このビジネスモデル自体は新しいものではなく、類似の「デジタルレピュテーション管理」サービスは欧米で何年も前から存在しています。しかし、Whitebridge AI の報告の独自性はその「脅迫してからマネタイズする」戦略にあります:Noyb の苦情文書によると、同社が生成した報告には「露出」や「危険な政治コンテンツ」に関する虚偽の警告が含まれており、意図的に不安感を煽り、その後、ユーザーに完全な報告を閲覧したり修正したりするための料金を支払うよう要求します。
しかし、Noybは反論し、Whitebridge AIの報告のほとんどの情報はソーシャルメディアサイトやこれらのサイトに対する検索に基づいているように見えると述べました——そして、欧州の判例法はこの種のデータが「明らかに公開された」(manifestly made public)範疇に属さないことを明確に定義しています。これはGDPR第9条が敏感な個人データの処理に関する重要な閾値です。
これらの条項の累積的な違反は、Whitebridge AI のビジネスモデルが GDPR の基本的な精神、すなわち個人にそのデータに対するコントロールを与えることに完全に反していることを示しています。
ホワイトブリッジ AI 公式の回答:合法性を強調するが疑問が多い
本文提出後、Whitebridge AI のスポークスパーソンは会社の行動を擁護する声明を提供しました。「WhiteBridge AI はデータ保護とプライバシーを非常に重視しています。当社が処理するすべての個人データは公開された情報源からのみ収集され、合法的かつ明確に定義された目的のためにのみ使用されます。私たちは、WhiteBridge AI が積極的に個人データを収集または保存することはないと明確に強調したいと思います。」
おそらく Noyb の正式な苦情は、より多くの注目を集めるでしょう。Noyb はヨーロッパで最も活発なプライバシー促進団体の一つであり、Facebook や Google などのテクノロジー巨人に対して重大な罰則を推進することに成功しました。リトアニアの規制当局が Whitebridge AI に対して行動を起こす場合、他の EU 諸国に先例を示し、同様の「AI 脅迫マネタイズ」ビジネスモデルを抑制することができるかもしれません。
GDOG
芝麻开门
GCAT
MIMA
Gatsby
ホワイトブリッジAIが違法行為で、「危険な政治コンテンツ」の虚偽警告を販売したとして非難されている。
リトアニアのAI企業Whitebridge AIは、EUのプライバシー団体NoybにGDPRの複数の条項違反で訴えられ、虚偽の「露出」および「危険な政治コンテンツ」警告を含む評判レポートを販売し、ユーザーに有料で閲覧させ、「電子署名」を使用して修正を妨害するビジネスモデルがプライバシー権の論争を引き起こしています。
ホワイトブリッジAI ビジネスモデルの暴露:恐喝型データマネタイズ
リトアニアに本社を置くWhitebridge AIは、違法に収集されたデータとAIによる誤情報に基づく「評価レポート」を販売した疑いでプライバシー権の嵐に巻き込まれています。オーストリアに本社を置くプライバシー擁護団体Noybは、リトアニア国家データ保護監視局に対し、Whitebridge AIが「取得した個人データとAIが生成した虚偽情報を処理すること」を禁止するよう要求しました。
ホワイトブリッジAIは、2種類の人工知能に基づくサービスを提供します:
評判レポートサービス:個人のオンライン状況を説明する詳細なレポートを生成します。これには、ソーシャルメディアの投稿、画像、ニュース記事などのデジタル足跡が含まれます。
リアルタイム監視サービス:対象人物のオンライン活動を継続的に追跡し、何らかの変化があった場合は即座に有料ユーザーに通知します。
このビジネスモデル自体は新しいものではなく、類似の「デジタルレピュテーション管理」サービスは欧米で何年も前から存在しています。しかし、Whitebridge AI の報告の独自性はその「脅迫してからマネタイズする」戦略にあります:Noyb の苦情文書によると、同社が生成した報告には「露出」や「危険な政治コンテンツ」に関する虚偽の警告が含まれており、意図的に不安感を煽り、その後、ユーザーに完全な報告を閲覧したり修正したりするための料金を支払うよう要求します。
Noybのデータ保護弁護士Lisa Steinfeldは率直に指摘しています:「Whitebridge AIのビジネスモデルは非常に不正であり、人々を脅かして不法に収集されたデータに対して支払いをさせることが目的です。EUの法律によれば、人々は自分のデータに無料でアクセスする権利があります。」
Noybの苦情が明らかにした三つのGDPR違反行為
Noybが提出した苦情文書(PDF)は、Whitebridge AIが欧州の《一般データ保護規則》(GDPR)の多くの核心条項、特に第5、6、9、12、14、15、16条に違反していると主張しています。これらの条項は、データ処理の合法性の基礎、特別なカテゴリのデータ保護、透明性の義務、アクセス権および訂正権などの基本原則を網羅しています。
不正なデータソース:ソーシャルメディアは「明らかに公開されていない」
ホワイトブリッジAIはそのウェブサイトで次のように主張しています:「私たちはGDPRを完全に遵守し、あなたの個人情報が保護され、透明に処理されることを保証します。私たちは公開情報のみを収集しており、あなたはあなたのデータへのアクセス、修正、削除、及び処理の制限を行う権利を持っています。」
しかし、Noybは反論し、Whitebridge AIの報告のほとんどの情報はソーシャルメディアサイトやこれらのサイトに対する検索に基づいているように見えると述べました——そして、欧州の判例法はこの種のデータが「明らかに公開された」(manifestly made public)範疇に属さないことを明確に定義しています。これはGDPR第9条が敏感な個人データの処理に関する重要な閾値です。
この法律争議の核心は「公開データ」の定義にあります:
ホワイトブリッジAIの立場:ネット上で見つけることができる情報はすべて「公開されている」とみなされ、自由に取得および商業利用が可能です。
EU裁判例:情報が技術的にアクセス可能であっても、データ主体がそれを「明らかに公開」して任意の第三者の商業利用に供する意図があることを意味するわけではない。ソーシャルメディア上の投稿は通常、受取人に制限があり(友人、フォロワーなど)、全世界に対して無制限に公開されているわけではない。
2023年、EUの裁判所は複数の事例で、GDPR第9条第2項e号が指す「明らかに公にされている」データは、データ主体が不特定の公衆に対して公にする明確な意図を持っている情報でなければならないと強調しました。これは、次のことを意味します:
Facebook上で友達のみに公開されている投稿:あまり公開されていない
Twitterで公開されたツイート:明らかに公開されていると考えられるが、商業利用の合法性を評価する必要がある
LinkedIn の専門的な履歴書:グレーゾーンはユーザーのプライバシー設定によって決まります
ホワイトブリッジAIは明らかに最も緩やかな解釈を採用し、すべての取得可能なデータを「公開」と見なしていますが、このアプローチはEU裁判所の判例の精神に反しています。
虚偽のAI生成コンテンツ:露出と政治的警告
Noybは、GDPR第15条(この条項により人々は自分のデータにアクセスする権利を持つ)に基づいて問い合わせを行った、身元不明の2人の苦情者を代理しましたが、何の返答も得られませんでした。その後、Noybはこれらの苦情者のWhitebridge AIレポートを購入し、レポートには「『露骨』および『危険な政治的内容』に関する虚偽の警告が含まれている」ことが判明しました。
この発見は、AI生成コンテンツの深刻な問題を明らかにしました:
AI 幻覚(Hallucination)問題:AI モデルは、無関係なデータ片段に基づいて完全に虚偽の結論を生成する可能性があります。例えば、ある人がソーシャルメディアにビーチバケーションの写真を共有した場合、AI はそれを誤って「裸」とタグ付けする可能性があります。
悪意のある設計の可能性:さらに懸念されるのは、これらの虚偽の警告が技術的な欠陥ではなく、商業戦略である可能性です——刺激的なネガティブラベルを作り出すことで、ユーザーに詳細を確認するために支払わせたり、削除を要求させたりすることです。
名誉毀損のリスク:これらの虚偽の報告が雇用主、保険会社、またはその他の第三者によって購入された場合、当事者に深刻な職業的および個人的な損害を与える可能性があります。
GDPR 第 5 条第 1 項第 d 款では、データ処理は「正確」でなければならず、必要に応じて更新されるべきであると要求しています。Whitebridge AI の報告書における虚偽の内容は、この原則に明らかに違反しています。
有料削除トラップ:無料アクセス権の違反
苦情者がGDPR第16条に基づいて報告の修正を試みる際、Whitebridge AIはリクエストを実行するために「適格な電子署名」(qualified electronic signature)の提供を求めていますが、NoybはEU法にはこの要件が存在しないことを明確に指摘しています。
GDPR 第 12 条第 5 項明確規定:「第 15 至 22 条に基づいて提供される情報および行動は無料で提供されるべきである。」これは意味します:
自分のデータにアクセスする:無料でなければならない
誤ったデータの修正:無料である必要があります
不適切なデータを削除:必ず無料
「適格な電子署名」の要件は技術的な障壁です。EUでは、適格な電子署名には認証機関が発行したデジタル証明書が必要で、その取得コストは数十ユーロから数百ユーロに達する可能性があり、プロセスは複雑です。このような要件は、実際には「無料の権利」を「有料の権利」に変換します。
さらに深刻なことに、この設計は悪循環を引き起こす可能性があります:
1、ユーザーは、Whitebridge AI の報告に虚偽の否定的な内容が含まれていることを発見しました。
2、ユーザーは無料での修正を要求しましたが、高価な電子署名の提供を求められました。
3、ユーザーは是正を強いられたり、会社の「評判管理サービス」を購入するように誘導されたりします。
企業は製造の不安から利益を得る
EU GDPR対決AIデータグラブ**
ホワイトブリッジAI事件は、GDPRとAI時代のデータ実践との根本的な対立を浮き彫りにしました。以下は、この事件に関連する重要なGDPR条項と、それがAIの文脈において持つ意味です:
第5条(データ処理の原則):データ処理は合法で、公正で、透明で、正確でなければならない。AIが生成する虚偽の警告は「正確性」の原則に違反し、不透明なスクレイピングプロセスは「透明性」の原則に違反する。
第 6 条(合法性の基礎):いかなるデータ処理も合法的な根拠が必要であり、同意、契約、法的義務、または合法的利益が含まれます。Whitebridge AI は「合法的利益」に基づいていると主張していますが、ユーザーの同意が欠如し、ユーザーの利益に明らかな損害を与える場合、この根拠は成立しにくいです。
第 9 条(センシティブデータ):人種、政治的見解、宗教信仰、性的指向などを明らかにするデータの処理は禁止されています。ただし、特定の例外に該当する場合を除きます。「危険な政治コンテンツ」ラベルは政治的見解の推測を含む可能性があり、「露出」警告は暗示を含む可能性があるため、両方ともセンシティブデータの範疇に該当します。
第 12、14 条(透明性と通知義務):データ管理者は、データ主体に対してそのデータが処理されていることを積極的に通知しなければなりません。Noyb の苦情者は、自分のデータが処理されていることを、ホワイトブリッジ AI からの通知を受けることなく、報告書を積極的に購入するまで知ることはありませんでした。
第 15 条(アクセス権):個人は、自身のデータ処理に関する確認とコピーを無料で取得する権利を有する。Whitebridge AI の有料モデルは、この核心的な権利に直接違反している。
第 16 条(訂正権):個人は不正確なデータの訂正を要求する権利を有する。電子署名の障害を設けることは、実際にはこの権利を奪うことになる。
これらの条項の累積的な違反は、Whitebridge AI のビジネスモデルが GDPR の基本的な精神、すなわち個人にそのデータに対するコントロールを与えることに完全に反していることを示しています。
ホワイトブリッジ AI 公式の回答:合法性を強調するが疑問が多い
本文提出後、Whitebridge AI のスポークスパーソンは会社の行動を擁護する声明を提供しました。「WhiteBridge AI はデータ保護とプライバシーを非常に重視しています。当社が処理するすべての個人データは公開された情報源からのみ収集され、合法的かつ明確に定義された目的のためにのみ使用されます。私たちは、WhiteBridge AI が積極的に個人データを収集または保存することはないと明確に強調したいと思います。」
この声明は、いくつかの重要な主張を強調しています:
受動的処理モード:「データ処理は、特定の個人に関する顧客からの報告書作成のリクエストを受け取った後にのみ行われる」——これは、会社が常設データベースを維持しておらず、有料リクエストがある場合にのみデータを取得することを主張していることを意味します。
30日削除ポリシー:「WhiteBridge AIはデータ保持制限規定を厳格に遵守し、すべての公開された報告書は30日後に削除されます」——これはGDPRのデータ最小化原則に従うためのようです。
データベースの声明:「WhiteBridge AIは、合法的な要求がない限り、個人情報を保存するデータベースやファイル館を持っていません」——従来のデータ仲介業者との明確な区別を試みています。
しかし、これらの弁護には明らかな疑問点が存在する:
公開ソースの定義が不明確:会社は「公開ソース」の具体的な定義を明らかにしておらず、これらのソースがGDPR第9条の「明らかに公開されている」基準に適合していることをどのように確保するかについても示していません。
受動モードの問題:オンデマンド処理であっても、通知義務(第14条)およびアクセス権(第15条)を遵守する必要があります。Noybの苦情者は明らかに通知を受けておらず、アクセス権は有料壁によって妨げられています。
30日間削除された脆弱性:報告は30日以内に何度もダウンロードされ、配布される可能性があり、原本を削除しても既に引き起こされた損害は消えません。さらに重要なのは、報告に虚偽の情報が含まれている場合、30日の存続期間は深刻な名誉毀損を引き起こすのに十分です。
データベース声明の矛盾:もし会社が本当にデータベースを持っていないのなら、リクエストを受け取った後にどのように迅速に報告を生成できるのか?これは、会社が何らかのインデックスまたはキャッシュメカニズムを事前に構築している可能性を示唆している。
会社はNoybの指摘に対し、「『不正当なビジネスモデル』や違法なデータ収集と販売に関する主張は根拠がない」とし、「建設的な対話を行う意向がある」と述べた。しかし、虚偽のAI生成コンテンツや電子署名の要求など具体的な指摘に対しては、声明は実質的な説明を提供していない。
あなたのデジタルレピュテーションがAIによって書き換えられています
ホワイトブリッジAI案件は孤立した事件ではなく、AI時代のデジタルアイデンティティ管理のシステム的危機を明らかにしています。
1年前、オーストラリアのサイバーセキュリティ団体Dodgy or Not?の共同創設者兼CEO、Stacey EdmondsはLinkedInに投稿し、Whitebridge AIのデータ収集サービスについての懸念を表明しました。Edmondsは、Whitebridge AIとリトアニア国家データ保護監視局に連絡を取り、彼女の懸念を伝えたと述べています。しかし、彼女の問い合わせは会社の行動に何の影響も与えなかったようです。
この規制の無力さは二つの問題を浮き彫りにしている:
国境を越えた法執行の困難:Whitebridge AIはリトアニアに登録されていますが、全世界のユーザーにサービスを提供しています。ある国の規制当局が違法と認定しても、法執行は依然として司法管轄権の課題に直面します。
規制資源不足:リトアニア国家データ保護監視局は、複雑なAIデータ案件を深く調査するための十分なリソースが不足している可能性があります。GDPRは強力な権限を付与していますが、実行能力は各加盟国の投入に依存しています。
おそらく Noyb の正式な苦情は、より多くの注目を集めるでしょう。Noyb はヨーロッパで最も活発なプライバシー促進団体の一つであり、Facebook や Google などのテクノロジー巨人に対して重大な罰則を推進することに成功しました。リトアニアの規制当局が Whitebridge AI に対して行動を起こす場合、他の EU 諸国に先例を示し、同様の「AI 脅迫マネタイズ」ビジネスモデルを抑制することができるかもしれません。
一般ユーザーにとって、このケースからの教訓は次のとおりです:あなたのデジタルアイデンティティは、あなたが知らないうちにAIシステムによって分析、タグ付け、さらには歪められている可能性があります。定期的に自分の名前を検索し、ソーシャルメディアのプライバシー設定を行い、個人情報を慎重に共有することは、もはやプライバシー保護の良い実践にとどまらず、AI駆動のデジタル名誉操作に対抗するための必要な防線となっています。