PimEyesは、大手家系図ウェブサイトから許可なく写真を入手した模様です。専門家は、これらの画像が生存する親族の特定に利用される可能性があると懸念しています。
写真:imaginima/ゲッティイメージズ
WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。
テイラー・スウィフトが11親等上の従兄弟だったことが分かったことは、シェール・スカーレットが家系図を調べている中で得た最も衝撃的な発見ではありませんでした。「私の家系には、Ancestryがなければ知ることのなかった、奇妙で不思議なことがたくさんあります」と、ワシントン州カークランド在住のソフトウェアエンジニア兼ライターであるスカーレットは言います。「母方の祖父母が誰なのかさえ知りませんでした。」
スカーレットが定期的にチェックしているサイトはAncestry.comだけではありません。2022年2月、顔認識検索エンジンPimEyesが、19歳の彼女の同意のない露骨な写真を公開し、数十年前のトラウマを再び呼び起こしました。彼女は、インターネットから収集した画像を使って個人の生体認証「顔認証」を作成するこのプラットフォームから、これらの写真を削除しようと試みました。それ以来、彼女はこれらの写真が再び公開されないようにサイトを監視しています。
1月、スカーレットはPimEyesがAncestry.comのURLから取得したような子供たちの写真を返すことに気づいた。試しに、自分の赤ちゃんの写真のグレースケール版を検索してみた。すると、祖父母に抱かれた幼い頃の母親の写真が表示された。スカーレットは、これは母親がAncestryに投稿した古い家族写真から取ったものだと思った。さらに検索を続けると、スカーレットは親戚の他の画像も見つけたが、これらもAncestryから取得したものらしい。その中には、1800年代の高祖母の白黒写真や、2018年に30歳で亡くなったスカーレット自身の妹の写真もあった。これらの画像は、彼女のデジタルメモリアルであるAncestryと、Ancestryが所有する墓地ディレクトリであるFind a Graveから取得したようだった。
スカーレット氏によると、PimEyesは死者の画像をスクレイピングしてデータベースを構築しているという。顔の特徴をインデックス化することで、サイトのアルゴリズムは画像から先祖とのつながりを通して生存者を特定できるようになり、プライバシーとデータ保護、そして倫理的な問題も生じている。
「妹は亡くなってしまったんです」とスカーレットは言う。「このプログラムに参加することに同意することも、撤回することもできないんです」
Ancestryの広報担当者キャサリン・ワイリー氏はWIREDに対し、サイトの顧客は家系図を含む自身のデータの所有権と管理権を保持しており、利用規約では「Ancestryのサイトやサービスから写真を含むデータを取得すること、またAncestryで見つかったコンテンツや情報を再販、複製、公開することを禁止している」と語った。
PimEyesのディレクター、ギオルギ・ゴブロニゼ氏はWIREDに対し、「PimEyesは正式に許可を得たウェブサイトのみをクロールしています。当社のクローラーが何らかの形でこのルールに違反したというのは、非常に残念な知らせです」と語った。PimEyesは現在、Ancestryのドメインをブロックしており、関連するインデックスは削除されているとゴブロニゼ氏は述べた。
Ancestryのデータベースは、拡大を続ける系図業界において最大規模を誇り、300億件以上の記録(公的記録からの写真や文書を含む)を擁し、2,000万人を網羅しています。ユーザーはこれらの記録にアクセスして家系図を作成できます。ユーザーがサイト上で家系図を公開すると、登録ユーザー全員が故人の写真を見ることができます。存命の人物は、家系図作成者が特定のアカウントに閲覧権限を与えない限り、家系図では閲覧できません。ユーザーは、Ancestryのメンバーディレクトリで検索可能なプロフィールで、どの情報を非公開にするか、どの情報を公開するかを選択できます。
PimEyesは、ユーザーがオンラインでの自分の存在を監視できるツールとして位置づけられています。同社は、自分の写真が見つかったウェブサイトを見つけるのに20ドル、複数の検索に月額30ドル以上、特定の写真を今後の検索結果から除外するのに80ドルを請求しています。
同社はこれまでソーシャルメディアから画像を集めてきたが、現在は公開されている情報源のみを収集していると述べている。児童の画像を収集していると批判され、ストーカー行為や虐待を助長していると非難されてきた。(2022年1月にPimEyesのCEOに就任したゴブロニゼ氏は、この批判は彼がPimEyesに在籍する以前から存在しており、その後、同社の方針は変更されたと述べている。)
「彼らは明らかにあらゆる種類のウェブサイトを無作為にクロールしている」と、デジタル権利団体Access Nowのシニア政策アナリスト、ダニエル・ルーファー氏は言う。「特に死亡記事のウェブサイトに関しては、非常に陰惨な状況だ」
死者は一般的にプライバシー法の保護を受けませんが、その画像やデータの処理は必ずしも公正な行為とは限らないと、オックスフォード・インターネット研究所の技術・規制教授サンドラ・ワクター氏は指摘します。「データがもはや個人のものではなくなったからといって、自動的に持ち出してよいわけではありません。もしそれが亡くなった人に関するものであれば、誰がそのデータに対する権利を持っているのかを明確にする必要があります。」
英国ニューカッスル大学の法学、イノベーション、社会学教授リリアン・エドワーズ氏によると、欧州人権条約は、死者の写真には生存者のプライバシー権があるという判決を下している。また、ウェブから無断で収集した生存者の写真を使用することは、本人の同意なしに生体認証データを処理し個人を特定することを禁じるEUの一般データ保護規則(GDPR)に違反する可能性があるともエドワーズ氏は述べている。
「もし死者の写真が何らかの形で、生存者を特定できる可能性のある人物の特定につながる可能性があるなら、GDPRの保護対象となる可能性があります」とエドワーズ氏は述べる。これは、PimEyesの写真とAncestryの情報など、2つの情報を組み合わせることで実現できると彼女は付け加える。PimEyesはヨーロッパで利用可能であるため、GDPRの対象となる。
スカーレットさんは、PimEyesの技術が個人を特定し、個人情報を開示させたり、嫌がらせや虐待に利用されたりするのではないかと懸念している。これは人権団体も抱える懸念だ。スカーレットさんによると、母親の名前、住所、電話番号は、Ancestryから取得した家族写真から、画像検索でわずか3クリックで見つかったという。
PimEyesはプライバシー保護ツールとして位置づけられていますが、ユーザーが誰の顔でも検索することを妨げるものはほとんどありません。ホーム画面からは、自分自身だけを検索することを目的としていることがほとんどわかりません。
ゴブロニゼ氏はWIREDに対し、PimEyesは1月9日に「多段階セキュリティプロトコル」を導入し、複数の顔や子供の検索を防止したと語った。ただし、特定のNGOを含むPimEyesのパートナーは「ホワイトリスト」に登録され、無制限に検索を行うことができる。ゴブロニゼ氏によると、PimEyesはこれまでに201件のアカウントをブロックしたという。
しかし、WIREDがスカーレットと彼女の母親について(両者の許可を得て行った)検索では、一致する人物は誰一人として見つかりませんでした。また、WIREDは、有料会員のオンライン掲示板ユーザーが、オンラインで見つかった写真から女性を特定するよう、他者からの依頼を受けていた証拠も発見しました。
ゴブロニゼ氏は、このシステムはまだ「トレーニング過程」にあると語る。
ワシントン州では、スカーレットさんは州司法長官にPimEyesに関する消費者苦情を申し立て、システムから人々のデータを削除すると約束する「オプトアウト」フォームを使って2度オプトアウトした。1度目は2022年3月、もう1度目は彼女の顔が再び現れた10月である。
スカーレットさんの母親も2023年1月にオプトアウトしたと彼女は言う。しかし、WIREDによる検索では、3月1日時点でも二人の顔写真がプラットフォーム上に表示されていたことが判明した。
ゴブロニゼ氏によると、PimEyesはスカーレットの最初のリクエスト後に22件以上の検索結果を、2回目のリクエスト後に400件以上を消去したという。また、スカーレットがオプトアウトした写真を使って検索を行ったところ、データベース内にスカーレットの画像は見つからなかったという。しかし、ユーザーが特定の写真でオプトアウトした場合でも、他の画像が表示される可能性がある。「オプトアウトエンジンは常に100%の効率で動作するわけではない」とゴブロニゼ氏は述べた。
ウェブをクロールして顔画像をデータベースに蓄積するAI企業に対する法的監視が強化されている。法執行機関向けに顔認識サービスを主に販売するClearview AIは、イリノイ州で集団訴訟を起こされ、欧州全域のデータ保護法に違反したとして罰金を科される可能性がある。英国では、独立監視機関である情報コミッショナー事務局(ICO)が同社に対し、全住民のデータを削除するよう命じている。Clearview AIは不正行為を否定し、欧州のデータ保護法およびICOの管轄権のいずれにも服すべきではないと主張している。
11月、英国を拠点とする人権団体ビッグ・ブラザー・ウォッチは、PimEyesが個人情報を「違法に処理」しているとして、ICOに法的苦情を申し立てました。ドイツのデータ保護担当コミッショナーは、PimEyesが生体認証データを処理しているとして訴訟を起こしました。ゴブロニゼ氏は、PimEyesがICOに「積極的に情報を提出」していると述べています。
ゴブロニゼ氏は、同社のデータベースを使って個人を特定することは「絶対に不可能」だと主張する。「私たちは、写真と個人を結びつけるのではなく、写真を掲載しているURLアドレスを結びつけるインデックスデータを収集しています」とゴブロニゼ氏は語る。PimEyesは写真をインデックス化するものの、画像そのものは保存していないという。ゴブロニゼ氏はさらに、PimEyesは個人を特定するために写真を処理しているのではなく、ウェブサイトのアドレスを見つけるために処理していると付け加えた。「PimEyesは個人を特定するのではなく、URLのみを特定します」と彼は述べた。
しかし、ルーファー氏は、PimEyesは写真に基づく「人物特定プロセスを大幅に促進し、容易にする」と述べている。「PimEyesのウェブサイトから直接人物の身元を特定できるわけではないという彼の意見は正しいと思いますが、クリックするだけで、その人の名前が記載されているウェブサイトにアクセスできます」と彼は言う。「PimEyesは大量のURLを提供し、その中から多くの場合、人物を特定できるでしょう。」
スカーレットさんは、こうしたリンクによって家族全員がプライバシー侵害の危険にさらされる可能性があると懸念している。
「私は[Ancestry]を本来の目的、つまり自分のルーツを知るために使いました。最初は本当にワクワクしたのですが、だんだん面白くなくなってしまいました」と彼女は言います。「自分の知らないうちに、あるいは同意なしに、顔認識ソフトウェアの生体認証情報に登録されるなんて考えてAncestryに写真をアップロードする人はいません…本当に侵害されていると感じます。」
