Financial and Social System of Information Security

インターネットに代表されるIT社会の影の部分に光をあて、金融詐欺・サイバー犯罪予防等に関する海外の最新情報を提供

FCCはブロードバンド・インターネット接続サービス・プロバイダーのプライバシー規則を制定

2016-11-02 12:38:52 | プライバシー保護問題

 photo:Tom Wheeler

  2016年10月27日に、米国・連邦通信委員会(FCC:委員長:トム・ウィーラー(Tom Wheeler))は、同4月1日にブロードバンド・インターネット接続サービス・プロバイダー(Broadband Internet Access Service providers:以下「BIASプロバイダー」という) (注1)の顧客のプライバシー実務慣行を統治するために大いに期待された「規則制定提案告示(Notice of Proposed Rulemaking (以下「NPRM」という」(全147頁)を発表、コメントを求めた結果にもとづき、その後の検討、関係団体等から指摘をふまえた最終規則を採択した旨、リリースした。 

 3-2のFCCの投票結果で、FCCは顧客データのインターネット・サービス・プロバイダーの個人情報の収集と使用方法等を決定する新しい規則を承認した。最大の影響は、プロバイダーが以前は顧客の事前許可なしで集めることができたデータの収集、共有見ついて、事前に肯定の同意を得るいわゆる「オプト・イン」が必要である場合を明記した点である。 

 10月始めに公表したFCCの概況説明では、FCCは新しいプライバシー規則はアプローチ内容を、従来FTCによって使われるものと類似して作ることを目的としたと述べた。しかし、関係者の一部はFCCはFTCが積極的に取り組んできた内容に比べあまりに遠くに向きを変えたことを批判する。 

 今回のFCC規則は、機微情報(sensitive data)のカテゴリーに分類されるデータの使用、共有につき「オプト・イン」による同意を義務づける。さらに、FCCは機微情報として「金融取引データ」や「地理位置情報データ」を含むことに加えて、「ウェブ・ブラウジング(Webブラウザを利用してWebサイトなどを閲覧すること)」や「モバイル・アプリ」の使用データも「機微」情報にあたると定めた点で、今回のFCC規則は従来のFTCのアプローチとは異なる。また、FCCは同規則において「漏洩時のステイクホルダーへの通知」義務、「収集と使用」に方針の目立つ通知内容、データセキュリティの実践の必要条件を明記するとともに、「オプト・イン」の例外をも規定した。(以上の解説は、2016.10.31 Data Law Insights「FCC approves privacy rules for broadband providers」仮訳した) 

 筆者は、2015年4月21日ブログ「米AT&Tは連邦通信委員会と3コールセンター従業員による個人情報の違法アクセス責任につき2,500万ドルで和解」の中で「米国における通信事業者に対する顧客のCPNI(電気 通信サービスを提供することによって顧客に関する専属機密ネットワーク情報(Customer Proprietary Network Information))の規制とりわけ「pretexting」 (注2)行為の厳しい罰則立法は、本文で述べるとおり議会の姿勢はわが国に比して極めて厳しい。」と述べた。 

 BIASプロバイダーのプライバシー保護のあり方は、一般的にISP規制と異なる観点から論じられなければならないと考えるが、わが国ではの検討は完全に手付かずのままで、初期的な議論さえない。業界の取り組みも然りで、主なBIASプロバイダーのプライバシー・ポリシーを見たが、業界固有の文言や特徴もないものであった。 

 他方、米国系の低価格携帯電話会社モベルグループのプライバシー・ポリシー(注2-2)を見てみた。今回のFCC等のNPRM等規制内容に準拠していることは間違いない。

「FCC Releases NPRM on Broadband Privacy Rules」等を元に仮訳、補筆した。さらに詳しいレポートとして2016.5.6 Data Privacy Monitorの解説「インターネットサービス・プロバイダーは、FCCのプライバシーとセキュリティの規則提案の新規制環境に直面する(Internet Service Providers Face New Regulatory Environment in the FCC’s Privacy and Security Proposal)」がある。専門的な内容を含み参考とすべきものといえるが大部なため、あえて必要な範囲で仮訳、引用する。さらに、弁護士による従来のFTCの規制・監督との比較を踏まえた詳細な論文もある。 (注3)ただし、本ブログで紹介するのはこれも大部すぎるので、関係する部分のみ、本ブログで引用する。 

 わが国の関係者であれば、従来この問題は連邦取引員会(FTC)の所管する問題であり、(1)なぜFCCへの移管の背景されたのか法的な点も含めた問題、(2)従来この問題につき長年ノウハウがあるFTCと主にコモン・キャリア(公共通信事業者)の監督に当たってきたFCCが新技術・サービスが日々あらわれる”edge provider”の規制・監督が適格にできるのか、等々の疑問が湧いてきた。 

 この問題につき、わが国での解説は極めて少ない。その理由は米国でも断片的なメデイア記事はあるものの、論点が良く整理された解説や論文が少ないこともあり、筆者もその調査に時間がかかったことも今回の執筆が遅れた理由である。これらの問題については、後日改めて解説することとし、今回はFCC規則の内容を中心に補足しながら、解説する。 

1.FTCからFCCへのISPの監督・規制権限の移管問題

 FTCからFCCへのISPの監督、規制権限の移管は、2015年2月26日にFCCが電気通信法第2編の下でのFCCが監督する「一般通信事業者(自前の通信設備(特に回線網)を所有している通信事業者)」として「ブロードバンド・インターネット接続サービス(「BIAS」)を「分類し直す」ことによってISPを管理する根拠となる法的アプローチに関して担当機関を「FCC」に変更したことに始まった。 (注4)

  プライバシー面の考慮すべき問題は、これらのFCCの「ネット中立性」規則の採択の裏にある駆動要因ではなかった。しかし、FTC自身が支配している法規(FTC法) (注5)から「コモン・キャリア」の適用除外によって、今回のFCCの決定は、その姉妹機関たるFTCからISPの警察機関への規制効力を効果的に奪ったという意見もあり、関係者間で意見が分かれる点である。(以上の説明は(ローズマリー C.ヘロルド:Rosemary C. Harold)(米国ローファーム:Wilkinson Barker Knauer, LLPのパートナー)「FCCは、ブロードバンド事業者のプライバシー規制の複雑な提案をつなぎ合わせる何か大事な点を忘れてはいないか」から一部抜粋した) 

2.FCCのブロードバンド(BIAS プロバイダー)のプライバシーポリシー(NPRM)の内容・項目

 NPRMは、以下の通り、BIASプロバイダーがいかなる顧客情報を集めるか、またいかなる目的で情報収集するか等を含むプライバシー・ポリシーを顧客に提示するか等、ブロードバンド・プロバイダーに要求する規則案を提案したものである。

 すなわち、BIASプロバイダーは、(1)いかなる種類の事業体といかなる方法や範囲で顧客情報を共有するか、(2)顧客の個人情報の使用につき「オプト・イン」、「オプト・アウト」権を行使しうるとし、その方法等につき定めたものである。

 3.顧客の専属機密ネットワーク情報(CPNI)の使用にかかる顧客の同意

 NPRMは、顧客データのカテゴリーに言及すべく、その規則案では「顧客専属機密ネットワーク情報(Customer Proprietary Network Information:以下”CPNI”という)」 (注6)、または「顧客専属機密情報(Customer PI:以下”PI”という)」に適用されると提唱する。 

 顧客専属機密情報(PI)は、(1)顧客の独自の専属ネットワーク情報(CPNI)と、(2)個人特定情報(personally identifiable information :以下「PII」)から成る。

 ”CPNI”は、テレコミュニケーション・キャリヤー(電気通信事業者)のいかなる顧客によって申し込まれるテレコミュニケーション・サービスにおける「サービス数量(quantity)」、「技術的な構成(technical configuration)」、「利用の種類(type)」、「利用目的(destination)」「利用位置情報(location)」、「利用金額(amount of use)」に関するもの、また、「事業者と顧客関係だけによって顧客によってのみ事業会社に対して利用可能となる情報」をいう。

 また、PIIは個人に「リンクされた」または「リンク可能」ないかなる情報も含むと定義する。

 NPRMは、意見が分かれるサービスに依存する顧客専属機密情報(PI)を使う際に要求される顧客の同意につき3種類を提案する。したがって、PIの使用と共有を決定するときには、つぎの3段階の「同意アプローチ」を提案することとなる。 

①顧客とブロードバンド・プロバイダー関係が行われる時点での「同意」。 

 提案された規則の下で、BIASプロバイダーはブロードバンド・サービス(たとえばコミュニケーションが特定の人を目的とされている目的地に着くことを確実とするため)と確かに彼らの顧客とのブロードバンド・プロバイダーの関係の前後関係の範囲内で意味をなす他の目的を提供するために、さらなる同意を顧客から得なくとも、顧客データを使用したり、共有できる。 

②オプト・アウト同意: BIASプロバイダーは、顧客のオプト・アウト同意を前提として、他の通信関連のサービス市場に出すために、 PIを使用しうるが、そのオプトアウト権は明らかにされなければならないし、簡単に使うことができかつ連続的に利用できなければならない。 NPRMは「通信関連のサービス」の範囲を定める方法についてのコメントを求めるが、提案されるように、通信関連のサービスはブロードバンド・プロバイダーによって提供される境界サービスは含まれない。 

③オプト・イン同意:提案された規則では、 BIASプロバイダーが非通信関連の系列会社または第三者とともに、または、他の全ての目的のために自分自身が顧客情報を使う(または彼らの通信関連の系列会社を介して顧客情報を共有する前にオプト・イン同意を得ることを義務づける。

 4.データ・セキュリティの実施の徹底

 提案された規則案は、 BIASプロバイダーにプロバイダーの活動の性格と範囲、取扱データの機微性ならびに技術的実現可能性から調整された性質と範囲から調整されるセキュリティ実行を採用することによって、すべての顧客PIの安全性と守秘性を無権限使用または公開から保護することを求める。 

 とりわけ、NPRMはBIASプロバイダーに、1)リスク管理実践、2)組織としての人事教育の実践、3)顧客の承認条件、4)データセキュリティに関する上級管理者の特定の採用義務を提案し、また第三者との共有についてはPIの使用と保護に関する説明責任を負わせる。  

 さらに、NPRMはFCCはがデータの最小化、データ保持とデータ無害化標準(destruction standards) (注7)も採用しなければならないかどうかについてコメント求めた。また、BIASプロバイダーのデータセキュリティ必要条件は音声プロバイダーに対するものと調和すべきかどうか、ケーブル事業者や衛星プロバイダーのデータセキュリティ要件と調和さるべきかどうかについてもコメントを求める。 

5.データ漏洩時の顧客およびFBI,USSSへの通知義務

  NPRMは、データ漏洩時に、BIASプロバイダーは次の通知を行うことを義務付ける規則案を提示した。 

①法執行ニーズに従い、漏洩事実の発見後、遅くとも10日目までに影響を受けた顧客に漏洩の事実を通知する。 

②漏洩の発見の後、遅くとも7日までにはFCCにどんな違反でも通知する。  

③合理的に見て、5,000人以上の顧客に関連すると思われる漏洩事件については、連邦捜査局(FBI)と米国シークレットサービス(USSS)に、遅くとも漏洩の発見の後7日目以内でかつ顧客への通知の少なくとも3日前までに通知しなくてはならない。 

6.更なる関連問題

 また、NPRMは、特定のBIASプロバイダーにつき、(1) FCC規則で禁止すべきまたはFCCがより強めた通知(heightened notice)と選択条件(choice requirements)について、関係するプライバシーに係る慣行実務があるか、(2) FCC1934年電気通信法(COMMUNICATIONS ACT OF 1934)にもとづき現在、非公式に行っている苦情処理 (注8)が、顧客のブロードバンドの利用に係る懸念を解決する手段として十分か、(3)FCCは、このほかの提案する保護の枠組みや勧奨内容を本規則に取り込むべきか、(4) FCCはマルチ利害関係者プロセスとの関係で顧客PIのプライバシーを保護するため提案された規則案に取り込まなければならない特定の方法があるかどうか、などである。 

*********************************************************************************

(注1) ブロードバンド:CATV,DSL,FTTH,FWA及びBWAなどの広帯域の周波数を使用し,ナローバ ンド(電話回線やISDN回線)よりも高速なデータ通信が行える通信方式の総称である。①「CATVインターネット」:CATV網を利用して提供されるインターネット接続サービス。加入者宅にケーブルモデムと呼ばれる装置を配置し,これにCATVの同軸ケーブルを接続して利用。②「DSL」:電話線を使って高速なデジタルデータ通信をする技術の総称。既存の電話線(アナログ回線)を流用。③「FTTH」:光ファイバーによる家庭向けのデータ通信サービス。ブロードバンドの中でも最も 高速。④「衛星」インターネット(高速衛星インターネットアクセスとIPSTARのサイト解説から一部抜粋する。「赤道36,000km上空、地球静止軌道に位置するIPSTAR衛星を経由して、あなたのPCを高速インターネットに接続します。住宅または小規模のオフィスにて、ダイヤルアップ接続の数倍の速さでインターネットを利用することが可能です。直径84cmの衛星通信用アンテナと専用モデムを準備するだけで即利用可能です」 

(注2) 「pretexting」とは本人を装い、電話会社に電話してうその口実を使って電話代の請求のコピーを要求し、かけた電話の宛先、支払いのための銀行口座の明細等を違法に入手する行為をいう。個人のプライバシー侵害という観点で従来から問題視されている。

(2006.2.3 筆者ブログ「米国連邦通信委員会(FCC)の委員長は携帯電話等の「通話記録」委託販売業者に対する規制強化法案を支持 」 ()参照。

(注2-2) 米国格安携帯電話会社 モベルグループのプライバシーポリシー「当社が収集する個人情報」から抜粋する。

「CPNI(顧客独自のネットワーク情報: Customer Proprietary Network Information):CPNIとは、当社が提供する電気通信サービスへの接続の際に発生する情報のことです。CPNIに含まれる情報には、例えば、通信履歴、通信位置情報、お客さまの通話プランやサービスに関する情報が該当します。CPNIにはお客さまのお名前や住所、電話番号は含まれません。」 

(注3) ローズマリー C.ヘロルド(Rosemary C. Harold))(米国ローファーム:Wilkinson Barker Knauer, LLPのパートナー)FCCは、ブロードバンド事業者のプライバシー規制の複雑な提案をつなぎ合わせる何か大事な点を忘れてはいないか(The FCC Forgot Something in Piecing Together Its Complex Proposal for Broadband Privacy Regulation: Consumers)」 参照。 

(注4) 2015.2.26 FCC採択「 Protecting and Promoting the Open Internet, Report & Order, 30 FCC Rcd 5601 (2015)(REPORT AND ORDER ON REMAND, DECLARATORY RULING, AND ORDER)  

(注5) Federal Trade Commission Act Section 5: Unfair or Deceptive Acts or Practices:

15 U.S. Code § 45 - Unfair methods of competition unlawful; prevention by Commission 

(a)(2) The Commission is hereby empowered and directed to prevent persons, partnerships, or corporations, except banks, savings and loan institutions described in section 57a(f)(3) of this title, Federal credit unions described in section 57a(f)(4) of this title, common carriers subject to the Acts to regulate commerce, air carriers and foreign air carriers subject to part A of subtitle VII of title 49, and persons, partnerships, or corporations insofar as they are subject to the Packers and Stockyards Act, 1921, as amended [7 U.S.C. 181 et seq.], except as provided in section 406(b) of said Act [7 U.S.C. 227(b)], from using unfair methods of competition in or affecting commerce and unfair or deceptive acts or practices in or affecting commerce. 

 なお、FTCは、不公正な競争方法(unfair methods of competition)のほか,不公正・欺瞞的な行為又は慣行(unfair or deceptive acts or practices)を禁止しており,後者によりFTCはいわゆる消費者保護行政も所管している。 

(注6) 「顧客専属機密ネットワーク情報(Customer proprietary network information :CPNI)」とは、わが国の解説では「ネットワーク・サービスで利用される顧客の個人情報の総称。FCC(Federal Communications Commission/連邦通信委員会)は2007年4月2日に電話会社および携帯電話会社に対し、CPNIへのアクセスを厳しく取り締まり、他人へのなりすましなどをさせないために、顧客の通話記録を保護する新たな規制を発表した。」(マルチメディア・インターネット事典)がある。ただし、この説明のみでは、その具体的内容は理解できないであろう。

 (注7) ”data disruption standard”は、例えば2014年12月に公開されたNIST「Special Publication 800-88, Guidelines for Media Sanitization」等をさす。「サニタイズとは入力されたデータについて、処理上問題のある部分を除去したり、安全に処理できるように書き換えたりすること」とするオンライン事典があるが、むしろ「無害化」という訳語が適切か?。ちなみに、スワットブレインズ株式会社の電子ファイル”無害化”製品」の解説から以下、一部抜粋する。 

「標的型攻撃が増加しており、多くの組織が攻撃の危険にさらされています。標的型攻撃の多くは、巧妙な方法で正規のメールを装うことによって、端末でマルウェアを感染させ、機密情報を持ち出そうとします。マルウェアのソースコードは、インターネット等から簡単に入手でき、カスタマイズすることも可能なため、多くのマルウェアが誕生しています。このことから、従来の「パターンマッチング」に依存するセキュリティ対策は限界にきているとともに、組織においてマルウェア対策が急務となっています。

  VOTIRO-SDSは、ファイルがマルウェアを含んでいる「可能性」を重視し、メールの添付ファイル、Web経由のダウンロードファイル等をサニタイズ(無害化)するマルウェア対策製品です。」 

(注8) FCCFiling an Informal Complaint 苦情受付専用サイト 

連邦通信委員会(FCC)は、消費者にFCCが管理する通信サービスに関する問題に対する非公式の苦情を提出する機会を与える。 この苦情は、FCCの消費者の苦情センターで提出されることができます。そして、それは通信問題について消費者を教育し、彼らに苦情手続きを案内する。FCCのガイドブック参照。 

**********************************************************************************

 Copyright © 2006-2016 芦田勝(Masaru Ashida)All Rights ReservedYou may reproduce materials available at this site for your own personal use and for non-commercial distribution


コメント    この記事についてブログを書く
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする
« 米国連邦取引委員会はデータ... | トップ | ロシア連邦第一審裁判所はLin... »
最新の画像もっと見る

コメントを投稿

プライバシー保護問題」カテゴリの最新記事