英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

こんにちは、丸山満彦です。

英国やカナダ等では話題になっていましたが、ウェブ等から人の顔のデータを集めそれを捜査機関（以前は民間企業にも）に販売していたCleraView社に対して、英国の情報コミッショナーは900万ユーロ相当になる約750万ポンド (約12億円）の罰金を課し、英国人のデータを削除するように命じたようですね。。。

● U.K. Information Commissioner's Office; ICO

・2022.05.23 ICO fines facial recognition database company Clearview AI Inc more than £7.5m and orders UK data to be deleted

ICO fines facial recognition database company Clearview AI Inc more than £7.5m and orders UK data to be deleted	ICO、顔認識データベース企業Clearview AI Incに750万ポンド以上の罰金と英国人のデータの削除を命令
The Information Commissioner’s Office (ICO) has fined Clearview AI Inc £7,552,800 for using images of people in the UK, and elsewhere, that were collected from the web and social media to create a global online database that could be used for facial recognition.	情報コミッショナー事務局（ICO）は、ウェブやソーシャルメディアから収集した英国内外の人々の画像を使用して、顔認識に使用できるグローバルなオンラインデータベースを作成したとして、Clearview AI Incに7,552,800ポンドの罰金を課しました。
The ICO has also issued an enforcement notice, ordering the company to stop obtaining and using the personal data of UK residents that is publicly available on the internet, and to delete the data of UK residents from its systems.	また、ICOは、同社に対し、インターネット上で公開されている英国居住者の個人データの取得と使用を停止し、英国居住者のデータを同社のシステムから削除するよう命じる執行通知を発出しました。
The ICO enforcement action comes after a joint investigation with the Office of the Australian Information Commissioner (OAIC), which focused on Clearview AI Inc’s use of people’s images, data scraping from the internet and the use of biometric data for facial recognition.	ICOの強制措置は、オーストラリア情報コミッショナー事務所（OAIC）との共同調査の結果、Clearview AI Incによる人々の画像の使用、インターネットからのデータスクレイピング、顔認識のための生体データの使用に焦点を当てたものです。
What did Clearview AI Inc do?	Clearview AI Incは何をしたのか？
Clearview AI Inc has collected more than 20 billion images of people’s faces and data from publicly available information on the internet and social media platforms all over the world to create an online database. People were not informed that their images were being collected or used in this way.	Clearview AI Incは、200億枚以上の人々の顔画像と、世界中のインターネットやソーシャルメディアプラットフォームで公開されている情報からデータを収集し、オンラインデータベースを作成しました。人々は、自分の画像が収集され、このように使用されていることを知らされていませんでした。
The company provides a service that allows customers, including the police, to upload an image of a person to the company’s app, which is then checked for a match against all the images in the database.	同社は、警察を含む顧客が人物の画像を同社のアプリにアップロードすると、データベース内のすべての画像との一致を確認するサービスを提供しています。
The app then provides a list of images that have similar characteristics with the photo provided by the customer, with a link to the websites from where those images came from.	そして、お客さまから提供された写真と類似した特徴を持つ画像のリストと、その画像の出典であるウェブサイトへのリンクを提供します。
Given the high number of UK internet and social media users, Clearview AI Inc’s database is likely to include a substantial amount of data from UK residents, which has been gathered without their knowledge.	英国のインターネットやソーシャルメディアの利用者が多いことから、クリアビューAI社のデータベースには、英国居住者の知らないところで収集された相当量のデータが含まれている可能性があります。
Although Clearview AI Inc no longer offers its services to UK organisations, the company has customers in other countries, so the company is still using personal data of UK residents.	Clearview AI Incはもはや英国の組織にはサービスを提供していませんが、同社は他の国にも顧客を有しているため、同社は依然として英国居住者の個人データを使用していることになります。
John Edwards, UK Information Commissioner, said:	英国情報コミッショナーのジョン・エドワードは、次のように述べています。
“Clearview AI Inc has collected multiple images of people all over the world, including in the UK, from a variety of websites and social media platforms, creating a database with more than 20 billion images. The company not only enables identification of those people, but effectively monitors their behaviour and offers it as a commercial service. That is unacceptable. That is why we have acted to protect people in the UK by both fining the company and issuing an enforcement notice.	「Clearview AI社 は、英国を含む世界中の人々の画像を、さまざまなウェブサイトやソーシャルメディアから複数収集し、200億枚以上の画像を持つデータベースを構築しています。同社は、それらの人々の特定を可能にするだけでなく、その行動を事実上監視し、商業サービスとして提供しています。これは容認できるものではありません。だからこそ私たちは、同社に罰金を科し、かつ強制執行通知を出すことで、英国の人々を保護するために行動したのです。」
“People expect that their personal information will be respected, regardless of where in the world their data is being used. That is why global companies need international enforcement. Working with colleagues around the world helped us take this action and protect people from such intrusive activity.	「人々は、自分のデータが世界のどこで使われようと、自分の個人情報が尊重されることを期待しています。そのため、グローバル企業には国際的な執行が必要なのです。世界中の同僚と協力することで、私たちは今回の措置を取り、このような侵入行為から人々を守ることができました。」
“This international cooperation is essential to protect people’s privacy rights in 2022. That means working with regulators in other countries, as we did in this case with our Australian colleagues. And it means working with regulators in Europe, which is why I am meeting them in Brussels this week so we can collaborate to tackle global privacy harms.”	「2022年に人々のプライバシー権を守るためには、このような国際的な協力が不可欠です。このことは、今回のオーストラリアの同僚と行ったように、他の国の規制当局と協力することを意味します。そして、ヨーロッパの規制当局とも協力することを意味します。そのため、私は今週ブリュッセルで規制当局と会い、世界的なプライバシー侵害に協力して取り組むことができるのです。」
Details of the contraventions	違反の詳細
The ICO found that Clearview AI Inc breached UK data protection laws by:	ICOは、Clearview AI Incが以下の方法で英国のデータ保護法に違反したことを明らかにした。
・failing to use the information of people in the UK in a way that is fair and transparent, given that individuals are not made aware or would not reasonably expect their personal data to be used in this way;	・個人情報がこのように使用されることを知らない、または期待できないことを考慮し、公正かつ透明性のある方法で英国内の人々の情報を使用しなかったこと。
・failing to have a lawful reason for collecting people’s information;	・人々の情報を収集するための合法的な理由を持たないこと。
・failing to have a process in place to stop the data being retained indefinitely;	・データが無期限に保持されることを阻止するためのプロセスを導入していないこと。
・failing to meet the higher data protection standards required for biometric data (classed as ‘special category data’ under the GDPR and UK GDPR);	・バイオメトリクスデータ（GDPRおよび英国GDPRでは「特殊カテゴリーデータ」に分類される）に要求されるより高いデータ保護基準を満たしていないこと。
・asking for additional personal information, including photos, when asked by members of the public if they are on their database. This may have acted as a disincentive to individuals who wish to object to their data being collected and used.	・一般市民からデータベースに登録されているかどうかを尋ねられた際に、写真を含む追加の個人情報を要求したこと。これは、自分のデータが収集され使用されることに異議を唱えたい個人にとって、阻害要因として作用した可能性がある。
The joint investigation was conducted in accordance with the Australian Privacy Act and the UK Data Protection Act 2018. It was also conducted under the Global Privacy Assembly's Global Cross Border Enforcement Cooperation Arrangement and the MOU between the ICO and the OAIC.	今回の共同調査は、オーストラリアのプライバシー法および英国のデータ保護法2018に基づき実施された。また、グローバル・プライバシー・アセンブリのグローバル・クロスボーダー執行協力取り決め、およびICOとOAICの間のMOUに基づいて実施された。
Notes to Editors	編集後記
The Information Commissioner’s Office (ICO) upholds information rights in the public interest, promoting openness by public bodies and data privacy for individuals.	情報コミッショナー事務所（ICO）は、公益のために情報の権利を支持し、公的機関による公開と個人に対するデータプライバシーを促進します。
The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA 2018), the UK General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000, Environmental Information Regulations 2004 and Privacy and Electronic Communications Regulations 2003.	ICOは、データ保護法2018（DPA2018）、英国一般データ保護規則（英国GDPR）、情報公開法2000、環境情報規則2004、プライバシーおよび電子通信規則2003に定められた特定の責任を担っています。
Since 25 May 2018, the ICO has the power to impose a civil monetary penalty (CMP) on a data controller of up to £17million (20m Euro) or 4% of global turnover.	2018年5月25日以降、ICOはデータ管理者に対して、最高1700万ポンド（2000万ユーロ）または世界売上高の4％の民事金銭賠償責任（CMP）を課す権限を有しています。
This CMP was issued under the DPA2018 for infringements of the GDPR and UK GDPR.	このCMPは、GDPRおよび英国GDPRの違反に対してDPA2018の下で発行されました。
Any monetary penalty is paid into the Consolidated Fund, which is the Government’s general bank account at the Bank of England, and is not kept by the ICO.	金銭的なペナルティは、イングランド銀行の政府の一般銀行口座である統合基金に支払われ、ICOが保管することはありません。
To report a concern to the ICO telephone our helpline 0303 123 1113 or go to ico.org.uk/concerns.	ICOへの懸念の報告は、ヘルプライン0303 123 1113に電話するか、ico.org.uk/concernsにアクセスしてください。

 

● ICO - Action we've taken- Enforcement

・2022.05.23 Clearview AI Inc.

・[PDF] Clearview AI Inc. Monetary Penalty Notice

 

---

● まるちゃんの情報セキュリ気まぐれ日記

Clearview社を含む記事

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

Use Caseとして...

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

 

日本での関連議論

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

顔認識関連

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意：あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク　ユースケース：法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用：IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術：連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行：正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院　顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府：データ倫理とイノベーションセンター　プライバシーに関するユーザの積極的選択中間報告（スマートフォン）

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC（連邦取引委員会） のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言（Global Privacy Standards for a Global World）

・2005.08.11 外務省　IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係