韓国でこのほど、空港を出入りする人々の顔認証データ1億7000万件を人工知能(AI)の学習目的で収集し、「個人情報誤用・乱用」騒動が提起された法務省に罰金100万ウォンが課せられた。
機密情報を扱うシステムの特徴上、開発を外部に委託した場合、その事実を公示しなければならないが、これを怠ったというもの。ただ、顔認証データをAI学習用に収集したこと自体は違法ではないという判断だ。顔認証データは機密情報だが、法的根拠があれば活用は可能であると解釈できる。
法務省は2019年以後、出入国の審査強化のためにAI識別追跡システムを開発してきた。この過程で法務省が収集した個人情報(顔認証データ、パスポート番号、国籍など)は計1億7000件余り(韓国人5760万件、外国人1億2000万件)が収集された。その際、法務省がこのシステム開発を民間開発業者に委託して個人情報が外部に流出したのではないかという疑いが提起された。
個人情報委員会はこのほど、全体会議を開き、こうした法務省に対する個人情報保護法違反行為について審査した。個人情報委員会が発足して以来、中央行政機関が調査対象になるのは今回が初めてだ。
争点は大きく分けて▽顔認証データが機密情報に該当するか▽顔認証データを出入国審査のAI学習用に活用してよいのか▽外部民間企業にデータを渡したことが不法であるか――という3点だった。
まず、個人情報委員会は顔認証データが機密情報には該当するが、出入国審査AIには活用できると分析した。個人情報保護法によると、機密情報を活用する場合、当事者の同意を得たり、関連法規定に従ったりしなければならない。出入国管理法には本人確認のために顔や目の虹彩などの生体情報を活用できるという内容があるため、これに沿って機密情報を処理したと考えられるということだ。
法務省はまた、出入国審査場の前で異常行動をする人を選別するため、防犯カメラ(CCTV)に記録された「特定個人の行動映像」だけを抽出することもあった。個人情報委員会による調査の結果、これらの映像は実際に問題解決のために活用されていないことがわかった。だが同委員会は「今後もCCTV映像を利用したシステムを開発するためには、必ず映像当事者(情報主体)の事前同意を得たり、法的根拠から備えたりする必要がある」と指摘した。
個人情報委員会はAI識別追跡システムを、外部の民間企業が個人情報保護法に伴う「個人情報処理委託」という名目で開発を進めたものと認識している。民間企業も法務省の管理監督の下、AIアルゴリズムを開発するだけのために個人情報を処理したものであり、データの無断流出ではないという判断だ。したがって、使用された個人情報もすべて削除されたと確認された。
ただ、法務省が民間企業と委託契約を結んだ事実をホームページなどに公開しなかったことは個人情報保護法第26条に違反すると判断している。
今回の審査結果によると、法的根拠さえ明確ならば、顔認証データを収集して活用できるとう解釈が可能だ。
ただ、特に顔は生涯変えることができず、個人情報流出とプライバシーの侵害の懸念が大きいため、処理範囲を制限しなければならない――市民団体などはこう反発しており、今後も同様の議論が続くとみられる。
個人情報委員会のユン・ジョンイン委員長は「顔認証データなどの機密情報を処理する時には、個人情報の自己決定権が侵害されないよう関連法を順守しなければならない」と要請している。
©MONEYTODAY
