EFF、ACLU、EPIC、CDT、シカゴ性的搾取反対同盟、PIRG、ルーシー・パーソンズ・ラボなどの公民権団体は、イリノイ州最高裁判所にアミカス書簡を提出し、イリノイ州生体認証情報プライバシー法(BIPA)のプライバシー保護を維持するよう求めている。
ローゼンバッハ対シックスフラッグス
この弁論要旨は、アレクサンダー・ローゼンバック氏をめぐる訴訟で提出された。ローゼンバック氏は、シックス・フラッグス遊園地が書面による同意なしに指紋をスキャンし、保管したと訴えた10代の少年だった。この訴訟がイリノイ州最高裁判所に持ち込まれる前に、控訴裁判所は、シックス・フラッグスが指紋を収集したことでローゼンバック氏に何らの損害も生じていないため、ローゼンバック氏には訴訟当事者としての資格がないとの判決を下した。
しかし、EFFとそのアミカス氏は、BIPAは「本法違反によって被害を受けた者」に、違反企業を訴える権利を与えていると主張した。州最高裁判所は、ローゼンバッハ氏がオプトイン同意なしに指紋を採取されたことで「被害を受けた」のか、あるいは更なる損害を証明する必要があったのかを判断する必要がある。
公民権団体は、シックス・フラッグスのこの行為は、2008年に初の生体認証プライバシー法を可決したイリノイ州において、ローゼンバック氏のプライバシー権を深刻に侵害するものだったと主張している。BIPAは、グーグルとフェイスブックが現在廃止しようとしている法律でもある。
生体認証収集:増大するプライバシーリスク
EFFは、生体認証情報の収集は人々のプライバシー権に対する脅威となりつつあると主張しました。写真、音声、指紋など、この種の情報は遠隔から取得できる場合が多いためです。そのため、一部の専門家は生体認証情報はパスワードではなくユーザー名として利用すべきだと考えています。
その主張は、ユーザー名として使用される生体認証情報が盗まれた場合、生体認証の詳細をパスワードとして使用した場合と比較して、現在スマートフォンやラップトップに実装されている方法では、それを使ってできることは限られているというものである。
EFFはまた、企業に生体認証データやその他の機密データ、あるいは個人情報を提供する前に明示的な同意を求める他のプライバシー法も、まもなくBIPAに加わると主張した。さらに、これらの法に違反した企業に対する訴訟を認めることは、これらの法の執行を確実にする効果的な方法となるだろう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
生体認証に愛を活用する
多くの企業や政府は、生体認証の人気に便乗し始めています。デバイス内のハードウェアセキュリティモジュールに指紋の暗号ハッシュを保存することに同意した人は、生の指紋データが安全でない可能性のあるサーバー上の中央データベースに保存されることに自動的に同意するかのように振る舞う傾向があります。しかし、アカウントのパスワードは盗まれても変更できますが、指紋データは一度盗まれたら、ユーザーは指紋を「変更」することはできません。技術的には、誰かに指紋を盗まれた場合、その指紋を二度と認証に使用すべきではありません。
この問題は、社会保障番号(SSN)の使われ方と似ています。SSNは本来ユーザー名として使われるはずでしたが、特定のサービスのパスワードとして使われてしまいました。Equifaxのデータ漏洩を含む様々なデータ漏洩で、事実上すべてのアメリカ人のSSNが漏洩した今、彼らは個人情報詐取の大きなリスクにさらされています。
