ハクソク

世界を動かす技術を、日本語で。

Kmartによる顔認識技術の使用は返金詐欺対策として違法である

245日前原文(oaic.gov.au)

概要

  • Kmart Australia が顧客の顔認識データを無断収集し、プライバシー法違反と認定
  • 通知や同意なし で顔認識技術(FRT)を導入
  • プライバシー侵害が 過度で代替手段あり
  • OAIC が同様のケースでBunningsも調査
  • 技術導入時は 透明性・比例性・ガバナンス が重要

Kmartによる顔認識技術(FRT)利用とプライバシー侵害

  • Kmart Australia は2020年6月~2022年7月、28店舗で 顔認識技術(FRT) を導入

  • すべての来店者と返品カウンター利用者の 顔データ(生体情報) を無差別に収集

  • プライバシー法 上、顔データは特に保護される 機微な個人情報 に該当

  • 顧客への 通知や同意取得 を一切実施しなかった事実

  • 返品詐欺対策を理由に 同意不要の例外適用 を主張

  • しかし、 プライバシーコミッショナー はこの主張を否定

    • すべての来店者の情報を無差別収集
    • 他に プライバシー侵害の少ない代替手段 が存在
    • FRTの詐欺防止効果は限定的
    • 多数の無関係な顧客のプライバシーを侵害し 過剰な措置 と判断

プライバシー保護と技術活用のバランス

  • プライバシー保護事業活動 のバランスの重要性
  • 顔認識技術の導入には 社会的利益人権保護 も考慮
  • 返品詐欺による損失額・FRTの効果・プライバシーへの影響を総合判断
  • FRT導入の利益がプライバシー侵害を正当化しない と結論

他企業・業界への影響

  • OAIC による小売業界での2例目のFRTプライバシー違反認定
    • 2024年10月、 Bunnings Group にも同様の認定(現在審査中)
  • 今回の決定は FRTの全面禁止ではない
  • 安全確保や詐欺防止 は正当な理由だが、 プライバシー法遵守が必須
  • 新技術導入時の 比例性・透明性・バイアスリスク・ガバナンス の重要性を強調
  • OAIC公式ガイド 「Facial recognition technology: a guide to assessing the privacy risks」も公開中

今後の指針と小売業界へのメッセージ

  • Kmart は2022年7月以降FRT運用を停止し、調査に全面協力
  • KmartとBunnings の事例はFRT利用目的が異なる点に注意
  • プライバシー法は技術中立 であり、特定技術の使用自体を禁止しない
  • 新技術導入時はプライバシーリスク評価が不可欠
  • Commissioner Kind による追加の見解・指針もブログで公開

Hackerたちの意見

もっと驚くのは、Kmartがまだ存在してるってことだよね…

死ぬには安すぎる

ここはオーストラリアだよ

オーストラリアのKmartは、元々のものとは別物だと思った方がいいよ。アメリカの元祖は、今や実質的に消滅してるし。

さらに驚くのは、私たちがカメラ監視や顔認識をほぼ100%のカバー率で許可してしまっただけでなく、ほとんどの人が自宅にカメラを設置するなど積極的に参加していることだよね。近所の監視システムを作る人もいるし。しかも、全部盗聴されてて、オーウェルが想像した以上のことを自分たちでやっちゃってる。心配しないで、事態はもっと明らかになって、手遅れになる頃には、マイノリティ・リポートが可愛くて無邪気な描写として語られるようになるから。

オーストラリア人として言えるのは、ここでのKmartは絶対的なパワーハウスだってこと。中国製の厳選された商品をめっちゃ安く売ってるから、予算が限られてる若者には夢のような場所だよ。配達サービスがひどいから、みんな実店舗に行く傾向もあるし。

オーストラリアのKmartは、正直言って結構いいよ。安い商品で、品質もまあまあ。TemuやSheinよりも上だと思う。おもちゃやペット用品に関しては、どこよりも価格が無敵だね。

そういえば、10年か20年前に破産したよね。アメリカのチャプター13破産法の不思議だね。それに、企業の所有権が曖昧だから、今誰が持ってるのか全然わからないよ。

オーストラリアのKmartは1978年からColes Australiaが所有してて、1994年以降はアメリカのKmartとは関係ないんだ。オーストラリアではすごく成功してるよ。

ウールワースもね!

面白い線引きだね:- 店内であらゆる動画を録画できるけど… - この特定の方法で処理することはできない。

最初の段落は、問題は「処理すること」じゃなくて、同意なしに店に入る全員を無差別に撮影することだってはっきり読めるよ。

これは、多くの法域でデータを扱っている人には馴染み深いことだと思う。ヨーロッパのことは話せるけど、他の場所でも似たようなことがあると思う - データの収集方法や内容に関してはあまり制限がないけど、使用方法には制限があるんだ。これは理にかなってるよね。IPアドレスやアクセス時間の基本的な記録は、レート制限のために必要だけど、それを広告に使うべきじゃない。お店が特定の目的のために記録するのは合理的だけど、すべての目的に使うのはダメだと思う。

これはいいことだね。技術を理解した法律や判決があるってことだ。ビジネスが店舗を守る必要と、人々のプライバシーを両立させてる。

それ、私も気づいた!ちょっとイライラするよね。法律で許されてることなら、テクノロジーを使ってやってもいいと思うんだ。人間が目視で確認するのはいいけど、すごく正確な技術を使ってそのプロセスを効率化するのはダメって、なんかおかしいよね。礼儀正しい社会が崩れていくのは好きじゃないな。デオドラントを買うために店員に鍵を頼むのも嫌だし。みんなを犯罪者扱いするんじゃなくて、犯罪者だけをちゃんと扱えばいいのに。礼儀正しい社会を乱すのはほんの一部の人たちなのに、みんなに大きな不便を強いるのはおかしいよ。犯罪者を罰して、犯罪者をターゲットにしたシステムを作ればいいんだ。逮捕のデータを見ると、州の刑務所に入る人の77%が過去に5回以上逮捕されてるんだよね。いつまでこの監視社会を続けるの?社会に居たくない人をただ閉じ込めるのが怖いからって。

「データ」でできること、できないことは色々あるよ。例えば、ブルーレイを買って、その内容をリッピングしてネットにアップすることはできない。そんなに「面白い」ことじゃないはず。

データを記録するのは自由だけど、処理するのは自由じゃない… まるで本が正当に保存されてるけど、機械学習で分析されてないみたいだね。私はGoogleにデータがある。Googleには私のデータを使えるっていうTOSがある。これには将来の利用ケースも含まれるかもしれないけど、その将来の利用ケースは予想してなかった。じゃあ、Googleはこの特定の方法で私のデータを使う権利があるのかな?

Kmartが再び動き出してるのを見るのはいいね。

信じられる?一度、駅で顔認識を使って無料のトイレットペーパーをもらったことがあるんだけど、「環境保護」のために紙の無駄を避けるっていう名目だった。その時、痛みがあって、トイレットペーパーを手に入れるために顔を売らなきゃいけなかったんだ。

トイレットペーパーは常に持って行った方がいいよ。公衆トイレにあるかどうか考えなくて済むから、ストレスが減るし。

中国のどこかでは、トイレットペーパーをもらうために広告を見なきゃいけないらしいよ。数日前に話題になってたね。

彼らが本当に必要なのは「尻認識」だね。素晴らしいスタートアップのアイデアだ!YC 2026?

本当にサイバーパンクなディストピアに生きてるよね。

スマートパイプ認証の完璧な応用だね。 https://www.youtube.com/watch?v=DJklHwoYgBQ

「リファンド詐欺」のために技術が導入されたわけじゃないみたいだね(リファンドの時に顔認識を使う方が簡単だろうし)。むしろ、全店舗でデータをどう活用できるか試してる感じ。リファンド詐欺だけにこの顔認識データが使われてるとは思えないな。

彼らのCISOが意思決定から外されたか、SLTがリスクを取る価値があると判断したか、あるいはCISOが完全に寝てたかのどれかだね。

もちろん、詐欺や盗難防止は法的に守りやすいからね。そういうケースには例外もあるし。

顔認証データが使われるのが返金詐欺だけだとしたら、かなり驚くよ。それが唯一合法的な目的だなんて。

超先進的な侵入型監視が、ターゲットみたいな企業にあなたが妊娠してることを知る前に教えるって話を聞いたことがあるけど、全然信じられない。YouTubeみたいな私をよく知ってるところからも、すごい広告が来るし。バンブルの広告で、ティーンエイジャーみたいな男の子が「バンブルでは何が見つかるかわからないよ」って言ってるのが変だなと思う。だって私は結婚してるストレートの男だからね。時々、別の言語の広告も来るし。最も進んだ広告ネットワークが私の話す言語を理解できないなら、Kmartが私の歩き方を基に悪意のあるプロファイリングをすることはあまり心配じゃないよ。詐欺をターゲットにする技術は好きだし、高信頼社会に住んでいたいからね。人々がシステムを悪用するのがイライラするし、それがいいものを持てない理由だと思う。おそらく最悪の1%をターゲットにすれば、デオドラントがガラスの後ろにロックされることもなくなるんじゃないかな。

残念ながら、ホームデポに行くのが長すぎて、すべてのケージが設置される前から行ってた。例えば、小さなワイヤーのロールが欲しいときは、アソシエイトを見つけてケージを開けてもらって、ワイヤーを取って、チェックアウトまで一緒に行かないといけない。これが必要かどうか一度聞いたら、経験豊富なアソシエイトが、200フィートの4ゲージをカートに乗せてそのまま出て行く人たちの本当の恐ろしい話をしてくれた。それは大胆さに関しても、そんなロールをカートに乗せられることに関しても、すごいことだよね(たぶんパートナーと一緒にだけど)。

概念実証?有色人種?連絡先?

ここでの主な判断は、全員がリファンドを求めていたわけじゃないから、店に入ることがバイオメトリックスキャンへの同意とはならないってことみたい。対照的な例として、オーストラリアのクラブでは顔認識とID確認を使って禁止された人を特定したり、偽の書類を見つけたりしてるんだ。これは入場条件として求められるから、同意があるってことになるし、その情報はすべての提携店舗で共有されてるよ。

すごいね。いいアプリケーションに見えるけど、悪用の可能性も大きいよね。

サービスを提供するすべての場所で求められることって、あんまり「オプトイン」って呼べないと思う。ナイトクラブに行かなければオプトアウトできるけど、それはちょっと違うよね。オプトアウトしたら、関係ない活動全般に参加できなくなるなら、それはオプトインとは言えないよ。例えば、アメリカのTSAは今、IDのために顔認証を使い始めてるけど、エージェントに言えばオプトアウトできる。それでも飛行機に乗れないわけじゃなくて、コンピュータの顔認証を使わずに人間があなたを確認するってことなんだ。

どうしてそうなるの?たぶん、ライブカメラの映像を見て、警備員が禁止されている人を見つけて排除するシナリオは問題ないんじゃないかな。人間をアルゴリズムに置き換えることで、法的に何が変わるの?人々は人間の警備員に顔認識されることに同意してたの?

それはあなたが指摘した判断理由に対する反例にはならないよ。ナイトクラブに入る人はみんなナイトクラブに入るために来てるけど、Kマートに入る人はみんなが返金を求めてるわけじゃないから。

Kmartってまだ存在するの?

オーストラリアでは、どうやらそうみたい。

見られることへの偏執的な恐怖って、ワクチンによる中毒恐怖みたいな爬虫類脳に基づく恐怖症に似てるよね。

Kmartってまだあるの?アメリカでは何年も見てないんだけど。

同じく、なんでだろう。グアムにはあるって聞いたけど…

他のコメントでも言われてるけど、オーストラリアでは実質的に別の店だよね。

こういうことをする会社には、取締役会に必須で顔認識AIカメラを設置すべきだね。そこで本当の犯罪が起きてるんだから。

薬物検査もね。