スキップしてメイン コンテンツに移動

米国FBIが世界最大の米国民・関係国民を取り込んだ生体認証データ・ベース構築をめぐる論議

 

Last Updated :March 6,2021

 FBIが、虹彩や顔貌等個人の身体特性に関する世界最大規模(10億人以上)のデータ・ベースの構築に着手し始めているとのニュースを12月22日付けワシントンポスト紙が報じた(アメリカ合衆国の人口は2000年時点で約2億8千万人である)。 

 筆者の知る限り、今世界で大きな生体認証のデータ・ベース化の動きは英国のDNA情報システムやフランスで法律が成立した移民に関するDNAデータ・ベースであるが、EU等では人権やプラバシー問題として危機的な懸念が論じられている。今回の米国も同様であるが、これらの取組みの背景にある問題の本質が単に前科者やテロリストだけでなくごく軽微な犯罪者や雇用時に経営側がそれらの情報を入手しうるといった点
(筆者注1)についても可能としている点である。

 英国(アイルランド等)やフランスにおけるDNA情報ついてのブログを執筆中に筆者の国際ネットワークからFBIの記事が伝えられてきたので、緊急記事として紹介する。

 なお、今回のワシントンポストの記事(記者はスタッフ・ライター(専属記者))の内容は、筆者が独自にFBIの刑事司法情報サービス部(Criminal Justice Information Service Division:CJIS)のデータやアイルランド筆者注2)の実情さらに海外の生体認証システムに大きく関与しているわが国のITメーカーの実態等(筆者注3)にはほとんど言及しておらず、センセーショナルなテーマなわりには取材不足の感は否めず、世界的メディアの視点としてはお粗末な気がする。これらのレベルの記事を鵜呑みにして紹介するわが国の大手マスメディアにも責任があるが、今回はこれ以上論じない。

 いずれにしても、DNAや生体認証に係る情報セキュリティの問題は極めて広くかつ技術的・倫理的さらには政治的に深刻な問題といえる。わが国の関係部門の専門家による議論が深まることを期待する
 (筆者注4)


1.FBIの次期IAFIS(自動指紋識別システム)戦略の概要
 米国ではFBIを中心とする全米規模の指紋犯罪歴記録・検索システム(Integrated Automated Fingerprint Identification System:IAFIS)が稼動しており、そこでは顔貌、指紋および手のひら(palm)パターンのデジタル・イメージ・データはすでに地下の温度・湿度の管理下におかれたFBI管理システムで運用されている。2008年1月に登録対象データの量ならびに種類の飛躍的拡大につながるベンダー(筆者注5)との間で10年契約を締結する計画を進めている。また、これにより世界中の捜査機関等法執行機関は、虹彩パターン、顔貌、やけどの痕さらに歩き方や話し方といった犯罪者やテロリストを特定できる情報の利用が可能となる。さらにFBIは雇用者からの要請に基づき従業員が犯した軽微な犯罪について通知を行うため指紋の保持を行うといった予定も含まれている。

 ウェストヴァージニア州アパラチア山脈の丘陵地帯にあるFBIの刑事司法情報サービス部(Criminal Justice Information Service Division:CJIS) (筆者注6)副部長トーマス・E・ブッシュ三世(Thomas E. Bush Ⅲ)は「このデータ・ベースはより大きく、早くかつ優秀なことが重要である」と述べている。(筆者注7)

 識別のための生体認証技術の利用機会の増加は、アメリカ国民が不要な監視下に置かれることを避ける権利についての懸念材料を広げている。国民の身体そのものが事実としての「国民IDカード」になっているという批判である。これらの批判は、群衆の中から本当の犯人を拾い出しうるかについて技術的に十分な検証がないままに政府のイニシアティブで進められるという点である。

 政府全体に生体認証データの使用が増加している。過去2年の間、国防省は1,500万人以上のイラクやアフガンの抑留者、イラク市民や米国の軍事基地に出入りする人々の指紋、虹彩や顔貌データを収集してきた。また、国防総省(Pentagon)は別途イラク抑留者のDNA情報を収集している。

 国土安全保障省(DHS)は、エアポートにおいて犯罪歴チェックを通過した迅速に航空機での移動を行う旅行者の識別のために虹彩スキャンの使用を始めている。
 また、DHSは別のプログラムのために虹彩および顔貌認識技術の適用を試みており、すでに刑事事件で国境で阻止させた旅行者、海外の子供を養子縁組する米国民、海外のビザ請求者等からこれら生体情報を収集している。

 仮にこれらが成功すると、FBIは次世代識別システム(NGI:個人の特定や犯罪科学に関する広範囲の生体情報を1箇所に集める)計画をもっている。すなわち、地下の2つのサッカー場が入るほどの施設の中にアメリカ、カナダから送られてくるデジタル指紋情報をFBIが保持する約5,500万人の電子指紋情報と秒単位で照合するというものである。この結果、合致または不一致件数は1当り10万回に上ることになる。

 まもなく、CJIS本部のサーバーは手のひら指紋の照合や最終的には虹彩イメージや耳たぶの形態といった顔貌の照合作業を始める予定である。これらが計画通り進むと道路での車の停止やエアポートでの国境係官は、ある人間が捜査中の容疑者やテロリストであるかどうか疑わしい場合、数秒以内に10本の指紋照合を起動させることが可能となる。分析官は犯罪現場から手のひら指紋を採取しより広大な生体情報のデータ・ベースに統合し、また諜報機関は世界中の生態情報の交換を始めることになる。

 一方、現在米国において生体情報の照会ニーズの55%は連邦の重要ポジションに着く民間人や子供や老人の犯罪歴のチェックである。CJISのブッシュ副部長は、これらの人々の指紋はチェック作業後破壊または返却しているが、FBIは「rap-back」サービスを計画中であると述べている。これは雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである。

FBIの犯罪歴を含む生体情報データ・ベースは、FBIの「テロリスト監視センター(Terrorist Screening Center)」や「全米犯罪情報センター(重罪犯人、亡命者やテロの容疑者のマスター・データベース)National Crime Information Center:NCIC」の情報と相互に通知しあう方式をとっている。

 FBIは英国、カナダ、オーストリアおよびニュージーランドの間で共有されている標準化に沿ってシステムを構築し始めている。

 2007年、世界初でかつ最大規模の群集の中から、いかに十分な顔貌認識を行うかにつき科学的な研究を行うと宣言したドイツ連邦政府であったが、十分な警察での使用は十分効果をあげていない。この研究は2006年10月から2007年1月の間にドイツのラインランド・プファルツ州の州都マインツの駅で毎日23,000人規模の旅行者を対象に行われた。ボランティアからなる登録データ・ベースに対し昼間の実験では60%の照合結果が得られたが、夜になるとその割合は10%~20%に大きく低下した。これらの割合を成功に導くためドイツ警察当局は無誤率を0.1又は1日当り23人の照合不能まで試験条件を緩和したと報告書は述べている。
 照合精度の改善は技術の見直しにより可能であり、FBIの生体認証サービス課長のキンバリー・デル・グレコ(Kimberly Del Greco)は次世代データ・ベースでは指紋、虹彩および手のひら照合能力を2013年までに結合させる計画であると述べている。

 またプライバシーの保護に関して、追跡記録は対象者たる各人が指紋データ・ベース記録にアクセスできるよう保管され、人々は自分の記録のコピーを請求でき、FBIによる監査は3年ごとにデータ・ベースにアクセスできるすべての機関に対し行うと述べている。

2.人権保護団体や技術専門家の次世代システムへの批判
 米国の人権擁護団体(Electronic Privacy Foundation Center:EPIC)代表であるマルク・ローテンベルグ(Marc Rotenberg)は、関係機関のデータ・ベースの共有能力は問題であると指摘し、連邦機関に生体認証子のアクセスを認めることはますます不適切さを拡げることになると述べている。
 
 2004年にEPICはFBIのNCICを記録の適切性を求める米国プライバシー法の適用除外とすること自体に反対した。またEPICは、2001年司法統計局がFBIの生体情報システムの情報に関し十二分な信頼性に欠け不完全性、不適切であると述べた点を引用している。この点に関し、FBIの幹部は予め何が適切で関係があり、時宜に合致し完全かを決定すること自体不可能であると反論している。

 また、プライバシー擁護派は一般人がデータの修正能力を持たないことについて懸念を投げかけている。シリコンバレー先端技術予測家のポール・サフォ(Paul Saffo)はFBIが大規模な失敗によってコンピュータ技術に支えられた記録自体が台無しになってしまうことを懸念し、仮に誰かが虹彩イメージをぬすまれたりなりすまされた時、あなたは新しい眼球を得られますかと述べている。

〔参照URL〕
http://www.washingtonpost.com/wp-dyn/content/article/2007/12/21/AR2007122102544.html

 

*******************************************************
(筆者注1)このような扱いが実際ありうるであろうか。米国ではある。連邦法28 U.S.C. §534(Public Law 92-544)の注を見て欲しい。「連邦の免許又は預金保険制度加盟金融機関は自身のセキュリティの強化・保持の目的で犯罪歴記録情報(Criminal History Record Information:CHRI)目的でFBIの保有する指紋情報の交換を認める」と規定されており、また連邦規則(Code 28 Federal Regulation§50.12(a)も同様の規定を定めている。実際にFBI は銀行本体だけでなく、銀行子会社、持株会社、それら契約先等から調査要求を受けており、実際にアメリカ銀行協会(ABA)の指紋照合専門サイトを設けている。
 ABAは利用金融機関の厳格な利用のための詳細な利用マニュアル(2009年3月23日改訂)を作成しており、その場合のFBI手数料は1カードあたり30ドル、またABA(システム受託会社はAccurate Background )から電子的に指紋情報を入手する場合は25ドル前払いする。
 なお、連邦司法省は2006年6月の司法長官犯罪歴チェックに関する報告書(153頁以下)P.38~P.39でABAの利用実態につき説明している。また、2004年3月30日FBIは連邦議会司法委員会においてABA等の指紋条情報の利用について証言している。

 また、FDICは2018年4日17日、連邦預金保険の申請、取締役会メンバーの交代、上級管理職およびその他の手続きに必要な身元調査で電子指紋の使用を開始すると発表した。 新しい指紋認証プロセスは2018年の第2四半期に開始される。この新しい電子指紋認証プロセスでは、個人は全国の1,000を超える収集サイトで指紋を取得できるようになる。 被保険銀行の10%以上の株式を保有する取締役、役員、株主候補に必要な身元調査の一環として、FDICは、FBIとの身元を確認するために指紋を要求する場合があるが、FDICの規則では、このような調査はすでに個人に対して免除される可能性があるとされており、 または以前に保険付き預金取扱機関に関連付けられていた可能性がある。

(筆者注2)2006年11月にアイルランドの警察組織および移民帰化局(INIS)は1,800万ユーロ(約29億円)で民間部門からデジタル指紋技術の購入契約を結んでいる。同国内での議論については英国の解説記事を参照されたい。

(筆者注3)筆者の個人的意見であるが、金融機関が積極的の導入を図っているATM利用時の本人識別のための生体認証技術は一方でメーカーにとっては海外の政府や法執行機関向け説明の向けには好材料であろう。すなわち預金者はモルモットなのであり、そこで出てきたデータ結果は直ちに実証実験結果として海外で利用されることは間違いなかろう。

(筆者注4)今回のブログでは解説は省略したが、FBIの指紋認証データ・ベースのもととなっている技術面に関し、Wavelet Scalar Quantization、NISTのAmerican National Standard for Information System-Data Format for the Interchange of Fingarprint, Facial &scar Mark &Tattoo Information(全81頁)等が参考になる。

(筆者注5)犯罪捜査といったこの種の問題について、わが国のメーカーはあまり一般向けには積極的にPRしていないが、海外では事情は異なる。例えばNECの自動指紋特定システムAutomated Fingerprint Identification System:AFIS):犯罪捜査を目的に用いられる指紋照合システム。エーフィスと呼ばれる。1対1照合ではなく、データ・ベース全体と照合して、類似しているもののリストを返す。現在では大規模な民間の用途にも使われている((社)日本自動識別システム協会のサイトから引用)。より正確に言うと次のようになる。「AFISは指紋データの取得、格納および分析のためのデジタル画像技術を用いるバイオメトリック認証方法をいう。もともとはFBIが刑事事件の捜査のため使用してきたもので、最近では一般的な本人識別や詐欺の防止等にも用いられてきている。また、「plain impression live scanning」といったより解析度が高度なスキャン技術も使用されている。
 
(筆者注6)CJISのサイトでは、世界最先端の指紋認証技術や関係機関等の利用法について詳しく説明されている。

(筆者注7) FBIは2008.2.12「FBI Annouces Contract Award for Next Generation Identfication System」を発表している。その一部を抜粋、仮訳する。

FBIは本日、ロッキード・マーティン・トランスポーテーション・アンド・セキュリティソリューションズ(Lockheed Martin Transportation and Security Solutions)に、次世代識別(NGI)システムの設計、開発、文書化、統合、テスト、および展開の契約を締結したことを発表した。 本契約は、基準年と最大9オプション年の可能性で構成されテいる。 NGIシステムは、ウェストバージニア州クラークスバーグで主に運用および保守されている指紋ベースの識別システムであるFBI刑事司法情報サービス(CJIS)部門の現在の統合自動指紋識別システム(IAFIS)を拡張するものである。 NGIシステムは、刑事司法、国家安全保障、および市民コミュニティのために、現在のサービスと新機能を改善する。以下略す。


〔参照URL〕
http://www.washingtonpost.com/wp-dyn/content/article/2007/12/21/AR2007122102544.html

*************************************************
Copyright © 2006-2021 芦田勝(Masaru Ashida).All Rights Reserved.No reduction or republication without permission.

 

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...