Howdy! How can we help you?
(Mozilla)自動車は、私たちがこれまでプライバシーについてレビューした中で最悪の製品カテゴリーである
(訳者まえがき)以下は、Mozillaが開設している*Privacy Not Included のサイトから、自動車に組込まれているさまざまなコンピュータやネット接続機能による利用者(ドライバーだけでなく同乗者も)の個人データの収集についてのレポート。調査は米国内で実施されているようなので、日本国内で販売されている車についても同様なのかどうかは別途調査が必要になると思う。なお、普段車を運転しない、車を持っていないから関係ない、ということにはならない。データ収集のターゲットには同乗者も含まれる。タクシーに乗っても同様のプライバシー侵害を被る可能性がある、ということになる。5Gの普及や自動運転によるデータ収集とプライバシーのリスクは前から指摘はされていたが、現状でもこれほどひどい状況だとは知らなかった。最後に、署名サイトへのリンクもあります。なお以下訳したのは、このレポートの概要で、各メーカーごとの詳細は別のページでレポート(英語)されている。ちなみに日本車についての詳細レポートは別に下記にある。(小倉利丸、2023/9/15)
Toyota Lexus https://foundation.mozilla.org/en/privacynotincluded/lexus/
Toyota https://foundation.mozilla.org/en/privacynotincluded/toyota/
Subaru https://foundation.mozilla.org/en/privacynotincluded/subaru/
Honda https://foundation.mozilla.org/en/privacynotincluded/honda/
Nissan https://foundation.mozilla.org/en/privacynotincluded/nissan/
自動車は、私たちがこれまでプライバシーについてレビューした中で最悪の製品カテゴリーである
By Jen Caltrider, Misha Rykov and Zoë MacDonald|2023年9月6日
ああ、髪をなでる風、前方の広い道路、そして何も気にしない…すべてのトラッカー、カメラ、マイク、センサーがあなたの一挙手一投足を捉えていることを除いては。うう。現代の自動車はプライバシーの悪夢だ。
自動車メーカーは何年も前から、自社の車が「車輪の上のコンピューター」であることを自慢し、その高度な機能を宣伝してきた。しかし、コンピュータを運転することが乗員のプライバシーにとってどのような意味を持つのかという話題は、あまり追いついていない。私たちがインターネットに接続するドアベルや腕時計が私たちをスパイしているのではないかと心配する一方で、自動車ブランドは自動車を強力なデータ収集マシンに変えることよって、ひそかにデータビジネスに参入した。自慢したくなるような装飾の数々によって、車の中で私たちが何をし、どこへ行くかを監視し、耳を傾け、情報を収集する比類ない力を持った機械となった。
私たちがリサーチした25の自動車ブランドはすべて、*Privacy Not Included[プライバシーが含まれない」という注意ラベルを獲得した。
私たちが調査した自動車ブランドは、プライバシーとセキュリティにおいて最悪である。
私たちが調査した自動車は、なぜこれほどまでにプライバシーに疎いのだろうか?そして、なぜ彼らは私たちの基準を大きく下回ってしまったのか?その理由を考えてみよう!
1. 彼らはあまりにも多くの個人データを収集している。
私たちはこの調査で25の自動車ブランドをレビューし、これらの企業がどのようにデータや個人情報を収集し、使用しているかについて25の「減点ding」を下した。その通り、私たちはどの自動車ブランドも、必要以上に個人データを収集し、私たちはその情報を、あなたの車の運行やあなたとの関係を管理するため以外の理由で使用している。ちなみに、私たちが今年レビューしたメンタルヘルス・アプリ(プライバシーにうるさいもうひとつの製品カテゴリー)の63%が、この “ding “を受けた。
そして、自動車会社は、私たちが使用する他の製品やアプリよりも多くのデータを収集する機会を持っている–家庭内のスマートデバイスやどこに行くにも持っていく携帯電話よりも多く。彼らは、あなたが車とどのように接するか、あなたが車で使用するコネクテッドサービス、車のアプリ(あなたの携帯電話の情報へのゲートウェイを提供する)から個人情報を収集することができ、シリウスXMやGoogle Mapsのようなサードパーティの情報源からあなたに関するさらに多くの情報を収集することができる。メチャクチャな話だ。自動車会社があなたのデータを収集し、共有する方法は非常に膨大で複雑であるため、私たちはそれがどのように機能するのかについての記事を書いた。要点は、彼らはあなたに関する超親密な情報を収集することができる、ということだ。あなたの医療情報、遺伝子情報、あなたの「性生活」(マジで)、あなたが運転するスピード、場所、車の中で流す曲まで、彼らは膨大な量の情報を収集することができる。そして、彼らはそれを使って、あなたの知性や 能力、興味といったものについての「推論」を通じて、あなたに関するさらなるデータを作り上げるのだ。
2. ほとんど(84%)があなたのデータを共有または販売している。
自動車ブランドを所有する巨大企業がすべての個人情報を所有し、自社の調査やマーケティング、あるいは極めて曖昧な “ビジネス目的 “のために使用することは、十分に悪質だ。しかし、私たちが調査した自動車ブランドのほとんど(84%)は、あなたの個人データをサービス・プロバイダーやデータ・ブローカーなど、私たちがほとんど何も知らない企業と共有することができると述べている。さらに悪いことに、19社(76%)があなたの個人データを売ることができると答えている。
また、驚くべき数(56%)の企業は、”要請 “に応じて政府や法執行機関とあなたの情報を共有することができると述べている。ハードルの高い裁判所命令ではなく、”非公式な要請 “のような簡単なものだ。これは非常に低いハードルだ!映画『テルマ&ルイーズ』を2023年に書き直せば、ポップコーンを食べる間もなく、彼女たちは逮捕されてしまうだろう。しかし真面目な話、自動車会社が喜んであなたのデータを共有するのは、不気味を通り越している。実害をもたらす可能性があり、私たちの最悪の車とプライバシーの悪夢を思い起こさせる。
そして、あなたの個人データを使って企業が何をしているのか、私たちが知っているのは、その情報を開示しないことを違法とするプライバシー法(カリフォルニア州消費者プライバシー法へGO!)のおかげであることも覚えておいてほしい。いわゆる匿名化され集計されたデータも、車両データハブ(自動車業界のデータブローカー)などと共有される可能性がある(そしておそらく共有されている)。つまり、あなたがAからBに移動している間、さまざまな方法でデータ・ビジネスにおけるあなた車の繁盛している副業に資金を提供していることになるのだ。
3. ほとんど(92%)が、ドライバーに自分の個人データをほとんど、あるいはまったくコントロールさせていない。
私たちがレビューした25の自動車ブランドのうち、2社を除くすべてがデータのコントロールについて「減点」を受けている。つまり、すべてのドライバーは自分の個人データを削除する権利があるとしているのは、ルノーとダチア(同じ親会社に所有されている)の2つの自動車ブランドだけである。私たちは、この逸脱はドライバーのプライバシーのために身を挺しているひとつの自動車会社だと考えたい。しかし、この車がヨーロッパでのみ販売されているのは偶然ではないだろう–ヨーロッパは強固な一般データ保護規則(GDPR)のプライバシー法によって守られている。言い換えれば、自動車ブランドはしばしば、あなたの個人データに対して法的に逃げられることは何でもするのだ。
4. 最低セキュリティ基準を満たしているかどうか確認できなかった
出会い系アプリや性玩具が自動車よりも詳細なセキュリティ情報を公開しているのは、私たちにとってはとても不思議なことだ。私たちが調査した自動車ブランドは、それぞれいくつかの長ったらしいプライバシーポリシーを持っているにもかかわらず(トヨタが12個で勝利)、どのブランドも私たちの最低セキュリティ基準を満たしていることを確認することができなかった。
私たちが懸念しているのは、どの車も、その車に載っている個人情報をすべて暗号化しているかどうかがわからないということだ。これは必要最低限のことだ!結局のところ、私たちはそれらを最先端のセキュリティ基準とは呼んでいない。私たちは(いつものように)Eメールで明確にするよう求めて連絡しようとしたが、ほとんどの自動車会社は私たちを完全に無視した。少なくとも回答してくれた会社(メルセデス・ベンツ、ホンダ、そして技術的にはフォード)は、基本的なセキュリティの疑問に完全には答えてくれなかった。
サイバーセキュリティに適切に取り組んでこなかったことが、率直に言って恥ずべきセキュリティとプライバシーの実績を物語っているのかもしれない。私たちは過去3年間しか調査していないが、それでも17の自動車ブランド(68%)がドライバーのプライバシーを脅かす情報漏えい、ハッキング、違反行為で「悪い実績」の評価を得ている。
一目でわかる: 自動車ブランドの評価
以下は、プライバシーとセキュリティの基準に対する各自動車のパフォーマンスである。
このランキングについて、あまり面白くない事実がある:
- テスラは、私たちがこれまでレビューした製品の中で、プライバシーに関する ” dings ” をすべて受けた唯一の2番目の製品である。(1つ目は今年初めにレビューしたAIチャットボットである。)テスラを際立たせたのは、「信頼できないAI」という評価を獲得したことである。このブランドのAIを搭載した自動運転は、17人の死亡事故と736件の衝突事故に関与したと報じられており、現在複数の政府調査の対象となっている。
- 日産は、私たちはこれまで見たこともないような気味悪いカテゴリのデータを収集したことで、最下位から2番目の座を獲得した。レビューを全文読む価値はあるが、あなたの “性的行為 “も含まれていることは知っておくべきだろう。負けじとKiaもプライバシーポリシーの中で、私たちはあなたの「性生活」に関する情報を収集することができると言及している。ああ、そして6つの自動車会社は、あなたの “遺伝情報 “や “遺伝的特徴 “を収集することができると述べている。そう、自動車のプライバシーポリシーを読むのは恐ろしいことなのだ。
- どの自動車ブランドも、政府や法執行機関と情報を共有することについて、Mozillaのプライバシー基準を満たすような表現は使用していないが、 Hyundaiはそれ以上のことをしている。彼らのプライバシーポリシーには、” 公式か非公式かを問わず、合法的な要請” に従うと書かれている。これは重大な赤信号だ。
- テスラ、ルノー、ダチアを除くこの自動車ブランドはすべて、米国の自動車業界団体ALLIANCE FOR AUTOMOTIVE INNOVATION, INC.の消費者保護原則リストに署名している。このリストには、”データの最小化”、”透明性”、”選択 “といったプライバシー保護のための素晴らしい原則が含まれている。しかし、これらの原則に従っている自動車ブランドの数は?ゼロである。自動車会社は、あなたのプライバシーを尊重するために何をすべきかを明確に知っているにもかかわらず、それを絶対に実行していないということだ。
どうすればいいのか?さて…
通常であれば、私たちのレビューを読んで、信頼できる製品を選ぶことをお勧めするところだ。しかし、クルマはそういうわけにはいかない。
もちろん、プライバシーを守るためにできることはいくつかあるし、私たちは、「自分自身を守るためのヒント」として、各レビューにそれらをすべて掲載している。それらは間違いなく実行する価値がある。私たちは、あなたの車のアプリを使用しないようにしたり、あなたの携帯電話でその権限を制限することもできる。(多くのアプリは車両とプライバシーポリシーを共有しているため、私たちは常にあなたの携帯電話からどのデータが取得されたかを知ることができない。したがって、使用しないことで慎重を期した方がいいだろう) しかし、コントロールできないデータ収集に比べれば、このステップは巨大なバケツの中の小さな一滴のように感じられる。加えて、あなたはプライバシーを放棄することなく、有料で提供されるすべての機能の恩恵を受ける権利がある。
選択肢の欠如は、自動車とプライバシーについて調べる中で、本当に大きな不満のひとつだった。なぜなら、消費者の選択肢は自動車では多くの点で限られているからだ。というのも…
クルマは皆ダメだ
それは次のような理由だ。
人々はプライバシーに基づいて車を比較購入したりはしない。そして、それを期待すべきではない。というのも、自動車購入者には他にも多くの制約要因があるからだ。コスト、燃費、入手可能性、信頼性、必要な機能などだ。仮にあなたが資金とリソースを持っていたとしても、プライバシーに基づいて車を比較検討することは難しいだろう。というのも、私たちの調査によれば、どれもこれもダメだからだ!その上、クルマとプライバシーの研究は、プライバシー研究者である私たちにとって、これまでで最も困難な仕事のひとつだった。自動車、自動車アプリ、自動車コネクテッドサービスなどのプライバシーポリシーの大規模で混乱したエコシステムを分類することは、ほとんどの人々には時間も経験もないことだ。
先にも述べたように、私たちが調査したすべての自動車は、*Privacy Not Includedの注意ラベルを獲得している。私たちが調査したすべての自動車ブランドは、「データ使用」と「セキュリティ」の警告を受けたが、ほとんどのブランドはデータコントロールが不十分で、過去の実績も悪いという警告を受けた!私たちは、製品ガイド全体が注意ラベルを貼られることがどれほどひどいことか、そしてどれほど普通でないことか、いくら強調してもしきれない。
非常に面倒だ
私たちは、自動車ブランドのプライバシー慣行の調査に600時間以上を費やした。1つの製品につき、通常の3倍の時間を費やしたことになる。それでもなお、多くの疑問が残った。どのプライバシーポリシーも、あなたのデータがどのように使用され、共有されるかの全体像を保証するものではない。もし3人のプライバシー研究者がクルマで何が起こっているのかの真相にたどり着くのがやっとだとしたら、時間に追われる平均的な人間に勝ち目があるのだろうか?
しかし、まだある!「同意」は幻想である
多くの人々は運転を必要とするライフスタイルを持っている。そのため、スマートな水道栓や音声アシスタントとは異なり、自動車を運転しないことを選択する自由はない。私たちは以前、企業があなたの同意を操作することができる巧妙な方法について述べたことがある。自動車会社も例外ではない。多くの場合、企業はあなたの同意を無視する。時には、同意を前提とすることもある。自動車会社は、あなたが自社のクルマに乗る前にそのポリシーを読み、同意したとみなすのだ。スバルのプライバシーポリシーによれば、コネクテッドサービスを利用する車の同乗者であっても、車内にいるだけで個人情報を使用し、販売することに「同意」したことになる。
だから、自動車会社があなたの「同意」を得ている、あるいは「同意なしには」何かをしないと言うとき、それはしばしば本来の意味とは異なっている。テスラが言うように、確かにそうだ!データ収集をオプトアウトすることはできるが、車が壊れてしまうかもしれない。
「私たちがあなたのテスラ車から車両データやその他のデータを収集することを望まない場合は、私たちに連絡して接続機能を停止してください。注意事項として、無線アップデート、リモートサービス、モバイルアプリケーションとの双方向性、および位置検索、インターネットラジオ、音声コマンド、ウェブブラウザ機能などの車載機能などの一部の高度な機能は、このような接続に依存している。私たちは、(車内データ共有設定を除いて)車両データ収集をオプトアウトすることを選択した場合、あなたのクルマに当てはまる問題をリアルタイムで知ることも通知することもできなくなる。その結果、あなたの車両が機能低下、重大な損傷、または操作不能に陥る可能性がある」
https://www.tesla.com/legal/privacy
テスラのカスタマー・プライバシー通知
私たちが調査したいくつかの自動車会社は、あなたの同意を操作することをさらに一歩進め、他者から「同意」を得ることにあなたを加担させ、あなたの車のプライバシーポリシーを他者に知らせるのはあなたの責任だと述べている。例えば、日産があなたに「サービスやシステムの特徴や制限、データの収集や使用、プライバシーに関する条件を含む本契約の条件、日産のプライバシーポリシーについて、あなたの車のすべてのユーザーや乗員に教育し、知らせることを約束する」ように仕向けているように。OK、日産!この台詞を起草した社交的な人物にぜひ会ってみたいものだ。
心配はまだ早い!あなたにもできることがある!
おいおい、まだドライビンググローブを捨てるなよ!状況が絶望的だと言っているのではない。私たちが言いたいのは、この場合存在しない「より良い選択」をするために消費者に負担を強いるのはフェアではないということだ。そして私たちは、自動車会社を見習って、9,461語のプライバシーポリシーを車のドアを開ける人全員に暗唱させるような、合理的な人なら決してやらないようなことをあなたに求めるつもりはない。
私たちの調査を読むだけで、あなたはすでにこの言葉を広める手助けをしてくれている。私たちの願いは、認知度が高まることで、他の人たちも自動車会社のひどいプライバシー慣行について責任を問うようになることだ。しかし、それだけではない。Mozilla コミュニティを代表して、私たちは自動車会社に対して、自分たちの利益にしかならない膨大なデータ収集プログラムをやめるように求めている。ぜひ参加してほしい!
自動車会社にドライバーのプライバシーを尊重し、私たちは極めて個人的な情報を収集、共有、販売することをやめるよう求める署名にあなたの名前を追加してください。
ジェン・カルトライダー
人工知能の修士号を取得するために働いていたとき、私はコードを書くよりもストーリーを語る方が得意だということに気づいた。この発見が、CNNでテクノロジーを担当するジャーナリストとしての興味深いキャリアにつながった。私の人生における真の情熱は、自分が見つけた世界よりも少し良い世界を残すことだった。それが、私たち全員のためにより良いプライバシーを守るために闘うMozillaの*Privacy Not Includedの機能を作り、率いる理由である。
ミーシャ・リコフ
キエフ出身でベルリンを拠点とする Misha は、Mozilla のプライバシー活動に参加する前は、ビッグテックとセキュリティコンサルティングで仕事をしていた。ミーシャは調査的なストーリーテリングが好きで、面倒なプライバシーポリシーが嫌いだ。ミーシャは、より強くスマートなプライバシー規制と、より安全なインターネットの提唱者である。
ゾーイ・マクドナルド
ゾーイはカナダのトロントを拠点とするライター兼デジタル戦略家である。デジタル上の権利への情熱が彼女をMozillaと*Privacy Not Includedに導く前は、サイバーセキュリティとeコマースについて書いていた。仕事でプライバシーオタクになっていないときは、自宅でスマートデバイスを横目で見ている。