John et al v. Clearview AI, Inc.

Case Metadata

Basic Information

1. Case Name: John et al v. Clearview AI, Inc., No. 1:2020cv03481 (S.D.N.Y. 2020); transferred to No. 1:2021cv00173 (N.D. Ill. 2021); consolidated in MDL No. 2967, In Re: Clearview AI, Inc., Consumer Privacy Litigation
2. Court: Initially filed in United States District Court for the Southern District of New York; transferred to United States District Court for the Northern District of Illinois, Eastern Division
3. Filing Date: May 4, 2020
4. Judgment Date: March 20, 2025 (Final Settlement Approval)
5. Case Number: No. 1:2020cv03481 (S.D.N.Y.); No. 1:2021cv00173 (N.D. Ill.); MDL No. 2967
6. Current Status: Settled with final approval granted March 20, 2025

Parties

7. Plaintiff(s): Dean John, Rosemary Arias, Benjamin Jais, Ryan Balfanz, Aimee Albrecht, and a nationwide class of individuals whose facial biometric data was collected by Clearview AI without consent
8. Defendant(s): Clearview AI, Inc., a facial recognition technology company that provides facial identification services to law enforcement agencies and private entities
9. Key Law Firms: For Plaintiffs: Steven M. Nathan (lead counsel), Adam J. Levitt, Greg G. Gutzler, Amy E. Keller, David M. Berger, James J. Pizzirusso; For Defendant: Undisclosed in available records
10. Expert Witnesses: Technical experts provided testimony on facial recognition technology and biometric data collection methods (specific names not disclosed in public records)

Legal Framework

11. Case Type: Biometric privacy violation class action lawsuit involving unauthorized collection and use of facial recognition data
12. Primary Legal Claims: Violation of Illinois Biometric Information Privacy Act (BIPA) – 740 ILCS 14/1 et seq., including failure to obtain informed consent, lack of retention and destruction policies, and unauthorized disclosure of biometric data
13. Secondary Claims: Violations of California privacy laws, New York privacy laws, Virginia privacy laws; common law claims including invasion of privacy, unjust enrichment, and negligence
14. Monetary Relief: Settlement valued at approximately $51.75 million based on 23% equity stake in Clearview AI (company valued at $225 million); alternative revenue sharing of 17% over two years if no liquidity event occurs

Technical Elements

15. AI/Technology Involved: Clearview AI’s facial recognition system that scraped over 60 billion facial images from publicly accessible websites including Facebook, Instagram, Twitter, YouTube, Venmo, and news sites to create a searchable facial recognition database
16. Industry Sectors: Law enforcement, private security, financial services, retail, and various commercial sectors that purchased access to Clearview’s facial recognition services
17. Data Types: Facial biometric identifiers and information, including facial geometry data extracted from photographs, associated metadata, and personal identifying information linked to facial templates

Database Navigation

18. Keywords/Tags: BIPA, facial recognition, biometric privacy, web scraping, class action settlement, equity-based settlement, Illinois privacy law, artificial intelligence ethics, surveillance technology, data collection consent
19. Related Cases: ACLU v. Clearview AI (ongoing in various states); Patel v. Facebook, Inc., 932 F.3d 1264 (9th Cir. 2019); Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186; Google biometric settlement in Texas ($1.375 billion, 2024)

詳細分析 (Detailed Analysis)

事件の概要 (Case Overview)

背景と争点 (Background and Issues)

事実関係: Clearview AI社は、2016年から2020年にかけて、Facebook、Instagram、Twitter、YouTube、Venmo等のソーシャルメディアプラットフォーム、ニュースサイト、その他の公開ウェブサイトから600億枚以上の顔画像を無断で収集（スクレイピング）した。同社は、これらの画像から顔認識データベースを構築し、法執行機関や民間企業に対して顔認識検索サービスとして販売していた。原告らは、自身の生体認証情報が同意なく収集・利用されたとして、2020年5月4日にニューヨーク州南部地区連邦地方裁判所に集団訴訟を提起した。

中心的争点:
– Clearview AI社による顔画像の大規模収集が、イリノイ州生体情報プライバシー法（BIPA）に違反するか
– 公開されているウェブサイト上の画像から生体認証データを抽出することの適法性
– BIPAの域外適用の範囲と、イリノイ州外の原告への適用可能性
– 同意なき生体認証データの商業利用に対する救済措置の適切性
– 技術系スタートアップ企業の限定的な流動性を考慮した和解構造の妥当性

原告の主張: 原告らは、Clearview AI社がBIPAに違反して、書面による同意を得ることなく顔の生体認証識別子を収集、保存、使用したと主張。BIPAは違反1件あたり1,000ドルから5,000ドルの法定損害賠償を規定しており、600億枚の画像収集は天文学的な潜在的責任を生じさせると主張。また、プライバシー侵害、不当利得、過失等のコモンロー上の請求も追加した。

被告の主張: Clearview AI社は、公開されているウェブサイト上の画像の利用は合法的なウェブスクレイピングであり、第一修正によって保護される活動であると主張。また、同社のサービスは法執行機関による犯罪捜査を支援する公益的な目的を持つと強調。BIPAの域外適用については争い、イリノイ州外の原告には適用されないと主張した。

AI/技術要素: Clearview AIの顔認識システムは、深層学習アルゴリズムを使用して顔画像から独自の生体認証テンプレート（顔の幾何学的特徴を数値化したもの）を生成。これらのテンプレートは検索可能なデータベースに保存され、ユーザーが新しい顔画像をアップロードすると、システムは数秒以内にデータベース内の一致する個人を特定し、その個人が写っている公開画像へのリンクを提供する。

手続きの経過 (Procedural History)

重要な手続き上の決定:
– 2020年5月29日：ニューヨーク州南部地区連邦地裁のMcMahon判事が、David Mutnick氏の介入申立てを却下。「first-filed rule」の適用を否定し、既存原告が適切に代表していると判断
– 2021年1月8日：司法パネルが多管轄区訴訟（MDL）への統合を決定し、条件付移送命令を発出
– 2021年1月12日：11件の関連訴訟がイリノイ州北部地区連邦地裁に統合され、MDL No. 2967として審理開始
– 2024年6月：和解合意に到達
– 2025年3月20日：Coleman判事が最終和解承認

証拠開示: 訴訟過程で、Clearview AI社の内部文書、アルゴリズムの技術仕様、データ収集プロセス、顧客リスト等が開示された。特に、同社が600億枚以上の画像を収集し、2,000以上の法執行機関と600以上の民間企業にサービスを提供していたことが明らかになった。

専門家証言: 顔認識技術の専門家が、Clearview AIのシステムが個人の顔の幾何学的特徴を抽出し、独自の生体認証識別子を作成するプロセスについて証言。また、プライバシー専門家が、このような大規模なデータ収集が個人のプライバシーに与える影響について意見を提供した。

判決の概要 (Judgment Summary)

裁判所の判断 (Court’s Decision)

主要な判決内容: 2025年3月20日、イリノイ州北部地区連邦地裁のSharon Johnson Coleman判事は、連邦民事訴訟規則23条(e)に基づき、和解を「公正、合理的かつ適切」と認定し、最終承認を付与した。裁判所は、Clearview AI社の限定的な財務能力を考慮し、従来の現金による和解ではなく、会社の23%の株式を集団訴訟のクラスメンバーに付与する革新的な和解構造を承認した。

勝敗の結果: 原告側の実質的勝利。Clearview AI社は法的責任を認めていないものの、以下の重要な譲歩を行った：
– クラスメンバーに対する23%の株式付与（約5,175万ドル相当）
– イリノイ州政府機関への5年間の販売禁止
– 大部分の民間企業への全国的な販売禁止
– オプトアウトメカニズムの実装

命令された救済措置:
1. 株式による補償: Clearview AI社の23%株式をクラスメンバーに配分
2. 収益化オプション: (a) IPOまたは買収時の現金化、(b) 流動性イベントがない場合は2年間の収益の17%分配、(c) クラスによる独立した株式売却権
3. 行動的救済: イリノイ州への販売禁止、民間企業への販売制限、オプトアウト手続きの確立
4. 透明性要件: データ収集と使用に関する開示義務

重要な法的判断:
– BIPAの「害の証明不要」条項の強化：実際の損害の証明なしに法定損害賠償請求が可能
– 州法の域外適用：イリノイ州法が全国的な和解条項を通じて事実上の全国適用を達成
– 創造的救済の承認：現金不足の被告に対する株式ベースの和解の前例確立

反対意見・補足意見: 22州の司法長官が和解に反対する意見書を提出。主な懸念点は、(1) 被害者が加害企業の一部所有者になることの倫理的問題、(2) 将来の収益化が不確実であること、(3) プライバシー侵害に対する抑止効果の不十分さ。しかし、裁判所はこれらの懸念を考慮しつつも、被告の財務状況と原告の回収可能性のバランスを重視して承認した。

法的推論の分析 (Analysis of Legal Reasoning)

適用された法理:
– BIPAの厳格責任理論：同意なき生体認証データ収集は per se 違法
– 連邦民事訴訟規則23条の集団訴訟認定基準
– Spokeo, Inc. v. Robins, 578 U.S. 330 (2016)における具体的損害の要件（BIPAの法定損害はこの要件を満たすと判断）
– 和解承認における「公正性、合理性、適切性」の三要件テスト

事実認定:
– Clearview AI社が600億枚以上の顔画像を無断で収集した事実
– 収集された画像から生体認証テンプレートが作成され、商業目的で使用された事実
– 原告らを含む数百万人の個人が、同意なくデータベースに含まれた事実
– 被告の財務能力が限定的であり、従来の現金和解が実現不可能である事実

技術的理解: 裁判所は、顔認識技術の仕組み、特に顔の幾何学的特徴から独自の識別子を生成するプロセスを適切に理解。深層学習アルゴリズムによる生体認証データの抽出が、BIPAが規制対象とする「生体認証識別子」の収集に該当すると認定。また、公開ウェブサイトからのスクレイピングであっても、生体認証データの収集には同意が必要であるとの立場を示した。

法的意義 (Legal Significance)

先例価値 (Precedential Value)

将来への影響: この判例は、AI企業による大規模なデータ収集に対する重要な制約を確立した。特に以下の点で将来の訴訟に影響を与える：
– 公開データであっても生体認証情報の無断収集は違法となる可能性
– スタートアップ企業の財務状況を考慮した創造的な救済措置の承認
– 州法に基づく集団訴訟が全国的な影響を持つ可能性の実証

法理論の発展:
– 「プライバシーの合理的期待」概念の拡張：公開されている画像でも生体認証データ抽出には別途の同意が必要
– 技術中立性原則の適用：新技術であってもプライバシー保護の基本原則は適用される
– 救済措置の柔軟性：被告の支払能力と原告の回収可能性のバランスを考慮した新しいアプローチ

解釈の明確化:
– BIPAの「収集」の定義：ウェブスクレイピングによる画像取得と生体認証データ抽出の両方を含む
– 「同意」の要件：利用規約やプライバシーポリシーでの一般的な言及では不十分
– 損害賠償の算定：違反の回数と影響を受けた個人数の両方を考慮

規制・実務への影響 (Regulatory and Practical Impact)

AIガバナンス:
企業は以下のガバナンス体制の構築が必要：
– 生体認証データ収集前の明示的な同意取得プロセス
– データ保持・削除ポリシーの文書化と実施
– 第三者へのデータ提供に関する厳格な管理
– プライバシー影響評価の定期的実施
– データ主体の権利（アクセス、削除、オプトアウト）の保障

コンプライアンス:
– 顔認識技術を使用する企業は、全米各州のプライバシー法を精査し、最も厳格な基準に準拠する必要
– 公開データの利用においても、生体認証情報の抽出には特別な注意が必要
– 法執行機関向けサービスであっても、民間企業は適切な法的根拠を確保する必要
– データ最小化原則の採用と、目的外使用の禁止

業界への影響:
– 顔認識技術企業の事業モデル再考：無制限のデータ収集から同意ベースのモデルへ
– ベンチャーキャピタルの投資判断における法的リスク評価の重要性増大
– 保険業界における生体認証関連リスクの再評価
– 技術開発における「Privacy by Design」アプローチの必須化

リスク管理:
企業が考慮すべきリスク管理事項：
1. 法的リスク: 複数州の異なるプライバシー法への対応
2. 財務リスク: 潜在的な巨額の法定損害賠償責任
3. レピュテーションリスク: プライバシー侵害による企業イメージの毀損
4. 運用リスク: コンプライアンス体制構築のコスト
5. 戦略リスク: 規制強化による事業モデルの持続可能性

比較法的観点 (Comparative Law Perspective)

日本法との比較:

日本の個人情報保護法との主要な相違点：
1. 法定損害賠償: 日本法には、BIPAのような違反1件あたりの法定損害賠償制度は存在しない。日本では実際の損害の証明が必要
2. 生体認証データの定義: 日本法では「個人識別符号」として規制されるが、取得時の同意要件はBIPAほど厳格ではない
3. 集団訴訟制度: 日本の消費者団体訴訟制度は限定的で、米国型のクラスアクションとは大きく異なる
4. 域外適用: 日本法も域外適用規定があるが、執行メカニズムは米国ほど強力ではない

日本企業への示唆：
– 米国市場でサービス展開する場合、州法レベルでの厳格な規制への対応が必要
– 顔認識技術の開発・利用において、グローバル基準での compliance 体制構築が重要
– 公開データの利用においても、各国の規制を考慮した慎重なアプローチが必要

他国判例との関係:
– EU: GDPR違反事例（Clearview AIに対する各国データ保護当局の制裁金）との整合性
– カナダ: Privacy Commissioner によるClearview AI調査結果との一致
– オーストラリア: 同様の規制執行アクションとの連携
– 英国: ICOによる2,250万ポンドの制裁金との関連性

グローバルな影響:
– 顔認識技術に対する国際的な規制協調の必要性
– 多国籍企業における統一的なプライバシー基準の採用促進
– 生体認証データの越境移転に関する新たな議論の喚起
– 技術標準と法的要件の国際的調和の重要性

重要なポイント (Key Takeaways)

実務家への示唆:

1. 予防法務の重要性: 生体認証技術を扱う企業は、サービス開始前に包括的な法的レビューを実施し、特に同意取得メカニズムを慎重に設計する必要がある

2. 和解戦略の革新: 財務能力が限定的なスタートアップ企業の場合、従来型の現金和解以外の創造的な解決策を検討する価値がある

3. 州法の重要性: 連邦法の不在により、州法（特にイリノイ州BIPA、カリフォルニア州CCPA等）が実質的な規制基準となっている

4. 技術と法の交差点: 弁護士は、AIや機械学習の基本的な仕組みを理解し、技術専門家と効果的に協働する能力が必要

5. クラスアクション対策: 企業は、潜在的な集団訴訟リスクを考慮し、適切な保険カバレッジと内部統制を確保すべき

今後の展望:

1. 連邦レベルでの立法: 米国連邦議会における包括的なプライバシー法制定の可能性が高まっている

2. 技術的対策の進化: プライバシー保護技術（差分プライバシー、連合学習等）の採用が加速する

3. 国際協調の進展: 生体認証データの取り扱いに関する国際的な基準やガイドラインの策定

4. 新たな訴訟の波: この和解を参考に、他のAI企業に対する類似の訴訟が増加する可能性

5. 規制執行の強化: 州司法長官による積極的な執行活動の継続と拡大

注意すべき事項:

1. 同意の形式: 単なるクリックスルー同意では不十分で、明示的かつ情報に基づいた同意が必要

2. データ最小化: 必要最小限のデータのみを収集し、目的達成後は速やかに削除する

3. 透明性の確保: データの収集、使用、共有について、ユーザーに分かりやすく説明する

4. オプトアウト権: 実効的なオプトアウトメカニズムを提供し、その行使を容易にする

5. セキュリティ対策: 生体認証データの特殊性を考慮した高度なセキュリティ対策の実装

6. 第三者との共有: データ共有契約において、適切な保護条項と責任分担を明確化する

7. 監査とモニタリング: 定期的な compliance 監査と、違反の早期発見システムの構築

このレポートに関する注意事項 (Warning/Notes)

– このレポートはサイト運営者がAIエージェントに文献等の調査・調査結果の分析・分析結果の整理・分析結果の翻訳等を行わせたものです。人間による追加的な調査や査読は行っておらず、内容には誤りを含む場合があります。