英国のデータ監視機関に提出された苦情の中で、ソノスは有効な同意なしに「過剰な」量の個人データを取得しようとしたと非難されている。
この苦情は、テクノロジー弁護士のジョージ・ガーディナー氏が個人として提出したもので、ソノスのプライバシーポリシーが一般データ保護規則に準拠しているかどうか、および英国における同法の施行状況に異議を唱えている。
ソノスは、改訂されたプライバシー規約を無視する人々へのアップデートを拒否するだろう
続きを読む
同社は、ソノスが新しいプライバシーポリシーに同意するよう求められたユーザーから有効な同意を得ておらず、プライバシーバイデザインの要件を満たしていなかったと主張している。
同社は2017年夏、音声サービスの開始を理由に、ユーザーからより多くのデータを収集できるよう利用規約を変更した。ソノス社は、新しい利用規約に同意しないユーザーは、今後のソフトウェアアップデートをダウンロードできなくなると述べた。
Sonosは当時、これが事実上システムの文鎮化につながるとは否定していたが、いずれにせよ、この措置は利用規約に同意しないユーザー層を廃業に追い込むことになるだろう。システムを制御するアプリも最終的には機能しなくなるだろう。
しかし、ガーディナー氏は、セキュリティ上のリスクと高価なシステムを適切に維持することへの関心から、ソフトウェアを更新する以外に現実的な選択肢はほとんどないと指摘した。
その結果、プライバシー ポリシーの条件に強制的に同意することになり、同意したと見せかけたものも無効になりました。
「プライバシーポリシーに同意する以外に選択肢はない。そうしないと、3,000ポンド相当の役に立たないデバイスが手に入ることになる」と、彼はICOに提出し、The Registerに共有された苦情の中で述べた。
アカウントを設定するユーザーには、「『送信』をクリックすると、Sonosの利用規約とプライバシーポリシーに同意したことになります」というメッセージが表示されます。この「すべてかゼロか」というアプローチはデータ保護法に反すると彼は主張しました。
Sonos は、名前、電子メール アドレス、IP アドレス、および「Cookie または類似のテクノロジーによって提供される情報」の形式で個人データを収集します。
システムは、ユーザーが割り当てた部屋名、コントローラーデバイス、ユーザーが使用するデバイスのオペレーティングシステム、コンテンツソースに関するデータも収集します。
ソノス社は、このデータの収集と処理(ユーザーが拒否できないデータ)は「製品の継続的な機能とパフォーマンス、およびさまざまなサービスとのやり取り能力」に必要であると述べた。
しかしガーディナー氏は、ソノスがこれほど多くのデータを収集する必要があったのか疑問視し、2017年8月以前はシステムがデータなしでも機能していたと指摘した。同氏は音声認識を必要とする製品を所有していないと付け加えた。
「もちろん、動作するために大量の個人データを『必要とする』デバイスを設計することは可能です。それは設計上の選択です」と彼は訴状の中で述べている。「最小限の個人データしか必要としないデバイスを設計することも全く可能です。」
ガーディナー氏は訴状の中で、この追加的なスラーページにより、ソノス社がシステムの使用状況や、彼の音楽選択をソノス社または第三者のアカウントにリンクさせることで、同氏のプロファイルを作成できる可能性があると主張している。
苦情では、処理に正当な利益を利用することは個人のプライバシー権とのバランスを崩しており、「私の個人データを違法に収集し、処理するための白紙の言い訳として使われている」とも述べられている。
ガーディナー氏は、ソノスが保有する彼に関するデータのコピーを今のところ受け取っていないと述べた。同社がデータの送付を試みたが失敗し、再度の送付もなかったためだ。
同氏は、ICOがソノスが収集した同意とプライバシーポリシーの両方を無効と判断し、規約変更以降に収集したすべての個人データを削除するよう同社に命じることを望んでいると述べた。
ソノスは、収集したデータはデバイスの機能に必要だとし、顧客のデータを「これまで一度も販売したことはなく、今後も販売することはない」と付け加えて、主張を曲げなかった。
同社はまた、次のような決まり文句も発表した。「当社は顧客のプライバシーを非常に重視しており、当社のプライバシーポリシーは最新の法律に準拠しています。」
ICOはEl Regに対し、苦情を受け取ったことを確認し、「通常の手続きに沿って詳細を調査する予定だ」と述べた。®
