1 ポイント 投稿者 GN⁺ 2024-04-30 | 1件のコメント | WhatsAppで共有
  • 顧客のリアルタイム位置情報へのアクセス権が同意なしに外部共有された事案について、FCCがAT&T、Sprint、T-Mobile、Verizonに対し総額2億ドル近い制裁金を確定
  • 通信事業者は位置情報アクセス権をアグリゲーターに販売し、アグリゲーターはこれをさらに第三者の位置情報ベースサービス事業者へ再販売
  • 顧客同意の確保責任を下流の受領者に委ねる構造だったが、多くのケースで有効な同意が確保されておらず、保護措置も十分ではなかった
  • 制裁金はSprintが1,200万ドル超、T-Mobileが8,000万ドル超、AT&Tが5,700万ドル超、Verizonが約4,700万ドルで、SprintとT-Mobileは調査開始後に合併
  • Communications Act Section 222 は、位置情報を含む顧客情報の保護と明示的同意を求めており、第三者共有にも同じ義務が適用

位置情報販売の構造と制裁金の規模

  • FCCは2024年4月29日、米大手無線通信事業者が顧客の位置情報アクセス権を違法に共有したとして制裁金を科した
    • Sprint: 1,200万ドル超
    • T-Mobile: 8,000万ドル超
    • AT&T: 5,700万ドル超
    • Verizon: 約4,700万ドル
  • 各通信事業者は顧客位置情報へのアクセス権をアグリゲーターに販売し、アグリゲーターはこれを第三者の位置情報ベースサービス事業者に再販売していた
  • 通信事業者は顧客同意の取得義務を下流の受領者に委ねようとしたが、多くのケースで有効な顧客同意は得られていなかった
  • 保護措置が有効ではないことを把握した後も、4社は無断アクセスを防ぐ合理的措置を取らないまま、位置情報アクセス権の販売プログラムを継続運用していた
  • FCC Chairwoman Jessica Rosenworcelは、このデータが顧客の移動経路と身元を明らかにしうるセンシティブな情報である点を強調した

調査の契機と法的根拠

  • 調査は2018年、上院議員Ron Wydenの公開書簡と、関連ユースケースに関する報道をきっかけに始まった
  • 報道によれば、矯正施設向け通信サービス事業者Securusが運営した位置照会サービスを通じて、Missouri州の保安官が複数人の位置を追跡できた
  • FCCは、4社の通信事業者が無断アクセスを認識した後も、位置情報ベースサービス事業者が実際に顧客同意を得ているか確認する合理的な保護措置を整備しなかったと判断した
  • Communications Act Section 222 などの関連法は、通信事業者に次の義務を課している
    • 位置情報を含む特定の顧客情報を保護するための合理的措置
    • 顧客情報の機密保持
    • 情報の利用・開示・アクセス許可の前に、明示的かつ積極的な顧客同意を得ること
    • 第三者と顧客情報を共有する場合にも同一の義務を適用すること

命令確定と後続措置

  • 今回のForfeiture Ordersは、2020年2月に発出されたNotices of Apparent Liabilityを確定したもの
    • AT&TとSprintの制裁金はNAL段階と同額
    • T-MobileとVerizonの制裁金は、NAL回答提出資料を追加検討した後に減額
    • 法律上、NAL発出後に特定違反に対する没収額を増額することは認められていない
  • 関連命令:
  • FCC Chairwomanは2023年にPrivacy and Data Protection Task Forceを設置しており、この組織は個人情報とデータ保護分野のルール策定、執行、一般向け啓発に関する要請を機関内で調整する
  • FCCは、今回の発表は委員会措置の非公式な発表であり、委員会命令全文の公開が正式措置に当たると説明している

1件のコメント

 
GN⁺ 2024-04-30
Hacker Newsの意見
  • 要点は透明性だ。「プライバシーポリシー」ではなく、企業が自分の情報を誰に売ったり渡したりしたのか、その販売にどんな制限が付いていたのかを見たい
    考え方は単純だ。自分の情報を収集し、他の主体がアクセスできるようにしたのなら、その事実を知らせ、簡単に確認してブロックできるようにすべきだ。人々が実際に何が起きているのかを知るだけでも、個人情報の悪用の大半はなくなるはずだ

    • すべては事前同意であるべきだ。負担は企業側にあるべきで、「あなたのデータを共有したい。同意すればこういうメリットがある」という形であるべきだ
    • Facebookのようにデータを分析して、私についてより深い推論を作る企業まで含めるべきだ。自分のデータから自分について下されたあらゆる結論を見る権利があるべきで、そうすれば誤った仮定を直したり、自分についてさらに学んだりもできる
    • 「企業が自分の情報を誰に売ったり渡したりし、その販売にどんな制限が付いていたのかを見たい」という要求をさらに広げると、企業が個人情報を渡すたびに**管理の連鎖(custody chain)**を保存するよう義務づける法律は、比較的議論が少ないように思う
      個人情報の売買そのものをなくす方が望ましいが、最初の段階としては「どの主体がユーザーのデータに触れたのかを正確に追跡していない企業に巨額の罰金」を科すことは可能だ
    • 人々が実際に使える代替手段も必要だ。もちろんブロック機能があれば、それも機能し得る
    • 核心は透明性ではなく、監視無力さ
  • 2億ドルははした金だ。こうした通信事業者は長い間これをやってきており、何も変わらないだろう
    せいぜいプライバシーポリシーに脚注が一つ追加されるだけだ

    • 問題は、彼らがこれを売っていくら稼いだのかだ。2億ドルがはした金なのは2000億ドルを稼いだから、というなら関連性は大きくない。実際の収益が2億ドルを大きく下回っていたなら、彼らはこれをやめるだろう
    • 正確には、Securusという第三者企業が携帯通信事業者と位置データ購入契約を結び、事実上ほぼ全員を追跡できる包括的な商品を提供していたということだ
      Securusはもともと米国の受刑者関連業務を主に手がけていた会社だが、全員のデータを集めたうえで、その能力と関係をサービスとして再パッケージ化した。FCCの判断後、追加訴訟を避けようとする粗雑な試みとして、今はなくなったように見える
      https://securustechnologies.tech/investigative/investigation...
      追跡精度に関する技術的詳細はまだない。通信事業者のモデムがどこで終わり、ファームウェア/ハードウェアがどこから始まるのかは曖昧だが、おそらく意図的なものだろう。リアルタイムのGPS座標を照会できた可能性は低く、基地局からASNを照会してユーザー位置のおおよその範囲を提供していた可能性が非常に高い
    • 偶然にも、Verizonでは回線ごとに5ドル値上げ、インターネットはATTで値上げというメールを受け取った
      FCCは2億ドルの罰金を手にしたが、懲役はなく、その2億ドルのうちプライバシーを侵害された人々に戻る金額は0ドルだ。結局、いつも通りの普通の月曜日だ
    • 金額が核心ではなく、罰金を科されたという事実が核心だ
      株主は「この件で罰金を科されたのに続け、今また罰金を払わなければならない」という状況を好まない。また、企業が過去に同じことで実際に罰金を科されていれば、行政・裁判所・陪審も「知らなかった」という抗弁をより懐疑的に見る
  • 以前あるヘッジファンドで働いていたが、毎月1億2500万人の米国人について携帯電話のpingデータを買っていた
    あらゆるディープラーニングアルゴリズムが、ショッピング、物流倉庫、その他の人流を分析していた。民間投資家がどの水準まで理解しているのか、人々はまったく知らない。公開数値から見えるものよりはるかに深く、地球上で最も頭のいい人々が米国人の日常習慣から膨大な事実を引き出している。人類が知るほぼすべての統計アルゴリズムがこのデータに適用されていた

    • それは「市場」、つまり一般の人々がどのように消費するかを分析するためのもの?
    • 異なるデータセットを結び付けて再識別するレベルがどこまで来ているのか気になる
      たとえば、すべてを現金で買い、プリペイドSIMと購入履歴に自分の名前がない携帯電話を使い、自分でソースからコンパイルしていないものは実行しないとしよう。NixOSを携帯電話で使うような場合、自分のデータは十分に役に立たないのでこうしたデータセットに入らないのだろうか? それとも、すでにあまりにも多くのデータポイントを結び付けることに慣れていて、現金だけを使う方法にも大した意味はなくなっているのだろうか?
  • T-Mobile、AT&T、Verizonの合算した1日あたり売上ベースでは、1億9600万ドルを稼ぐのに約9時間で足りる
    3社の合算した1日あたり売上を、T-Mobile 4550万ドル、AT&T 1億2560万ドル、Verizon 3億4930万ドルと仮定すると、合計5億2040万ドルになる。これを24時間で割ると1時間あたり2160万ドルで、罰金1億9600万ドルを割ると約9.07時間になる

    • 計算が間違っている。1日あたり売上が5億2040万ドルなら、1億9600万ドルの売上を作るには半日未満で済む
      実際の影響により近い利益を基準に見る方が、より興味深いアプローチだ
  • 「顧客の位置情報へのアクセス権限を同意なしに共有した」という部分だけでは、通信事業者が誰も読まないEULAやプライバシーポリシーに「位置データの共有」を追加し、これで同意を得たと主張して続けるのを防げなさそうです
    別途オプトアウトの選択肢を提供するよう求めないなら、長期的には何も変えられない一時的なスピードバンプのように思えます

    • 問題そのものに対処する法律が必要です。たとえば位置データの収集は、収集主体やサービスが明示的に必要とし、直接利用する場合にのみ認め、共有や販売は禁止すべきです
    • より長い文書ではこの点が扱われています: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      委員会は、顧客のCPNI保護には事前同意要件だけでは十分ではないと認めました。特に、特定の顧客や権限のある人物になりすまして顧客情報を不正に得る「pretexting」のような手口は、事前同意要件を迂回できるためです
    • 銀行がクレジットカード申込書に位置データへの同意文言を入れる場合、通信事業者が別途何かする必要があるのかも疑問です
      「不正防止および/またはその他の目的」といった文言を付けるかもしれませんし、付けないかもしれません。保険会社も同じです。そうした条項を見たことがあり、携帯電話会社からデータを引き出しているのだと確信しています
  • 米国の司法機関は、令状なしで迂回するためにこうした商業データを購入しているのでは?

    • その通りです
  • AT&TがNSAに復号済みネットワークデータ全体を盗聴させた件について、罰金を科したことはあるのでしょうか? その方がはるかに深刻に見えます
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • NSAが全員のドライブのバックアップを取っておいたものを復元してあげる料金を取れば、自己財源化もできそうです
    • その件では、遡及免責に両党が賛成しました
    • 請求書をNSAに送ればいいです
  • 関連記事:
    Capeが個人情報を使わないモバイルサービスのために、A16Zなどから6100万ドルを調達
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • これらは民事制裁です。FCCがどのような限界、あるいは限界がないならどの範囲内で動いているのか気になります
    もっと大きな罰金を科すことはできたのでしょうか? また、DOJが刑事処分を進めるかどうかを決める際に影響するのかも気になります