« 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) | Main | 米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03) »

2024.09.05

オランダ 個人データ庁 顔認識のための違法なデータ収集でClearviewに3,050万ユーロ(48.5億円)

こんにちは、丸山満彦です。

オランダの個人データ庁が米国のClearview社に対して顔認識のための違法なデータ収集をしたとして、罰金を課していますね...オランダといえば先日、UBERに対して2億9000万ユーロの罰金を課していますね...

そして、Clearview社 [wikipedia]はカナダ、フランス、英国、オーストラリアのデータ保護局からも罰金を課されていましたよね...今は、サービスは法執行機関等の政府機関にしか提供していないようですが、なかなか胆力のある会社です...

 

Autoriteit Persoonsgegevens: AP

・2024.09.03 Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition

Dutch DPA imposes a fine on Clearview because of illegal data collection for facial recognition オランダのDPA、顔認識のための違法データ収集でクリアビューに罰金
The Dutch Data Protection Authority (Dutch DPA) imposes a fine of 30.5 million euro and orders subject to a penalty for non-compliance up to more than 5 million euro on Clearview AI. Clearview is an American company that offers facial recognition services. Among other things, Clearview has built an illegal database with billions of photos of faces, including of Dutch people. The Dutch DPA warns that using the services of Clearview is also prohibited.  オランダデータ保護当局(Dutch DPA)は、クリアビューAI社に3050万ユーロの罰金を科し、さらに500万ユーロ以上の罰金を科す可能性もあると警告した。クリアビュー社は顔認識サービスを提供する米国企業である。同社は、オランダ国民を含む何十億もの顔写真を含む違法なデータベースを構築していた。オランダデータ保護当局は、クリアビュー社のサービスを利用することも禁止されていると警告している。
Clearview is a commercial business that offers facial recognition services to intelligence and investigative services. Customers of Clearview can provide camera images to find out the identity of people shown in the images. For this purpose, Clearview has a database with more than 30 billion photos of people. Clearview scrapes these photos automatically from the Internet. And then converts them into a unique biometric code per face. Without these people knowing this and without them having given consent for this. クリアビューは、情報機関や捜査機関に顔認識サービスを提供する民間企業である。クリアビューの顧客は、カメラの画像を提供することで、その画像に写っている人物の身元を特定することができる。この目的のために、クリアビューは300億人以上の顔写真を含むデータベースを所有している。クリアビューは、これらの写真をインターネットから自動的に収集し、顔ごとに固有の生体認証コードに変換する。これらの人々がこのことを知らず、また、このことについて同意していない場合でも、である。
Never anonymous anymore もう匿名ではない
‘Facial recognition is a highly intrusive technology, that you cannot simply unleash on anyone in the world’, Dutch DPA chairman Aleid Wolfsen says. ‘If there is a photo of you on the Internet – and doesn't that apply to all of us? – then you can end up in the database of Clearview and be tracked. This is not a doom scenario from a scary film. Nor is it something that could only be done in China.’ 「顔認識は非常に侵害性の高い技術であり、世界中の誰に対しても簡単に使用できるものではありません」と、オランダのデータ保護当局の委員長であるAleid Wolfsen氏は言う。「もしインターネット上にあなたの写真があれば、つまり、これは私たち全員に当てはまることではないでしょうか? そうなると、あなたはClearviewのデータベースに載ってしまい、追跡されることになります。これは、怖い映画の悲劇的なシナリオではありません。また、中国でしか起こりえないことでもありません。
Clearview says that it provides services to intelligence and investigative services outside the European Union (EU) only. ‘That is bad enough as it is’, Wolfsen says. ‘This really shouldn't go any further. We have to draw a very clear line at incorrect use of this sort of technology.’ クリアビュー社は、欧州連合(EU)域外の諜報機関や捜査機関にのみサービスを提供していると主張している。「それだけでも十分問題だ」とウルフセン氏は言う。「これ以上広がってはならない。この種のテクノロジーの誤用には、明確な一線を引かなければならない。
Wolfsen acknowledges the importance of safety and the detection of criminals by official authorities. He also acknowledges that techniques such as facial recognition can make a contribution to this. ‘But certainly not by a commercial business. And by competent authorities in highly exceptional cases only. The police, for example, have to manage the software and database themselves in that case, subject to strict conditions and under the watchful eye of the Dutch DPA and other supervisory authorities.’ ウルフセン氏は、安全の確保と公的機関による犯罪者の検知の重要性は認めている。また、顔認識などの技術がその一助となることも認めている。「しかし、それは営利事業によってではなく、きわめて例外的な場合に限って、しかるべき当局によって行われるべきである。例えば警察がその場合、オランダのDPAやその他の監督当局の厳しい監視の下、厳格な条件に従って、ソフトウェアとデータベースを自ら管理しなければならない。」
Services of Clearview illegal クリアビューのサービスは違法
Wolfsen warns: do not use Clearview. ‘Clearview breaks the law, and this makes using the services of Clearview illegal. Dutch organisations that use Clearview may therefore expect hefty fines from the Dutch DPA.’ ウルフセン氏は警告する。「クリアビューは法律に違反しており、そのサービスを利用することは違法行為である。したがって、クリアビューを利用しているオランダの組織は、オランダのDPAから多額の罰金を科される可能性がある。
Violations by Clearview クリアビューによる違反
Clearview has seriously violated the privacy law General Data Protection Regulation (GDPR) on several points: the company should never have built the database and is insufficiently transparent. クリアビューはプライバシー法である一般データ保護規則(GDPR)をいくつかの点で重大に違反している。同社はデータベースを構築すべきではなかったし、透明性も不十分である。
Illegal database 違法なデータベース
Clearview should never have built the database with photos, the unique biometric codes and other information linked to them. This especially applies for the codes. Like fingerprints, these are biometric data. Collecting and using them is prohibited. There are some statutory exceptions to this prohibition, but Clearview cannot rely on them. クリアビューは、写真や、それらにリンクされたユニークな生体認証コード、その他の情報を含むデータベースを構築すべきではなかった。これは特にコードに当てはまる。指紋のように、これらは生体データである。それらの収集と使用は禁止されている。この禁止にはいくつかの法定例外があるが、クリアビューはそれらに頼ることはできない。
Insufficient transparency 不十分な透明性
Clearview informs the people who are in the database insufficiently about the fact that the company uses their photo and biometric data. People who are in the database also have the right to access their data. This means that Clearview has to show people which data the company has about them, if they ask for this. But Clearview does not cooperate in requests for access. クリアビューは、データベースに登録されている人々に対して、同社が彼らの写真および生体データを使用している事実を十分に伝えていない。データベースに登録されている人々は、自分のデータにアクセスする権利も有している。つまり、クリアビューは、データベースに登録されている人々から問い合わせがあった場合、その人々に対して、同社が保有しているデータの内容を提示しなければならない。しかし、クリアビューは、データへのアクセス要求には協力していない。
Incremental penalties 段階的な罰則
Clearview did not stop the violations after the investigation by the Dutch DPA. That is why the Dutch DPA has ordered Clearview to stop those violations. If Clearview fails to do this, the company will have to pay penalties for non-compliance in a total maximum amount of 5.1 million euro on top of the fine. クリアビューは、オランダのデータ保護当局による調査後も違反行為を止めなかった。そのため、オランダのデータ保護当局はクリアビューに違反行為の停止を命じた。クリアビューがこれに従わない場合、同社は罰金に加えて最大510万ユーロの制裁金を支払わなければならない。
American company 米国企業
Clearview is an American company without an establishment in Europe. Other data protection authorities have already fined Clearview at various earlier occasions, but the company does not seem to adapt its conduct. That is why the Dutch DPA is looking for ways to make sure that Clearview stops the violations. Among other things, by investigating if the directors of the company can be held personally responsible for the violations. クリアビューは欧州に拠点を持たない米国企業である。他のデータ保護当局はすでにこれまでに何度もクリアビューに罰金を科しているが、同社はその行動を改める様子を見せていない。そのため、オランダのデータ保護当局は、クリアビューが違反行為を確実に停止させるための方法を模索している。とりわけ、同社の取締役が違反行為に対して個人的に責任を問われる可能性があるかどうかを調査している。
Wolfsen: ‘Such company cannot continue to violate the rights of Europeans and get away with it. Certainly not in this serious manner and on this massive scale. We are now going to investigate if we can hold the management of the company personally liable and fine them for directing those violations. That liability already exists if directors know that the GDPR is being violated, have the authority to stop that, but omit to do so, and in this way consciously accept those violations.’ ウルフセン:「そのような企業が欧州人の権利を侵害し続け、罰を受けずに済むはずがない。ましてや、これほど深刻な方法で、これほど大規模な侵害を。現在、当社は、同社の経営陣に個人責任を問うことができるかどうか、また、そのような侵害を指示したとして罰金を科すことができるかどうかを調査しているところだ。取締役がGDPRの侵害を知りながら、それを阻止する権限を持ちながら、それを怠り、意識的に侵害を受け入れている場合、すでにその責任は存在している。
Clearview has not objected to this decision and is therefore unable to appeal against the fine. クリアビューは、この決定に異議を申し立てていないため、罰金に対する不服申し立てを行うことはできない。

 

・[PDF] Decision to impose fines and orders subject to a penalty for non-compliance

20240905-150328

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

 

|

« 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) | Main | 米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 ホワイトハウス 国家サイバー長官室 インターネットルーティング・セキュリティ強化に向けたロードマップを発表 (2024.09.03) | Main | 米国 FBI 巧妙なソーシャルエンジニアリング攻撃で暗号産業を標的にする北朝鮮 (2024.09.03) »