Skip to main content
QUICK REVIEW

[論文レビュー] Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights?

Dominik Herrmann, Jens Lindemann|arXiv (Cornell University)|Feb 4, 2016
Privacy, Security, and Data Protection参考文献 10被引用数 28
ひとこと要約

本研究は、ドイツのアプリベンダーおよびウェブサイト運営者らが、EUの個人情報保護権——特に個人データのアクセス権および削除要求権——を遵守しているかどうかを実証的に調査している。密かに送信された要求の結果、43%のデータアクセス要求が満足できる形で対応された一方、削除要求の52–57%が完全なアカウント削除をもたらし、20%のウェブサイト運営者が社会的エンジニアリングに脆弱であった。これは、GDPRおよび以前の個人情報保護法に基づく法的義務にもかかわらず、広範な非遵守状態が存在することを示している。

ABSTRACT

EU Directive 95/46/EC and the upcoming EU General Data Protection Regulation grant Europeans the right of access to data pertaining to them. Consumers can approach their service providers to obtain all personal data stored and processed there. Furthermore, they can demand erasure (or correction) of their data. We conducted an undercover field study to determine whether these rights can be exerted in practice. We assessed the behaviour of the vendors of 150 smartphone apps and 120 websites that are popular in Germany. Our deletion requests were fulfilled in 52 to 57% of the cases and less than half of the data provision requests were answered satisfactorily. Further, we observed instances of carelessness: About 20% of website owners would have disclosed our personal data to impostors. The results indicate that exerting privacy rights that have been introduced two decades ago is still a frustrating endeavour most of the time.

研究の動機と目的

  • 消費者が個人データのアクセス権および削除権を行使する際の、実世界におけるEUのアクセス権および削除権の有効性を評価すること。
  • ドイツのアプリベンダーおよびウェブサイト運営者が、指令95/46/ECおよび予定されるGDPRに基づく法的個人情報保護義務を遵守しているかどうかを評価すること。
  • データコントローラーが、第三者からの要求に対して適切な注意を払って個人データを処理しているかどうかを調査すること。
  • データ処理実務における構造的欠陥、特に社会的エンジニアリング攻撃への感受性を特定すること。

提案手法

  • 150の一般的なドイツのスマートフォンアプリおよび120の一般的なウェブサイトに、テスト用アカウントを作成することで、密かに現地調査を実施した。
  • メールを通じて公式なデータアクセス要求を送信し、応答がなければ1週間後に削除要求を送信した。
  • 一部のウェブサイト調査において、別のメールアドレスを使用して偽の人物としての社会的エンジニアリング技術を用い、ベンダーがデータを漏洩するかどうかをテストした。
  • 応答を収集・分析し、データアクセスおよび削除権の遵守状況を評価した。
  • 定性的および定量的分析を適用し、応答を「遵守」「非遵守」「曖昧」に分類した。
  • 直接的なデータベース内容の検証が不可能であったため、削除の有無を推定するための推論技術を用いた。

実験結果

リサーチクエスチョン

  • RQ1ドイツのアプリベンダーは、ユーザーの個人データへのアクセス要求に対してどの程度遵守しているか?
  • RQ2ドイツのスマートフォンアプリおよびウェブサイトにおいて、個人データの削除要求はどの程度効果的か?
  • RQ3データコントローラーは、データアクセスまたは削除要求の処理において、社会的エンジニアリングに脆弱であるか?
  • RQ4合理的な期間内に正式なデータアクセス要求に適切に対応しないデータコントローラーの割合はどの程度か?
  • RQ5法的および技術的障壁は、EU個人情報保護法下でのデータ主体権の実際の行使にどのように影響しているか?

主な発見

  • アプリおよびウェブサイトベンダーに対するデータアクセス要求のうち、わずか43%が満足できる形で対応された。これは、アクセス権に対する広範な非遵守状態を示している。
  • 削除要求の52%~57%が完全なアカウント削除をもたらした。これは、削除処理がアクセス要求よりもより確実に処理されている可能性を示唆している。
  • 約20%のウェブサイト運営者が、異なるメールアドレスを使用した偽の人物に対しても個人データを漏洩させた。これは、社会的エンジニアリングに対して顕著な脆弱性があることを示している。
  • 多くのベンダーが1週間以内に最初の要求に応答しなかった。これは、業務効率の低さおよび手順の不備を示している。
  • 一部のベンダーは、規制上の要件によりデータを削除できないと主張したが、他のベンダーは「痕跡が一切残っていない」と誤って主張した。これは、データガバナンスの質の低さを示している。
  • 本研究は、GDPRおよび国内の個人情報保護法の法的根拠があるにもかかわらず、データ主体権を行使することが依然として困難で一貫性のないプロセスであることを浮き彫りにしている。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。