顔認証で250万人の行動を追跡監視 ウイグル住民データ流出で発覚 中国
ビクター・ジュベール氏がネットで見つけた中国のデータベースは、単なる昔の個人情報ではなかった。
それは中国西部に住む250万もの人々のリアルタイムデータの集合だった。しかもGPSを使い、それぞれの位置座標が絶えずアップデートされていた。氏名以外にも生年月日、勤務地、さらにはモスク、ホテル、レストランといったよく行く場所の情報もある。
サイバーセキュリティを研究しているオランダ人のジュベール氏が2月上旬、この発見についてツイッターで報告した。これにより、少数民族、とりわけイスラム教徒が多く住む辺境地である新疆ウイグル自治区で広く行われている、中国政府による監視の一端が明るみに出た。この地域は警察の検問所や監視カメラに囲まれており、それらは明らかに、起きたことを記録する以上のことをしているようだ。
「このデータベースでは、顔認証技術を使って人々の動きが追跡されているようだ」とジュベール氏は話している。1日に記録された座標軸情報は、670万超にも及ぶ。
ここ中国では、他国ならプライバシー保護に反するとして問題になりうる方法で顔認証が活用されていることが判明した。また、テック企業が詮索好きの国家に個人データをさらすことが、いかに容易であるかを再認識させられることとなった。
ジュベール氏によると、中国の顔認証企業センスネッツがデータベースを無防備な状態で放置したことで、住所情報、公的な身分証明番号などが公開される事故が起きた。情報漏洩を同社に伝えたところ、ほどなくデータベースへのアクセスができなくなったという。
同氏は、「システムが全世界に公開され、誰もがデータにアクセスできた」としたうえで、個人情報を統制するよう設計されたシステムに「12歳の子どもでも侵入できた可能性がある」と述べている。
公開された情報には、住民が「トラッカー」と呼ばれる監視カメラなどによって最近収集された位置座標も含まれるという。ストリーム情報によると、住民の位置情報をもとにデータが絶えずアップデートされていたという。
ジュベール氏がネットに投稿した統計情報によると、データベースに掲載された住民の54.9%が中国で多数派を占める漢民族であったほか、28.3%がウイグル族、8.3%がカザフ族という共にイスラム教の少数派民族だった。
本件についてコメントを求められたセンスネッツ社の担当者は、回答を控えた。新疆ウイグル自治区役所にもFAXで質問を送付したが、回答は得られなかった。
中国最西端にあり、中央アジアに接する新疆ウイグル自治区は近年、厳格な監視を受けるようになっている。過激派や独立派の鎮圧に成功していると政府が公言する施策の一環として実施されているものだ。
推定100万人ものウイグル族、カザフ族その他イスラム教の少数派民族が強制収容所に拘束されているが、中国政府はその施設を、潜在的な過激派を取り除く職業訓練所だとしている。アメリカやその他の国々は、この取り締まりに対して非難声明を出している。
報復措置を恐れて自らの姓を明らかにしなかったカザフ族の女性、グルジア氏によると、2017年終盤より、あらゆる場所に(墓地でさえ)カメラが設置されるようになったという。現在はカザフスタンとの国境近くに住む同氏は18日に行われたAP通信社との電話インタビューの中で、自宅軟禁された後に警察署に連行され、そこで顔や目の写真を撮られたほか、音声や指紋のサンプルを集められたと話している。
警官たちは「今後、この情報が身分を証明するIDカードの代わりに使用される。他の国で事故に遭ったとしても、居場所を突き止めることができる」とグルジア氏に言ったという。
新疆ウイグル自治区での取り締まりは、国内にある他の地域と比較すると熾烈をきわめている。今後、同様の取り締まりを他の場所でも広げていく際に当地が実験場になるかもしれないと、外部のアナリストや人権活動家は懸念を表明している。
顔認証技術の先駆者であるジョセフ・エイティック氏によると、この製品はアルゴリズムを使って群衆の中でも特定の人を認識・追跡することが可能だが、欧州ではプライバシー保護規制があるために、センスネッツのように広範囲で採用するのは困難だとしている。
「世界にある技術は統一化されつつあるが、政治情勢は同じではないため、さまざまな応用事例が生まれている」と、エイティック氏は話している。
センスネッツの会社登記情報によると、同社は2015年に中国南部の深圳で設立された。動画による監視を専業としており、北京に本拠を構える技術系企業のネットポーザが大株主となっている。センスネッツのホームページによると、江蘇・四川の両省と上海市の警察と提携関係にある。
同社のプロモーション動画は、顔認証・身体認証技術を使えば、混雑、雑然とした環境でも個人の正確な動きと身元の特定が可能であると宣伝している。同一ページにある別の動画では、脱獄犯が療養中の親類が入院している病室に向かう足どりを正確に追跡する監視カメラを紹介している。
ボストンとカリフォルニア州サンタクララに拠点を構えるネットポーザは近年、アメリカのセキュリティロボットメーカーのナイトスコープ社など、監視系スタートアップを買収している。2017年には、現在は破産状態にあるカリフォルニア州の監視カメラメーカー、アレコントを買収しようとしたが、後に撤回したと裁判記録にある。同社のアメリカ子会社のサイトによると、都市部におけるテロ対策に自社製品が使われているという。
2010年には半導体メーカーのインテルがネットポーザとの戦略的な提携を発表し、インテル子会社が出資した。しかし、ネットポーザは2015年、インテルが2016年までに同社持分4.4%の株式を売却することを明らかにした。
ジュベール氏は、データベースを発見したとき、倫理的なジレンマを感じたという。オランダを本拠とする非営利団体GDI基金の共同設立者である同氏は、ネットでセキュリティ問題を発見したらそれを当事者に報告するようにしている。オープンソースのMongoDBで構築されたデータベースにある情報が同じように公開され、管理者が放置していた際に問題の発見を手助けしたことで、最近は有名になっていた。
GDI基金は通常、問題があれば情報を保有する組織に報告するようにしている。「中立的な立場を守り、政治論争に関与しない」というのが、同社が掲げる使命の一つだ。
ジュベール氏は、問題の発見をツイッターに投稿した数時間後、このシステムが新疆ウイグル自治区に住む少数派のイスラム教徒を監視するのに使用されている可能性があることに気がついた。
「それは非常に腹立たしいことだった。私はコマンド一つで、あのデータベースを破壊することもできた。しかし、裁判官や刑の執行人にはならないことにした。それは私の役割ではないからだ」とジュベール氏は語る。
By YANAN WANG and DAKE KANG, Associated Press
Translated by Conyac