スキップしてメイン コンテンツに移動

生体認証技術の集団訴訟:フェイスブックは顔認識技術の導入に関しプライバシー訴訟の棄却申立

 

 2015年6月に起こされたフェイスブックの顔認識技術の使用に関するクラス・アクションの最近の状況につき、その分野に詳しいジェフリー・ニューバーガー弁護士(Jeffrey D.Neuburger )(注1)が10月15日付けのブログで解説している。ブログという性格上、やむをえないが、やや一般の読者にはイリノイ州法の内容や法解釈上の論点、プライバシー保護面からの問題点等説明不足の感は否めない。 

Jeffrey D. Neuburger

Jeffrey D.Neuburger

 筆者は、同ブログを仮訳するとともに、筆者の立場でそれらの問題点を整理してみた。筆者は医療問題の専門家ではなく、あくまで先端IT技術がかかえる新たな人権問題の事例としてこの問題を取り上げた。

 特に同弁護士のブログでも紹介されているとおり、イリノイ州法に関する別のクラスアクション(オンライン写真共有サイトShutterfly事件)が起こされており、SNSが急速に展開しているわが国でも関係者が本格的に取り組むべき問題の予稿としてまとめてみた。 

 筆者は、生体認証にかかる各州のデータ保護立法法案の動向を2017年8月19日のブログで整理している。

 なお、いつものことであるが、この法解説ブログは原典へのリンクは十分でないし、専門用語の解説は皆無である。筆者は可能な範囲でそれらを行った。 

1.ジェフリー・D・ニューバーガー弁護士のブログ仮訳 

○フェイスブックの顔認識技術については、筆者が2015年6月23日の本ブログで投稿したとおり、「暫定集団訴訟( putative class action)」がユーザーのオンライン写真にもとづき「faceprints」を収集し、タグをつける機能(タグ候補:Tag Suggestion) (注2)がプライバシーの侵害にあたるとし、フェイスブックに対しクラス・アクションを起こした。(例えば、Licata対フェイスブック社(第2015CH05427(2015年4月1日にイリノイ郡巡回裁判所に係訴され、その後、同事件はサンフランシスコ連邦地裁に移送された)(同事件は、サンフランシスコ地方裁判所、Licata対フェイスブック社、No. 15-03748 (カリフォルニア州北部地区連邦地裁(N.D. Cal.)として、2015年8月28日に提出された集団訴訟による告発)と統合すべく移送された)。

○原告は、「ユーザーがアップロードされた写真をそのタグ候補機能を求めて調べる顔認識技術のフェイスブックの使用と生成が、イリノイ州の「生物測定情報のプライバシー法(Biometric Information Privacy Act(BIPA):740 ILCS 14/1」(以下「BIPA」という)に違反するものであり、世界最大の消費者の生物測定学データの非公開データベースにあたる」と主張している。

 ○原告は、フェイスブックがユーザーをアップロードされた写真から顔形状データ(face geometry)(または顔画像(faceprints) (注3)を取得し、BIPAの意味の範囲内でそのような「生体認証識別子(biometric identifiers)」を保持すると主張した。とりわけ、告訴理由は、フェイスブックが適切な同意なしで生物測定データを集め、格納していると主張している。その告訴内容は、各違反行為に対し、前記イリノイ州法違反(注:BIPAは、過失による違反につき法定損害額1,000ドル(約123,000円)と故意による違反行為として5,000ドル(約61,5000円)、ならびに弁護士費用の支払いを規定する)ならびに、差止め命令(injunction)と法定損害賠償(statutory damages)を求めた。 

○先週、フェイスブックは、とりわけ、それがサービス条件にかかる法律の規定の選択に基づいたと主張して、イリノイ州法ではなくカリフォルニア州法が適用されるべきという棄却申立を行った。そして、州法はあてはまらなければならない(それによって原告たるユーザーがBIPAを適用するとする主張を妨げる)。また、いずれにしても、BIPAの第10条(注4)(注5)(注6)は、明確に「『写真』や『写真に由来する情報』をその適用範囲から除外すると明記していると主張した。 

 今回のフェイスブックの棄却申立に対し、原告の望ましい対応を望む人々は、現在イリノイ連邦裁判所で訴訟されている被告たるオンライン写真共有サイトShutterfly事件において類似したプライバシー訴訟に目を向けなければならない。(Norberg対Shutterfly社(No. 15-05351(2015年6月17日にイリノイ州北部地区の係訴された事件))を参照されたい)。 

○同裁判で、原告ノルバーグ(Norberg)がBIPAのもとで申し立てたところによると、明らかな書面による同意のないタグ候補機能に関し、Shutterfly社がユーザーのアップロード写真からfaceprintsを集めた点、ならびに「その特定の顔がShutterfly社のユーザーまたは知らない非使用者が所有しているかどうかを考慮しないまま「Shutterfly社の写真保管サービス」を行ったと主張した。Shutterfly社(フェイスブックと同様のサービスを提供)は、棄却申立において、イリノイ州法が写真に由来する情報を除外するので、アップロードされた写真に由来する顔形状処理は法が定める「生物測定識別子」でないと主張した。 

○一方、原告は、その反論において顔形状処理以前の写真の介在がそのようなデータをイリノイ州法にいう生物測定識別子の定義から除外するならば、同法はプライバシー保護法として意味がなくなると主張した。

○被告のBIPAの解釈は、すなわち写真の顔のスキャンには適用できないとする点は、生物測定技術のまさしくその性格に反するものであって、このような解釈は法律の中心的な目的を徐々にむしばむものである。顔の写真は、正確に個人のアイデンティティを確立する独特の幾何学的なパターンの計画を立てるために調べられるものである。その当然の結論にとして、彼ら全員が最初のキャプチャー(注7) 、写真または記録の捕獲に基づくので、被告の議論ではすべての生物測定識別子をその定義から除外するといえる。 

○我々は、緊密にこの両方の論争を見ている。もし、これらの訴訟が手続上または契約上の理由から退けられないならば、これは裁判所における顔認識技術に関してイリノイ州の「生物測定情報のプライバシー法(BIPA)」の法的輪郭を解明する最初の機会となる。 

2.イリノイ州法第10条の解釈

 同弁護士が指摘しているとおり、同条にの立法主旨は連邦法や他の州法おいて取得につき明確な目的や保護が定められている場合は適用除外といえる。フェイスブック側の弁護士の主張の原本は十分に読んでいないが、もし本ブログの指摘のとおりであり、かりに筆者が裁判官であったならば被告の棄却申立ては却下するであろう。

 なお、テキサス州は同様の立法措置を行っており、またアラスカ州( House Bill No. 144)もほぼ同様の法案を審議している。

3.フェイスブック等のSNSにおける顔認証技術等に潜む危険性

 ここでは詳しく論じないが、前書きで述べたとおり、わが国のユーザーは自分が撮った写真やイメージが、その意図せざる範囲で第三者(法執行機関だけでなく組織犯罪、なりすまし犯罪者など)の手にわたるとしたらどうであろうか。 

 筆者はこのような観点から、SNSには加入していないし、本ブログもペンネームで書いている。これだけの注意を払ってもハッカーや詐欺師はさらに上を行くのである。 

 なお、(注2)でとりあげた「New Scientist」は、容歩捜査(gait detection) (注8) 、 虹彩スキャン(iris scanning), 心拍認証(heartbeat recognition )等にも言及している。また、筆者はPC操作者特定の技術として顔認証に取り組んでいるマイクロソフト社の動向等も気になる。 

************************************************************************:*******

 (注1) 筆者ジェフリー・ニューバーガー弁護士のプロファイル:

Jeffrey Neuburger is a partner, co-head of the Technology, Media & Communications Group, a member of the Privacy & Data Security Group and editor of the firm’s New Media and Technology Law blog. 

(注2)フェイスブックの顔認証技術の精度を懸念するレポートは、わが国でもすでに出ている。その一例として「Facebookでは、公開した写真に写っている人物に「タグ付け」をすることで、画像とユーザープロフィールを紐付けることができる。タグ付けされた膨大な画像データは解析され、顔認証の精度アップに利用。その結果、新たに写真をアップした場合、写真の顔部分に、その人物と思われるユーザーの名前が表示されるようになっているのだ。2015.6.19のイギリスの週刊科学誌New Scientist』のWeb版が報じたところによると、Facebookが研究している顔認証技術は、顔の特徴だけでなく、髪型や服装、体型、よくするポーズなども分析の対象となっているとのこと。

もはや“顔”認証ですらないほどに進化しつつあるFacebookについて、ツイッターユーザーは、

「ある意味、新しい監視カメラ」

「街頭の防犯カメラとセットにしたら、国民行動総監視システムのできあがり」

「リア充な投稿してた人は、あらゆる部所で認識がされる時代になりそう」

などと、様々な行動が把握されてしまう可能性を指摘」等が上がられる。・・・・」 

○「New Scientist」へのリンクは筆者が行った。なお、そこで指摘されている問題項目のみあげておく:①End of anonymity;②Two-faced(プライバシーについて2つ顔をもつGoogle やMicrosoft):③米国のイリノイ等一部の州では生体情報の収集や処理を州立法で禁止している;④顔認証は多くの遠隔生体情報感知システム(remote biometric sensing technologies)の1つである)。いずれにしても同誌のサイトは興味深いレポートが多い。 

(注3) 平成12年(2000年)の高知工科大学の箱田和宏氏の学士学位論文「顔画像を用いた個人認証システムの性能検討に関する研究」の内容は、比較的平易に書かれている。 

(注4) BIPA第10条のうち、生物測定識別子(biometric identifiers)」に該当しないものに関する定義部文を以下、引用し、注書きを加えたうえで仮訳する。

. Biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal Health Insurance Portability and Accountability Act of 1996. Biometric identifiers do not include an X-ray, roentgen process, computed tomography, MRI, PET scan, mammography, or other image or film of the human anatomy used to diagnose, prognose, or treat an illness or other medical condition or to further validate scientific testing or screening.

 「生物測定識別子は、健康保健医療現場で患者から採取、収集、使用または保持する情報、または「1996年連邦健康保健情報の携帯性と責任に関する法律(federal Health Insurance Portability and Accountability Act of 1996)(HIPPA)」(注5)のもとで健康保健処置、支払いまたは手術に備えて保持される情報を含ない。 生物測定識別子は、X線、レントゲン処理、MRI(Magnetic Resonanse Imaging;磁気共鳴画像)検査、ポジトロン断層法(PET)検査、マンモグラフィーまたはその他の人体解剖イメージまたは診断(diagnose)、予後(病気の経過に関する見通し:prognose)あるいは、病気の治療や病状の診断目的さらには科学的なテストまたはスクリーニング (注6)目的で扱うイメージやフィルムは含まない。 

(注5)「HIPPA」は被保険者のプライバシー保護に関して極めて重要な法律である。連邦保健福祉省の公民権局(Office for Civil Rights)がその内容について詳しく解説しているウェブサイト「Understanding Health Information Privacy」を参照。 

(注6) スクリーニング(Screening)の定義「迅速に実施可能な検査,手技を用いて,無自覚の疾病または障害を暫定的に識別すること」(The CCI Conference on Prevention Aspects of Chronic Disease, 1951)

特徴:集団を対象に・すばやく実施可能な方法で・無自覚の障害を暫定的に識別

主な目的:疾病の早期発見,早期治療=二次予防(公衆衛生学 2011 年5 月9 日 中澤 港)から引用。 

(注7)ディスプレイに表示されている画面を取り込んで画像データとして保存する「画面キャプチャ」をさすことになろう。 

(注8) 「容歩解析」、「容歩認証」に関する平易な解説ブログ 、より専門的に読みたい読者は、大阪大学 八木研究室のHP 等を参照されたい。

*****************************************************************.

Copyright © 2006-2015 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント

このブログの人気の投稿

米大統領令(EO: Executive Order 14110)の具体的内容と意義およびそれに基づく責任の履行を支援するためNIST「情報提供依頼文書 」の具体的内容

   筆者は、12月6日の本ブログで2023年10月30日の大統領令(EO: Executive Order 14110)(以下、「EO」という)を受けたNISTの具体的行動につき 「 NISTからこのほど公開された「 NIST SP 800-226 草案」および「差分プライバシー保証を評価するためのガイドライン草案」に対するパブリックコメントの背景と意義」 を取り上げた。  しかし、執筆後もいまいち大統領令(EO)のファクトシートも含め真の目的や商務省の規則案のとりまとめ期限など疑問点が残されていた。その内容を補完する意味で今回のブログで補筆するとともに、後段でNISTが2024年2月2日を期限として発布した「情報提供依頼文書 (Request for Information (RFI) )」の概要について解説を試みる。  また、本ブログでは、わが国では詳しく論じられていない米国「国防生産法(Defense Production Act of 1950 :DPA)」の意義と最新動向にも言及した。  なお、今回のブログの内容は12月6日の筆者ブログと重複する部分が一部あるが、 Kilpatrick Townsend & Stockton LLPの和文解説 と併せ読まれたい。 Ⅰ.大統領令 (EO: 14110) の具体的内容の解析    JD Supra, LLCの 「The highly-anticipated US Executive Order on artificial intelligence: Setting the agenda for responsible AI innovation」 を要約しつつ仮訳する。  このEOは、多くの点で AI に関するこれまでのバイデン政権の行動を超えている。 この広範囲かつ堅牢な大統領令は、AI を規制するために既存の当局を利用することを想定して、米国の行政部門および政府機関 (機関) に、①標準、②フレームワーク、③ガイドライン、④最善実践内容を開発するよう指示した (また、独立機関にも同様に奨励する)。 また政府機関は、AI の責任ある使用に関係するほぼすべての連邦法、規則、政策に対して具体的な措置を講じる必要があるとする。  EOは、AI の使用から得られる利点を認識する一方で、国家...

米国CFTCがオハイオ州の男性とその所有企業をデジタル資産取引スキームにおける1200万ドル(約16億214万円)以上の不正勧誘と不正流用を理由に民事起訴

     米国の 商品先物取引委員会(CFTC) は8月12日、オハイオ州ニューオルバニー市住の ラスナキショア・ギリ(Rathnakishore Giri) と彼が所有するオハイオ州に本拠を置く NBD Eidetic Capital, LLC および SR Private Equity, LLC に対して、オハイオ州南部地区連邦地方裁判所に 民事法執行訴訟 を起こしたと 発表 した。   同訴状 は、ギリと彼の会社が150人以上の顧客から1200万ドル以上と少なくとも10ビットコインを不正に勧誘し、またギリと彼の会社がデジタル資産取引を目的とした顧客資金を不正に流用したと主張している。  さらに訴状は、ギリの両親であるギリ・スブラマニ(Giri Subramani)とロカ・パヴァニ・ギリ(Loka Pavani Giri)を、正当な利害関係のない資金を所有している 救済被告 (注1) として起訴している。  今回のブログは、(1)本起訴の詳細、(2)CFTC/SECの投資家アラート:ビットコイン先物における資金取引の注意喚起の概要について概観する。 1. 起訴の内容  CFTCは、その継続的な訴訟において、詐欺被害にあった顧客への補償(restitution)、不正に得た利益の返還(disgorgement of ill-gotten gains)、民事上の金銭的罰則(civil monetary penalties)、恒久的な取引および登録禁止(permanent trading and registration bans)、および 「商品取引法(Commodity Exchange Act :CEA)」 および 「CFTC規則(CFTC regulations)」 のさらなる違反に対する永久的差止命令(permanent injunction)を求めている。 2.本事件の背景  訴状は、2019年3月頃から現在まで、被告が運営しているとされるさまざまなデジタル資産投資ファンドに投資するために、少なくとも150人の顧客から1200万ドル以上と10ビットコイン以上を勧誘し、受け入れた詐欺的なスキームに関与したと訴えている。同訴状によると、被告は顧客への勧誘において、利益の保証やギリのデジタル資産トレーダーとしての成功話など、多数の虚偽で誤解を招くような声...

英国の Identity Cards Bill(国民ID カード法案)が可決成立、玉虫色の決着

  2005年5月に英国議会に上程され、英国やEU加盟国内の人権保護団体やロンドン大学等において議論を呼んでいた標記法案 (筆者注1) が上院(貴族院)、下院(庶民院) で3月29日に承認され、国王の裁可(Royal Assent)により成立した。  2010年1月以前は国民IDカードの購入は義務化されないものの、英国のパスポートの申込者は自動的に指紋や虹彩など生体認証情報 (筆者注2) を含む国民ID登録が義務化されるという玉虫色の内容で、かつ法律としての明確性を欠く面やロンドン大学等が指摘した開発・運用コストが不明確等という点もあり、今後も多くの論評が寄せられると思われるが、速報的に紹介する。 (筆者注3) 1.IDカード購入の「オプト・アウト権」  上院・下院での修正意見に基づき盛り込まれたものである。上院では5回の修正が行われ、その1つの妥協点がこのオプショナルなカード購入義務である。すなわち、法案第11編にあるとおりIDカードとパスポートの情報の連携を通じた「国民報管理方式」はすでに定められているのであるが、修正案では17歳以上の国民において2010年1月(英国の総選挙で労働党政権の存続確定時)まではパスポートの申込み時のIDカードの同時購入は任意となった。 2.2010年1月以降のカード購入の義務化  約93ポンド (筆者注4) でIDカードの購入が義務化される。また、2008年からは、オプト・アウト権の行使の有無にかかわりなく、パスポートのIC Chip (筆者注5) に格納され生体認証情報は政府の登録情報データベース (筆者注6) にも登録されることになる。 ******************************************************: (筆者注1) 最終法案の内容は、次のURLを参照。 http://www.publications.parliament.uk/pa/ld200506/ldbills/071/2006071.pdf (筆者注2) 生体認証の指紋や虹彩については、法案のスケジュール(scheduleとは,英連邦の国の法律ではごく一般的なもので、法律の一部をなす。法本文の規定を受け,それをさらに細かく規定したものである。付属規定と訳されている例がある。わが国の法案で言う「別表」的なもの)...