宮下紘教授は私を中央大学に招待し、生体認証、顔認識、EUのデータ保護とAIに関する規制について講義しました。
これは、生体認証、顔認識、GDPR、およびEU AI規制の関係を分析するプレゼンテーションの要約です。
まず、生体認証を「生理的または遺伝的特徴の収集、分析、解釈を通じて、個人を特定、分類、または行動を予測する技術」と定義します。古代の手のひら紋から現代のDNAプロファイリングまでの歴史的例は、過去の生体認証理論の一部が疑似科学であったことを示していますが、現代の技術は科学的メソッドを用いて一部のアイデアを再興させています。
顔認識(FR)は、識別、検証、または行動分析のために顔の特徴を分析する生体認証の分野です。AIは、自動学習、複雑な特徴抽出、変動への耐性を通じてFRを向上させます。FRの応用分野は、公共の安全、プライベートなアクセス制御、カスタマーサービス、ソーシャルスコアリングや感情検出のような議論の的となっている用途まで多岐にわたります。
主要な技術的課題には、以下の点が挙げられます:
- 大規模で適切にannotatedされたデータセットの必要性
- 精度とバイアスリスクのバランス
- 確率的な結果と現実的でない決定論的期待の区別
- バイアスに関する懸念:中立性が追求される一方、特定の法執行の文脈ではターゲットを絞ったシステムがより効果的である可能性
主要な法的課題には:
- 画像の取得(通常はインターネットから)
- 合法的な処理根拠の確立(同意、法的権限)
- AIを活用したFRと非AIのFRが同様のプライバシーと倫理的 implications を持つことを認識する
GDPRは、EU規制対象分野で個人データが処理される場合のFRを規制し、設計/デフォルトによるデータ保護(第24条、第25条)、セキュリティ措置(第32条)、影響評価(第35条)を義務付けています。ただし、EU条約第4条は、法執行、防衛、国家安全保障を加盟国に留保し、GDPRとAI規制の適用範囲をこれらの分野で制限しています。
EU AI規則は、FRを「リモート生体認証識別」(RBI)という広範な用語で扱い、リアルタイム使用と事後使用を区別しています。
- 受け入れられないリスクの使用には、ソーシャルスコアリング、リアルタイムの大量監視、生体認証分類が含まれ、法執行機関の例外は限定的です。
- 高リスク用途には、重要インフラ、教育、雇用、不可欠なサービス、移民管理におけるFRが含まれます。
プレゼンテーションでは、次のように主張しています:
- 多くの制限は、第4条のため、国家安全保障の文脈では執行不能です
- 技術そのものを禁止することは、AIを使用せずに同様の活動が続く可能性を無視しています
- リスクはAIの有無ではなく、使用文脈に依存します
- 過剰規制はEUの競争力と安全保障能力を損なう可能性があります