見出し画像

個人の権利を守るために司法が担うべき役割とは何か

Privacy by Design Lab(プライバシーバイデザインラボ)

※このインタビューは2022年5月19日に収録されました

テクノロジーを導入していく中で、機械による自動化のリスクも合わせて考えていく必要があります。

今回はアイルランドの市民団体アイルランド市民自由協議会(ICCL)でテクノロジーフェローを務めるクリスさんに、AI法案とプライバシー、そしてプライバシーテクノロジーに関してお伺いしていきたいと思います。

前回の記事から

私たちが修正を依頼しているのは、GDPRで認められている個人データ保護に限定せず、個人の権利を侵害する場合に関しては、個人が苦情申し立てを行うことができる権利を認めるべきであるという内容です。

個人の権利を守るために司法が担うべき役割とは何か

Kris:これは私たち個人に認められている司法救済の権利です。この権利を明記することが私たちが依頼しているもう一つの修正提案です。これらの修正提案を欧州委員会か、もしくはそれ以外の政府機関で採用し個人が苦情申立てを行う救済策を明記する必要があると考えています。

現在、私たちの修正提案は欧州議会のドラフトに組み込まれています。まだ法案のどこにも明記されていませんが、私たちが考える修正提案を採用するところまで話が進んでいます。

AIを採用したことによって個人に被害が行った場合は、法律の下に従って加害者となる開発企業が政府に状況報告する必要があると私たちは考えています。

ここまで修正案について話してきましたが、被害者の救済が手遅れになってしまうケースを懸念しています。この問題を解決するためには、被害が大きくなる前に、被害を未然に防ぐメカニズムが必要になります。

図:法律によって個人が救済される仕組み

個人が救済されるために必要な要素

幾つか方法は考えられますが、例えば被害者が匿名で問題を報告できるようになれば、開発企業が未然に問題点を理解し対処することで、大惨事に発展することを防ぐことができるような方法も考えられます。

問題点を未然に理解し対処する考え方は、特段新しいものではありません。

既に航空システムの安全管理では採用されています。例えば、滑走路の安全を確保するために、欧州では同様の仕組みを採用しています。このような考え方は規制が制定された初期には導入されていませんでしたが、議論を深めていく中で実現していった仕組みです。

AI規制でも航空システムと同様に、被害が起こる前に実施すべき対応策を明記するべきだと思います。AIを導入することで起きうる被害は既に報告されているので、同様の被害が起こらないように規制案を設計する段階から検討すべきであると考えています。

Kohei: 日本で行われているAIの議論と比較すると、欧州の議論は一歩先に進んでいるように感じます。ただ、欧州で行われている議論の中にも消費者の権利を守るために改善が必要な点もあると思います。

規制の中身の話に加えて、消費者へ事前に危険を知らせるための通知や問題があった場合の執行体制も重要だと思います。欧州では様々な角度から執行に関する深い議論も進んでいることがわかりました。

消費者としての個人以外に考えるべき権利

Kris:これまで紹介した議論にもう一つ加えると、消費者の権利だけでなく、欧州では私たちの基本的な権利の観点からも法案を考えています。

前の記事で私が紹介した修正提案の中で、二つ目の提案内容は消費者の権利保護に関する内容です。消費者の権利を保護するための考え方に、集団的救済という方法があります。

これは、非営利組織等が消費者グループを代表して権利に対する声を上げる方法です。消費者の権利から考えると、こう言った選択肢もあるのです。

私たちの修正提案が欧州議会で議論されている文面に記載されているかどうかはわかりませんが、私たちに限らず、消費者団体の欧州消費者機構(以下Beuc)も同様に欧州では提案を行っています。

Kohei: ありがとうございます。消費者団体が消費者の権利を代弁する立場で、消費者の被害を救済する方法も必要だと思います。欧州では、様々なコミュニティや団体が政策立案過程に関わるようになり始めていると思いますが、そもそも民主的な意志決定とは何かを考える時期に来ていると思います。

民主的に規制を制定していくためには、積極的に消費者や市民の声を汲み取っていくことが必要になると思います。クリスさんの活動は、消費者の声を政策に届けるために重要な取り組みだと思います。

次に、欧州で議論されている顔認識AIに関してお伺いしたいと思います。

ご紹介いただいた修正提案は非常に興味深い内容でした。欧州域内での顔認識AIに関しての議論もお伺いしたいと思うのですが、欧州では顔認識AIに関してどう言った議論が行われていて、現在は何が争点になっているのでしょうか?

Kris:そうですね。顔認識情報は生体認識情報の一つの要素として議論が行われています。生体情報は顔以外の情報も含むので、欧州委員会が発表した法案では顔認識情報が処理された場合に、比較的リスクの高い情報であると分類がなされました。

比較的リスクの高い情報を利用する場合には、厳しい対策が求めらますが利用は禁止はされていません。

厳しい対策の必要性と利用禁止に該当するか否かは微妙な意味合いの違いがあります。意味合いの違いはケースごとに異なるため、一先ず置いておきます。ただ、顔認識情報に関連して、昨年の暮れに欧州議会では拘束力がない投票が行われました。

この投票結果がすぐに法律になるわけではないのですが、投票により公共の場での顔認識技術の利用に対して反対する大臣が多数を採ることになりました。これは公共の場での顔認識技術の利用を停止するための大きな結果だと思います。

図:公共空間での顔認識技術の利用停止

公共空間で顔認識技術を利用することへの懸念

市や街の中心街で顔認識技術を採用したCCTVカメラが設置されていたとしても、法的な拘束力がなければ私たち市民がCCTVカメラから撮影されたデータによって予期せぬ被害が発生する可能性も少なからず考えられます。

市民の人たちが被害者になってしまうことは避けるべきことで、法的拘束力は、そのようなケースを防ぐためにも必要です。

欧州議会と欧州評議会で実施された議論では、公共の場で顔認識技術を採用することは好ましくないと主張する大臣もいたので、利用停止を支持する結果になったのではないかと思います。

欧州委員会で実施されている議論の中で特徴的なことは、遠隔の生体情報とリアルタイム情報に関する議論が別々に行われているということです。

私は議論を進めていく中で、遠隔の生体情報とリアルタイム情報を分けて議論することによって様々な制限が発生すると想定されるので、分けて考えるようにはしていません。

そこで、私の場合は生体情報の監視という視点で考えるようにしています。委員会を始めとする欧州政府は、過去に起こった被害ケースをもとに議論を進めています。

私は特定の問題について議論する際には、過去に発生した被害ケースだけでなく、様々な角度から問題を考察する必要があると考えています。

私はデータベースから議論を進めていくべきであると考えています。

顔写真のデータベースがあったとして、画像として認識していない場合も、技術テンプレートを利用することで、あなたの顔の情報を生体情報に変換することも可能です。

Clearview AIという会社の名前を聞いたことがあるかもしれませんが、彼らは政府機関へ取得した情報の販売を行っていました。彼らの行為は違法であると判断され、数ヶ月前にイタリアを始めとするいくつかのデータ保護監督局によって制裁が行われました。オーストラリアとカナダも同様に制裁を発表しています。

(動画:Clearview AI violated Canadian privacy law with facial recognition: report)

さらに、データ保護監督局によってはClearView AIに対して対象国の市民に関するデータを削除するように要請が行われています。実際に削除されたかどうかを確認することはとても難しいのですが。

データ保護監督局から画像を削除するように求められたとしても、実際に削除されたかどうか証拠を見つけることは非常に難しいのです。私が法律の中に執行に関する記述を加えるべきであると言及したのは、このような背景もあるからです。

まずは執行に関する内容を書面に記載して、実際に執行体制を検討する必要もあります。この二つの切り口から検討が必要です。

Kohei: そうですね。ありがとうございます。Clearview AIに関しては、私もカナダやオーストラリア、米国を始めいくつかの国での見解を調査したことがあります。各国が規制をかけようとしていることもわかりました。

強力な執行権限を持った政府や警察に市民のデータを販売することは、偽情報やアルゴリズムによる判断ミス等を考えると非常に危険な側面もあります。

システム内で行われるデータ処理の仕組みを外部から確認できるようにしておくことが必要ですね。ありがとうございます。

Kris:データ処理の問題以外に、データベース上で管理されている画像情報が同意なく取得されて保管されていることも大きな問題になります。

データを取得する際に同意が必要であるということは、少なくともGDPR関係なく必要です。データ取得に関する議論が始めに行われると思います。同意なく利用者の私的な情報を取得してはいけません。

まずは同意の問題から取り組み必要があります。他の問題はそれからですね。

Kohei: そうですね。ユーザーのデータを保護するためには、先進的な技術を採用することも必要になると思います。

例えば、準同型暗号連合学習は例として考えられるかと思います。実際に連合学習を用いた取り組みはGoogleが率先して取り組んでいます。

次にクリスさんにお伺いしたい質問は、プライバシー技術に関する内容です。プライバシー技術とは一体何かという質問と、クリスさんがプライバシー技術要素の中で関心を持っている領域があれば教えて頂いてもよろしいでしょうか?

〈最後までご覧いただき、ありがとうございました。続きの後編は、次回お届けします。〉

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。

Interviewer, Translation and Edit 栗原宏平
Headline Image template author  山下夏姫

この記事が気に入ったらサポートをしてみませんか?