下記の記事が出ている。
ローソン 酒やたばこセルフレジ販売へ 人手不足で作業省力化
NHK News:2021年10月7日
https://www3.nhk.or.jp/news/html/20211007/k10013296441000.html
ニュース報道なので,ローソンが実際にはどのようにして法令遵守しようとしているのかの詳細はわからない。もし法令遵守を考慮していない疑いがあるときは,例えば,個人情報保護委員会は,直ちに報告徴収の権限を行使すべきだ。
以下は,ローソンとは関係のない,あくまででも一般論。
人間により年齢確認をする場合でも,免許証等の提示により店員が視認で確認することは普通だ。しかし,セルフレジとは根本的に異なる。
人間による視認の場合,(人間の能力は普通言われているよりもはるかに高いので)かなりの精度で分別できる。しかも,視認の場合,正確なデータがデジタルで残されることはないという保証がある。あるとしても店員の記憶だけだ。
これに対し,セルフレジの場合,当該免許証等が真正なものであるかどうかを自動判別する仕組みが必要となるので,当該コンビニの支配権の外にある認証機関や関連官庁のデータベース中のデータとの照合が必要となる。それが適法に行われるための統一的な法令は,現行法の中には存在しない。それゆえ,常に違法行為となるリスクが存在する。日本国の場合,異なる組織間で整合性のとれたデータ照合を安全に実行するためのデータ,データセット及びメタデータの統一仕様が存在せず,そのような分野を規律するための(EUのeIDASのような)統一的な法令が存在しないので,情報セキュリティの観点からも,安全性の検証に手間取ることが予想され,かなり大きな問題が顕在化しつつあることに全ての関係者が明確に気づくべきである。
セルフレジの場合,明示または黙示で,年齢確認の目的のために免許証等の提示が求められる。このことは,逆に,目的外利用が許されないということを意味している。
ところが,セルフレジの場合,提示された免許証のデータをデジタルで自動的に記録し,関連データベースに自動転送することは,極めて容易なことだ。それが目的外利用に該当することは明らかだ。
無論,マーケティング等を含め,様々な目的のために二次利用すること及びデータを第三者提供することを明示し,本人が同意するのであれば,違法行為ではない。しかし,この場合,免許証の提示を求める時点でそのことを顧客が十分に理解できる仕組みを構築することが必要だ。しかも,顧客が了解しない場合,年齢確認のための処理以外の処理を全て機能させないようなキルスイッチの設置が必須となる。そのようなキルスイッチが正常に機能しているかどうか,当該事業者は毎日点検し,定期的に個人情報保護委員会に報告すべきだろう。また,個人情報保護委員会は,「事業者は善人ではない」という前提で,常に猜疑心をもち,定期的にソースコードレベル及びデバイスレベルでの徹底的な検証を実施し,もしごまかしが発見されたときは,関連事業者全部を1年~3年程度業務停止とするくらいの強い覚悟で監督を実施すべきだと考える。問題の発生に備えて,1事業者あたり1兆円程度または相当な額(1億人×推定平均損害額)の担保を事前に積ませるような法制の確立も望まれる。
更に,データを第三者提供する場合,後に,当該顧客が利用停止または削除を求めた場合,当該コンビニのセルフレジから,当該第三者に既にわたっているデータを含め,ワンクリックで全て自動的に消去するような仕組みの構築も必須と考える。当該第三者が外国政府または外国企業であり,当該セルフレジシステムの運営者の支配権が全く及ばないときは,当該運営者に関し,いかなる不可抗力の主張も許さず,無条件で全ての法的責任を負わせるような法制整備も必須だろう。
更に,画像データが保存される場合,運転免許証の形状・画像の複製や模倣と関係する関連法令との整合性が検討されなければならない。
当該事業者内にそのような検討をする能力のある法務部等が存在しない場合,公安当局及び警察当局は,最大限の猜疑心をもって警戒すべきである。
画像データの中に含まれる写真データ等の漏洩があった場合,当該事業者が,いかなる不可抗力の主張も許されず,無条件で全ての法的責任を負うような法制整備も必須である。
セルフレジによって一方的に大量の情報(データ)の提供を要求するのである以上,そのこととのバランスをとるため,事業者側には(一切の責任免除を認めない)無過失責任を原則とするような基本的な法理の確立が望まれる。
このことは,将来の人工知能技術の応用の前段階における「試金石」のようなものであり,もし政府が鈍感なままであるとすれば,(国防の問題も含め)日本国民に未来はない。
そもそも,人出不足の解消が目的と説明されているようなのだが,人出不足であれば総店舗数を削減すべきであり,自動化に投資するのは本末転倒と言える。
小売店の需要のある地域では,小型トラックによる巡回販売事業者や旧来の小売店の復活を推進するような政策が(国家レベルのフェイルセーフの観点からも回復力の観点からも)望ましい。コンビニチェーン等による独占的な支配の時代は「終わり」にしなければならない。
[追記:2021年10月9日]
セルフレジにおいて免許証等(外国人の場合,登録証・パスポート等)による自動的な年齢確認の仕組みを導入する場合,偽造・変造の証明書(カード)の使用があり得ること,そして,顧客が誤って別のカード等を使用した場合の対処も考えておかなければならない。
このような場合に検討すべき側面は多方面にわたる。
基本方針の設計の段階では,偽造・変造のカード等が使用されている疑いが自動判別される場合,警察や入管当局等に自動通報する仕組みを予め組み込むかどうか,その自動判別が誤判定だった場合にどのように対処すべきか(怒った顧客に対する個別対応を含む。),自動判定のために記録されえるデータの取扱いをどのようにすべきか,誤判定の場合でもデータを保存するか等を決定しなければならない。それらの基本方針は,当然のことながら,事前に公表されるべき性質のものなので,それを公表することによる結果も全ての範囲にわたって想定し,対処する必要性がある。
顧客が誤って(機密性の高い)勤務先の入退室用カードを使用してしまったというような場合を想定し,かつ,もしそのカードに含まれている電磁的記録が自動的にセルフレジまたはそれと連携するサーバ等の中に記録保存されるような場合を想定すると,そのような記録を残すことは,結果的に,不正アクセス禁止法違反となるような行為または建造物侵入行為またはテロ行為等の原因を発生させ得るリスクがある。そのようなリスクの発生を自動的に排除するような仕組みが設計・実装・運用されなければならない。リスクの存在が容易に想到可能であるにも拘らず何も対処しないことは,不作為による共同正犯または幇助犯の成立を是認し得る要素の1つとなり得る。この点に関して,問題となり得る犯罪類型の中には,共犯的行為または周辺的行為が独立罪として定められていることが多いということを明確に認識する必要性がある。
それらのことと自動的に連動することとして,捜査機関からデータの提供を求められた場合にどうすべきかに関しても,基本方針の設計の段階で明確に定められている必要性がある。データがセルフレジそれ自体ではなく,別のサーバや第三者のデータベース内に記録保存される場合,捜査機関等からの依頼または裁判所が発する記録命令付き差し押さえ命令の執行の場合,それらのデータ転送の経路を順たどり,迅速に対処する必要が生ずることがあり得る。Computer Forensicsの観点からすると,それらの転送の経路が正確であることを証明することが可能なレベルのログの一部を(保証を付して)提供できるような自動的な仕組みを設計・実装・運用することも予め定められる必要性がある。
それらの仕組みは,全て個人情報保護法に定める要件を完全に充足するものでなければならないので,本人から情報提供,利用停止または削除,第三者提供の停止等が求められた場合にも自動的かつ完全に対処できるような仕組みが設計・実装・運用されていなければならないことになる。捜査機関等からの求めによる第三者開示は,法定のものであるので,(理論的には)個々の事業者が利用目的として事前に明らかにしておく必要性のないものではあるが,(顧客対応という観点からは)そのようにして記録されたデータが捜査機関や入管当局等の手にわたる可能性があるということを自動的に明示するような仕組みを導入すべきだろう。
加えて,システムの仕組みが複雑になり過ぎること(または,収益を圧迫するレベルで高コストとなること)を避けるため,使用可能なカード等の種類を限定した場合,必然的に,「差別」の問題が発生することを覚悟しなければならない。特に,視覚等に障害のある者,手指等の触覚または動作に障害のある者や高齢者等を消費者取引行為から自動的に排除してしまうような仕組みは,差別行為そのものとなり得る。日本国民しか所持できない証明書またはカードのみを使用可能とした場合にも同様の差別の問題が発生し得る。
そのような差別の発生を回避するための相対的に合理的かつ有用な方法は,機械装置であるセルフレジではなく人間の店員による顧客対応である。機械装置は,機械装置として設計・実装されている以外の機能を発揮することはできないが,人間であれば臨機の対応が可能である。
現時点におけるEUの人工知能政策の骨格部分,その中でも特に「人間中心主義」の思想から学ぶべきことは多い。
最近のコメント