訴訟では、アマゾン ウェブ サービスが顧客が取得した生体認証データを違法に保存していたと主張されている。
ナット・レヴィ著
アマゾンのクラウド部門は、適切な公開なしに生体認証データを入手し保管したことでイリノイ州の州法に違反したとして、複数の訴訟を起こされている。
しかし、ここには意外な点がある。訴状によると、Amazonが訴訟の対象となっているのは、同社が「顧客に代わって生体認証データを取得し、保管している」ためだ。つまり、この訴訟は、顧客による違法行為とされる行為を間接的に、あるいは場合によっては無意識のうちに可能にしているクラウドサービスの法的責任を問うための試金石となる可能性がある。
過去6週間で、Amazon Web Servicesに対し、イリノイ州生体認証情報プライバシー法違反を理由とする訴訟が少なくとも2件提起されています。指紋、顔、網膜スキャンといった生体認証技術の利用は職場で一般的になりつつあり、11年前に制定されたこの法律は、そうしたデータを収集・保管する企業に義務を課しています。
アマゾンは近年、顔認識ソフトウェアを法執行機関に販売していたことで非難を浴びている。しかし、今回の訴訟では生体認証データを取得するための具体的なソフトウェアについては言及されておらず、むしろ同社が顧客のために情報を保管していることに焦点が当てられている。
我々はコメントを求めてAmazonに連絡しており、返答があればこの記事を更新します。
2件の訴訟には一部で同一の文言が見られ、原告側も同じ法律事務所を代理人としています。原告側はいずれも、Amazonが顧客に代わって生体認証情報を取得し、保管していると主張しており、両訴訟は集団訴訟としての承認を求めています。
訴訟によると、アマゾンは「公開されているデータ保持および破棄ポリシー」を確立しておらず、また、ユーザーに情報を保管する理由や期間を通知していない。
「BIPAへの準拠は容易で、負担も最小限です」と両訴訟は述べている。「例えば、必要な情報開示は、一枚の紙で済ませることも、生体認証対応デバイスに目立つように貼付した通知で済ませることもできます。」
ワシントン州やテキサス州などにも同様の法律は存在するものの、イリノイ州の法律は、企業の行為によって直接被害を受けていない人々から、企業が法律違反で訴えられる可能性があるという点で独特である。法律事務所ウィンストン・アンド・ストローンによると、今年初めの裁判所の判決は、この法律の広範な性質を強化し、複数の集団訴訟への道を開いた。
両訴訟とも、法律の「故意および/または無謀な違反」ごとに5,000ドル、BIPAの「過失による違反」ごとにさらに1,000ドルを求めている。
以下が 2 つの訴訟です。
ScribdのNat LevyによるAWS訴訟1
ScribdのNat LevyによるAWS訴訟2
