GDPR発効後初となる中止命令を受けたグーグルの音声AIレビュー

次の記事

TC Tokyo 2019スタートアップバトルの受付開始!仮登録は9月16日、本登録は9月末まで

ドイツのプライバシー監視機関は、音声AIによって録音されたオーディオクリップの人間によるレビューを停止するよう、Google(グーグル)に命じた。

これは先月、Googleアシスタントサービスから、かなりの数のオーディオクリップがリークしたことを受けたもの。オランダ語の評価を担当する契約社員が、1000点以上の録音をベルギーのニュースサイト、VRTに提供した。VRTではそこから何人かの個人を特定することができた。ユーザーの住所、病状に関する会話、打ちひしがれている女性の肉声、などを聞くことができたと報告している。

ハンブルグのDPA(データ保護当局)は、GDPR(一般データ保護規則)の第66条に基づく権限を行使し、同条項が定める「緊急手続き」を開始すると、先月グーグルに通達した。

第66条は、「データの対象者の権利と自由を保護するために行動を起こす緊急の必要性」があると確信できる場合には、DPAがデータの処理を停止するよう命令することを認めている。

昨年5月にGDPRが欧州圏全域で発効されて以来、この事例が同権限の最初の適用例と考えられる。

Googleによれば、7月26日にDPAに回答し、すでにヨーロッパ全域で、Googleアシスタントの人間による音声レビューを停止することを決定したという。データのリークが判明した後、7月10日には対応したとのことだ。

また先月には、ヨーロッパにおける主幹プライバシー規制機関であるアイルランドのデータ保護委員会(DPC)に、その違反について報告した。DPCは、ハンブルグのDPAによる命令によって明らかになった問題を現在「調査中」であるとしている。

アイルランドDPCの広報責任者、Graham Doyle(グラハム・ドイル)氏は、Googleアイルランドが「2、3週間前」に、Googleアシスタントのデータに関して第33条に違反していたという告知を提出したと述べた。「われわれの認識では、7月10日に、Googleアイルランドは、問題となっている処理を中止し、本日(8月1日)を起点として、少なくとも3ヶ月間は、処理の停止状態を維持すると約束しました。それはともかくとして、われわれは現在その問題について調査中です」と付け加えた。

Googleが、ヨーロッパで、現地のプライバシールールに準拠した方法で、人間による音声レビューを再開できるかどうかは不透明だ。ハンブルグのDPAは、GoogleアシスタントがEUのデータ保護法を遵守しているかどうか、「重大な疑念」を抱いていると、ウェブサイトに掲載した声明(ドイツ語)で述べている。

「ハンブルグのデータ保護当局とは連絡を取り合っています。音声レビューをどのように実施すればよいのか、データがどのように使われているかをユーザーに理解してもらうにはどうすればよいのか、検討中です」と、Googleの広報担当者は私たちに明かした。

リークが明らかになった後、先月掲載されたブログ記事の中で、Googleの検索担当のプロダクトマネージャー、David Monsees(デビッド・モンシーズ)氏は、Googleアシスタントのクエリの人間によるレビューは、「音声認識技術を開発するプロセスの中で非常に重要な要素」であると断言している。そうした製品の開発には「不可欠」だとも表現している。

「そうしたレビューは、音声認識システムが、さまざまな言語において、異なったアクセントや方言に対応できるようにするのに役立ちます。レビューの過程で、オーディオクリップをユーザーアカウントに関連付けるようなことはしていません。そしてレビューを実施するのは、すべてのクリップの0.2%程度に過ぎません」と、Googleの広報担当者は説明している。

しかし、現在市場に出回っている無数の常に稼働している音声AI製品、サービスによって録音された音声の人間によるレビューが、ヨーロッパ人の基本的なプライバシーに関する権利と両立できるものなのか、かなり疑わしい。

通常こうしたAIでは、録音を開始してクラウドに送信するためのトリガーとなる単語が決められている。しかし、現在の技術では、何かのはずみでトリガーがかかってしまうことも避けられない。そして、今回のリークによって明らかになったように、そうした機器の所有者だけでなく、その周囲にいる人も含めて、秘密の、あるいは私的な個人データが収集されてしまうことになる。しかも、機器の至近距離にまで近付かなくても、音声は記録されてしまう。

ハンブルグのDPAのウェブサイトには、Googleに対して行使された法的手続きは、ただちに影響を受ける可能性のあるユーザーのプライバシー権を保護することを目的としたものだ、と記されている。またGDPRは、EU加盟国の関係する当局に対して、最大3ヶ月間の効力を持つ命令の発効を許可していることも書いてある。

ハンブルグのデータ保護担当のコミッショナー、Johannes Caspar(ヨハネス・キャスパー)氏は、次のように述べている。「EUにおける言語アシスタントシステムの使用は、GDPRのデータ保護要件に準拠している必要があります。Googleアシスタントの場合、現状ではかなりの疑いがあります。言語によるアシスタントシステムの使用は、ユーザーに対するインフォームドコンセントが可能なよう、透明性の高い方法で実行されなければなりません。特に、ユーザーに十分な情報を提供し、音声コマンドの処理に関する懸念についても、はっきりと通知しなければならないのです。さらに、音声AIが誤動作によって起動してしまう頻度と、それによるリスクも説明する必要があります。最後に、録音の影響を受ける第三者を保護する必要性についても、十分に考慮しなければなりません。まず何より、音声分析システムの機能に関する、いろいろな疑問について明確にする必要があります。そうしてから、データ保護当局は、プライバシーを尊重した運用のために必要な、確固たる方策を決定する必要があるでしょう」。

またハンブルグのDPAは、他の地域のプライバシー監視機関に、言語によるアシスタントシステムを提供する他のプロバイダーに対するチェックも、優先的に実施すること、そして「適切な手段を実行に移す」ことを呼びかけている。そこに挙げらている音声APIのプロバイダーとは、Apple(アップル)とAmazon(アマゾン)だ。

今回、第66条による命令が下ったという事実は、ヨーロッパで音声AIを運営している他の大手IT企業にも、広く影響が及ぶ可能性があることを示唆している。

GDPRが繰り出した法的執行がもたらす本当の衝撃は、ニュースの見出しになるような罰金にあるのではない。もっとも、それはGoogleの世界規模の年間売上の4%に相当する金額にまで膨れ上がる可能性がある。しかし、それより重要なのは、ヨーロッパのDPAが、データの流れを止めさせるほどの力を持った命令を発行するという規制手段を手に入れたことなのだ。

「これはほんの始まりに過ぎません」と、ヨーロッパのデータ保護法に詳しい専門家が、匿名を条件に私たちに述べた。「第66条には、いろいろな引き出しがあり、いつでも開くことができるのです」。

音声AIのプライバシー問題が、だんだん深刻化してくる可能性を示すものかもしれないが、Appleも米国時間の8月2日、Siriの音声アシスタント機能のための人間による同様のレビュー、「品質管理プログラム」を一時停止中であると明らかにした。

この動きは、規制当局の指示によるものではなさそうだ。これは先週のGuardianの記事が、Appleの請負業者による内部告発を詳細に報じたことを受けたもの。それによると、その業者は「日常的に機密性の高い詳細な」Siriの録音を聞いていたという。たとえば、セックスをしている音、身元の特定につながる財務情報の詳細、などが含まれていた。Appleでは、録音を匿名化するプロセスを経たものだとしていたにもかかわらずだ。

AppleのSiriの録音の人間によるレビューの停止は、全世界規模のものとなっている。

画像クレジット:TechCrunch

原文へ

(翻訳:Fumihiko Shibata)