Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

移動体通信事業者の顧客のトラッキング専門会社サイトで主要な米国の移動体通信事業者のすべての顧客はリアルタイムで他のユーザーの同意なしに閲覧可能となったのか?(その2完)

2018-06-13 13:17:17 | 消費者保護法制・法執行

 (4) 今何が問題か? 

 米国人権擁護NPOの「電子フロンティア財団(Electronic Frontier Foundation:EEF)」のスタッフ弁護士であるステファニー:ラカンブラ(Stephanie Lacambra)は、米国内の無線通信の顧客は、自分の携帯電話会社による位置情報の追跡をオプトアウトできないと述べた。すなわち、まず通信事業会社は、この情報を使用して、より信頼性の高いサービスを顧客に提供する。また法律では、無線会社は「緊急の911規制」 (筆者注5)に準拠するために、いつでも顧客の携帯電話のおおよその位置を確認できる必要がある。

 「しかし、議会や連邦規制当局が、顧客の位置情報を第三者と共有する方法をより明確にしない限り、モバイル・デバイスの顧客は、サードパーティの企業によって潜在的にその位置情報を公開される可能性がある。これが、私たちが位置情報のための堅牢なプライバシー保護のために懸命に働いた理由である。法的執行機関がこのような令状を得るために必要とされるのは本当に唯一のものでなければならない。それが我々が推進しようとしてきたルールである」と彼女は述べた。 

 また、ワシントンDCの政策シンクタンクである「デモクラシー・テクノロジー・センター(Center for Democracy & Technology)」の政策担当部長、クリス・カラブレース(Chris Calabrese)氏は、次のとおり述べた。「モバイル加入者の位置情報に関する現行の取扱規則は1986年に制定された「電子通信プライバシー法(Electronic Communications Privacy ActECPA)であり、それ以来、実質的に改正されていない。  

 「この法律(ECPA)は実際に古くなっている。しかし、法執行や法執行の要求であることを確認していない第三者への関与や、その要求の背後にある証拠が正当なものかどうかを確認しないプロセスには、大きな問題があり、かつ重大なプライバシー違反である。  

 「移動体通信事業者が位置情報を機微的に扱わなければならないと思っても驚かれるだろうし、この情報を一般に公開したくないと確信している。私の推測では、移動体通信事業者は、これが最悪の悪夢のようなものだからこそ、厳しく対応するであろう。我々すべては、携帯電話はポータブル・トラッキング・デバイスであることを知っている。また我々はそこから多くの利益を得ることができるので、私たちはそれをOKとするが、同時に我々は、この情報が十分に保護されるべきだという何らかの暗黙的な取引がある。しかし、私はもしその保護策がそうでないときは大きな問題を抱えることになり、非常に迅速に修正されなければ、これらの事故例はある種の立法介入を拍車することになると思う」とカラブレース氏は続けた。 

 他方、シャオ氏は、「移動体通信事業者が第三者企業に顧客のロケーション情報へのアクセスを提供している限り、SecurusやLocationSmartなどのロケーション・トラッキング企業からの情報のリークが多くなる可能性が高い。また、このようなデータへのアクセスがはるかに厳密に管理できるようになるまで、このような違反が起きるのを引き続き注視していく必要がある」と述べた。 

 実際、ワイデン上院議員は、この話に応じて、518()に次の声明を発表した。

 「 Securus甘いセキュリティが公開されてから、わずか数日後に起こったこのロケーションデータのリークは、ワイヤレス・エコシステム全体のどのような企業がアメリカ国民のセキュリティをいかに低く評価しているかを示している。 それはプライバシーだけでなく、すべてのアメリカ家庭の財政的および個人的な安全にも、明らかでかつ現在の危険を表している。 ワイヤレス通信事業者や”LocationSmartは、携帯電話でアメリカ人のロケーション情報を追跡するために、ウェブサイトに関する基本知識を持つハッカーをほとんど容認しているようである。さらに、アメリカ人の安全に対する脅威は深刻である。ハッカーがこのサイトを使ってあなたが家にいる時間を知って、いつ盗みに入れるかを知ることができた。また、誘拐犯はあなたの子供の携帯電話を追跡して、彼らが一人であることを知ることができた。”LocationSmartや他の企業活動の危険性は無限であるう。FCCがこの漏えい事件後に対処すべき行動を拒否すれば、アメリカ人に対する将来の犯罪がFCCの委員長になるだろう」  

   マーク・ワーナー(Mark Warner)上院議員(ヴァージニア州選出 民主党)も次の声明を発表した。  

「これは昨年の多くの開発のうちの1つで、消費者が実際にデータを収集し使用する方法について暗闇にいることを示している。データを使用する方法については、ユーザーを運転席に置く21世紀の新ルールが必要という証拠だ」  

 518(金)にKrebsOnSecurityの記事に対する声明において、「”LocationSmar”は基本的知識を持つハッカーをほとんど容認しているようである。”LocationSmart”は、企業顧客(enterprise customer)に安全な運用効率をもたらすために努力するエンタープライズ・モビリティ・プラットフォーム(筆者注6)を提供する。 ”LocationSmartのプラットフォームを介したロケーション・データの開示は、個々の加入者から最初に受け取った「同意」に依存している。サイバーセキュリティの研究者であるシャオ氏がオンラインデモで最近確認した同意メカニズムの脆弱性は解決され、”LocationSmart”の試行デモ・サイトは現在無効になっている。 さらに、この脆弱性が5月16日より前に悪用されておらず、許可なく得られた顧客情報が実際リークされていないことを確認した。 

 しかし、516日、シャオ氏は”Location Smart”プラットホームの脆弱性を悪用して24人もの加入者を見つけた。シャオ氏の公開声明に基づき、Krebsグループは、シャオ氏が個人的に同意を得た後にのみ加入者であると理解している。”LocationSmart は、単一の加入者の所在地が同意なしにアクセスされたのではなく、他の脆弱性が存在しないことを確認する努力を続けている。”LocationSmartは、情報のプライバシーとセキュリティ対策を継続的に改善することを約束し、この事件から学んだことをそのプロセスに組み込んでいる。  

 この文脈において、”LocationSmart”が誰が許可なく得た顧客情報を引き出された「顧客」に当たるかは明らかでない。したがって、サービスの「バグが多いアプリケーション・プログラミング・インターフェース(vuggy API)」を悪用して検索された人は、明らかにすべてが「顧客」とはみなされない。 

2.米国における電気通信事業者の法規制の内容

 わが国の総務省が平成26(2014)7月に取りまとめた報告書「緊急時等における位置情報の取扱いに関する検討会 報告書 :位置情報プライバシーレポート ~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて」16以下から、一部抜粋する。ただし、この資料は必ずしも十分かつ正確なものとはいい難い。適宜筆者が補足(下線部が筆者の追加箇所)して引用する。また、必要に応じ筆者の責任で関係先にリンクを張った。 

 「米国においては、個人情報・プライバシーに関する分野横断的な法律は存在せず、分野毎の個別法と自主規制が基本となっている。電気通信分野においては、1934通信法(Communications Act)第222(§ 222. Privacy of customer information)で顧客情報のプライバシーを規定しており、電気通信事業者は、電気通信サービス加入者の通信パターン、請求記録等の消費者固有のネットワーク情報(CPNI)に関して、集計顧客情報(集計データで、個人顧客の身元及び特徴が除去されているもの)については、通信目的外での利用や公開を許容されている。(本報告の後ではあるが米国の取組みとして、2016年10月27日、FCCは「ブロードバンド顧客プライバシー保護規則」を最終決定した。この規則については筆者のBlog 小向教授の論文が詳しい。 

 自主規制としては、携帯電話に代表される移動体通信や無線インターネットなど無線通信に関する国際的な業界団体であるCTIA、「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services )(全10頁)」を平成22年3月に設けている。その二大原則として、位置情報サービス提供者は、位置情報がどのように利用・開示・保護されるかについてユーザーに通知し、その利用・開示について「同意」を求めることとされている。なお、集計データ及び匿名データはガイドラインの対象外となっている。

 加えて、 連邦取引委員会(FTC)はモバイル端末上の利用者情報の取扱いについて、スタッフレポートとして「モバイルプライバシーディスクロージャーズ:透明性の確保による信頼の構築(FTC Staff Report | February 2013:Mobile Privacy Disclosures:Building Trust Through Transparency)」を平成25年2月に公表しており、この中では、OS事業者、アプリ開発者双方に対し、位置情報についてはセンシティブ情報として、取得前に消費者に通知し、明白な同意をとることが提言されている。」以下、略す。 

**********************************************************************

((筆者注5) クレブズ氏のBlogには詳しく説明されていないので、以下の解説文を補足する。

「連邦通信委員会(FCCは、20119月、次世代緊急通報(Next Generation 911)の構築に向けた規則策定を開始した。次世代緊急通報とは、従来の音声通話による緊急通報の付加機能として、IPベースでのテキスト・メッセージによる通報(Te x t-to-911)や、画像、動画の受付も可能にしようとするものである。なお、米国で導入が検討されているのは、全国ベースでの位置情報を付加したテキスト・メッセージによる緊急通報機能であり、障害者の利用や緊急時に音声通話ができない場合を想定している。また、FCCは、201212月には、Te x t-to-911を全国的に導入することで大手移動体通信事業者と合意した。(以下、略す)(一般財団法人マルチメディア振興センター 情報通信研究部 副主席研究員 田中絵麻「米国における次世代緊急通報「Text-to-911」の導入動向」 

 なお、平成19年4月1日より実施されている、わが国の携帯電話やIP電話につきdocomo等キャリアが提供する緊急通報位置通知(携帯電話からの緊急通報(110番、118番、119番)を発信した際、通話が接続された緊急通報受理機関に対して、発信された場所に関する情報を自動的に通知)も類似のシステムといえよう。 

(筆者注6) エンタープライズ・モビリティ・プラットフォーム(企業のモバイル管理戦略;)は、以下で例示するようにIT戦略企業の共通テーマとして多くが取り上げられている。しかし、筆者なりに考えると、”LocationSmart”が提供しているリティール事業者、メーカーなどに向けたマーケティング情報とは目的が異なるように思える。モバイル主体の「同意」の意義も変わってくるため、これらを混同しないことがまず大前提となろう。

1)ORACLE Mobile(https://www.oracle.com/jp/solutions/mobile/index.html)

2)CITRIX(https://www.citrix.co.jp/enterprise-mobility-management/)

3)FUJITSU EMS(Enterprise Mobility + Security)  (http://www.fujitsu.com/jp/services/application-services/application-development-integration/ms-solutions/services/ems/)

*******************************************************

 Copyright © 2006-2018 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 米国SECが詐欺的仮想通貨ICO... | トップ | 移動体通信事業者の顧客のト... »
最新の画像もっと見る

コメントを投稿

消費者保護法制・法執行」カテゴリの最新記事