英情報保護監督機関、顔認識DB企業Clearview AIに755万ポンドの罰金と英国居住者データの削除を命令：ネット上の公開情報の無断収集で英データ保護法に違反

英国情報コミッショナー局は、米国Clearview AIに755万2800ポンド（約12億円）の罰金を科した。同社がインターネットから勝手に収集した英国内外の人々の画像を使用して、顔認証に使用可能なグローバルオンラインデータベースを作成したためだ。

[＠IT]

　英国の個人情報保護監督機関である情報コミッショナー局（ICO）は2022年5月23日（英国時間）、米国の顔認識データベース企業Clearview AIが、Webやソーシャルメディアから収集した英国内外の人々の画像を使用して、顔認証に使用可能なグローバルオンラインデータベースを作成したとして、同社に755万2800ポンド（約12億円）の罰金を科したと発表した。

　ICOは同社に対し、インターネット上で公開されている英国居住者の個人データの取得と使用を停止し、英国居住者データを同社のシステムから削除するよう命じる執行通知も発行した。

　ICOの強制措置は、オーストラリアの監督機関であるオーストラリア情報コミッショナー事務局（OAIC）との共同調査後に行われた。この共同調査は、Clearview AIによる人々の画像の使用、インターネットからのデータスクレイピング、顔認証のための生体データの使用に焦点を当てたものだった。

　Clearview AIは、世界中のインターネットやソーシャルメディアプラットフォームで公開されている情報から200億枚以上の人々の顔画像とデータを収集し、オンラインデータベースを作成した。人々は、自分の画像が収集され、このように使われることを知らされていなかった。

　Clearview AIは、警察を含む顧客が人物画像を同社のアプリにアップロードすると、データベース内の全ての画像と照合し、顧客の提供画像と似た特徴を持つ画像のリストと、それらの出典であるWebサイトへのリンクを顧客に提供する。

　英国のインターネットやソーシャルメディアのユーザーは多いため、Clearview AIのデータベースには、本人に無断で収集された英国居住者のデータが大量に含まれている可能性がある。

　Clearview AIはもはや英国の組織にサービスを提供していないが、他の国でも顧客を抱えているため、英国居住者の個人データをまだ使用していることになる。

違反の詳細

　ICOは、Clearview AIが以下の点で英国のデータ保護法に違反したと説明している。

• 公正で透明性のある方法で英国の人々の情報を使用していない。個々人が、自分の個人データがこのように使われることを認識していない、または合理的に期待していないことから、そう判断された
• 人々の情報を収集する合法的な理由がない
• データの無期限の保持を阻止するプロセスを導入していない
• バイオメトリクスデータ（EUのGDPR《一般データ保護規則》および英国GDPRでは、「特殊カテゴリーデータ」に分類される）に要求される、高いデータ保護基準を満たしていない
• 一般市民から、データベースに登録されているかどうかを尋ねられた際に、写真を含む追加の個人情報を要求した。これは、自分のデータが収集、使用されることに異議を唱えようとする個人を萎縮させた可能性がある

　なお、ICOとOAICの共同調査は、オーストラリアのプライバシー法と英国の「2018年データ保護法」に従って実施された。また、Global Privacy Assembly（GPA）の「Global Cross Border Enforcement Cooperation Arrangement」、およびICOとOAICのMOU（了解覚書）に基づいて実施された。