プライバシー法:米国、EUなどがIoTデータを保護する方法(またはそうしない方法)

ほとんどの国には、IoTデバイスに特に言及する法律がないため、企業のユーザーからデータを収集したいときに適用される一般的なプライバシー法 – その多くは本書に記載されています。

これらのプライバシー法は国によって異なるため、挑戦することができます。たとえば、米国の企業では、セーフ・ハーバーと呼ばれるプログラムの認定を受けた場合、データプライバシー法が厳しくなっているEUのユーザーからデータを簡単に収集できるようになっていました。しかし、昨年末、EUはSafe Harborを無効と宣言した。だから、データのプライバシー問題を扱う米弁護士のケイト・ルーセント氏は、「企業は、データ転送を合法化するためにいくつかのバックアップメカニズムを導入する必要がある」と語った。

ここでは、現在世界中の国や地域で実施されているいくつかの法律を見ていきます

シリコンバレーのIoTに関する弁護士であるマーク・ラドクリフ(Mark Radcliffe)弁護士は、米国の規制を非常に多くの可動部品が存在する可能性があるため、ルービックキューブと比較した。連邦のプライバシー法(1974年のプライバシー法など)および州によって異なる法律があります。国家議会の全国会議ウェブサイトによると、31州にデータ処分法があり、47州にセキュリティ違反通知法がありますが、法律は一様ではありません。カリフォルニア州は、他の多くの州よりもデータプライバシーの面で優れており、インターネットに接続されたテレビのデータを収集する法律さえあります。データのプライバシーは、医療機器のHIPPAや、ユーザーが13歳未満の場合は児童オンラインプライバシー保護法などの特定の法律によっても規制されています。

拘束力のある法律ではありませんが、昨年、連邦取引委員会は、IoT接続デバイスを製造する企業を対象としたユーザーデータ保護のベストプラクティスを含むレポートを発行しました。この勧告には、データセキュリティを考慮したデバイスの設計(Radcliffe氏は、定期的にセキュリティ対策のテストを実施し、必要以上にデータを収集せず、プライバシー情報を理解しやすく、デバイスに適した、つまりウェアラブルデバイスに関する簡単で簡単な通知です。

カナダでは、個人情報保護と電子文書法(PIPEDA)と呼ばれる連邦法により、個人情報を収集する企業がどのように保護するべきかに関する規則が定められています。法律では、企業はプライバシー管理プログラムの作成、データの収集、使用と保存の制限、会社が所有する情報へのアクセス権の付与、ユーザーによる企業への苦情提出方法の提供などを要求しています。

カナダの州は、米国の州と同様に独自のプライバシー法を制定することができ、アルバータ州、ブリティッシュコロンビア州、ケベック州の3つがそうしています。トロントの技術法を専門とするクリスティン・トンプソン氏は、各州には個人の健康情報に関する法律もあり、アルバータ州にはデータ違反通知法が義務づけられているという。

1995年にEUがデータ保護指令を通過したとき、IoTという用語は存在しませんでしたが、EU諸国でIoTデバイスを製造または販売する企業は、この文書に記載されている規則によって機能することが期待されます。これらのルールには、関連する目的でデータを収集する、ユーザーのデータを保護するための対策を講じる、ユーザーがインフォームドコンセントを行った後にのみデータを収集するなどが含まれます。この指令では、ユーザーが消去されたデータについて不正確なデータや古いデータを持つことができるようにする必要があります。

しかし、EU指令で定められたルールをどのように実装するかは国によって異なるため、現在はデータプライバシー法のパッチワークがあります。昨年12月、欧州委員会は、EU全域のデータプライバシー法を標準化するため、一般データ保護規制を可決しました。 2017年までは効力を発揮しませんが、欧州委員会のファクトシートによれば、ユーザーは個人データの管理を強化することができ、デバイスメーカはデザインの最初からデバイスへのデータ保護を強化するという厳しい要件がありますプロセス。

オーストラリアで収集されたIoTデータには、1988年のプライバシー法と1997年の通信法の2つの主要な連邦法が適用されます。プライバシー法の下で、ほとんどの企業は個人を特定できる情報を収集する際にプライバシー原則を遵守する必要があります。プライバシーの原則は、プライバシーポリシーの確立、可能な限り匿名のままにするオプションの提供、ユーザーの個人データの安全性の維持、ユーザーに収集している情報の通知、データへのアクセスなどを要求します。 Australian Information Commissionerのウェブサイトによれば、機密データを含む機密情報を収集している組織にとって、プライバシー要件はより厳しくなっています。電気通信法では、サービス提供者は顧客に関する通信情報の内容を秘密に保つ必要があります。また、オーストラリアの電気通信消費者保護法典もあり、これにはユーザーのデータのセキュリティを担うプロバイダーも含まれています。

法律が混乱する可能性がある分野の1つは、プライバシー法上の個人データとみなされます。 「データが収集され集約されているときは、ややこしいことだ」と通信とITの問題を扱うSyndeyベースの弁護士、James Halliday氏は語った。 「それが当てはまるかどうかは、「この情報から個人を合理的に特定することができるかどうか」という質問をすることになります。

法律事務所のDLAパイパーの事実によれば、メキシコは2010年に私的当事者が保有する個人データの保護に関する連邦法を可決し、過去5年間に個人データを扱うためのいくつかの他のガイドラインを発表しました。メキシコで個人情報を収集する企業は、データ保護担当者または部門が必要であり、ユーザーにプライバシーに関する通知を提供する必要があります。プライバシー法が施行されている他の多くの国と同様、個人データを収集する組織は特定の目的に限って収集を制限しなければならず、必要以上にデータを保管することができません。

Internet of Things、クエスト、クアルコム、4G LTEネットワーク、Internet of Things、スマートシティ計画のための英国標準を活用するためのオーストラリア政府、IoT LoRaWANネットワークがSydney、Cloud、Connected、雲の時代はより良いネットワークが必要

中国、インドネシア、インドなどのこの地域の国々は、多くのことに追いついていると、IDCアジア太平洋地域のモビリティとIoT責任者、チャールズ・アンダーソンは述べています。 「政府はデータのプライバシー問題に関連するものを設定するのにかなり遅れがちで、企業がデータを移動したいときやデータを収集したいときに多くの問題を引き起こしてしまう」アンダーソン氏が指摘する例外には、ニュージーランド、シンガポール、日本があり、いずれもEUやオーストラリアと同様のデータプライバシー法があります。

この地域のいくつかの国では、データのプライバシーと情報へのアクセスに関する法律はありません。法律事務所のBakerHostetlerによる2015年のデータプライバシー法典によると、カタールとアラブ首長国連邦(UAE)は、他の国のプライバシー法と同様の法律を制定しています。サウジアラビアにはプライバシーとデータ収集に関するいくつかの法律がありますが、データセキュリティまたはデータ侵害の通知に関する法律はありません。

現在のところ、プライバシー保護法は、政策が十分に発達し厳しくなっている地域から、中東のようにデータのプライバシー保護に関するルールがほとんどない地域に至るまで、全世界で展開されています。

しかし、あらゆる種類のデータをいつでも収集できるIoTデバイスが普及するにつれて、プライバシーに関する法律も同様に広がります。デロイトの2015年の大データに関するレポートによると、90年代には世界中で20のプライバシー法が存在しました。現在100以上あります。

将来的には、IoTデバイスに特有の法律も適用される可能性があります。技術に焦点を当てたイタリアの弁護士ジュリオ・コラッジョ氏は、欧州委員会は現在、自由なデータの流れ、相互運用性、認証といった問題に対処するためのIoT特有の法案を作成するかどうか検討していると述べる。

ドローンが4G LTEネットワークをどのように使用できるかをテストするクアルコム、AT&T

オーストラリア政府はスマート都市計画のために英国の基準を活用する

IoT LoRaWANネットワークはシドニーに住む

接続されたクラウド時代にはより良いネットワークが必要