Last Updated:October 5,2016
(3)連邦議会・行政監査局(U.S. Government Accountability Office (GAO) (筆者注9)の連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等におけるプライバシー保護強化勧告
2016年6月15日、連邦議会・行政監査局(GAO)は連邦司法省およびFBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等におけるプライバシー保護強化勧告を行った旨報じた。
このレポートにつきわが国では紹介したものとしては、イタリアのセキュリティ専門家、Pierluigi Paganini氏が主宰するセキュリティ・ニュース・サイトを翻訳したものがある。2016.7.12 「4億1190万枚の顔写真データにアクセスするFBI」である。GAOのレポートを引用しながら問題点を取り上げているが、専門家向けとはいいがたい内容である。
そこで本ブログでは、①FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要、②米国の人権擁護団体の問題指摘・司法長官あての意見書(2014.6.24)、最後に③GAOレポートがあげた主要な問題点等を概観する。
① FBIのNext Generation Identification-Interstate Photo System (NGI-IPS)等生体認証にかかる最新の技術の導入概要
FBIのNGIについての解説サイトがある。について逐一訳さないが前書きと項目のみあげておく。関係者はその具体的内容については原文で確認されたい。
また、これに関し、FBIの刑事司法情報サービス部(Criminal Justice Iinformation Services Division)は「IAFISおよびNGIの生体認証データの相互運用に係るプライバシー・アセスメント結果」を公表している。
なお、最新情報ではないが、筆者は2007年12月24日付けのブログ「米国FBIが世界最大の米国民・関係国民を取り込んだ生体認証データ・ ベース構築をめぐる論議(その1)、 (その2完)で詳しく解説しており、あわせ読まれたい。
○今日では「バイオメトリクス」という用語は、指紋に限定されるものではない。掌紋(手のひら)(palm)、虹彩、および顔認識が含まれる。新技術を活用するための、および10本指の指紋認証(tenprint) (筆者注10)とわずかな指紋のもとづく検索のアプリケーションを改善するための努力としてFBIの「刑事司法情報サービス(CJIS)部門が開発され、丁寧に統合された自動指紋識別システム(IAFIS)と代替するための新しいシステムを統合した。この新しいシステムたる「次世代識別システム(NGI)」は、バイオメトリックおよび犯罪歴情報の世界最大かつ最も効率的な電子保管庫と刑事司法の相互コミュニティ強化を提供するものである。
○バイオメトリクス技術の将来(The Future of Biometrics)
○高度な指紋認証技術(Advanced Fingerprint Identification Technology :AFIT))
これによりFBIの刑事司法情報サービス部(CJIS)部門は精度に一致する改善された新しい指紋照合アルゴリズムを92パーセントから99.6パーセントに引き上げ実装した。また、貢献者達はより速い応答時間を経験し、トランザクション拒否はなくなり、統合によってトリガ識別およびファイルメンテナンス通知の頻度を増加させた。
○特別な重要性をもつ個人用保管庫(Repository for Individuals of Special Concern (RISC))
○かすかに採取できた潜在指紋および嘗紋(Latent and Palm Prints)
NGIシステムの潜在指紋認識機能は、アイデンティティごとに設定した合成画像とは対照的に個人のすべての保持するイベントで構成される摩擦隆線検索ファイル(筆者注11)を使用している。リポジトリ内のこれらの複数のイベントは、潜伏検索精度の3倍の向上をもたらし、困難なケースワークをサポートするために追加のイベント画像検索を可能にする。
○ラップバック・サービス(Rap Back Service)
FBIから例えば、学校の先生、保育所の労働者等信頼にたる人物や刑事司法の監督または捜査下にある人物の個人の活動に関する同じ出願代理店からの通知を受け取ることができるとするもので、認可された機関が同一人に繰り返しバックグラウンド・チェックの必要性を排除するものである。ラップバックの展開に先立ち全米犯罪歴のバックグラウンド・チェックシステム(National Instant Criminal Background Check System
(NICS) Operations 2013)は、個人の犯罪歴のステータスの1回のスナップショット・ビューを提供する。ラップバックでは、認可された団体・機関は、進行中の刑事事件や民事取引の初期処理と保持した後、FBIに報告された犯罪歴の状態通知を受け取ることができる。 犯罪で逮捕されたり、起訴者を識別するために指紋認証を使用することにより、ラップバックは刑事司法と非刑事司法当局の双方に、後から続く行動につき全国ベースでの通知を提供する。(なお、ラップバックサービスについての申請書式参照)
なお、筆者は以前「ラップバック・サービス」につき、次のような解説を行っていた。「rap-back」サービスとは、雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである。(筆者注12)
○未解決事件や身元不明死亡者(Cold Case/Unknown Deceased)調査時の迅速な照合
○虹彩照合パイロット・システム(Iris Pilot)
② EFFおよび 31の人権擁護団体のFBIの生体認証データベース:NGI計画についてのプライバシーアセスメントの徹底化要求
2014年6月25日、「1974年連邦プライバシー保護法」もとづき司法長官宛次の主旨の書簡を出した旨公開した。その要点は次の点である。
「NGIが示す顔認識データベースの構成要素は、すべてのアメリカ人のためにプライバシーに対する本当の脅威をもたらし、また将来、我々が先例のない方法でモニターされて、追跡されることを認めるものである。NGIは犯罪者だけでなく非犯罪者の顔写真を含む。そして、FBIは2015年までに、同データベースに5,200万件もの顔画像を含むことができると見積っている。そのうち430万は、非犯罪的な目的(例えば雇い主による身元調査)のために撮影される。法執行機関がデータベースの犯罪面の検索を実行するたびに、FBIがこれらの非犯罪的な顔イメージをも含む検索を行う予定のように見れる。
このような理由から、FBIがNGIに関し現在のプライバシー影響評価(PIA)を実行かつ公表することは不可欠である。
筆者としては、EFF等米国の人権擁護NPO等は多くの公開状を適宜出しており、わが国の日弁連などと比べても、その頻度や内容の専門性は大きな差があると感じる。
また、2016.5.31 EFFおよび44団体は、FBIのNGIへの登録除外に関する連邦規則の改正につき、意見を5月5日の連邦官報で公募したことを受けて、基本的に極めて重要なこの問題につき、指定された検討期間が短すぎる(提出期限は6月5日)という意見を公表した。
EFFの2016.5.31 レポートの中の写真を引用
③GAO レポートが指摘する問題点と司法省やFBIに対する勧奨内容の概要
GAO Reportの「FACE RECOGNITION TECHNOLOGY:FBI Should Better Ensure Privacy and Accuracy」(全文68頁)のHighlights部を仮訳する。なお、GAO レポートは法令遵守にかかる連邦議会の調査機関(Watchdog)として毎度のことながら論点が明快である。 (筆者注13)
(1)GAOは、なぜこの研究を行ったか
テクノロジー向上は、オートメーション化した顔認証の全体的な正確さをここ数数十年の間増やした。 FBIによると、このテクノロジーは、法執行機関が彼らの調査において犯人を特定するのを支援する。
GAOは、FBIの顔認証技術の使用をレビューするよう連邦議会から依頼された。本レポートは、以下の点を調べた。1) FBIの顔認証能力とその範囲、2)FBIの顔認証技術の使用は連邦プライバシー法や自身のプライバシー・ポリシーに忠実であるか、3)FBIはこれらの能力の正確さを正しく評価しているか。
これらの諮問について答えるため、GAOは顔認証能力の上での連邦プライバシー関連法、FBIのプライバシー・ポリシー、運用マニュアルと他の関係文書をレビューした。実際、GAOは、FBIおよび顔認証に関してFBIと協調関係にある他の連邦機関ならびに2つの州機関と面談した。
(2)GAOの勧告事項
(筆者注13-2)の内容につき公表しない旨決定したのか、2)FBIの部長がNGI-IPSにつき外部のパートナーにより使用されるシステムがFBIの使用にとって十分適正なものであるかを決するための試験内容を承認するための手続きの指揮を取っていたか等である。DOJは勧告1)には同意して、勧告2)については部分的に同意した。6つの勧告のうちの3つは一致しなかった。これにつき、GAOは1つの勧告をさらに明確化させて、もう一つの勧告は更新しており、さらにこのレポートで論じられるように全6つの勧告が有効なままであると考え続けている。
**************************************************************************************
(筆者注7-3)シャターフライは、米国のデジタルプリント小売業者。デジタル画像の整理、写真の共有、プリント注文などのサービスのほか、フォトブック、カード、文房具、カレンダーなどのアイテムを作成する。また、企業向けにダイレクトマーケティングの印刷や配送を行う。さらに、第三者によって製作された写真をベースにマグカップ、マウスパッドなどの商品も販売する。(Yahoo ファイナンスから一部抜粋)
(筆者注8) 2012.10.23 小林啓倫「米FTC、顔認識技術の活用に関するガイドラインを発表」
、漆原次郎 「米国の連邦取引委員会、顔認識技術の利用法を提言」 等である。
(筆者注9)米国連邦議会のGAOについて筆者のブログでもしばしば取り上げて来ているが、連邦議会の連邦行政機関に対する独立監視機関であり、議会に対する情報提供や行政機関への改善勧告等を独自に行っているまさに「Watchdog」である。わが国では類似の機能を持つ議会の付属機関がないだけに研究の対象とすべき機関である。いまだに多いが「会計検査院」と訳すのは明らかに誤りである。
(筆者注10) 「10本指の指紋のスキャン(tenprint)」につき、外務省の解説「米国政府による外国人渡航者からの生体情報読み取り措置について」から抜粋する。
「アメリカ合衆国入国時には・・・
入国審査カウンターにおいて、(1)10本指の指紋のスキャン(カウンター上に設置された指紋読取機に指をかざすことによって読み取りを行うもの)と、(2)デジタルカメラによる顔写真の撮影が行われ、これらの情報は、データベースに登録されている情報と照合され、入国許可の判断に当たって利用されるということです。なお、その後も米国に入国する都度、同様の手続きが必要となります。
米国政府の説明によれば、生体情報読み取り手続きは、入国審査官が入国書類をチェックしながら同時並行的に行われ、概ね15秒程度で終了するとのことです。」
(筆者注11) 詳細な指紋摩擦隆線(fingerprint friction ridge)は、一般的に3つの異なるレベルの階層的順序で記述される。このレベルとは即ちレベル1(パターン)、レベル2(マイニューシャ点(指紋隆線の端点:訳者注))、そしてレベル3(孔と稜線)である。実際の指紋検査官は、レベル3の特徴を個人同定の助けとして利用することが多いが、自動指紋認証システム(Automated Fingerprint Identification Systems:AFIS)は現時点ではレベル1及びレベル2の特徴のみに基づいている。実際にはFBI (Federal Bureau of Investigation:アメリカ連邦捜査局)のAFISのための指紋画像解像度の標準は500ppi(pixels per inch)であり、これは孔などのレベル3の特徴を得るのに充分ではない。指紋センサー技術の発達により多くのセンサーが二つの解像度(500ppi及び1000ppi)のスキャン能力を持っている。しかしスキャン解像度の向上のみでは、必ずしも指紋照合性能の向上は見込めない。(Ricohの英文技術専門誌の論文・記事の和文要約「IEEE Transactions on Pattern Analysis and Machine Intelligence (IEEE) Vol.29, No.1)から一部抜粋)
(筆者注12) FBIが取り組んでいる「Rap Back」サービスにつき、2007年12月24日の筆者ブログは「FBIは「rap-back」サービスを計画中であると述べている。これは雇用者が州の法律に基づきFBIに対して従業員のデータ・ベース中に指紋情報の保管を依頼し、仮に同人が過去に犯罪に関係したり有罪であると判断された場合は、雇用者に通知するというものである」と述べている。
(筆者注13) GAOレポートのポイントを特徴的な内容を中心にとりあげているCNNサイトは、かなりセンセーショナルな内容である。
「FBIには運転免許証、ビザとパスポート・データベースを含む4億1190万以上の顔イメージを検索することができる無秩序に拡大させている顔認証プログラムがある。」
また、2014.9.16 CNN記事「FBI launches a face recognition system」はFBIのサイバー捜査本部のチーフが取材に応じている。さらに、記事の中でサイバー犯罪捜査等における極めて多くの台数が設置されている監視カメラが撮影した顔イメージ写真がFBIのデータベースに自動的に登録されるなどの問題提起を行っている。特に、CNNはFBIの文書で次のとおりりわずかな登録の適用例外根拠規定があると引用している。
•This tool doesn't let the government start collecting your fingerprint and body data if it couldn't before.
•Police aren't supposed to rely solely on the facial recognition software to arrest anyone.
•Photos on people's social media accounts (Facebook, Instagram, etc.) cannot be submitted into the NGI database (at least during the pilot phase).2014
(筆者注13-2)”SORN”は米国独自の制度がゆえに、わが国では解説は一般的にはない。国土安全保障省(DHS)の「記録通知システムSystem of Records Notice (SORN)」の解説を見ておく。
記録通知システムは、情報が個人名、個人に割り当てられる何らかの識別番号、シンボルまたは他の識別子によって検索しうるいかなる機関の管理下にある一群の記録をいう。「1974年プライバシー法」は、記録につきそのシステムの通知を連邦官報で発表することを各々の機関に義務付けている。この通知を、通常「記録通知」または「SORNシステム」と呼ぶ。いかなる機関とは、Government Wide,Department Wide ,Customer and Border Protection等をさし、DHSのSORNsサイトからリンク可である。
*****************************************************************
Copyright © 2006-2016 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
コメント
コメントを投稿