オランダのデータ保護当局(DPA)は、米国の顔認識技術企業Clearview AIに対し、欧州の一般データ保護規則(GDPR)違反により3,050万ユーロ(約3,370万ドル)の罰金を科しました。この決定は、同社の顔認識技術とデータ収集方法に関する深刻な懸念を反映しています。
主な違反内容
- 違法なデータベースの構築:Clearview AIは、ソーシャルメディアや他のインターネットソースから数十億の顔画像を収集し、各顔に固有の生体認証コードを割り当てたデータベースを作成しました。
- 同意の欠如:同社は、データ主体の同意や適切な通知なしに個人の画像と生体認証データを収集・使用しました。
- 透明性の不足:Clearview AIは、データの収集・使用方法について十分な情報を提供しませんでした。
- GDPRへの不適合:オランダDPAは、Clearview AIの事業慣行がGDPRの要件を満たしていないと判断しました。
罰金の詳細と追加措置
- 基本罰金: 3,050万ユーロ(約3,370万ドル)
- 追加罰金: 最大510万ユーロの追加罰金の可能性(継続的な違反に対して)
- 個人責任: DPAは、会社の取締役に対する個人的責任の追及を検討中
Clearview AIの反応
Clearview AIの最高法務責任者ジャック・マルカイア氏は、以下の理由から決定は「違法で、適正手続きを欠き、執行不可能」だと主張しています。
- 同社はオランダやEUに事業所を持たない
- オランダやEUに顧客がいない
- GDPRの対象となる活動を行っていない
国際的な影響
この決定は、Clearview AIに対する国際的な規制圧力の一部です。同社はすでに英国、オーストラリア、フランス、イタリアなどの国々から罰金を科されており、これらの国々の住民に関するデータの削除を強制されています。
今後の展望
- 法的争い: Clearview AIと規制当局との間で法的争いが続く可能性が高いです。
- 国際的な規制の調和: 顔認識技術に関する国際的な規制の枠組みの必要性が高まる可能性があります。
- 企業の対応: 他のテクノロジー企業は、データ収集と使用に関するポリシーを見直し、より厳格なプライバシー保護措置を導入する可能性があります。
- 公共の認識: この事例により、顔認識技術とプライバシーに関する公共の議論が活発化する可能性があります。
この事例は、急速に発展するAI技術と個人のプライバシー保護のバランスをとる難しさを浮き彫りにしています。今後、技術革新とプライバシー保護の両立に向けた取り組みがより一層重要になると考えられます。