4.米国イリノイ州におけるフェイスブック、シャターフライを被告とする暫定クラス・アクション(putative class action)の動向
本論に入る前に、「写真のタグ付け」に関するフェイスブックの「説明サイト」から一部抜粋する。
「現在Facebookでは、目や鼻、耳の間隔などの顔の特徴に基づいて独自の数(「テンプレート」)を算出するアルゴリズムを使用した顔認識ソフトウェアを使用しています。このテンプレートは、Facebookのプロフィール写真とFacebookでタグ付けされた写真に基づいています。Facebookは、これらのテンプレートを使用して、あなたの友達のタグを提案し、写真へのタグ付けを支援します。写真からタグを削除した場合、その写真はタグが削除された人のテンプレートの作成には使用されません。また、Facebookではテンプレートを使って利用者の画像を再現することはできません」
この文章でこのサービスはいったい何を意図しているのか、また他情報主体に取っていかなるプライバシーの侵害を引き起こすのか等、ユーザーはまず知りたいであろう。(筆者は、そもそもFacebookのアカウント登録行っていないし、いくつか有している国内グログでも、もとから本名は一切使っていない。」
そこで参考になるのが「気をつけよう! Facebookの「タグ付け」に関する基本マナー」である。このブログは、2013年6月17日現在で書かれたものであるが、タグ付けについて具体的な事例で説明するとともに、自分の写真が公開されることを好まない場合に、アカウント登録者が気をつけるべき留意点、友達自身が勝手にタグ付けされないようにする手続き等が平易に解説されている。まず一読すべきである。
(1)2015.4.1 シカゴ住民である原告カルロ・リカタ(Carlo Ricata)は、イリノイ州クック郡連邦巡回裁判所に対し、世界的ソーシャルネットワークの巨人であるFacebook被告とする集団訴訟(class action)を起こした。訴因はFacebookが行っている写真タグ付け提案が主体の同意をえることを義務付けるイリノイ州の2008年「Biometric Information Privacy Act」 (筆者注7-2)違反を理由としたものである。
Faceblookの同行為の差止めと各違反行為に対する同法にもとづく損害賠償および弁護士費用を求めた。
以下の内容は2015.4.8 arstechnica記事「Chicago man sues Facebook over facial recognition use in “Tag Suggestions”」、2015.4.9 International Business Times「Facebook sued in Illinois for collecting biometric facial recognition data」、2015.11.24 Proskauer法律事務所のブログ「Biometrics: Facebook Files Motion to Dismiss Privacy Suit over Facial Recognition Technology」 等に基づくものである。
原告は、告訴状で次の点を指摘した。
「残念なことに、フェイスブックはそのタグ提案機能がユーザーがアップロードされた写真にもとづき写された人の顔を見つけ、スキャンし、彼らの顔と関連したユニークな生体認証識別子(biometric identifiers)を抽出して、彼らが誰であるかについて決定するため「所有者の確認の顔認証ソフトウェア(proprietary facial recognition software)」を実際に使用していることを隠している。
たとえば、フェイスブックはその「プライバシー・ポリシー」においてその大規模な生体認証データの収集実践を明らかにしないだけでなく、それはユーザーにさえその知識を求めない。その代わりに、フェイスブックは、そのウェブサイトの端っこで顔認識ソフトウェアの使用を記述しているだけで、タグ付け提案(Suggestions)裏にある基本的な機能についてヒントをほのめかすだけである。
このTag 付け提案技術の本来の性質について知らない数百100万のユーザーを闇の中におくことで、フェイスブックは消費者の生体認証データの世界最大の非公開データベースをひそかに溜め込んだ。
原告は告訴状(civil complaint)において、米国連邦取引委員会(FTC)がその「会社は、これまでに生物測定データをデジタル写真から調べて、得る前に肯定して彼らの生物測定識別子のコレクションに同意するための消費者にオプションを提供すべきとするベスト・プラクテイス・ガイドを発表したことも指摘した。
ヨーロッパにおいて、2012年にフェイスブックは顔の認証について欧州委員会によって調査を受けて、結局大陸で完全に同サービスをやめざるをえなかった。しかし、ヨーロッパの誰かが米国で友人の写真をアップロードするならば、機能はなお機能するし、その人は使用可能にされたタグで彼らのプロフィール機能を暗示してもらっているのである。
(2)2015.6.17 シカゴの男性 ブライアン・ノーバーグ(Brian Norberg)が米国のデジタルプリント小売業シャターフライ社(筆者注7-3)に対し、イリノイ州BIPAに基づくクラス・アクションを起こした。
同裁判において、原告は告訴状において次の通りの主張を行った。
2015年6月17日、シカゴの男性ブライアン・ノーバーグ(Brian Norberg)は、写真シェアリング・(photo sharing )ウェブサイト運営会社「シャターフライ社」に対し、告訴を申し立てた。すなわち、同ウェブサイト(ブライアン・ノーバーグ対シャターフライ会社事件:事件番号No.1:15cv05351、N.D.イリノイ州)が非ユーザーの同意を得ることなく、顔認証技術によって生体認証識別情報を収集したことによりイリノイ州法BIPAに違反したと主張した。告訴状の原本(Dicument #97-150625-024C)参照。
原告はBIPAが定める生体認証の定義を引用したうえで、さらに、シャタ-フライの「顔テンプレート・データベース」のIPA上の問題点を述べた。
原告はBIPAが規定する生体認証の定義を引用の上、数百万の非シャタ-会員でない人々に対し、BIPAが求める通知を提供するか、同意を得ることなく、生体認証情報である顔の情報を活発に収集・保存・利用しており、シャタ-フライはBIPAを直接違反していると主張した。さらの原告は、シャタ-フライが何百万もの「顔テンプレート」を作成して、格納するか、「プリントを仕上げる」ために顔認証技術を使用したと主張した。そして、それは「顔の非常に詳細な幾何学的な地図(highly detailed geometric maps of the face)」であった。
シャタ-フライは、そのユーザーによってアップロードされる写真の中から、非ユーザーを含むあらゆる顔のテンプレートを作成する。 シャタ-フライには「タグ」特徴がある。そして、自社のデータベースで見つからないならば、それはユーザーが「特定の顔へのあらかじめ選択された名前」を割り当てるか、名前を提供するのを許したと原告は主張した。す。そして、それはその人名をその顔テンプレート・データベースに加えた。原告は、 シャタ-フライが、人々の性、年齢、人種や居場所を確認するためにこの技術を利用していると述べた。
2015年12月29日に原告の告発は退けられるべきとする被告の破棄申立(Motion of Dismiss)は、チャールズR. ノーグル連邦地区判事によって、却下された。
その後、イリノイ州クック郡の司法部門の公式広報紙(Cook County Report)によると2016.5.9 シャターフライは原告との間で和解が成立したと報じた。和解額は不明である。
(2)Facebookのイリノイ州のクラス・アクションに対する棄却申立(Motion of Dismiss)
2015.11.24 New Media And Technology Law Blog「Facebook Seeks Dismissal in Illinois Facial Recognition Biometric Privacy Suit 」 の概要を見ておく。
フェイスブックは、写真タグ付けのその顔認証ベース・システムがイリノイ州のBIPAを犯すと主張するいくつかの訴訟の被告として名をつけられた。彼の許可なしで「やる気のない」非使用者のタグ付けを含むイリノイ連邦裁判所で起こされる別々の推定の集団訴訟において、フェイスブックは、フェイスブックがそれらのケースでした議論に類似した根拠で、クラスアクションの破棄を求めた。 (Gullen対フェイスブック社(No. 15-07681(2015年8月31日にファイルされるN.D.イリノイ))を参照)。ショートに、もう一人のフェイスブック・メンバーがフェイスブックのタグ提案特徴を働かせている写真の中で彼に手でタグを付けた、そして、その結果、伝えられるところでは、フェイスブックが彼の許可なしで、そして、BIPAに違反して原告のfaceprintをつくって、保存したと、原告の非使用者は、主張した。
5.米国の顔認証問題をめぐるFTC NIST等の具体的取り組み
(1)連邦取委員会(FTC)
米国では最近時の顔認識技術の進化、現状の活用事例やベストプラクティス、将来の可能性などを整理した上で、プライバシー侵害のリスクを解説し、プライバシーに配慮した上で活用を進めるための2012年10月22日に具体的ガイドライン案を公表、関係者からの意見を求めた。
2012.10.22 FTCはリリース「FTC Recommends Best Practices for Companies That Use Facial Recognition Technologies:Companies Using the Technologies Should Design Services with Consumer Privacy in Mind 」を公表した。勧奨ガイドの本文は「facing Facts:Best Practices for Common Uses of Facial Recognition Technologies」 (全30頁)である。
この件についてはわが国でもすでに紹介されており(筆者注8) 、ここでは深く論じないが、経済産業省のガイドラインに比べ体系的な内容となっていることはいうまでもない。
(2)連邦商務省・国立標準技術研究所(NIST)
まず、わが国では”Face Recognition Vendor Test (FRVT)”で名の知れたNISTのイメージ専門の組織を見ておく。
NISTのImage Groupが取り組む「Face Challenges」サイト(Face recognition and evaluation)
Image Groupはfive project areas (Biometrics Standards; Fingerprint Testing; Face, Iris, & Multimodal Testing; Biometric Standards and Next Generation Test Bed.) という5つのプロジェクト・エリアで構成されている。
サイトの区分ででみると①ITL Biometrics Overviewのサイト、②Image Group Fingerprint Overviewのサイト、③Face Challengesのサイト(Face Recognition Vendor Test (FRVT) Homepage等が含まれる)、④Iris Recognition Homepage、である。
******************************************************:
(筆者注7-2)米国の主要メデイア記事を読んでも、イリノイ州の「Biometric Information Privacy Act」の条文を引用しながらの解説は皆無である。米国の弁護士専門サイトであるFind Lawのイリノイ州のクラスアクションの解説でも法典まではリンクさせているものの、具体的根拠条文には言及していない。筆者としては、もう一歩踏み込んだ法解説ブログの面目を保つ意味でここで詳しく言及する。
第15条 生体認証情報の保持、収集および破棄
Sec. 15. Retention; collection; disclosure; destruction.
(a) A private entity in possession of biometric identifiers or biometric information must develop a written policy, made available to the public, establishing a retention schedule and guidelines for permanently destroying biometric identifiers and biometric information when the initial purpose for collecting or obtaining such identifiers or information has been satisfied or within 3 years of the individual's last interaction with the private entity, whichever occurs first. Absent a valid warrant or subpoena issued by a court of competent jurisdiction, a private entity in possession of biometric identifiers or biometric information must comply with its established retention schedule and destruction guidelines.
(b) No private entity may collect, capture, purchase, receive through trade, or otherwise obtain a person's or a customer's biometric identifier or biometric information, unless it first:
(1) informs the subject or the subject's legally authorized representative in writing that a biometric identifier or biometric information is being collected or stored;
(2) informs the subject or the subject's legally authorized representative in writing of the specific purpose and length of term for which a biometric identifier or biometric information is being collected, stored, and used; and
(3) receives a written release executed by the subject of the biometric identifier or biometric information or the subject's legally authorized representative.
(c) No private entity in possession of a biometric identifier or biometric information may sell, lease, trade, or otherwise profit from a person's or a customer's biometric identifier or biometric information.
(d) No private entity in possession of a biometric identifier or biometric information may disclose, redisclose, or otherwise disseminate a person's or a customer's biometric identifier or biometric information unless:
(1) the subject of the biometric identifier or biometric information or the subject's legally authorized representative consents to the disclosure or redisclosure;
(2) the disclosure or redisclosure completes a financial transaction requested or authorized by the subject of the biometric identifier or the biometric information or the subject's legally authorized representative;
(3) the disclosure or redisclosure is required by State or federal law or municipal ordinance; or
(4) the disclosure is required pursuant to a valid warrant or subpoena issued by a court of competent jurisdiction.
(e) A private entity in possession of a biometric identifier or biometric information shall:
(1) store, transmit, and protect from disclosure all biometric identifiers and biometric information using the reasonable standard of care within the private entity's industry; and
(2) store, transmit, and protect from disclosure all biometric identifiers and biometric information in a manner that is the same as or more protective than the manner in which the private entity stores, transmits, and protects other confidential and sensitive information.
第16条 訴訟の提起権(情報の破棄権:destruction.)と違反行為に対する損害倍賞請求権
Sec. 20. Right of action. Any person aggrieved by a violation of this Act shall have a right of action in a State circuit court or as a supplemental claim in federal district court against an offending party. A prevailing party may recover for each violation:
(1) against a private entity that negligently violates a provision of this Act, liquidated damages of $1,000 or actual damages, whichever is greater;
(2) against a private entity that intentionally or recklessly violates a provision of this Act, liquidated damages of $5,000 or actual damages, whichever is greater;
(3) reasonable attorneys' fees and costs, including expert witness fees and other litigation expenses; and
(4) other relief, including an injunction, as the State or federal court may deem appropriate.
BIPAは過失による違反につき法定損害の1,000ドルと意図的な違反に対する5,000ドルを定める。
(筆者注7-3)シャターフライは、米国のデジタルプリント小売業者。デジタル画像の整理、写真の共有、プリント注文などのサービスのほか、フォトブック、カード、文房具、カレンダーなどのアイテムを作成する。また、企業向けにダイレクトマーケティングの印刷や配送を行う。さらに、第三者によって製作された写真をベースにマグカップ、マウスパッドなどの商品も販売する。(Yahoo ファイナンスから一部抜粋)
(筆者注8) 2012.10.23 小林啓倫「米FTC、顔認識技術の活用に関するガイドラインを発表」、漆原次郎 「米国の連邦取引委員会、顔認識技術の利用法を提言」 等である。
(筆者注9)米国連邦議会のGAOについて筆者のブログでもしばしば取り上げて来ているが、連邦議会の連邦行政機関に対する独立監視機関であり、議会に対する情報提供や行政機関への改善勧告等を独自に行っているまさに「Watchdog」である。わが国では類似の機能を持つ議会の付属機関がないだけに研究の対象とすべき機関である。「会計検査院」と訳すのは明らかに誤りである。
(筆者注10) 「10本指の指紋のスキャン(tenprint)」につき、外務省の解説「米国政府による外国人渡航者からの生体情報読み取り措置について」から抜粋する。
「アメリカ合衆国入国時には・・・
入国審査カウンターにおいて、(1)10本指の指紋のスキャン(カウンター上に設置された指紋読取機に指をかざすことによって読み取りを行うもの)と、(2)デジタルカメラによる顔写真の撮影が行われ、これらの情報は、データベースに登録されている情報と照合され、入国許可の判断に当たって利用されるということです。なお、その後も米国に入国する都度、同様の手続きが必要となります。
米国政府の説明によれば、生体情報読み取り手続きは、入国審査官が入国書類をチェックしながら同時並行的に行われ、概ね15秒程度で終了するとのことです。」
(筆者注11) 詳細な指紋摩擦隆線(fingerprint friction ridge)は、一般的に3つの異なるレベルの階層的順序で記述される。このレベルとは即ちレベル1(パターン)、レベル2(マイニューシャ点(指紋隆線の端点:訳者注))、そしてレベル3(孔と稜線)である。実際の指紋検査官は、レベル3の特徴を個人同定の助けとして利用することが多いが、自動指紋認証システム(Automated Fingerprint Identification Systems:AFIS)は現時点ではレベル1及びレベル2の特徴のみに基づいている。実際にはFBI (Federal Bureau of Investigation:アメリカ連邦捜査局)のAFISのための指紋画像解像度の標準は500ppi(pixels per inch)であり、これは孔などのレベル3の特徴を得るのに充分ではない。指紋センサー技術の発達により多くのセンサーが二つの解像度(500ppi及び1000ppi)のスキャン能力を持っている。しかしスキャン解像度の向上のみでは、必ずしも指紋照合性能の向上は見込めない。(Ricohの英文技術専門誌の論文・記事の和文要約「IEEE Transactions on Pattern Analysis and Machine Intelligence (IEEE) Vol.29, No.1)」から一部抜粋。
(筆者注12) FBIが取り組んでいる「Rap Back」サービスにつき、2007年12月24日の筆者ブログは「FBIは「rap-back」サービスを計画中であると述べている。これは雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである」と述べている。
(********************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿