ある金融サービス企業が本人確認(KYC)プロセスを自動化したい。顧客がスマートフォンで撮影した顔写真と身分証明書の顔写真を照合し、同一人物かどうかを判定するシステムを構築したい。規制上、顔認識データの保存・処理に関するアクセス制御が厳格に求められる。Azure AI Face を使用する際に考慮すべき重要な点として最も適切なものはどれか。
- A. Azure AI Face の顔識別(Identification)機能は責任あるAIポリシーに基づき利用申請が必要だが、これはサンプルコードを動かすための開発者登録にすぎず、本番のKYC用途では考慮しなくてよい
- B. Azure AI Face は一般公開APIで誰でも制限なく使用でき、規制対応の特別な設定は不要である
- C. 顔認識(Face Identification)機能は責任あるAIポリシーに基づく利用登録が必要であり、アクセス制御とデータ取り扱いの規制遵守を含む申請プロセスがある
- D. Azure AI Face のデータはMicrosoftのデータセンター外に出ることはないため規制対応は不要である
解答と解説を見る
正解: C
Azure AI Faceの顔認識(顔識別・类似検索など個人識別に関わる機能)はMicrosoftの責任あるAI原則に基づき、利用申請・審査プロセスが設けられている。金融KYCのような本人確認用途では、生体データとしての顔特徴量の取り扱いに関する規制(各国のバイオメトリクス法・GDPR等)への準拠も必要であり、アクセス制御設定・データ保持ポリシー・監査ログの設計が重要である。Bの「制限なく使用可」は誤りで、顔認識機能には利用申請が必要。Aは「利用申請が必要」という前段は事実だが、その申請は本番のKYC用途でこそ求められる審査であって「開発者登録にすぎず本番では考慮しなくてよい」という結論が誤り。DはMicrosoftのデータセンター所在地は規制遵守を保証するものではなく、データの処理・保存方法の設計が別途必要であるため不正確。