Whitebridge AI、GDPR違反で提訴──AI生成の虚偽情報を含む「評判レポート」販売に法的措置

リトアニアを拠点とするWhitebridge AIが、違法に収集されたデータとAIによる誤情報に基づいた評判レポートを販売したとして、プライバシー擁護団体Noybから苦情申し立てを受けた。Noybはリトアニア国家データ保護監督局に対し、同社によるスクレイピングされた個人データとAIが生成した虚偽情報の処理を禁止するよう求めている。申し立てでは、Whitebridge AIがGDPRの第5条、第6条、第9条、第12条、第14条、第15条、第16条に違反していると主張している。Noybのデータ保護弁護士Lisa Steinfeldは、同社のビジネスモデルが人々に関する警告的なデータを生成し、その結果生じる不安を収益化することに基づいていると指摘した。Noybが代理する2人の申立人のレポートには、性的なヌードや危険な政治的コンテンツに関する虚偽の警告が含まれていた。Whitebridge AIはコメント要請に応答していない。

From: Whitebridge AI created false and alarming reputation reports, complaint alleges

【編集部解説】

今回の事案は、AIを活用したデータスクレイピングとプライバシー保護の根本的な衝突を示す重要な事例です。

Whitebridge AIは100以上の公開データソースからAIを使って個人情報を収集し、わずか2分で「評判レポート」を生成するサービスを提供しています。このレポートには、ソーシャルメディアの投稿、ニュース記事、写真、職歴、性格特性の分析まで含まれ、誰でも購入可能です。同社は2024年10月に50万ドルの資金調達を実施し、オンライン評判管理市場が2023年の2300億ドルから2030年には4400億ドルへ成長すると見込んでいました。

しかし、この「公開情報の集約」というビジネスモデルには深刻な法的問題が潜んでいます。欧州司法裁判所は判例C-252/21において、ソーシャルメディアに情報を入力することは、GDPR第9条における「明白に公開されている」ことには該当しないと判断しています。承認されたフォロワーのみがアクセスできるプライベートアカウントの情報は、依然として私的領域に属するのです。

今回の申し立てで明らかになった最も問題のある点は、AIが生成した虚偽情報です。Noybが購入した2つのレポートには、「性的なヌード」や「危険な政治的コンテンツ」といった虚偽の警告が含まれていました。これらは特別な保護を必要とするセンシティブデータとしてGDPR第9条で扱われるべき情報です。AIの「ハルシネーション」として知られる誤情報生成が、個人の評判に直接的な害を及ぼす形で商品化されている状況は、極めて深刻と言えます。

さらに注目すべきは、同社のマーケティング戦略です。「これはちょっと怖い」「あなた自身のデータをチェックしよう」といったスローガンで、調査対象者自身にレポート購入を促しています。Noybの弁護士Lisa Steinfeldが指摘するように、これは人々に不安を与え、違法に収集された自分自身のデータに対価を支払わせるビジネスモデルです。GDPR第15条では、個人は自分のデータに無料でアクセスする権利を持っているにもかかわらず、です。

申立人がデータの修正を求めた際、Whitebridge AIは「適格電子署名」を要求したとされます。これはEU法には存在しない要件であり、意図的に権利行使を困難にする手法とも解釈できます。

この事案が提起する問題は、テクノロジー産業全体に波及する可能性があります。公開情報とプライバシーの境界線、AIによる自動処理の透明性、データ主体の権利行使の実効性など、多くの論点が含まれています。Noybはこれまで約800件のGDPR違反申し立てを行い、Meta、X、Googleなどのテックジャイアントとも対峙してきた実績を持つ組織です。5000人以上の支援メンバーに支えられた彼らの活動は、欧州のデータ保護規制の実効性を試す試金石となっています。

仮にリトアニア当局がWhitebridge AIに対して厳格な措置を取れば、類似のデータブローカーやAI企業にも大きな影響が及ぶでしょう。一方で、規制当局の対応が不十分であれば、個人データの無秩序な商品化がさらに加速する恐れがあります。

【用語解説】

GDPR（一般データ保護規則）
EU全域で2018年5月に施行された個人データ保護に関する法規制。個人データの処理に関する厳格なルールを定め、違反企業には最大で全世界年間売上高の4%または2000万ユーロのいずれか高い方の制裁金が科される。データ主体には自己のデータへのアクセス権、修正権、削除権などが保障されている。

Noyb（European Center for Digital Rights）
オーストリア・ウィーンを拠点とするプライバシー擁護団体。プライバシー活動家Max Schremsが設立し、5000人以上の支援メンバーに支えられている。これまでに約800件のGDPR違反申し立てを行い、Meta、Google、X、TikTokなどの大手テック企業との訴訟で実績を持つ。

データスクレイピング
ウェブサイトやソーシャルメディアから自動的にデータを収集する技術。検索エンジンなどで合法的に使用される一方、個人情報保護法に抵触する形での無断収集が問題視されるケースも多い。

GDPR第9条
特別な種類の個人データ（センシティブデータ）の処理を規定する条項。人種的・民族的出自、政治的意見、宗教的信条、性生活、性的指向などの情報は、原則として処理が禁止され、例外的に処理が許される場合の条件が厳格に定められている。

GDPR第15条
データ主体のアクセス権を規定する条項。個人は自分に関する個人データが処理されているかどうかを確認し、処理されている場合はそのデータのコピーを無料で入手する権利を持つ。

AIハルシネーション
AIが事実に基づかない虚偽の情報を生成する現象。大規模言語モデルやAIシステムが、実際には存在しない情報を自信を持って出力することを指す。

適格電子署名
EU規則（eIDAS規則）で定義される、紙の署名と同等の法的効力を持つ電子署名。認定された信頼サービス提供者によって発行される高度な電子署名で、通常の本人確認よりも厳格な手続きが必要となる。

【参考リンク】

1. Whitebridge AI（外部）
   リトアニアを拠点とするAI企業。100以上の公開データソースから個人情報を収集し、約2分で評判レポートを生成するサービスを提供している。
2. Noyb – European Center for Digital Rights（外部）
   Max Schremsが設立したプライバシー擁護団体の公式サイト。GDPR違反申し立ての詳細や欧州におけるデータ保護に関する最新情報を提供。
3. リトアニア国家データ保護監督局（外部）
   リトアニアにおけるGDPR執行を担当する監督機関。EU加盟国の各データ保護当局と連携し、データ保護規則の遵守を監督している。
4. The Register（外部）
   英国を拠点とするテクノロジーニュースメディア。企業のIT戦略、セキュリティ、プライバシー問題などを批判的視点から報道している。

【参考記事】

1. Privacy group files complaint against AI surveillance service（外部）
   Noybによる申し立ての詳細を時系列で整理。欧州司法裁判所の判例C-252/21の詳細など、法的背景を解説している。
2. European AI company’s ‘reputation reports’ are inaccurate and illegal, watchdog claims（外部）
   The Recordによる報道。Whitebridge AIのレポートに含まれる情報の種類と、AI生成の不正確な情報の問題点を指摘。
3. Whitebridge.ai: your personal data is for sale to you and anyone（外部）
   Noyb公式サイトの申し立て詳細ページ。Whitebridge AIのビジネスモデルと、GDPR違反の具体的内容を詳述している。
4. WhiteBridge raises $500K for online reputation management with AI-powered digital identity reports（外部）
   Whitebridge AIの50万ドル資金調達を報じる記事。オンライン評判管理市場が2023年の2300億ドルから2030年には4400億ドルへ成長する見込みを記載。

【編集部後記】

あなた自身の名前を検索エンジンに入力したとき、どんな情報が表示されるかご存知でしょうか。今回のWhitebridge AIの事案は、私たちのデジタルフットプリントが想像以上に広範囲に収集され、時には誤った情報と共にパッケージ化されている現実を浮き彫りにしました。公開情報とプライバシーの境界線は、AIの進化によってますます曖昧になっています。