世界を動かす技術を、日本語で。

ホームデポがセルフチェックアウトで「密かに」顔認識技術を使用したとして訴えられる

2025年8月21日原文(petapixel.com)

概要

  • Home Depot が顧客に無断で顔認証技術を使用した疑惑
  • Benjamin Jankowski が集団訴訟を提起
  • Illinois Biometric Information Privacy Act (BIPA) 違反の主張
  • 類似事例として Rite Aid の顔認証利用禁止
  • バイオメトリクスデータの扱いと法的課題

Home Depotの顔認証技術利用に対する訴訟

  • Benjamin JankowskiHome Depot を相手取り訴訟提起
  • シカゴの店舗 でセルフレジ利用時、カメラと画面を発見
  • チェックアウト時、画面に 緑色の枠 が顔の周りに表示され、顔認証技術の利用を疑念
  • 警告表示や説明書き が一切なく、顧客への事前通知なし
  • セルフレジのみ利用可能 な状況で選択肢なし
  • 証拠写真 として緑色の枠が映ったセルフィーを裁判所に提出
  • 2024年に Home Depot が「コンピュータビジョン」技術を導入・拡大
  • 万引き防止策として顧客の 顔の幾何情報 を収集・保存
  • Illinois Biometric Information Privacy Act (BIPA) 違反を主張
    • 事前通知・利用目的の説明・書面での同意取得が義務
  • バイオメトリクスデータ方針 の公開もされていないと指摘
  • イリノイ州内76店舗 で同様の被害を受けた顧客を代表し集団訴訟
  • BIPA 違反1件につき 過失で1,000ドル、故意で5,000ドル の賠償請求

Rite Aidの事例と顔認証技術の社会的影響

  • Rite Aid は過去5年間、顔認証技術の使用を禁止される措置
  • 2012~2020年、 数百店舗 で顔認証システムを導入
    • 目的は 万引き犯や問題行動者 の特定
  • 顧客に無断で画像を収集・保存、 誤認識(誤検出) が多数発生
  • 連邦規制当局 が「無謀な利用」として対応
  • バイオメトリクス技術の プライバシー侵害リスク誤認識問題 が社会的議論点

バイオメトリクスデータと法的・倫理的課題

  • バイオメトリクスデータ(顔認証等)は 個人情報保護 の観点で厳格な規制対象
  • 利用時は 事前通知・利用目的の明示・同意取得 が不可欠
  • 企業の透明性顧客への説明責任 が今後の重要課題
  • 違反時の 法的責任社会的信用の損失 リスク

Hackerたちの意見

画像の顔の周りにある緑のボックスは、顔を検出した証拠だけど、特定の生体情報を収集したり保存したりしたわけではないんだよね。POS端末が顔を検出するのは合法で、次の客のためにリセットするタイミングを決めるのに役立つんだ。でも、私の理解では、これだけで発見を引き起こすことが多いみたいで、必要な技術的詳細を知ることができるんだ。もしこの訴訟が失敗しても、店は他の人たちからの繰り返し攻撃にさらされる可能性がある。各顧客からの書面での同意が唯一の実効的な保護策なんだよね。だから、BIPA法は、顔の検出、つまり認識だけじゃなくて、イリノイ州では実用的じゃないかもしれないね。

それでも「顔を認識している」ってことは変わらないし、そう表示されるんだ。法律用語は必ずしも科学的や工学的な用語である必要はないからね。

私の理解では、これらのシステムは緑のボックスが顔を検出するだけで、a) 後で顔を探すために何時間もの映像をスキャンしやすくするため、b) 犯罪に対する微妙な威圧感を加えるために使われてるんだ。顔の写真は「生体情報」としてカウントされるのかな?それはかなり疑わしいし、このケースは却下されると思う。

ここで止まってるとは思えないな。もうそれをやってるなら、後で何時間分も映像をスキャンする手間や費用をかけてるわけだから、絶対にもっと進んで、訪問時に何が起こったかに基づいて各顔にリスクスコアを付けると思う。次回はフラグが立てられて、LPの人がリアルタイムであなたをもっと注意深く見ることになるよ。個人的には、後で大きな犯罪で告発するための証拠を持ってるとは思わないけど、どの10台の忙しいセルフチェックアウトレジをリアルタイムで見るべきかを知りたいんだと思う。

そう思う、セキュリティの見せかけみたいなもんだよね。「カメラに映ってるよ!」みたいな。イギリスの一部の店では、レンズの周りにダンスするLEDライトがついてるCCTVがあって、あれは多分、a) 直視させて顔をはっきり映すためと、b) カメラがあることを思い出させるためなんだろうね。

カメラやディスプレイに組み込まれた「顔検出ブロッキング」だよ。それ以外は、映像はそのままONVIFでメインのDVRに送られて、そこで処理される(もっと悪質なことが行われる可能性もあるけど)。Wren SolutionsやCostarがこの「公共ビュー監視モニター」の主要な販売業者みたいだね。例えば、PVM10-B-2086とか。

ホームデポのセルフチェックアウトは、この顔認証を使って万引きデータベースを構築・維持してるんだ。これにより、同じ人による複数回の訪問での盗難を追跡して、時間をかけて不正なセルフチェックアウトをする人たちに対するケースを構築するために使われるんだ(つまり、盗難の閾値を超えさせて、起訴がしやすくなるように)。それに、CCTVのAI(人工知能か、実際のインディアンかはわからないけど)が、セルフチェックアウトのプロセスに介入して、「全部スキャンしてないよ」とリマインドしてくることもあるんだ。

こういう計画的な罪の積み重ねを許すべきかどうか、ちょっと疑問だよ。法律を武器化して、社会に何の利益ももたらさずに刑務所産業を助長してるだけだと思う。捕まって初めての時に多くの人が止めていたかもしれないのに、誰がそれを言える?もし警察が道端に座って、軽微な交通違反をファイルに記録して、1年後に一気に10件以上の告発をするようなことがあったら、みんな怒るだろうし、何も得られないよね。

つまり、盗難の閾値を超えさせて、起訴がしやすくなるように これは違法であるべきだと思う。報告や起訴を控えて、より有罪判決を得られる可能性が高いと思った時に行動するのは、まるで罠を仕掛けるような感じだよ。そうしないのは、単に不必要に復讐的で、予防よりも罰が重要だってことを示してるよね。

ここでのスーパーで気づいたんだけど、「スキャンしてない商品があります」って警告が出るのが何十回もあった中で、実際にスキャンされてなかったのは一回だけだった。他は全部誤検知だったよ。店員さんもいつもイライラしてるみたいで、機械にやられた人たちのためにその警告を消しに回ってるし、時には何人か待ってる人がいるんだよね…。

顔認識がBIPAの下で問題にならないかもしれないのは、バイオメトリックマーカーを保存していない場合だけだと思う。ハッシュだけならね。エンジニアとして、そして市民として言うけど、プライバシー保護の観点からは微妙なラインだと思う。でも法律はそうじゃないみたいで、顔認識技術の供給者はその矛盾をうまくお金に変える方法を知ってるみたいだね。いずれにせよ、原告はおそらくこの件を発見に持ち込むことができるだろうね。

ただ簡単なだけじゃなくて、累積の価値が重罪の窃盗に繋がるのを待ってるんじゃないかな。

Hacker Newsで議論の続きを見る