GDPR では、コネクテッドカーが売却された後も、前の所有者がデータへのアクセスと制御を保持することにどのような影響がありますか?
El Regがこの問題について最初に報じたのは、ジャガー・ランドローバーのオーナー2名の経験とメーカーの対応でしたが、これは業界全体の問題であり、BMW、メルセデス・ベンツ、日産の車も影響を受けていることが明らかになりました。以前のオーナーは、車が売却された後でも、データや操作情報にアクセスできます。
コネクテッドカーには、エアコンやドアのリモートコントロール機能、故障修理サービスの呼び出し、目的地の詳細な記録など、様々な機能が搭載されています。これらの情報は通常、オンラインアカウントと関連するモバイルアプリを通じて入手できます。
今週の脅威レポート:中古のコネクテッドカーは切断が必要 https://t.co/5qegGac4rr
— NCSC UK (@NCSC) 2018年8月3日
売り手はこのアカウントとの紐付けを解除し、アクセス権を放棄する必要がある。このプロセスは、売却前にiPhoneをリセットしてデータを消去するのと同じような手順になるはずだが、複数のReg読者からのフィードバックによると、実際には家を売却したのに鍵を渡さないようなものだという。
自動車メーカーは、車両の所有者が変わる際に元の所有者との接続を完全に遮断する確実な方法を必要としていますが、現状は実現していません。近年の多くの調査で明らかになったように、中古パソコンの販売におけるデータ消去は不十分であり、コネクテッドカーにも同様の問題があるのです。
複数のメーカーとそれぞれのテレマティクス技術プロバイダーが、何らかの形で責任を負っているように思われます。しかし、ジャガー・ランドローバーの訴訟とその法的影響の詳細に焦点を当てることで、いくつかの一般的なテーマを浮き彫りにすることができます。
衝撃のランドローバー・ディスカバリー:販売業者は、制限が解除されなければコネクテッドカーに介入する可能性がある
続きを読む
リスク管理の専門家であるAJ・ウィット氏は、「JLRは新ドライバーのデータを自社のサーバーに保存し、新ドライバーの許可なく前オーナーに公開している。新ドライバーは同意していない。これは紛れもないGDPR違反だ」とコメントした。
パーシー・クロウ・デイビス法律事務所の弁護士であり、データ保護法の専門家であるダイ・デイビス氏は、EUの一般データ保護規則の下でJLRが過失を犯した可能性が高いことに同意した。
仮に(i)ジャガー・ランドローバーがオーナーAからオーナーBに車両が売却された後に車両データにアクセスでき、(ii)車両データに位置情報が含まれていると仮定すると、ジャガー・ランドローバーは少なくとも5月25日以降に販売されたすべての車両に関してGDPRに違反することになります。そして技術的には、そのような車両を販売するたびに、GDPRの下では個別の(民事上の)「違法行為」となります。
El Reg は以前、JLR に、以前の所有者が販売した車のデータや管理にアクセスし続けることの GDPR の影響について質問したところ、「当社は顧客のプライバシーを非常に重視しています」といういつもの回答が返ってきました。
欧州司法裁判所における最近のWirkschaftakademie事件の判決は、コネクテッドカーが収集するデータについて考える上で重要な意味を持つかもしれません。この判決は「データ管理者」の概念を拡大し、より多くの組織、たとえデータ処理に間接的にしか関与していない組織であっても、データ保護法の対象となるようにしました。
Out-Law.comは、「この判決は、Facebookでファンページを運営するドイツの教育サービスプロバイダーに関するものだが、たとえ処理の目的や手段を主に決定していなくても、あるいはデータにアクセスしていなくても、個人データの処理方法に影響を及ぼすすべての組織に影響を与えることになるだろう」と説明している。
自動車メーカーは、GDPRの規定外でも対応しなければならないケースがあるかもしれない。IT法の研究者であり、自称GDPRオタクのリリアン・エドワーズ氏は、契約法の観点からこの問題にアプローチした。
「私にとってこれは主に契約の問題です」と彼女はエル・レグ紙に語った。「B2Bでは下請け業者に業務を委託するのはかなり一般的ですが、消費者向けではそうではありません。」
データ保護は前所有者のデータを保護するものであり、新所有者の権利をそれほど強化するものとは思えません。データ管理者であるJagは、前所有者の個人データに関するセキュリティ原則に違反しているという主張も成り立ちます。しかし、彼らは前所有者が署名した契約書を主張するでしょう。
エドワーズ氏は、新しい所有者の権利が侵害される可能性はあるが、これはGDPRではなく他の規制の範疇に入るだろうと推論した。
「新しい所有者のセキュリティは明らかに不利になりますが、それはGDPRとは異なる法律になるでしょう。おそらく不法行為、物品の販売、または特に自動車/安全に関連する法律になるでしょう」と彼女は続けた。
「実際問題として、ジャガーが抱える問題は、ディーラーが管理していない個人売買で、前オーナーが気にしないような場合、サービス契約終了時にデータをリモートで削除するという代替手段がないことです。本当にそれを実現するのは難しいのでしょうか?」®
