以下の文章は、TorrentFreakの記事「La Liga Fined €250K For Breaching GDPR While Spying on Piracy」を翻訳したものである。
スペインのデータ保護当局AEPDは、サッカーリーグ「ラ・リーガ」(リーガ・エスパニョーラ)に25万ユーロの罰金を命じた。ラ・リーガのAndroid版公式アプリは、同リーグの試合を無断で放映する施設を特定する目的でユーザ端末のマイクやGPS機能を利用していたとして問題となっていた。
スペインサッカーリーグ「ラ・リーガ」は、世界中に数百万人のファンを抱えるサッカーリーグ最高峰の1つだ。
そのラ・リーガが提供するAndroid版公式アプリは、ファンにスケジュールや開始時間、試合結果などの最新情報を提供するためにさまざまな機能を備えている。
しかし、このアプリには驚くべき仕掛けが隠されていた。
この公式アプリは、ユーザの同意を得た上で、ファンの携帯電話をスパイ装置に変えていたのだ。アプリはマイクで周囲の情報を分析し、試合を無断で放映するバーやレストランの音に耳を傾けていた。こうしたShazamスタイルで収集される音声は、携帯電話のGPSデータと共に送信され、ライセンス料を支払わずに試合を放映する施設を特定するために利用されていた。
この機能の概要は、同アプリのプライバシーポリシーにも記載されており、そこには海賊行為の検出のためにも使用されると記されている。
「この機能は、(i) サッカーの消費に関する統計パターンの開発、(ii) ラ・リーガの試合の再送信の不正行為(海賊行為)の検出に用いることを目的としている」と昨夏この問題が明らかになった際、ポリシーでは述べられていた(訳註:日本語記事)。
この機能は議論を引き起こしたものの、ラ・リーガは機能の正当性、アプリユーザの同意の有効性に自信を持っていたようだ。だが、スペインのデータ保護当局AEPDはそうは考えなかった。
そして、AEPDはラ・リーガに25万ユーロもの罰金を科した。
AEPDは、ラ・リーガの行為が複数のGDPR規則に違反しており、デバイスに内蔵されたマイクが動作する際に同意を得ることを怠ったとしている。
ラ・リーガは声明で、AEPDの判断について「まったく受け入れがたい」と反論し、「テクノロジーの仕組みを理解する努力を怠っている」と述べている。ラ・リーガは、GDPRをはじめとする関連データ保護規制を遵守していると主張し、法廷闘争も辞さない構えを明らかにした。
彼らは、アプリがユーザのマイクの使用について「明示的かつ積極的に、2度に渡って同意を求めている」ことを強調し、ユーザの会話を「記録・保存・聞く」ことはないと主張する。
「使用されているテクノロジーは、特定のサウンド・フットプリント(音響指紋)のみを生成するよう設計されている。この指紋には情報の0.75%しか含まれておらず、残りの99.25%は破棄されるため、音声や人間の会話として解釈することは技術的に不可能である。このフットプリントは、元の音に復元できない英数字コード(ハッシュ)に変換されている」と説明する。
AEPDは、アプリの海賊版検出機能が実行される際に、ユーザに適切に通知する新しい仕組みを導入するようラ・リーガに命じている。しかしラ・リーガは、今シーズンの終了時(2019年6月30日)には機能が無効になるため、実装する必要はないと述べている。
「ラ・リーガは、ファンの体験を向上させる新たなテクノロジーとイノベーションを、引き続きテストし導入していく」と声明は締めくくられている。
La Liga Fined €250K For Breaching GDPR While Spying on Piracy – TorrentFreak
Publication Date: June 12, 2019
Translation: heatwave_p2p
Material of Header Image: Mpho Mojapelo