連邦取引委員会(FTC)は、データブローカーであるGravy AnalyticsとMobilewallaに対し、医療施設、軍事基地、宗教施設などへの米国人の訪問を明らかにする機微な位置情報データの収集、利用、販売を禁止した。
火曜日に発表された和解では、両社に対し、これまでに収集したデータの削除も求めるとともに、将来の違反を防ぐための厳格な管理措置を課している。
FTCは、Gravy Analytics(子会社Venntelを含む)およびMobilewallaが、消費者の同意なしに詳細な位置情報データを収集し、プライバシー法に違反したと非難した。このデータは広告主や政府機関を含む第三者に販売され、機微な場所への訪問を特定するために使用されていた。
「この侵害は、しばしば非識別と謳われるモバイル広告IDが、特定の人物を特定し追跡するために利用され得ることを示しています」とComparitechの消費者プライバシー擁護者であるPaul Bischoffはコメントした。「このデータが販売される脅威は、通常のフィッシングや詐欺の脅威を超えています。ストーキング、嫌がらせ、家庭内虐待を可能にします。」
FTCの調査では、両社がこの情報をどのように収集し利用していたかについて透明性が欠如していたことが浮き彫りになった。調査によれば、Gravy Analyticsは個人の健康、政治、宗教活動に関する洞察を含む位置情報データを販売していた。一方、Mobilewallaはオンライン広告オークションから得た匿名化されていないデータを使用して、2020年のBlack Lives Matter抗議活動の参加者の分析を含む詳細なオーディエンス・プロファイルを構築していた。
両社は、潜在的なリスクやユーザー同意の欠如を認識していたにもかかわらず、これらの慣行を継続していたとされる。
消費者のプライバシーとデータ保護規制について詳しく読む:消費者はすでにAIがデータプライバシーに与える影響を懸念
和解条件
和解により、Gravy AnalyticsとMobilewallaは以下を行わなければならない:
-
医療クリニック、軍事施設、学校などの機微な場所からの位置情報データの収集および販売を停止する
-
機微な場所からのデータを特定し遮断するためのプログラムを実装する
-
これまでに収集したすべての位置情報データおよび関連製品を削除する
和解ではまた、個人情報をどのように収集、利用、または保護しているかについて虚偽の表示を行うことも禁じている。
より広い背景と反応
これらの措置は、バイデン政権が消費者プライバシーに一層注力していることの一環である。
「個人に関するデータの収集は、多くの人々にとって非常に議論の的となっており、これらの組織が収集している機微な情報を保護できていない失敗が繰り返されていることで、状況は改善されていません」とKnowBe4のセキュリティ意識向上の提唱者であるErich Kronは述べた。
「位置情報のようなものの収集を制限することは重要な一歩です。特に、この情報が開示されることで本人や家族に危険が及ぶ可能性がある職業の人々や、宗教その他の所属によりヘイトグループの標的になり得る人々にとってはなおさらです。」
和解案に対する一般からの意見募集は、最終決定まで30日間受け付けられる。FTCの動きは、データブローカーとデジタル・エコシステムにおけるその役割に対する監視が強まっていることを浮き彫りにしている。
翻訳元: https://www.infosecurity-magazine.com/news/ftc-safeguards-us-location-data/
