以下に訳出したのはEUで活動するEDRiのニュースレター2021年4月22日号からの抄訳です。EDRiネットワークは、欧州全域でデジタルの権利擁護と促進に取り組むNGO、専門家、アドボケート、学者のダイナミックでゆるやかな集団。約20年にわたり、ヨーロッパにおけるデジタルライツ運動のバックボーンとしての役割を果たしてきている。なお「続きを読む」から先のリンクは英文です。

===============================

読者の皆様へ

昨日、欧州委員会は待望の人工知能に関する規制を開始しました。私たちの最初の反応をご覧ください。

今回のEDRi-gramでは、警察によるAI犯罪リスクスコアリング技術への依存度が高まっていることについて論じている。また、AIを搭載した技術の差別性、国境での技術実験などについても述べている。

このニュースレターと私たちの活動に価値を感じていただけましたら、ぜひネットワークでシェアしていただき、ご寄付をご検討ください。

ご寄付は、キャンペーンの調整、より強力な政策の提唱、ヨーロッパ中のメンバーとの連携、一般市民への教育と動員などに役立てられます。

寄付をする

AI規制に影響を与えるための#ReclaimYourFace

AI新法の提案は、生体情報による大量監視の害を訴えているが、解決には至っていない

2021年4月21日、欧州委員会は、人工知能に関する新法の提案を出した。これにより、欧州委員会は、生体情報を用いた大量監視が私たちの自由と尊厳に及ぼす数多くの脅威の一部を認めた。しかし、一見善意に見えても、提案された法律は、私たちの要求を著しく下回っており、EDRiやReclaim Your Face連合が求めているような、生体情報を用いた大規模監視のほとんどのケースを禁止するものではない。

欧州委員会（EC）は、曖昧な表現と不十分な定義の概念を含む新法案で、EU全域で記録されている有害なバイオメトリック大量監視の全容に対処することができなかった。

特に、このAI法案は、法執行目的の生体情報大量監視行為の一部を禁止しているだけで、政府当局や民間企業の行為は一切禁止されていない。

さらに、各国政府が国内法でこれらの例外を認めることを決定した場合に限られるとはいえ、欧州委員会は、法執行機関に対して、生体情報を利用した大規模な監視ツールの使用を認めることができる問題のある実質的な例外リストを提供している。

最後に、法執行目的でのバイオメトリクス大量監視を禁止するこの法律案は、「リアルタイム」の識別にしか言及しておらず、悪名高いバイオメトリクス大量監視企業であるClearviewAI社が提供しているような「事後」の識別例が存在する余地がある。続きを読む

---

ブリュッセルからのニュース

AIによる人種プロファイリングの増加をEUが警戒すべき理由

著者 サラ・チャンダー、フィエケ・ヤンセン
オランダで東欧人やロマ人を「スリ」の対象としてプロファイリングするために使われている「予測型」アルゴリズムシステムや、英国の「Gang Matrix」のような秘密裏に作成された犯罪容疑者リストなど、ヨーロッパ中の警察が犯罪リスクを採点する技術に依存する傾向が強まっている。

警察によれば、これらのシステムは、どこで、誰が犯罪を起こすかを予測するものだという。

これらの予測や判断は、対象となる人々に非常に現実的な影響を与え、警察との接触頻度を高める。

場合によっては、これらのリスクスコアが、社会福祉制度、児童保護のための監視リスト、特定の地域を「ゲットー」として分類することなどと深く関わっていることもある。

予測型警察システムの中心となるのは、リスクと犯罪は客観的かつ正確に予測できるという考え方である。この前提には欠陥があるだけでなく、人間の行動を定量化し、追跡し、予測するためにデータを使用することが可能であり、また使用すべきであるという考えにより一層傾倒していることを示している。

このようなシステムの使用が増えているのは、社会問題を解決するには、より多くの権力や資源、そして今ではテクノロジーを警察に割り当てるべきだというイデオロギーの高まりの一環である。

データは、近い将来に何かが起こる可能性を示すことはできるかもしれないが、その原因はわからない。このように、これらのテクノロジーは、警察が「受け入れられない」と判断した行動をコントロールするためのものだ。

法執行システムの基礎となるデータは、基本的には歴史的慣行と社会経済的バイアスによって決定され、本質的には人種と階級に分けられる。

このデータは、犯罪ではなく、取り締まりのパターンを反映している。

続きを読む EU Observerに掲載された意見書。

敵対的な世界におけるボーダーテック実験の規制

著者 EDRi の元 Mozilla フェロー、ペトラ・モルナー
私たちは、人々の移動、家族との再会、そして最悪の場合は生き延びることを制限するテクノロジーのパノプティコン化の進行に直面している。

EDRiが2020年11月に発表した最新レポート「Technological Testing Grounds: 移民管理の実験と現場からの考察」は、拡大する監視と自動化のパノプティコンを問い直そうとするもので、国境産業複合体he border industrial complexの最前線で行われているこれらの技術的実験のすべてを網羅し、こうした実験が野放しであることを強調し、移動する人々の生の体験を前面に押し出している。私たちの考察は、移民管理技術の使用がいかに害悪を永続させ、体系的な差別を悪化させ、特定のコミュニティを技術的な実験場にしているかを認識する必要性を強調している。

ここでの物語の1つは、ギリシャを舞台にしている。なぜなら、ギリシャは移民のフロンティア空間であると同時に、技術的な実験場、つまり「サンドボックス」でもあるからだ。2020年9月、EDRiの元Mozillaフェローで、Migration and Technology Monitorを担当しているPetra Molnarは、レスボス島にあるヨーロッパ最大級の難民キャンプであるモリアキャンプの廃墟に行った。彼女が目撃したのは、事実上、新しいキャンプが一から作られていく様子だった。不毛の吹きっさらしの半島にこのキャンプを建設することは、逆説的に、移民を管理し、この技術的な実験場の有害な鋭い刃を経験している人々をコントロールするために、ますます強硬な技術と監視装置を導入しようとする強迫観念と結びついている。

彼女は数週間前に戻ってきたが、これらの問題は依然として残されたままだ。2021年3月26日（金）、Frontexはプレスリリースを出し、ランド・コーポレーションに委託して、国境業務における人工知能の様々な利用法について、「自動化された国境管理、不審な車両や貨物を検出するための物体認識、運用上の認識と脅威の検出のための地理空間データ分析の使用」 など不愉快なレポートを作成したことを誇らしげに述べている。ギリシャでは、レスボス島、サモス島、キオス島、レロス島、コス島で提案されている5つの多目的レセプション＆アイデンティフィケーションセンター（MPRICs）には、いずれも 「センター居住者の行動や移動を監視するモーション分析アルゴリズムを備えたカメラ監視 」が含まれていることが報告されている。これらのキャンプには、EUから惜しみなく資金が提供されている。

続きを読む

支配的なハイテク企業は、自社製品を意図的に互換性のないものにしている

著者 Jan Penfrat
想像してみてほしい。IKEAで新しいダイニングテーブルを買って、それは素晴らしいテーブルなのだが、IKEA製の椅子しか使えない。セキュリティ上の理由から、このテーブルはサードパーティ製の椅子とは互換性がありません、ごめんなさい、と家具メーカーから言われたとする。バカバカしいですか？今日のオンラインプラットフォーム経済へようこそ。

大手ハイテク企業の多くは、自社製品を意図的に他社との互換性のないようにしている。他のベンダーの製品と互換性のある製品のことを、技術用語で「相互運用性interoperability」と呼ぶ。デジタル相互運用性とは、競合する企業の製品であっても、コンピュータシステムを連携させる技術的な仕組みのことである。よく知られている相互運用技術の例として、電子メールや電話サービスがある。サービスプロバイダーやアプリ、デバイスに関係なく、メールアカウントや電話を持っている人にメールを送ったり、電話をかけたりすることができる。

デザイン上、そしてデフォルトで互換性がない
もしGoogleが突然、Gmailユーザーは他のGmailユーザーにしかメールを送ることができず、Outlook MailやYahoo、その他のメールプロバイダーを使っている人にはメールを送ることができないと決めてしまう、これは考えられないことではないのではないか？また、ユーザーにとってのGmailの価値を著しく低下させることになるのではないか？しかし、Facebookのソーシャルネットワーク、Twitterのマイクロブログサービス、WhatsAppのメッセンジャーアプリでは、まさにこれが実現されている。Facebookのユーザーは他人のTwitterのフィードをフォローできないし、SignalのユーザーはWhatsAppのグループに参加できないし、iPhoneのユーザーはAppleのアプリストアで事前に承認されたアプリしか使えない。

なぜ企業がこうしたコントロールができるのか？大手ハイテク企業は、相互運用性を壊しても、巨大なので気にしないで済むからだ。FacebookやWhatsApp、Youtubeなどは、非常に多くのユーザーを抱えているため、他のサービスを利用している人との交流を技術的に不可能にすることで、彼らをデジタルの人質として拘束することで利益を得ている。

その結果。人々がこれらの閉じたネットワークに登録するのは、それがベストだからではなく、他の人々と連絡を取りたければそうしなければならないからだ。経済学ではこれを「ネットワーク効果」と呼ぶが、ネットワーク効果を克服して人々を人質から解放することは、効果的な法律がなければ非常に困難だ。どのような法律が必要なのか？

続きを読む

EDRiネットワークからのお知らせ

テクノロジー関連の要素を示した画像で、コンピュータは二元的であり、人間ではないという考えを示唆している。
コンピュータは二元的で、人はそうではない：AIシステムがLGBTQのアイデンティティをどのように損なうか

著者 ダニエル・ルーファー（EDRiメンバー、アクセス・ナウ
スマホの予測入力機能を使ったり、InstagramやSnapchatで自撮りフィルターをかけたりと、ほとんどの人が1日に何度か何らかの人工知能（AI）システムと接している。

AIを搭載したシステムの中には、電力網の最適化など、私たちに役立つことをしてくれるものもある。また、声、顔の形、肌の色、歩き方など、私たちの最もセンシティブな個人情報を取得し、それをもとに私たちの人物像を推測するシステムもある。

企業や政府はすでにAIシステムを使って、差別につながる判断をしている。警察や政府関係者が、誰を監視し、尋問し、逮捕すべきかを判断するために、あるいは将来、誰が法律に違反するかを「予測」するために、AIに頼ることになれば、深刻で、時には致命的な結果を招くことになる。

世界中の市民社会組織、活動家、研究者が反発していることがある。ヨーロッパでは、Access NowはReclaim Your Faceキャンペーンの一員として、EUにおける生体情報を用いた集団監視の禁止を求める正式な請願書を作成し、61の主要なNGOとともに、人権と相容れないAIのアプリケーションの禁止やレッドラインを議員に求めている。

AIがLGBTQの抑圧を自動化する方法

まず、自動性別認識（AGR）について説明しする。人が自分の性別に関する情報を入力しなければならないユーザーインターフェースはどこにでもある。ありがたいことに、場合によっては、単純な男性／女性、男性／女性という二項対立を超えて、自分のジェンダー・アイデンティティを定義する主体性を人々に与えるために、ユーザー・インターフェースのデザインを再構築し、より幅広いラベルの選択肢を与えたり、もっと言えば、自分のジェンダー・アイデンティティを最もよく表すラベルを自由に入力できるようにしようという試みも見られる。

AGRシステムは、トランスやジェンダー・ノンコンフォーミングの人々を排除するものとして、すでに議論を呼んでいる。例えば、「女の子だけ」のソーシャルネットワーキングアプリ「Giggle」。Giggleは、女子限定のポリシーを徹底するために、ユーザーが登録する際に自撮り写真のアップロードを要求している。その際、Giggleはサードパーティの顔認識技術を用いて、「被写体が女性である可能性を、指定された信頼度で判断する」と主張している。

続きを読む

プライバシー侵害に対する集団訴訟でFacebookを訴えるのは数千人の見込み

著者 EDRiのメンバー、Digital Rights Ireland
EDRiのメンバーであるDigital Rights Ireland（DRI）は、最近のFacebookによる個人データの侵害に影響を受けたヨーロッパ人に、facebookbreach.euでの集団訴訟への参加を呼びかけている。DRIは、被害を受けた人々のために損害賠償を求めてFacebookを提訴するが、これはヨーロッパのハイテク企業に対する法的措置としては初めてのことだ。この訴訟は、何千人ものFacebookユーザーを代表して、アイルランドの裁判所に提起される。

「DRIは、EUの住民に、フェイスブックに対して金銭的な損害賠償を求める訴訟への参加を呼びかけています。Facebookのような企業が、プライバシー権を侵害されたユーザーに金銭を支払うことを強制することは、これらの大手ハイテク企業の行動を本当に変えるための最も効果的な方法です。

集団訴訟の見通しは、最大規模で最も収益性の高いハイテク企業にとって、法に準拠し、ユーザーデータを商品のように扱うことをやめる大きな原動力となるでしょう。Facebookは、10億人以上のユーザーの生活に密着したユニークで強力な企業であり、これを正しく理解する必要があります」

とDRI会長、TJ・マッキンタイア博士は述べている。

4月3日（土）に発覚し、5億3,300万人のユーザーに影響を与えたFacebookのユーザーデータ保護に関する最近の失敗についてDRIは行動を起こしている。このデータは、アドレス帳の連絡先をインポートする機能を使用した結果、スクレイピングされたものだ。DRIによると、フェイスブックは、このユーザーデータを保護するためのプライバシー・バイ・デザインおよびデフォルトの実装を怠っただけでなく、漏洩が発生した際に影響を受ける人々への通知を怠り、さらにデータ保護委員会への通知も怠ったとのことだ。これらはいずれもGDPR上の義務である。

アイルランドの法律は、米国の法律のように集団訴訟class actionsを規定していない。「大規模訴訟mass action」とは、より一般的で、法律的には定められてはいない用語だ。大規模訴訟では、多数の人々が1つの訴状で代表され、同じまたは非常に類似した事実と法律が彼らのすべての状況に適用される。

違反行為によって影響を受けた人で、この法的措置に参加することに署名した人は、金銭的な損害賠償を受ける可能性がある。比較可能な他の法的侵害ケースでは、一人の人の権利の侵害に対する損害賠償額は300ユーロから12,000ポンドの間で変動している。

続きを読む

ルカの連絡先追跡アプリ。CCC、即時モラトリアムを要求

著者 マティアス・マルクス（EDRiメンバー、カオス・コンピュータ・クラブ
ここ数週間で、Lucaアプリの仕様、実装、適切なライセンスに重大な欠陥があることが明らかになった。後を絶たない一連のセキュリティ問題とベンダーの強引な対応は、根本的な能力と配慮の欠如の証拠だ。

それにしても、ドイツでは、適切な入札手続きを経ずに、デジタルで約束された救いを求めて税金を浪費する州が増えている。メクレンブルク・西ポメラニア州では、このアプリのインストールを公共の場に参加するための必須条件にしようとしているほどだ。

CCCは、直ちにモラトリアムを実施し、ドイツ連邦監査局による入札慣行の見直しを行い、アプリの強制を直ちに終了することを求めている。非常に機密性の高い健康情報や移動情報を扱うのに、国の補助を受けてテストされていないソフトウェアを展開するのは自殺行為だ。

投資家によるトークショーツアー

明らかな欠陥があるにもかかわらず、ドイツの各州はこれまでに、Lucaアプリを使用するためのライセンスに2000万ユーロ以上の税金を投入してきた。しかし、このアプリは、CCCが要求する「連絡先追跡」アプリの要件を一つも満たしていない。

国の補助金を受けたビジネスモデル

税金が惜しみなく使われているとはいえ、データやアプリ、インフラは当然ながら民間事業者の手に渡っている。しかし、高価なライセンスの有効期限は1年しかないが、Lucaアプリが入場システムのデファクトスタンダードになるには十分な期間だ。メクレンブルク＝フォアポンメルン州では、感染症対策条例の一環として、すでに公式にアプリの使用が義務付けられている。

このアプリのオーナーは、プレゼンストラッキングをさらに商業化する計画をすでに持っている。チケッティングシステムへの接続だけでなく、さまざまなビジネスモデルへの接続を幅広く行っていきたいと考えている。

続きを読む ドイツ語で読む
(訳註) 在ドイツ日本大使館「接触者追跡の改善を可能にし、感染の連鎖を断ち切るため、ベルリン州政府は、サービス業者や商工業者、顧客の出入りがあるその他の施設に対し、通称Lucaアプリ等のデジタルサービスの利用を求める。この要請は生活必需品の販売店を除いた小売店について、法的拘束力を有する。」https://www.de.emb-japan.go.jp/itpr_ja/konsular_coronavirus300321.html
Lucaアプリの日本語解説 https://luca.jp.malavida.com/android/

オーストリアはアップロードフィルターと付随する著作権をどのように導入しようとしているか

著者 EDRiメンバー、epicenter.works
物議を醸す著作権指令が2019年にEU議会で可決されたことは、インターネットの自由と世界のインターネット政策における欧州の役割にとって暗黒の日となった。epicenter.worksは、欧州司法裁判所（ECJ)がこの指令を覆すことを依然として期待しているが、オーストリアでの実施ができる限り基本権を守るものになるようにすることも自分たちの仕事だと考えている。

12月、管轄の法務省（緑の党）は、この法律の論争の的になっている部分を実施するための草案について、予備的な審査手続きを行った。Epicenter.worksは、その主なポイントを説明し、法的な分析も行う。第一印象：アップロードフィルターに関する部分は緑の党が起草し、付随的な著作権に関する文章は右派の保守党（ÖVP）が作成した。

アップロードフィルタ：多くの優れたアプローチといくつかの未解決の問題

現在の草案では、例えば、Tinderのような出会い系プラットフォームや、Redditのようなニュースアグリゲータがその範囲に含まれるかどうかは明らかではない。しかし、アップロードの数だけでなく、プラットフォームの規模も考慮されている。

法律案では、オンラインプラットフォームに過失があった場合、著作権および関連する権利侵害に対して責任を負う条件が明記されている。問題となっているオンラインプラットフォームは、著作権者の権利を保護するために「あらゆる努力」をした場合を除き、一般的に著作権侵害の責任を負う。例えば、この文言は、Flickrのようなオンラインプラットフォームが画像共有サービスを提供する際に、世界中のすべての著作者や映画製作者からライセンスを取得しなければならないことを意味しており、オーストリアの画像収集協会との一般的なライセンス契約だけでは十分ではない。欧州委員会は、プラットフォームが合法的なコンテンツをオンラインで維持する義務は、ブロックする義務よりも重いと主張している。後者は単に「最善の努力」を必要とするのに対し、前者は実際に目標を達成する必要があるからだ。したがって、法律案の文言は指令と矛盾している。

続きを読む

EU。ワクチンパスポートに関する新たな「アドホック・ワーキンググループ」が秘密裏に作業を開始

著者 EDRiメンバー、Statewatch
EDRiのメンバーであるStatewatchは、デジタル予防接種証明書の計画にどのようにアプローチするかについてのEU加盟国の議論が、新しい「アドホックワーキンググループ」で行われていることを伝えている。

この種の証明書は、移動の自由、会場や公共スペースへのアクセス、無差別、プライバシーやデータ保護など、基本的な権利や市民的自由に関する深刻な問題を提起するものであり、当初の反応では、提案が必ずしもこれらの問題すべてに対処していないことが示唆されている。欧州データ保護監督当局と欧州データ保護委員会（各国のデータ保護当局で構成）が本日発表した共同意見では、これらの問題のいくつかをより詳細に検討している（pdf）。

今回の提案の重要性にもかかわらず、国民が自国の政府が理事会で何を議論しているかを知る機会は、通常よりもさらに少なくなるかもしれない。

特別作業部会が会議の議事録を作成するかどうかを尋ねられた理事会のプレスオフィスは、Statewatchに次のように答えている。

「そのような議事録はありません。立法文書が急速に進む中、我々は加盟国が表明した立場を次回の会議で議長国が提示する妥協案に反映させることを選択し、加盟国はしばしば書面で他の加盟国にコメントを送ることにしています。」

続きを読む

携帯電話を買うとトラッカーが付く：Android携帯に不正な追跡コードが不正にインストールされる

著者 EDRiメンバー、noyb
フィナンシャル・タイムズ紙が報じたように、EDRiのメンバーであるnoybは、AppleのIDFAに対する苦情に続いて、GoogleのAAID（Android Advertising Identifier）に対する更なる行動を開始しした。AAIDは、Googleや携帯電話上のすべてのアプリがユーザーを追跡し、オンラインおよびモバイルでの行動に関する情報を組み合わせることを可能にする。これらのトラッカーは、（「クッキーバナー」で知られるように）明らかにユーザーの同意を必要とするが、グーグルはこの法的要件を無視している。したがって、noybは、GoogleのトラッキングコードAAIDに対して苦情を申し立てた。

ユーザーの同意のないトラッキング

Googleのソフトウェアは、ユーザーの認識や同意なしにAAIDを作成している。この識別番号は、ユーザーの携帯電話を一意に識別するナンバープレートのような機能を持ち、企業間で共有することができる。作成後、Googleおよび第三者（アプリケーションプロバイダーや広告主など）は、AAIDにアクセスして、ユーザーの行動を追跡したり、消費者の好みを精査したり、パーソナライズされた広告を提供したりすることができる。このようなトラッキングは、EUの「Cookie法」（e-Privacy指令の第5条3項）によって厳密に規制されており、ユーザーの情報提供と明確な同意が必要となる。

トラッキングなしのチャンスはない

Googleは、同意なしにAAIDをインストールするだけでなく、AndroidユーザーがAAIDを削除することもできない。noybがオーストリアで提起した訴状で証明したように、ユーザーは単にIDを「リセット」することしかできず、既存のトラッキングIDの代わりに新しいトラッキングIDを生成することを余儀なくされる。これでは、以前に収集されたデータを削除することも、今後のトラッキングを停止することもできない。

「想像してみてください。足や手に色のついた粉がついていて、それがあなたの一歩一歩の行動をマークしているとしたら、モバイルエコシステムの中であなたが触れたものすべてがマークされます。そして、それを取り除くことはできず、別の色に変えることしかできません。Android Advertising IDとは、モバイルエコシステムの中でも外でも、あなたのあらゆる行動を記録する追跡装置なのです」とnoyb.euのプライバシー弁護士、ステファノ・ロセッティは言う。

続きを読む