米国 FTCのブログ プライバシー関連（DNA、データブローカー、子供のプライバシー）

こんにちは、丸山満彦です。

米国では連邦レベルのプライバシー法がなく、連邦レベルでプライバシーを統括的に取り扱う省庁はないのですが、消費者のプライバシーについては、連邦取引委員会 (Federal Trade Commission; FTC) が積極的に対応をしていますね。。。そして、ブログでの情報提供も活発です。

ということで、2024年にはいってから、プライバシーに関連する話題がすでに３つあり、個人情報保護法の見直しに関わっている日本にとっても参考になることがあるかもしれませんね。。。

子供のプライバシーについては規則案についての意見募集がされていますので、別途書きますね。。。

 

● U.S. Federal Trade Commission; FTC - Bussiness Blog

 

まずは、DNA関係...

・2024.01.05 The DNA of privacy and the privacy of DNA

he DNA of privacy and the privacy of DNA	プライバシーのDNAとDNAのプライバシー
Companies selling genetic testing products tout the benefits of DNA-based insights – learning more about health, lineage, family tree – so that consumers can seek medical attention, customize their diet or exercise regimen, find long-lost relatives, or understand more about their background. But for consumers to realize benefits from DNA-based products or services, consumers need to be able to trust their accuracy – and trust that the company’s practices related to the DNA of privacy (data minimization, purpose limitations, retention limits, etc.) will protect the privacy of their DNA. Here are some lessons on privacy, data security, truth in advertising, and artificial intelligence (AI) drawn from a trio of FTC enforcement actions involving sellers of genetic testing products: CRI Genetics, 1Health/Vitagene, and Genelink.	遺伝子検査製品を販売する企業は、消費者が医療を求めたり、食事や運動療法をカスタマイズしたり、長い間行方不明だった親族を見つけたり、自分の生い立ちをより深く理解したりできるように、健康や家系、家系図について詳しく知るというDNAに基づく洞察の利点を宣伝している。しかし、消費者がDNAに基づく製品やサービスから利益を得るためには、消費者がその正確性を信頼できるようになる必要がある。また、プライバシー（データの最小化、目的の制限、保持の制限など）のDNAに関連する企業の慣行がDNAのプライバシーを保護することを信頼できるようになる必要がある。遺伝子検査製品の販売業者が関与した3件のFTC強制措置から、プライバシー、データセキュリティ、広告の真実性、人工知能（AI）に関する教訓をいくつか紹介しよう： CRI Genetics、1Health/Vitagene、Genelinkである。
Protecting biometric information – including genetic data – is a top FTC priority. Since announcing its Biometric Policy Statement in May 2023, the FTC has settled actions against two sellers of direct-to-consumer DNA testing kits. Why are these cases so important? Genetic data reveals sensitive information not only about consumers’ health, characteristics, and ancestry, but also about their families. While some other data types can be stripped of identifying characteristics, that’s not necessarily the case when it comes to genetic information. Where the sensitivity of the data is high, so too is the risk of harm, particularly in this era of increasing biometric surveillance. The FTC’s actions in Amazon/Alexa and Ring to protect voice recordings and videos further illustrate this point. To stay on the right side of the law, heed the lessons from these cases.	遺伝子データを含む生体情報の保護は、FTCの最優先事項である。2023年5月にバイオメトリクス政策声明を発表して以来、FTCは消費者向けDNA検査キットの直接販売業者2社に対する訴訟を解決した。なぜこのような事例が重要なのか？遺伝子データは、消費者の健康状態、特徴、家系だけでなく、その家族に関するセンシティブな情報を明らかにする。他のデータタイプの中には、識別特性を取り除くことができるものもあるが、遺伝子情報に関しては必ずしもそうではない。データの機密性が高ければ高いほど、特にバイオメトリクス監視が強化されるこの時代においては、危害のリスクも高くなる。アマゾン／アレクサとリングにおけるFTCの音声記録とビデオの保護に関する措置は、この点をさらに明確に示している。法の正しい側であり続けるために、これらの事例から得た教訓に耳を傾けよう。
Secure genetic data. In both 1Health/Vitagene (consumers may know the company as Vitagene) and Genelink, the FTC charged that sellers of genetic-based products had subpar data security. The FTC’s Vitagene complaint alleges that the company didn’t inventory its genetic data, so it wasn’t even aware that it had stored some of it in a cloud storage “bucket” accessible to the public. In addition, the company allegedly didn’t use access controls, didn’t encrypt that publicly accessible data, didn’t log or monitor access to it, and didn’t remedy the problem even after receiving credible warnings. Genelink preceded Vitagene by about nine years – and yet there are eerie similarities. According to the Genelink complaint, the company maintained sensitive data in clear text, failed to limit employee and contractor access to sensitive data, failed to assess the risks to that data, and didn’t include terms in the contract to require contractors to use safeguards and to allow Genelink to oversee their practices. The data practices described in both complaints are shoddy for any data, but especially for sensitive genetic information, where the risk of harm to consumers from exposure of that data is high. If you collect or store genetic data, you’re on notice that the FTC expects security in line with the sensitivity of the data.	遺伝子データを保護する。1Health/Vitagene（消費者は同社をVitageneとして知っているかもしれない）とGenelinkの両事件において、FTCは遺伝子に基づく製品の販売者が不十分なデータセキュリティを持っていたことを告発した。FTCの申し立てによると、Vitagene社は自社の遺伝子データをインベントリー化していなかったため、その一部を一般にアクセス可能なクラウドストレージの「バケツ」に保存していたことすら知らなかったという。さらに、同社はアクセス制御を使わず、一般にアクセス可能なデータを暗号化せず、アクセスログも監視もせず、信頼できる警告を受けても問題を改善しなかったとされている。ジェネリンク社はVitagene社より約9年前に設立されたが、不気味な共通点がある。ジェネリンク社の訴状によると、同社は機密データをクリアテキストで管理し、機密データへの従業員や請負業者のアクセスを制限せず、そのデータに対するリスクを評価せず、請負業者にセーフガードの使用を義務づけ、ジェネリンク社がその慣行を監督できるようにする条項を契約に盛り込まなかった。両訴訟で述べられているデータ管理は、どのようなデータに対しても粗雑なものであるが、特に機密性の高い遺伝情報に対しては、そのデータの暴露によって消費者に危害が及ぶリスクが高い。もしあなたが遺伝子情報を収集・保存しているのであれば、FTCはそのデータの機密性に見合ったセキュリティーを期待している。
Secure customer accounts. Securing genetic data doesn’t just mean good network security (although that’s a must). It also means securing customer accounts through which a bad actor could access genetic data or other personal information. The more sensitive the data, the more valuable it may be to bad actors – which means customer accounts are likely targets for hackers. The Ring matter illustrates that point. According to the complaint, the home security camera company failed to take reasonable steps to secure customer accounts against common hacking techniques, including credential-stuffing attacks. (Credential stuffing involves the use of credentials, such as usernames and passwords, obtained from one breached account to gain access to a consumer’s other accounts.) The complaint alleges that Ring only used half-measures to prevent these attacks. For example, Ring made multi-factor authentication available to consumers, but didn’t require them to use it – even though customer accounts were the gateway to highly sensitive information like stored videos and live streams of consumers in private spaces of their homes. If your customer accounts offer data thieves a similar gateway to sensitive data (for example, results from genetic testing), learn from the Ring case and properly secure those accounts.	顧客アカウントを保護する。遺伝子データの保護は、優れたネットワーク・セキュリティだけを意味しない（それは必須だが）。悪意ある者が遺伝子データやその他の個人情報にアクセスする可能性のある顧客アカウントを保護することも意味する。機密性の高いデータであればあるほど、悪意ある行為者にとってその価値は高くなる。つまり、顧客アカウントはハッカーの標的になりやすいのだ。リングの件はその点をよく表している。訴状によると、このホームセキュリティカメラ会社は、クレデンシャル・スタッフィング攻撃を含む一般的なハッキング手法に対して顧客アカウントを保護する合理的な措置を講じなかった。(クレデンシャル・スタッフィングとは、消費者の他のアカウントにアクセスするために、ある侵害されたアカウントから入手したユーザー名やパスワードなどのクレデンシャルを使用することである）。訴状では、Ring社はこれらの攻撃を防ぐために中途半端な対策しか講じていなかったとしている。例えば、Ring社は多要素認証を利用できるようにしたが、その利用を義務付けていなかった。顧客アカウントは、保存されたビデオや自宅のプライベート空間における消費者のライブストリームなど、機密性の高い情報への入り口であったにもかかわらず。顧客アカウントが、保存されたビデオや消費者の自宅のプライベートな空間でのライブストリームなど、機密性の高い情報への入り口であったにもかかわらずである。もし自社の顧客アカウントが、データ窃盗犯にとって機密性の高いデータ（例えば、遺伝子検査の結果）への同様の入り口となるのであれば、リング社の事例から学び、それらのアカウントを適切に保護すべきである。
Don’t oversell: Can you support your accuracy claims about genetic testing? Be careful not to exaggerate your claims about your genetic testing product. There’s a line between puffery and deception that you don’t want to cross. According to the CRI Genetics complaint, the company – among other things – overstated the accuracy of their test results (“accuracy greater than 99.9%”) and falsified reviews. Here’s the truth about DNA testing for ancestry: Companies estimate consumers’ ancestry by comparing consumers’ DNA with the companies’ proprietary DNA reference data. Their algorithms “predict” consumers’ ancestry, with varying margins of error. DNA testing for ancestry is, therefore – at best – an estimation of ancestry, not a precise science. The Genelink complaint alleges that the company claimed their genetically customized nutritional supplements could treat diabetes, heart disease, arthritis, insomnia, and other health conditions – all without scientific support. When making claims about the accuracy of genetic testing or the purported benefits of DNA-related products, stick with reliable science. If you don’t have a reasonable basis to support your claim, don’t make it in the first place.	過剰な売り込みは禁物だ： 遺伝子検査の精度を裏付けることができるか？遺伝子検査製品に関する主張を誇張しないように注意すること。誇大広告と欺瞞の間には、越えてはならない一線がある。CRIジェネティクスの訴状によると、同社はとりわけ、検査結果の正確さを誇張し（「99.9％以上の正確さ」）、レビューを改ざんした。先祖のDNA検査についての真実はこうだ： 各社は、消費者のDNAを各社独自のDNA参照データと比較することによって、消費者の先祖を推定する。各社のアルゴリズムは、消費者の先祖を「予測」するが、その誤差はさまざまである。したがって、先祖のDNA鑑定は、せいぜい先祖の推定であって、正確な科学ではない。ジェネリンク社の訴状によると、同社は遺伝子レベルでカスタマイズした栄養補助食品で糖尿病、心臓病、関節炎、不眠症、その他の健康状態を治療できると主張しているが、これらはすべて科学的裏付けがない。遺伝子検査の正確性やDNA関連製品の効能について主張する場合は、信頼できる科学にこだわること。主張を裏付ける合理的な根拠がないのであれば、最初から主張しないことだ。
The FTC is watching how companies use – and claim to use – Artificial Intelligence. DNA algorithms are no exception. It’s no secret that the FTC is focused on making sure that consumers can enjoy the benefits of AI without suffering substantial harms like bias, privacy invasions (Amazon/Alexa and Ring), or questionable accuracy (WealthPress, DK Automation, Automators AI). That holds true when it comes to “DNA algorithms.” In the CRI Genetics matter, the FTC alleged that the “patented DNA algorithm” the company touted in its ads was not in fact patented and didn’t generate the highly accurate results the company claimed. In this age of AI, some companies may be tempted to use loose talk about AI and algorithms, perhaps as a means of conveying technological sophistication. Watch out. If you’re promoting your AI or algorithm, make sure your claims don’t deceive or otherwise harm consumers.	FTCは、企業がどのように人工知能を使用するか、また使用すると主張するかを注視している。DNAアルゴリズムも例外ではない。FTCが、偏見やプライバシーの侵害（Amazon/Alexa、Ring）、疑わしい正確性（WealthPress、DK Automation、Automators AI）といった実質的な損害を被ることなく、消費者がAIの恩恵を享受できるようにすることに注力しているのは周知の通りだ。それは "DNAアルゴリズム "に関しても当てはまる。CRIジェネティクスの件では、FTCは、同社が広告で宣伝していた「特許取得済みのDNAアルゴリズム」が実際には特許を取得しておらず、同社が主張するような高精度の結果を生成していなかったと主張した。このAIの時代において、一部の企業はAIやアルゴリズムについて、おそらく技術的な洗練を伝える手段として、緩い話を使いたくなるかもしれない。気をつけよう。AIやアルゴリズムを宣伝するのであれば、その主張が消費者を欺いたり、損害を与えたりしないように気をつけよう。
The FTC has a strong track record of challenging deceptive or unfair dark patterns, including when it comes to obtaining “consent” for the use and disclosure of genetic data. Recent enforcement actions like Amazon/Prime, Publishers Clearinghouse, and Vonage demonstrate the high priority the FTC places on challenging allegedly illegal dark patterns – manipulative designs that coerce consumers into decisions they wouldn’t knowingly agree to make. The CRI Genetics matter reinforces this point. According to the complaint, the company used dark patterns – confusing pop-ups and directions, bogus “rewards,” claimed urgency – to push consumers into buying more. In the ongoing battle against illegal dark patterns, the orders in both CRI Genetics and Vitagene require the companies to obtain “affirmative express consent” – consent that precludes the use of dark patterns – for future uses or disclosures of genetic data. Companies are on notice that they shouldn’t be using dark patterns to get consent.	FTCは、遺伝子データの使用と開示に関する「同意」の取得を含め、欺瞞的または不公正な暗黒パターンに異議を申し立ててきた強力な実績がある。Amazon/Prime、Publishers Clearinghouse、Vonageのような最近の強制措置は、FTCが違法とされるダーク・パターン（消費者が故意に同意しないような意思決定を強要する操作的なデザイン）に挑戦することに高い優先順位を置いていることを示している。CRIジェネティックスの件は、この点を補強している。訴状によると、同社は消費者をさらに購入させるために、混乱させるようなポップアップや案内、偽の「報酬」、主張する緊急性など、ダークパターンを使用していた。違法なダークパターンとの戦いが続く中、CRIジェネティクス社とVitagene社の両社に対する命令では、遺伝子データの今後の使用や開示について、「肯定的明示的同意」（ダークパターンの使用を排除する同意）を得るよう求めている。企業は、同意を得るためにダークパターンを使うべきではないことを知らされている。
Don’t commit a foul when changing the rules of the game. The Vitagene order includes that “affirmative express consent” requirement because the company had allegedly changed its terms on a key issue – but the company didn’t get real consent from consumers for this material retroactive change. According to the complaint, changing the rules of the game in the privacy policy was unfair, even though the company hadn’t yet implemented the change. The bottom line is that consumers should know what to expect from your data practices. A bait-and-switch approach to collecting personal information (especially genetic data) doesn’t fit with the FTC Act’s requirements.	ゲームのルールを変えるときに反則を犯してはならない。Vitagene社の命令には、同社が重要な問題に関して規約を変更したとされるため、その「肯定的明示的同意」要件が含まれている-しかし、同社はこの重大な遡及的変更について消費者から真の同意を得ていない。訴状によると、プライバシーポリシーでゲームのルールを変更することは、同社がまだその変更を実施していなかったにもかかわらず、不公正であったという。要するに、消費者は貴社のデータ慣行に何を期待すべきかを知るべきだということだ。個人情報（特に遺伝子データ）を収集するためのおとり商法的なアプローチは、FTC法の要件に適合しない。
Nothing but the truth. According to the FTC’s complaint in Vitagene, the company made detailed privacy promises – for example, about how it stored genetic data and destroyed genetic samples – but didn’t deliver on those promises.  The company made these promises prominently (a good thing!), including on a page dedicated to genetic privacy. But, according to the complaint, rather than storing genetic data without identifying information, it stored results with names and other personal information. When the time came to delete genetic data, the company couldn’t delete it because they didn’t even know where some of it was stored – meaning that they broke that promise, too. And the company failed to have a process in place – through contractual obligations, in particular – to ensure that third-party labs destroyed genetic samples after testing. The upshot: If you’re selling genetic testing products (or any product, for that matter), you owe consumers nothing less than the truth.	真実以外の何ものでもない。Vitagene社におけるFTCの訴状によると、同社は、例えば、遺伝子データの保存方法や遺伝子サンプルの破棄方法など、詳細なプライバシーに関する約束をしたが、その約束を履行しなかった。 同社は、遺伝子のプライバシーに特化したページを含め、これらの約束を目立つようにした（良いことだ！）。しかし、訴状によると、同社は遺伝子データを識別情報なしで保存するのではなく、名前やその他の個人情報とともに保存していた。遺伝子データを削除する時期が来ても、同社はその一部がどこに保存されているのかさえ知らなかったため、削除することができなかった。また、同社は、特に契約上の義務を通じて、サードパーティの研究所が検査後に遺伝子サンプルを確実に破棄するためのプロセスを整備していなかった。結論はこうだ： もしあなたが遺伝子検査製品（あるいはどのような製品であれ）を販売しているのであれば、消費者に対して真実以外の何ものでもない。
The consequences for ignoring these warnings can be significant. In both recent genetic testing matters, the companies ended up paying substantial financial settlements, either as civil penalties under California state law (CRI Genetics) or for consumers redress (Vitagene). Furthermore, the orders in both cases required the companies to delete or destroy certain valuable biometric data or materials. These remedies were on top of other order provisions, such as prohibitions on misrepresentations, required notice to consumers of the FTC’s action, mandates to obtain affirmative express consent for the future use or disclosure of genetic data, and a mandated security program with independent assessments. It’s clear that the consequences of non-compliance with the FTC Act and other laws can be significant. Your best bet is to stay on the right side of the law by following these lessons.	これらの警告を無視した場合の結果は重大である。最近の遺伝子検査に関する両事件において、企業はカリフォルニア州法に基づく民事罰（CRIジェネティクス社）、あるいは消費者の救済（Vitagene社）として、多額の金銭的和解金を支払うことになった。さらに、両事件の命令は、企業に対し、特定の貴重なバイオメトリック・データや資料を削除または破棄することを要求した。これらの救済措置は、不当表示の禁止、FTCの措置に関する消費者への通知の義務付け、遺伝子データの将来的な使用または開示に関する肯定的な明示的同意の取得の義務付け、独立機関による評価を伴うセキュリティプログラムの義務付けなど、他の命令規定に加えて行われた。FTC法やその他の法律を遵守しなかった場合の結果が重大なものになることは明らかである。最善の策は、これらの教訓に従って法の正しい側にとどまることである。

 

つぎにデータブローカ...

・2024.01.19 What goes on in the shadows: FTC action against data broker sheds light on unfair and deceptive sale of consumer location data

 

What goes on in the shadows: FTC action against data broker sheds light on unfair and deceptive sale of consumer location data<	影で何が起こっているのか： データ・ブローカーに対するFTCの措置は、消費者の位置情報の不公正で欺瞞的な販売に光を当てるものである。
SCENE:   A crowded city or a dark street. (Cue ominous music)	シーン：混雑した街や暗い通り。(不吉な音楽が流れる）
ACTION:  The camera focuses on the protagonist as they make their way to a location – maybe it’s a place of worship, a doctor’s office, or a reproductive health clinic. They think they’re alone, but what they don’t know is that they’re being tailed. What’s more, highly personal information regarding their whereabouts will be shared with third parties, all without their knowledge or consent.	アクション：カメラは主人公に焦点を合わせ、ある場所（礼拝所、医院、生殖医療クリニックなど）に向かう。彼らは自分たちだけだと思っているが、尾行されていることを知らない。しかも、彼らの居場所に関する極めて個人的な情報が、彼らの知らないところで、あるいは同意なしに第三者と共有されるのだ。
A private eye novel? A detective thriller on a streaming service? No. According to a proposed settlement announced by the FTC, it was all in a day’s work for data broker X-Mode Social, which has billed itself as the “2nd largest US location data company.” The FTC says X-Mode and its corporate successor Outlogic, LLC sold consumers’ raw location data without their informed consent and without placing effective limits on how X-Mode’s customers used the sensitive information it bought from X-Mode.	私立探偵小説？ストリーミングサービスの探偵スリラー？いや、FTCが発表した和解案によると、データブローカーであるX-Mode Socialは、自らを "米国第2位の位置情報データ会社 "と称している。FTCによると、X-Modeとその後継企業であるOutlogic, LLCは、消費者の生の位置情報データを、消費者のインフォームド・コンセントなしに、またX-Modeの顧客がX-Modeから購入した機密情報をどのように使用するかに効果的な制限を設けることなく販売していたという。
Data broker X-Mode collected precise consumer geolocation data from a wide variety of sources: third-party apps with X-Mode’s software development kit (SDK) built in, its own mobile apps, and information it bought from other data brokers and aggregators. The company then compiled consumers’ location data and sold it to hundreds of clients for advertising, brand analytics, and other marketing purposes. According to the complaint, the company also sold it to private government contractors. The FTC says this was done without consumers’ informed consent and without disclosing all of the purposes for which consumers’ data would be used. And it’s the reality of the data broker industry that, in many cases, consumers had no idea who X-Mode is or that they were X-Mode’s “product.”	データブローカーのX-Modeは、X-Modeのソフトウェア開発キット（SDK）が組み込まれたサードパーティーのアプリ、自社のモバイルアプリ、他のデータブローカーやアグリゲーターから購入した情報など、さまざまなソースから消費者の正確な位置情報を収集した。同社はその後、消費者の位置情報をまとめ、広告、ブランド分析、その他のマーケティング目的で数百のクライアントに販売した。訴状によると、同社はそれを民間の政府請負業者にも販売していた。FTCによると、これは消費者のインフォームド・コンセントなしに、また消費者のデータが使用されるすべての目的を開示することなく行われたという。そして、多くの場合、消費者はエックスモードが誰なのか、あるいは自分がエックスモードの "商品 "であることを知らなかったというのが、データ・ブローカー業界の現実である。
How personal was the data X-Mode compiled and sold? It wasn’t an anonymous aggregation of zeroes and ones. According to the FTC, the data X-Mode sold was capable of matching an individual consumer’s mobile device with the exact locations they visited. (In fact, some companies offer services to match that data to individual consumers.) How targeted was the information? X-Mode advertised that its location data “is 70% accurate within 20 meters or less.” And how vast was the data set X-Mode collected? According to the complaint, “Through its own apps, partner apps, and other data brokers, X-Mode daily has ingested over 10 billion location data points from all over the world.”	X-Modeが集計し、販売したデータはどの程度個人的なものだったのだろうか？それは、匿名の0と1の集合体ではなかった。FTCによると、X-Modeが販売したデータは、消費者個人のモバイル・デバイスと、彼らが訪問した正確な場所を照合することが可能だったという。(実際、そのデータと個々の消費者を照合するサービスを提供している企業もある）。X-Modeの位置情報はどの程度的を絞っていたのだろうか？X-Modeは、その位置情報は「20メートル以内の精度が70％」と宣伝していた。X-Modeが収集したデータセットはどれほど膨大なものだったのか？訴状によると、「自社アプリ、パートナーアプリ、その他のデータブローカーを通じて、X-Modeは毎日世界中から100億以上の位置情報データを収集している」という。
The FTC says that until May 2023, the company didn’t have policies in place to remove sensitive locations from the raw location data it sold. In addition, the company didn’t implement appropriate safeguards for how its clients used that data, putting consumers’ sensitive personal information at risk. The complaint also alleges the company failed to employ necessary technical safeguards and oversight to ensure that it honored requests by some Android users to opt out of tracking and personalized ads.	FTCによれば、同社は2023年5月まで、販売した生の位置情報データから機密性の高い位置情報を削除するポリシーを持っていなかったという。さらに、同社はクライアントがそのデータをどのように使用するかについて適切な保護措置を講じておらず、消費者の機密個人情報を危険にさらしていた。さらに同社は、トラッキングやパーソナライズされた広告のオプトアウトを求める一部のアンドロイド・ユーザーの要求に応じるために、必要な技術的セーフガードや監督を怠っていたとしている。
The complaint describes the kinds of threats to consumers’ privacy posed by X-Mode’s conduct. For example, “[T]he location data could be used to track consumers who have visited women’s reproductive health clinics and as a result, may have had or contemplated sensitive medical procedures such as an abortion or in vitro fertilization. Using the data X-Mode has made available, it is possible for third parties to target consumers visiting such healthcare facilities and trace that mobile device to a single-family residence.”	訴状では、エックスモードの行為が消費者のプライバシーにもたらす脅威の種類を説明している。例えば、「位置情報は、女性のリプロダクティブ・ヘルス・クリニックを訪れた消費者を追跡するために使用される可能性があり、その結果、中絶や体外受精などのデリケートな医療処置を受けた、または考えている可能性がある。X-Modeが利用可能にしたデータを使えば、第三者がそのような医療施設を訪れた消費者をターゲットにし、そのモバイル・デバイスを一戸建ての住宅まで追跡することが可能になる」。
Furthermore, X-Mode has used consumers’ geolocation data to create catalogs of people with shared characteristics and has even created custom lists for clients. For example, X-Mode had a contract with a private clinical research company to provide information about consumers who had visited certain medical offices in the Columbus, Ohio area – data the company wanted for marketing purposes.	さらに、エックスモードは消費者のジオロケーションデータを利用して、共通の特徴を持つ人々のカタログを作成し、クライアントのためにカスタムリストを作成したこともある。たとえば、X-Modeは民間の臨床研究会社と契約し、オハイオ州コロンバス地域の特定の医療機関を受診した消費者に関する情報を提供していた。
The seven-count complaint charges X-Mode/Outlogic with multiple instances of unfair or deceptive conduct, in violation of the FTC Act. To settle the case, the company has agreed to make major changes to how it does business going forward. Among other things, the proposed order puts substantial limits on sharing certain sensitive location data and requires the company to develop a comprehensive sensitive location data program to prevent the use and sale of consumers’ sensitive location data. X-Mode/Outlogic also must take steps to prevent clients from associating consumers with locations that provide services to LGBTQ+ individuals or with locations of public gatherings like marches or protests. In addition, the company must take effective steps to see to it that clients don’t use their location data to determine the identity or location of a specific individual’s home. And even for location data that may not reveal visits to sensitive locations, X-Mode/Outlogic must ensure consumers provide informed consent before it uses that data. Finally, X-Mode/Outlogic must delete or render non-sensitive the historical data it collected from its own apps or SDK and must tell its customers about the FTC’s requirement that such data should be deleted or rendered non-sensitive.	7つの訴因からなる訴状は、X-Mode/Outlogic社をFTC法に違反する複数の不公正または欺瞞的行為で告発している。この訴訟を解決するため、同社は今後のビジネス方法を大幅に変更することに同意した。特に、今回の命令案では、特定の機密位置情報の共有に大幅な制限を設け、消費者の機密位置情報の使用と販売を防止するための包括的な機密位置情報プログラムの開発を同社に要求している。また、X-Mode/Outlogic社は、LGBTQ+の人々にサービスを提供する場所や、行進や抗議活動のような公共の集まりの場所と消費者が関連付けられることを防ぐための措置を講じなければならない。さらに同社は、クライアントが特定の個人の身元や自宅の場所を特定するために位置情報を使用しないよう、効果的な措置を講じなければならない。また、機密性の高い場所への訪問を明らかにしない位置情報データであっても、X-Mode/Outlogicは、そのデータを使用する前に、消費者がインフォームド・コンセントを提供することを保証しなければならない。最後に、X-Mode/Outlogicは、自社のアプリやSDKから収集した履歴データを削除するか、非機微なものにしなければならず、そのようなデータは削除するか、非機微なものにすべきであるというFTCの要求について顧客に伝えなければならない。
Another noteworthy aspect of the proposed settlement: X-Mode/Outlogic must give consumers an easy way to withdraw their consent for the collection and use of their location data, to require the deletion of any location data that was previously collected, and to request the identity of any individual and business to whom their personal data has been sold or shared. Once the proposed settlement is published in the Federal Register, the FTC will accept public comments for 30 days.	和解案でもう一つ注目すべき点がある： X-Mode/Outlogicは、位置情報の収集と使用に関する同意を撤回する簡単な方法を消費者に提供し、過去に収集された位置情報の削除を要求し、個人データが販売または共有された個人や企業の身元を要求しなければならない。和解案が連邦官報に掲載されると、FTCは30日間パブリックコメントを受け付ける。
The FTC’s action is this case suggests three fundamental principles about the privacy of consumers’ location data.	今回のFTCの行動は、消費者の位置情報のプライバシーに関する3つの基本原則を示唆している。
The status quo is a “no go” when it comes to the collection and sale of  consumer location information. Many companies have made a practice of suctioning up every available piece of location data and compiling mountains of highly sensitive information without consumers’ consent. What some businesses haven’t grasped – including some data brokers who operate behind the scenes and in the shadows – is that consumers’ personal information isn’t just another “raw material” for companies to exploit commercially. That’s especially true for location data. Just because your business has access to location information doesn’t mean you’re free to use it any way you choose.	消費者の位置情報の収集と販売に関しては、現状は「ノー・ゴー」である。多くの企業は、消費者の同意なしに、利用可能なあらゆる位置情報を吸い上げ、機密性の高い情報を山のようにまとめることを実践してきた。陰で暗躍するデータブローカーを含め、一部の企業が把握していないのは、消費者の個人情報は企業が商業的に利用するための単なる「原材料」ではないということだ。位置情報については特にそうだ。企業が位置情報にアクセスできるからといって、それをどのように使おうと自由というわけではない。
Contract clauses about data use are a start, but they’re not enough. According to the complaint, in some instances, X-Mode’s contracts with clients included clauses that at least facially appeared to put limits on third parties’ use of data – but words on a piece of paper aren’t enough. When the stakes are so high, privacy-conscious companies can’t just talk the talk. They need to take steps to ensure compliance.	データ利用に関する契約条項は手始めにはなるが、それだけでは不十分である。訴状によると、X-Modeの顧客との契約には、少なくとも表面的には第三者によるデータ利用に制限を設けるように見える条項が含まれている場合がある。しかし、紙に書かれた言葉だけでは十分ではない。利害が非常に大きくなるとき、プライバシーに配慮する企業は口先だけでは済まされない。コンプライアンスを確保するための措置を講じる必要がある。
Because the unauthorized and illegal trafficking in location data is a key concern for consumers and the FTC, it should matter to your company.  Whose responsibility is it to ensure that consumers have consented to the collection and sharing of their location information? Savvy businesses assume it’s theirs. That legal obligation is a two-way street. Information about particularly sensitive locations, like where people worship or seek medical help, shouldn’t be used at all. And don’t sell other location data – and don’t buy it – without proof of informed consumer consent. Although every participant in the location data marketplace is responsible for complying with the law, the FTC’s action in this case sends a specific message to location data brokers to re-evaluate their practices for legal compliance.	位置情報の不正かつ違法な売買は、消費者やFTCにとって重要な懸念事項であるため、貴社にとっても重要な問題であるはずだ。 消費者が位置情報の収集と共有に同意していることを確認する責任は誰にあるのだろうか？賢明な企業は、それが自社の責任だと考えている。その法的義務は双方向のものだ。人々が礼拝をする場所や医療を受ける場所など、特にセンシティブな場所に関する情報は、一切使用すべきではない。また、インフォームドコンセントを受けた消費者の証明なしに、他の位置情報を販売したり、購入したりしてはならない。位置情報市場のすべての参加者は法律を遵守する責任があるが、今回のFTCの措置は、位置情報データブローカーに対して、法律遵守のためにその慣行を再評価するよう具体的なメッセージを送っている。

 

つぎは子供のプライバシー...

これは、規則の改定案もあるので、別に書きますね。。。

・2024.01.11 FTC is taking another look at COPPA and kids’ online privacy – and we want your insights

FTC is taking another look at COPPA and kids’ online privacy – and we want your insights	FTCはCOPPAと子供のオンライン・プライバシーを再検討している。
The FTC announced proposed revisions to the Children’s Online Privacy Protection Act (COPPA) Rule on December 20, 2023. The online portal to file public comments is now open and the FTC welcomes your feedback by the March 11, 2024, deadline.	FTCは2023年12月20日、児童オンラインプライバシー保護法（COPPA）規則の改定案を発表した。現在、パブリックコメントを提出するためのオンラインポータルが開設されており、FTCは2024年3月11日の期限までに意見を提出することを歓迎している。
You’ll want to read the Notice of Proposed Rulemaking to see what’s on the table. Some of the suggested updates address changes in technology, such as limiting push notifications to kids. Others aim to clarify and streamline the COPPA Rule and strengthen data security. And still others are designed to strengthen how children’s personal information is protected online with an aim to ensure that parents – not companies – are in charge. For example, the proposal would require targeted advertising to kids to be off by default.	提案された規則がどのようなものであるかは、提案された規則作成の通知を読んでいただきたい。提案されている更新案の中には、プッシュ通知を子供に限定するなど、テクノロジーの変化に対応するものもある。また、COPPA規則の明確化と合理化、データセキュリティの強化を目指すものもある。また、企業ではなく保護者が主導権を握ることを目的に、子どもの個人情報をオンラインで保護する方法を強化するものもある。例えば、この提案では、子供向けのターゲット広告はデフォルトでオフにすることを義務付けている。
It's easy to let your voice be heard. Consider the questions asked in the Notice, read the proposed revisions to the COPPA Rule, and file a comment online through Regulations.gov. Simply click the SUBMIT A FORMAL COMMENT button and start typing.	あなたの声を届けるのは簡単だ。通知で問われている質問を検討し、COPPA規則の改定案を読み、Regulations.govを通じてオンラインで意見を提出する。SUBMIT A FORMAL COMMENT」ボタンをクリックして入力を始めるだけだ。
Don’t be put off by the word “formal.” Of course, we welcome submissions from researchers, academics, and businesses of any size, but comments don’t need to have footnotes or charts ‘n’ graphs. A critically important part of the public comment process is to listen to the practical perspectives of parents who deal with COPPA regularly. Let us know where you stand on the FTC’s proposal to strengthen the COPPA Rule.	形式的 という言葉に気後れしないでほしい。もちろん、研究者、学者、企業など、規模の大小を問わず提出を歓迎するが、コメントには脚注や図表は必要ない。パブリックコメントのプロセスで決定的に重要なのは、COPPAを日常的に扱っている保護者の実践的な視点に耳を傾けることである。FTCのCOPPAルール強化案について、あなたの立場を教えてほしい。
File your public comment by March 11, 2024.	2024年3月11日までにパブリックコメントを提出すること。