保険テック系スタートアップBackNineの過失で米大手保険会社の数十万件の申込書が流出

保険テクノロジーのスタートアップ企業であるBackNine(バックナイン)のセキュリティ上の過失により、同社のクラウドサーバーがインターネット上に無防備に放置され、数十万件の保険申込書が流出した。

BackNineという社名に聞き覚えはないかもしれないが、過去数年の間に保険を申し込んだことがあるなら、あなたの個人情報も処理していたかもしれない。カリフォルニアを拠点とする同社は、大手保険会社が生命保険や障害保険を販売・維持するためのバックオフィスソフトウェアを構築している。また、中小企業や独立系のファイナンシャルプランナーがウェブサイトで保険プランを販売する場合には、ホワイトレーベルの見積もりウェブフォームを提供している。

しかし、Amazon(アマゾン)のクラウド上でホストされていた同社のストレージサーバーの1つが、誤って設定されていたため、そこに保存されていた71万1000件のファイルに誰でもアクセスできる状態になっていた。その中には、本人とその家族の非常に機密性の高い個人情報や医療情報が含まれている作成済みの保険申込書もあった。さらに個人の署名の画像や、その他BackNineの社内ファイルも含まれていた。

TechCrunchは、調査した書類の中に、氏名、住所、電話番号などの連絡先情報の他、社会保障番号、医療診断、服用している薬、申込者の過去と現在の健康状態に関する詳細な記入済みアンケートなどがあることを発見した。血液検査や心電図などの検査結果も含まれていた。運転免許証の番号が記載されている申込書もあった。

無防備に放置されていた書類は、2015年にまで遡り、最近では今月に入ってから作成されたものもある。

バケットと呼ばれるアマゾンのストレージサーバーは、デフォルトでは非公開に設定されているので、バケットを管理している誰かがその権限を公開に変更したのだろう。データはいずれも暗号化されていなかった。

セキュリティ研究者のBob Diachenko(ボブ・ディアチェンコ)氏は、公開状態となっていたストレージバケットを発見し、2021年6月初旬に同社にメールでこの過失の詳細を伝えていたが、最初の返事を受け取った後、返信はなく、バケットは公開されたままだった。

TechCrunchは、ディアチェンコ氏が連絡して無視されたBackNineのバイスプレジデントであるReid Tattersall(レイド・タッターソル)氏と連絡を取ろうとしたが、TechCrunchも無視された。しかし、タッターソル氏に(同氏のみに)公開状態になっていたバケットの名前を伝えてから数分後に、それらのデータはロックされた。TechCrunchは、タッターソル氏からも、同氏の父親でBackNineの最高経営責任者であるMark(マーク)氏からも、まだ返事をもらっていない。

TechCrunchはタッターソル氏に、同社が州のデータ漏洩通知法に基づいて地元当局に通報したかどうか、データ漏洩の影響を受ける個人に通知する計画があるかどうかを尋ねたが、回答は得られなかった。サイバーセキュリティ事件の開示を怠った企業は、厳しい財政的・民事的な罰則を受ける可能性がある。

BackNineは、いくつかの米国の大手保険会社と取引をしている。今回公開されてしまったバケットには、AIG、TransAmerica(トランスアメリカ)、John Hancock(ジョン・ハンコック)、Lincoln Financial Group(リンカーン・フィナンシャル・グループ)、Prudential(プルデンシャル)の保険申込書が多く含まれていた。本記事掲載前に連絡を取ったこれらの保険会社の広報担当者はコメントを控えた。

関連記事
PR TIMESが会員企業の発表前情報に対する不正アクセス公表
ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた
北米フォルクスワーゲンの販売業者から330万人分の個人データ流出

カテゴリー:セキュリティ
タグ:データ漏洩個人情報保険アメリカAWS

画像クレジット:TechCrunch (composite) / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

物議を醸すWhatsAppのポリシー変更、今度はEUの消費者法違反の疑いで

Facebookは、WhatsAppのユーザーにポリシーのアップデートを5月15日まで受け入れなければアプリが使えなくなるなど、議論の多い利用規約変更を認めるよう強制していることで、EUの消費者保護法の複数の違反で告訴されている。

EUの消費者保護総括部局であるBureau Européen des Unions de Consommateurs(BEUC、欧州消費者機構)は現地時間7月12日、その8つの会員組織とともに、欧州委員会(EC)と、ヨーロッパの消費者保護機関のネットワークに訴追状を提出したと発表した

同機関のプレスリリースでは「この訴追状は、WhatsAppのポリシーのアップデートを受け入れるようユーザーに迫る、度重なる、執拗で強圧的な通知に対する初めての対応である」と述べられている。

「通知の内容と性質、タイミング、頻度はユーザーをいわれなき圧力の下に置き、彼らの選択の自由を毀損している。したがってそれらは、EUの不公正な商習慣に関する指示に違反している」。

最初に表示されるWhatsAppの新しいポリシーを受け入れる必要性に関する通知は、何度も繰り返されるため、サービスの利用を妨害することになると告げたが、後に同社はその厳しい締め切りを撤回した

それでも同アプリは、アップデートの受け入れを迫ってユーザーを困らせ続けた。受け入れない、というオプションはなく、ユーザーはそのプロンプトを閉じることはできるが、再度、再々度のポップアップを停止することはできない。

BEUCの訴追状は、次のように続いている。「さらに本訴追状は新しい利用規約の不透明性と、WhatsAppが、変更の性質を平易にわかりやすく説明できていないことを強調している。WhatsAppの変更が自分のプライバシーに何をもたらすのかを、消費者が明確に理解することが不可能であり、特に自分の個人データがFacebookやその他の企業の手に渡ることに関し記述が不明確である。このような曖昧さがEUの消費者法への違反を招いているのであり、企業は本来この法に従って、明確で透明な契約条項と商業的コミュニケーションを提示しなければならない」。

同機関が指摘しているのは、WhatsAppのポリシーのアップデートが依然としてヨーロッパのプライバシー規制当局から精査されていることだ。それ(まだ捜査中であること)が、同機関の主張によると、ポリシーをユーザーに押し付けるFacebookの強引なやり方が極めて不適切である理由の1つだ。

この消費者法に基づく訴追状は、BEUCが関与しているもう1つのプライバシー問題、EUのデータ保護当局(DPAs)が捜査しているものとは別だが、彼らに対しても捜査を早めるよう促している。「私たちはヨーロッパの消費者当局のネットワークとデータ保護当局のネットワークの両者に対して、これらの問題に関する密接な協力を促したい」。

BEUCは、WhatsAppのサービス規約に対する懸念を詳述した報告書を作成し、そこでは特に、新しいポリシーの「不透明性」を強く攻撃している。

WhatsAppは未だに、削除した部分と追加した部分に関して極めて曖昧である。結局のところ、何が新しくて何が修正されたのかをユーザーが明確に理解することは、ほとんど不可能である。新しいポリシーのこのような不透明性は、EUの不公正な契約規約に関する指示(Unfair Contract Terms Directive、UCTD)の5条に違反し、またEUの不公正な商習慣に関する指示(Unfair Commercial Practices Directive、UCPD)の5条と6条に照らして、それは誤解を招き不公正な慣行である。

WhatsAppの広報担当者はこのような消費者訴追状に対するコメントとして、次のように述べた。

BEUCの行為は、弊社のサービス規約のアップデートの目的と効果に対する誤解に基づいています。弊社の最近のアップデートは、WhatsApp上の企業に多くの人がメッセージングする際のオプションを説明しており、弊社のデータの集め方と使い方に関するさらなる透明性を提供するものです。このアップデートは、弊社のデータをFacebookと共有する能力を拡張するものではなく、世界のどこにいても、ユーザーが友だちや家族とやり取りするメッセージのプライバシーには何ら影響が及ぶものではありません。このアップデートをBEUCに説明し、多く人にとっての意味を明らかにする機会を歓迎したい。

BEUCの訴追状に対するコメントを欧州委員会(EC)に対しても求めたので、得られ次第この記事をアップデートしよう。

【更新】ECの職員は、次のように述べている。

本日、EUの消費者権への複数の侵犯によりWhatsAppに対して訴追状を提出したヨーロッパ消費者機関(BEUC)からの、警報を受け取りました。

欧州委員会はBEUCと各国の消費者機関から数週間後に提出されるすべての要素を細心に検討し、この件に関するさらなる捜査の必要性と、その結果としての共同消費者保護(Consumer Protection Cooperation、CPC)の規制が予見しているような協調行為の可能性を評価します。

協調行為はCPCのネットワークが定期的に行なうもので、その目的はこの単一市場において消費者の権利を一貫して強制していくことです。

私たちは、すべての企業が、EUではEUのデータ保護のルールに適合するサービスを提供することを期待しています。

GDPRの下では、ルールの監督と強制は各国のデータ保護当局が担当します。そして必要な協力はEuropean Data Protection Boardから提供されます。

欧州委員会は、この問題を密接に追尾していきます。

このWhatsAppポリシーアップデート問題は、以前からEUとヨーロッパ各国が着目しているため、今回の苦情提出は最新の反感表明にすぎない。例えば1月にはイタリアでプライバシーに関する警告が出され、その後の5月にドイツで緊急措置が取られた。それはハンブルグのデータ保護当局が、WhatsAppのユーザーデータの処理を禁じたことがきっかけだ。

関連記事:ドイツ当局がFacebookに対し物議を醸している「WhatsApp」の利用規約を適用しないよう命令

2021年初めには、EUでFacebookのデータ規制を指揮しているアイルランドのデータ保護委員会が、サービス規約の変更は当地域のユーザーに影響を及ぼさないとするFacebookの確約を了承したような雰囲気があった。

しかし、ドイツのデータ保護当局は不満だった。そしてハンブルグはGDPRの緊急時対応を持ち出し、それはアイルランドという一地域の問題ではなく、国をまたぐ訴えであり懸念であると主張した。

そういう緊急措置は期限が3カ月だ。そこでEuropean Data Protection Board(EDPB)は本日、緊急措置に関するハンブルグのデータ保護当局のリクエストを総会で議論すると確認した。総会での決定によっては、ハンブルグのデータ保護当局の介入が、今後も長続きすることになる。

一方では、ヨーロッパの規制当局が力を合わせてプラットフォームの強大な力に対抗しよう、という気運も芽生えている。たとえば各国の競争促進当局とプライバシー規制当局は共同で仕事をしていこうとしている。つまり国によって法律が異なっていても、独禁やデータ保護の専門知識や能力は個々のサイロに封じ込められるべきではない、という考え方だ。個々にサイロ状態であれば、リスクが行政の執行を邪魔し、インターネットのユーザーにとって衝突し相矛盾する結果を生むだろう。

強力なプラットフォームを鎖につなぐだけでなく、そのパワーを規制するために力を合わせるという考え方は、大西洋の両岸で理解されつつある。

関連記事:バイデン氏がビッグテックの「悪質な合併」阻止目指す大統領令に署名、過去のM&Aにも異議の可能性

カテゴリー:ネットサービス
タグ:FacebookWhatsAppEUヨーロッパBEUCプライバシー個人情報

画像クレジット:Brent Lewin/Bloomberg/Getty Images

原文へ

(文:Natasha Lomas、翻訳:Hiroshi Iwatani)

Evernoteの名前が反政府調査ロビーグループのウェブサイトから静かに消えていた

2013年、いわゆるPRISMプログラムの下、テック企業8社がユーザーのデータを米国国家安全保障局(NSA)に渡していたことを糾弾された。NSAの告発者であるEdward Snowden(エドワード・スノーデン)氏がリークした政府の高度機密書類によって明るみに出た。その6カ月後、そのテック企業らはReform Government Surveillance(政府による情報収集の改革)という名前の同盟を結成。名前が示すように、政府調査に関する法律の改訂を立法者に働きかけるのが目的だ。

狙いは単純だった。立法者に対し、標的となる脅威の監視方法を制限し、米国人の個人データを底引き網的に収集するのではなく、企業に大局的状況を提供し、ユーザーデータ提出に関する一種の秘密命令について、企業が透明性を保てるよう要求することだ。

Reform Government Surveillance(RGS)の創立メンバーはApple(アップル)、Facebook(フェイスブック)、Google(グーグル)、LinkedIn(リンクトイン)、Microsoft(マイクロソフト)、Twitter(ツイッター)、Yahoo(ヤフー)、およびAOL(エーオーエル、後のVerizon MediaでTechCrunchの親会社[今のところ])の8社で、後にAmazon(アマゾン)、Dropbox(ドロップボックス)、Evernote(エバーノート)、Snap(スナップ)、およびZoom(ズーム)がメンバーに加わった。

ところが2019年6月のある日、EvernoteがRGSウェブサイトから説明もなく消えた。さらに奇妙なのは、そのことに2年間誰も気づかなかったことで、Evernote自身でさえ知らなかった。

「当社のロゴがReform Government Surveillanceウェブサイトから削除されていたことは知りませんでした」とEvernoteの広報担当者がTechCrunchのコメント要求に答えて語った。「私たちは今もメンバーです」。

Evernoteは2014年10月に同盟に参加した。PRISMが最初に世間にさらされてから1年半後のことだが、この会社はリークされたスノーデン文書に名前が載ったことがなかった。それでもEvernoteは強力な仲間として、RGSによる行政調査法改訂の要求活動はリークされたNSA文書に名前が載った企業以外からも支持を得ていることを示した。EvernoteはRGSの一員であること、および「政府による個人の監視と個人情報のアクセスを規制する慣行と法律を整備する」努力を支持していることを最新の透明性レポートでも表明している。このことからもRGSウェブサイトから名前が消えた謎はいっそう深まった。

TechCrunchは他のRGSメンバー企業にも、Evernoteが削除された理由を知っているかどうか尋ねたが、返信がなかったかコメントを拒んだか、思い当たらないかのいずれかだった。あるRGSメンバー企業の広報担当者は、さほど驚いていない。なぜなら企業が「業界団体を出入りする」のはよくあることだからと語った。

Reform Government Surveillance同盟のウェブサイト。Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが並んでいるが同じくメンバーであるEvernoteはない(画像クレジット:TechCrunch)

たしかにそうかもしれない。企業はいずれ自分のビジネスに役立つかもしれないロビー活動によく参加する。政府による情報収集は、シリコンバレーのビッグネームが一致して大義を支持している稀な難問だ。実際、テック企業の中には自社ユーザーに対する政府調査の増加を公かつ積極的に擁護しているところもある。なぜなら自分たちの使っているサービスにプライバシー強化を要求しているのはユーザー自身だからだ。

結局Evernoteが消えた理由は驚くほど穏やかなものだった。

「Evernoteは長年のメンバーですが、過去数年はあまり活動していなかったため、ウェブサイトから削除しました」とRGSの代理を務めているワシントンDCのロビー業者であるMonument Advocacy(モニュメント・アドボカシー)がメールで説明した。「貴社の質問は当組織内に新たな会話を生むきっかけになりました。今後ともお付き合いのほどよろしくお願いいたします」。

MonumentはRGSの設立初期に調査法改訂のロビー活動を行うために雇われて以来、ずっとこの件に関わっている。OpenSecrets(オープンシークレット)の調査によると、同社は2014年以来これまでに220万ドル(約2億4000万円)をロビー活動に費やしている。具体的には、愛国者法、外国諜報活動偵察法(FISA)など議会で検討中の法案を変更するよう議員に働きかけているが、結果はまちまちだ。RGSは、愛国者法に基づくNSAの情報収集を縮小する米国自由法案を支持したが、NSAに米国外在住外国人の情報を収集する権利を与えるFISA第702条に対する反対運動は失敗した。702条は2018年に再承認され6年延長された。

2020年RGSはほとんど活動がなく、大西洋横断データフローの重要性に関する声明を1件発行しただけだった。米国EU間のデータ移動は、テック企業が懸念する最新の重要問題であり、現地当局が監視できないヨーロッパのユーザーはサービスから削除される恐れがある。

声明には「RGS加盟企業は自社サービスを利用している人々のプライバシーを守り、個人データを保護することを約束します」と書かれ、Amazon、Apple、Dropbox、Facebook、Google、Microsoft、Snap、Twitter、Verizon Media、およびZoomのロゴが入っているがEvernoteの名前はない。

同盟の力はメンバーの力そのものであり、ウェブサイトからEvernoteを削除したが今でもメンバーである、というのは結束した企業共同体が高らかに発信するメッセージではない。そもそもテック大企業たちの間で最近見られるものではないが。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

カテゴリー:パブリック / ダイバーシティ
タグ:Evernote透明性Reform Government Surveillance / RGSプライバシー個人情報NSA

画像クレジット:Frederick Florin / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

【コラム】プログラマティック広告における広告詐欺と消費者プライバシー乱用との戦い方

編集部注:本稿の著者Jalal Nasir(ジャラール・ナセル)氏は、広告詐欺調査とマーケティング・コンプライアンスの国際プラットフォームであるPixalate(ピクサレート)のファウンダー兼CEO。以前はAmazonの詐欺防止およびリスク管理チームで初期のエンジニアの1人として働き、アドテックや企業プライバシーテクノロジーの構築でさまざまな製品を指揮した。

ーーー

プログラマティック広告(運用型広告)は、急成長中の大規模に広がりつつある2000億ドル(約22兆1135億円)の世界市場であり、Connected TV(CTV、スマートテレビ)が最近の加速要因となっている。しかし残念ながら、そこには詐欺と消費者プライバシーの乱用が蔓延し、CTV、モバイルをはじめとする新興メディアで特にその傾向が強い。

全世界における広告詐欺による損害は2020年350億ドル(約3兆8700億円)を超え、2025年には500億ドル(約5兆5287億円)に達するとWorld Federation of Advertisers(WFA、世界広告主連盟)は推測している。WFAによると、広告詐欺は「麻薬取引に次ぐ第2位の組織犯罪の収入源」だが、広告詐欺対策のための万能戦略はない。

モバイルやCTVにおけるビデオ広告を活用し、信頼できる広告効果測定を行うために、経営者は自分たちが、ボットではなく、顧客にリーチ(到達)することで事業目標を達成すべきであり、同時に最新の規制と法律を遵守する必要がある。

ビジネスリーダーが自らの評判と広告費用を守るための重要なステップがいくつかある。

  • 高度なツールを利用して、自社の広告費が餌食となっている広告詐欺のタイプを突き止める。
  • 予算を「質対リーチ」の観点から分析する。詐欺師たちは広告主の「歴史的なリーチへの強迫観念」につけ込んでいる。
  • 「プライバシーの時代」が到来したことを認識する。ビジネスリーダーはルールを守り、広告市場における自社ブランドのイメージを守らなくてはならない。

スマートテレビとモバイルアプリ広告のさまざまなタイプの広告詐欺を知り、自らの広告費を守る

貴重な広告費が不正なトラフィックに浪費される方法にはさまざまなタイプがあることを知っておく必要がある。現在米国世帯の78%がプロバイダーCTV広告を通じてリーチ可能となっている中、広告詐欺比率は2020年第4四半期に24%という高い数字を維持している。「なりすまし」(別のパブリッシャーのふりをする)や偽サイト、偽アプリなどの伝統的な広告詐欺攻撃は、CTVデバイスファームなどの高度な手法に取って代わられつつある。

広告詐欺が自分の広告費を蝕んでいることを知るのは第一歩だが、ビジネスリーダーはさまざまな策略を理解して、正しい方策を正しいタイミングで実行できるようにする必要がある。

質というレンズを通してリーチを見る

歴史的に、広告測定の標準的手法はリーチ(到達度)に焦点を当ててきた。しかし今や、トラフィックの質と結び付いていないリーチは「バニティメトリクス(虚栄心の指標)」でしかない。

質を無視してリーチを求めることは、広告詐欺に格好の機会を与える。偽トラフィックを生んで「リーチ」の幻想を作りだすやり方は、多くの広告詐欺の主要な方法であり、CTV詐欺の中にはボットを使って1日当り6億5000万回の入札を捏造するものもある、とThe Drumが伝えている。

実際の売上に結びつかない高インプレッション数と異常なプライシング(競争相手と比べて)は、トラフィック品質問題の有力な前兆だ。

CTVエコシステムの成長につれて高騰するプレミアム価格のために、広告主はバーゲンを探したくなる衝動に駆られるかもしれない。しかし、XUMOとPhiloをはじめとする大手ストリーミングTVプロバイダーは広告主に対し、うますぎる価格は詐欺行為の証かもしれない、と警告している。疑わしいデータを見たらトラフィックの出どころを確かめ、問いただす努力をすべきだ。

広告業界自身も、広告詐欺を阻止するためのツールをビジネスオーナーに提供することで応戦している。業界ではMedia Rating Council、Interactive Advertising Bureau、Trustworthy Accountability Groupなどの作業部会や監視機関が、特定のプラットフォームやサプライヤーを認定することで広告詐欺と戦っている。これらの組織は、詐欺行為に対処するための業界標準やプログラムも定期的に公開している。たとえばAds.txtというイニシアティブは広告主が合法的な第三者から広告枠を買う手助けをすることを目的としている。すべてのビジネスオーナーは、認定済みプラットフォームや新たなプログラムや標準を利用することで、広告詐欺の最新トレンドを掌握すべきだ。

ビジネスリーダーはブランドの安全とコンプライアンスを優先すべきだ

ブランドは広告品質の複雑な世界を安全に巡航することに加えて、付き合っているパブリッシャーがブランドにとって安全であり最新の消費者プライバシー・コンプライアンス法を遵守しているかどうかを検討すべきだ。

Pixalate(ピクサレート)の2021年予測によると、Apple App Store(アップル・アップストア)アプリの22%、Google Play Store(グーグル・プレイ・ストア)アプリの9%が、プライバシーポリシーを持たないプログラマティック広告を配信している。これが重要なのは、消費者データが広告詐欺策略の一部で悪用されたケースがすでに報告されているからだ。そしてGoogle Play Storeアプリの70%は、Googleが「dangerous permissions(危険な許可)」と呼ぶ要素を1つ以上含んでいて、これは2020年に5%増えた数字だ。また、プログラマティック広告を配信しているアプリのうち、Apple App Storeアプリの80%、Google Play Storeアプリの66%が、ユーザーの中に12歳以下の子どもを含んでいることから、COPPA(児童オンラインプライバシー保護法)遵守も視野に入ってくる。

ブランドの安全性に関してビジネスリーダーやブランドが知っておくべきことがいくつかある。最も重要なのは、あるブランドとって何が「安全」なのかはそのブランドのみに基づくということだ。黄金律は存在せず、なぜならブランドごとにビジョンもミッションもゴールも異なるからだ。ブランド安全性は主観的である。しかし、成功には不可欠である。

広告詐欺、ブランド安全性、およびデータコンプライアンスは常に進化を続けているので、リーダーは数値を追いかけ、市場の変化に遅れをとらず正しいパートナーに投資することで、最も影響力と効果のあるコンテンツに、ボットではなく、消費者が関わってくれるよう力を尽くさなくてはならない。

関連記事
Pinterestが広告ポリシーを改訂、減量を促す言葉や画像は掲載禁止に
グーグルがトラッキングクッキー廃止を2023年後半まで延期
アップルは検索広告で中国での売上増を狙う

カテゴリー:ネットサービス
タグ:コラム広告スマートテレビ詐欺プライバシー個人情報コンプライアンス

画像クレジット:wenmei Zhou / Getty Images

原文へ

(文:Jalal Nasir、翻訳:Nob Takahashi / facebook

45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

NSO Group(NSOグループ)が開発したスパイウェア「Pegasus(ペガサス)」によって携帯電話がハッキングされたジャーナリスト、活動家、人権擁護者などの既知のターゲットすべてを、初めて研究者がマッピングで表してみせた。

ロンドン大学ゴールドスミス校の人権侵害を調査する学術ユニット「Forensic Architecture(フォレンジック・アーキテクチャー)」は、人権団体から提出された数十の報告書を精査し、オープンソースの調査を実施。数十人の被害者本人にインタビューを行った結果、デバイスの感染状況を含む1000以上のデータを明らかにした。これらのデータは、NSOの顧客である各国政府が行ったデジタル監視と、被害者が実際に受けている脅迫、いやがらせ、暴力との関係やパターンを示している。

研究者たちは、これらのデータを独自のプラットフォームにマッピングすることで、Pegasusを使って被害者をスパイする国家が、そのネットワーク内の他の被害者をターゲットにすることもあり、さらにターゲットとされた人物だけでなく、その家族、友人、同僚も、攻撃、逮捕、偽情報キャンペーンの被害にどれだけ巻き込まれているかを示すことができた。

1000件を超えるデータは、各国政府によるPegasusの使用状況の一部に過ぎないが、このプロジェクトが目的としているのは、スパイウェアメーカーのNSOが極力表に出さないようにしている同社の世界的な活動に関するデータとツールを、研究者や調査員に提供することである。

イスラエルに拠点を置くNSOグループが開発したスパイウェアのPegasusは、その顧客である政府機関が被監視者の端末に、個人情報や位置情報を含めてほぼ自由にアクセスできるようにするものだ。NSOグループは、これまで何度も顧客名の公表を拒否してきたが、少なくとも45カ国で政府機関と契約を結んでいると報じられている。その中には、ルワンダ、イスラエル、バーレーン、サウジアラビア、メキシコ、アラブ首長国連邦など、人権侵害が指摘されている国の他、スペインなどの西欧諸国も含まれている。

今回の調査を担当したForensic Architectureの研究員であるShourideh Molavi(ショウリデ・モラビ)氏は「私たちの住むデジタル領域が、人権侵害の新たなフロンティアとなっており、そこで行われる国家による監視と脅迫が、現実空間における物理的な暴力を引き起こしていることが、調査結果から明らかになりました」と述べている。

このプラットフォームでは、政府の最も率直な批判者を標的としたキャンペーンから、どのようにして被害者がスパイウェアと物理的暴力の両方の標的となったかを、視覚的なタイムラインで示している。

モントリオールに亡命中のサウジアラビア人ビデオブロガーで活動家のOmar Abdulaziz(オマル・アブドゥルアジズ)氏は、2018年にマルウェアのPegasusによって自分のスマートフォンをハッキングされた。それはサウジの使者がアブドゥルアジズ氏に王国に戻るよう説得した直後のことだった。その数週間後、サウジアラビアに住む彼の兄弟2人が逮捕され、彼の友人たちも拘束された。

アブドゥルアジズ氏は、サウジアラビアの事実上の支配者であるMohammed bin Salman(ムハンマド・ビン・サルマン)皇太子が殺害を承認したWashington Post(ワシントン・ポスト紙)のジャーナリストでありJamal Khashoggi(ジャマル・カショギ)氏の親友であり、彼のTwitter(ツイッター)アカウントに関する情報も「国家が支援する」実行者に盗まれた。後にその犯人は、Twitterに勤務していたサウジアラビアのスパイであることが判明した。Yahoo! News(ヤフー・ニュース)が先週報じたところによると、この盗まれたデータには、アブドゥルアジズ氏の電話番号も含まれており、それを利用してサウジアラビアは彼の携帯電話に侵入し、カショギ氏とのメッセージをリアルタイムで読み取っていたという。

オマル・アブドゥルアジズ氏は、国家によるデジタル監視の被害者として知られる数十人のうちの1人だ。青色の点はデジタル的な侵入を、赤色の点は嫌がらせや暴力などの物理的な出来事を示す。(画像クレジット:Forensic Architecture)

メキシコ人ジャーナリストのCarmen Aristegui(カルメン・アリステギ)氏も、被害者として知られる1人で、2015年から2016年にかけて、メキシコである可能性が高いPegasusの顧客政府によって、携帯電話が何度もハッキングされていた。トロント大学のCitizen Lab(シチズン・ラボ)によると、彼女の息子で当時未成年だったEmilio(エミリオ)氏も、米国に住んでいる間に携帯電話が狙われていたという。アリステギ氏とその息子、そして彼女の同僚に対するデジタル侵入の時系列を見ると、彼女らがメキシコのEnrique Peña Nieto(エンリケ・ペーニャ・ニエト)大統領(当時)の汚職を暴露した後、ハッキング活動が激化したことがわかる。

「このマルウェアは、カメラやマイクなど、私たちの生活と不可分な機器を作動させることができます」と、このプロジェクトに協力したジャーナリストで映画監督の Laura Poitras(ローラ・ポイトラス)氏によるインタビューで、アリステギ氏は述べている。携帯電話を狙われた息子について、アリステギ氏は次のように語った。「ただ学校に通うだけの生活をしている子どもが狙われるということは、国家がいかに我々が対抗し得ない侵害を行うことができるかを物語っています」。なお、NSOは米国内の携帯電話を標的にしていないと繰り返し主張しているが、Pegasusと同様のPhantom(ファントム)と呼ばれる技術を、米国の子会社であるWestbridge Technologies(ウェストブリッジ・テクノロジーズ)を通じて提供している。

「国家が、あるいは誰かが、このような『デジタル暴力』のシステムを使うことで、ジャーナリズムの責務に途方も無いダメージを与えることができます」と、アリステギ氏はいう。「結局はそれがジャーナリストに大きな痛手を与え、社会が情報を維持する権利に影響を及ぼすことになるのです」。

タイムラインは、カルメン・アリステギ氏とその家族、同僚がデジタルで狙われた時(青)と、オフィスへの侵入、脅迫、デマ情報キャンペーン(赤)の発生が絡み合っていることを示している。(画像クレジット:Forensic Architecture)

このプラットフォームは、NSOグループの企業構造に関するAmnesty International(アムネスティ・インターナショナル)による最近の調査結果にも基づいている。この調査では、NSOのスパイウェアが、その顧客や活動を隠すために、複雑な企業ネットワークを利用して、国家や政府に拡散していったことを明らかにした。Forensic Architectureのプラットフォームは、2015年にNSOが設立されて以来の民間投資の痕跡を追っている。このような民間資本が、イスラエルの輸出規制によって、通常は制限されているはずの政府へのスパイウェアの販売を、NSOに「可能にさせた可能性がある」という。

NSOグループのスパイウェアであるPegasusは、イスラエルの軍産複合体による他の製品と同様、現在進行中のイスラエルによる占領下で開発された武器として考え、取り扱う必要がある。Forensic ArchitectureのディレクターであるEyal Weizman(エヤル・ワイツマン)氏は「世界中で人権侵害を可能にするために輸出されているのを見ると失望します」と語っている。

このプラットフォームが起ち上げられたのは、NSOが先週、最初のいわゆる透明性報告書を発表した直後のことだった。この報告書は、人権擁護団体や安全保障研究者から、意味のある詳細が何もないと批判されていた。アムネスティ・インターナショナルは、この報告書は「営業用パンフレットのようだ」と述べている。

NSOグループは声明の中で、実際に見ていない研究についてはコメントできないとしながらも「不正使用についての信憑性のある申し立てはすべて調査し、NSOは調査結果に基づいて適切な措置を取る」と主張している。

NSOグループは、同社の技術を「米国内でのサイバー監視に使用することはできないし、これまで米国の電話番号を持つ電話機にアクセスできる技術を与えられた顧客はいない」と主張し、政府系顧客の名前を明かすことは拒否した。

関連記事:ジャーナリスト36人以上のiPhoneが「ゼロクリック」スパイウェアにハックされていたことが発覚

カテゴリー:セキュリティ
タグ:スパイウェアNSO Groupハッキング人権暴力個人情報プライバシー

画像クレジット:Forensic Architecture / supplied

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

LINE側サーバーに相談情報が残らない、内閣サイバーセキュリティセンターのLINE利用ガイドライン対応SNS相談システム

LINEを活用したシステムを開発するタビィコムは6月28日、官公庁・自治体・団体が実施するSNS相談(いじめ・税務・法律・妊婦相談、窓口・問い合わせ業務など)事業向けの同社SNS相談システム「e 相談」において、内閣官房内閣サイバーセキュリティセンター(NISC)のLINE利用ガイドラインに対応させたことを発表した。

内閣官房内閣サイバーセキュリティセンター(NISC)は2021年4月、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」を発表しており、政府機関・地方公共団体などはこれに準拠したLINEサービスの利用システムが求められている。

内閣官房内閣サイバーセキュリティセンター(NISC)のLINE利用ガイドライン(抜粋)

  • 「相談業務等のコンタクトポイントの一つとしてLINEサービスを利用する場合は、相談内容等の機密性を要する情報等がLINE社側に残らず、これらの情報は委託先等のデータベースに直接格納・保管されるシステム構成とすること」
  • 「各行政主体は、これらの措置を委託先に担保させるため、委託先に対して、事前にこれらの事項を確認したうえで各主体にLINEサービス利用の承認を求めるとともに、定期的に利用状況を報告することを委託先への仕様内容に含める、また、各行政主体は本ガイドラインに則って、委託先によるLINEサービス利用の可否を判断する。ただし、身体人命に危険が及ぶ可能性の高い相談事業(いじめ、虐待相談等)において、緊急性を要する相談(画像含む)がLINEサービス上で寄せられ、例外的にLINEサービス上で要機密情報を含む緊急対応をすることは排除されない。」

ガイドライン準拠システムについて自治体・団体から問い合わせがあったことから、タビィコムは、官公庁・自治体・団体ごとの運営ポリシーによって「従来型のLINE相談」と「NISCのLINE利用ガイドラインに対応したLINE相談」のどちらでも選択できるよう、e 相談の新機能としてリリースしたという。この仕組みは、企業・大学・医療機関など様々なLINE相談のニーズにも対応可能としている。

同機能では、LINE公式アカウントをコンタクトポイントとして利用し、LINEの中でウェブブラウザーを立ち上げ、ウェブチャットにより相談を行える。同チャットは、LINEが提供するウェブアプリのプラットフォーム「LIFF」を利用しており、相談内容は暗号化して通信を行うほか、LINE公式アカウントと友だちになった相談者のみが閲覧・利用できる。

またこれらはLINEのサーバーにはデータが残らない仕様となっており、すべてのデータは日本国内に設置されたサーバーにデータが暗号化されて保管される。利用者のプライバシーに関するアンケートや質問内容を行った際も、質問内容と回答結果が、LINEのサーバーにデータは残らない仕様を採用している。

このほか、e 相談は以下機能を備えているという。

  • LINEからの相談はウェブブラウザーベースの有人対応画面で相談員が応答
  • 定型文、スタンプ、画像などを送信できる
  • 相談を他の相談員に引き継げる
  • 過去の相談履歴を確認しながら相談員が対応できる
  • 相談受付時間、曜日が設定可能
  • 相談員が同時に対応できる相談数を設定可能
  • 相談先の部署ごとに相談内容の閲覧制限がかけられる
  • 警察などの関係機関と連携するために必要な情報を提供できる
  • ウェブチャットを利用した相談機能

また相談員に相談する前にAIなどによる自動応答メッセージやボット(Bot)を設定することで、相談員の業務負担軽減を図ることも可能だ。

関連記事
EUが第三国へのデータ移転に関する最終ガイダンスを発表
LINEがデータガバナンスに関する現状認識を発表、海外保管のトークデータを完全国内移転へ

カテゴリー:GovTech
タグ:個人情報 / 個人情報保護(用語)タビィコム(企業)LINE(企業・サービス)日本(国・地域)

EUが第三国へのデータ移転に関する最終ガイダンスを発表

欧州データ保護会議(EDPB)は現地時間6月22日、最終勧告を発表した。これは、2020年夏にCJEU(欧州司法裁判所)が下した画期的な判決(別名「Schrems II」判決)を踏まえて、EUデータ保護法を遵守しつつ第三国に個人データを移転するためのガイダンスを策定するものだ。

この最終勧告は、実際のところ48ページもあり、かなり長いのだが、その要旨は、第三国に(合法的に)データを移転することが不可能になる場合があるということだ。例えば、欧州委員会によって最近改正されたStandard Contractual Clauses(標準的契約条項)という、適法にデータ移転を行うための手段など、第三国へのデータ移転を行う場合に(理屈の上では)活用できる法的な仕組みが引き続き存在するのにも関わらず、である。

しかし、個々の移転事例の実行可能性を判断することはデータ管理者に任されており、ある特定のケースのデータフローが法的に許容されるかどうかを個別に決定する。例えば、ある企業が、外国政府の監視体制と、それが特定のオペレーションに及ぼす影響について複雑な評価を行う場合は、そのようなケース・バイ・ケースの判断が必要になるかもしれない。

EU加盟国外からEUユーザーのデータを定期的に収集し(米国などの)第三国でそれを処理している企業が、データの適法性に関する取り決めをEUと締結していない場合、最も楽観的なシナリオでも莫大な費用が必要になり、コンプライアンスを満たす面で課題に直面することになる。

移転されるデータの安全性を確かめるための実行可能な「特別措置」を適用できない場合は、データフローを停止することが義務付けられている。この義務を履行しないと、データフローの停止をデータ保護当局から命令される危険がある(さらに追加で制裁が科される可能性もある)。

そのような企業にとって代替手段となるのが、EUユーザーのデータをEU内でローカルに保管し処理する方法であるが、すべての会社がそれを実行できるわけではないのは明らかだ。

法律事務所は、この結果に非常に満足しているであろう。企業がデータフローの枠組みを作り、Schrems II判決後のやり方に適応しようと取り組むため、法律関連のアドバイスへの需要が高まるからだ。

一部のEU加盟国(ドイツなど)のデータ保護当局は、移転の差し止め命令が確実に遵守されるよう、活発にコンプライアンスチェックを実行している。

その一方で、欧州データ保護監督機関は、AWS(アマゾンウェブサービス)やMicrosoft(マイクロソフト)などのテクノロジー大企業がハイレベルな枠組みを持ち、合格レベルに達しているかを確認するため、EU機関自体の米国クラウドサービス大企業の使用について入念に調査することに注力している。

関連記事:EU諸機関によるAWSとマイクロソフトの各クラウドサービス利用について同プライバシー責任者が調査を開始

CJEU(欧州司法裁判所)は2020年の夏、EU米国間の「 Privacy Shield(プライバシー・シールド)」制度を廃止した。適法性に関するこの重要な制度が制定されてから、ほんの数年後のことだ。それの前身となる「Safe Harbor(セーフ・ハーバー)」制度も、およそ15年持ちこたえたものの、同様の根本的な法的課題があり、同じ結末を迎えた。そして、プライバシー・シールド制度の廃止以降、EU委員会は、今度は応急措置となる代わりの合意を結ばないと何度も警告してきた。米国の監視法が大幅に改正されることを求めているのに他ならない。

米国とEUの議員はEU-USデータフロー協定の代替案について交渉中のままであるが、以前の2つの制度では解決できなかった法律的な課題に耐え得る実行可能な案をまとめるには、数カ月どころか、数年を要するであろう。

つまり当面は、EU米国間のデータフローは、法的不確定性に直面することになるということだ。

一方、英国は、ブレグジット後の計画がデータ保護の分野での規制を逸脱していると声高に指摘する一部の意見をよそに、データの適法性に関する一定の取り決めへの合意を欧州委員会から引き出した。

もし英国が、EUの法制度から受け継いだ主要な考え方を捨てる方針で突き進めば、数年以内に、高い確率で適法ステータスを失うことになる。つまり、英国も、EUとの間のデータフローに入るのを妨げる壁にぶち当たることになる(今のところは問題をなんとか回避しているようだ)。

適法性に関する取り決めをEUと締結していない他の第三国(中国やインドなど)へのデータフローも、現在見られる法的不確定性に直面することになる。

EU加盟国と非加盟国との間のデータフローに関する課題の背景には、発端となった申し立てがある。7年以上前に、NSA(米国国家安全保障理事会)の内部告発者であるEdward Snowden(エドワード・スノーデン)氏が政府の大規模監視プログラムについて暴露したことを受けて、Max Schrems(マックス・シュレムス)氏が、自身の名前を冠した文書を作成し、EU米国間データフローの安全性に疑問を投げかけたのだ。

シュレムス氏の申し立ては、特にFacebookのビジネスに的を絞ったものであったが、アイルランドのデータ保護委員会(DPC)がその執行力を用いて、Facebookによる欧州と米国間のデータフローを禁止する事態に至った。

規制が定まらずに揺れ動き、ついには、欧州最高裁判所での訴訟問題へと発展した。そして、最終的には、EU米国間のプライバシー・シールド制度の廃止につながったのである。CJEU(欧州司法裁判所)の判決では、情報が危険にさらされる場所にデータが流れていることが疑われる場合は、加盟国のデータ規制当局が介入して措置を講じるべきであることが、法律面での疑問の余地を残すことなく明示された。

Schrems IIの判決に続いて、DPCは(ついに)2020年秋、EU米国間のデータワークフローを停止するよう、Facebookに仮差し止め命令を通知した。Facebookは、すぐにアイルランド裁判所の命令に異議を申し立て、その動きを止めるよう求めたが、その試みは失敗に終わった。Facebookが、欧州と米国間のデータフローを実行できる時間はあとわずかしか残されていない

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

Facebookは米国のFISA(外国情報監視法)第702項に従う義務があるため、同社が、EUデータ移転を補完するための「特別措置」を適用できるオプションは、控えめに言っても限られているように見える。

例えば、Facebookは、同社が確実にアクセスできない方法(ゼロアクセス暗号法)でデータを暗号化することはできない。それではFacebookの巨大な広告事業は機能できないからだ。また、シュレムス氏が以前に指摘したように、Facebookがデータ移転の問題を解決するには、そのサービスを連携させて、EUユーザーの情報をEU内に保管する必要がある。

Facebookのような企業がコンプライアンスを守るのに要する費用は非常に莫大で、その複雑性も相当なものだと言って間違いない。

しかし、CJEU(欧州司法裁判所)の判決の結果、何千もの企業はコンプライアンス費用と複雑性に直面することになる。欧州および米国のスタートアップ連合は、2021年6月初めのEU-USサミットに先駆けて議員あてに送った最近の公開書簡の中で、プライバシー・シールド制度の無効化をはじめとする、デジタル分野での最近の展開について言及し「このままでは、スタートアップのエコシステムが、競争の激しいグローバル市場で不利な立場に置かれたままになる危険がある」として、規制基準の整備における連携を図るよう政策立案者に要請した。

この懸念について、スタートアップ権利擁護団体Allied For StartupsでEU政策監督官を務めるBenedikt Blomeyer(ベネディクト・ブロマイヤー)氏は、TechCrunchに次のように語った。「スタートアップは起業初日からグローバルです。例えば、米国のスタートアップは、欧州のコンシューマーに提供できるものをたくさん持っています。市場がますます相互につながり合っていく中で、なぜデータ保護関連の法律が増え続け、デジタル経済においての貿易障壁が高まっているのでしょうか」。

しかし、EU米国間の規制の食い違い解消を求める意見を擁護しているスタートアップは、現時点で、例えば米国の監視法改正のような具体的な措置を目指して政府に働きかけているのか、とブロマイヤー氏に尋ねたところ、その点に関するコメントは今は控えたいとのことだった。

EDPB(欧州データ保護会議)による最終勧告の採択に関して、議長のAndrea Jelinek(アンドレア・ジェリネク)氏は次のようにコメントしている。「Schrems II判決が及ぼした影響は計り知れません。国際的なデータフローはすでに、それぞれのレベルで徹底調査を行う規制当局の厳しい監視の下に置かれています。EDPB最終勧告の目標は、個人データを合法的に第三国に移転するようデータ輸出者を導くことであり、それと同時に、欧州経済圏内で保証されているのと実質的に同じような一定レベルの保護が、移転されたデータに与えられるよう保証することです」。

同氏はさらに次のように語った。「利害関係者が表明した懸念を晴らし、特に第三国における公共機関の慣行を調査することの重要性を明確にすることによって、データ輸出者が、第三国へのデータ移転について評価する方法を簡単に学べるようにしたいと考えており、効果的な補完的措置を特定して、必要に応じて実行に移したいと考えています。EDPBは、今後発令するガイダンスにおいても、Schrems II判決の影響と、利害関係者から寄せられたコメントを引き続き考慮していきます」。

EDPB(欧州データ保護会議)は2020年、Schrems II判決への準拠に関する最初のガイダンスを発表した。

当初の勧告と今回の最終勧告の間に見られる主な調整点には「第三国の法律および慣行が、GDPR第46条で定められた移転手段の有効性を実際に侵害するかどうか、データ輸出者の法的評価において第三国の公共機関の慣行を調査することの重要性が強調されていること」「データ輸出者は、その評価において、具体的な補足情報など他の要素とともにデータ輸入者の実務状況を考慮に入れる可能性があること」「データの行き先となる第三国の法律が、データ移転へのアクセスをデータ輸入者の介入なしに関係当局に許可している場合にも移転手段の有効性が侵害される可能性があることに関する明示的な説明」などが含まれている。

法律事務所Linklaters(リンクレーターズ)は、声明の中でEDPB(欧州データ保護会議)の勧告について、このガイダンスがビジネスに与える今後の影響について危惧しながら、これは「厳しいガイダンスだ」とコメントした。

この国際的な法律事務所で弁護士を務めるPeter Church(ピーター・チャーチ)氏は、次のように説明する。「これらの移転に対する実用的なアプローチがあるとの証拠はあまり見られず、EDPBはデータがEU内にとどまるという結論であれば、それでまったく十分ではないかとも思います。例えば、企業は(ふさわしいデータ保護法がない状態で)第三国に個人データを移転する前に、法律だけでなく、法的処置と国家安全保障局が実質どのように運営されているかを考慮する必要があります。これらの活動は、通常は機密として扱われ、不透明であるため、このタイプの分析は数万ユーロを要し、時間もかかります。この分析が、比較的無害な移転に対しても必要になるようです」。

同氏はさらに「中小企業がこれらの要件をどの程度遵守すべきなのかという点が明確に示されていない」と付け加え「私たちは現在、国際化社会で取引を行っており、EDPBは、(王であっても海岸に押し寄せる潮を引き止めることはできないことを示したという逸話を残す)クヌート1世のように、それが持つ力の実際的な限界を考慮に入れるべきです。このガイダンスが、世界中でデータの波の満ち引きを止めることはありません。しかし、多くのビジネスは、この新しい要件に従うため相当苦しむことになるのです」と語った。

関連記事
【コラム】親愛なるEUへ、テックスタートアップ政策の優柔不断をやめてコミットする時がやってきた
LinkedInがヘイトスピーチの削除に関するEUの行動規範に正式署名
「音声認識AIの競争に対する懸念が高まっている」とEUが発表

カテゴリー:パブリック / ダイバーシティ
タグ:EUヨーロッパ個人情報

画像クレジット:Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

英個人情報監督局が公共の場でのライブ顔認証による「ビッグデータ」監視の脅威に警鐘を鳴らす

英国のデータ保護規制当局最高責任者はライブ顔認識(live facial recognition、LFR)を公共の場で無謀かつ不適切に使用することについて警鐘を鳴らした。

公共の場でこの生体認証監視を使用することについて、個人情報保護監督官のElizabeth Denham(エリザベス・デナム)氏は「エンゲージメントの規則」と題する活動の開始点として見解を発表し、データ保護規制当局はLFRの利用計画に対して多くの調査を実施したが、すべてのケースで問題が発覚したと述べた。

「ライブ顔認証テクノロジーが不適切に、過剰に、あるいは無謀に使用される可能性について深く憂慮しています。機密性の高い個人情報が、本人の知らないところで、本人の許可なしに大規模に収集された場合、その影響は計り知れません」と同氏はブログの投稿で警告した。

「これまでの用途としては、公共の安全性の懸念に対応したり、生体認証プロファイルを作成して絞り込んだターゲットにパーソナライズされた広告を配信するといったものがあります」。

「調査対象となった組織の中でその処理を完全に正当化できた組織は1つもなく、実際に稼働したシステムのうち、データ保護法の要件に完全に準拠していたものは皆無でした。すべての組織はLFRの使用を中止する選択をしました」。

「CCTV(Closed-Circuit Television、監視カメラ)と違って、LFRとそのアルゴリズムは、映っている人を自動的に特定し、その人に関する機密性の高い情報を推測します。そして即座にプロファイルを作成してパーソナライズされた広告を表示したり、毎週食料品店で買い物をするあなたの画像を万引犯の画像と比較したりします」とデナム氏はいう。

「将来は、CCTVカメラをLFRで置き換えたり、ソーシャルメディデータやその他の『ビッグデータ』システムと組み合わせて使用する可能性もあります。LFRはCCTVの強化版なのです」。

生体認証テクノロジーを使用して個人をリモートから特定すると、プライバシーや差別のリスクなど、人権に関する重大な懸念が生じる。

欧州全体で、自分の顔を取り戻そうといった、生体認証による大衆監視の禁止を求めるさまざまな運動が起こっている。

顔認証にターゲットを絞ったもう1つのアクションとして、2021年5月、プライバシー・インターナショナルなどが、物議を醸している米国の顔認証企業Clearview AI(クリアビュー・エーアイ)の欧州での営業を停止するよう求める法的な異議申し立てを行った(一部の地域警察部隊も例外ではない。スウェーデンでは、2021年初め、Clearview AIの技術を不法に使用したという理由で警察がDPAによって罰金を課された)。

関連記事:スウェーデンのデータ監視機関が警察によるClearview AI使用は違法と判断

欧州では生体認証監視に対して一般市民が大きな反対の声を上げているが、議員たちはこれまでのところ、この論争中の問題の枝葉末節をあれこれいじくりまわしているだけだ。

欧州委員会が2021年4月に提示したEU全体の規制では、人工知能の応用に関するリスクベースのフレームワークが提案されているが、法執行機関による公共の場での生体認証監視の利用については一部が禁止されているに過ぎない。しかも、広範な適用例外が設けられていたため、多くの批判を招いた。

関連記事
欧州がリスクベースのAI規制を提案、AIに対する信頼と理解の醸成を目指す
欧州議会議員グループが公共の場での生体認証監視を禁止するAI規制を求める
EUデータ保護当局のトップ監督官が公共の場での顔認識の禁止を強く要請

党派を問わずあらゆる欧州議会議員から、ライブの顔認証などのテクノロジーの公共の場での使用の全面禁止を求める声も上がっている。また、EUのデータ保護監督庁長官は、国会に対し、公共の場での生体認証監視の使用を、少なくとも一時的に禁止するよう求めている。

いずれにしても、英国はEUから離脱したため、EUが計画しているAI規制は英国には適用されない。英国政府が国のデータ保護体制を緩和する方向に舵を切るかどうかはまだわからない。

ブレグジット後に英国の規制体制の変更について同国政府が調査会社に依頼した最近のレポートでは、英国GDPRを新しい「英国フレームワーク」で置換して「イノベーションと公共の利益のためにデータを開放する」こと、そしてAIおよび「成長分野」に有利な修正を行うよう主張している。そのため、ブレグジット後、英国の官僚たちがデータ保護体制の修正に手を付けるかどうかが人権ウォッチャーたちの主要な関心事となっている。

「Taskforce on Innovation, Growth and Regulatory Reform(イノベーション、成長、規制改革に関するタスクフォース)」と題するレポートでは、自動処理のみに基づく決定に従わない権利を市民に与えるGDPRの第22項の完全削除を支持しており、(個人情報保護監督庁[INFORMATION COMMISSIONER OFFICE、ICO]からと思われる指導を受け)「自動化プロファイリングが合法かどうか、公共の利益を満たすものかどうかに焦点を移した表現」で置き換えることを提案している。ただし、英国政府はデナム氏の後任人事についても検討しており、デジタル相は、後任には「データを脅威ではなく、我々の時代の大いなる機会とみなす大胆な新しいアプローチ」を採って欲しいと考えていると述べた。つまり、公正、説明責任、透明性とはさようならということだろうか。)

プライバシー監視機関によると、現在のところ、英国でLFRを実装しようとする者は、英国のデータ保護法2018と英国一般データ保護規則(つまり、EU GDPRの英国版。ブレグジット前に国内法令となった)の条項に準拠する必要がある。具体的には、英国GDPR第5条に明記されているデータ保護原則(合法性、公正、透明性、目的の制限、データの最小化、保存の制限、セキュリティ、説明責任など)に準拠する必要がある。

この見解には、監督機関は個人が権利を行使できるようにしなければならないとも書かれている。

「組織は最初から高水準のガバナンスと説明責任を実証する必要があります。これには、LFRを使用することが、導入先の個々のコンテキストにおいて、公正、必要、かつ適切であることを正当化できることも含まれます。侵害性の低い手法は機能しないことを実証する必要があります」とデナム氏は書いている。「これは重要な基準であり、確固とした評価を必要とします」。

「組織はまた、潜在的に侵害的なテクノロジーを使用するリスクとそれが人々のプライバシーと生活に与える影響を理解し評価する必要があります。例えば正確性と偏見をめぐる問題によって、人物誤認が起こり、それにともなって損害が発生することを理解する必要があります」。

英国がデータ保護とプライバシーに関して進む方向についての広範な懸念という視点から見ると、プライバシー監視機関がLFRに関する見解を表明したタイミングは興味深い。

例えば英国政府が後任の個人情報保護監督官に、データ保護とAI(生体認証監視などの分野を含む)に関する規則書を喜んで破り捨ててしまうような「御しやすい」人物を任命するつもりだとしても、少なくとも、LFRの無謀で不適切な使用にともなう危険性を詳述した前任者の見解が公文書に記載されている状態では、そのような政策転換を行うのはかなり気まずいだろう。

もちろん、後任の個人情報保護監督官も、生体認証データがとりわけ機密性の高い情報であり、年齢、性別、民族などの特性を推定または推論するのに使用できるという明らかな警告を無視できないだろう。

あるいは、英国の裁判所がこれまでの判決で「指紋やDNAと同様、顔生体認証テンプレートは本質的にプライベートな特性をもつ情報である」と結論づけており、ICOの見解のとおり、LFRを使用すると、この極めて機密性の高いデータを本人に気づかれることなく取得できるという点を強調していることも当然認識しているはずである。

またデナム氏は、どのようなテクノロジーでも成功するには市民の信頼と信用が必要であるという点を繰り返し強調し、次のように述べている。「そのテクノロジーの使用が合法的で、公正かつ透明性が高く、データ保護法に記載されている他の基準も満たしていることに市民が確信を持てなければなりません」。

ICOは以前「警察によるLFRの使用について」という文書を公開しており、これがLFRの使用に関して高いしきい値を設定することになった(ロンドンメトロポリタン警察を含め、いくつかの英国の警察部隊は、顔認証テクノロジーの早期導入者の1つであり、そのために、人種偏見などの問題について法的苦境に陥った部隊もある)。

関連記事:人権侵害の懸念をよそにロンドン警視庁がNEC製の顔認証を導入

人権運動家にとっては残念なことだが、ICOの見解では、民間企業や公的機関による公開の場での生体認証監視の使用の全面禁止を推奨することは避けており、監督官は、このテクノロジーの使用にはリスクがともなうが、極めて有用となるケース(行方不明の子どもを捜索する場合など)もあると説明している。

「テクノロジーにお墨付きを与えたり禁止したりするのは私の役割ではありませんが、このテクノロジーがまだ開発中で広く普及していない今なら、データ保護に然るべき注意を払うことなくこのテクノロジーが拡散しまうのを防ぐ機会が残されています」と同氏は述べ、次のように指摘する。「LFRを導入するいかなる意志決定においても、データ保護と利用者のプライバシーを最優先する必要があります」。

また、デナム氏は次のように付け加えた。現行の英国の法律では「ショッピング、社交、集会などの場で、LFRとそのアルゴリズムを使用することを正当化するには、高いハードルをクリアする必要があります」。

「新しいテクノロジーでは、利用者の個人情報の使い方について市民の信頼と信用を構築することが不可欠です。それがあって初めて、そのテクノロジーによって生まれる利点を完全に実現できます」と同氏は強調し、米国ではこの信頼が欠如していたために、一部の都市で、特定のコンテキストでのLFRの使用が禁止されたり、ルールが明確になるまで一部の企業がサービスを停止することになったことを指摘した。

「信頼がなければ、このテクノロジーによってもたらされる利点は失われてしまいます」と同氏は警鐘を鳴らした。

このように「イノベーション」というもっともらしい大義を掲げて英国のデータ保護体制を骨抜きにする方向へと慌てふためいて舵を切ろうとしている英国政府だが、1つ越えてはならない一線があることを忘れているようだ。英国が、EUの中心原則(合法性、公正、均整、透明性、説明責任など)から国のデータ保護規則を「解放」しようとするなら、EUとの規制同盟から脱退するリスクを犯すことになる。そうなると、欧州委員会は(締結したばかりの)EU-英国間のデータ適合性協定を破棄することになるだろう。

EUとのデータ適合性協定を維持するには、英国はEUと実質的に同等の市民データ保護を維持する必要がある。このどうしても欲しいデータ適合性ステータスを失うと、英国企業は、EU市民のデータを処理するのに、現在よりはるかに高い法的なハードルを超える必要が出てくる(これは、セーフハーバー原則プライバシー・シールドが無効化された後、米国が今まさに体験していることだ)。EUのデータ保護機関がEU英国間のデータの流れを完全に停止する命令を下す状況もあり得る。

このようなシナリオは英国企業と英国政府の掲げる「イノベーション」にとって恐ろしい事態だ。テクノロジーに対する市民の信頼とか英国市民が自らプライバシーの権利を放棄してしまってよいと思っているのかどうかといったより大きな問題について検討する以前の問題である。

以上の点をすべて考え合わせると、英国政府にはこの「規制改革」の問題について徹底的に考え抜いた政治家が本当にいるのかどうか疑わざるを得ない。今のところ、ICOは少なくとも政府に代わって考える能力をまだ維持している。

関連記事
グーグルのトラッキングクッキーのサポート終了は英国の競争規制当局が同意しない限り実現しない
欧州人権裁判所は「大規模なデジタル通信の傍受には有効なプライバシー保護手段が必要」と強調
フェイスブックの広告データ利用について英国と欧州の規制当局が競争規則違反の疑いで調査開始

カテゴリー:パブリック / ダイバーシティ
タグ:イギリス顔認識生体認証個人情報

画像クレジット:Ian Waldie / Staff / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

TikTokが米国ユーザーの「顔写真や声紋」を含む生体情報の収集を表明

米国時間6月2日水曜日に発表されたTikTok(ティックトック)の米国におけるプライバシーポリシーの変更では、同社のソーシャルビデオアプリがユーザーのコンテンツから「生体識別子および生体情報を収集する場合がある」という項目が新たに追加された。これには「フェイスプリント(顔写真)やボイスプリント(声紋)」などが含まれると説明されている。TikTokにコメントを求めたところ、製品開発におけるどのような理由でユーザーから自動的に収集する情報に生体情報を加える必要が生じたのかは確認できなかった。しかし、そういったデータ収集活動を始める場合には、ユーザーに同意を求めると述べている。

生体情報収集の詳細については、同ポリシーの「自動的に収集する情報」の下に新たに追加された「画像および音声情報」セクションの項目として記述されている。

これは、TikTokのプライバシーポリシーの中で、アプリがユーザーから収集するデータの種類を列挙している部分であり、すでにかなり広範囲にわたっている。

新しいセクションの最初の部分では、TikTokがユーザーのコンテンツに含まれる画像や音声に関する情報を収集する場合があるとし「ユーザーコンテンツに含まれる物体や風景の識別、顔や体の特徴と属性の画像内の有無や位置、音声の特徴、テキスト化した会話内容など」と説明している。

気味が悪いと思うかもしれないが、他のソーシャルネットワークでは、アクセシビリティ(例えば、Instagramの写真の中に何が写っているかを説明する機能)の強化やターゲティング広告のために、アップロードされた画像の物体認識を行っている。また、AR(拡張現実)効果の演出のためには、人物や風景の位置を認識する必要があり、TikTokの自動キャプションは話し言葉をテキスト化することで実現している。

関連記事:TikTokが耳が悪い人のための自動キャプション機能導入、まずは英語と日本語で

また、このポリシーでは、新たなデータ収集は「映像の特殊効果、コンテンツモデレーション、人口統計学的分類、コンテンツや広告のリコメンデーション、個人を特定しないその他の処理」を可能にするためとも述べている。

新しい項目の中でも特に気になるのは、生体情報の収集計画の部分だ。

そこには次のように書かれている。

当社は、お客様のユーザーコンテンツから、フェイスプリントやボイスプリントなど、米国の法律で定義されている生体識別子および生体情報を収集することがあります。法律で要求される場合、当社は、そのような収集を行う前に、お客様に必要な許可を求めます。

この声明自体は、連邦法、州法、またはその両方を対象としているのかどうかを明確にしていないため、曖昧なものとなっている。また、他の項目と同様に、TikTokがなぜこのデータを必要とするのか説明しておらず「フェイスプリント」や「ボイスプリント」という言葉の定義さえもない。加えて、どのようにしてユーザーから「必要な許可」を得るのか、同意を得るプロセスは州法や連邦法を参考にするのかについても言及はない。

これは憂慮すべきことだ。というのも、現在のところ、生体認証情報プライバシー法を制定しているのはイリノイ州、ワシントン州、カリフォルニア州、テキサス州、ニューヨーク州など、ほんのひと握りの州にすぎないからだ。TikTokが「法律で要求される場合」にのみ同意を求めるのであれば、他の州のユーザーはデータ収集について知らされる必要がないということになりかねない。

TikTokの広報担当者は、生体情報の収集における同社の計画や、現在または将来の製品にどのように関わるかについて、詳細は明らかにしていない。

「透明性に対する継続的なコミットメントの一環として、当社が収集する可能性のある情報をより明確にするために、今回プライバシーポリシーを更新した」と同担当者は述べる。

そして、同社のデータセキュリティへの取り組みに関する記事、最新の透明性レポート、アプリ上でのプライバシーの選択についての理解を深めることを目的として最近立ち上げたプライバシーとセキュリティのページを紹介した。

画像クレジット:NOAH SEELAM/AFP via Getty Images

今回の生体情報に関する開示は、TikTokが一部の米国ユーザーの信頼回復に取り組んでいる時期と重なる。

Trump(トランプ)政権時、連邦政府は、TikTokが中国企業に所有されていることから国家安全保障上の脅威であるとして、米国内での運営を全面的に禁止しようとした。TikTokは、この禁止令への対抗として、TikTokの米国ユーザーのデータは、米国内のデータセンターとシンガポールにのみ保存していることを公表した。

関連記事
TikTokは来たるべき禁止令をめぐって米国政府を提訴する
TikTokがトランプ大統領に抵抗、禁止命令に対して差止めを申し立て

同社はまた、北京を拠点とするByteDance(バイトダンス)が所有しているにもかかわらず、TikTokのユーザーデータを中国政府と共有したことも、コンテンツを検閲したこともないと述べている。また、頼まれても絶対にしないとしている。

TikTokの禁止令は当初、裁判所で却下されたものの、連邦政府はその判決を不服として控訴した。しかし、Biden(バイデン)大統領が就任すると、同政権はトランプ政権の措置を再検討するため、控訴プロセスを保留した。そして、6月4日現在、バイデン大統領は、監視技術に関連する中国企業への米国の投資を制限する大統領令に署名しているが、同政権のTikTokに対する立場は不明のままだ。

関連記事
トランプ政権のTikTok禁止措置に対する米連邦判事の2度目の判決、米政府の制限一時差し止め
TikTok米国事業のオラクルへの強制売却が棚上げ

しかし、今回の生体情報収集に関する新たな開示は、ソーシャルメディアアプリがイリノイ州の生体認証情報プライバシー法に違反したとして、2020年5月に提起されたTikTokに対する集団訴訟における9200万ドル(約100億円)の和解を受けたものであることは注目に値する。この集団訴訟は、TikTokがユーザーの同意なしに個人情報や生体情報を収集・共有したことをめぐる、同社に対する20件以上の個別訴訟とも併合されていた。具体的には、特殊効果を狙ったフェイスフィルター技術への使用に関するものだ。

そういった状況のため、TikTokの法務部門は、アプリによる個人の生体情報収集に係る条項を追加することで、将来の訴訟に対する予防策を手早く講じたかったのかもしれない。

今回の開示は、米国向けのプライバシーポリシーにのみ追加されたものだ。EUなど他の市場では、より厳しいデータ保護法やプライバシー保護法があることも忘れてはならない。

この新しいセクションは、TikTokのプライバシーポリシーの広範な更新の一部であり、他にも旧版のタイプミスの修正から、セクションの改訂や新規追加まで、大小さまざまな変更が加えられている。しかし、これらの調整や変更のほとんどは、簡単に説明できる。例えば、TikTokのeコマースへの意欲を明確に示す新しいセクションや、ターゲティング広告に関するApple(アップル)の「App Tracking Transparency(アプリのトラッキングの透明性)」に対応する調整などが挙げられる。

関連記事:ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと

大局的に見れば、TikTokは、たとえ生体情報がなくても、ユーザーやコンテンツ、デバイスに関するデータをふんだんに持っている。

例えば、TikTokのポリシーには、ユーザーのデバイスに関する情報を自動的に収集するとすでに記載されている。その情報には、SIMカード・IPアドレス・GPSに基づく位置データ、TikTok自体の利用状況、ユーザーが作成・アップロードしたすべてのコンテンツ、アプリから送信したメッセージのデータ、アップロードしたコンテンツのメタデータ、クッキー、デバイス上のアプリやファイル名、バッテリーの状態、さらにはキーストロークのパターンやリズムなどが含まれている。

これは、ユーザーが登録したり、TikTokに連絡したり、コンテンツをアップロードしたりしたときに送られる「ユーザーが提供することを選択した情報」とは別だ。この場合、TikTokは、ユーザーの登録情報(ユーザー名、年齢、言語など)、プロフィール情報(名前、写真、ソーシャルメディアアカウント)、プラットフォーム上でユーザーが作成したすべてのコンテンツ、電話やソーシャルネットワークの連絡先、支払い情報、加えてデバイスのクリップボードにあるテキスト、画像、動画を収集する(Apple iOS 14の警告機能により、TikTokや他のアプリがiOSのクリップボードのコンテンツにアクセスしていることが発覚したことはご記憶にあるだろう。今回のポリシーでは、TikTokは「ユーザーの許可を得て」クリップボードのデータを「収集する場合がある」としている)。

プライバシーポリシーの内容自体は、一部のTikTokユーザーにとっては、すぐに気がかりになるものではなく、むしろ、バグだらけのロールアウトに関心が集まった。

一部のユーザーは、プライバシーポリシーの更新を知らせるポップアップメッセージが表示されたものの、そのページを読もうとしても読めなかったと報告している。また、ポップアップが繰り返し表示されるという報告もあった。この問題は全ユーザーに共通ではないようだ。TechCrunchによるテストでは、このポップアップに関する問題は発生しなかった。

【追加レポート】Zack Whittaker(ザック・ウィッタカー)

カテゴリー:ネットサービス
タグ:TikTok生体情報アメリカSNS個人情報プライバシーフェイスプリントボイスプリント透明性中国

画像クレジット:SOPA Images / Getty Images

原文へ

(文:Sarah Perez、翻訳:Dragonfly)

北米フォルクスワーゲンの販売業者から330万人分の個人データ流出

Volkswagen(フォルクスワーゲン)によると、北米のある販売業者が顧客データのキャッシュをインターネット上に保護されていない状態のまま放置していたことで、330万人以上の顧客の情報が流出したという。

同社の北米事業本部であるVolkswagen Group of America(フォルクスワーゲン・グループ・オブ・アメリカ)は書簡の中で、フォルクスワーゲンおよびその傘下のAudi(アウディ)の米国とカナダの正規ディーラーが提携している販売業者が、2014年から2019年の間に収集された顧客データを、2019年8月から2021年5月までの2年間にわたり、保護されていない状態のまま放置していたと述べている。

販売やマーケティングのために収集されたというこれらのデータには、氏名、郵便番号、メールアドレス、電話番号など、顧客や購入希望者の個人情報が含まれていた。

さらに約9万人のアウディの顧客および購入希望者においては、ローンやリースの審査に関する情報など、よりセンシティブなデータも流出したという。フォルクスワーゲンの書簡によると、流出した詳細な個人データのほとんどは運転免許証番号などだが「少数の」データには生年月日や社会保障番号も含まれていたとのこと。

フォルクスワーゲンは、データを漏えいさせた販売業者の名前を明らかにしていない。同社の広報担当者は「法執行機関や規制当局を含む適切な当局に通知し、外部のサイバーセキュリティ専門家と当該販売業者とともに状況の判断と対応にあたっています」と、危機管理会社を通して述べている。

運転免許証番号に関するセキュリティ事件は、他にもこの数カ月の間に何度か起きている。保険大手のMetromile(メトロマイル)とGeico(ガイコ)は2021年前半に、運転免許証番号を入手しようとする詐欺行為に見積もりフォームが悪用されたことを認めた。他のいくつかの自動車保険会社も、運転免許証番号の盗難に関わる同様の事件を報告している。これらの犯罪者は他人の名前で不正な失業手当を申請し、現金を得ようとしたのではないかと、Geicoは述べている。

だが、フォルクスワーゲンの書簡には、流出したデータが悪用されたという証拠があるかどうかについては書かれていなかった。

  1. volkswagen-vendor-exposure-p1-xlarge

  2. volkswagen-vendor-exposure-p2-xlarge

  3. volkswagen-vendor-exposure-p3-xlarge

  4. volkswagen-vendor-exposure-p4-xlarge

  5. volkswagen-vendor-exposure-p5-xlarge

  6. volkswagen-vendor-exposure-p6-xlarge

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

カテゴリー:モビリティ
タグ:Volkswagenアウディ個人情報データ漏洩アメリカカナダ

画像クレジット:Jens Schlueter / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否

Ring(リング)は、家庭用ビデオドアベルの大規模な監視ネットワークや、問題のあるプライバシーセキュリティ運用に対してだけではなく、ドアベルの映像を法執行機関に提供していることでも、多くの批判を受けている。同社は透明性を追求しようとしているものの、これまで何人のユーザーのデータが警察に提供されたかについては開示を拒否している。

2018年にAmazon(アマゾン)に買収されたビデオドアベルメーカーのRingは、少なくとも1800の米国警察部門と、警察がRingのドアベルからのカメラの映像を要求できる提携を行っている(その数は現在も拡大中だ)。今週行われた変更の前には、Ringが提携している警察署であれば、捜査のためにドアベルカメラの映像を、顧客には無断で要求することができていた。今回Ringは、提携先の警察警察が同社の「Neighbors」(ネイバーズ)アプリを通じて、顧客からのビデオ映像の提供を公に要求するように変更した

この変更は、表向きには、警察がドアベルの映像にアクセスできるタイミングをRingのユーザーがコントロールできるようにするものだが、警察が令状なしにユーザーの映像にアクセスできるというプライバシー上の懸念は無視されている。

市民の自由の擁護者や議員たちは、Ringのドアベルカメラの広大なネットワークは個人ユーザーが所有しているため、警察は合法的な裏口を使ってRingのユーザーのカメラ映像を入手できると長い間警告を行ってきた。いまでも警察は、犯罪の証拠がある場合には、基本的なユーザー情報の提出要求や、ビデオコンテンツに対する捜査令状や裁判所命令などの法的要求をRingに対して行うことができる。

Ringが2021年1月にひっそりと発表した透明性レポートによれば、2020年の間にRingが受けた法的要求は1800件を超え、その前年の倍以上となっている。Ringは販売台数を公表していないが、「数百万人」の顧客がいると述べている。しかし、この透明性レポートでは、Ringが法的要求を受けて映像を警察に提出したユーザー数やアカウント数などの、ほとんどの透明性レポートには含まれている内容が省かれている。

Ringに問い合わせたところ、何人のユーザーの映像が警察によって入手されたのかについては開示を拒まれた。

検索の対象となるユーザーやアカウントの数は、本来は秘密ではないが、政府がユーザーデータを要求したときに企業がそれをどのように開示のするか(もし開示するならばだが)、は曖昧な領域である。義務ではないものの、ほとんどのハイテク企業は、年に1、2回、ユーザーデータが政府に取得された頻度を示す透明性レポートを発表している。

透明性レポートは、データ要求を受ける企業が、政府による強制的な大規模監視疑惑に対して、政府の要求に応えているのは企業のユーザーのほんの一部であることを示して反論するための手段だった。

しかし、そこでは実際の対応が肝心だ。Facebook(フェイスブック)Apple(アップル)Microsoft(マイクロソフト)Google(グーグル)Twitter(ツイッター)の各社は、法的要求を受けた数を明らかにすると同時に、データが提供されたユーザーやアカウントの数も明示している。場合によっては、影響を受けるユーザーやアカウントの数が、受け取った要求数の2倍から3倍以上になることもある。

Ringの親会社であるAmazonは、大手ハイテク企業の中では珍しい例外で、情報が法執行機関に引き渡されたユーザーの具体的な数を公表していない。

電子フロンティア財団(EFF)の政策アナリストであるMatthew Guariglia(マシュー・ガリグリア)氏は、TechCrunchに対して「Ringは、表向きにはユーザーの家に設置できる機器を作る防犯カメラの会社ですが、犯罪捜査や監視を行う国家のツールとしての側面も強くなって来ています」とTechCrunchに対して語った。

ガリグリア氏は、Ringが法的要求の対象となったユーザー数だけでなく、過去に何人のユーザーがアプリを通じて警察の要請に応じたかについても公表できるだろうと付け加えた。

Ringユーザーは、オプトアウトを行い警察からの要請を受けないようにすることができるが、たとえこのオプションを選択しても、法執行機関が裁判官から法的命令を受けてユーザーのデータを入手することは止めることができない。ユーザーは、エンド・ツー・エンドの暗号化をオンにすることで、ユーザー以外がビデオにアクセスすることを防ぐことができる(Ringも例外ではない)。

関連記事
アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
Amazonのただでさえ透明でない透明性レポートがいっそう不透明になった

カテゴリー:セキュリティ
タグ:RingAmazonプライバシー個人情報警察アメリカ透明性監視

画像クレジット:Chip Somodevilla / Getty Images

原文へ

(文:Zack Whittaker、翻訳:sako)

警察のDNAデータベースアクセスを制限する法律が米メリーランド州とモンタナ州で成立

メリーランド州とモンタナ州は、警察がDNAデータベースにアクセスするのを制限する法律を可決した米国初の州となった。

何百万人という米国人の遺伝に関するプライバシーを守るための新しい法律は、23andMeAncestryGEDmatch、FamilyTreeDNAといった消費者DNAデータベースにフォーカスしている。これらサービスでは人々に自分の遺伝子情報をアップロードさせ、遠い親戚とつなげたり家系図をたどっていくのに遺伝子情報を使っている。23andMeのユーザーは300万人超、GEDmatchは100万人超と人気がある一方で、多くの人はこうしたプラットフォームの一部が遺伝子データを製薬業界やサイエンティストから法執行機関に至るまでさまざまなサードパーティと共有していることを知らない。

法医学の遺伝子系図捜査(FGGS)として知られる手法を通じて警察によって使用されるとき、警察は容疑者についての手がかりを探すために犯罪現場で見つかったDNA証拠をアップロードできる。この手の捜査で最も知られている例は2018年のゴールデン・ステート・キラー(黄金州の殺人鬼)の特定だろう。この事件では、捜査チームは連続殺人犯につながる1980年の殺害現場で採取したDNAサンプルをGEDmatchにアップロードし、その後容疑者の遠い親戚を特定し、これが犯人Joseph James DeAngelo(ジョセフ・ジェームズ・ディアンジェロ)逮捕への重要な突破口となった。

関連記事:連続殺人犯逮捕へと導いたDNA分析サイトは、ユーザープライバシーに関する懸念を再燃させる

警察は犯罪捜査のために消費者DNAデータベース使うことで成功を収めてきたが、その一方でプライバシー擁護派は長い間こうしたプラットフォームの危険性を警告してきた。DNAプロフィールが遠い祖先をたどっていくのに使えるだけでなく、膨大な量の遺伝子データはその人の病気の傾向を暴いたり、中毒や薬物反応を予想したりでき、さらにはその人がどんな外観なのかイメージ図を作成するのに企業によって使われさえする。

Ancestryと23andMeは、令状を持たない警察には自社の遺伝子データベースを利用させていない。GEDmatch(2019年12月に犯罪現場DNA会社に買収された)とFamilyTreeDNAは以前、警察とデータベースを共有していた。

被告人と、その人の親戚の遺伝子プライバシーを確保するために、メリーランド州は10月1日から遺伝子系図を使う前に裁判官から令状を取得することを警察に課し、遺伝子系図の使用は殺人や誘拐、人身売買など重大な犯罪に限定する。また、ユーザーに情報が犯罪捜査に使われることがあるかもしれないとはっきりと伝えているデータベースのみを捜査当局は使用できる、としている。

新しい法律で使用をさらに限定するモンタナ州では、ユーザーがプライバシー権を放棄していなければ警察はDNAデータベースを使用する前に令状を取る必要がある

法律は「政治的立場の異なるさまざまな人々が、法執行機関による遺伝子データの使用が恐ろしく懸念されるものであり、そしてプライバシーを踏みにじるものだと気づいたことを示している」とメリーランド州の法律学教授Natalie Ram(ナタリー・ラム)氏は話した。「今後より多くの州が法執行機関のテクニックに関する堅牢な規制を擁するこを望みます」。

こうした法律の導入は、電子フロンティア財団(EFF)などのプライバシー擁護派には歓迎されている。EFFで監視訴訟ディレクターを務めるJennifer Lynch(ジェニファー・リンチ)氏は規制について「正しい方向へのステップ」と表現したが、より多くの州、さらには連邦政府がFGGSをさらに厳格に取り締まることを求めた。

「我々の遺伝子データは、保護を民間企業に任せたり、警察に自由に検索させたりするにはあまりにもセンシティブで重要なものです」とリンチ氏は述べた。

「GEDmatchやFamilyTreeDNAのような企業は警察の捜査を許し、促進さえしました。このため警察は米国中の犯罪捜査でますますこうしたデータベースにアクセスするようになっています」。

23andMeの広報担当はTechCrunchに次のように述べた。「消費者にさらに強固なプライバシー保護を提供する法律を当社は完全に支持します。実際、当社は消費者の遺伝子プライバシー保護を高めるために多くの州で法制化に取り組んでいます。顧客のプライバシーと透明性は、23andMeの法的要請対応と顧客の信頼維持へのアプローチをガイドする基本原則です。当社はすべての警察や当局の要請を綿密に調べ、裁判所の命令や召喚状、捜査令状、その他法的に有効だと判断した要請だけに対応します。これまで当社は警察に顧客の情報をまったく開示していません」。

Ancestryは「当社の顧客のプライバシーを守りながら公共政策の目標を達成している」法律をつくるのにメリーランド州の議員と協業したと述べた。

「顧客のプライバシーを守ること、顧客のデータの良き管理者となることはAncestryの最優先事項であり、当社は自ら進んで警察と協業しません。裁判所の命令や捜査令状など有効な法的プロセスでそうせざるを得ない限り、当社は警察といかなる情報も共有しません」とAncestryの広報担当は話した。

デフォルトでユーザーが警察の捜査の対象となるようにしているGEDmatchと FamilyTreeDNAはニューヨークタイムズ紙に対し、新しい法律への対応でユーザーの同意に関する既存の規則を変更する計画はないと語った。

関連記事
遺伝子検査Ancestryが警察からのDNAデータベース検索要求2件を拒否
遺伝子検査の23andMeがVirgin GroupのSPACとの合併を通じて公開へ
反人種差別デモの発端となったミネアポリス市が警察による顔認識技術の使用を禁止

カテゴリー:パブリック / ダイバーシティ
タグ:警察DNAアメリカメリーランドモンタナプライバシー個人情報電子フロンティア財団

画像クレジット:Andrew Brookes / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

今も米国の自治体は中国共産党に関連する監視技術を購入している

この記事は、映像監視ニュースサイトIPVMとの提携により発表された。

TechCrunchが入手した契約データから、米国の少なくとも100の郡や町、そして市が、米国政府が人権侵害と関連づけた中国製の監視システムを購入していることがわかった。

米国政府は、2019年にHikvision(ハイクビジョン)とDahua(ダーファ)という中国のテクノロジー企業2社を経済ブラックリストに追加したが、一部の自治体は、その後、数万ドル(数百万円)以上を投じて両社の監視装置を購入している。この2社は、ウイグル族のイスラム教徒が多く住む新疆ウイグル自治区の少数民族に対する、中国の継続的な弾圧と関連している。議会はまた、中国政府によるスパイ活動を助長する恐れがあるとして、米国の連邦政府機関がハイクビジョンとダーファのテクノロジーを新たに購入したり、契約を更新したりすることを禁止した

関連記事
ムスリム少数民族に対する人権侵犯に加担した8つの中国企業が米商務省の禁止リストに載る
米、政府内でのHuaweiやZTEの機器使用を新国防法で禁止

しかし、このような連邦政府の措置は、州や市のレベルにまでは適用されていない。連邦政府の資金が使われていない限り、地方自治体はビデオカメラや赤外線スキャナーをはじめ、そういった中国製の監視システムを特に制約なく購入できる。

この契約の詳細は、連邦政府や州政府の支出を追跡しているGovSpend(ガヴァスペンド)が、IPVM(アイ・ピー・ヴイ・エム)を通じてTechCrunchに提供したものだ。IPVMは、映像監視に関する主要なニュースサイトであり、ハイクビジョンとダーファの禁止令を注視している。

今回のデータ、およびIPVMが以前に報告したところによると、最大の支出はジョージア州Fayette(フェイエット)郡の教育委員会によるもので、2020年8月に公立学校での体温チェックに使用されるハイクビジョンのサーマルカメラ数十台を49万ドル(約5400万円)で購入している。

フェイエット郡公立学校の広報担当者Melinda Berry-Dreisbach(メリンダ・ベリードライスバッハ)氏の声明によると、カメラは、ハイクビジョンの正規販売店でもあり、以前から取引のあるセキュリティベンダーから購入したという。この声明では、教育委員会がハイクビジョンの人権侵害との関連性を認識していたかどうかについては触れられていない。また、ベリードライスバッハ氏は、フォローアップの質問には答えていない。

ハイクビジョンやダーファのモデルを含む多くのサーマルスキャナーについては、IPVMの調査により、測定値が不正確であることが判明し、誤った測定値による「深刻な公衆衛生上の潜在的リスク」があると、米国食品医薬品局(FDA)が、公衆衛生上の警告を発するに至っている。

人口9万5000人のノースカロライナ州Nash(ナッシュ)郡は、2020年9月から12月にかけて4万5000ドル(約490万円)以上を投じてダーファのサーマルカメラを購入した。郡長のZee Lamb(ジー・ラム)氏は、購入とその機材が郡内の公立学校に配備されたことを認めるメールを転送してきたが、それに対するコメントはなかった。

また、ニューオーリンズ市の一部を含むルイジアナ州のJefferson(ジェファーソン)郡は、2019年10月から2020年9月にかけて、ハイクビジョンの監視カメラとビデオストレージを3万5000ドル(約380万円)で購入したことがデータからわかっている。しかし、郡の広報担当者からのコメントはない。

連絡を取った自治体のうち、購入したテクノロジーと人権侵害との関連性について答えたのは1地区だけだった。カリフォルニア州のKern(カーン)郡は、2020年6月、保護観察局のオフィス用としてハイクビジョンの監視カメラとビデオ録画機器に1万5000ドル(約160万円)以上を支出した。契約のデータによると、地元の業者であるTel Tec Security(テル・テック・セキュリティ)がハイクビジョンの製品を同郡に販売していた。

カーン郡の最高行政責任者であるRyan Alsop(ライアン・アルソップ)氏は、ハイクビジョンと人権侵害との関連性について問われると「ハイクビジョンに関する問題についてはまったく知らない」という。

「繰り返すが、当郡はハイクビジョンと契約したのではなく、テル・テック・セキュリティと契約したのだ」とアルソップ氏は答えた。

カーン郡では、郡の保護観察所で使うハイクビジョンの機器購入に1万5000ドル(約160万円)以上を費やしている。(データ提供:GovSpend

フロリダ州Hollywood(ハリウッド)市では、ハイクビジョンのサーマルカメラに3万ドル(約330万円)近くを費やしたが、同市の広報担当者は、中国のこのテクノロジーメーカーが「すぐに納品可能で、規定のプロジェクトスコープに合致し、プロジェクト予算内でソリューションを提供する唯一の大手メーカーだった」と述べている。このカメラは、新型コロナウイルス感染症の拡散を抑制するために、従業員の体温の測定に使用された。広報担当者は、人権侵害との関連性については言及しなかったが。連邦政府の禁止令は同市には適用されないと述べている。

Human Rights Watch(ヒューマン・ライツ・ウォッチ)のシニア研究員であるMaya Wang(マヤ・ワン)氏は、地方レベルでのプライバシー規制が不十分であることが、自治体がこのテクノロジーを購入する一因になっていると指摘する。

「問題の1つは、この種のカメラが、原産国や人権侵害に関連しているかどうか以前に、プライバシー基準に準拠しているかどうかを確認するための規制がないまま、国内のさまざまな地域、特に州や市のレベルで導入されていることだ」とワン氏は電話で語り、そして「また、企業の実績に基づいて、その企業が人権を侵害していないかどうかを厳密に調査し、より良い企業を選択することにより、プライバシー保護を重視する企業が勝ち残るような規制の枠組みもない」と付け加えた。

ウイグル族を抑圧する中国政府の継続的な措置の一環として、ウイグル族を監視するための監視テクノロジーの供給をハイクビジョン、ダーファなどに大きく依存していると米国政府は強く主張しているが、中国政府はこれを繰り返し否定している。

国連の監視機関によると、中国政府は近年、100万人以上のウイグル人を収容所に拘留しており、これが米国における監視テクノロジーメーカー2社のブラックリスト入りにつながっている。

米国商務省は、政府の経済ブラックリストに両社を加える際、ハイクビジョンとダーファが「中国政府によるウイグル人、カザフ人、その他のイスラム系少数民族に対する弾圧、恣意的な大量拘束、ハイテクを駆使した監視などの活動が行われる上で、人権侵害や虐待に関与してきた」と述べている。Biden(バイデン)政権は、この人権侵害を「ジェノサイド(大量虐殺)」と呼んだ。

この報道について、上院情報委員会の委員長を務めるMark Warner(マーク・ワーナー)上院議員は、TechCrunchに次のように述べている。「中華人民共和国の企業は、本当に『独立』しているわけではない。そのため、米国の団体が中国企業の機器を購入する際には、中国での民族抑圧を助長する企業を支援しているだけでなく、この監視機器を介して収集されたデータが中国共産党と共有される可能性があることを認識するべきだ。以前から、企業や大学を含むアメリカの団体が、新疆ウイグル自治区などに対する中国共産党の監視・検閲活動を助長していることに心を痛めていた」。

「しかし、これは問題の一部に過ぎない。米国人は、中国共産党がさまざまな手口でアメリカ市民のデータ収集に取り組んでいることにも関心を持つべきだ。このような機器を購入することのリスク、そして人権や安全保障との密接な関係について、地方自治体を含めアメリカ人を啓蒙する必要がある」とワーナー上院議員は述べる。

IPVMは、各社の監視技術がウイグル人の弾圧にどのように使われているかも大きく報じてきた。ダーファ製品には、警察に「リアルタイムのウイグル人警告」を提供するために人種検知のコードが含まれていることが判明した。

2021年初め、Thomson Reuters(トムソン・ロイター)財団は、ロンドンの議会の半数と英国の最大20都市が、ウイグル人の虐待に関連した技術を使用していることを明らかにした。また、Guardian(ガーディアン)紙は、英国の学校でハイクビジョンの監視技術が使用されていることを報じた

ダーファは、この報道を受けて、ブログに声明を掲載し「メディアでの一部報道とは異なり、当社は特定の民族をターゲットとするテクノロジーやソリューションを開発したことはない」と主張した。そして声明には「これに反する主張は単なる誤りであり、そのような主張を裏付ける証拠は、これまで確認されていないと認識している」と付け加えられている。

ハイクビジョンは、コメントの要請に応じていない。

Signal(シグナル)とWhatsApp(ワッツアップ)で安全にヒントを送るには、+1 646-755-8849まで。また、当社のSecureDrop(セキュアドロップ)を使ってファイルや文書を送ることもできる。詳細はこちら

関連記事:中国のとあるスマートシティ監視システムのデータが公開状態になっていた

カテゴリー:パブリック / ダイバーシティ
タグ:アメリカ中国プライバシー個人情報監視

画像クレジット:Zhengshun Tang (opens in a new window)/ Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)

EUの新型コロナワクチン「デジタルパス」が稼働、ドイツなど7カ国が先行導入

欧州連合(EU)の新型コロナウイルスのワクチン接種あるいは検査結果を域内で証明する汎EU「デジタルパス」を支えるシステムの運用が6月1日に始まった。いくつかのEU加盟国がゲートウェイにつながり、7月1日の完全始動までさらに多くの加盟国が加わることが予想されている。

EUの新型コロナデジタル証明は、EU市民の新型コロナステータス(ワクチンを接種したかどうか、最近の新型コロナ検査が陰性だったかどうか、あるいは新型コロナからの回復の証明)を確実に認証しようというもので、EU市民が域内で国境を越えるとき、その旅を安全なものにするのが狙いだ。

デジタルパスは、改ざんを防ぐのに公開鍵暗号方式を使って認証されたQRコードとデジタル署名に頼っている。デバイスへのアクセスを持たない人が使える紙ベースの認証もある。

テクニカルテストを終え、準備の整った加盟国は任意で認証の発行や検証を開始できる、と欧州委員会は6月1日に述べ、現時点で7カ国(ブルガリア、チェコ、デンマーク、ドイツ、ギリシャ、クロアチア、ポーランド)が開始する意向だ。

他の国は、すべての機能が国内全域で展開されてからEUデジタル新型コロナ認証を立ち上げることにしている、と欧州委員会は付け加えた。加盟国のシステムアクティベート状況はこちらのウェブページで確認できる。

欧州委員会によると、5月10日以来、EUの22カ国がゲートウェイのテストを成功させ、関連する規則が適用される7月1日までに最大のアップデートを行いたい考えだ。

しかしすべてをうまく接続させるのにさらに時間が必要な加盟国のために、認証発行に6週間の「段階的導入期間」が認められている。つまり、最も遅い実行は夏が終わるころになるかもしれないことを意味する(6月までに域内全域で実装するというEU議員らの初期の目標は常に野心的だったようだ)。

欧州委員会は、認証の署名キーは各国のサーバーに保存されると指摘し、新型コロナデジタル認証の検証プロセスではパーソナルデータが「交換されたり保持されたり」することはないと話す。こうしたキーはゲートウェイ経由で各国の承認アプリあるいはEU全域で使われるシステムによってアクセスできる。

関連記事:欧州が推し進める新型コロナ「デジタルパス」に存在する差別や技術的課題の懸念

欧州委員会はまた、EU加盟国による展開をサポートすべく、証明の発行、ストレージ、検証のためのレファレンスソフトウェアとアプリも開発し、GitHubで公開した。同委員会によると、これまでに加盟国12カ国がこのコードを利用した。

EU各国の当局が新型コロナデジタル認証の個人への発行を担当する。市民が認証を取得するには、新型コロナ検査センターや地元の健康衛生当局、あるいは国家eHealthポータル経由など、さまざまなルートがある。

ゲートウェイの立ち上げに関する声明の中で、EUの健康・食品安全担当委員Stella Kyriakides(ステラ・キリヤキデス)氏は実行に取り掛かり、完了するよう加盟国に促した。

「EUデジタル新型コロナ認証は、市民のための効果的なeHealthソリューションに加わった価値です」と同氏は述べた。「システムが休暇シーズン前までに機能するよう、今後数週間で全加盟国が認証の発行、保存、検証を行う自国のシステムの準備を完了させることが重要です。EU市民は再び旅行することを楽しみにしており、安全に旅行したいと考えています。EU認証の取得はそれに向けた重要なステップです」。

新型コロナデジタル認証の立ち上げについては、欧州委員会委員長のUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)氏もコメントし、おそらくパンデミックが2022年夏までに終息すると仮定し、システムは1年間のみ活用されると述べた。

「EU認証は、我々の価値を示すデジタルツールの最たる例です」と2021デジタル会議でのスピーチで同氏は話した。「EUはプライバシーを尊重します。パーソナルデータは交換または保持されません。EUは包括的です。ワクチンを接種していない人は検査や回復のデジタル証明を取得できます。スマートフォンを持っていない人は紙の証明を入手できます。証明でもって我々はパンデミックの中にあっても人々が自由に行き来できるようにしたいと考えています。だからこそこのシステムは1年間のみの活用となっています。欧州はこの分野で先頭に立っており、グローバルレベルで基準を設定できます」。

スピーチの中で同氏はまた、別のデジタル提案についても予告した。別の案とは、信頼できるオンラインIDを欧州の人々に提供するというもので、このIDは厳密に必要なもの以上のデータを提供させられることなく域内の政府や企業とやり取りするのに使えるというものだ。

「欧州の人々に新しいデジタルIDを提供したいと考えています。信頼を保証し、オンライン上でユーザーを守るIDです。案をまさに提示しようとしているところです」と同氏は述べた。「誰もが自分のIDをオンラインで管理し、欧州中の政府や企業とやり取りすることができるようになります。手近な目的のために必要以上に多くのデータを開示することを強制されるべきではありません。オンラインでホテルの部屋を予約するのに、私がどこから来て、誰が私の友達なのかを誰も知る必要はありません。案では大手オンラインプラットフォームのモデルの代替となるものを提案しています。我々は人間中心のデジタルトランジションを信じています」。

関連記事:EUが安全な旅行を支援する新型コロナワクチン接種・検査状況を表示する「デジタルパス」を準備中

カテゴリー:パブリック / ダイバーシティ
タグ:EU新型コロナウイルスワクチンプライバシー個人情報

画像クレジット:Sebastian Gollnow / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

カメラではなくレーダーを使ったプライバシーが保護されたアクティビティ追跡の可能性をカーネギーメロン大学の研究者らが提示

部屋が最後に掃除されたのはいつか、ゴミ箱の中身がすでに捨てられたかをスマートスピーカーに問いかけることで、家庭内の争いを解決する(または蒸し返す)ことができる。そんな状況を想像してみて欲しい。

あるいは、健康関連の用途で、エクササイズ中にスピーカーにスクワットやベンチプレスの回数をカウントするように指示できたらどうだろう?または「パーソナルトレーナーモード」をオンにして、あなたが古いエクササイズバイクをこぐ際に、もっと早くこぎましょう、と気合を入れてくれるよう指示できたら(Pelotonなんて必要なし!)?

そして、あなたが食事をしているのをそのスピーカーが認識し、雰囲気にあった音楽を流してくれるほど賢かったらどうだろう?

そしてこうしたアクティビティの追跡を、インターネットに接続されたカメラを家の中に設置することなくできたら、と想像してみよう。

カーネギーメロン大学のフューチャーインターフェースグループの研究で、これらのことが実現できる可能性が浮上している。この研究ではセンシングツールとしてカメラを必要としない、アクティビティ追跡のための新しいアプローチを実証しているのだ。

家の中にインターネットに接続されたカメラを設置することは、プライバシーの観点から言えば、当然大きなリスクとなる。そのため、カーネギーメロン大学の研究者らは、人間のさまざまなアクティビティを検出するための媒体として、ミリ波(mmWave)ドップラーレーダーの調査に着手した。

彼らが解決すべきだった課題は、ミリ波が「マイクやカメラに近い信号の豊富さ」を提供する一方、さまざまな人間の活動をRFノイズとして認識するようAIモデルをトレーニングするためのデータセットを、簡単には入手できないという点である(この点他のタイプのAIモデルをトレーニングするための視覚データとは異なる)。

この問題の解決を目指し、彼らは、ドップラーデータを合成し、人間のアクティビティ追跡モデルにデータを供給することに着手した。プライバシーを保護することが可能なアクティビティ追跡AIモデルをトレーニングするためのソフトウェアパイプラインを考案したのだ。

その結果をワシントンD.C.こちらの動画で確認できる。この動画では、AIモデルがサイクリング、手を叩く、手を振る、スクワットをするといったさまざまなアクティビティを、動きから生成されるミリ波を解釈する能力を用いて正しく認識しているのが示されている。そしてこれは純粋に一般のビデオデータを用いたトレーニングの成果である。

「私たちは、一連の実験結果を通し、このクロスドメイントランスレーションがどのように達成されるかを提示しています」と彼らは書いている。「私たちは、このアプローチがヒューマンセンシングシステムなどのトレーニングの負担を大幅に低減する重要な足がかりであり、人間とコンピュータの相互作用におけるブートストラップ型使用に役立つものであると考えています」。

研究者であるChris Harrison(クリス・ハリソン)氏はワシントンD.C.、ミリ波によるドップラーレーダーベースのセンサーは「非常に微妙なもの(表情の違いなど)」は認識できないと認めている。しかし、食事をしたり本を読んだりといったそれほど活発でないアクティビティを検出するには十分な感度を備えているという。

またドップラーレーダーの持つ動きの検出能力は、対象とセンシングハードウェアの間のLOS(無線波の送受信が可能な範囲)にも制限を受ける(別の言い方をすれば「まだその段階に達していない」ということである。これは、将来ロボットが人検出能力を身につけることを懸念している人にとっては、ちょっとした安心感を得られる情報だろう)。

検出には、当然特殊なセンシングハードウェアが必要になる。しかし、物事はすでにその方向に向かって動き出している。例えば、GoogleはすでにPixel 4にレーダーセンサーを追加するというプロジェクトSoli に着手している。

GoogleのNest Hubにも、睡眠の質を追跡するために同じレーダーセンサーが組み込まれている。

関連記事:グーグルが7インチディスプレイの新型Nest Hub発表、Soliレーダーが睡眠トラッキング用途で復活

「レーダーセンサーがあまり携帯電話に採用されていない理由の1つは、説得力ある使用例がそれほどないためです(ニワトリが先かタマゴが先かということだが)」とハリス氏はTechCrunchに語った。「私たちのレーダーを用いたアクティビティ検出に関する研究により、より多くのアプリを使用できる可能性が浮上しています(例えば食事をしているとき、夕食を作っているとき、掃除をしているとき、運動しているときを認識できるよりスマートなSiriなど)」。

携帯用アプリと固定アプリでは、どちらにより大きな可能性があるかと聞かれ、ハリス氏はどちらにも興味深い使用事例があると答えた。

「携帯用アプリにも固定アプリにも使用事例はあります。Nest Hubに話を戻すと【略】センサーはすでに室内にあるため、それを使用して、Googleスマートスピーカーのより高度な機能をブートストラップすることができます(エクササイズで回数を数えるなど)」。

「建物には使用状況を検出するためにすでにレーダーセンサーが多数取り付けられています(しかし、今後は部屋の清掃が最後に行われたのはいつかなどを検出することが可能になる)」。

「これらのセンサーのコストはまもなく数ドルにまで落ちるでしょう(eBayで扱っているものの中にはすでに1ドルに近いものがある)。従って、あらゆるものにレーダーセンサーを組み込むことが可能です。そしてgoogleが寝室に設置される製品で示しているように「監視社会」の脅威は、レーダーが使用される場合、カメラセンサーを使った場合に比べはるかにリスクの少ないものになります」。

VergeSenseといったスタートアップは、すでにセンサーハードウェアとコンピュータビジョンテクノロジーを用いて、B2B市場向けの、屋内空間とアクティビティに対するリアルタイム分析(オフィスの使用状況を測定するなど)を強化している。

関連記事:職場の人の密度などを分析するサービスVergeSenseがシリーズBで約12.4億円を調達

しかし、解像度の低い画像データをローカルで処理したとしても、消費者環境では、視覚センサーを使用することでプライバシーのリスクが発生すると認識される可能性がある。

レーダーは「smart mirrors」のような、プライバシーをリスクにさらす危険のある、インタネットに接続された消費者向けのデバイスに、より適した視覚的監視の代替手段を提供する。

「ローカルに処理されたからといって、あなたはカメラを寝室や浴室に設置しますか?私が慎重なだけかもしれませんが、私なら設置しません」とハリス氏。

彼はまた、以前なされた研究に言及した。これはより多くの種類のセンシングハードウェアを組み込むことの価値を強調したものだ。「センサーが多いほど、サポートできる興味深いアプリケーションが増えます。カメラはすべてを捉えることができませんし、暗闇では機能しません。

最近はカメラもとても安価なため、レーダーが安いとはいっても、価格で勝負するのは困難です。レーダーの最大の強みは、プライバシーの保護だと思います」と彼は付け加えた。

もちろん、視覚的なものにしろ、そうでないものにしろ、センシングハードウェアを設置すれば、プライバシーがリスクにさらされる危険性は発生する。

例えば、子どもの寝室の使用状況を捉えるセンサーは、そのデータにアクセスするのが誰かによって、適切なものにも、不適切なものにもなるだろう。そして、あらゆる人間のアクティビティは、起こっている事柄によっては、安易に公開できない情報を生成するものだ。(つまり、セックスをしているのをスマートスピーカーに認識されてもかまわないか、という話である)

従って、レーダーを用いたアクティビティ追跡が他の種類のセンサーよりも非侵襲的だとはいっても、プライバシーの問題が生じないとは言い切れないのだ。

やはりそれはセンシングハードウェアがどのように使用されているかによる。とはいえ、レーダーが生成したデータはカメラなどが生成した視覚データに比べ、漏洩によってそれが人々の目にさらされた場合、比較的機密性が低いという点は間違いないだろう。

「いずれのセンサーにも、おのずとプライバシーの問題はつきまといます。プライバシーの問題があるか、ないか、ではなく、それは程度の問題です。レーダセンサーは詳細を捉えることができますが、カメラと違い匿名性が高いといえます。ドップラーレーダーデータがオンラインでリークされても、気まずい思いをすることはないでしょう。誰もそれがあなただとは認識できないからです。しかし、家の中に設置されたカメラからの情報がリークされた場合は、どうでしょうか……」。

ドップラーシグナルデータがすぐには入手できないことを前提とすると、トレーニングデータの合成にかかる計算コストは、どれ程だろうか?

「すぐに使えるというわけではありませんが、データを抽出するのに使用できる大規模なビデオコーパスは豊富にあります(Youtube-8Mのようなものを含め)」とハリス氏はいう。「動きのデータを収集するために人々をリクルートして研究室に来てもらうより、ビデオデータをダウンロードして合成レーダデータを作成するほうが、データ収集を桁違いに速く行うことができます」。

「実際の人物から質の高い1時間のデータを得ようとすると、どうしても1時間はかかります。しかし最近では、多くの良質のビデオデータベースから何百時間もの映像を簡単にダウンロードすることができます。ビデオ1時間を処理するのに2時間かかりますが、これは研究室にあるデスクトップ一台あたりの話です。重要なのは、Amazon AWSなどを使ってこれを並列化し一度に100本のビデオを処理できるということです。そのため、スループットは非常に高いものになります」。

また、無線周波数信号は、さまざまな表面からさまざまな程度で反射するが(「マルチパス干渉」としても知られる)、ハリス氏によると、ユーザーによって反射された信号は「圧倒的に優勢な信号」である。つまり、デモモデルを機能させるために、他の反射をモデル化する必要はない(しかしハリス氏は、機能をさらに磨くために「壁/天井/床/家具などの大きな表面をコンピュータービジョンで抽出し、それを合成段階に追加することができる」と述べた)。

「ワシントンD.C.(ドップラー)信号は実際に非常に高レベルで抽象的なため、リアルタイムで処理するのは特に困難ではありません(カメラよりはるかに少ない「ピクセル」のため)。車に組み込まれたプロセッサーは衝突被害軽減ブレーキシステムやブラインドスポットの監視などのためにレーダーデータを使用しています。そしてそれらはローエンドのCPUなのです(ディープラーニングなどを行わない)」。

この研究は、他のPose-on-the-Goと呼ばれる別のグループプロジェクトとあわせ、ACM CHIカンファレンスで発表されている。Pose-on-the-Goは、ウェアラブルセンサーを使わずに、スマートフォンのセンサーを使用してユーザーの全身のポーズの概要を捉えるものだ。

また、このグループのカーネギーメロン大学の研究者らは、安価に屋内「スマートホーム」センシングを実現する方法をワシントンD.C.以前実証しているワシントンD.C.(これもカメラを使わない)他、ワシントンD.C.2020年は、スマートフォンのカメラにより、デバイス上のAIアシスタントに詳細なコンテクストを供給する方法を示してもいる。

関連記事:音声AIがスマホカメラに映る映像を解析して質問にズバリ答えられるようにするWorldGaze

近年彼らはワシントンD.C.レーザー振動計電磁雑音を使ってスマートデバイスにより適切に環境認識をさせ、コンテキスト機能を与える方法の研究も行っている。このグループによる他の研究には、伝導性のスプレーペイントを用いてワシントンD.C.あらゆるものをタッチスクリーンに変える研究や、ワシントンD.C.レーザーで仮想ボタンをデイバイスユーザーの腕に投影したり、別のウェアラブル(リング)ワシントンD.C.をミックスに組み入れるなどして、ウェアラブルのインタラクティブな可能性を広げるさまざまな方法の研究が含まれていて大変興味深い。

現在の「スマート」デバイスは基本的なことにつまづくなど、あまり賢くないように見えるかもしれないが、今後人とコンピューターのインタラクションが、はるかに詳細なコンテクストベースのものになるのは確かだろう。

関連記事:このロボットはレーザーを使ってその環境を「聴く」

カテゴリー:セキュリティ
タグ:レーダープライバシー個人情報アクティビティカーネギーメロン大学

画像クレジット:CMU

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

ユーザーが自らの閲覧データをブロックするのではなく収集、管理、他者と集約し販売するツールを提供するDatacy

米国時間5月26日午前、デラウェア州ウィルミントンに本社を置くスタートアップのDatacy(データシー)が2400万ドル(約26億4000万円)の資金調達を完了したことを発表した。新たな資金は消費者が手軽に使えるデータ収集・収益化サービスの構築に使われる。

この会社の存在は、実質的に上に書いたことが可能であるという論証だ。Datacyは、個人が自分のブラウザー閲覧データを収集、管理し、匿名化した上で他者のデータと集約し、最終的に販売するためのツールだ。エンドユーザーは最終売上の85%を得て、Datacyが15%を得る。

このモデルは財政支援を見つけることに成功した。新たな資金はTrend Forward Capital、Truesight Ventures、Redhawk VC、Female Founders Allianceなどが提供した。調達には転換社債が用いられ、950万ドル(約10億4000万円)の制限値が儲けられていたが、調達方式にそれ以外の条件がつけられていたかどうかはわかっていない。

ともあれ、Datacyのモデルは、テクノロジー世界がここ数年取り入れてきた比較的プライバシーを重視するスタンスと一致している。自分たちの活動やデータ、会社自身に対する消費者の関心を高めていると思われるものをチャンスに活かそうとしている会社はAppleだけではない。しかし、Datacyがやりたいのは、消費者プライバシーに関わる衝動を利益に結びつけることだ。

同社の共同ファウンダーであるParoma Indilo(パロマ・インディロ)氏は、この会社はCookieブロッカーではないという。彼女はTechCrunchに、もし誰かがデータをブロックしたければ、そのためのよくできたツールが市場にはすでに出まわっていると言った。Datacyがやりたいのは、コントロールプラットフォームという現在の形態から、ユーザーの同意の下にデータがシェアされ交換される手段へと進化させることだ。当然、収益化とともに。

それは、我々がよく知るようになったアドテックやデータ・ベンダー市場の地獄絵図よりも、よくできた未来構想だ。

現在同スタートアップが学習し、初期データを収集するためのライブベータユーザーがいる。サービスのビジネス面のスタートは、ユーザーが5万人以上になるまで保留すると会社はいう。インディロ氏は、個々のデータにはあまり価値はないが、集約することではるかに大きな価値になる、とTechCrunchに語った。

Datacyが5万ユーザーの節目に到達するのはそう遠くないかもしれない。現在1万人の基盤に、インディロ氏のいう口コミによる30%の月間伸び率が加われば、半年ほどで到達する可能性もある。

Datacyは、潜在能力の高いアーリーステージの有望株の1つだが、山盛りのリスクを抱えていることでも知られている。もし、彼らのモデルの経済性を証明するために必要な客を集められれば、ユーザー基盤への投資が成長を自己達成させるだろう。しかし、新規ユーザーの獲得スピードが落ちれば、モデルが機能するのに十分な規模を実現できないかもしれない。

つまりそれは、ベンチャーキャピタルの有効利用であるとも言える。数カ月後にDatacyをチェックして、目標の5万ユーザーにどれだけ近づいたかを見るつもりだ。そして、消費者は自分たちのデータを取り戻したがる、という彼らの賭けがどのように展開するかも。

関連記事:

カテゴリー:ネットサービス
タグ:Datacy個人情報資金調達

画像クレジット:Yuichiro Chino / Getty Images

原文へ

(文:Alex Wilhelm、翻訳:Nob Takahashi / facebook

PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた

セキュリティ研究者らによると、ホームエクササイズ大手のPeloton(ペロトン)とその最も近いライバルであるEchelon(エシュロン)は、ユーザーがアップロードしたプロフィール写真からメタデータを除去しておらず、場合によってはユーザーの実世界の位置データを流出していたという。

ほぼすべてのファイル、写真、ドキュメントにはメタデータが含まれている。メタデータとは、ファイルのサイズ、作成日、作成者など、ファイルそのものに関するデータだ。また、写真やビデオには、それらが撮影された場所が含まれていることがよくある。こうした位置データは、オンラインサービスが写真やビデオに「このレストランに行った」「このランドマークに行った」というタグを付けるのに役立つ。

だがこれらのオンラインサービス、特に人々のプロフィール写真を見ることができるソーシャルプラットフォームでは、ファイルのメタデータから位置データを削除するのが通例になっている。位置データはあなたがどこに住んで、どこで働き、どこに行って、誰と会っているか明らかにすることがあるので、他のユーザーがあなたの居場所を盗み見できないようにするためだ。

Pen Test Partnersのセキュリティ研究者Jan Masters(ヤン・マスターズ)氏は、Pelotonの漏洩したAPIの調査の一環として、このメタデータの漏洩を発見した。TechCrunchは、ニューヨークオフィスのGPS座標が入ったプロフィール写真をアップロードし、サーバー上にあるファイルのメタデータをチェックすることでバグを確認した。

関連記事:PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明

このバグは、PelotonとEchelon両社に非公開で報告された。

Pelotonは2021年5月初めにAPIの問題を修正したが、メタデータのバグを修正し、既存のプロフィール写真から位置データを取り除くためには、さらに時間が必要だと述べていた。Pelotonの広報担当者は、これらのバグが先週修正されたことを確認した。Echelonは、5月初めにバグを修正した。(TechCrunchは両社がバグを修正し、古いプロフィール写真からメタデータが削除されたことを確認するまで報道を控えていた)。

関連記事:PelotonのライバルEchelonもAPI漏洩、誰でも会員アカウントデータを取得できる状態に

このバグがいつから存在していたのか、また誰かが悪意を持ってユーザーの個人情報をスクレイピングするために利用したかは不明だ。キャッシュされたものであれスクレイピングされたものであれ、位置データのコピーが存在すれば、自宅の住所や職場、その他のプライベートな場所が特定されてしまうユーザーにとって重大なプライバシーリスクとなる可能性がある。

Parler(パーラー)はユーザーがアップロードした写真からメタデータを削除しなかったため、アーキビストが同プラットフォームのAPIの弱点を突いて全コンテンツをダウンロードした際に、何百万人ものユーザーの位置データが流出したことで有名だ。また、最終的にはそこにたどり着いたものの、Slack(スラック)のようにメタデータの削除を採用するのが遅かった企業もある。

関連記事:Slackがアップロードされた画像のEXIF情報削除を開始

カテゴリー:セキュリティ
タグ:PelotonEchelonデータ漏洩位置情報エクササイズ個人情報

画像クレジット:Ezra Shaw / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった

医療機関オンライン予約サービスのZocdocは、医院や歯科医院の現職および元スタッフのユーザーアカウントが適切に削除されていなかったために、患者データへのアクセスが可能になっていたバグを修正したと発表した。

ニューヨークに本社を置くZocdocは、カリフォルニア州司法長官に宛てた書簡の中でこの問題を明らかにした。企業は500人以上の州民がセキュリティ上の不備や違反の影響を受けた場合、同州の司法長官事務所に通知することが義務づけられている。Zocdocは今回のセキュリティインシデントにより、米国全体で約7千600人のユーザーが影響を受けていることを確認した。

Zocdocは、見込み患者が医師や歯科医師を検索し予約を入れることができるサービスを提供しており、各医療機関や歯科医院のスタッフがZocdocを通じて行われた予約にアクセスするためのユーザー名とパスワードを提供しているが「プログラミングエラー」、つまり基本的にはZocdoc自身のシステムにおけるソフトウェアのバグにより「過去または現在の医療機関のスタッフの一部が、ユーザー名とパスワードを削除、消去、またはその他の方法で制限することを意図した後に、プロバイダーポータルにアクセスすることができた」と述べている。

この書簡では、Zocdocのポータルに保存されている患者データがアクセスされた可能性があることが確認されている。該当データには、患者の氏名、電子メールアドレス、電話番号、予約日時の他、保険の詳細、社会保障番号、患者の病歴の詳細など、診療所と共有されていた可能性のあるデータも含まれている。

しかしZocdocによると、支払いカード番号、X線や診断書、医療記録などは同社は保存しないため、盗まれていないとのこと。

Zocdocの広報担当者であるSandra Glading(サンドラ・グレーディング)氏はメールで、同社は2020年8月にバグを発見したが「コードが複雑なため、どの診療所やユーザーがどのように影響を受けたかを特定するには、相当な調査が必要だった」と述べた。同社は、カリフォルニア州の司法長官事務所に「可能な限り早く」通知したと述べている。

Zocdocは「この脆弱性の悪用の可能性を含む、あらゆるデータの悪用を検出できる詳細なログ」を保有しており、それらのログの確認とその他の調査作業を行った結果「現時点では、個人情報が何らかの形で悪用された形跡はない」と述べた。

同社によれば、月間約600万人のユーザーがZocdocにアクセスしているという。

この事件に何となく聞き覚えがあるとしたら、それは2016年にZocdocが報告したセキュリティ問題と酷似しているからだ。当時提出された書簡には、医療機関のスタッフが患者データに不正にアクセスできる同様の「プログラミングエラー」が挙げられていた。

関連記事
macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲
婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード

カテゴリー:セキュリティ
タグ:Zocdocデータ漏洩個人情報医療バグ

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲

世界的な航空輸送データ企業のSITAが、サイバー攻撃を受けたことによるデータ漏洩を報告してから3カ月が経過したが、いまだに被害状況の全貌は明らかになっていない。

インドのフラッグキャリア航空会社であるAir India(エア・インディア)は、同社のデータを管理していたSITAの事故から約450万人の乗客の個人データが漏洩したことを先週発表した。盗まれた情報には、乗客の氏名、クレジットカード情報、生年月日、連絡先、パスポート情報、航空券情報、Star Alliance(スターアライアンス)およびエア・インディアのマイレージサービス情報などが含まれていると、エアインディアは声明(PDF)で発表している。

クレジットカードのセキュリティコードはSITAのシステムに保存されていなかったとしながらも「個人データの安全性を確保するため、該当する場合は必ずパスワードを変更するように」と、同社は顧客に呼びかけている。

エア・インディアでは、今回のサイバー攻撃により、2011年8月26日から2021年2月3日までの間に、同社に登録された乗客のデータが漏洩したと声明で述べている。

この事実が明らかになったのは、SITAが顧客情報を含むデータ侵害の被害に遭ったことを発表してから3カ月近くも経ってからのことだ。SITAは当時、Malaysia Airlines(マレーシア航空)、Finnair(フィンエアー)、Singapore Airlines(シンガポール航空)、Jeju Air(済州航空)、Cathay Pacific(キャセイパシフィック航空)、Air New Zealand(ニュージーランド航空)、 Lufthansa(ルフトハンザドイツ航空)など複数の航空会社に情報漏洩を通知したと述べていた。

関連記事:全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

スイスのジュネーブに本社を置くSITAは、世界の航空会社の90%にサービスを提供していると言われる。3月上旬の情報公開時点では、同社は現在も調査中であることを理由に、漏洩した具体的なデータを明らかにしなかった。

エア・インディアは、2021年2月25日にSITAからサイバー攻撃について最初の通知を受けたが、具体的なデータの種類については3月25日と4月5日になってから知らされたという。

多額の赤字を抱え国民の税金で生き延びてきたこのインドの航空会社は、セキュリティ被害の調査、侵害されたサーバーの安全確保、外部専門家(名称は明かされていない)との連携、クレジットカード発行会社への通知、マイレージプログラムのパスワードリセットなどの措置を取ったと主張している。

インドでは最近、他にも企業のデータ漏洩が相次いで報告されている。モバイル決済サービス大手企業のMobiKwik(モビクイック)は2021年3月下旬に、約1億人のユーザーの個人情報が流出したとされるデータ漏洩の調査を行っていると発表した。

また、4月下旬には、インド最大の食料品宅配サービス企業で、現在はTata(タタ)財閥が所有するBigBasket(ビッグバスケット)の顧客2000万人分の記録がサイバー犯罪フォーラム上に流出し、誰でもダウンロードできる状態になっていた。大手通信会社のJio Platforms(ジオ・プラットフォームズ)は、セキュリティの不備により、同社のツールを使ってコロナウイルスの症状をチェックした一部のユーザーの結果を流出させた。同様に、インドの西ベンガル州政府が運営するウェブサイトや、大手血液検査会社のDr Lal PathLabs(ドクター・ラル・パスラボ)でも、検査結果の流出被害に遭った。エア・インディアの同業他社であるSpicejet(スパイスジェット)も2020年、データ流出を確認している。

関連記事
2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か
Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩
850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

カテゴリー:セキュリティ
タグ:エア・インディアデータ漏洩個人情報SITAインドサイバー攻撃

画像クレジット:Anindito Mukherjee / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)

婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告

婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」不具合により個人情報を閲覧できる状態になっていたと報告

ネットマーケティングは5月23日、同社コーポレートサイトの不具合により、「お問い合わせフォーム」内の個人情報が第三者から閲覧できた状況になっていたとして、お詫びと報告を発表した。

不具合が発生したのは、「株式会社ネットマーケティングHP(コーポレートサイト)」内の問い合わせフォームであり、同社が提供する恋活・婚活マッチングアプリ「Omiai」の問い合わせフォームではないとしている。また本件は、同社が5月21日に公表した「Omiai」への外部からの不正アクセスが原因ではなく、同社内でのシステム不具合によるものとしている。

ネットマーケティングの発表によると、コーポレートサイトのお問い合わせフォームにおいて、問い合わせを行った一部顧客より、他顧客の記載内容の一部が閲覧できる状況になっていると指摘を受け調査したところ、コーポレートサイトの管理システムの不具合により、当該事象の発生事実を確認した。

2021年5月19日11時~5月22日15時までの間に、同社コーポレートサイトのお問い合わせフォームに顧客が記載した内容が、後から利用した他の顧客から閲覧可能な状態となっていた。対象期間に同フォームを利用した者は37名。また閲覧可能であった個人情報項目は「会社名」「部署名」「会社URL」「お名前」「フリガナ」「電話番号」「メールアドレス」「お問合せ内容」の一部の計8項目。

同件が起こった原因は、サーバー増強を目的とするサーバープラットフォームの移行に伴うシステム設定の不備によって、同フォームに投稿したキャッシュが残ってしまうケースがあり、過去の記載内容を意図せず露出してしまう不具合が発生していたことによるもの。同件発覚後、キャッシュが残らないようシステムの修正措置を施し、併せて管理体制を強化した。また、個人情報の閲覧の対象となった顧客には、ネットマーケティングより個別にお詫びと経緯の説明を5月23日よりメールなどで行っているという。

またシステム対応を行った結果、同フォームにおいて現在顧客の個人情報が他顧客から閲覧されることはなく、対応以降の指摘もなく、問題なく利用できるとしている。

婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」不具合により個人情報を閲覧できる状態になっていたと報告

関連記事
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード

カテゴリー:セキュリティ
タグ:omiaiネットマーケティング(企業)