【ダークトレース /メディアアラート/欧州 】200億枚以上の個人顔画像の違法収集について、ダークトレースの専門家がコメント

報道関係各位

AIサイバーセキュリティのグローバルリーダーであるダークトレースより、メディアアラートをご案内いたします。
米国の顔認識システム企業であるClearview AIが、200億枚以上の個人の顔画像を違法に収集して世界的なオンラインデータベースを構築していることについて、
英国の個人情報保護監督機関である情報コミッショナー局(Information Commissioner's Office: ICO)から750万ポンド(約12億円)の罰金を科されたという報道に対し、
ダークトレースの脅威分析部門の最高責任者(Head of Threat Analysis)、トビー・ルイス(Toby Lewis)は次のようにコメントしました。

「Clearview社の顔認識データの不適切な取り扱いは、データプライバシーにかかる問題のみならず、サイバーセキュリティの問題でもあり、特に同社がプライバシーに関する法律を遵守していないことがサイバーセキュリティ戦略にも及んでいるとすればなおさらです。セキュリティ業界に携わる者にとって懸念されるのは、どのような方法でどのようなデータを収集するかだけでなく、そのデータが事後的にどのように保護されるかということです。
 
たとえ合法的に取得されたデータであっても、収集時のセキュリティを確保することは、顔認識のような技術の適用を最初に規制することと同じくらい重要です。顔認識データは、比較的新しい形態の高度な個人識別情報(PII)であり、ダークネットなどの場所で高い市場価値を持つことになるため、組織に身代金を要求しようとするサイバー犯罪者にとって魅力的なターゲットです。機密性の高いデータであればあるほど、組織が代金を支払う可能性は高くなります。

顔認識技術には常に賛否両論が付きもので、今回の件で、この新技術を禁止する声がさらに高まる可能性があります。しかし、それが回答になることはあり得ません。私たちは、新しい技術を採用することで生じる関連リスク(プライバシーとセキュリティ)を管理する方法を見つける必要があります。このデータの安全確保を任務とする組織は、データを管理するシステムを監視し、違反やサイバー攻撃から保護するためにAIを必要とします。これにより、最新技術の長所がセキュリティの弱点にならないようにすることができるのです。」

<英語原文>
“Clearview’s mishandling of facial recognition data is not only a data privacy issue but a cyber security problem, particularly if the company’s disregard for privacy laws extends to its cyber security strategy. What concerns those of us in the security industry is not only how and what data is collected but how it is secured after the fact.

Even when it is lawfully obtained, securing data when it is collected is as important as regulating the applications of technologies like facial recognition in the first place. Facial recognition data is a relatively new form of highly personally identifiable information (PII) which will have high market value on darknet sites, making it an attractive target for cyber-criminals looking to hold organizations to ransom. The more sensitive the data, the more likely it is that the organization will pay up.

Facial recognition technology has always been marred by controversy and this is likely to trigger further calls to ban the new technology – but that is absolutely not the answer. We need to find a way of managing the associated risks (privacy and security) that come with embracing new technology. Organizations tasked with securing this data will need AI to monitor the systems that manage the data to protect them against  breaches or cyber-attacks. This will ensure the strengths of the latest technologies are not turned into security weaknesses.”