利。これからは顔認証の時代。顔ひとつで世界中を旅できる！」などと好意的なコメントを寄せている。

しかし、多くのユーザーも懸念を表明した。あるネットユーザーは「顔と指紋は丸裸。パスワードだけが脳内にある」とコメントした。別のネットユーザーは「街を歩くと、私の顔がデータベースに記録されている」とコメントした。別のネットユーザーは「私の顔が悪者に利用されないよう祈ってください」とコメントした。

では、「顔認識」技術は成熟しているのか、その安全性は保証されているのか、プライバシーが漏洩することはないのか？

「顔認証の利便性と安全性を両立させることはできません」。中国電子科技大学情報通信工学学院の曽良源准教授は、どのような技術を使用しても、その技術特有の使用シーンが必ずあると指摘。顔認証技術は、特にセキュリティ要件が高い分野では、本人確認の補助手段として使用すべきであり、単独の識別手段として使用すべきではないとしている。

「個人の生体情報は人体から直接収集され、個人の生理的特徴を直接反映し、対応するものである...」今年2回の会期中、全国人民代表大会の代表で北京科学研究センター副所長の易童氏は「公民の個人生体情報保護立法に関する提案」を提出した。易童氏は、個人の生体情報は私たちが普段設定しているパスワードとは異なると考えている。パスワードが漏洩してもすぐに変更できるが、個人の生体情報は一度漏洩すると一生漏洩したままとなり、ユーザーの個人情報の安全性がさらに不確実となり、一連のリスクを引き起こすことになる。

曽遼源氏はまた、「生体認証データが盗まれ、他人に利用されれば、個人情報の安全、生命・財産の安全にかかわる問題を引き起こし、大量の深層情報が発掘・暴露され、国民に大きな物質的・精神的損害を与えることになる」と指摘した。

2018年11月28日、中国消費者協会は「100のアプリの個人情報収集とプライバシーポリシーに関する評価レポート」を発表しました。報告書によると、10のカテゴリー（コミュニケーションとソーシャルネットワーキング、ビデオとオーディオの再生、オンラインショッピング、取引の支払い、旅行ナビゲーション、財務管理、旅行宿泊、ニュース閲覧、電子メールのクラウドストレージ、写真の美化）の100個のアプリのうち、91個ものアプリが「限度を超えている」と疑われる権限をリストアップしており、つまりユーザーの個人情報を過剰に収集する問題があるという。そのうち10個のアプリは、個人を特定できる生体情報の収集についてユーザーに明確に通知しておらず、個人の生体情報を過度に収集している疑いがあった。たとえば、Meitu XiuXiu は「名前が付けられました」。 Meitu XiuXiuは主に写真編集に使用されるアプリであり、本業に注力していないにもかかわらず、識別可能な生体認証情報を過度に収集している疑いがある。多くのユーザーは、「私はただひっそりと顔を美しくしたいだけなのに、あなたは密かに私の生体情報を気にしています。それでも楽しむことができますか？」とコメントしています。これに対して、中国消費者協会は、個人財産情報と個人生体情報は個人の機密情報であると述べました。個人のセンシティブ情報が漏洩すると、個人情報主体や個人情報を収集・利用する組織・機関は個人情報を管理する能力を失い、個人情報の拡散や利用の範囲が制御不能となり、個人情報主体の生命や財産に重大なリスクをもたらす可能性があります。そのため、中国消費者協会は、関係部門がアプリのプライバシー保護の現在の厳しい状況を総合的に考慮し、プライバシー保護の法律を強化し、具体的な措置を実施し、立法と規制のレベルを向上させ、消費者の個人情報の安全のためにより良い法的および制度的保護を提供することを推奨します。

今年2月、中国でプライバシーとセキュリティに関する大きな議論を呼んだ事件が発生した。セキュリティ分野に注力する人工知能企業が大規模なデータ漏洩に見舞われた。250万人以上のデータにアクセス可能となり、顔認識画像や撮影場所など680万件のデータが漏洩した疑いがある。同社は主に「顔認識技術」を開発しており、多くの部門や機関と人工知能セキュリティの協力関係にあると報じられている。

「現在、個人の生体認証情報の安全性は制御不能です。」曽遼源氏は、顔と他の生体認証データとの大きな違いは、顔認証は遠距離でも機能する点であり、つまり、ネット上で自撮りをしたり、街を歩いたりするときに、無意識のうちに個人の生体認証情報を渡してしまう可能性があると述べた。カメラがますます普及するにつれ、まさに「プライバシーが弱い」時代に入ると言えるでしょう。現在、顔、声紋、虹彩、指紋、さらには歩き方までが重要な個人識別情報となっており、生体認証技術が生活に広く使用されるようになると、個人のプライバシーを漏らす手段となる可能性が非常に高くなります。

中国法曹協会インターネット情報法研究会副事務局長の周慧氏は以前、メディアのインタビューで、人々はリスク予防意識を高め、「顔認識」アプリケーションの潜在的なリスクを理解すべきだと示唆した。ユーザーに対しては、追加のリスク警告指示を提供する必要があります。さらに、規制当局は消費者教育を強化し、法律に従って申請者の管理を厳格化する必要があります。申請者が収集した関連情報を不法に使用した場合、サイバーセキュリティ法第64条およびその他の関連規制に従って処罰される可能性があります。

個人の生体認証情報が悪用される

個人の生体情報の保護に関する現在の関連法規制は、民法の一般原則、サイバーセキュリティ法、消費者保護法、および関連する司法解釈や規制に散在しており、完全なシステムを形成するにはほど遠いことがわかっています。易童代表は、わが国の行政機関や特定の業界にも個人の生体認証情報に関する規制があると述べた。例えば、公安機関には犯罪者や刑事被告人の関連生体認証情報を秘密に保つ義務がある。セキュリティサービスや信用調査業界にも個人の生体認証情報の収集に関する規制があるが、そのような規制の範囲は比較的限られている。

「わが国の現行刑法は主に『国民の個人情報を侵害する』という犯罪を入り口とし、個人情報を他人に提供したり、違法に取得したりする行為を処罰している」。北京師範大学刑法科学研究所の准教授で中国インターネット協会研究センター副事務局長の呉神国氏は、一部の民事・行政法規は一般公共機関やネットワークサービスプロバイダーに強制的な規定を設け、国民の個人情報の収集や使用などの活動において合法性や正当性などの一般原則に従うよう求めていると語った。

易童代表の意見では、我が国の現在の個人生体情報の法的保護は、以下の3つの問題に直面している。第一に、個人生体情報の権利は人格権の属性を持つ私権として、私法の保護範囲にまだ明確に含まれていない。第二に、犯罪捜査、治安管理、人口統治、医療・保健などの分野における個人生体情報の非商用的応用、および政府と関連機関の責任と権利、特に個人生体情報の権利保護の範囲を明確にすることが急務である。第三に、現在、個人生体情報の商用応用および関連業界における侵害リスクと不正競争に対する対応する特別な規制が欠如しており、法的救済と行政処罰の法的根拠がない。

「ビッグデータ関連技術の発展、クラウドコンピューティングや人工知能技術の広範な応用により、バイオ情報の漏洩方法は多様化しており、規制技術はより困難になるだろう」と呉神国氏は指摘し、バイオ情報の利用範囲や利用基準を法律でどのように規定し、情報を保護しながら技術開発を進めるかが、早急に解決すべき重要な課題だとした。

現在、顔認識技術の規制では、個人の生体情報の機密性と漏洩防止が重視されています。しかし、北京師範大学法学院教授でアジア太平洋ネットワーク法研究センター所長の劉徳良氏は、異なる見解を持っている。同氏は、個人の生体認証情報が現在直面している問題は、保護の必要性ではなく、情報が悪用されるという問題であると考えている。 「今後の立法は、個人の生体認証情報を含むさまざまな身元情報が利用される際に、関係機関をいかに厳しく規制するかに焦点を当てるべきだ」

「私たちの個人生体情報はすでに社会の無数のノードに存在しています。いわゆる漏洩は特定の悪用リンクで発生することが多く、どのノードであるかを特定するのは困難です。私たちは常に機密性を重視し、漏洩などのセキュリティ問題を防止していますが、多くの場合、この情報を使用する必要があります。したがって、機密性を重視するよりも、個人生体情報の悪用を効果的に防止し、悪用を取り締まる方が良いです。」劉徳良氏は、現在、社会の焦点は個人生体情報の悪用またはその使用の規制にあるべきだと付け加えた。

呉神国氏はまた、個人情報の非商用利用については、情報主体が政府関連機関であることから、国民が政府機関に提供する個人生体認証情報の信憑性と正確性は、一般のインターネットサービスプロバイダーよりも高いと述べた。そのため、こうした機関にはより厳しい規制を適用し、個人情報の処理における関連機関の権利と義務を明確に規定して、個人情報の過度な利用を避けることを推奨する。同時に、関係部門は個人のDNA生体情報の利用について厳格な審査を行い、利用目的が必要かつ適切であるかどうかを検討する必要がある。また、個人情報主体が情報に関する一般的な権利を享受できるよう、保存期間等について個人情報主体に必要な説明を行う必要がある。

曽遼源氏はまた、顔認識を規制する鍵は「情報の濫用」の問題に取り組むことだと考えている。 「人々の同意を得るための簡単なルールは非常に重要であり、顔認識技術を乱用すべきではない」と曽遼源氏は述べた。現在、顔認識をどのように規制するかについては、米国のイリノイ州とテキサス州に前例がある。関連法規では、民間企業が顔認識技術を使用する際にユーザーの同意を得ることを義務付けているが、中国ではまだ関連法が制定されていない。

立法化を期待する

「法律制定の遅れが科学技術の発展に悪影響を及ぼさないように、個人の生体情報権利に関する立法計画と研究を実施し、プライバシー保護との区別と関連性に留意し、中国の実情に即した個人の生体情報保護システムを構築し、改善することを推奨する」と同代表は述べ、政府は法律や規制において公権力と個人の生体情報権利の境界を明確にし、商業応用分野での市場管理、規制、法的救済を強化すべきだと提案した。 「関係部署はこれに留意し、問題発生後に受け身の立場に陥らないよう事前に準備を整えてほしい」

個人の生体認証情報を保護するための法律はどのように施行されるべきか？「まず、関連企業に社会的責任を負わせ、業界標準をさらに標準化し、収集・保管する国民の個人データのセキュリティを意識的に保護するよう要求する必要がある」と曽遼源氏は述べた。同時に、政府もアクセスシステムと評価システムを確立するために何かすべきだと指摘した。 「顔認識を例に挙げると、関係政府部門はできるだけ早く顔認識技術の各種基準と国民のプライバシー保護基準を設定し、商業応用分野における市場管理、規制、法的救済を強化し、顔認識技術があらゆる分野に標準化されて導入されることを促進する必要がある。」

ウー・シェンクオ氏は、法律制定では商業的および非商業的アプリケーションの両方を考慮すべきだと提案した。同氏は、一方では商業的応用のために、個人生体情報に関連する技術研究開発の問題を規制する必要があると述べた。さらに重要なのは、バイオインフォマティクス技術と個人生体情報の組み合わせが社会的に有害な行動を生み出すのを防ぐために、個人生体情報の応用に関する具体的なシナリオに明確な制限を設ける必要があることだ。一方、非商用アプリケーションの場合、最も重要なのは、個人の生体情報のセキュリティ保護を強化することです。「個人の生体情報の保護措置と技術的手段を強化し、情報収集主体の義務を強化することがより重要です」と呉神国氏は述べました。

「個人の生体情報の悪用に関しては、わが国の法律のほとんどは空白か、運用条項が欠けている」と劉徳良氏は記者団に語り、個人生体情報の悪用の防止と対処に重点を置いた専門家の提案を起草中だと述べた。つまり、個人情報はいくつかの種類に分けられ、悪用される個人情報は明確にする必要がある。それぞれの悪用の種類に対して、不法行為責任法などの民事立法、行政立法、刑事立法から規制する必要がある。同氏は、「今後の立法においてこの点について努力せず、従来の考え方に従って機密保持や漏洩防止に努めるのであれば、我々の問題が真に解決されることは決してないだろう」と指摘した。