FTC、AmazonのAlexa部門とRing部門に対するユーザーのプライバシー侵害に対する強制措置を発表

5 月 31 日、連邦取引委員会 (FTC または委員会) は、Amazon に対する 2 つの個別の執行措置を発表しました。1 つはクラウドベースの音声サービス Alexa に関するもので、もう 1 つはスマート ドアベル システムである Ring に関するものです。 2つの強制措置は異なる事実に基づいているが、両方の訴状は、AlexaとRingが、誤解を招くデータ保持慣行、従業員によるユーザーデータへの広範なアクセス、不適切なサイバーセキュリティなど、さまざまな方法でユーザーのプライバシーを侵害したという申し立てを中心にしている。実践。 これらの和解の一環として、アマゾンは連邦政府に3,000万ドル以上を支払う必要がある。 同社は、RingとAlexaの強制措置の両方に関するFTCの申し立てに応じた。

これらの和解は、FTCが今後の執行に焦点を当てる可能性のある活動の種類を浮き彫りにしている（そして実際、FTCはこれらの和解が公表されて以来、児童データに関する別の執行措置をすでに発表している）。 最も注目すべきは、この件の根本的な苦情は、FTC法第5条の意味の範囲内で「不公平な」行為に当たるとFTCが考える広範な概念を反映しており、従業員による顧客データへの広範なアクセス、不適切なサイバーセキュリティ管理、顧客データの不必要な保持と削除要求の遵守の失敗。 今後、企業は、顧客のデータプライバシーを侵害する企業を制裁するために、FTCが不当行為のこの拡大解釈に依存することを期待することができます。

さらに、人工知能 (AI) 分野で事業を展開している企業は、FTC がプライバシー コンプライアンスをこれらのモデル開発の前提条件としていることに留意する必要があります。 アレクサに対する提案された命令の一環として、FTCはアマゾンに対し、非アクティブな子アカウントと特定の音声録音および地理位置情報を削除するよう要求し、情報が違反で処理されたとして同社がそのようなデータをアルゴリズムのトレーニングに使用することも禁止した。児童オンライン プライバシー保護法 (COPPA) に準拠しています。 AI 製品が急増し続ける中、企業は FTC がこれらのモデルの開発方法 (および AI 製品が与える可能性のある影響) に細心の注意を払っており、適切と判断される場合には救済策としてデータ デゴルジュメントを使用することを認識する必要があります。

これらの執行措置は、データプライバシーとセキュリティ分野におけるFTCの執行が活発な年であった年を継続しており、委員会はすでに健康データの悪用に対して企業に対していくつかの執行措置を提起し、生体認証技術に対する監視の強化を示唆し、企業に対して法的規制について警告している。 AIツール使用のリスク。 規制の監視が強化されているこの環境を考慮すると、企業は堅牢かつ透明性のあるデータ収集および使用ポリシーを策定、実装し、遵守する必要があります。

この投稿では、Amazon の執行措置における FTC の苦情と提案されている規定命令を要約し、これらの執行措置が今後のデータプライバシーとセキュリティプログラムにどのような影響を与える可能性があるかを理解したい企業向けに重要なポイントを強調します。

Alexaの強制措置

苦情

Alexa は、ユーザーがハードウェア デバイス (Amazon Echo スピーカーなど) やモバイル アプリを通じてさまざまな製品やサービスにアクセスできるようにする Amazon の音声アシスタント サービスです。 Alexaの製品には、スマートスピーカー「Echo Dot Kids Edition」や、子供がオーディオブック、ゲーム、その他の製品にアクセスできる「FreeTime Unlimited on Alexa」サービスなど、特に子供を対象とした製品やサービスが含まれる。 特に、Alexa サービスはその運用の一環として、ユーザーの音声録音と地理位置情報を収集します。

Alexaに対するFTCの訴状の核心的な内容は、AmazonがAlexaが機密データ（音声や位置情報データを含む）の収集方法をユーザーが制御できるようにするプライバシーを意識した製品であると消費者に表明し、不当かつ欺瞞的な行為に関与したとされるというものだ。 、Amazon によって使用および保持されます。 これらの表現はAlexaのデータ収集と使用慣行の現実と衝突しており、FTC法第5条とCOPPA規則の違反に相当すると委員会は主張している。

訴状の具体的な主張には次のようなものがある。

1. 位置情報データの削除に関する虚偽の表示。FTCは、AmazonがAlexaアプリのユーザーがアプリによって収集された地理位置情報を削除できるかどうかについて虚偽の発言をしたと主張し、Amazonは「二次データ保管場所」に保管されているデータに削除要求を適用することに失敗し、そのデータを次の目的で使用し続けたと主張した。製品の改善を目的としています。

2. ユーザーの音声録音へのアクセス、削除および保存に関する虚偽の表現。訴状では、アマゾンが音声録音の取り扱いに関して虚偽の発言をしたと主張している。 具体的には、Amazonが付属の音声ファイルを削除した後も音声録音の書面によるトランスクリプトを保持し、広範な従業員に音声録音へのアクセスを許可し、デフォルトで子供の音声録音を無期限に保持していたとFTCは主張している。

3. 不当なプライバシー慣行。この訴状は、FTCが不当であると判断した一連のプライバシー慣行の疑いを強調している。その中には、(1) 合理的に必要な期間を超えて子供の音声録音を保存すること。 (2) 地理位置情報データをユーザーの削除要求から隔離し、削除要求が送信された後でも製品改善の目的でそのようなデータにアクセスし続ける。 (3) 地理位置情報データおよび音声記録の削除要求に完全に従わなかった場合。 (4) 自分または子供の地理位置情報や音声録音を削除するという消費者の要求に Amazon が応じなかったことを消費者に通知しなかった。

4. COPPA 規則違反。訴状では、Amazon の Alexa 関連のデータプライバシーとセキュリティ慣行が、13 歳未満の子供向けオンラインサービスの運営者に要件を課す COPPA 規則 16 CFR Part 312 (16 CFR § 312.3) に違反していると主張しています。 訴状によると、違反した要件の中には、子供の個人情報を削除する権利とその権利を行使する機会を親に通知する通知の提供要件（16 CFR §§ 312.4、312.6を参照）、および保持の禁止が含まれていると主張している。情報が収集された目的を達成するために必要な期間を超えて、子供の個人情報を保管する場合については、16 CFR § 312.10 を参照してください。

提案された規定の命令

提案された規定命令は、Amazon に次の重要な要件を課します。

1. 情報の削除。 Amazon は、非アクティブな Alexa の子供用プロファイルを特定し、そのようなプロファイルに関連付けられた子供の個人情報を削除するプロセスを実装する必要があります。 さらに、Amazon は、ユーザー (または子供ユーザーの親) が以前に削除を要求した地理位置情報、音声、または子供の個人情報を確実に削除する必要があり、その後そのデータをモデルの作成や改善に使用することは禁止されています。その他のデータ関連ツール。

2. プライバシー プログラム。 Amazon は、地理位置情報の収集と使用に重点を置いたプライバシー プログラムを実装する必要があります。 このプログラムには、年次リスク評価、安全対策の実施 (プライバシーのレビュー、従業員のトレーニング、アクセス制御を含む)、サービスプロバイダーのスクリーニングなどの機能が含まれている必要があります。

3. 位置情報および音声情報のプライバシーに関する虚偽の表示の禁止。Amazon は、ユーザーがこれらの行為を制御できる範囲を含め、地理位置情報および音声情報に関する Alexa のデータ保持、アクセス、および削除の慣行について虚偽の表示をすることを禁じられています。

4. データの保持と削除に関する通知。Amazon は、音声および/または地理位置情報が収集される理由と、ユーザーがそのような情報の削除を要求できるメカニズムを説明するデータの保持および削除の開示を消費者に提供する必要があります。

5. 2,500万ドルの金銭判決。アマゾンは民事罰金として2500万ドルを支払うよう求められている。

リング強制アクション

苦情

Ring は、2018 年に Amazon に買収された家庭用セキュリティ カメラ会社です。Ring は、消費者の家のプライベート スペースを監視するカメラを含む、「インターネットに接続されたビデオ対応のセキュリティ カメラ、ドアベル、および関連アクセサリとサービス」を販売しています。 サービスの一環として、Ring は自社のデバイスでキャプチャされたビデオ録画を保存し、分析します。

リングに対するFTCの訴状は、大まかに言うと、同社が従業員に顧客のビデオデータへの広範なアクセスを許可し、従業員によるビデオ録画の視聴について顧客に通知することも顧客の同意を得ることも怠り、データを保護するための合理的なデータセキュリティ慣行を実装していなかった、と主張している。デバイスがサイバーセキュリティ侵害から保護されます。 告訴状によれば、これらの行為は、FTC 法第 5 条に基づいて訴訟の対象となる欺瞞的で不当な行為に相当すると主張されています。

訴状の具体的な主張には次のようなものがある。

1. 従業員による顧客のビデオ録画への広範なアクセス。告訴状では、Ring が顧客のビデオ録画への従業員のアクセスに適切な制限を課すことを怠り、その結果、正当なビジネス目的があるかどうかに関係なく、Ring のすべての従業員が (数百人の請負業者に加えて) 顧客のビデオにアクセスしてダウンロードできるようになったと主張しています。このような活動のために。

2. 顧客にビデオ録画を人間が確認することを通知し、同意を得ることができなかった場合。訴状はさらに、リングの従業員や請負業者が顧客の記録にアクセスするという正当なビジネス目的を持っていたとしても、リングはそのような人間による調査について顧客に通知したり同意を得たりしなかったと主張している。 特にこの訴状は、Ring の 2018 年 1 月以前の利用規約とプライバシー ポリシーに焦点を当てています。 訴状によると、2017年12月以前、リング社はこれらの文書の中で、自社の従業員と請負業者がすべてのビデオ録画を確認できることを開示せず、その代わりに、製品の改善と開発のためにそのような録画を使用する会社の権利の一般的な説明が含まれていたと主張している。 同様に訴状では、Ringの2017年12月から2018年1月までのプライバシーポリシーには「製品の改善と開発のためのデバイス録画の使用について説明」があったと指摘しているが、この説明は「緻密で長い法律用語の中に埋もれていた」と主張している。

3. 不適切なサイバーセキュリティ慣行。告訴状では、リング社が一般的なサイバーセキュリティ攻撃を防ぐための「標準的なセキュリティ対策」を実装していなかった、と主張している。 具体的には、サイバーセキュリティ侵害、脆弱性報告、競合他社への攻撃に関するメディア報道など、複数の危険信号があったにもかかわらず、Ring は基本的な安全対策の導入を拒否したか、「少なすぎて遅すぎる」保護策を導入したとされています。

提案された規定の命令

提案された規定命令は、Ring に次の重要な要件を課します。

1. 2018 年 3 月より前のビデオ録画および派生製品の削除。Ring は、2018 年 3 月以前の対象ビデオ録画、2018 年 3 月以前の「顔埋め込み」、および 2018 年 3 月以前の録画のレビューから開発された作業成果物 (モデルやアルゴリズムなど) を削除する必要があります。

2. プライバシーおよびデータ セキュリティ プログラム。 Ring には、定期的なリスク評価、特定の条件が満たされない限り顧客のビデオ録画の人によるレビューを禁止するポリシーの策定、従業員トレーニング、データ アクセス制御 (多要素認証など) などの機能を含む、プライバシーおよびデータ セキュリティ プログラムを実装することが義務付けられています。 、強力なパスワードの要件、転送中および保存中の顧客ビデオ録画の暗号化、安全対策のテストと監視。 さらに、Ring は、独立した第三者評価機関による 2 年ごとの評価を通じて、前述のプログラムへの準拠性を検証する必要があります。

3. インシデントレポート。Ring は、「対象インシデント」について FTC に報告する必要があります。これは、Ring が政府機関に通知する結果となったインシデント、または 10 個以上の Ring アカウントからのビデオ録画の侵害に関与したインシデントを含むと定義されています。

4. 従業員のデータ アクセスとサイバーセキュリティ保護に関する虚偽の表示は禁止されています。Ring は、顧客のビデオ録画への従業員と請負業者のアクセスに関する自社の慣行や、「外部の行為者による有効な認証資格情報の悪用に起因するオンライン攻撃」から製品がどの程度保護されているかについて、虚偽の説明をすることを禁じられています。

5. 580万ドルの金銭判決。Ring は FTC に 580 万ドルを支払う必要があり、委員会はそれを消費者救済に使用する可能性があります。

両方の強制措置から得られる重要なポイント

1. 不公平な行為の拡大解釈。どちらの申し立てにおいても、FTC は、FTC 法の意味の範囲内で不公正な行為を構成するものについて広範な概念を採用しています。 この広範な概念の範囲には、従業員による顧客データへの広範なアクセスや不適切なサイバーセキュリティ管理 (Ring) から、顧客データの不必要な保持や削除要求の不履行 (Alexa) に至るまでの慣行が含まれます。 総合すると、これらの執行措置は、FTC が不当行為の解釈をますます拡大していることを示しています。

2. 救済策としてのデータデゴルジュメント。 Alexaに関する執行措置で課した他の罰則に加え、FTCはAmazonに対し、Alexaのトレーニングに使用したデータを削除するよう要求したが、そのデータはFTC法第5条とCOPPAに違反して処理されたとFTCは主張した。 データデゴルジメントはFTCが以前に使用した救済策であり、今後もAIツールが関与する執行措置に使用し続ける可能性が高い。 この分野で事業を展開している企業は、プライバシー コンプライアンス プログラムに関係するため、この潜在的なリスクを認識する必要があります。

3. 個人情報の内部使用に関する特殊性。 Ring の訴状は、企業が顧客データをどのように使用する予定であるかをプライバシー文書で明確に指定する必要性を強調しています。 その訴状の中でFTCは、リング社がビデオ録画が人による審査の対象となることを顧客に具体的に開示していなかった疑いを強調した。 これに関連して、FTC は、社内の製品改善と開​​発に使用されるビデオ録画に関する一般的な説明が不十分であると推論しました。 今後、企業は、顧客データの内部使用に関する包括的な開示として「社内での製品の改善と開発」に依存しないように注意し、その代わりに、顧客情報がどのように使用されるか（誰が使用するのかを含む）についてより具体的に提供するよう努めるべきです。 ）。

4. 個人情報への従業員のアクセスを制限する。 FTCの申し立てはまた、企業が顧客情報への従業員のアクセスをビジネス上正当な理由がある者に制限する必要性を強調している。 FTCは、RingとAlexaの両社が、顧客の機密情報にアクセスできる従業員や請負業者を適切に制限していなかったとして批判しており、これが今後の委員会の焦点となる可能性が高い。

5. 削除要求への完全な準拠。 Alexaの苦情は、データ削除要求に完全に従う必要性を企業にはっきりと思い出させるものとなるはずだ。 これには、たとえば Alexa の申し立てで問題となっている二次データ保管場所によってデータが確実に削除されるように、そのような削除リクエストをフローダウンすることが含まれます。 そして企業は、たとえ内部目的であっても、顧客が削除を要求したデータを使い続けないようにする必要があります。