欧州委員会が個人データ安全対策不備で子供用スマートウォッチのリコールを命令 EU無線機器指令に違反


欧州委員会が個人データ安全対策不備で子供用スマートウォッチのリコールを命令 EU無線機器指令に違反

2019年2月1日付けの「危険な製品に関するWeekly Report」にて、欧州委員会は子供用のスマートウォッチに重大な個人データ保護対策上の不備があるとしてリコールの命令を下した。

このスマートウォッチに送受信されるデータは暗号化されておらず、容易に読み取れ、改変することが可能であるが、製造元のEnox社は、この決定は「過度なものである」として、上訴したことを明らかにした。このリコール命令は、ユーザーのデータが保護されないという理由で下された初めてのものであると思われる。

欧州委員会の発したアラートの概略は以下の通り。
1 この時計に付随するモバイルアプリケーションはバックエンドのサーバーと暗号化されていない通信を行っている。また、サーバーでは認証なしでのデータへのアクセスができる。結果的に、位置情報の履歴、電話番号、シリアル番号を容易に読みだした、改変することができる。
2 悪意のあるユーザーは、任意の時計にコマンドを送り、選択された番号へ電話することができ、時計を身に着けている子供と話すことができ、また、GPS情報を通して所在を知ることができる。
3 以上により、この時計は「無線機器指令(the Radio Equipment Directive)」に違反する。

本件は、個人データ保護に関して、GDPR以外の現地法律への遵守も必要であるという点で注目される。

欧州委員会のアラート
https://ec.europa.eu/consumers/consumers_safety/safety_products/rapex/alerts/?event=viewProduct&reference=A12/0157/19&lng=en
関連ニュース
https://www.bbc.com/news/technology-47130269

関連記事