行動喚起: FCCのKYC体制を阻止すべき

 (blog.lopp.net)
1 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • 米国の電話サービスへのアクセスは基本的な通信インフラとして扱われるべきだが、FCCによる KYCルール の検討は、一般利用者に通信事業者サービスの加入・更新前に本人情報の提供を求める可能性がある
  • FCCは氏名、住所、政府発行ID、代替電話番号の確認を含む措置を検討しているが、金融分野のKYC事例と同様に、個人識別情報の流出 と文書売買市場の存在により、断固たる犯罪者を安定的に阻止することはできない
  • プリペイド携帯と バーナーフォン は犯罪ツールであるだけでなく、家庭内暴力のサバイバー、内部告発者、記者、抗議者、報復を避けたい人々にとって必要なプライバシー手段でもある
  • 法執行機関の名簿照会、顧客関係終了後4年間の記録保管、1通話あたり2,500ドルの制裁案は、通信事業者に 過剰確認・過剰保管・過剰拒否 を選ばせる可能性がある
  • この件はまだ最終規則ではなく、FCCは2026年6月25日まで意見を受け付け、2026年7月27日まで返答意見を受け付けているため、一般の電話利用者に対する義務的KYCに反対する機会は残されている

ロボコール問題とKYCの検討

  • ロボコール、詐欺電話、番号なりすまし、偽の保証案内、虚偽の銀行通知、自動化された政治スパムは電話システムへの信頼を損ない、米国人の時間・金銭・安全を害している
  • 違法電話の問題は実際に存在するが、その解決策がすべての一般利用者を対象とした 広範な本人確認 であってはならない
  • FCCはロボコール対策を名目として、電話事業者に利用者の本人情報を収集させる Know Your Customer ルールを検討している
  • 2026年4月30日、FCCは音声サービス事業者のKYC強化を扱う Further Notice of Proposed Rulemaking を採択した
  • 検討対象の措置には、サービス有効化前に顧客の氏名、住所、政府発行ID、代替電話番号の確認を義務づける案がある
  • この案件はBrendan Carr議長と、Gomez、Trusty両委員が承認した

KYCが犯罪者を安定的に阻止できない理由

  • 電話へのアクセスは、本人確認を条件とする特権ではなく 基本インフラ として扱われるべきだ
  • 問題は、FCCがロボコール詐欺犯を処罰しようとしていることではなく、犯罪者を不便にするために何百万人もの無実の利用者を通信本人情報データベースに入れようとしている点にある
  • 金融システムにKYC要件があっても、規制された場所を通じたマネーロンダリングは続いている
  • 犯罪者はKYC確認を通過するために必要な文書を用意することに大きな困難を感じていない
  • 個人識別情報は継続的に流出しており、そうした情報を売買する市場も存在するため、新たな身元や関連文書を購入するコストは低い

バーナーフォンは重要なツール

  • FCCは、プリペイドプランとポストペイドプランでKYC要件を変えるべきか、無線事業者がプリペイドSIM顧客からどのような情報を得ているか、第三者販売店で購入したプリペイドサービスにもKYCを適用すべきかを検討している
  • この論点は バーナーフォン 問題の核心であり、プリペイド携帯は映画に出てくる犯罪者の小道具にすぎないわけではない
  • プリペイド携帯は、家庭内暴力のサバイバー、職場の不正を告発する労働者、情報源を守る記者、報復を避けたい抗議者、すべての通信アカウントを政府IDに結びつけたくない人にとって生命線になり得る
  • ACLUのシニア政策アナリストJay Stanleyは、このルール策定が人々からバーナーフォンを入手する能力を奪い、低所得者、家庭内暴力被害者、プライバシーを重視する人々に害を及ぼし得ると 警告している
  • 匿名または仮名による通信は、本質的に 不審な行為ではない

  • セキュリティ・プライバシー戦術としてのKYC不要の電話

    • KYC不要の電話サービスは、セキュリティとプライバシー保護の戦術として長年使われてきた
    • 相当量のBitcoinにアクセスできると疑われる人は、レンチ攻撃 から身を守るために強いプライバシーを必要とする
    • この脅威は理論上のものではなく、何百人ものBitcoinerが物理的攻撃を受けており、スワッティングや恐喝 の事例も存在する

監視・保管・制裁構造のリスク

  • FCC提案のより萎縮的な部分は、一般的なID収集を超えている
  • FCCは、リスクベースのKYC差異に関連して、事業者が法執行機関の維持するテロリスト、テロ組織、「犯罪者」の名簿を照会すべきかどうかまで検討している
  • こうした名簿は、誤検出、無実の人の不透明な名簿追加、有罪判決や意味のある適正手続きなしに基本的通信インフラへのアクセスが拒否される可能性を生みうる
  • FCCがこれを最終決定ではなく問いの形で扱っているとしても、通信規制当局が常態化するには危険すぎる問いである

  • 長期保管と目的拡大

    • FCCは、顧客関係終了後4年間、KYC情報と支援記録の保管を義務づける案を検討している
    • サービス解約後もリスクは終わらず、識別情報は通信事業者のデータベースに何年も残りうる
    • 残された情報は、侵害、悪用、召喚状、販売、目的拡大にさらされうる
    • FCCは、強化されたKYCルールが違法電話以外の犯罪捜査にも役立つかどうかを検討しており、対象には組織犯罪、人身売買、スパイ行為、影響工作、その他の国家安全保障上の懸念が含まれる
    • 通信事業者が顧客を確認・保管・再確認・選別しなければならないなら、電話システムは開かれた通信網というより ボトルネック に近づく

  • 通話単位の制裁構造

    • FCCは、KYC違反を通話単位で評価する案を検討している
    • FCCは、1通話あたり2,500ドルの基本没収金を具体的に提案している
    • 過少な選別に対する罰金が通話量に応じて膨らみうるなら、事業者は自らを守るために過剰確認、過剰保管、過剰拒否を選ぶ可能性がある
    • 企業にとって最も安全な選択は、消費者のプライバシーを守る選択ではなく、それを大きく侵害する選択になりかねない

プライバシーは犯罪ではない

  • 自由社会では、市民が自らのプライバシーを守るために絶えず闘い続けなければならない構造であってはならない
  • 監視、データ保管、必須の通信手段へのアクセス拒否によって市民の権利を弱めるのであれば、政府がその正当性を立証すべきだ
  • 通信チャネルを統制したい勢力は、望ましくない話者を黙らせるためにネットワーク利用者を識別できなければならない
  • FCCは、すべての一般利用者に電話番号取得のための本人確認書類提出を強制しなくても、大量の商用発信、杜撰な事業者、番号なりすましインフラ、SIM-boxの悪用、反復的な悪質行為者を標的にできる
  • FCCは、違法通話トラフィックを知りながら可能にしている通信事業者に対する執行を強化できる
  • 大量発信者には、狭くリスクベースのデューデリジェンス要件を課すことができる
  • すべての電話利用者に、通信前に自分が誰かを証明させる方式は避けるべきだ
  • 平均的な市民は、政府が完全に正常な活動をしている人々の名簿を作ることを望んでいない
  • 「消費者保護」が監視に変わり、プライバシーが抜け穴のように扱われ、ロボコール防止ルールが政府許可なしで電話へアクセスする最後の実用的手段を静かに終わらせるような状況は望まれていない

KYCが実際のリスクを拡大する仕組み

  • KYCは、機微な個人識別情報を収集すること自体が顧客を危険にさらすという意味で、「Kill Your Customer」と呼べる
  • KYC体制は長年にわたり大規模なデータ流出を招いてきたうえ、犯罪者が盗まれた身元を使ってKYC確認を回避する新たな文書を容易に入手できるようにし、KYCの信頼性を弱めている
  • 電話サービスにおけるKYCは、アカウントを身元と結びつけることで、電話アカウントのセキュリティを積極的に低下させる可能性がある
  • 犯罪者が十分な個人識別情報を確保すれば、通信事業者に対して被害者になりすまし、被害者の番号を犯罪者が支配するSIMへ移そうとする試みをよりうまく行える
  • この SIMスワッピング またはSIMジャッキングの問題は10年以上存在しており、生活のさらに多くの部分がデジタル化されるにつれて悪化している
  • 重要なオンラインアカウントのかなりの数が電話番号とメールアドレスに結びついている

  • SIMジャッキングの一般的な攻撃経路

    • 犯罪者は被害者の電話番号を乗っ取る
    • 電話番号を使って被害者の主要メールアカウントへのアクセスをリセットする
    • メールアカウントと電話番号を使って金融アカウントへのアクセスをリセットする
    • KYCは犯罪者を防ぐという名目のもとに置かれているが、実際には消費者を悪意ある行為者から守るというより、プライバシーとセキュリティを弱めるセキュリティシアターに近い
    • 壊れた仕組みを生活のさらに多くの領域へ拡張適用すべきではない

まだ遅くない

  • この件は まだ最終規則ではない
  • FCCは Federal Register でこの提案変更について意見を募集している
  • 意見提出の締切は 2026年6月25日 で、返答意見の締切は 2026年7月27日 である
  • 義務的なKYC本人確認に反対する公開意見をFCCに提出できる
  • 意見提出は FCCフォーム から可能である
  • FCCへの意見は公開されるため、意見本文や添付ファイルに含めた個人情報はオンラインで公開閲覧されうると考えるべきだ
  • 世界中に公開されても安全でない個人情報は含めるべきではない

提案された意見書の要点

  • 一般の電話利用者とプリペイド利用者が、電話サービスの取得または更新の条件として、政府発行の識別番号、本人確認書類、実際の住所、代替電話番号、類似の個人情報を提供しなければならないFCCルールに反対する
  • ロボコールと詐欺電話は深刻な問題だが、すべての利用者を対象とした義務的な本人情報収集は広すぎ、プライバシーを侵害し、合法的にプライバシーを必要とする利用者に害を及ぼす可能性が高い
  • 被害を受けうる利用者には、家庭内暴力のサバイバー、記者、内部告発者、低所得の市民、政治的オーガナイザー、報復やストーキングに直面している人が含まれる
  • FCCは、サービス提供前に法執行機関の監視名簿や「犯罪者」名簿を照会する要求を拒否すべきだ
  • 基本的な通信インフラへのアクセスは、不透明な名簿、悪用や誤検出に脆弱な選別システム、透明性に欠ける手続きに左右されるべきではない
  • FCCは、一般顧客のKYC記録を複数年保管する案も拒否すべきだ
  • 顧客がサービスを離れた後に本人情報や支援記録を保管すれば、不必要な侵害、悪用、監視のリスクが生じる
  • FCCは、大量の違法発信者、番号なりすましの悪用、SIM-box運用、違法トラフィックを故意または無謀に可能にしている事業者に対して、限定的かつ証拠ベースで執行すべきだ
  • 新ルールは、標的を絞り、プライバシーを保護し、データ収集を最小化し、合法利用者によるプリペイドおよびプライバシー保護型電話サービスへのアクセスを維持するものであるべきだ
  • 電話サービスを 本人確認の検問所 に変えてはならない
  • プライバシーの継続的な侵食を懸念する米国人はいま声を上げるべきだ

関連記事

1件のコメント

 
GN⁺ 4 시간 전
Hacker Newsの意見

  • 通信事業者が発信者番号のなりすましを許さなければいいだけ
    名前までは不要だが、実在する番号があればこうした詐欺を通報できる
    番号非通知を許可するとしても、少なくともデフォルトでは、業務目的でない電話はすべて非通知番号からの着信を遮断すべき

    • SHAKEN/STIRはいったいどうなったのかと思う
      5年ほど前にはもうこうなるはずだったのではないか? スパムの大量発信をしている通信事業者を実際に遮断するのを恐れたのかもしれない
      いまだに大量の迷惑電話が来るのを見ると、何かが間違っているか、遅すぎて間違っているのと見分けがつかない
    • 詐欺組織にそんなサービスを提供する年100万ドル規模のマネーロンダリング構造を断てって? そんなわけがない
    • そもそもすでに許可されていない行為だ
      通信事業者が偽装された通話を受け入れれば、すでにFCC勧告に違反している
    • 医療機関は非常に正当な理由で番号を隠している
      虐待する配偶者がいる場合、通話履歴に医療機関の番号が残らないことを望む人が多い
      その結果、とても重要な電話を無視してしまうこともある
    • そもそもなぜまだ20世紀式の電話番号体系を使わなければならないのかわからない
      もっと優れた通話アドレッシングの仕組みがなぜないのか

  • もっと悪いことに、携帯電話は常に位置を送信しているので、実質的にいつでも何百社もの企業や複数の政府に位置情報を知らせているようなものだ
    すでにほとんどの携帯電話で問題になっているのに、これをプリペイド携帯にまで適用すればさらに悪化する

    • これが結局、「これで全利用者の身元がわかり、気に入らない発言を理由に逮捕できる相当な理由と確認済みの身元がそろった」という状態に向かう一歩手前なのか気になる
      CarrのFCCは、要するに電波を統制して発言を統制しようとする機関のように見える。彼の行動を見る限り、それはあからさまな事実だ
      放送局に望むことを言わせた次に残るのは、公共の利益の定義をインターネットへ少し広げて発言を制限することくらいではないか
    • Appleは新しいモデムでこれを緩和する機能を実装したが、残念ながら通信事業者による選択適用なので、実際にはヨーロッパでしか有用ではない
      https://www.pcmag.com/news/apple-expands-this-location-focus...
    • 結局、KYCを通過した携帯電話は通信事業者がすでに把握している正式住所の家の引き出しに置いておき、実際の携帯にはSMSと通話をVoIPへ転送するか、どこからでもメッセージを取れるようにサーバーを公開するソフトを載せる時代へ向かっているのではないかと思う
    • 携帯電話が位置を送信しているのであって、私たちが位置を送信しているわけではない
      携帯電話は家に置いて出かけることもできる
    • 下流で収集している側は、このデータで大いに楽しめるだろう

  • 米国に住んでいて、後払いサービスを受けるために信用照会情報を提供したくないのでプリペイドを使っている
    米国の通信事業者が顧客の最も機微な個人識別情報を保管しなければならない理由はまったくない
    大手通信事業者はどこも侵害事故と顧客データ販売の前歴がある
    電話会社はすでに顧客の数多くのデータポイントを追跡し、保存し、販売している
    どんな情報も安心して預けられない

    • 私のメインの電話番号は2010年からGoogle Voiceのアカウントだ
      新ルールが自分にどう影響するのかは不明だが、VoIP番号を取得するのに個人識別情報の提供義務があるとは思わない
    • 1月にATTプリペイドを開通したが、それでも身分証の提示を求められた
      奇妙なのは、最初から要求されたのではなく、実際のサービスを有効化しようとしたときに後から求められたことだ。何が起きているのかはわからない
    • 一方で、自分としては、自分の電話で発信やメッセージ送信ができるすべての回線が、スパム・悪用・嫌がらせに対して責任を負える実名の人間に追跡可能であってほしい
      両方を思い通りにするのは難しそうだ
      あり得る解決策は、匿名回線の保有は認めつつ、自分の通信事業者がそうした回線からの着信を自分につながないよう拒否することだ
      もちろん同じ原則は、データ通信や端末から発生するIPトラフィックにも拡張すべきだ。追跡可能にしたくないなら、サービス側があなたの生成したIPトラフィックの処理を拒否する権利があっても合理的に思える
      こんな半端なネットワークアクセスで十分なのだろうか?

  • 「このボックスにチェックを入れることで、正式なFCC手続きに文書を提出することを認めます。氏名と住所を含む提出情報はすべて、ウェブを通じて公開されます。」
    個人情報を全部ウェブに公開されずにFCC簡易コメントを提出する方法は本当にないのか? うっ

    • 請願書への署名や議会での証言のようなものだと考えればよい
      要点は実名で責任を持って発言することにある
      そして氏名や住所が非公開だと思っているなら、残念なお知らせがある
    • 市民として影響力を持ちたいなら、自分で前に出る必要がある。実際に照合確認も行われる
      デフォルトで公開するのは少しやりすぎで発言を萎縮させるが、連邦官報がすべての公開コメントをウェブ上で公開状態に保つことも重要だ
      これは記録に残る正式な意見
    • 代わりに地元選出の議員に電話すればいい

  • 詐欺、スパム、自動音声発信への本当の解決策は、単なる発信者番号ではなく、実際に課金されるREAL(TM) Caller ID情報も一緒に渡し、両者が一致しないときは受信者が簡単に切れるようにすることだと思う
    Stir/Shakenの正確な技術的詳細は知らないが、誰かが各通話ごとに金を払うか受け取っており、その情報は通話やメッセージの受信者に対して透明に提供されるべきだ
    医師やコールセンターのような「正当な」理由があるなら、すでに別の業務用電話を持っているべきで、個人回線を使わせるべきではない
    ずさんな通信事業者は完全に遮断すべきだ。そこから良いことは生まれない
    基本的には、完全な証明レベルであるA-levelがなければ、顧客が明示的に選ばない限り、電話とテキストメッセージをデフォルトで遮断しようということだ。わざわざ選ぶ人がいるのかはわからない

    • 同意してうなずきながら読んでいたが、ここには明らかに落とし穴があると気づいた
      そんなに単純なら、もうずっと前に実装されていた可能性が高い
      推測するに、動作する番号なら必ず緊急サービスに電話できなければならないという要件があり、その抜け穴が悪用されているようだ
      だからFCCの答えは、すべての番号が動作しなければならないなら、検査を加入者本人に直接押し付けようということなのだろう

  • 行動を呼びかけるには、もっと良い行動喚起の文言を作る必要がある
    記事に出ているリンクはこれ
    https://www.federalregister.gov/documents/2026/05/26/2026-10...
    数日前にHNで誰かが投稿した、このリンク先に行くのでほぼ十分に見える
    https://www.fcc.gov/ecfs/filings/express
    完了するには docket-id が必要
    Docket No: 17-59
    この Docket Number はここで再確認できる: https://www.fcc.gov/document/fcc-seeks-comment-enhanced-know...

    • 人々はFCCだけでなく、あのFederal Register のリンクにも意見を提出すべき
      FRは市民が機関の規則制定案に意見を出す公式ルート
      独立しているのでより先まで進むかもしれないし、両方やるのがよい

  • 使い捨てとして設計された新しい電話システムが必要
    電話番号は頭の中で簡単に覚えられることを前提に設計されたが、今ではそれはあまり必要ないと思う
    いつでも自分の連絡先を捨てて、自分で再配布できるべき
    古い番号が再利用されるという発想も完全におかしい

    • 電話そのものをなくすべき
      誰であれ無作為にベルを鳴らして他人の邪魔をし、注意を要求できてはならない

  • 顧客確認の代わりに、むしろ「会社確認」をして、消費者が電話をかける相手の会社についての情報を受け取れるようにしたらどうか

  • 記事のリンクからFCCに意見を提出しようとしたが、reCAPTCHAが私を人間と認識しない
    パズルを20個ほど成功させたあとで諦めた
    これが私たちの民主主義の仕組みだ

  • 政府が個人識別情報が盗まれる機会を作って経済的な害を与えていると、州政府や連邦政府、あるいはその両方を相手取って法廷で主張できない特別な理由はあるのか
    もちろんその争いで大金が出るわけではないだろうが、実際どんなPACでもそれくらいはできるはず
    人々の実際の安全ではなく金がかかっていると主張すれば、司法制度はそういうふうに回るものだから、却下されない可能性も高く見える

    • 実際に詐欺被害に遭っていないなら説得は難しい
      損害額の基準としてどんなドル金額を使うのか。何年分かの信用監視費用を請求するのか。個人識別情報の流出被害者に通常提供される解決策はその程度だ
      法執行機関、通信事業者、規制当局が詐欺防止に十分動かなかったと主張して、集団訴訟のようなものを起こすことはできるかもしれないが、かなり無理のある主張に近い
    • 政府は人々に経済的被害を与える規制を作ることができる
      その争いは始めた瞬間に負ける可能性が高く、得られる金もほとんどない