Coinbaseの裏切り:カスタマーサポートがデジタルアイデンティティを暴露した方法
目次
Coinbaseのカスタマーサポートはどのようにして私の身分証明書を販売したのか?
内部調査によると、Coinbaseのカスタマーサポートは、パスポートや運転免許証などの身分証明書のコピーを、隠れた手数料と引き換えにマーケティング会社と共有していた。これはGDPRとePrivacy規則に違反し、機密データの違法な処理に該当する。
ログインの問題でサポートに電話した数週間後、自分のパスポート写真が広告データベースにあることを想像してほしい。まさにそれが、Coinbaseの調査で明らかになりつつあることだ。
元従業員がWiredに、サポートチームが身元確認会社と秘密の契約を結んでいたことを暴露。ユーザーがKYCのために書類を送信するたびに、そのコピーが広告プロファイリングのために転売されていた。すべて明示的な同意なしに。
法的違反:悪夢のようなリスト
この慣行はGDPRの少なくとも3つの柱に違反している:
- 第6条(適法性):マーケティング目的の処理は決して許可されていない。
- 第9条(機密データ):身分証明書は生体データであり、明示的な同意が必要。
- 第32条(セキュリティ):暗号化なしで第三者とコピーを共有することはセキュリティ上の欠陥である。
さらに、ePrivacy指令(イタリアではD.Lgs. 69/2021で国内法化)は、収集目的以外でのトラフィックデータの使用を禁止している。Coinbaseは確認データをマーケティングに使用し、この規則にも違反した。
裏切りの仕組み:どのように機能していたか
文書によると、システムは単純だった:サポート担当者はチケットを解決した後、「確認のために共有」ボタンをクリック。実際には、そのボタンはスキャンを米国の外部サーバーに送信し、データブローカー企業が管理していた。共有ごとに担当者には5ドルのボーナスが支払われた。
問題は、ユーザーが決して通知されなかったことだ。通話中も、その後も。同意は利用規約の40ページのパラグラフに埋もれ、理解不能な法律英語で書かれていた。
防御方法:即時行動
Coinbaseサポートに連絡したことがあるなら、以下を実行せよ:
- データへのアクセスを要求(GDPR第15条)し、どの書類が共有されたかを正確に把握する。
- 同意を撤回する(GDPR第7条)マーケティング目的の処理に対して。
- イタリアまたはアイルランドのプライバシー当局に苦情を申し立てる(Coinbaseの欧州拠点はアイルランド)。
最も深刻なのは、この慣行が体系的である可能性があることだ。単一の担当者のミスではなく、インセンティブ付きのプログラムだ。Coinbaseはユーザーのアイデンティティを転売して数百万を稼ぎ、ユーザーは安全だと思っていた。
皮肉なことに、金融セキュリティを保証すべき存在(暗号通貨取引所)がユーザーの信頼を裏切った。教訓は明確だ:最も信頼できるプラットフォームにも暗い側面がある。カリフォルニア州CCPA/CPRAは意図的な違反ごとに最大7,500ドルの罰金を科すが、米国モデルと比較して、GDPRはより強力な保護を提供する:ポータビリティ権、削除権、集団訴訟。イタリアでは、集団訴訟で数十億の賠償が発生する可能性がある。

NakedPact 編集委員会
NakedPact 編集部が作成した記事です。私たちの使命は、一般市民や消費者を保護するために、日常の契約に潜む不当な条項や隠れたリスクを分析、簡素化、および明らかにすることです。

おすすめ記事
🛡️ ワンクリックで権利を守る
不当な条項に署名するリスクを避けてください。Chrome または Firefox 用の無料の NakedPact 拡張機能をインストールして、Web 上のあらゆる契約を即座に分析します。
