English
Français
Deutsch
Español
Italiano
Português
한국어
Русский
家だけではない:FTCは、Ringの緩い慣行がユーザーのプライバシーとセキュリティの憂慮すべき侵害につながったと主張
Mar 28, 2023ビデオドアベルやセキュリティカメラを使用している多くの消費者は、家のプライバシーを侵害する侵入者を検出したいと考えています。 Ring をインストールした消費者は、FTC の和解案によれば、プライバシーを侵害していた「侵入者」の 1 つが Ring そのものだったことを知って驚くかもしれません。 FTC によると、Ring は従業員と何百ものウクライナを拠点とするサードパーティ請負業者に、顧客の寝室、子供部屋、その他の非常に個人的なスペースへの間近で個人的なビデオ アクセスを提供していた。そしてそれらのビデオを自由に共有できます。 リングの目的はそれだけではありませんでした。 この訴訟で提案されている命令には、580万ドルの金銭的和解に加えて、人工知能、生体認証データ、個人のプライバシーが交わる条項が含まれている。 これは、FTCが本日発表した別の主要な生体認証プライバシー訴訟、Amazon Alexaに対する有益な本末転倒だ。
Ring は、何百万ものアメリカ人が自宅の安全を確保するために使用している、インターネットに接続されたビデオ対応のカメラとドアホンを販売しています。 リング社は大規模なマーケティング キャンペーンを通じて安全ベルを鳴らし、自社製品を「サイズは小さいが、安心感は大きい」と売り込みました。 しかしFTCは、リングカメラが消費者にとって自宅のプライベートエリアを監視するための安全な手段であることを保証するために合理的な措置を講じたと同社が主張したにもかかわらず、同社は顧客の機密性の高い情報に対して迅速かつ柔軟なアプローチを示したと述べた。
リング社の従業員ハンドブックではデータの悪用は禁止されていたが、一部の従業員の不穏な行為は、その警告が紙面に印刷されるほどの価値がなかったことを示唆している。 Ring は、顧客ビデオへのアクセスを、重要な職務遂行のために必要な人だけに制限するのではなく、たとえば、消費者によるシステムの問題のトラブルシューティングを支援するために、従業員や請負業者に「自由範囲」のアクセスを提供しました。 そのずさんな政策と緩い管理が必然的にどこへ向かうのか疑問はありませんか? 2017 年の 3 か月間、Ring の従業員は、Ring 自身の従業員のビデオを含む、女性ユーザーの寝室やバスルームでの数千のビデオを視聴しました。 Ring は、従業員が何をしているのかを独自の技術制御を通じて検出するのではなく、女性従業員が報告した後でのみそのエピソードを知りました。 これはFTCがRingの「危険なほど広範なアクセスと、プライバシーとセキュリティに対する緩い態度」と呼んでいるものの一例にすぎない。
Ringは2018年に慣行の一部を変更したが、FTCはそれらの措置は問題を解決しなかったと述べている。 詳細については訴状を読んでいただきたいが、これらの変更後であっても、FTCは、ウクライナに本拠を置く請負業者が顧客のビデオにアクセスできるようにした無許可の「トンネル」の例や、リングの従業員が顧客の情報を提供した事件などを挙げている。顧客の元夫にビデオを提供したこと、また元従業員が多数の個人に Ring デバイスを提供し、彼らの知識や同意なしにビデオにアクセスし、退職時にそのビデオを持ち歩いていたという内部告発者からの報告があった。
しかし、消費者の個人プライバシーに対する脅威は、Ring 内部からだけ発生したわけではありません。 訴状では、Ring は 2020 年 1 月まで、「ブルート フォース」(パスワード推測の自動プロセス)と「クレデンシャル スタッフィング」(他の攻撃中に盗まれたユーザー名とパスワードを取得する)という 2 つのよく知られたオンライン攻撃形態によってもたらされるリスクに対処できなかったと主張しています。侵害、およびそれを使用した Ring へのアクセス)。 FTC は、Ring のセキュリティ障害により、最終的に 55,000 人を超える米国の顧客が深刻なアカウント侵害に遭遇したと述べています。
消費者のプライバシーの侵害はどれほど深刻でしたか? 多くの場合、悪意のある者はカメラの双方向通信機能を利用して、Ring カメラで監視されている部屋にいる子供や高齢者を含む人々に嫌がらせや脅迫を加えました。 顧客は自分たちの体験を恐ろしくトラウマ的なものだと述べ、Ring を通じて自宅の神聖さを侵害する声から発せられる脅迫的な行動の事例を多数報告しました。
ある Ring 従業員はこう述べています。「私たちは、何も緩和策を講じていないため、知らず知らずのうちに、データ侵害を行ったハッカーを幇助し、扇動しているのです。」
消費者から個人データの管理を奪ったのは、不気味な従業員や邪悪なハッカーだけではありませんでした。 訴状によると、リングは消費者の積極的な明示的な同意を得ることなく、プライバシーより潜在的な利益を優先して画像認識アルゴリズムを開発するためにビデオを悪用したという。 Ring は、法律用語の密集したブロックの中に自らの行為を隠し、自社のコンテンツを製品の改善と開発に使用する可能性があると人々に告げただけで、消費者が Ring の利用規約とプライバシー ポリシーに同意したことを示すチェック マークから「同意」とされるものを推定しました。
訴状によると、リング社は家庭用防犯カメラを不正アクセスから守るための合理的な措置を講じた、従業員や請負業者が顧客の知識や同意なしに顧客の自宅内の親密な空間のビデオ録画にアクセスすることを不当に許可した、不当に失敗したなどと虚偽の報告を行い、FTC法に違反したと主張している。合理的なセキュリティ対策を講じて、顧客の機密ビデオデータを不正アクセスから保護します。
消費者に要求される580万ドルの支払いに加えて、提案された命令には、FTCの和解に共通するいくつかの条項と、テクノロジー業界だけでなく、消費者データを使用するあらゆる企業からの注意深い注意に値する重要な新しい条項が含まれています(そして、正直に言って、それはそうです)ほぼ全員)。 順序を注意深く読んでいただく必要がありますが、ここでは重要な点をいくつか紹介します。 この命令は、Ring が、同社またはその請負業者が顧客のビデオ、支払い情報、および認証資格情報にアクセスできる範囲について虚偽の表示をすることを禁止しています。 さらに、リングが消費者の同意を得る手順が不十分だった期間中、同社は研究開発に使用されたすべてのビデオと、それらのビデオから得られたすべてのデータ(モデルやアルゴリズムを含む)を削除しなければならない。
また、Ring は、顧客のビデオの「人間によるレビュー」を特定の狭い状況(たとえば、法律の遵守や違法行為の調査など)、または会社が消費者の明示的なインフォームドコンセントを得ている場合に厳しく制限する、包括的なプライバシーおよびセキュリティ プログラムを実装する必要があります。 。 同社はまた、多要素認証、暗号化、脆弱性テスト、従業員トレーニングなどの特定の要件を備えたセキュリティ戦略を強化する必要があります。
訴状で挙げられている緩いビデオアクセス慣行について顧客に通知することに加え、リングは今後、他の法律に基づく通知のきっかけとなるセキュリティインシデントや、10以上のリングアカウントのビデオへの不正アクセスに関わるプライバシーインシデントについてFTCに通知する必要がある。 。
この場合、他の企業は和解案から何を得ることができるでしょうか?
消費者のデータの責任者は誰ですか? 消費者。 企業ではなく消費者が、機密データに誰がアクセスするかを管理する必要があります。 さらに、数十年にわたるFTCの判例は、企業が見つけにくく理解しにくい「開示」や形式的なチェックボックスを使って「同意」を捏造することはできないことを証明している。
責任を持ってアルゴリズムを開発します。 FTCによると、リングは顧客の同意なしにアルゴリズムを開発するために顧客のビデオにアクセスした。 AI 分野に参入したことのある人なら、FTC のメッセージは明らかです。消費者の個人情報は、企業が自由に使用できるようなものではありません。 FTCは企業に対し、自社のアルゴリズムを動かす消費者データをどのように取得し、使用するかについての責任を問うことになる。 さらに、機械学習アルゴリズムのトレーニングに使用されるデータのタグ付けを人間によるレビューに依存している企業は、消費者の積極的な明示的な同意を得て、その情報のプライバシーとセキュリティを保護するための安全措置を講じる必要があります。
FTC は、非常に機密性の高いカテゴリの個人情報の悪用に「生体認証」の観点から反対しています。 生体認証データは、指紋、虹彩スキャン、ビデオなどの形式であっても、最高レベルの保護を保証します。 FTC の生体認証情報に関する 2023 年 5 月の政策声明をまだ読んでいない場合は、次に読書リストに入れてください。
FTC は消費者の自宅での安全を守るために活動しています。 人々がのぞき見から解放されるべき場所が 1 つあるとすれば、それは自宅です。 そして、家庭で特に保護に値するグループがあるとすれば、それは子供たちです。 ここで、保護のために購入したデバイスを介してアクセスした何者かによってベッドで脅迫された人々(若者を含む)が経験した恐怖を想像してみてください。 Ring に対する FTC の行動は、企業の無遠慮なデータ慣行が消費者や子供たちに及ぼす可能性のあるプライバシーとセキュリティに対するリスクを示しています。
タグ: