生体認証は、虹彩、網膜、指紋、掌、筆跡、音声(声紋)、顔等さまざまな身体的特徴を使った認証方法です。生体認証の特徴は、従来の暗証番号や個人認識カード等にはつきものの盗用や失念・紛失の危険性が小さい点です。体の一部を使って照合するため、失くしようがないからです。

生体認証の中でも急速に導入が広がっているのが顔認証です。表1に示す通り、顔認証は他の生体認証に比べてデメリットが少ないからです。

そして顔認証の最大のメリットは、近距離でなくとも認証が可能なため、多人数、広範囲の条件下でも認証が可能な点です。例えば、2011年インドのデリー警察は顔認証技術を使ってたった5日で3,000人もの失踪した子どもを特定しました。事前に4万5,000人の児童養護施設の子どもの顔をスキャンし、町の監視カメラで不特定多数の顔の中から子どもをAIで認識し、行方不明として届けが出ている子どもたちの捜索に成功しています。インドの他にも世界各国の警察が顔認証技術を使用しており、犯罪捜査や犯罪抑止の点から一定の効果が出ています。

顔認証は大きく二種類の情報を得ることが出来ます。一つ目は、顔の目や鼻、口などの形からその人であることを証明する個人特有の情報です。二つ目は、表情やしぐさをもとに今何を考えているのか、思考に関する情報です。顔の表情から感情を読み取り、マーケティング、顧客満足度向上等の目的で活用されています。例えば某映画会社は、上映中に観客がいつ、どの場面で盛り上がるのか、識別するために活用しています。

では、顔認証技術は一体どのような仕組みになっているのでしょうか？　顔認証の流れを図1に示します。照合するためには「登録画像」と「照合画像」の2枚の顔画像が必要です。まず、各顔画像に対して顔検出処理を行い、画像中から顔領域を決定します。次に、目、鼻、口端などの顔の特徴点位置を求めます(特徴点検出処理)。最後に、取得した顔の特徴を用いて顔領域の位置、大きさを正規化した後、照合処理を行います。

ただ、顔認証技術の詳細な仕組み(顔を平面的あるいは立体的に読み取るのか等)や精度レベルは顔認証サービスを提供する企業によって異なります。2019年10月現在、最も高性能な顔認証を提供する企業はNECと言われています。米国標準研究所(NIST)が実施した最新の顔認証技術のベンチマークテスト「FRVT2018」で、第1位の性能評価を獲得しました。1200万人分の静止画を使った顔認証でエラー率0.5％を達成し、5回目の世界1位を記録しています。

一見万能にも見える顔認証技術にもリスクがあります。一つ目は、顔認証技術自体の精度が低い場合があることです。全ての顔認証がNEC製のように高性能であればいいのですが、精度を高めようとすればするほど、それだけ導入コストも高くなってしまいます。そのため、導入企業によっては精度やセキュリティを落として顔認証技術を導入し、本人確認において誤認が発生する確率が高い状況にあります。

二つ目は、認証条件が整っていなければ精度が落ちてしまうことです。2019年7月英エセックス大学の報告書によると、ロンドン警視庁が顔認証を用いて6事件の容疑者を複数人抽出したところ42人中8人(19%)は該当しましたが、残りの約80%の人は誤って容疑者だと認識されました。さらに、白人男性は正確に認識されましたが、黒人女性は男性と誤認されたケースもありました。顔とセンサーの距離が遠すぎたり、データ蓄積が少なかったりする場合、必ずしも完璧な認識をしません。

三つ目は、顔データは他データに比べて流出時の影響が大きい点です。一般的な運転免許番号や身分証明書番号、個人番号(マイナンバー)、金融取引や電子取引に使う各種パスワードは流出後に変更可能ですが、顔は簡単には変更できません。さらに、3Dプリンター等で顔を作れば、認証解除に悪用される可能性があります。実際に2019年ベトナムのスマートフォンメーカーBkavが自社のセキュリティ精度をアピールするために、他社スマートフォンの顔認証を３Dマスクによって破りました。

顔認証技術の自社サービスへの導入を検討する際には、前述のリスクを踏まえ、下記のような事項に留意しましょう。

まず、サービス対象地域で顔認証に関する法律やガイドライン等が発行されていないかを確認しましょう。アメリカの一部地域では、カルフォルニア消費者プライバシー法(CCPA=California Consumer Privacy Act)、イリノイ州生体認証情報プライバシー法(BIPA=Biometric Information Privacy Act)等、州単位で顔認証含めた生体認証に関する規制があります。

次に、そもそもサービスに顔認証を導入する必要があるのか再検討しましょう。ロック解除・施錠といったセキュリティ目的であれば必要かもしれません。ですが、来場者数把握やマーケティング目的であれば必要性は下がり、他の方法で適用できないのか、顔認証によってどれほど効果を得られるか検討する必要があるでしょう。

導入するのであれば利用範囲に適したセキュリティ対策を行う必要があります。情報が外に出る場合は暗号化しているのか、その先のサーバーの情報漏洩対策はできているのか等です。例えば、iPhoneの場合、顔の特徴点データは「Secure Enclave」と呼ばれる本体の特別なチップ内にのみ保持されています。その情報には特殊なプロセスを通してのみアクセスでき、クラウド上のサーバーにも送信されることはなく、バックアップすら行われない仕組みになっています。生体認証であるがゆえに厳重なプライバシー保護措置が必須です。

最後に、いかなる目的で使用する場合にも消費者からコンセンサスを得ることが重要です。自分の顔データが何の目的で、何に使われ、どのようなセキュリティが講じられているのか？　消費者に分かりやすい説明が必要です。

顔認証は、今後日本でも不正入場規制のために大規模イベント等に使用することもあり、高い注目を浴びている認証技術です。ですが、安易な使用はユーザーを生涯危険にさらす可能性があります。あらゆる対策を行った上で、ユーザーに安心安全なサービスを提供していきましょう。

※1　mint.tech(2017)「生体認証の種類とメリット、デメリットについて解説」(2020/4/3にアクセス)