Boseが、同社の販売するワイヤレスヘッドフォンであるBose QuietComfort 35が、アメリカ連邦盗聴法（the Federal Wiretap Act）、イリノイ州盗聴法（the Illinois Eavesdropping Statute）、消費者詐欺法（consumer fraud law )、プライバシー侵害法（invasion of privacy law）違反を犯しており、ユーザーのプライバシーを侵害しているとして、500万ドル（約5億5千万円）の損害賠償を求める集団訴訟をシカゴの地方裁判所におこされている件が話題になっています。

以下はイリノイ州盗聴法（the Illinois Eavesdropping Statute）による「盗聴機器」の定義です。

Sec. 14-1. Definitions.
(a) Eavesdropping device.
An eavesdropping device is any device capable of being used to hear or record oral conversation or intercept, or transcribe electronic communications whether such conversation or electronic communication is conducted in person, by telephone, or by any other means; Provided, however, that this definition shall not include devices used for the restoration of the deaf or hard-of-hearing to normal or partial hearing.

(a) 盗聴機器

盗聴機器とは、口頭での会話、もしくは電子的コミュニケーションを、視聴もしくは保存し、もしくは受領することが可能なすべての機器を指す。口頭での会話、もしくは電子的コミュニケーションは、対面、電話もしくはその他の方法による。しかしながら、その機器には、聴覚障害を補助するもの、補聴器は含まない。

 

Bose QuietComfort 35のユーザーは、Bluetooth経由で自分のスマートフォンに保存してある曲を聞くことができますが、スマートフォン側で曲を選ぶのに使用する「Bose Connect」というアプリが、選んだ曲、ポッドキャスト、ラジオなど、選んだものに関するデータを、ユーザーの承諾なしに収集し、Bose側に送信し、第三者企業に提供していたとされています。ユーザーはデータ使用許諾のサインする必要がなく、第三者に開示されるデータの詳細も不明です。

アメリカでは、アラン・ウエスティン教授などが、プライバシーを「自己に関する情報に対するコントロールの権利」と定義し、個人情報に関する包括的な規制を作るのではなく、事業者側の自主規制と、連邦、州政府レベルでの個別立法の枠組みで対処してきたわけですが、今回の訴訟では、ヘッドフォンが「IoT的なデバイスである」とされた件、さらに、連邦盗聴法違反として訴えられた点が注目に値します。

連邦盗聴法は、従来型の固定電話などに対する盗聴だけではなく、電子通信や口頭での情報伝達において、「機器」（device）を使用して、「意図的に」（Intentionally）他人の情報を取得し（Interception）、「第三者に開示」（Disclosing）したことを違法とします。今回の訴訟では、「機器」にヘッドフォンとアプリが該当する点は注目すべき点で、アメリカでは類似するソリューションを提供する企業や、IoT的な機能のある「大人のおもちゃ」を販売する会社も訴えられています。中小のベンダや第三国の企業から開発されるIoT機器の場合は、法に準拠しないケースも少なくないので、今後類似する訴訟が増えていくでしょう。