以下の文章は、電子フロンティア財団の「Cars (and Drivers): 2024 in Review」という記事を翻訳したものである。
新車を購入したのは、ここ10年ほどの間だろうか。もしそうなら、あなたの愛車には最新スマートフォンも顔負けの先端技術が搭載されているかもしれない。センサー、カメラ、位置追跡用のGPS――現代の自動車は、そのデータを収集している。そして多くの場合、収集されたデータは外部と共有されている。
知らないうちに共有される大量のデータ
自動車のプライバシーを巡る状況は、ここ数年で劇的な変化を遂げてきた。そして今年3月、New York Timesの報道によって、事態は一変した。G.M.がドライバーの運転習慣に関する情報を保険会社と共有していたのだ。しかも、ドライバーの同意を得ることなく。
調査が進むと、他の自動車メーカーも巧妙な手口で同様の行為を行っていたことが判明した。メーカーはその欺瞞的なデザインを用いて、ユーザが気づかないうちにデータ共有プログラムへの参加を承諾させていたのだ。我々は直ちに、自分の車がどのようなデータを収集し、誰と共有しているのかを確認する方法をまとめた。しかし、こ自動車やインフォテインメントシステム、メーカー純正アプリの仕様は統一されておらず、ドライバーが自分のデータの行方を追跡することは極めて困難だ。データ共有を解除する作業となれば、なおさらである。
そんな中、上院議員のロン・ワイデンとエドワード・マーキーが、連邦取引委員会に宛てて調査を促す書簡を送付した。我々はこの動きを心強く感じている。事態は明白だ。自動車メーカーには、我々の運転履歴や位置情報をデータブローカーや保険会社に売るべきではなく、どのデータが誰と共有されているのかを、これほどまでに不透明にすべきでもないはずだ。
虐待被害者を守るための法案を求めて
現代の自動車が収集するデータ量は、誰にとっても無視できない問題である。しかし、虐待に苦しむ人々にとって、追跡は悪夢以外の何物でもない。
今年、カリフォルニア州では、車両追跡からDV被害者を守るための法案が3つ提出された。我々は当初、S.B. 1394とS.B. 1000に期待を寄せていた。提出時の両法案は、加害者が新たなストーカーや嫌がらせの手段として悪用する余地を生み出すことなく、さまざまな状況下にある被害者を支援できる内容だった。具体的には、被害者から要請があった場合、自動車メーカーは2営業日以内に加害者の車両接続サービスへのリモートアクセスを遮断することが義務づけられていた。被害者は要請の際、自分の名前がローンや所有権に記載されていなくても、その車両を使用する権利があることを証明すれば良かった。
しかし、3つ目のA.B. 3139は異なる道を選んだ。同法案のアプローチでは、被害者からの要請と証明書類の提出を待ってからアクセスを遮断するのではなく、まず即座にアクセスを遮断し、必要書類は後日(最大7日以内)の提出を認めるというものだった。その後、S.B. 1394とS.B. 1000もこの「まず行動、後で確認」という枠組みに修正された。このアプローチには一定の利点がある。虐待の証拠書類を持たず、加害者の所有する車両で直ちに逃げ出す必要のある被害者を救うことができる。しかし同時に、深刻な問題も抱えている。加害者が被害者に対するストーキングや嫌がらせ、虐待の手段として悪用されるおそれもある。これらの法案は最終的にS.B. 1394として一本化されたが、我々が懸念する条項の一部は残されたままとなっている。
自動車から広がる新たなプライバシーの課題
自動車のプライバシー問題は、車両本体にとどまらない。自動車の所有に付随する様々な要素が、モバイルプライバシーの課題を抱えている。
今年、我々はカリフォルニア州でA.B. 3138と戦った。この法案は、デジタルナンバープレートにGPS技術を追加し、追跡を容易にすることを目指すものだった。残念ながら法案は可決されてしまったが、位置情報のプライバシーは今後も我々が闘い続けるべき重要な課題である。
また、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁が発表した公報についても詳しく解説した。この公報は、Motorola SolutionsのVigilant ALPRs(自動車ナンバー自動読取装置)における7つの脆弱性を指摘するものだ。暗号化の欠如や不十分な認証情報の保護など、深刻な問題が浮き彫りになった。その影響範囲は驚くべきものである。EFFの調査によると、カリフォルニア州のわずか80の機関が、主にVigilantの技術を使用して2022年に16億件以上のナンバープレートスキャン(CSV)を収集していた。このデータがあれば、人々をリアルタイムで追跡し、その「生活パターン」を把握し、さらには人間関係や関係者まで特定できてしまう。
もう一つの重要な課題が、デジタルIDの普及である。運転には免許が必要だが、各州は従来の運転免許証に代わるデジタルIDの提供を進めている。我々はカリフォルニア州のモバイルIDアプリを詳細に分析し、公平性やプライバシーに関わるさまざまな課題について論じた。さらに、州がモバイルIDを提供している場合、それを利用することで本当にメリットが得られるのかを判断するためのFAQも作成した。デジタルIDは、プライバシーとセキュリティに関する未解決の問題に加え、インターネット上での政府主導の年齢確認に利用される可能性もあり、今後数年間にわたって注視すべき重要な課題となるだろう。
自動車を巡るプライバシーの問題は、日に日に重要性を増している。そのため、議会と州には包括的な消費者データプライバシー法の制定が求められる。この法律には、強力なデータ最小化規則と明確なオプトイン同意の要件が盛り込まれなければならない。データプライバシー法というと、コンピュータやスマートフォン、IoTデバイスを対象としたものというイメージが強いかもしれない。しかし、自動車にも同様の、いやむしろより一層強力な保護が必要とされているのだ。
本稿は、我々EFFの「Year in Review」シリーズの一部である。2024年のデジタルライツをめぐる戦いに関する他の記事はこちら。
Cars (and Drivers): 2024 in Review | Electronic Frontier Foundation
Author: Thorin Klosowski / EFF (CC BY 3.0 US)
Publication Date: https://unsplash.com/photos/person-driving-car-during-daytime-DXM34qdbOEc
Translation: heatwave_p2p
Material of Header image: Clay Banks
