BetaNewsは12月9日(米国時間)、「AI security cameras are collecting data they don't need - BetaNews」において、AI搭載の家庭用防犯カメラが個人情報を収集していると報じた。
これはセキュリティ企業「Surfshark」の調査レポート「AI security cameras are collecting data they don’t need」により明らかになったもの。対象のデバイスはセキュリティ機能とは関係のない個人情報を収集し、所有者および近隣住民のプライバシーにリスクをもたらすという。
-
AI security cameras are collecting data they don't need - BetaNews
調査対象製品のすべてにリスクあり
屋外に設置される防犯カメラは近年急速に進化し、従来の動画撮影やアラート機能に加え、スマート顔認識、車両検知機能などが搭載されている。これらデバイスは生体情報や車両情報などの個人情報を取り扱うが、多くの製品は設定、通知、クラウドストレージの利用にコンパニオンアプリを必要とし、これらアプリが追加情報を収集するケースがあるという。
今回Surfsharkが調査の対象とした製品ブランドは次のとおり。収集されるデータの種類、形式、送信経路は製品および出荷地域ごとに異なるが、調査対象となった製品すべてからセキュリティリスクが報告されている。
- Ring Alarm(Amazon)
- Google Nest
- SimpliSafe
- Vivint
- Arlo Secure
- Frontpoint
- ADT
- TP-Link Kasa
個人情報を直接収集する製品はRing Alarm(Amazon)およびADTとされ、位置情報、デバイスIDまたはユーザーID、メールアドレス、氏名、電話番号、写真または動画、住所、製品インタラクション、購入履歴などを収集するという。最もプライバシーに配慮した製品はTP-Link Kasaだったが、高度なAI機能を無制限にコンパニオンアプリに提供するリスクが指摘されている。
これら機能は法規制の影響を受けることも報告された。EU一般データ保護規則(GDPR: General Data Protection Regulation)の対象地域ではGoogle Nestの顔認識機能を利用できず、一方で日本、米国、カナダ、オーストラリアでは制限なく利用できるという。
ユーザーへの告知と選択肢の提供が重要
Surfsharkのサイバーセキュリティエキスパートを務めるMiguel Fornes氏は次のように述べ、リスクの本質はユーザーにその選択肢がないことだと指摘した。
「核心的なリスクはデータの取得だけではありません。人々が主体的にオプトインまたはオプトアウトできず、生体認証データがどこに保存され、どのような追加データが収集されているか、誰と共有されているかについて知らされない場合、プライバシーの危険が生じます」
データ収集機能のオン/オフ、データの利用範囲、セキュリティレベルをユーザーが選べないことに問題があるとしている。AIカメラは所有者の安全を守る製品だ。しかしながら、その機能の裏で個人の自由やプライバシーが脅かされている可能性がある。
