コインベースが生体認証データ収集をめぐる訴訟に直面
ナスダック上場の仮想通貨取引所コインベース(Coinbase)は、ユーザーの顔や指紋のスキャンから不当に利益を得ていると非難されていることが明らかになった。
コインベースが、イリノイ州の生体認証プライバシー法に違反して、顧客の顔型や指紋を違法に収集して、カリフォルニア州北部地区で提訴された。
ある顧客はこれに対して、同取引所がユーザーの指紋や顔のスキャンを収集・保存する際に、イリノイ州のプライバシー法に違反していると訴えた。原告のマイケル・マッセル(Michael Massel)氏は、仮想通貨取引所では認証のために政府発行のIDとセルフィーをアップロードし、モバイルアプリのログインに生体認証(指紋スキャン)を設定するようユーザーに求めていると説明しており、次のように語っている。
Coinbaseは、特にCoinbaseとそのオンラインアプリベースプラットフォームをさらに強化するために、ユーザーの生体データを収集、保管、所有、その他の方法で入手、使用、普及させています。
これに対して同取引所は、次のように主張している。
顔の形状および指紋スキャンは、各ユーザーに関連するユニークで永続的な生体認証であり、盗まれたり危険にさらされたりしても、変更したり置き換えることはできません。ユーザーのバイオメトリックデータを違法に収集、取得、保管、使用することで、ユーザーは深刻かつ不可逆的なプライバシーリスクにさらされます。
BIPA法ではユーザーに対して同意が必要
イリノイ州のBIPA(バイオメトリクス情報プライバシー法[Biometric Information Privacy Act])では、そのようなデータ収集の目的を宣言しなければならず、ユーザーはどれくらいの期間保存するのかを認識しなければならないと明記されている。
BIPAは、近年、幅広い業種の企業を相手にした訴訟の大きな推進力となっており、企業が指紋や顔のスキャンなどのバイオメトリックデータを収集する前に同意を得ること、そしてデータの保存期間をユーザーに知らせることを求めている。訴状によると同取引所は、無数のイリノイ州の住民から、何千もの「顔テンプレート」(顔の非常に詳細な幾何学的マップ)と指紋を作成、収集、保存。そのようなユーザーの詳細情報を収集・保存することは、高度で不可逆的なプライバシーリスクをもたらすと指摘している。
そのため、この訴訟では、意図的なBIPA違反につき5,000ドル(約67万円)、もしくは申し立てられた違反が意図的でなかったと裁判所が判断した場合は1,000ドル(約135,000円)の損害賠償を求めているとのこと。また、この訴訟で発生する弁護士費用やその他の裁判費用については、同取引所が負担することになる可能性も示唆されている。
一方で、イリノイ州BIPAはさらなる訴訟の可能性を明らかにしており、企業、会社、団体が顧客の生体データを収集する前に、顧客の同意を得ることを要求する法律であるとされている。最も注目すべきは、2021年にバイナンス(Binance)が、イリノイ州のBIPAに違反したとして、ユーザーから同様の訴訟に直面している。
