Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

米AT&Tは連邦通信委員会と3コールセンター従業員による個人情報の違法アクセス責任につき2,500万ドルで和解

2015-04-21 12:28:22 | プライバシー保護問題

 筆者の手元に米国ローファームProskauer Rose LLPのブログ「AT&T Pays $25Million in FCC Settlement」が届いた。論点がよく整理されている点などから、Proskauer Rose LLPのブログをベースに仮訳する(ローファーム”Latham & Watkins”の4月14日のブログ「FCC Impose Record Penalty for Data Breach」が2014年のTerraCOM,Inc.とYourTel America事案にも言及して、より詳しく解説している)。 (注1)  

 筆者は、連邦通信委員会(FCC)のAT&Tに対する職権調査等についてはすでに情報は得ていたが、最終的なFCCのリリース(2015年4月8日)は読んでいなかったので、改めて正確な内容を確認したこと、またわが国では正確に解説したブログ等も見当たらないので、事実関係だけでも明らかにすべく仮訳を含め急遽取り上げることとした。  

 なお、米国における通信事業者に対する顧客のCPNI(電気通信サービスを提供することによって顧客に関する専属的ネットワーク情報(Customer Proprietary Network Information)) (注2)の規制とりわけ「pretexting」行為の厳しい罰則立法は、本文で述べるとおり議会の姿勢はわが国に比して極めて厳しい。その点についても併せて解説しておく。本文を読んで理解できるであろうが、米国の法執行機関や議会の取組みの原点は法違反は決して許さないという点である。わが国の通信事業者への監督・規制の運用実態と比較されたい。

1.FCCの職権調査からみた記録事実

 (1)違法行為の事実概要  

 2013年11月に始まった違法行為は、メキシコのAT&Tのコールセンターでの違法行為なすなわち同コールセンターの3人の従業員は権限なしに68,701名の顧客アカウント情報にアクセスし、その違法行為期間は168日間であった。その情報とは、顧客の氏名や社会保障番号の一部等である。  その結果、個人情報のバイヤーである第三者(盗んだ携帯電話の転売業者等である)は、AT&Tのオンライン顧客290,803名分アカウントのポータルのアンロック要求が可能となった。  また、顧客名と社会保証番号のアクセス途上において詐欺集団である従業員は、アカウント・ページに表示された「顧客に関する専属的ネットワーク情報(CPNI:Customer Proprietary Network Information)」(CPNIの定義は47 U.S.C. §222(h)(1)に定める)にアクセスした。FCCのメキシコのコールセンターの職権調査の間、AT&TはFCCに対し、さらにコロンビアとフィリピンのコールセンターにおいても同様の違法行為が行われていたと報告した。AT&Tの報告によると、2センターの計40人の従業員は、約211,000名の顧客アカウントにアクセスし、顧客の氏名、電話番号、社会保障番号を盗みとったというものである。

(2) FCCの職権調査

 AT&Tが電気通信法(Communications Act)第222条が定めるとおり、通信事業者において、不当かつ不合理な実務を禁ずる同法第201(b)条の定めと同様の趣旨で、CPNIを含む顧客情報保護のあらゆる合理的予防措置を命じる点につき違反したと主張した。  

 また、第222条のもとで公布された「2001年CPNIに関する規則」 (注3)は、通信事業者にCPNIへの違法アクセスの検出、報告及びその保護のための合理的な手段を取ることや、情報漏洩につき合理的な確認・決定後7営業日以内に法執行機関への通知義務を求める。  それにもかかわらず、AT&Tは、内部職権調査を始めてから1ヵ月以上経過後の2014年5月20日にシークレットサービスおよびFBIに通知を行った。2014年を通じ、AT&Tは漏洩リスクを減小させるべく(1)顧客にメキシコのコールセンターにおいてそのアカウント情報がアクセスされたことの通知、(2)カリフォルニア州法の下で同司法長官に通知、(3)メキシコのコールセンターとの業務関係の停止、(4)コロンビアやフィリピンのコールセンターの内部調査、(5)コールセンターシステムで扱う社会保証番号につき完全なマスキングの適用、(6)疑わしいアカウントへのアクセスの特定のためのモニタリング手続きの開発および(7)顧客による解除コードを受けるために今後個人情報の入力を必要としないようアンロック解除規定(unlock policy)を改訂する等を行った。

2.FCCとAT&Tの合意内容

 このたびのAT&TとFCCの和解合意(Order/Consent Decree:同意審決)は、当初の影響範囲をはるかに超えた内容の恒久的な規定の適用を要求するものとなった。すなわち、2,500万ドル(約29億7,500万円)の罰金に加えて、AT&Tは次の処置を含む厳しい遵守ポリシーの策定が義務付けられた。

①認定プライバシー・プロフェッショナル(注4)の資格を有する上級法令遵守担当役員の指名

②個人情報やCPNIへの無権限のアクセス、使用または開示につき内部リスクの特定を意図した合理的なプライバシー・リスクアセスメントの完成

③無権限のアクセス、使用、または開示からCPNIや個人情報を保護できうるよう合理的に設計された情報セキュリティ・プログラムの実施

④従業員や販売者等すべてをカバーする者に配布する適宜の法令遵守マニュアルの準備

⑤プライバシー・ポリシーや適用責任を持つ法務権限者の定期的訓練  

 本件につき、AT&TはFCCに対し、非遵守事実にかかる報告義務が求められ、また今後3年間の法令遵守報告をファイルしなければならない。  

 さらに、AT&Tはコロンビアとフィリピンのコールセンターについては、すべての影響を受ける顧客に対し書面による通知を提供、1年間の無料個人信用監視サービスの提供、本漏洩に関する無料電話による質問サービスの提供という特別な条件を付すことに同意した。

 3.今回の和解等を通じFCCが取り組んできた通信事業者への法執行の概要

 特にこの1年につき、FCCは例えば2014年10月、最大30万人の顧客の社会保障番号、氏名、住所、運転免許証、その他世界中の誰でもアクセスできる保護されていないサーバー上の個人情報をリスクにさらしたとしてTerraCOM,Inc.とYourTel America (注5)に対し、1,000万ドル(約11億9,000万円)の罰金を科した。また、同年、FCCは計5,000万ドル(59億5,000万円)以上となるプライバシーと個人情報保護に関する5つの大きな法執行措置を行った。

 このようにFCCは電気通信法第222条および第201条のもとでキャリアーにおけるプライバシーや個人情報保護の実践内容につき詳細な職権調査等を一層強めるという警告を鳴らしている。それはモバイル端末の普及に対するデータセキュリティ問題の関心が高まっていることに起因するといえる。  

 電気通信事業者、ブロードバンドプロバイダー、その他モバイル端末のデータセキュリティの関係する事業者は、今回のAT&T和解合意に見るがごとく顧客の個人情報の保護に向けた最善の実務を行うための法遵守要件を良く見つめる必要がある。

 4.米国における通信事業者に対する顧客のCPNI規制の立法動向とFCCの電話会社や携帯電話会社のpretexting予防目的で顧客の承諾のないCPNIへのアクセス新規則の制定  

 この問題は、ブッシュ政権下で大いに論議を呼んだ問題である。時間がたっているのであらためて詳しくは解説しないが、2007年3月9日付けの”Tech Law Journal”が要点を良くまとめているので、一部抜粋・補足しておく(リンクは筆者が行った)。

 なお、これら法案の主たる審議の場は下院エネルギー商業委員会・監視・調査小委員会(House Energy and Commerce Subcommittee on Oversight and Investigations) (注6)であった。同小委員会の2006年9月28日の公聴会は米国の企業倫理を中心としたて社会的関心が寄せられていたこと、また、この問題に対する連邦機関の姿勢が明確であったこと、 さらに米国の主要通信事業者のトップ経営者等の証言等が得られた点もあり、関係者のプロファイルも含め筆者なりに整理して詳しく紹介する。 

(1)2006年法案の経緯と内容

A.背景はヒューレット・パッカード(Hewlett-Packard/HP)社の経営層が行った”pretexting”の違法性が大きな社会問題化した事件である。「マルチメデイア事典」の「HP情報漏洩問題」から一部引用する。

 「2005年に米国のヒューレット・パッカード(Hewlett-Packard/HP)社で行われたHewlett-Packard社前会長兼CEOのカーリー・フィオリーナ(Carly Fiorina/Carleton Fiorina)を解任した際に、取締役会の機密であった討議内容がマスコミに漏れ、News.comが取締役会の詳細について書いた2006年1月23日の記事を掲載した件をめぐり、問題の調査に当たる米国下院エネルギーおよび商業委員会の監視および調査小委員会に、Hewlett-Packard社が行なった内部調査で得た何千ページに及ぶ関連文書を2006年9月18日に提出したことで、報道関係者の通話記録が詐欺的な「なりすまし」という手法が用いられた問題の俗称。

 この調査は、2005年から2006年にかけてHewlett-Packard社の取締役会の機密情報が報道機関に流出した件を巡り、取締役会が外部の私立探偵会社を雇い、違法性が疑われる手法で情報漏洩者の特定を図ったとされている。

 HP社が2006年9月6日にSEC(米国証券取引委員会)に提出した書類で、雇った探偵会社が、身元を偽って情報を入手する「プリテキスティング(the H-P pretexting/phone record stealing/通話記録横取り)」と呼ばれる手法を用いたことを認めている。

 調査小委員会は2006年9月11日に、Hewlett-Packard社のパトリシア・ダン(Patricia Dunn)に書面を送り、探偵会社の名前のほか、この調査を許可した人物、この調査に参加した人物、この調査について知っていた人物を明らかにし、HP社と探偵会社との契約の写しを提出すること、「プリテキスティング」により、だれの通話記録を入手したか、あるいは入手しようとしたかなどの情報を明らかにするように求めている。」 

B. この事件等を受けて、2006年9月28日、下院エネルギー商業委員会の監視・調査小委員会は「ヒューレット・パッカード・プリテキスティング・スキャンダルに関する公聴会」にHPの当時のCEO・会長(2010年からはOracleのCEO)Mark Hurd 、 元HP会長 Patricia Dunn :2011年癌で死亡)、HP主席法務顧問 Ann Baskins HPコンピュータセキュリティ担当役員 Fred Adler (注7) 、HPの主たる顧問弁護士 Larry Sonsini (注8)私立探偵業者(private  investigators)の1人であるJoe Depante (owner of Action Research Group) (注9)を証人として呼び出した。 

C.同年9月29日、同小委員会はケビン・マーチン(Kevin Martin :当時のFCC委員長)デボラ・マジョラス(Deborah Majoras(当時のFTC委員長)ジョン・ルーニー(John Rooney)米国Cellular (注10)の社長兼最高経営責任者)ロバート・ドットソン(Robert Dotson) T-モバイル米国の社長兼最高経営責任者)スタンリー・シグマン(Stanley Sigman) Cingular Wireless(現在はNew Cingular Wireless PCS, LL )の社長兼最高経営責任者)スコット・フォード(Scott Ford) 全米第5位のワイヤレス企業Alltel Wireless の社長兼最高経営責任者、その後会長)ゲーリー・D.フォーシー(Gary Forsee) Sprint Nextel社長兼最高経営責任者、2009年退任)デニス・ストレイガル(Dennis Strigl )(Verizon  Wirelessの社長兼最高経営責任者、2009年末退任)を証人として召喚した。 

 さらに同小委員会は、HPの同社の法令遵守主任弁護士ケビン・ハンセーカー(Kevin Hansaker)HPのグローバル・セキュリティー・マネジャー アンソニー・ジェンティルッチ(Anthony Gentilucci)、および小規模ではあるが法人のセキュリティ調査専門探偵会社(Boston Security Outsourcing Solutions Inc.)の代表ロナルド・ディア(Ronald R.DeLia ) も召喚された。 

D.法案H.R.4709 ”Telephone Records and Privacy Protection Act of  2006”

 同法案の提案の背景、趣旨、審議経緯等の詳細はトラッキング専門サイトGovtrack を参照されたい。同法案は議会で可決後、2007112日に大統領の署名により成立した。

 同法案はテキサス州選出のラマー・スミス(Lamar Smith)議員提出したものである。

 なお、ブッシュ大統領のpretexting行為の犯罪化立法に対する考え等についてのTech Law Journal解説記事を参照されたい。 

(2)2007年法案の審議

A.下院エネルギー商業委員会における関係機関の証言等

  2007年3月9日、同委員会は”Combating Pretexting:H.R.936,Prevention of Fraudulent Access to Phone Records Act”と題する公聴会を開いた。そこでの証人として連邦取引委員会等が出席している。同委員会において民主党、共和党の議員は超党派で支持したが、なお意見の一致を見ず可決されていない。

  法案第Ⅰ編はpretextを行う事業者に関し、pretextingにより収集した個人情報の販売、データ・ブローカーやその他の仲介業者に新たの民事責任を問うというもので、連邦取引委員会にその民事責任訴追権を与えるものである。 

 また、第Ⅱ編は次の2つのポイントがある。①pretexting行為と詐欺に関するもので、FCCに対し、pretextを行う事業者からCPNIの保護にかかる一定の行動を強制できうる規則の制定を求めるもの、②通信事業者にかかる詐欺やpretext行為に関する一般的なプライバシー保護に関する規定案を含むものである。これらの規定により、通信事業者は「顧客の同意なし」に系列企業、パートナーまたはその契約者との間で個人情報の共有が禁止される。 

B.ほぼ同様に内容を持つ法案 H.R.4943「Prevention of Fraudulent Access to Phone Records Actも上程(全文参照)されたが、なお意見の不一致が見られ超党派の文言調整段階にある。 

(3)2007年4月2 FCCFCC STRENGTHENS PRIVACY RULES TO PREVENT PRETEXTINGをリリース

 その内容はキャリア認証要求、アカウント変更通知義務、CPNI漏洩時の通知義務、年1回のCPNI報告提出義務等である。4月4日付けのITmedeiaの訳文がある。

 *************************************************************************

 (注1) ローファーム”Latham & Watkins”のブログに基づき、CPNIに関する主な注目点を挙げておく。①最近時の漏洩リスクの基づくFCCの法執行行為は旧来型のターゲット・ハッキングなどよるものでなく、企業ネットワークに接続する第三者たるベンダーの違法行為にもとづくものというのは偶然の一致ではない。ベンダーのセキュリティの実践内容につき、とりわけ機微情報にアクセスが可能な場合は検査や定期的な再検査が必須である。②FCCの「2015年Open Internet Order」(同Orderについては2015.3.19 国立国会図書館 Current Awareness Portal「米国連邦通信委員会(FCC)、オープンなインターネットについての規則の詳細を公開」が詳しく関係サイトにリンクし、関係レポートを引用している)は、すべてのブロードバンドによるインターネットアクセス・プロバイダーもキャリアーと同様にプライバシー保護については、電気通信法第222条に従う点を明示した。③FCCの電気通信のセキュリティ、信頼性及び相互運用性評議会はこのほど「Cybersecurity Risk Management Best Practices (WG 4):Cybersecurity Framework for the Communications Sector」(全13頁)を取りまとめ公表した。 なお、AT&T案件にかかる米国ローファームの解説記事のURLのみあげておく。A事務所B事務所

(注2) 総務省:1998年10月26日「 電気通信サービスにおけるプライバシー保護に関する研究会 報告書 第1章 米国における電気通信事業者の個人情報保護規制」の一部抜粋 電気通信サービスを提供することによって顧客に関する専属的ネットワーク情報(CPNI:Customer Proprietary Network Information)を受領又は取得する電気通信事業者は、法律の要求がある場合又は顧客の承認を得た場合を除き、当該情報が得られた電気通信サービス又はその関連サービスの提供に必要な範囲においてのみ、当該情報を利用し、開示し又はその情報へのアクセスを許可しなければならない(1934年通信法(合衆国法典第47編)第222条(c)項(1))。  ここに、「顧客に関する専属的ネットワーク情報」とは、(a)電気通信サービスの数量、技術構成、種類、宛先及び利用総額に関する情報で、通信事業者と顧客との関係を理由としてのみ顧客が通信事業者に利用させるもの、及び(b)顧客が区域内電話サービス又は長距離電話サービスに関して受領した請求書に記載された情報をいう(第222条(f)項(1))。

(注3) 47 CFR Part 64, Subpart U - Customer Proprietary Network Information 

 (注4) 認定国際プライバシープロフェッショナル資格-CertifiedPrivacyProfessional-(略称CPP International):個人情報保護法、基本方針及び分野別ガイドラインを遵守した個人情報活用の要であるプロフェッショナルとしての養成講座/認定試験に合格した者に与えられる資格で、国際的にプライバシープロフェッショナルとしての必要な知識や能力を有することを証する民間資格。  詳しくは、「日本プライバシーコンサルタント協会(JPCA)」のサイトを参照されたい。

 (注5) TerrComのHP の解説を仮訳する。 「TerraComは、低所得消費者がそれらが値する情報提供サービスを得るのを支援するために設立した。 TerraComは、人々がお金を貯めるのを助け、最高の顧客サービスを前提とすると誇っている。 私たちはいつも低い費用、高い質の高いサービスを使用できて、TerraComが、顧客が念頭にいる状態で効率的なオペレーションを実施するのに専門的技術を使用する。」 また、FCCのTerraComの告訴や和解合意内容については、FCCのリリース文を参照されたい。

(注6) 連邦議会の動画サイトC-SPAN やその公式記録で見るとメデイアも含め当時の米国民の関心の高さが伺えるし、わが国でも同様のサイト(衆議院および参議院の審議中継およびビデオ録画)があるにも関わらず選挙民からは有効に活用されてないのはいかがなものか。その原因の1つは、わが国の委員会における公聴会を見ると証人の一方的な専門的論述が中心であり、また法案の審議というより議員の勉強会であるという点である。 

(注7) フレッド・アドラーの証言全記録はWSJが詳しく記録している。 

(注8) Larry Sonsini はシリコンバレーのstarlawyerと呼ばれる弁護士である。

(注9) Joe Depante が代表である”Action Research Group”は、2008年5月28日、FTCはprexting行為を行った結果、個人情報を取得または転売したことを理由にフロリダ中部地区連邦裁判所に告訴した結果として、FTCの罰金刑60万ドル(約7,140万円)および恒久差止め命令を受けた被告事業者のうちの1社である。

 元同Groupの従業員であったジョセフ・デペンタ(Joseph Depante)とマシュー・デペンタ(Matthew Depante)父子に対する罰金刑67,000ドル(約797万円)、また下請けを請け負ったブライアン・ワグナー(Bryan Wagner)は罰金428,085ドル(約509万円)、カサンドラ・セルヴァイヤー(Cassandra Selvage)は罰金110,762ドル(約132万円)が課された。 

(注10)U.S. Cellular、CDMAオペレータとして米国26州にネットワーク設備を構築し、他事業者と連携して全国サービスを展開する米国第6位の移動体通信事業者。 

 ******** ***************************************************************

 Copyright © 2006-2015 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする