2014年、デートアプリ「OkCupid」にプロフィール写真をアップロードしたユーザーがいます。その写真が、本人の知らないところで顔認識AIの学習データになっていたんですよね。これ、デートアプリを使ったことがない人にとっても、少し怖い話だと思います。

あなたの写真がAI学習に使われていた──OkCupidの300万枚削除事件

今月4月20日、Reutersがこの話の「続き」を報じました。顔認識AI企業のClarifaiが4月7日、OkCupid由来の写真・関連データ・そしてそこから学習させた顔認識モデルをすべて削除したと、FTC(アメリカの消費者保護を担う連邦機関)へ証明したというのです。

データを消すだけでなく、学習済みモデルまで消した。この一点が今回のニュースの新しさです。

いったい何があったのか

2014年9月ごろ、OkCupidの親会社Match Groupはユーザーの写真約300万枚と位置情報などの関連データを、外部のAI企業Clarifaiへ渡しました。FTCによれば、ClarifaiはOkCupidのサービス提供者でも提携先でも、グループ会社でもなかったといいます。つまり、ユーザーが普通に想定する範囲の外にある第三者だったわけです。

Clarifaiはそのデータを使い、顔写真から年齢・性別・人種を推定する顔認識モデルの構築に利用していた(Ars Technica報道)。

OkCupid側は「2014年の古い慣行であり、現在の運用を反映しない」と説明している。ただ、FTCはOkCupidがこの件を長く隠そうとしたとも主張しており、その点は当事者間で見解が分かれる。

OkCupid写真流用事件:2014年から2026年4月まで

FTCは動いたが、罰金はゼロ

2026年3月30日、FTCはOkCupidとMatch Group Americasに対する和解を発表した。内容は、個人情報の共有実態について虚偽の説明をしないよう求める恒久的な禁止命令。ただし金銭的な罰金はない。

正直、この部分は少し拍子抜けした。300万人分のデータが無断で使われ、12年近く経ってようやく「今後はやるな」という命令で終わった。

罰金ゼロの背景として、アメリカのプライバシー保護法制が州ごとにバラバラで、連邦レベルの包括的な規制がまだ存在しないことがある。FTCは既存の権限の範囲で動いたかたちだ。

学習済みモデルまで消せるのか、という問い

今回のニュースで一番の焦点は、「モデルの削除」という部分です。

まず前提として、顔認識AIに自分の写真が使われると何が起きるのか整理しておきたいと思います。自分の写真がどこかのサイトに表示される、という話ではありません。AIが「この顔の人は何歳くらい」「どんな属性をもつ人か」を推定する精度を上げる材料にされた、という話です。この点、意外と誤解されやすいので。

その上で本題です。AI学習に使われたデータは、一般的に「モデルの重み」として内部に組み込まれます。写真そのものの記録ではなく、AIが写真から覚えた特徴のかたまりのようなものです。データ本体を消しても、そこから学習されたモデルは残る。これが従来「忘れる権利」の実装が難しい理由のひとつとして挙げられてきました。

Clarifaiは今回、FTCの調査を受けて写真・関連データだけでなく、そこから生成した顔認識モデルも削除したと証明した。外部から「モデルを消せ」と要求され、企業が実際に応じたケースとして、数は多くない。

ただし、これが「AIモデルから特定データの影響を完全に除去できた」ことを意味するかどうかは別の話だ。今回はモデルごと廃棄した、というシンプルな話で、技術的な「アンラーニング(機械学習の忘却)」の実現ではない。

自分のデータについて、いまできること

今回の件はアメリカのサービスの話だが、関係のない話でもない。過去にSNSや各種サービスへアップロードした顔写真が、同様の経路でAI学習に利用される可能性はゼロではないから。

具体的に確認できることを挙げておきます。

  • 使わなくなったサービスのアカウントは退会処理をする(放置アカウントのデータはアクセス管理が甘くなりやすい)
  • 利用中のサービスのプライバシーポリシーで、第三者へのデータ提供に関する条項を確認する
  • 気になるサービスには「データ削除リクエスト」を送れる場合がある(EUや日本など個人情報保護のルールが整備されている地域では特に有効)

完璧な防御策はないが、古い写真・古いアカウントの整理は、リスクを小さくする現実的な手立てです。

出典