位置情報の追跡が脅かすプライバシー保護

位置情報の追跡が脅かすプライバシー保護

Photographic portrait of Meribeth Banaschik
Meribeth Banaschik

Partner, Forensic & Integrity Services and EMEIA Innovation Leader

5 minute read 2020年9月18日
関連トピック
アシュアランス
Forensics
信頼
サイバーセキュリティ

個人データを管理し保護するには、これまで以上に、部門の枠を越えて企業全体で協力する必要があります。

要点

  • 私生活や仕事において、位置情報の追跡を使ったアプリの利用が増えており、これがプライバシーをめぐる大きな懸念事項となっている。
  • 新型コロナウイルス感染症(COVID-19)の拡大以降、個人の健康データや従業員の移動を追跡している企業は、プライバシーへの影響を慎重に評価する必要がある。
  • 位置情報の追跡に伴うリスクを軽減するには、コンプライアンスの専門家が中心となり企業全体で取り組む必要がある。

EYの関連サービス

  • Privacy & Cyber Response

    貴社が複雑なサイバー攻撃をかわし、複雑なサイバーインシデントに適切に対処できるように、EY Privacy & Cyber Response (P&CR) チームのプロフェッショナルが支援します。詳しい内容を知る

    続きを読む

  • Forensic Data Analytics

    不正行為、政府または規制当局による調査、契約違反の申し立てや訴訟など、EY Forensic Data Analytics(FDA)チームは、企業が直面するさまざまな問題の解決を、データ分析技術を使ってサポートします。

    続きを読む

私たちが肌身離さず持ち歩くようになったスマートフォンは、移動の追跡に最適なデバイスとなり、極めて貴重なデータを企業や政府に提供しています。あまり知られていないことですが、位置情報データを扱う企業は、携帯電話の多くのアプリから私たちの日々の行動を正確に特定できるのです。ニューヨーク・タイムズ紙の調査では、あるデータセットを利用すると、オフィスへの通勤、子どもの学校の送迎、就職面接に行くという普段とは異なる動きまで追跡できました1

位置情報の追跡に対して高まる懸念は、プライバシー保護がますます複雑化していることの一例に過ぎません。政府や企業が新型コロナウイルス感染症の拡大を追跡・抑制するための新しいテクノロジーを試す中、この問題は深刻化しています。これらの取り組みが命を救う一方で、プライバシーの侵害や個人の健康データの露呈への懸念を高めることにもなっています。


プライバシー管理は主にコンプライアンスや法律の専⾨家の責務領域となり、サイバーセキュリティチームが⽀援する領域と考えられています。しかし、組織のあらゆる領域においてプライバシーがステークホルダーに与える影響を、今まで以上に多くの組織が認識するようになっています。位置情報の追跡がもたらすプライバシーリスクを管理するために、⼈事、業務、情報セキュリティ、広報、IRなどの部⾨と協調して取り組む必要があります。

 

 

位置情報追跡のプライバシー保護には、市民や規制当局の監視の目が必要

携帯電話に天気予報アプリを入れるということは、アプリを使用していない時でも秒単位で移動が追跡され、第三者に販売される可能性があることを知っていましたか? ロサンゼルス市検察局は、これを根拠として2019年に訴訟を起こしています。起訴内容は、「大多数のユーザー」が読まないアプリのプライバシーポリシーやプライバシー設定の項目に、第三者にデータを販売するという情報が隠されていたというものです2


位置情報データを収集する多くの企業は、データが匿名であること、ユーザーが追跡に同意していること、データが安全な状態に保たれていることを理由にプライバシーの侵害にはあたらないと主張しています。しかしニューヨーク・タイムズ紙の調査は、必ずしもこれらの主張で法規制の監視の目を抜けられるわけではないとしています。例えば、自宅からオフィスへの毎日の経路を示す位置情報データを使用して、簡単に個人を特定することができるのです。
 

携帯電話のアプリが収集した大量の位置情報データを提供し、それが第三者に販売されていることで、携帯電話会社も批判を浴びています。米国の大手携帯電話事業者4社は、2018年に位置情報データの販売を停止すると約束しました。しかしその2年後、事業者が顧客データの販売を続け、個人情報を保護するという当局の規則に違反しているとして、連邦通信委員会(FCC)は数億ドルの罰金を科しました3

新型コロナウイルス感染症により位置情報の追跡リスクが増加

新型コロナウイルス感染症危機を受け、一部の政府は、人と人との接触を追跡したり、隔離やソーシャルディスタンスの指導を順守しているかを確認したりするために、位置情報の追跡が可能な携帯電話アプリを導入しました。個人を追跡することでウイルスの拡大を抑制できた国もあるものの、Guardsquare社が17カ国の政府による追跡アプリのセキュリティを分析した結果、その「大多数」は簡単にハッカーに侵入されることが分かりました4

人権団体は、こうしたアプリが脆弱(ぜいじゃく)すぎる上、パンデミック対策以外にも利用されることを懸念しています。例えばノルウェーのデータ保護庁は、必要以上に多くのデータを収集しているとして、同国の接触者追跡アプリの利用を禁止しました5

企業もまた、スマートフォンのアプリやカメラ、ウエアラブルBluetoothデバイスを使って勤務中の従業員の移動を管理するなど、従業員の健康を保護する新しいテクノロジーを模索しています。従業員が新型コロナウイルス感染症で陽性と診断された場合、企業は感染した従業員と濃厚接触した従業員を迅速に特定することができます。多くの国では、雇用主が勤務時間中の従業員を追跡することを許可していますが、プライバシー保護を訴える人々は、監視が24時間に拡大され、危機が去った後も続くのではないかと懸念しています。

またパンデミックにより、従業員の健康データをめぐるプライバシーへの懸念が生じています。2020年5月に発表された調査では、企業の4分の1近くが従業員の検温を実施しており、60%が新型コロナウイルス感染症と診断された従業員の記録をつけています。ほぼ5社に1社が、新型コロナウイルス感染症で陽性となった従業員の名前をほかのスタッフや政府機関に知らせていますが、これは欧州データ保護委員会の助言に反しています6

位置情報の追跡をコントロールするためのプライバシー規制

プライバシー保護への関心の高まりから、世界中で新しい規制が生まれています。強い影響力を持つ規制の1つにEU一般データ保護規則(GDPR)がありますが、この規則では位置情報データを個⼈データとして扱っていま す。そのためユーザーは位置情報の追跡に対して、オプトアウト(拒否)するのではなく、明確で⾃由な意志をもって同意する必要があります。欧州におけるGoogleの主要データ規制当局は、位置情報データを提供するようGoogleがユーザーを誘導しているとの苦情を受けて、2020年に新たな調査を開始しました。Googleは、ユーザーへの対応と透明性の向上に引き続き取り組んでいると述べています7

2020年7月に施行された⽶国のカリフォルニア州消費者プライバシー法(CCPA)でも位置情報の追跡について取り扱われるようになっています。CCPAの下、カリフォルニア州の住⺠は位置情報データを含む個⼈情報の第三者への販売をオプトアウト(拒否)することができます。同法は州の住民のみを対象としていますが、大企業の多くはすべての米国民へと権利を拡大しています。カリフォルニア州検事総長は、企業がCCPAに準拠するために550億米ドル以上を費やすだろうとしています8

EYの関連サービス

  • デジタル法務

    EYのデジタル法務チームは、データやサイバー空間、デジタル知的財産、デジタル規制法、電子商取引法といった領域のリスク特定と問題の対処をサポートします。詳しい内容を知る

    続きを読む

位置情報追跡のプライバシーリスクに対処するには部門を越えた協力が必要

位置情報の追跡に関わるプライバシーリスクに対処するには、法務部門やコンプライアンス部門の枠を越えて取り組む必要があります。急速に進化するテクノロジー・規制環境に組織が対応するには、柔軟性と機動力が求められ、部門を越えた協力が欠かせません。

法務やコンプライアンスの専⾨家が他部⾨、特にIT部⾨との連携を主導し、リスクの特定、監視、軽減を⽀援する必要があります。⼈材管理部⾨は従業員の教育やコミュニケーションに⼒を⼊れ、位置情報追跡を行う場合は従業員のプライバシーが損なわれないようにし、またその⽅針を従業員によく理解してもらいます。情報セキュリティやITの専門家は急速に進化するテクノロジーの最新情報を把握し、その影響や潜在的リスクを理解する必要があります。何より、設計段階からプライバシーを考慮することを、企業文化に根付かせなければなりません。
 

企業は位置情報の追跡機能を備えた製品やサービスを開発する際に、プライバシーへの懸念を最優先する必要があります。十分に対応できなかった場合、位置情報の追跡が規制違反、訴訟、評判の低下、従業員の不満、収益損失のリスクを伴う⼤きな負担になるかもしれません。適切な対応をとることができれば、位置情報の追跡により、製品の機能強化、サービス提供の促進、従業員と組織の保護が可能となります。

 

主なポイント

私⽣活や仕事において、位置情報の追跡を使ったアプリの利⽤が増えており、これがプライバシーをめぐる⼤きな懸念事項となっています。政府や組織がウイルス拡大の抑制を急ぐ中で、新型コロナウイルス感染症がこの問題に拍車をかけています。パンデミック下で急きょ、従業員の移動の追跡や個人の健康データの提出など、業務上の変更を行った企業は、プライバシーへの影響を慎重に評価する必要があります。
 

企業が他社にデータを販売する場合、あるいは社内利⽤として従業員の位置情報を追跡する場合においては、位置情報の追跡に伴うリスクを軽減するためにコンプライアンスの専門家が中心となり企業全体で取り組む必要があります。取り組みに際しては、位置情報の追跡に伴うリスクが規制や法に基づく措置、データ侵害、従業員のモラルの低下、プライバシーをめぐる懸念、ブランドへのダメージにつながる恐れがあることを念頭に置く必要があります。


データプライバシー規制の順守には費用がかかりますし、課題も多くあります。しかし、消費者と従業員の双方にとってプライバシー保護の重要性が高まるにつれ、透明性が高く安全な方法で位置情報データを管理する企業は競争上の強みを得ることになるでしょう。私たちは携帯電話を手放すことはできませんが、そこから秘密が漏えいすることは望んでいません。

 

  1. Stuart A. Thompson and Charlie Warzel, “Twelve Million Phones, One Dataset, Zero Privacy,” The New York Times, 19 December 2019.
  2. Eriq Gardner, “All the Time and Money on California’s New Privacy Law Waster?” The Hollywood Reporter, 15 June 2020.
  3. Drew FitzGerald and Sarah Krouse, “FCC Probe Finds Mobile Carriers Didn’t Safeguard Customer Location Data,” The Wall Street Journal, 27 February 2020.
  4. Grant Goodes, The Proliferation of COVID-19 Contact Tracing Apps Exposes Significant Security Risks(accessed via www.guardsquare.com),18 June 2020.
  5. “After Being Ranked Among the World’s Most Privacy-Invasive, Norway Suspends Use of Contact Tracing App,” CPO Magazine, accessed 2 July 2020.
  6. Müge Fazlioglu, Privacy in the Wake of COVID-19: Remote Work, Employee Health Monitoring and Data Sharing, IAPP-EY report, https://iapp.org/resources/article/iapp-ey-report-privacy-in-wake-of-covid19/,accessed May 2020.
  7. Natasha Lomas, “Google’s location tracking finally under formal probe in Europe,” TechCrunch, 4 February 2020.
  8. Standardized Regulatory Impact Assessment: California Consumer Privacy Act of 2018 Regulations, prepared for California Department of Justice Office of the Attorney General, August 2019.

サマリー

仕事や私生活で利用しているアプリの位置情報追跡は、プライバシーを脅かすだけでなく、法的な問題を伴う可能性があります。新型コロナウイルス感染症が広がり、企業が従業員や事業を守ろうと新しいテクノロジーを急ぎ採用する中で、各部門は通常の役割を越えて協力し、法律、コンプライアンス、情報セキュリティのリスクに対処・対抗する必要があります。

この記事について

Photographic portrait of Meribeth Banaschik
Meribeth Banaschik
Partner, Forensic & Integrity Services and EMEIA Innovation Leader
Attorney and former litigator. Provides talent and experience in eDiscovery solutions, managed document review, data protection compliance, disputes and contract management.
関連トピック
アシュアランス
Forensics
信頼
サイバーセキュリティ

EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。