世界を動かす技術を、日本語で。

Flockのプライバシー担当者に連絡して、国内監視プログラムからのオプトアウトを依頼しました

2026年4月15日原文(honeypot.net)

概要

  • Flock Safetyへの個人情報削除依頼とその回答の内容
  • 依頼者がCCPAに基づく権利を主張
  • Flock Safety側は「データ管理者は顧客」として直接対応を拒否
  • Flock Safetyのデータ取扱方針の要点
  • 回答への法的疑義と今後の対応検討

Flock Safetyへの個人情報削除依頼とその回答

  • California州在住として CCPA(California Consumer Privacy Act) に基づく個人情報削除をFlock Safetyに要求
  • 削除対象: 本人、車両、同居家族に関する全情報 のデータベースからの抹消
  • 今後の 情報収集・保存 も一切不許可と明示
  • Flock Safetyからの返信内容
    • 依頼者名を 誤記 したまま返信
    • 「お客様のご要望には 現在対応できません」との回答
    • Flock Safetyは サービス提供者・データ処理者 の立場を強調
    • データ管理権限は 顧客(自治体や組織) にあり、直接の対応は不可と説明
    • 依頼者には Flock Safetyの顧客(利用組織) への直接問い合わせを推奨

Flock Safetyのデータ取扱方針の要点

  • 顧客契約 :データ処理は顧客との契約内容に従い、顧客の指示に基づく
  • データ所有権 :データの所有・利用・共有の決定権は顧客側に帰属
  • データの販売禁止 :Flock Safety自身によるデータの販売・公開・交換は不可
  • 収集情報の範囲 :LPR(License Plate Reader)は氏名や住所等の センシティブ情報は取得せず、公道上の車両特徴画像のみ取得
  • 利用目的 :主に 治安維持・事件対応・証拠提供 などのセキュリティ目的
  • データ保存期間30日間 のロールオフ方式で自動削除(ただし顧客側で期間変更可能)
  • 詳細は Privacy Policy および LPR Policy 参照

回答内容への法的疑義と今後の対応

  • Flock Safetyが 実際にデータを収集・処理 している事実
  • CCPAの 「サービスプロバイダー」規定 とその解釈に関する疑問
  • 依頼者としては、Flock Safetyにも 直接的な法的義務 があると考える余地
  • 弁護士への相談 も選択肢として検討中
  • 今後の対応: 顧客組織への直接依頼法的措置 の検討

Hackerたちの意見

これを書いたんだけど、Flockが私のリクエストに応じるとは全く期待してなかった。でも、科学のために試してみるべきだと思ったんだ。だけど、彼らの返事にはちょっとイラッとした。彼らは、他の人がそのデータのためにお金を払っているから、個人情報の収集や処理に制限はないって主張しているみたい。彼らの言い分はこうだ: 「Flock Safetyの顧客がデータを所有し、そのデータの使用や共有に関するすべての決定を行います。」これはCCPAに真っ向から反しているように思える。私のデータなのに、顧客のものじゃない。正直、これがうまくいくとは思ってなかったけど、うまくいかなかった経緯にはまだがっかりしてる。

彼らは「私たちに連絡しないで、カメラの所有者に話してデータを削除してもらってください」と言ってた。誰かに録画されたときに、ビデオカメラを製造している会社に話をするのはおかしいよね。録画した人に話すべきだ。でも、普通の人ならこう言うだろう:データはFlockのサーバーに保存されていて、カメラの所有者にはない。Flockは、カメラの所有者にデータストレージ機能を提供しているからって、データを所有しているわけじゃない。借りているストレージサービスが、そこに入れたものを所有するわけじゃないからね。でも、もっと合理的な人はこう言うだろう:インフラは意図せず共有を生むように設計されていて、システムにはデータを危険にさらす脆弱性があるから、Flockはプライバシーを侵害するようにシステムを設定する責任がある。これがFlockへの主な批判だよ。もっと繊細な批判が必要だね。これが訴訟に持ち込まれるのを見るのは面白そうだ。

それでも素晴らしい仕事だね。こういうシステムは、突っついてテストする必要がある。たとえ結果が失敗に終わったとしても、私たちが置かれている状況について何かを教えてくれるから。

返信して、顧客リストを提供してもらって、新しい顧客が増えたらその都度教えてもらうように頼んだ方がいいと思うよ。そのアドバイスに従えるようにね。

待って、それはあなたのデータなの?もし私の家の前でリングカメラの前を車で通ったら(リングカメラは持ってないから、変なこと言わないでね)、そのカメラのデータをあなたが所有しているって主張するの?

実際にそれがあなたのデータだとは思えないんだ。公共の場であなたの写真を撮ったら、その写真は私のものになるよね。でも、Flockの仕組みについては私がよく分かってないのかも。

この回答が関連してるよ: https://oag.ca.gov/privacy/ccpa#collapse6d 要するに、Flockは「サービスプロバイダー」であって、録音を行っている主体ではないんだ。彼らが「データブローカー」だと主張することもできるかもしれないけど(https://oag.ca.gov/privacy/ccpa#collapse1i)、それは別の法律の話だし、実際に見ているのはナンバープレート、時間、場所がデータとして収集され、あなたの同意なしに売られているってことだよね。もちろん、私は弁護士じゃないし(アメリカにも住んでないけど)、プライバシーが尊重されるのは好きだな :)

データの所有権については本当に興味深い話だね。ここで多くのスレッドがそのことに触れてるけど、完全に回避することができるのかな?CCPAの下では、「個人情報」は特定の消費者や世帯に直接または間接的に関連する情報として定義されているけど、所有権については何も言ってないんだ。Flockが顧客のためにデータを保存しているだけなら、削除する必要はないと思う。でも、彼らがそれをインデックス化したり、そこから派生させたり、顧客間で集計したり、プラットフォームを通じて共有したりしているなら、そのデータは削除する必要があると思う。でも、私は弁護士じゃないからね!

GDPRの下では、それは正しいと思う。CCPAはある程度GDPRからインスパイアを受けたと思うから、これもコピーしたら驚かないな。面白いことに、GDPRの下では、ウェブサイトに連絡するだけでいいんだよね。そしたら、彼らはプライバシーを重視する1207のパートナーに話をしに行かなきゃいけない。実際には「ごめん、全部『匿名』だから無理」とか「クッキーの識別子を提供しても、あなただとは確認できない」とか言われるんだろうけど。本当にNOYBがこういうウェブサイトに対して動き出さないのが残念だな。これじゃウェブ監視経済全体に水を差すことになっちゃうよ。

「それは私のデータであって、彼らの顧客のものじゃない。データが自分に関するものであっても、それが自分のデータだとは限らない。」

それが有効な言い訳なら、CCPAなんて紙くず同然だね。

書類のルールは、インクが乾いた瞬間に古くなるってことだよ。規制が施行される頃には、すでに抜け道や回避策が見つかっている(意図的に組み込まれている場合もあるけど)。

Hacker Newsで議論の続きを見る