顔認証追跡から指紋データ漏洩まで、不正な生体認証データ収集に対抗する方法を学びましょう。イリノイ州BIPAによる保護、Metaの$1.4Bテキサス州和解、Clearview AIの判決、GDPR第9条の特別カテゴリーデータに関する権利。
あなたの顔、指紋、虹彩パターン、声紋、さらにはDNAは、固有の生体識別子であり、盗まれたり誤用されたりしても変更できないため、パスワードやクレジットカード番号よりもはるかに機密性が高いものです。しかし、企業は監視が不十分なまま、この生体認証データをますます収集しています。ソーシャルメディアアプリに顔認証を組み込んだり、職場のタイムレコーダーに指紋スキャンを使用したり、建物へのアクセスに虹彩スキャナーを導入したり、インターネットから何十億もの写真をスクレイピングして監視データベースを構築したりしており、多くの場合、明確な同意、十分なセキュリティ、データの使用方法や共有方法の開示なしに行われています。
不正な生体認証データ収集の結果は深刻です。顔の幾何学的データや指紋テンプレートがデータ漏洩で盗まれると、犯罪者はそれを永久になりすましに利用できます。新しい顔や指紋を手に入れることはできません。生体認証監視システムは、あなたの知らないうちに公共スペース、店舗、職場での動きを広範囲に追跡することを可能にします。顔認証システムに組み込まれた差別的なアルゴリズムは、驚くべき割合でマイノリティを誤認し、不当逮捕につながっています(2024年現在、米国で少なくとも6件の事例が記録されています)。企業はあなたの生体認証データを広告主、データブローカー、さらには権威主義的な政府に販売することで利益を得ています。
イリノイ州は2008年に生体情報プライバシー法(BIPA)を制定し、書面による同意と開示なしに生体認証データを収集する企業を個人が訴える私的訴権を付与する、国内で最も強力な生体認証プライバシー法を先導しました。BIPAは、過失による違反ごとに$1,000、無謀または意図的な違反ごとに$5,000の法定損害賠償を規定しており、実際の損害の証明は不要です。テキサス州はその後、生体識別子の取得または使用に関する法律(CUBI)を制定しました(2023年の改正で執行が強化されました)。カリフォルニア州のCCPAは、生体認証データを強化された保護を必要とする機密性の高い個人情報として分類しています。そして、欧州連合のGDPR第9条は、生体認証データを明示的な同意と厳格なセキュリティを必要とする「特別カテゴリー」データとして扱っています。
主要な和解がこれらの保護を裏付けています。Metaは、同意なしに顔認証データを収集したとして、テキサス州に$1.4Bを支払いました(2024年)。これは単一州による最大のプライバシー和解です。Metaは以前、Facebookの写真タグ付けに関するイリノイ州BIPA集団訴訟を和解するために$650Mを支払いました。Clearview AIは、何十億もの写真をスクレイピングしたことに対するイリノイ州の請求を和解するために$50Mを支払いました。Googleは、Google Photosの顔認証(イリノイ州)に対して$100Mを支払いました。Amazon Ring、Six Flags、Snapchat、TikTok、その他多数の雇用主が、$500,000から$100Mに及ぶBIPA和解金を支払っています。個人のBIPA請求は、1人あたり$5,000〜$15,000を定期的に生み出しています。このガイドは、生体認証プライバシー侵害を特定し、あなたの権利を理解し、補償を得るためのあらゆる手段を追求する方法を示します。
イリノイ州BIPA(740 ILCS 14/)は、米国で最も強力な生体認証プライバシー法です。これは、イリノイ州居住者の生体識別子(顔の幾何学的データ、指紋、声紋、虹彩スキャン、網膜スキャン、手のスキャン、歩容認証)を収集、取得、保存、または使用するあらゆる民間事業体に適用されます。たとえその企業が他の場所に拠点を置いていたとしてもです。企業は以下のことを行わなければなりません。(1) 書面による保持および破棄の方針を策定し、公開すること。(2) 生体認証データが収集されていることを書面で通知すること。(3) 書面による同意を得ること。(4) 生体認証データを販売、貸与、またはそれによって利益を得ないこと。(5) 生体認証データを保護するために合理的な注意を払うこと(金融データと同じ基準)。
BIPAの主要な権限:私的訴権。行政上の苦情を申し立てることなく、イリノイ州裁判所に直接訴訟を提起できます。損害賠償:過失による違反ごとに$1,000、意図的または無謀な違反ごとに$5,000、加えて弁護士費用。実際の損害の証明は不要です。違反自体が請求権を生じさせます。裁判所は、各スキャンが個別の違反となり得ると判断しています(例:雇用主が2年間にわたってタイムレコーダーのためにあなたの指紋を500回スキャンした場合、潜在的な損害賠償額は$500,000〜$2.5Mですが、裁判所は通常、それよりも低い額を裁定します)。時効:5年(書面による開示違反の場合は1年の場合もあります—複雑です)。
Common BIPA Violations:
一般的なBIPA違反:雇用主が書面による同意なしに指紋スキャンを要求する。Facebookが同意なしに顔認証を使用して写真にあなたをタグ付けする。セキュリティシステムが開示なしに建物への入室のためにあなたの顔をスキャンする。小売業者が通知なしに顧客追跡のために顔認証を使用する。アプリが同意なしにあなたの声紋を分析する。
テキサス州商法典第503章(2023年強化)は、生体識別子(顔の幾何学的データ、声紋、網膜/虹彩スキャン、指紋、手のスキャン、キーストロークダイナミクス)を保護します。企業は以下のことを行わなければなりません。(1) 生体認証データが取得されていることを個人に通知すること。(2) 同意を得ること(利用規約に含めることも可能ですが、明確である必要があります)。(3) 目的が達成された後、合理的な期間内にデータを破棄すること。(4) 合理的な注意を払ってデータを保護すること。禁止事項:同意なしに生体認証データを販売、貸与、または開示することはできません。
執行:テキサス州司法長官は、差止命令による救済と違反ごとに$25,000を求めて訴訟を提起できます。私的訴権:個人は、損害を被った場合に実際の損害賠償と弁護士費用を求めて訴訟を提起できます。イリノイ州BIPAとは異なり、テキサス州CUBIは個人の訴訟において実際の損害の証明を要求します(より困難な負担)が、州の執行は積極的であり、Metaの$1.4B和解はテキサス州司法長官がCUBI + Texas DTPAに基づいて提起したものです。集団訴訟も可能です。
Note:
テキサス州司法長官の執行優先事項(2024年):ソーシャルメディアの顔認証、同意なしの従業員の生体認証追跡、生体認証データを暴露するデータ漏洩、第三者への生体認証データの販売。
CCPA(Cal. Civ. Code § 1798.100 et seq.)は、「生体情報」(顔画像、虹彩スキャン、指紋、声紋、キーストロークパターン、歩容など、識別に使用できる生理学的、生物学的、または行動的特性)を「機密性の高い個人情報」として分類しています。企業は以下のことを行わなければなりません。(1) プライバシーポリシーで生体認証データの収集を開示すること。(2) オプトアウト権を提供すること(消費者は必要な目的に限定して利用を制限できる)。(3) 明示的なオプトイン同意なしに生体認証データを販売しないこと。違反:カリフォルニア州司法長官またはプライバシー保護機関は、違反ごとに$2,500(意図的な場合は$7,500)の罰金を科すことができます。データ漏洩:合理的なセキュリティの欠如により生体認証データが漏洩した場合、消費者は事件ごとに$100〜$750、または実際の損害賠償(いずれか大きい方)と弁護士費用を求めて訴訟を提起できます。イリノイ州BIPAとは異なり、CCPAはデータ漏洩がない限り、同意なしの収集に対する法定損害賠償を規定していません。
RCW 19.375は、消費者を生体識別システムに登録する企業に対し、以下のことを義務付けています。(1) 登録の目的と期間を通知すること。(2) 同意を得ること。(3) 目的が達成されたとき、または3年以内にデータを破棄すること。違反は、消費者保護法に基づきワシントン州司法長官によって執行され、違反ごとに最大$7,500の罰金が科せられます。私的訴権:消費者は、損害を被った場合に実際の損害賠償、差止命令による救済、および弁護士費用を求めて訴訟を提起できます。CCPAよりも強力ですが、イリノイ州BIPAよりも弱いです(個人の損害賠償には損害の証明が必要です)。
GDPR第9条は、固有の識別に使用される生体認証データ(顔認証、指紋照合、虹彩スキャン、DNA)を「特別カテゴリー」の個人データとして分類しており、明示的な同意(単なるオプトインではなく、肯定的で、情報に基づいた、自由に与えられた同意)または他の第9条の例外(例:法的根拠のある実質的な公共の利益)を必要とします。管理者は、生体認証処理のためにデータ保護影響評価(DPIA)を実施しなければなりません。セキュリティ要件は強化されています。
違反:最大€20Mまたは全世界年間売上高の4%(いずれか高い方)。個人は第82条に基づき、物質的および非物質的損害賠償を求めて訴訟を提起できます(EUの裁判所は、精神的苦痛を引き起こす生体認証GDPR違反に対して€2,000〜€10,000を裁定しており、データ漏洩や差別があった場合はさらに高額になります)。消去権(第17条):同意が無効であったり、データがもはや不要である場合、生体認証データの削除を要求できます。各国のDPA(データ保護機関)が執行します—あなたのEU加盟国のDPAに苦情を申し立ててください。
Major GDPR Fines:
主要なGDPR生体認証関連の罰金:Clearview AI(違法な顔認証データベースに対して複数のEU加盟国で€20M以上の罰金)、H&M(従業員監視に対して€35M)、British Airways(生体認証パスポートデータ漏洩に対して£20M)。
包括的な連邦生体認証プライバシー法はまだありませんが、以下のものがあります。(1) FTC法第5条:FTCは、企業がプライバシーポリシーの約束に反して、または開示なしに生体認証データを収集した場合、不公正/欺瞞的な行為として企業を訴えることができます。Snapchat、TikTok、FacebookはFTCの苦情を和解しました。(2) 児童オンラインプライバシー保護法(COPPA):13歳未満の子供から検証可能な親の同意なしに生体認証データを収集することを禁止しています。(3) 提案されている連邦法:国家生体情報プライバシー法(審議中、イリノイ州BIPAをモデルとしている)、第四修正条項は販売用ではない法(政府による生体認証データの購入を制限)。(4) 連邦機関:HHS HIPAAは、医療機関によって収集された生体認証データを対象としています。空港でのTSA顔認証はプライバシー法の対象ですが、救済措置は限定的です。
テキサス州司法長官は、Meta(Facebook)が同意なしに写真タグ付けを通じて何百万ものテキサス州民の顔認証データを収集したとして、テキサス州CUBIおよび欺瞞的商慣行法に基づき訴訟を提起しました。Facebookの顔認証機能は、アップロードされた写真の顔を自動的にスキャンしてタグを提案し、顔の幾何学的データを収集していました。和解:$1.4B(単一州による最大のプライバシー和解)が5年間にわたって支払われます。Metaは、テキサス州で明示的な同意なしに顔認証の使用を停止し、以前に収集したデータを削除し、監視を受けることに同意しました。意義:連邦法がない場合でも、州の司法長官が州の生体認証法に基づいて巨額の損害賠償を確保できることを証明しました。
集団訴訟Patel対Facebookは、Facebookの写真タグ付け顔認証が、160万人のイリノイ州ユーザーから書面による同意なしに顔の幾何学的データを収集・保存することでイリノイ州BIPAに違反したと主張しました。連邦裁判所は$650Mの和解を承認しました(1人あたり平均$397、使用年数に応じて$300〜$500を受け取る人もいました)。要件:2011年6月から2021年8月の間にFacebookアカウントを持ち、あなたまたは友人が写真に写っていたイリノイ州居住者であること。意義:当時最大のBIPA和解であり、最大のプライバシー集団訴訟でした。友人によってアップロードされた写真(あなた自身ではない)であっても、写真の自動顔認証がBIPAの同意要件をトリガーすることを確立しました。
Clearview AIは、ソーシャルメディア、ウェブサイト、公開インターネットから300億枚の写真をスクレイピングし、法執行機関や民間企業に販売する顔認証データベースを構築しました。イリノイ州居住者はBIPAに基づき訴訟を提起しました。和解(2024年):$50M(集団訴訟のメンバーにはClearviewの株式で支払われる—物議を醸す構造)、加えて全国的な差止命令:Clearviewは米国で民間企業にデータベースへのアクセスを販売することを禁止され、生体認証データがデータベースにある場合は個人に通知し、オプトアウトを許可しなければなりません。別途の和解:ACLUとの和解はClearviewの使用を制限しました。複数のEU加盟国はGDPRに基づきClearviewに€20M以上の罰金を科しました。カリフォルニア州、バーモント州で係争中の訴訟があります。意義:公開された写真であっても、公開されている写真をスクレイピングして顔認証データベースを構築することはBIPAに違反することを確立しました。
Google Photosの顔認識グループ化機能(人物ごとに写真を整理する「顔クラスタリング」)が、書面による同意なしに顔の幾何学的データを収集・保存したことでBIPAに違反したと集団訴訟で主張された。和解:2015年5月から2023年4月の間にGoogle Photosを使用し、写真に写っていたイリノイ州居住者に対し1億ドル。平均支払額:1人あたり150ドル~400ドル。Googleは、イリノイ州での顔認識に先立ち、より明確なBIPA開示を提供し、同意を得ることに合意した。意義:Googleに対する初の主要なBIPA和解であり、クラウド写真サービスがBIPAの対象となることを示している。
FTCは、Ringドアベルカメラに関してAmazonを提訴した。(1) 従業員が親密な瞬間を含む顧客のビデオ録画に無制限にアクセスできるようにしたこと。(2) 同意なしに顧客のビデオで顔認識を使用してAIを訓練したこと。(3) ハッカーがカメラにアクセスする原因となったセキュリティの不備。和解:消費者救済のために580万ドル。Amazonは、不適切に収集されたデータを削除し、プライバシー保護策を実施し、明示的な同意なしにAI訓練のために顧客のビデオを使用することを停止することに合意した。意義:特定の連邦生体認証法がない場合でも、FTCがセクション5に基づき生体認証プライバシーを執行することを示した。
Rosenbach対Six Flags事件(イリノイ州最高裁判所2019年)は、BIPAの重要な判例を確立した。Six Flagsは、書面による同意または開示なしに、ティーンエイジャーのシーズンパスのために指紋をスキャンした。イリノイ州最高裁判所は、同意なしに収集が行われた時点でBIPA違反が発生し、実際の損害の証明は不要であると判決した(下級裁判所の却下を覆した)。その後の集団訴訟は3600万ドルで和解した(2013年から2018年の間に指紋をスキャンされたイリノイ州のシーズンパス保有者)。平均支払額:1人あたり200ドル~400ドル。意義:具体的な損害がなくてもBIPAの効力を確立した画期的な判例。
Snapchatの拡張現実レンズ/フィルター(子犬の耳、顔交換など)が、BIPAの同意なしに顔認識を使用して顔の幾何学的データをマッピングしたと集団訴訟で主張された。和解:2015年1月から2022年11月の間にレンズを使用したイリノイ州のSnapchatユーザーに対し3500万ドル。平均:1人あたり58ドル。Snapchatは、イリノイ州でBIPAの開示を提供することに合意した。意義:「楽しい」ARフィルターが顔の幾何学的データを収集する場合、BIPAの対象となり、「商業的エンターテイメント」として免除されないことを確立した。
TikTokが(1) 同意なしに顔認識および声紋データを収集し(イリノイ州BIPA請求)、(2) データを中国と共有し、(3) 子供のプライバシーを侵害したと主張する21件の訴訟が集団訴訟として統合された。和解:2021年10月時点の米国TikTokユーザーに対し9200万ドル(2021年)。イリノイ州BIPAの請求者は、活動レベルに応じて増額された支払い(167ドル~500ドル)を受け取った。TikTokは、特定のデータ収集慣行を停止し、より明確なプライバシー開示を提供することに合意した。意義:中国資本の主要プラットフォームに対する初の主要なBIPA和解の一つ。
数百のイリノイ州の雇用主が、書面による同意なしにタイムクロックのために指紋スキャンを要求したとしてBIPAに基づき提訴されている。マクドナルドのフランチャイズ(5000万ドルの和解)、モンデリーズ/ナビスコ(500万ドル)、運送会社、倉庫、医療施設など。ほとんどの場合、影響を受けた従業員1人あたり500ドル~5,000ドルで和解している。意義:職場における生体認証システムがBIPAに準拠しなければならないことを確立した。雇用主と従業員の関係は免除を生み出さない。実務上の影響:ほとんどのイリノイ州の大規模雇用主は、現在、生体認証タイムクロックの代わりにバッジを使用している。
生体認証プライバシー訴訟では、(1) 企業があなたの生体認証データを収集/保存したこと、(2) 適切な同意/開示なしに、(3) 適用法に違反して、を証明する必要があります。証拠を収集する方法は以下の通りです。
どのような生体認証データが収集されたかを文書化する:顔認識(防犯カメラ、アプリフィルター、写真タグ付け)、指紋スキャン(タイムクロック、建物へのアクセス、電話のロック解除)、虹彩/網膜スキャン(空港セキュリティ、高セキュリティアクセス)、声紋(音声アシスタント、コールセンター)、歩容認識(監視システム)。証拠:デバイス/標識の写真を撮る、生体認証アクセスを示すアプリの許可をスクリーンショットする、顔認識または生体認証データに言及しているプライバシーポリシーを確認する。
イリノイ州BIPA請求の場合、企業が以下のものを提供しなかったことを示す必要があります。(1) 生体認証データが収集されていることの書面による開示、(2) 保存目的と期間の書面による開示、(3) 書面による同意(生体認証データの収集に同意する署名またはチェックボックス)。証拠:生体認証同意書に署名したことがないことを示す。同意が一般的な利用規約やプライバシーポリシーの中に「埋もれて」おり、生体認証に関する特定のセクションがなかった場合、それはBIPAの「書面による開示と同意」要件を満たさないことが多い(裁判所は、BIPAが一般的なプライバシーポリシーの文言ではなく、別途具体的な開示を要求すると判決している)。雇用主がトレーニングや同意書なしに指紋タイムクロックを導入した場合、それは強力な証拠となる。採用書類を確認し、生体認証に関する同意がない場合、あなたは請求権を有します。
イリノイ州BIPA:イリノイ州居住者またはイリノイ州施設の従業員である必要があります。テキサス州CUBI:テキサス州居住者。CCPA:カリフォルニア州居住者。GDPR:EU居住者であるか、あなたのデータがEU内の管理者によって処理された場合。証拠:居住地を証明する(公共料金の請求書、運転免許証、イリノイ州の勤務地を示す雇用記録)。イリノイ州BIPAは、企業が他の場所に拠点を置いていても適用されます—あなたがイリノイ州に住んでいる/働いており、彼らがあなたの生体認証データを収集した場合、BIPAが適用されます。
企業が実際に生体認証データを収集/保存したことを示す:あなたの名前を含むFacebookの写真タグ付け提案のスクリーンショット。指紋タイムクロックの打刻記録(データアクセス権に基づき雇用主に請求)。顔認識許可を要求するアプリ。監視カメラの映像(GDPR第15条/CCPAアクセス権に基づき請求)。生体認証データ侵害通知(企業が侵害を通知した場合)。専門家の証言(開示されていなくてもアプリが顔認識を使用していることを示すフォレンジック分析)。
イリノイ州BIPA:損害の証明は不要—違反自体が請求権を生じさせる。テキサス州CUBI私的訴訟:実際の損害(精神的苦痛、違反に対処するための時間/費用、個人情報盗難のリスク)を証明する必要がある。CCPA:データ侵害または実際の損害を証明する必要がある。GDPR:金銭的損害がなくても「非物質的損害」(精神的苦痛、不安)について回復できる。損害を文書化する:違反に関連する不安/治療の医療記録。問題に対処に費やした時間(時間数×合理的な時給)。生体認証データが侵害された場合の個人情報盗難未遂の証拠。ストーカー行為のリスクが生じた場合の嫌がらせの連絡のスクリーンショット。
より高額なBIPA損害賠償(意図的な違反で5,000ドル vs 過失による違反で1,000ドル)の場合:企業がBIPAを知っていたことを示す。証拠:企業にイリノイ州の従業員/顧客がいる(BIPAを知っているはず)。企業または業界に対する過去のBIPA訴訟。企業契約におけるBIPA遵守条項。BIPAについて議論する社内メール(訴訟で開示可能)。企業が通知された後もBIPAを無視した場合、それは無謀/意図的である。
確認事項:(1) 企業はあなたの顔認識、指紋、虹彩スキャン、声紋、その他の生体認証データを収集しましたか? (2) あなたは保護された管轄区域(イリノイ州、テキサス州、カリフォルニア州、EUなど)にいますか? (3) あなたは適切な書面による同意を与えましたか(BIPAの場合、これは一般的な利用規約だけでなく、別途の開示と同意を意味します)? (4) 企業は必要な手続き(保持ポリシー、破棄期限、セキュリティ対策)に従いましたか? 企業がイリノイ州で書面によるBIPA同意なしに生体認証データを収集した場合、あなたはほぼ確実に請求権を有します—直ちに弁護士に相談してください(時効は5年ですが、遅延しないでください)。
証拠を収集するためにあなたのデータを請求する:イリノイ州:BIPA第15条(c)を引用し、(1) 収集されたすべての生体認証データ、(2) 書面による保持および破棄ポリシー、(3) 生体認証データが共有された第三者のリスト、(4) 収集および保存の日付を求める書面による請求を送付する。カリフォルニア州CCPA:「特定の個人情報」として生体認証データ、情報源、第三者受領者を請求する。EU GDPR第15条:すべての生体認証データ、処理目的、受領者、保持期間、自動意思決定の存在を請求する。企業は30~45日以内に対応しなければならない。データの提供拒否は、違反の追加証拠となる。
個別訴訟を提起する前に、あなたの状況に該当する集団訴訟が存在するか確認する:「[Company Name] BIPA class action」または「[Company Name] biometric lawsuit」で検索する。classaction.org、topclassactions.com、ilbipalitigation.comを確認する。イリノイ州BIPA訴訟:雇用主(製造業、医療、小売)、テクノロジー企業(顔認識アプリ)、家主(建物アクセスシステム)に対して多くの訴訟が係属中。集団訴訟が存在し、あなたが資格を満たす場合、参加は簡単(和解が承認された際に請求書を提出)。集団訴訟はないが多くの人が影響を受けている場合、弁護士が集団訴訟を提起する可能性がある(和解交渉のレバレッジが高まる)。
以下の分野を専門とする弁護士を見つける:BIPA訴訟(イリノイ州)、プライバシー法、消費者保護、雇用法(職場での生体認証請求の場合)。ほとんどのBIPA弁護士は成功報酬制で働く(回収額の33~40%、前払い費用なし)。その理由は、BIPAが勝訴した原告が被告から弁護士費用を回収することを認めているためである。法定損害賠償(違反1件につき1,000ドル~5,000ドル)は、損害の証明がなくても訴訟を経済的に実行可能にする。初回相談は通常無料。弁護士は、請求の強さ、被告の資産(判決無効の小規模企業を訴える意味はない)、個別訴訟か集団訴訟か、潜在的な和解額を評価する。
イリノイ州BIPA:イリノイ州裁判所に直接提訴する(行政手続きは不要)。管轄:違反が発生した郡または被告が事業を行う郡。テキサス州CUBI:テキサス州裁判所に提訴する。損害賠償のために実際の損害を示す必要がある場合がある。カリフォルニア州/その他の州:適用されるプライバシー法、コモンロー(プライバシー侵害、過失)に基づいて提訴するか、司法長官による執行を待つ。多くのケースは裁判前に和解する。雇用主は、訴訟費用と判例を避けるため、BIPA請求を従業員1人あたり2,000ドル~10,000ドルで和解することが多い。テクノロジー企業は、集団訴訟の認定が確実な場合、早期に和解する可能性がある。弁護士からの請求書は、違反が明確な場合、迅速な和解につながることがある。
ディスカバリー:あなたの弁護士は、企業の記録を召喚する:生体認証データ保持ポリシー、ITシステム文書、同意書(またはその欠如)、あなたの生体認証データにアクセスした人物の記録、ベンダーとの通信、過去の訴訟。専門家証人:生体認証システムのフォレンジック分析、セキュリティ分析(データ侵害の場合)、損害賠償額の計算。クラス認定(集団訴訟の場合):弁護士は、共通性(すべてのクラスメンバーが同じ請求権を持つこと)、適切性(代表原告が典型的であること)、多数性(十分なクラスメンバーがいること)を証明しなければならない。裁判または仲裁:和解しない場合、裁判(陪審または裁判官)。BIPA訴訟は、企業が証拠が強力であると認識した際に、ディスカバリー中に和解することが多い。控訴:BIPA法はまだ発展途上であり、一部のケースは法的解釈のためにイリノイ州最高裁判所に持ち込まれる。
企業に圧力をかけ、他の人々を保護するために、規制当局に苦情を申し立てることもできます:イリノイ州司法長官:BIPA違反を主張する苦情を申し立てる(司法長官が調査または訴訟に参加する可能性がある)。カリフォルニア州プライバシー保護庁:CCPA違反を主張する苦情を申し立てる(罰金につながる可能性がある)。FTC:企業が欺瞞的なプライバシーの約束をした場合、またはCOPPA(子供)に違反した場合、reportfraud.ftc.govで苦情を申し立てる。EU:GDPR第9条違反を主張し、各国のデータ保護機関(例:英国のICO、フランスのCNIL)に苦情を申し立てる。規制当局の措置は、私的訴訟と並行して行われ、和解圧力を高めることができる。
生体認証データを保護し、違反に対する補償を追求するために、以下の手順に従ってください