TLDR

  • ドイツの規制当局BayLDAは、ワールドコイン(現ワールド)に対し、2024年1月19日までにGDPR準拠のデータ削除プロトコルを実装するよう命じた。

  • 懸念は、虹彩スキャン「オーブ」による生体認証データ収集とEUプライバシー法の遵守に集中している。

  • プロジェクトはケニアやポルトガルを含む複数の国で規制上の課題に直面している。

  • 同社は2024年10月にWorldcoinからWorldにブランド名を変更し、更新されたOrbデバイスを発売する。

  • 世界はドイツの規制当局の決定に控訴する予定

バイエルン州データ保護監督局(BayLDA)は、以前はワールドコインとして知られていたワールドに対し、2024年1月19日までにGDPRに準拠したデータ削除プロトコルを確立するよう命じた。OpenAIのCEOサム・アルトマン氏が共同設立した暗号ベースのデジタルIDプロジェクトは、機密性の高い生体認証データの取り扱いに関する懸念に対処しなければならない。

BayLDA の調査は、World の主力技術である World ID システムを中心に行われました。このシステムでは、「Orbs」と呼ばれるデバイスを使用してユーザーの目をスキャンします。このスキャンにより、個人が自動ボットではなく実際の人間であることを確認するために設計された固有のデジタル識別子が作成されます。

規制当局のマイケル・ウィル会長は、今回の件でユーザーの権利を保護することの重要性を強調した。「本日の決定により、私たちは技術的に要求が厳しく、法的に非常に複雑なケースにおいて、データ主体に有利な欧州の基本的権利基準を施行します」とウィル会長は発表の中で述べた。

一般データ保護規則 (GDPR) は、欧州連合の個人データとプライバシーを保護するための主要な枠組みとして機能しています。GDPR は、企業がユーザー情報を収集、処理、保存する方法について厳格な規則を定めています。BayLDA の調査により、World の以前のデータ収集方法 (虹彩コードを集中データベースに保存するなど) は GDPR 基準を満たしていないことが明らかになりました。

規制当局の監視に応じて、ワールドは調査期間中、EU諸国での事業の一部を自主的に停止しました。同社はまた、データ保護規制への準拠を向上させるアップデートも導入しました。しかし、これらの変更は規制当局の懸念に完全には対応していませんでした。

World は、データを匿名化するために虹彩コードを暗号化された断片に分割する暗号化プロトコルを実装しましたが、BayLDA はユーザーのプライバシーを保護するために追加の変更が必要であると判断しました。規制当局は、適切な法的根拠なしに収集されたすべてのデータの削除を命じました。

同社は2023年に「人格証明」を導入して設立され、認証された人間のユーザーのネットワークを構築することを目指している。このコンセプトはすぐに世界中の規制当局の注目を集め、ケニアやポルトガルを含むいくつかの国で一時的な禁止につながった。

2024年10月、このプロジェクトはWorldcoinからWorldにブランド名を変更し、Orbデバイスのアップデートバージョンを導入しました。新しいOrbは、以前のものに比べて部品が30%少なく、生産能力が3倍になっています。これらのデバイスは、2023年7月にドイツのベルリンで初めて導入されました。

このプロジェクトがドイツで展開されたことで、ドイツとフランスの両プライバシー監視団体による調査が行われた。フランスのプライバシー規制機関であるCNILは、ワールドのデータ収集と保存方法の合法性について疑問を呈し、「疑わしい」と述べた。

ワールドはベイLDAの決定に対して控訴する意向を表明しているが、同社は対応計画について具体的な詳細は明らかにしていない。規制命令は、データ消去の権利を行使したいユーザーのために明確な手順を実施するようワールドに要求している。

現在の規制措置は、World のデータ削除プロセスが GDPR の要件に準拠していることを確実にすることに特に重点を置いています。World に虹彩データを提供したユーザーは、新しいプロトコルに基づいて、消去権を無制限に行使できる必要があります。

プライバシー擁護派は、プロジェクト開始以来、一貫してワールドの生体認証データ収集に対するアプローチについて懸念を表明してきた。批評家たちは、この取り組みは潜在的に侵入的であるとし、データ保護対策に疑問を投げかけている。

BayLDA の調査により、機密性の高い生体認証情報の処理に伴う基本的なデータ保護リスクが浮き彫りになりました。規制当局の命令では、特定のデータ処理手順においてユーザーの明示的な同意が必要であることを強調しています。

同社は今後、自社の技術を通じて固有の人間IDを検証する能力を維持しながら、自社のデータ処理慣行が欧州のプライバシー基準に準拠していることを証明する必要がある。

ワールド社は、規制上の決定や必要な変更を実施する計画についてのコメント要請に応じていない。

ドイツのデータ保護局が世界の GDPR コンプライアンスの期限を 1 月に設定という記事が最初に Blockonomi に掲載されました。