筆者は2016年11月2日付けブログ「FCCはブロードバンド・インターネット接続サービス・プロバイダーのプライバシー規則を制定」でFCC規則につき詳しく論じた。
このほど、筆者の手元にAngela Y. Kung, Jonathan P. GarvinやPaul Besozzi氏から連邦通信委員会(FCC)は、1月6日、電気通信事業者および相互接続されたボイス・オーバー・インターネット・プロトコル・プロバイダーに適用されるデータ侵害報告要件に関連する要件を改訂するために、規則制定案告示(Notice of Proposed Rulemaking: NPRM)案(注1)を全会一致で採択した旨の解説記事が届いた。
以下、より詳しく論じているAngela Y. Kung, Jonathan P. Garvin氏のレポートを中心に関係法等補足しながら仮訳する。
Angela Y. Kung氏
Jonathan P. Garvin氏
なお、この問題はわが国ではCPNI等正面から論じたものが極めて少ない。電子ネットワーク運営における「個人情報保護に関するガイドライン」(解説付き暫定版)平成9年12月3日 電子ネットワーク協議会等が参考になろうか。
1.連邦通信委員会(FCC)の 規則制定案告示(Notice of Proposed Rulemaking: NPRM)NPRM)案を全会一致で採択
連邦通信委員会(FCC)は、電気通信事業者および相互接続されたボイス・オーバー・インターネット・プロトコル・プロバイダー(注2)に適用されるデータ侵害報告要件に関連する要件を改訂するために、規則制定案告示(Notice of Proposed Rulemaking: NPRM)NPRM)案を全会一致で採択した 旨リリースした。
この提案は、「顧客固有のネットワーク利用情報(CPNI)(注3)の侵害を顧客と連邦法執行機関に通知するための通信委員会の規則を強化する」ことを目指している。CPNIは、通信法第222条(SEC. 222. [47 U.S.C. 222] PRIVACY OF CUSTOMER INFORMATION.)で最初に定義された加入者の電話使用量に関するデータである。FCCの規則改訂の目的は、「他のセクターを対象とする連邦および州のデータ侵害法の最近の進展と規則をよりよく一致させること」である。
現在のFCC規則では、電気通信事業者およびボイス・オーバー・インターネット・プロトコル(「VoIP」)サービスプロバイダー(総称して、通信事業者という)は、顧客が電話をかける番号、通話の頻度または持続時間、モバイルデバイスの場所など、CPNIと呼ばれる特定の顧客独自のネットワーク情報に関連するデータ侵害について、顧客および連邦法執行機関に通知する必要がある。
FCCは、特定の種類のデータ侵害、具体的には、顧客のふりをして通話データやその他の個人記録にアクセスする慣行である「プリテキスティング(pretexting)」(注4)に対処するための現在のルールを開発した。しかし、プリテキスティングが最近のデータ侵害の原因になることはめったにないため、FCCは、今日より頻繁に発生しているより高度で多様な侵害に対処するための新しい要件を提案し、コメントを求めている。とりわけ、FCCは、(1)「違反(Breach)」の定義を拡大して「不注意による(Inadvertent)」違反を含めること、(2)データ侵害の連邦法執行機関に加えてFCCに通知することをキャリアに要求すること、および(3)通信事業者が顧客に違反を通知するまでの特定の待機期間をなくすことを提案している。
(1)「違反(breach)」の定義の見直し
〇不注意による開示(Inadvertent Disclosures)
現在のFCC規則では、「違反」は「許可なしに、または許可を超えて、CPNIに意図的にアクセス、使用、または開示した場合」に発生する。今回のNPRMは、この定義を拡張して、CPNIの不注意による不正アクセス、使用、または開示を含めて、「フィッシング」攻撃など、CPNIを盗むために使用されるますます多様化する違法な方法に対処することを提案している。
FCCは、通信事業者への負担やコストなど、偶発的な違反報告を要求することの影響についてコメントを求め、情報が不適切に使用または開示されていない場合、従業員または代理人によるCPNIの誠実な取得を違反の定義から免除すべきかどうかを尋ねている。またFCCは、違反の定義をさらに拡大して、CPNIエクスポージャーに合理的につながった可能性のある行為を含める必要があるかどうかについても疑問を呈している。
〇被害ベースの通知のトリガー(Harm-Based Notification Trigger)
現在のFCC規則では、違反のすべての事例で通知が必要であるが、FCCは、違反によって顧客への危害が発生しない可能性が合理的であると判断した場合に、通信事業者が通知を差し控えることを許可する、多くの州で使用されている「危害ベースの通知トリガー(harm-based notification trigger)」を採用する必要があるかどうかを尋ねる。
FCCは、金銭的および/または身体的または感情的な危害などの「危害」をどのように定義すべきかについてコメントを求め、顧客が危害を受ける可能性が合理的に高いかどうかを評価するためにキャリアが使用すべき要因または基準について尋ねる。
ただし、NPRMは、FCCが危害ベースの通知トリガーを採用したとしても、危害の合理的な可能性を判断できない場合、通信事業者の通知義務は引き続き有効であると指摘している。
またFCCは、危害ベースのトリガーを顧客と法執行機関への通知の両方に適用する必要があるかどうかを尋ねる。危害に基づく通知トリガーが採用されたとしても、運送業者が危害の合理的な可能性を判断できない場合、通知の義務は引き続き有効であると指摘している。
さらにFCCは、社会保障番号や財務記録など、他の情報キャリアが所有する報告義務を確立する通信法に基づく権限があるかどうかについてもコメントをもとめる。
(2)FCCおよび法執行機関への通知
現在、通信事業者がCPNIに関連する違反があったと合理的に判断した場合、米国シークレットサービス(U.S. Secret Service)および連邦捜査局(FBI)にのみ通知する義務がある。
FCCは、このアプローチが(i)他の連邦セクター固有のプライバシー報告規則と一致しており、(ii)犯罪以外の違反に関する重要な情報をFCCに提供し、より広範なネットワークセキュリティの脆弱性を調査および修正できるようにするため、法執行機関と同時にCPNIに関連する違反をFCCに通知するよう通信事業者に要求することを提案している。
〇通知の方法(Method of Notification)
FCCの違反通知に関する規則では、通信事業者は、そのWebサイトからアクセスできる「中央報告機能」を通じて法執行機関に通知する必要がある。
この通知プロセスを合理化するために、FCCは、法執行機関とFCCの両方に違反を報告するための一元化されたポータルを作成および維持することを提案し、たとえば、サイバーセキュリティインシデントに使用される最近作成されたサイバーセキュリティおよびインフラストラクチャ・セキュリティ・エージェンシー・インシデント報告システムを活用できるかどうかキャリアの負担を最小限に抑えるとしている点につきコメントを求める。
〇通知内容(Notification Contents).
通信事業者は現在、シークレットサービスとFBIへの違反通知に、連絡先情報、違反の説明、侵害の方法、違反の日付範囲、影響を受ける顧客のおおよその数、通信事業者と顧客への経済的損失の見積り、影響を受ける顧客の住所など、特定の情報を含める必要がある。FCCは、FCCへのキャリア通知で同じ情報を要求することを提案している。
〇報告の時間枠(Timeframe)
今日の通信事業者は、違反の合理的な判断から7日以内に法執行機関に違反を報告する必要があるが、FCCは、通信事業者の負担を最小限に抑え、報告義務に関する混乱を減らすために、違反を発見した後、「実行可能な限り早く」FCCおよび法執行機関に通知することを通信事業者に要求することを提案している。ただし、FCCは、「7日以内」の期限を維持するか、24時間以内や72時間以内などの新しい期限を採用するべきかについてもコメントを求めている。
〇通知に関するしきい値トリガー(Threshold Trigger)の要否
既存のFCCルールでは、通知要件は重大度に関係なく、すべての違反に適用される。ただし、FCCは、少数の顧客のみに影響を与える侵害は、大規模な違反と同じレベルの注意を必要としない可能性があると述べている。
したがって、管理上の負担と過剰な報告を減らすために、FCCは、その代わりに、影響を受ける個人250人、500人、または1000人など、キャリアの通知義務をトリガーする影響を受ける顧客のしきい値レベルを採用する必要があるかどうかを尋ねる。
(3)顧客への通知
不当な遅延せずにデータ侵害を顧客に通知する。
FCCの規則は現在、顧客への即時かつ回復不能な損害を回避するためにいくつかの例外を除いて、法執行機関に通知してから7営業日後まで、通信事業者が顧客に通知したり、データ侵害を一般に開示したりすることを禁じている。
FCCの案は、この待機期間を廃止し、法執行機関が遅延を要求しない限り、違反を発見した後、「不当な遅延なしに」顧客に通知することを提案している。特定の通知期限に関するガイダンスを提供する必要があるかどうかを尋ね、多くの州が違反の発見後30日、45日、60日など、消費者に通知する必要がある時間に外部の時間制限を課していることを指摘している。
またFCCは、採用した通知期限をすべての通信事業者に等しく適用すべきか、それとも異なる報告期限を小規模通信事業者に適用すべきかを尋ねる。FCCは、連邦政府機関は、その通知が調査を妨げる場合、FCCの規則で現在許可されているように、最大30日間顧客通知を遅らせるように運送業者に指示することが引き続き許可されているか質問している。
〇顧客違反通知の内容(Method of Customer Breach Notification.)
FCCは現在、通信事業者が顧客通知に特定の情報を含めることを要求していないが、次のような最小限の情報を必要とするかどうかについてコメントを求めている。
①違反の日付
②使用され、開示され、またはアクセスされた顧客情報の説明
③障害のあるお客様を含むお客様が通信事業者に連絡して違反について問い合わせる方法に関する情報
④FCCおよびその他の関連する連邦および州の規制当局への連絡方法に関する情報
⑤信用報告に関する情報と、違反が個人情報の盗難のリスクをもたらす場合に個人情報の盗難を防ぐために顧客が実行できる手順。
⑥漏洩した特定の情報に基づいて、侵害による危害のリスクを軽減するためにお客様が実行する必要のあるその他の手順
〇顧客違反通知の方法。
同様に、FCCは、電子メール、物理的な郵便、電話などの特定の通知方法を必要とするかどうかを尋ねている。
(4)電話リレーサービスの要件(Telephone Relay Service Requirements)
FCCは、電話リレーサービス(TRS)(注5)およびビデオリレーサービス(VRS)(注6)を介したポイント・ツー・ポイントビデオ通話(聴覚、言語、視覚障害のある人が電話で通信できるように設計されたサービス)に関する現在の違反通知規則は、通信事業者に一般的に適用されるものと同じであると説明している。したがって、TRSおよびVRSユーザーに対して同等のレベルの保護を維持するために、FCCは、TRSおよびVRSデータ侵害規則を改訂して、キャリアに対して上記で提案および説明したものと同じ要件を含めることを提案している。
(5)法的権限
FCCは、通信事業者によるCPNIの使用、開示、保護を規定する通信法第222条に基づく提案を採用する法的権限があると暫定的に結論付けているが、その暫定的な結論についてコメントを求めている。
*************************************************************
(注1) ボイス・オーバー・インターネット・プロトコル(VoIP)は、通常の(またはアナログの)電話回線の代わりにブロードバンドインターネット接続を使用して音声通話を発信できるようにするテクノロジーである。VoIP サービスによっては、同じサービスを使用して他のユーザーにしか電話をかけることができない場合があるが、市内番号、長距離番号、携帯電話番号、国際電話番号など、電話番号を持っている人なら誰でも電話をかけることができるサービスもある。また、一部の VoIP サービスはコンピューターまたは特別な VoIP 電話でのみ機能しますが、他のサービスでは、VoIP アダプターに接続された従来の電話を使用できる。(FCCサイトを仮訳)
(注2)NPRMは、FCCサイトからリンクすること。
FCCは、1934 年通信法(The Communications Act of 1934, 47 U.S.C. § 151 et seq.)に反しない限りにおいて、任務を遂行するために必要な一切の行為を行い、規則を制定し、命令を発することができる(§154(i) The Commission may perform any and all acts, make such rules and regulations, and issue such orders, not inconsistent with this Act, as may be necessary in the execution of its functions.)。このうち、公衆等を拘束する法的な権利義務を創出する規則の制定には、公表とコメントの手続を経ることを要する。具体的には、制定に先立ち、「規則制定案告示(Notice of Proposed Rulemaking: NPRM)」を発出し、パブリックコメントの募集が行われる。提出されたパブリックコメントの分析の結果、委員の投票を経て、最終的に FCC は、「報告と命令(Report and Order)」を発し、これに基づき規則の改正が行われる。(神足祐太郎「アメリカにおけるネットワーク中立性政策の展開」国立国会図書館 調査及び立法考査局:21 世紀のアメリカ 総合調査報告書」から抜粋のうえ、条文の原文を追加した)。
(注3) 顧客が契約している通信サービスに関する情報「Customer Proprietary Network Information(CPNI)」という説明がある。ただし不十分な説明である。
顧客独自のネットワーク情報(CPNI)とは、消費者の電話に関して電気通信会社が収集するデータ。 これには、各通話の時刻、日付、期間、宛先番号、消費者が加入しているネットワークの種類、および消費者の電話料金に表示されるその他の情報が含まれる。(Wikipedia を仮訳)
(注4) 筆者ブログの(注2):「pretexting」とは本人を装い、電話会社に電話してうその口実を使って電話代の請求のコピーを要求し、かけた電話の宛先、支払いのための銀行口座の明細等を違法に入手する行為をいう。個人のプライバシー侵害という観点で従来から問題視されている。
(注5) 電話リレーサービスとは、きこえない・きこえにくい人ときこえる人を、オペレーターが "手話や文字" と "音声" を通訳することにより、電話で即時双方向につなぐサービス。
(注6) VRS(ビデオリレーサービス)は、テレビ電話を通じてオペレーターに手話で伝えると、オペレーターは相手先に音声で同時通訳します。相手の音声はオペレーターが手話で伝えてくれる。
****************************************************
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
