スペインのデータ保護当局は、ワールドコインに対し、市場からの個人データの収集と処理を一時的に停止するよう命じました。また、ワールドコインは、以前に同市場で収集したデータの処理も停止しなければなりません。
サム・アルトマン氏が創設した、物議を醸している眼球スキャンブロックチェーン暗号プロジェクトは、世界展開の一環として昨年7月に市場で運用を開始した。
スペイン当局は、一時的なデータ処理停止命令に欧州連合の一般データ保護規則(GDPR)に含まれる「緊急手続き」権限を使用している。つまり、命令の有効期間は最長3か月(つまり6月中旬まで)となる。
「スペインのデータ保護局(AEPD)は、Tools for Humanity Corporationに対し、ワールドコインプロジェクトの枠組み内でスペインで実施している個人データの収集と処理を停止し、すでに収集されたデータをブロックするよう予防措置を命じた」とDPAはプレス声明で述べた(スペイン語、これは機械翻訳)。
GDPRは、EU加盟国の個人データの処理方法を規制し、氏名、連絡先、生体認証情報、その他の識別情報などの情報を扱う事業者に対し、事業運営の正当な法的根拠を有することを義務付けています。この制度に違反した場合、世界全体の年間売上高の最大4%に相当する罰金が科せられる可能性があります。データ保護当局は、EU加盟国における個人データ処理の停止を求める権利を有しており、本件のように、人々の権利が深刻なリスクにさらされている懸念がある場合には、一時的な停止も含め、違法な処理の停止を求めることができます。
AEPDは、昨年夏にワールドコインが市場で事業を開始して以来、同社が提供する処理に関する情報のレベル、未成年者からのデータ収集、同意の撤回が許可されていないことなどに関する苦情がいくつか寄せられていると述べた。
「[GDPR]において特別な保護対象とされている生体認証データの処理は、その機密性を考慮すると、人々の権利にとって高いリスクを伴います。したがって、この予防措置は、個人データの処理を直ちに停止し、第三者への移転を防止し、個人データ保護に関する基本的権利を保護することを目的とした暫定措置を講じることが必要かつ相当であると判断される例外的な状況に基づく決定です」と声明は述べている。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
ワールドコインは、独自の生体認証システムへの登録を試みているが、この取り組みは論争を巻き起こしている。開発者らは、このシステムにより、固有識別子(ワールドID)を用いてオンラインで人間であることを確認できるようになると主張している。このシステムには、固有識別子を生成する虹彩スキャンの準決済として、ワールドIDを冠したトークンを提供するという暗号通貨が絡んでいる。
処理されるデータの機密性(眼球スキャン)、主張される目的(一意かつ取り消し不可能な識別子の作成)、人々のデータの処理を担当する団体に関する不透明性(ケイマン諸島で法人化された自己宣言の「非営利団体」を含む、営利団体と財団の混合を含む)、ブロックチェーンと暗号通貨の使用など、いくつかの問題を考えると、プライバシーとデータ保護に関する懸念が広がっています。
昨年12月、AEPDはTechCrunchに対し、Worldcoinに対する苦情を受けたことを確認しました。当時、AEPDは苦情を「分析中」と説明していました。私たちは本日、AEPDに問い合わせを行いましたが、その後も苦情が寄せられているようで、GDPR第66条に基づく権限を発動する決定に至りました。
ワールドコインの地域展開は、スペインの数カ所を含む欧州のいくつかの市場で多数のポップアップスキャン拠点を設置するという形で行われ、すぐに欧州のプライバシー規制当局の監視の対象となった。
フランスのデータ保護当局は昨年、調査を開始しました。しかし、ワールドコインの子会社がドイツに存在することから、調査はバイエルン州のデータ保護当局(DPA)に引き継がれました。規制当局はGDPRのワンストップショップ(OSS)メカニズムを適用すると判断したためです。(AEPDのプレスリリースでも、「Tools for Humanity Corporationは、欧州拠点をドイツに置いています」と明記されています。)
7月にバイエルン州データ保護局はTechCrunchに対し、ワールドコインの調査は「データ処理の透明性とセキュリティに関する疑問を解明する」ことを目的としていると語った。その目的には、データ主体が自身のデータの処理方法やその目的を明確に理解するのに十分な情報が提供されているか、データ主体の権利(消去権、異議申し立て権、同意撤回権など)が保証されているか、そして企業が不正なデータアクセスに対して十分な保護策を講じているかなどが含まれる。
また、同社は当時、ワールドコインがデータ保護影響評価を実施したかどうかを確認しようとしているとも述べていた。
私たちはバイエルン当局に調査の状況について連絡しており、回答があればこのレポートを更新します。
最新情報:バイエルン州当局の広報担当者は次のように述べた。「個々の法的および技術的問題に関する調査は順調に進んでいます。主導当局として、既に膨大な数の文書を分析し、現地調査も実施しました。これにより、欧州の同僚たちに手続きの最終評価を速やかに提示できる見込みです。スペインの同僚から委託された事項についても、評価を行う予定です。」
「これまでのところ、我々の調査の予備的結果、データ主体の権利に対するリスクの評価、そして我々の調査が間もなく終了することを考慮すると、管理者に対する正式な暫定措置を講じる十分な正当性は見出せませんでした」と彼らは付け加えた。
スペイン当局が国内ユーザーを保護するために一方的な措置を講じる必要性を感じていることは、DPA間で最善の対応策について意見の相違があることを示唆している。また、バイエルン州当局が調査を終了するまでに要する時間の長さについても懸念を抱いている可能性がある。
本稿執筆時点では、ワールドコインのウェブサイトには、同社独自の眼球スキャン装置を使って眼球スキャンを受けることができるスペイン国内の拠点が29か所掲載されている。
ワールドコインの開発を主導し、ワールドアプリを運営する営利テクノロジー企業、ツールズ・フォー・ヒューマニティに、AEPDの行動について、そして同社がスペインにおける眼球スキャンを停止したかどうかについて確認を求めました。同社はこの質問には回答しませんでしたが、ドイツに拠点を置くデータ保護責任者(DPO)のヤニック・プライウィッシュ氏を名乗る電子メールによる声明文を送付しました。プライウィッシュ氏は、「当社は常に規制当局と連携し、彼らのフィードバックを検討し、質問に答える用意があります」と述べています。
声明の中でプライウィッシュ氏はさらに、「ワールドIDは、人々にオンライン上でのアクセス、プライバシー、保護を提供するために作られた」と主張し、「AI時代に人間らしさを主張するための、最もプライバシーを保護し、最も安全なソリューション」と称した。
プライヴィッシュ氏の声明は、バイエルン州データ保護当局によるワールドコインに対する公開調査に言及しており、バイエルン州データ保護当局はGDPRのOSS(オープンソースプログラム)に基づくワールドコイン財団とツールズ・フォー・ヒューマニティの主導DPAであるとし、バイエルン州当局と「数ヶ月間」「協議」してきたと述べています。しかし、プライヴィッシュ氏は、当局が調査を完了したかどうかについては明言していません。
それどころか、ワールドコインのDPOは攻撃を開始し、AEPDは「今日の行動でEU法を回避している」と非難し、スペイン当局は自社の技術に関して「不正確で誤解を招く主張を広めている」と主張している。
プライウィッシュ氏の声明の残りの部分は次のとおりです。
スペインのデータ保護当局(AEPD)は、本日の措置によりEU法を回避しており、その措置はスペインに限定されており、EU全体ではなく、当社の技術に関する不正確で誤解を招くような主張を世界中に広めています。AEPDと協議し、ワールドコインとワールドIDに関する正確な見解を提供しようと努力してきましたが、何ヶ月も回答が得られていません。今回、この不可欠かつ合法的な技術に関する重要な事実をAEPDがより深く理解できるよう支援する機会を得られたことを大変嬉しく思います。
AEPDに対し、ワールドコインの告発に対する回答の意思があるかどうか尋ねた。しかし、当局が「EU法を回避している」という主張については、プライウィッシュ氏はGDPR第66条について改めて確認する必要があるかもしれない。同条は、監督当局が「データ主体の権利と自由を保護するために緊急の措置を講じる必要がある」と判断した場合、最大3ヶ月間、地域的に「即時に暫定措置を講じる」ことを認めている。
12月、ワールドコインがフランス、インド、ブラジルでの監視を中止したことが明らかになったが、同社はこの撤退を一時的な規模縮小だと宣伝しようとしていた。
昨年は、ケニアのデータ保護当局がワールドコインの国内処理を禁止するという、もう一つの痛手がありました。これを受けてケニア政府はスキャンの停止を命じる法令を発令し、現在も有効となっています。
Worldcoin.orgのウェブサイトには現在、アイボールスキャンが利用可能な国が9カ国掲載されている。ヨーロッパではドイツ、スペイン、ポルトガル、中南米ではアルゼンチンとチリ、アジアでは日本とシンガポール、メキシコと米国である。
ワールドコインの正式ローンチにより、欧州でプライバシーに関する迅速な調査が開始
