生体情報に関するゲームと個人情報保護法の関係
アバターやほかの用途で生体情報の利用はますます一般化してきている。ゲームデベロッパはそういった情報の収集と使用に関するプライバシー関連法案について復習しておかなければならない。さもなくば訴えられるかもしれないのだ。
まさに今週,ニューヨーク南部の米国地方裁判所は,Take-Two Interactive Softwareがゲーマーの顔をスキャンして収集・保持しており,イリノイ州法の生体情報プライバシー法案(Biometric Information Privacy Act :BIPA)に抵触するとした集団訴訟を退けた。詳しくはこちら(Vigil v. Take-Two Interactive Software, Inc., 2017 BL 25907 (SDNY, No. 15-CV-8211, 1/30/17)。しかしながら,イリノイ,テキサス,コネチカットの各州で生体情報プライバシー法案が成立していることを考えると,間違いなく近い将来米国で似たような訴訟を見ることになるだろう。そして,ほとんどのゲームデベロッパは世界中のゲーマーに向けてゲームを販売しているので,海外の生体情報関連法案についてもコンプライアンスを確認せねばならないだろう。
BIPAはどれくらいゲームデベロッパに影響してくるのか
BIPA (740 Ill. Comp. Stat. § 14/15)の下では,企業による生体情報や識別子(例えば指紋や顔のスキャンなど)の収集では個人個人に収集された情報がどのように,どれくらいの期間,どのような目的で保管されるのかを説明する告知を提供し,情報を使用する際には個人から文書による同意を得る必要がある。BIPAに違反すると5000ドル以下の罰金ないし実際の損害額の賠償,常識的な弁護士報酬と法廷費用,必要に応じて差し止め命令を含む救済措置が科せられる。
訴訟ではTake-Twoのゲーム NBA 2K15とNBA 2K16が,プレイヤーに3Dフェイシャルスキャンを用いてバスケットボール選手(要するにアバター)を作るオプション機能を与えており,これがオンラインでほかのプレイヤーからも見えるようになるとされている。プレイヤーがアバターを作成する際には,プレイヤーは使用規約に同意する必要があり,そののち,XboxやPlayStationのカメラが彼らの頭部をスキャンすることになる。
原告団は,Take-Twoが,(a)適切な通知の提供を怠った,(b)インフォームドコンセントを得ていない,(c)個人情報の保護について“業界標準の合理的なケア”を行っていないとしている。さらに原告団は広範なプライバシー,とくに生体情報についての懸念を抱いている。地方裁判所は原告団によるBIPA違反の疑惑について,それは“生成”されたものであり,“控えめに言っても良いデキではない”とし,さらにこのような主張は新たな合衆国憲法第3条標準の下では十分な当事者適格となりえないと裁定し,原告団は第2巡回裁判所に上訴している。
昨年SpokeoとRobins氏で争われた最高裁の判決によると,当事者適格には“具体的かつ詳述された被害”が要求され,原告が合衆国憲法第3条の下での当事者適格を十分に示すことがより難しくなった。現在では,第2巡回裁判所はSpokeoの例を,法令違反では第3条の下での当事者適格のための具体的な被害を成立させないという意味だと解釈している。StrubelとComenity Bankの判例, 842 F.3d 181 (2d Cir. 2016)も参照されたい。これは,Take-Twoにとって,原告団は彼らの具体的な権益に対する危害への重大なおそれを提示してBIPA違反の疑惑を立証しなければならないということを意味する。
ゲームデベロッパが同様のクレームを軽減し避けるために,連邦および州の個人情報保護法のコンプライアンスレビューを勧めたい。加えて,BIPAのような生体情報関連法案については,多くの州ではプライバシーポリシー関連,子供のオンラインプライバシー,セキュリティ保護,情報漏えい通知などの組織が統制している。州の間での統一性のなさがコンプライアンスレビューの手続きを面倒にしている。しかしながら,潜在的な罰金や処罰などのため(特定の州の検事は積極的に個人情報保護法を適用する),コンプライアンスを確立することは重要な経営判断となっている。
その他の司法権
ゲームデベロッパへの個人情報保護法の適用はほとんどの主要な経済市場で見られるようになるだろう。とくにゲームデベロッパはヨーロッパ共同体とアジア太平洋地域の国々に気をつけるべきだ。EUは通常,米国よりも広い定義を持ち最も堅牢な個人情報保護法を有するとされており,告知と同意を超えたコンプライアンス対策の実装が求められている。そこでの対策には,セキュリティ保護,国家間での個人情報送信のためのデータ転送メカニズム(プライバシーシールド,標準契約,拘束力のある会社規則など),そのほかたくさんの項目が含まれている。アジア太平洋地域では韓国,日本,シンガポール,中国などといった国々はEUモデルに歩調を揃えつつあり,企業はこれらの管轄地域で多くの共通点を見出せると期待されている。
EUではEUの指令とe-プライバシーに関する指令はGeneral Data Protection Regulation (GDPR)に置き換えられる予定だ。GDPRとePrivacy Regulation (e-プライバシー規制)は2018年5月25日に発効する。これらの新しい規則はより大きな説明責任や国際データフローでの制限などが課せられる。2018年5月までに準拠するために,ゲームデベロッパは2つの法律の要求項目と関連する加盟国の独自の法律の適合への一歩を踏み出さなければならない。GDPRとePrivacy Regulationの要求項目への対応に失敗した場合,最大2000万ユーロかワールドワイドの年間総売り上げの4%の罰金が科せられることがある。
※Gretchen Ramos氏は集団訴訟やデータプライバシー,知的所有権関連の法律で実績のあるSquire Patton Boggs法律事務所のパートナーです。Zerina Curevac氏は,Squire Patton Boggs法律事務所の一員でデータプライバシー,知的所有権関連の法律を専門としています。この記事は同社のGlobal IP and Privacy Law Blogが初出となります。
※本記事はGamesIndustry.bizとのライセンス契約のもとで翻訳されています(元記事はこちら)