米連邦通信委員会(FCC)、位置データ共有で大手通信事業者に制裁金を科す

 (docs.fcc.gov)
1 ポイント 投稿者 GN⁺ 2024-04-30 | 1件のコメント | WhatsAppで共有
  • FCCは、AT&T、Sprint、T-Mobile、Verizonが顧客の同意なしに位置情報を第三者へ違法に共有したことに対し、総額2億ドル近い罰金を科した
    • SprintとT-Mobileは調査開始後に合併しており、それぞれ1,200万ドルと8,000万ドルの罰金に直面している
    • AT&Tには5,700万ドル超、Verizonには約4,700万ドルの罰金が科された

顧客データ保護義務違反

  • FCC執行局の調査結果によると、各通信事業者は顧客の位置情報へのアクセスを「アグリゲーター」に販売し、アグリゲーターはさらに第三者の位置ベースサービス事業者へアクセスを再販売していた
  • 各通信事業者は、顧客の同意を得る義務を位置情報の下流受領者へ転嫁しようとしたが、これはほとんどの場合、有効な顧客同意を取得していなかったことを意味する
  • この当初の失敗は、安全措置が有効ではないと認識した後も、通信事業者が無断アクセスから保護するための合理的な措置を取らずに位置情報へのアクセス販売を続けたことで、さらに深刻化した

通信法第222条に基づく顧客情報保護義務

  • 通信法第222条を含む法令により、通信事業者は位置情報を含む特定の顧客情報を保護するために合理的な措置を講じなければならない
  • また通信事業者は、顧客情報の機密性を維持し、当該情報を使用・開示したりアクセスを許可したりする前に、積極的かつ明示的な顧客同意を得なければならない
  • これらの義務は、通信事業者が第三者と顧客情報を共有する場合にも同様に適用される

FCC執行局長 Loyaan A. Egal の発言

  • 「位置情報のような機微な個人データの保護と利用は、不可侵である」
  • 「誤った人物の手に渡ったり、悪意ある目的で使われたりすれば、私たち全員を危険にさらす」
  • 「海外の敵対勢力やサイバー犯罪者はこの情報を入手することを優先してきたため、サービス提供事業者が顧客の位置データを保護し、その利用について有効な同意を得るための合理的な保護措置を備えるようにすることが、執行局の最優先課題である」

2020年2月に発行された Notices of Apparent Liability (NAL) の最終確定

  • 本日発表された Forfeiture Orders は、2020年2月にこれらの通信事業者に発行された Forfeiture Orders を最終確定するもの
  • AT&TとSprintの罰金額は、NAL段階以降変更されていない
  • T-MobileとVerizonの罰金は、NALに対する当事者の提出資料を追加で検討した後、減額された
  • 法律上、NAL発行後に特定の違反に対する罰金額を引き上げることは認められていない

GN⁺の見解

  • 通信事業者が顧客の機微な位置情報を無断で流出させ、これを防ぐための安全措置も十分に整えていなかったことは、非常に深刻な問題だと考えられる。特に海外の敵対勢力やサイバー犯罪者がこうした情報を狙っている点で、なおさらである
  • ただし、今回の措置はあまりに遅すぎる印象がある。すでに2020年に罰金賦課が予告されていたとみられるのに、4年も経ってようやく最終決定が下されたのは問題があるように見える。顧客情報流出に対する迅速かつ厳格な措置が必要だと思われる
  • 一方で、この程度の罰金額はこの規模の通信事業者にとって大きな打撃にならない可能性がある。顧客情報流出の再発防止には、より強力な制裁手段が必要かもしれない
  • 国内の通信事業者は今回の事例を他山の石とし、顧客情報保護のための安全措置をさらに強化し、関連法規を徹底して順守しようとする努力が必要だと思われる。特に位置情報のような機微な情報については、より慎重であるべきだ

関連記事

1件のコメント

 
GN⁺ 2024-04-30
Hacker Newsの意見

以下は、Hacker Newsのコメントの要点をMarkdownの箇条書きでまとめたものです。

  • 核心的な問題は透明性:

    • ユーザーは、企業が自分たちの情報を誰に売却または提供したのか、またその取引にどのような制限があるのかを知りたいと考えている。
    • 企業がユーザーデータを収集し、別の主体にアクセスを許可するのであれば、ユーザーに通知し、簡単に拒否できるようにすべきだ。
    • 個人データの悪用の大半は、人々がそれが起きていると知っていればなくなるはずだ。

  • 2億ドルの罰金はこれらの通信事業者にとって取るに足らない:

    • T-Mobile、AT&T、Verizonの1日あたりの売上高を合計すれば、約9時間で1億9,600万ドルの売上を生み出せるにすぎない。
    • プライバシーポリシーに脚注を追加する以上の変化は、おそらく何も起きないだろう。

  • FCCの措置の有効性に対する懸念:

    • 別個のオプトアウトを義務付けない限り、通信事業者はEULAやプライバシーポリシーに「位置データの共有」を追加し、「同意」を得たことにして継続できてしまう。
    • これは長期的には何も変えない一時的な障害に見える。

  • FCCの措置に対する肯定的な反応:

    • FCCが行動を起こしているのを見てうれしく思い、この調子で続けてほしいと促す人もいる。

  • 法執行機関が令状を回避することへの疑問:

    • 米国の法執行機関が、この種の商用データを購入して令状取得を回避している可能性を懸念する声がある。

  • 個人データを使わないモバイルサービスを提供する関連スタートアップ:

    • Cape は、個人データを使用しないモバイルサービスのために、A16Zなどから6,100万ドルを調達した。

  • AT&T/NSA監視スキャンダルとの比較:

    • AT&TがNSAに復号済みのネットワークデータすべてへの傍受を許した件について、より悪質に思えるのに誰かに罰金が科されたのか疑問視する声もある。

  • 位置データ集約業者への影響に関する疑問:

    • Zumigo、LocationSmart、Microbiltのようなベンダーを使っている人の中で、これに関連してデータ信号や利用可能性の低下に気づいた人がいるのか気にする声がある。
    • 追跡ソースは引き続き利用可能だが、新たに「より透明性の高い」開示が付くだけだろうという見方もある。

  • Google Fiがユーザーの位置データを販売しているのかという疑問:

    • あるコメント投稿者は、Google自身のモバイルサービスであるGoogle Fiが、ユーザーのリアルタイム位置データを販売しているのか気にしている。