顔認証産業の闇 軽視されるリスク(その2)
2021年03月17日 楊智傑/『中国新聞週刊』記者 神部明果/翻訳
(その1 よりつづき)
「顔」が売られる
曠視科技〔MEGVII〕、商湯科技〔センスタイム〕、依図科技〔YITU〕、雲従科技の4社は、中国のコンピュータービジョン〔CV〕業界における4匹の小さな龍と称されている。これらのAIスタートアップ企業は顔認証産業の川中に位置している。同じフィールドで競争している企業にマイクロソフト、BAT〔バイドゥ、アリババ、テンセント〕、Googleといった大手IT企業があり、こうした企業は黙っていても大量のデータが手に入る。顔認証事業を手掛けるスタートアップ企業もこうしたデータを喉から手が出るほど強烈に欲している。
AI技術関連会社がどのような形で顧客と提携しているか、顔データが誰によって入手され、どう保存されているかは社会の大きな関心を集めているものの、依然として不透明な状態にある。曠視科技の「Face++人工知能オープンプラットフォーム開発者サービス契約」にはかつて、同社はユーザーのデータを保存したうえで、同社およびその関連会社の内部研究の目的に利用する権利を有しているとの記載があった。そうしたデータは「主に顔認証の精度やアルゴリズムの向上および当社の製品とサービスの改善に利用される」という。
雲従科技の関連責任者は取材に対し、われわれのような会社が顧客にサービスを提供する際、どんな契約モデルであったとしても、一般的にデータはすべて顧客側に保存されており、顧客がデータをわれわれ顔認証技術関連会社に提供することを望むはずがないと説明した。「顧客のなかでもとくに銀行や警察はイントラネットをもっており、われわれのサーバーはいずれも彼らのイントラネット内に存在する。それは彼らの私有サーバーに相当するものであり、データが外部に流失することはありえない」
とはいえ、初期の顔認証技術関連企業の一部はデータの保護をおろそかにしていた。黄氏は2015年、ある企業の顔認証へのタグ付けが他の企業に外部委託されており、あるウェブサイト上で全データが直接閲覧できるようになっていることを発見した。このデータ流出は業界関係者のみが把握しており、彼自身も一部データをダウンロードしたものの、間もなくこのセキュリティホールは修復されたという。黄氏によれば、データの保護にはコストがかかり、これらはスタートアップ企業にとって軽視できない費用だと説明する。さらに重要な点は、データの過度な保護が多くの企業にとっては顔認証技術の発展の障害になるという事実だ。「一部企業はサーバーからデータを取得するほかに方法がない。もし自身のコンピューター上でビジュアライゼーション(データ可視化)をおこないたいと思ってもデータは入手できない。これはすなわち分析手段がいくらか減るということだ」
流出したデータの多くは、顔情報を売買する闇市場に流入している。『北京青年報』は以前、ある売り手がネットショップで販売していた「顔データ」には2,000人分の肖像が含まれており、1人につき50~100枚の写真からなる合計17万件のデータには有名人だけでなく職業も年齢も異なる一般人も含まれていたと報じた。写真ごとにデータファイルが付されており、目、耳、鼻、口、眉毛などのパーツ情報まで含んでいたという。その売り手は記者に対し、こうした顔データの一部は検索エンジンから入手したものであり、国外のソフトウエア企業のデータベースから入手したものも一部存在すると話している。
さらに深刻なのは、ますます多くの顔データがクラウド上にアップロードされ、データ流出または違法利用の可能性が大幅に高まり、運営側スタッフによるデータ窃取、データベースへのハッカー侵入、企業の破産・倒産後におけるデータベースの投機的な転売といった可能性も排除できないことだ。
「データ保管の段階からみれば、いったん収集されたデータが適切に保護されなければ大規模な流出につながるだろう。たとえ合理的なデータ保管措置が講じられたとしても、ハッカーの侵入による流出の危険性は依然としてぬぐえない。個人の生物学データは安定的かつ不変的であるため、いったん流出すればこれに関するリスクと危害は不可逆的なものとなり、有効な挽回方法もない」。労氏は顔データの流出によってもたらされる潜在的リスクは携帯番号や口座番号の流出よりはるかに深刻だと断言する。顔、声、虹彩などの生物情報が流出しても、それらを変更する術は存在しないからだ。
個人情報とのひも付けで高まる危険性
中商産業研究院のあるレポートでは、中国の生体認証技術(顔認証技術を含む)の市場規模は2020年300億元を突破すると予想されていた。顔認証をめぐってはすでに基礎レベル(チップ、アルゴリズム、データ)、技術レベル(動画の顔認証、画像の顔認証、データ比較検査)、応用レベル(ハードウエア、アプリケーションおよびアプリケーションプラン)からなる完璧な産業チェーンが構築されている。
データ流出の影響は甚大であり、多くの業界関係者は、単なる個人の写真だけでは大きなリスクとならないが、それに個人情報がひも付けられた場合の被害は非常に深刻だと指摘する。
顔写真と個人情報のマッチングの経路はますます多様化している。「1つ目の経路は決済ソフトウエア。ソフトウエアは元々個人情報を抱えており、これらに顔写真が加わることでマッチングが可能となる。2つ目に工業団地や観光地。こうした場所で身分証をかざして入場すると、それがデータベースになる。3つ目に多くの金融サービス会社。こうした会社は顧客情報を権威ある機関のデータベースで検索・照合するが、一部企業は照合後それらのデータを保存し続けるため、データ流出のおそれがある」と業界関係者は分析する。
ある専門家は、多くのシーンまたはアプリで利用者は身分証の撮影を求められるが、これは身分証と顔写真がセットになっているので最も危険であり、こうした情報の提供は可能な限り回避すべきだと注意喚起している。
多くのメディアはこれまで、「写真の3Dアニメーション化」ツールを使えば、顔写真を「まばたきをする、口を開ける、うなずく」といった動作をおこなう顔認証動画に変更できることをスクープしてきた。個人情報をひも付けた写真の3Dアニメーション化をおこなうと、市場に出回る大多数のソフトウエアに実名登録できるようになる。これに認証コードのクラッキング手段が加われば、犯罪者がネットキャッシングや振り込め詐欺などを実行するうえでほとんど何の障害もなくなる。
「グーグルは情報の乱用に対する懸念から、顔と個人情報のマッチングをすでに明確に拒絶している。だが他のIT企業の態度はこれほど毅然としたものではないようだ。アマゾンとマイクロソフトはいずれもクラウドコンピューティングサービスにおいて顔認証を提供しているほか、フェイスブックもこれを中核プランの一部に組み込もうとしている」。英『エコノミスト』誌が2017年に掲載した論文にはこうした指摘があった。
ある専門家は以下のように述べる。「顔認証アプリには主に技術的なリスク(誤認リスク、人種差別、性差別の危険性、セキュリティホールへの対抗など)、乱用リスクおよび情報リスクがある。やがてアプリが普及するにつれて、『カネ』や『セキュリティ』などの面でのリスクが高まる」
7月6日、山西省太原市で2020年全国大学入試を目前に控える受験生が受験場所に赴き試験場を下見する様子。試験関連職員は「顔認証」技術を利用して学生の身元を確認していた。撮影/『中国新聞週刊』記者 韋亮
乱用されるテクノロジー
米国中央情報局〔CIA〕元技術分析官のエドワード・スノーデン氏は2017年の時点でこう予言していた。「携帯電話のロック解除をはじめとするフェイスアプリケーションの登場は、顔のスキャニングを当たり前のものに変えると同時に、必ずや顔認証の乱用につながるだろう」
この予言はいまでは現実のものとなっている。アップルは2017年、顔認証によるロック解除をサポートする新型スマートフォンiPhoneXをリリースした。また同年には、支付宝〔アリペイ〕、京東集団〔JD.com〕、蘇寧易購〔Suning.com〕も相次いで顔認証決済機能をスタートさせた。顔認証の活用シーンはエンドユーザーのレベルで広がる一方だ。
「規制が一切ないため、顔認証技術の活用シーンの大々的な拡大に伴い、必ず避けられなくなるのが乱用と差別〔人種差別、性差別など〕だ。セキュリティ、出入退管理、決済および認証などのよくある活用シーンに加え、顔認証技術は現在、ショッピングセンターでの顧客数統計、社区〔地域コミュニティ〕管理、年金の受領、税務認証、物品の保管、観光スポットへの出入場および劇場でのチケット確認などに幅広く使用されている。さらには学生の授業態度をモニターすることを目的に、教育分野での利用も推進されている」と前掲の労氏は論じている。
ニーズのある政府部門と市場を奪いたい企業が「示し合わせ」、膨大なリスクを抱える顔認証アプリケーションを「至るところで開花」させているというのが労氏の考えだ。「政府の観点からいえば、顔認証はやはり便利なテクノロジーツールというのが先に立つ。求められる安全性についてはできる限り厳密な対策を講じるとしかいえない。一方で資本の側からいえば、研究開発や普及に取り組む企業が常軌を逸するほどの速度で事業を拡大しているのは、自社の市場価値や利益をできる限り引き上げるためである。この両者の密接な提携があるからこそ、顔認証技術拡大の勢いは押し寄せる洪水のようにせき止めることが不可能だと言うしかない」
ますます多くの顔認証が生活に「侵入」している事態に対し、労氏は一貫して抗議の立場を鮮明にしてきた。北京市軌道交通指揮センターの戦明輝(ジャン・ミンホイ)主任は2019年10月29日に実施されたあるフォーラムで、北京市は顔認証技術を活用した乗客分類安全検査を実施し、安全検査職員はこれに基づき各種の安全検査措置を講じる計画であることを明らかにした。その2日後、労氏は「地下鉄での顔認証利用に関する法的リスク」と題する論文を発表し、こうしたやり方に断固として反対した。現時点でこの計画は一時的に棚上げされている。
「データをどう収集、保存、送信、使用および処理するか、ならびに第三者への販売または提供を許可するか、ネットワーク上に置くことを認めるかどうかなど、現行の法律は一切介入していない。その結果、活用シーンの大々的な拡大で誘発されるであろうリスクもまた、何倍にも膨らむ状況が出てきている」。労氏はこれが「よくよく考えると恐ろしいこと」というレベルの話ではなく、根本的には「想像すらしたくない事態」だと断言した。
(おわり)
※本稿は『月刊中国ニュース』2021年3月号(Vol.109)より転載したものである