顔認識を法的に規制する方法

[[359388]]

政府機関による顔認識技術の利用に対する法的規制に関して、特別ライセンス制度は、顔認識技術の利点を引き出すだけでなく、顔認識技術の欠点を防ぐ、より合理的な制度的取り決めである。非政府部門による顔認識の使用に対する法的規制に関しては、顔情報は特別な保護と特別な規制が与えられており、一般的な個人情報よりも厳しいため、個人の顔情報の保護に役立ちます。

非競争的なサービス分野（民間航空、鉄道、学校、コミュニティなど）で顔認識技術を使用する場合、人々が「顔のスキャン」を拒否した場合、他の代替検証メカニズムが提供されるべきであり、「顔のスキャン」なしでの使用や入場を拒否されるべきではありません。政府機関による顔認識技術の導入と使用が完全に停止されない場合でも、セキュリティ上のリスクを防ぎ、悪用を防ぐために、厳格な法的規制の対象となる必要があります。

技術の発展に伴い、私の国では顔認識（一般に「顔スキャン」として知られています）がますます普及してきました。私の国では、現在、顔認識技術に関する具体的な法律規定はありません。政府、コミュニティ、公共機関、企業など、誰でも顔認識技術を自由に導入し、確認のために人々に「顔をスキャン」するよう強制することができます。顔スキャンの使用を拒否した場合、基本的に関連サービスを利用できなくなります。満足できない場合は苦情を申し立てる手段がなく、裁判に行くしかありませんが、訴訟費用は高額です。これを踏まえ、顔認識の法的規制について綿密な研究を行い、顔認識技術が従うべき法的下限線を明らかにし、顔認識技術の法的規制の基本事項を明らかにする必要がある。

顔認識技術の特徴、利点、リスク

顔認識を簡単にまとめると、機械が静止画または動画内の顔画像の特徴を抽出し、分類および識別して、本人認証の目的を達成することです。顔認識技術の応用シナリオはますます多様化しており、その機能は主に身元認証と監視にまとめることができます。これは、政府機関による公共アプリケーションと、非政府組織による商業アプリケーションおよび慈善アプリケーションに分けられます。

人間の顔には、一意性と直接認識、利便性、不変性、可変性、収集の容易さ、非匿名性、多次元性などの特性があります。人間の顔の上記特徴は、顔認識技術の複雑さを直接決定します。実際には、顔を収集する多くの機関は、対応するリスクの予防と制御、セキュリティ保証機能、組織、メカニズムを備えていません。

顔認識技術の利点は世界中で認められており、顔認識技術は多くのシナリオに適用できます。

しかし一方で、顔認識技術のリスクを過小評価することはできません。主なリスクは次のとおりです。まず、エラーのリスクです。顔認識技術が十分に成熟していないと、混乱が生じる可能性があります。さらに、人間の顔の非剛性な性質、顔間の類似性、さまざまな変化要因の影響により、正確な顔認識は依然として困難です。 2つ目は、本人認証が破られるリスクです。パスワードは秘密にされますが、顔は公開されます。最新の顔認証技術は、ログインと認証に3D画像を組み合わせたもので、従来の技術よりも解読が困難になっていますが、完全に解読不可能というわけではありません。 3つ目は情報漏洩のリスクです。顔情報を保存するために使用される電子コンピュータシステムは、ハッキングやウイルス侵入の危険があり、情報漏洩につながる可能性があります。さらに、社内従業員による犯罪によって情報漏洩が発生する可能性もあります。生体情報は 100% 識別可能です。一度漏洩したり不適切に使用されたりすると、その影響は計り知れません。

顔認識の法的規制に関する海外の経験

米国の限られた既存の法律、法案、提案から判断すると、政府部門による顔認識の使用に関する米国の法的規制は、非政府組織による顔認識の使用に関する法的規制とは異なります。両者は別々に立法および規制されており、具体的な規制方法と価値観の方向性がまったく異なります。政府機関による顔認識技術の利用に関する法的規制は、主に3種類あります。1つ目は利用禁止、2つ目は特別許可利用制度、3つ目は任意利用制度です。この禁止措置は米国のサンフランシスコ市で最初に導入され、現在大きな注目を集めている。特別許可制度は現在、民間提案の段階にあります。任意使用制度とは、政府による顔認識技術の使用に関する具体的な法律がなく、政府機関が顔認識技術を任意に使用できる制度である。米国の非政府組織による顔認識の使用に関する法的規制は、主に顔情報を生体認証情報の一種として規制しており、一般の個人情報保護よりも厳しい高強度規制経路または特別規制経路と、一般の個人情報保護と変わらず、同程度の保護を提供する通常の規制経路の2つの経路に分けることができます。

EU と米国では、政府部門と商業部門による顔認識技術の使用に関する法律が異なります。EU 一般データ保護規則 (GDPR) は、公共部門と民間部門の両方に適用されます。つまり、政府機関であろうと非政府機関であろうと、顔認識技術を使用する限り、同じ規制に従わなければならないということです。

GDPR第4条の「生体認証データ」の定義には「顔画像」が含まれます。 GDPR の第 9 条では、生体認証データを含む特別なカテゴリの個人データの処理について規定しています。 GDPR による生物学的データの処理は、「原則的禁止と特別な例外」の原則に従います。データ管理者は、個人の生体認証データの処理の例外として「データ主体の同意」を主張することができますが、そのような同意は「自由に与えられ、明確で、具体的かつ曖昧さのない」ものでなければなりません。データ主体からの受動的な同意は、GDPR の規定に準拠していません。

2019年7月、欧州データ保護委員会（EDPB）は「ビデオデバイスによる個人データの処理に関するガイドライン3/2019」を発行しました。このガイドラインでは、オリジナルデータの分離保存と送信、生体認証データ、特に分離されたフラグメントの暗号化、暗号化とキー管理ポリシーの策定、不正行為防止のための組織的および技術的対策の統合、データへの統合コードの割り当て、生体認証データへの外部アクセスの禁止、オリジナルデータのタイムリーな削除、保存する必要がある場合のノイズ添加保護方法の採用など、リスクを最小限に抑える対策が規定されています。

政府部門による顔認識の使用に対する法的規制については、現在、海外では3つのシステムが共存しているが、恣意的な使用システムは明らかにビッグデータ時代以前の慣行であり、顔認識技術が人々にもたらすリスクを認識していない。また、使用禁止システムも過激すぎて、顔認識技術の利点を生かさず、技術の発展を阻害している。これに比べ、特別ライセンス制度は顔認識技術の利点を引き出すだけでなく、欠点も防ぐものであり、我が国にとって参考になる、より合理的な制度的取り決めである。

非政府部門による顔認識の使用に対する法的規制については、現在海外では2つのシステムが共存しているものの、顔情報を一般的な個人情報として扱う一般的な規制の方向性は、顔情報と顔認識技術の特殊性を明らかに認識しておらず、個人に大きなリスクをもたらしています。しかし、顔情報については、一般の個人情報よりも厳格な特別な保護と特別な規制を設けることが、個人の顔情報の保護にさらに役立ち、我が国にとっても参考になるものである。

しかし、各国は政治的、社会的、技術的背景に独自の特徴を持っているため、顔認識技術に関する外国のシステムは自国に適さない可能性があります。自国は関連システムを導入する際には注意が必要です。

我が国の顔認識に関する法的規制の改善に関する提案

2020年5月に公布された我が国の民法第1034条第1項は、「自然人の個人情報は法律により保護される」と規定しており、同条第2項の個人情報の定義では、生体認証情報が個人情報として明記されているものの、個人の生体認証情報については特別な保護規定はありません。個人情報保護法（草案）第27条は、「公共の場所における画像収集および個人識別認識装置の設置は、公共の安全維持に必要なものであり、関連する国の規制を遵守し、目立つ警告標識を設置しなければならない。収集された個人画像および個人識別特徴情報は、公共の安全維持の目的にのみ使用され、個人の個別の同意がある場合、または法律や行政法規で別途規定されている場合を除き、他者に開示または提供されてはならない」と規定している。ここでの「画像収集」には顔認識も含まれる。個人情報保護法（案）第29条は、個人の生体情報を機微な個人情報として保護し、「必要かつ十分」な原則を規定しています。しかし、全体として、個人情報保護法案（草案）では、顔認識技術に関する規制はまだ比較的簡潔です。

我が国の現在の顔情報を含む生体認証情報の特別な保護は、まずソフトローを特徴としています。 2020年2月、国家金融標準化技術委員会は「個人金融情報保護に関する技術仕様」（JR/T 0171-2020）（以下、「仕様」という）を審査・承認しました。この仕様では、生体認証情報が最も機密性の高いC3情報として挙げられており、金融機関は金融業界の関連資格を持たない機関にC3情報を収集することを委託または許可しないよう要求しています。金融機関とその受託者は、C3情報を収集、公衆ネットワークを介して送信、および保存する際に、暗号化手段を使用する必要があります。我が国の国家標準GB/T 35273-2020「情報セキュリティ技術個人情報セキュリティ仕様」は、2020年3月に新たに改訂され、個人の生体認証情報は個人の機密情報に属することを明確に規定し、個人の機密情報に対して特別な保護を提供します。 2020年11月27日、工業情報化部は通信端末産業協会の団体標準「アプリによる個人情報顔情報の収集と使用に関する必要最小限の評価仕様」の発表を組織しました。この標準は、顔情報の収集、使用、保管、破棄などの活動におけるモバイルアプリケーションソフトウェアの必要最小限の仕様と評価方法を規定し、個人情報処理活動における典型的なアプリケーションシナリオを通じて必要最小限の原則をどのように実装するかを示しています。

データ ガバナンスの普遍性、専門性、複雑さ、適時性により、データ ガバナンスにはソフト ローの余地がある程度あります。ただし、ソフト ローには強制力がないため、顔情報を含む個人の生体認証情報の特別な保護は、ハード ローのサポートと切り離すことはできません。したがって、顔情報を含む個人の生体情報の特別な法的保護、顔認識の特別な法的規制については、ハードローの観点から体系的に考える必要がある。

1. 包括的かつ適用可能な安全性と責任の基準を確立し、改善する

顔認識技術の法的規制の目的は、単にこの技術の使用を止めることではなく、安全性を確保しながら責任ある使用を推進することです。この目的のために、著者は、公共部門と民間部門の両方に適用できる次のような安全性と責任の最低基準を確立することを推奨します。これらのセキュリティと最終原則が満たされていない場合、個人情報を収集することは違法となります。

まず、顔認識技術を誰が使用するかに関係なく、顔認識システムは、その正確性と非差別性をテストするために、第三者の独立した組織によって定期的にテストされる必要があります。必要に応じて、顔認識システムとその定期的なテスト結果を規制当局に提出する必要があります。

第二に、公衆ネットワークを通じて顔情報を収集、送信、保存する者が誰であっても、暗号化手段を使用し、収集した顔情報を分割して別々に保存し、顔情報を公開してはならない。

第三に、顔認識技術を使用する者は誰でも、追跡可能な技術システムを確立する必要があります。誰が、いつ、どこで顔情報を照会、使用、変更、ダウンロードしたかを後から検証できるため、侵害が発生した場合、顔認識技術を使用する組織は侵害者を確認し、責任を問うことができます。

第四に、顔認識技術を誰が使用しても、収集された情報が盗難、漏洩、違法使用、違法販売、違法提供などにより情報主体に損害を与えた場合、収集者は被害者が被った実際の損害に対して連帯責任を負うことを法律で規定すべきである。被害者の実際の損害を証明することが困難な場合は、各被害者に少なくとも一定額（例えば2,000人民元）の法定賠償金を補償すべきである。被害者が実際に被った損害が法定賠償額に満たない場合には、被害者は直接法定賠償額を請求することができます。

第五に、顔認識技術を誰が使用するかに関係なく、人々は「顔スキャン」を拒否する権利を持っています。顔認識技術が非競争的なサービス分野（民間航空、鉄道、学校、コミュニティなど）で使用される場合、人々が「顔のスキャン」を拒否する場合には、他の代替検証メカニズムが提供されるべきであり、「顔のスキャン」を行わずにサービスを使用したり、サービスに入ることを禁止すべきではない。結局のところ、リスクに対する好みは人それぞれであり、特に顔認識システムが現時点で 100% 安全ではない場合、法的ルールの設定では、リスクに対する好みが低い人々を容認し、尊重する必要があります。

2. 公共部門と民間部門を区別し、異なる規制の焦点を設定する

政府機関による顔認識技術の使用は、主にプロセスの前とプロセス中に規制されるべきであり、非政府機関による顔認識技術の使用は、主にプロセス中とプロセス後に規制されるべきである。

政府部門が職務を遂行する過程で権利侵害を犯した場合、国家賠償法による賠償額には制限があるため、当事者が十分な賠償を得ることは困難です。また、政府部門が権利侵害の疑いがあると、その評判に重大な悪影響を及ぼします。そのため、事前にリスクを予防することに重点を置く必要があります。つまり、政府部門による顔認識技術の導入と使用は、主管当局の承認と同意の原則を遵守する必要があります。政府部門は、主管当局の承認と同意なしに顔認識技術を導入または使用することはできません。承認に当たっては、所管官庁は顔認識技術の導入と使用の必要性と正当性を考慮し、一定の法的適正手続きを経て、公開性、透明性、民主的参加の原則に従って承認すべきである。

民間部門が顔認識技術を導入し、使用するために事前承認を要求した場合、政府部門は技術面で民間部門に遅れをとることが多いため、効果的な承認システムを開発できない可能性があります。さらに重要なことに、ビジネスと技術の革新も抑制される可能性があります。しかし、商業分野における顔認識が消費者に損害を与えた場合、被害者はその後の民事訴訟を通じて責任を追及することができ、法執行機関も進行中または事後の法執行を通じて監視し、責任を追及することができます。もちろん、そのためには、法執行機関が従うべき法律を持ち、被害者が法律に従って権利を守れるよう、法的枠組みを改善する必要があります。

我が国が政府機関による顔認識システムの設置と使用を全面的に禁止する必要があるかどうかについては、これは政治プロセスの決定の結果です。我が国の公安機関が導入しているスカイアイシステムは、都市の公共の場所に設置されたカメラを使用して、リアルタイムで正確かつ迅速な顔認識を行い、犯罪者に逃げ場を与えません。しかし、顔認識技術による監視が個人の自由に対してもたらす脅威は、ますます人々の注目を集めています。人々は全面的な監視に対して抑圧と不安を感じています。政府機関による顔認識技術の導入と使用が完全に停止されない場合でも、セキュリティ上のリスクを防ぎ、悪用を防ぐために、厳格な法的規制の対象となる必要があります。

3. 顔情報の収集には、一般的な個人情報の収集よりも厳しい規制が課せられる

顔情報は一般的な個人情報とは異なります。また、生体情報としての顔情報であっても、他の生体情報（指紋など）とはまったく異なります。したがって、顔情報の収集には特別な規制、つまり差別化された規制、つまりより強いインフォームドコンセントの原則に従う必要があります。

一般的な個人情報の収集には、法定例外を除き、通常、データ主体のインフォームドコンセントが必要です。しかし、顔情報は独自の特殊性を有しており、法定例外を除き、顔情報に適用されるインフォームドコンセントの原則は、一般の個人情報に適用されるインフォームドコンセントの原則よりも厳格であるべきであり、つまり、書面によるインフォームドコンセントの原則を遵守すべきである。さらに、顔情報を収集する前に、収集者は収集される人物に対し、収集される情報の具体的な種類、その目的、保存期間、収集される人物のリスクと権利を通知しなければならないことを法律で規定する必要があります。通知は書面で行われなければなりません。