顔認識の60年: EU一般データ保護規則は本当に「史上最も厳しい」ものなのか?

2018 年 5 月に、EU 一般データ保護規則 (GDPR) が正式に施行されました。それ以来、フランスはGoogleの利用規約が十分に透明性がなく、ユーザーから「有効な同意」を得るという原則に違反しているとして、同社に最大5000万ユーロの罰金を科した。スウェーデンのデータ規制当局も、出席記録に顔認識技術を使用するのは「必要性の原則」に違反するとして、規制に基づき高校​​に罰金を科した。

統計によると、2020年1月時点で、EU諸国のデータ規制当局は16万件以上の違反報告を受けており、各国が科した罰金の総額は1億1,400万ユーロに達した。

GDPRは「史上最も厳格なデータ保護法」として称賛されており、それ以来、最近発行された中国の「個人情報保護法（草案）」を含め、多くの国のデータ法制にも影響を与えています。ただし、顔データなどのより機密性の高い生体認証データに関しては、GDPR にはまだ制限があります。たとえば、「データのライフサイクル全体」をカバーしておらず、元のデータ収集プロセスにおけるリスクが大幅に過小評価されています。

この記事は、NYU AI Now Center のレポート「生体認証の規制: グローバルなアプローチと緊急の質問」の第 4 章から抜粋したものです。理解を容易にするために、原文に必要な補足と修正を加えました。

欧州連合は2004年に、加盟国に対し国民のパスポートと渡航文書に顔画像と指紋情報を保存することを義務付ける法律を制定した。同じ頃、欧州連合はシェンゲン圏のすべての亡命希望者とビザ申請者の生体認証データを含む大規模なデータベースを作成した。

すぐに、バイオメトリクスの応用は公共部門や民間企業でさらに拡大し、人の流れの制御、企業での電子アクセス制御、キャンパスの監視に使用されるようになりました。この技術の優秀性は欧州委員会によって認められているが、欧州委員会は生体認証データは「機密」情報とみなされるべきだと注意を促している。生体認証データには個人の健康状態や人種などの機密情報が含まれており、個人の身元を特定でき、他の情報と簡単にリンクでき、変更できない。

上記のリスクに直面して、法的監督が「不在」だった時代がありました。一般的な意味でのデータ保護法にも、ほとんどの国の法律にも、生体認証データの使用と処理に関する具体的な規定はありませんでした。技術は開発され、応用されているものの、法律は遅れをとっています。

このギャップを埋めるために、一部の国の個人情報保護規制当局は生体認証データの使用に関する枠組みの開発に着手しています。例えば、データの機微性、データベース維持のリスク、「機能クリープ」（編注：機能クリープ、つまり、特定の目的のために収集されたデータが他の目的に使用されること）の可能性、さらには、使用目的と手段が比例しているかどうか（編注：比例性、比例の原則、つまり、ある目的を達成するために生体認証技術を使用する必要があるかどうかを検討する必要がある）などを強調しています。しかし、これらの法案が実際に実行されるかどうかについては、多くの不確実性が残っています。

2016 年、欧州連合は一般データ保護規則 (GDPR) を導入しました。これはすべての加盟国に適用され、公共部門と民間部門における生体認証データの応用をカバーしています。さらに、EU は法執行機関に特化したデータ保護法執行指令 (DP LED) も可決しました。法執行官が犯罪の防止、監視、捜査、起訴のために個人データを使用する必要がある場合、法執行官はこの指令に従わなければなりません。

法律事務所DLAパイパーは、2018年5月から2020年1月までにGDPRに基づき各国のデータ規制当局が課した罰則を集計した。その中で、オランダ、ドイツ、イギリスはデータ侵害件数で上位3位にランクインした。画像出典: DLA Piper 統計レポート。

EU は生体認証データをどのように規制していますか?

GDPR と DP LED は、生体認証データを初めて次のように定義しています。「特定の技術的処理によって生成され、顔画像や皮膚 (指紋) データなど、その自然人の固有の ID を確認するために使用できる、自然人の身体的、生理学的、または行動的特性に関する個人データ」

「特定の技術的処理」に重点が置かれていることから、顔やビデオ監視で撮影された録画、ユーザーがウェブサイトやソーシャルメディアに投稿したオリジナルの情報など、データベースに保存・保持されている「生の」データは除外されていることに留意する価値がある。

さらに、GDPR では、「写真の処理は、特別なカテゴリの個人データの処理として体系的にみなされるべきではない」と規定されています。プライベートなビデオ映像も、識別を可能にする特別な技術を使用して処理されていない限り、生体認証データとは見なされません。

GDPR では「固有の識別を目的とした生体認証データの処理」を禁止していますが、この禁止には多くの例外があります。たとえば、データは「明らかに公開されている」か「重大な公共の利益を目的とした」ものである場合などです。こうした「例外」は多数存在し、曖昧です。実際、GDPR では、多くのシナリオで生体認証データの処理と技術的応用が許可されています。 GDPR では、基本的な枠組みとして、個々の加盟国がさらなる規制や禁止を導入できることも規定されています。

DP LED は、法執行機関による生体認証データの使用に制限を設け、法的な許可を得ている場合、重要な利益を保護している場合、またはデータ主体によって公開されたデータを処理している場合の 3 つの状況でのみ生体認証データを使用することを義務付けています。

GDPR および DP LED では、新しいテクノロジーの適用によって「高いリスクが生じる可能性がある」場合、または特定の種類の個人データを大規模に処理する場合に、データ保護影響評価 (DPIA) を開始することが義務付けられています。さらに、このタイプの評価は、公共部門が一般にアクセス可能なエリアを体系的に監視する場合にも有効にする必要があります。

「データ保護影響評価」とは、データ処理の目的および手段のリスク、必要性、適合性を含む包括的な評価です。場合によっては、民間または公的機関が生体認証技術を使用する場合、事前に地方または国のデータ規制当局に相談して許可を得る必要があります。

英国情報委員会事務局が挙げる「データ保護影響評価」の基本的な手順には、関係部署との協議、必要性の評価、手段が目的に合致しているかの評価、リスク評価、リスクを軽減する手段の検討などが含まれています。 ICOは、この評価は技術の適用に先立って行われるべきだと述べた。画像出典: ICO公式サイト

さらに、生体認証データの処理と技術的応用は、国民の基本的人権と自由を尊重しなければなりません。プライバシー権や個人情報保護権が侵害された場合、人権に関する法的枠組みも発動されます。

以下のセクションでは、これらの規制の試みから得られた主な教訓を概説し、その有効性について議論し、将来の規制のために学ぶべき教訓を強調します。

あいまいな定義: 収集段階における生データのリスクは大幅に過小評価されている

GDPR および DP LED では、生体認証データは「特定のテクノロジーで処理された」データとして定義されています (編集者注: データ処理リンクが過度に強調されているため)。収集および保管の段階では、ユーザーの同意を得て必要性などの原則を満たすことを除けば、生体認証データは一般的な意味で他の個人データよりも高いレベルの保護を受けることはありません。

このため、生体認証データの収集に伴うリスクは大幅に過小評価されています。保護されるべき機密データの中には、まだ処理されていないために保護できないものがあります (編集者注: GDPR の生体認証データの定義を満たしていません)。これは、透明性が限られており、関係者や一般の人々に通知せずにデータが使用される可能性がある法執行機関によって使用される場合に特に重要です。これは、GDPR および DP LED の法的文書の抜け穴であり、企業や政府が、後で法執行目的で使用できる画像の大規模なデータベースを収集することを可能にします。

[[356944]]

2020年、Clearview AIは、単一の顔情報からその身元と電子フットプリントを特定できるため大きな論争を巻き起こし、既存の法的枠組みの限界をより多くの人々に認識させました。画像出典: Clearview AI 公式ウェブサイト。

これは、人間の特徴をデータベースに記録、収集、保存することは個人の私生活を尊重される権利を損なうと繰り返し強調してきた欧州人権裁判所の判例にも反する。以前、英国人のゴーグラン氏は英国政府を欧州人権裁判所に訴えた。（編集者注：2008年、ゴーグラン氏は飲酒運転で逮捕され、写真、指紋、DNA情報を警察署に残した。彼のDNAサンプルは2015年に破棄されたが、彼のDNAデータ、指紋情報、写真は警察の記録に無期限に保管されている。ゴーグラン氏は英国を訴え、警察が彼の個人データを破棄するか返還するよう要求した。）欧州人権裁判所は顔認識や顔の特徴照合などの技術を考慮し、最終的に「申請者のDNAプロファイル、指紋、写真を保持することは、彼の私生活への干渉を構成する」との判決を下した。

より適切な定義は、識別目的または自動識別プロセスに使用できる人間の特徴データに法的保護を提供し、規制によってデータの保存にも制限を課す必要があります。私たちは、生体認証データの別の定義を提案します。それは、次の条件を満たすすべての個人データです: (a) 個人の固有の生物学的特徴または行動的特徴に直接的または間接的に関連するデータ、(b) 自動化された手段によって使用されるか、使用される可能性があるデータ、(c) 自然人による主張を識別、認証、または検証するために使用できるデータ。 ”

生体認証「禁止」の曖昧さ

現行法では、さまざまな生体認証システムを区別しておらず、さまざまなデータ処理方法に対する具体的な規制も定められていません。たとえば、GDPR の第 9.1 条では禁止されている使用および処理が多数列挙されていますが、「1 対 1」の「検証」（編集者注: 1 対 1、電子アクセス制御を通じて入力者の身元を確認するなど）と「1 対多」の「識別」を区別していません。

現在、欧州委員会や多くの国のデータ規制当局は、検証はデータベースを必要としないため、身元確認よりもリスクが低いとしている。

1 対多の識別には、データベースへの生体認証情報の大規模な収集と保存、確率ベースのマッチング (精度と誤検出に関する懸念が生じる)、プライバシー監視に関する懸念など、追加のリスクが伴います。しかし、GDPR と DP LED ではこれら 2 つの機能が区別されていないため、技術開発者の間で懸念が生じ、生体認証技術やプライバシー強化方法への投資を検討している企業にとって法的な不確実性が生じています。

適切な規制では、さまざまなアプローチのリスクをより積極的に区別し、実際のリスクをもたらすテクノロジーを禁止し、実際のプライバシーとセキュリティの保護を提供できる可能性のある機能を奨励する必要があります。

「例外」とは何ですか?

最後に、法律の曖昧な「例外」には抜け穴があり、テクノロジーの高リスクな使用につながる可能性があります。

GDPR の「例外」の定義は非常に広範で、「重大な公共の利益」に基づいて生体認証データの処理を許可しています (編集者注:「重大な公共の利益」は具体的に定義されていないため、広範な「バスケット」になります)。

「例外」の定義が広範すぎるため、公的機関や民間企業が顔認識技術を導入すること（例えば、大規模なスタジアムイベント）を認める法的根拠となり得るかどうかは不明だ。 GDPR と DP LED ではこれらの質問に答えることができず、より的を絞った法律が必要です。