Civilian Watchdog in Japan-IT security and privacy law-

情報セキュリティ、消費者保護、電子政府の課題等社会施策を国際的視野に基づき提言。米国等海外在住日本人に好評。

移動体通信事業者の顧客のトラッキング専門会社サイトで主要な米国の移動体通信事業者のすべての顧客はリアルタイムで他のユーザーの同意なしに閲覧可能となったのか?(その1)

2018-06-13 14:04:45 | 消費者保護法制・法執行

 

  さる5月18日に筆者の手元に米国のサイバー問題で最も専門性が高くかつ取組みが具体的なBlogサイト”KrebsonSecurity”(セキュリティ専門・調査報道が中心)の主幹であるブライアン・クレブズ(Brian krebs)氏から「移動体通信事業者の顧客のトラッキング専門会社”LocationSmart”サイトで、主要な米国の移動体通信事業者のすべての顧客は、リアルタイムで他のユーザーの同意なしに閲覧化可能となったのか?」 (後続の記事参照)と題する記事が届いた。それと前後して、ZDnet 、NewYork Times等のメディアも米国の他のトラッキング専門会社が本人の同意なしに法執行機関にトラッキング情報を譲渡あるいは売却していたなどのリーク記事が公表された。 

 この問題につき、筆者の関心は次の点に集約できると考えた。

①マーケティング支援ビジネストしてトラッキング専門会社の情報保護法等関係法から見た有効性、②トラッキング専門会社のシステムの脆弱性の中身と漏えい時のシステムのリカバリー体制、③電気通信事業者のこの問題の見方と取り組み、④連邦通信委員会(FCC)や連邦取引委員会(FTC)等監督機関の従来の取り上げ方や今後の調査の動向、⑤トラッキング・ビジネス規制にかかる連邦および州法の立法動向、⑥このビジネスに関する連邦議会の関係議員の見解と対処、⑥わが国で同様の問題はないと言えるのか等である。 

 かなり広範囲の問題であり、またそれぞれが専門性も高いテーマである。今回は第1回目として、KrebsonSecurity Blogにもとづき「事実関係」と①、③、⑤を中心にまとめた。できるだけ補足しながら解説をしたいと考えたが、時間も限られることから、やや正確性を欠く点は覚悟でまとめてみた。 

1.事実関係及び関係者の取組内容の概観

 はじめに、KrebsonSecurity Blogの内容が最も関係する問題を網羅しているので主要な部分を仮訳する。なお、時間の関係で同Blogは関係サイトとのリンクは十分には張られていない。このため、筆者の責任で追加的にリンクを張った。 

(1) ”LocationSmart”のユーザーの正確な位置情報がパスワードや認証なしに誰でも見れる状態が発覚 

 携帯電話事業者のユーザーの正確な位置情報に関するリアルタイム・データを集約する米国企業である”LocationSmartは、 パスワードや認証または認可を必要とせずに、同社のWebサイトのバグを原因とするコンポーネントを介して誰にでもこの情報を漏らしていることを”KrebsonSecurity”は検知した。”LocationSmart”は”KrebsonSecurity”からの連絡を受けて、5月17日(木)午後の早い段階でこの脆弱なサービスを遮断した。”LocationSmart”は、米国内のAT&T 、 Sprint 、 T-Mobile  、 Verizonの電話発信位置情報を数100ヤードの範囲で捕捉するサービスである。  

 5月10日(木)、 ”New York Times” は、 ”Securus Technologies” と呼ばれる別の携帯電話ロケーション追跡会社が、事実上すべての主要なモバイル・ネットワーク・プロバイダの顧客に関するロケーション・データをミズーリ―州ミシシッピー郡保安官事務所に売却または譲渡したというニュースを報じた。 

 5月15日(火)、 ZDnet.com  は、 Securusがカリフォルニア州のカールスバッドにある仲介業者”Location Smart”を通じてデータを取得しているという記事を掲載した。 

5月16日(水)午後、米国メディア「マザーボード(MOTHERBOARD)」は、もう1つの爆弾情報を公開した。ハッカーがSecurusのサーバーに侵入し、Securusが認定したユーザーのユーザー名、電子メールアドレス、電話番号、パスワードをハッキングした。 伝えられるところによると、盗難された認証情報のほとんどは、全米の法執行官がログオンに使うもので、その対象期間は2011年から2018年までである。

  ”KrebsonSecurityは、前述のマザーボードの記事が出る数時間前にカーネギー・メロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」に在籍する博士論文提出資格者である研究者ロバート・シャオ(Robert Xiao) (筆者注1)は”Securusと”LocationSmart”の報道を知って、”LocationSmartが潜在的な可能性についてWebサイトで公開しているデモ・ツールを覗いた顧客が行いうるモバイルロケーション・テクノロジーをテストしたと述べた。 

LocationSmartのデモ・ツール(デモ・サイト:https://www.locationsmart.com/try/は、すでに閉鎖されている)は、氏名、電子メールアドレス、電話番号をサイトのフォーム(My Mobile)を選択、POST要求を入力するだけで、誰でも自分の携帯電話のおおよその位置を見ることができる無料のサービスである。 ”LocationSmart は、ユーザから提供された電話番号をテキスト化し、そのデバイスの最も近い基地局のタワーにネットワーク接続許可を要求するのである。 

2018.5.27 https://www.locationsmart.com/platform/location

World's Largest Location-as-a-Service Company

https://www.locationsmart.com/

 その同意が得られると、”LocationSmart”は加入者に彼らのおおよその経度と緯度をテキスト化し、Google Street Viewマップ上に座標をプロットする。このことは、潜在的にあなたのモバイル・デバイスに関する多くの技術データを収集して保存する。たとえば、情報には「デバイスの緯度/経度、精度、見出し、速度、標高、基地局(cell tower)、Wi-Fiアクセスポイント、またはIPアドレス情報が含まれるが、これらに限定されない。 

 しかし、 カーネギー大学のシャオ氏によると、この同じサービスは、匿名の照会や不正照会を防ぐための基本的なチェックを実行することができなかった。つまり、Webサイトの仕組みに関する知識が少ない人でも、”LocationSmart”のデモサイトを悪用して、パスワードやその他のアクセスの資格情報を入力する必要がなく 、携帯電話の番号検索を行う方法を見つけ出す可能性がある。 

 シャオ氏は「私はほとんど偶然にこのような事件に遭遇したが、手順はそれほど難しいことではなかった、これは最小限の労力で誰でも発見できる。そして、その要点は、ほとんどの人の携帯電話を彼らの同意なしに追跡することができるということである」と述べた。  

 また、加入者の携帯端末に最も近い携帯電話の無線基地局に接続確認するために”LocationSmartのサービスに確実に問い合わせることができたことを示した。シャオ氏は、友人がアクセスしている数分間に何度も友人の携帯電話番号を確認しえた。 友人のモバイルネットワークに数分かけて何度も接続確認ることで、彼は座標をGoogleマップに差し込み、友人の携帯電話指向性の動きを追跡することができた。  

  シャオ氏は「これは本当に怖いものだ。また、ボランティアがカナダのあるTelus Mobilityのモバイル顧客に対して脆弱なサービスをテストし、追跡に成功した」と述べた。  

 ”LocationSmart”のデモ・サイトが本日オフライン(遮断される)になる前に、KrebsonSecurityは5人の異なる信頼できる情報源に接続確認を行い、5人すべてがシャオ氏が自分の携帯電話の所在を特定することに同意した。シャオ氏は、「公共のLocationSmartサービスに、私の5つのソースすべてに属する携帯電話のほぼ正確な位置を問い合わせることを数秒で決定づけることができた。」と語った。  

(2) LocationSmartのデモページへのシャオ氏と協力者の検証の結果 

 これらのデモテストの情報源の1人は、シャオ氏のデモサイトへの質問によって返ってきた経度と緯度は、 現在の自分の現在位置から100ヤード以内に位置したと語った。別の筋によると、シャオ氏が見つけた場所は、正しい現在地から1.5マイル離れていたという。 残りの3人の関係者は、携帯電話で返される場所は、当時約1/5〜1/3マイルの距離にあったと述べた。  

 LocationSmartの創設者兼CEOである マリオ・プロリッティ(Mario Proietti )氏は、電話でコメントを求められたが、「同社は調査中だと語り、また、私たちはデータをあきらめていない。正当で許可された目的で利用できるようにする。これは、合意に基づいてのみ行われる、正当で認可されたロケーションデータの使用に基づいている。我々は、プライバシーを真剣に受け止め、すべての事実を見直して調査する」と述べた。 

 ”LocationSmartのホームページには、米国の主要なワイヤレス・プロバイダー4である Google 、 Neustar (筆者注2)、 ThreatMetrix (筆者注3) 、 US Cellular (筆者注4)などの企業の企業ロゴが含まれている。 同社は、同社の技術が企業の遠隔の従業員や企業資産を把握するのに役立ち、モバイル広告主やマーケティング担当者が消費者に「地理に関連した宣伝」を提供するのを助けると語っている。  

 また、”LocationSmart”のホームページには多くのパートナーが掲載されている。 

  LocationSmartがデモサービスを提供された期間や同サービスがどれほど長い間許容されていたかは明確でない。 Archive.org からのこのリンクは 、少なくとも2017年1月にさかのぼりうることを示唆している。The Internet Archiveのこのリンクは、2011年中頃からサービスが別の会社名 - loc-aid.comの下に存在していた可能性があると示唆している。サービスは同じコードを使用していた。  Domaintools.com によると、 Loc-aid.comは、locationsmart.comと同じサーバーでホストされている4つの他のサイトの1つである。  

 ”LocationSmartのプライバシーポリシーによると、同社にはセキュリティ対策が講じられているとのことである。「当社が収集した情報の紛失や誤用からサイトを守るため、当社のサーバーはファイアウォールによって保護されており、セキュリティをさらに強化するために物理的に安全なデータ設備に配置されている。 外部の攻撃から100%安全なコンピュータはありませんが、個人情報を保護するために取った手順は、情報の種類に適したセキュリティ問題の可能性を大幅に低下させると考えている」 

 しかし、これらの保証はいつでも彼らの物理的な場所を明らかにすることを心配している携帯電話を持っている誰にでも中空になるかもしれない。 モバイル・ロケーションデータをルックアップするために悪用される可能性のあるLocationSmartのWebサイトのコンポーネントは、Webサイト訪問者による特定のクエリに応答してデータを表示するように設計された、安全でないアプリケーションプログラミングインターフェイスまたはAPIである。 

 ”LocationSmartのデモ・ページでは、ユーザーが携帯電話をサービスに配置することに「同意」する必要があったが、実際”LocationSmartは明らかにAPI自体との直接的なやりとりを防止または認証を行わなかった。 

  API認証の弱点は珍しいことではないが、短期間で多くの人に機密データを公開する可能性がある。2018年4月2日、KrebsOnSecurity は、 Fast-casualベーカリーチェーンPaneraBread.comのWebサイトで食品をオンラインで注文するためにPaneraBreadのアカウントにサインアップした者が、数千万の顧客のために名前、電子メールアドレス、物理アドレス、誕生日、クレジットカードの最後の4桁を公開したAPI の話を取り上げた。 

  ロン・ワイデン(Ron Wyden 民主党、オレゴン州選出)上院議員(財政委員会のランキング・メンバー)は、 Securusリスク暴露記事を受けて、全米トップ4つの無線通信会社と米国連邦通信委員会に送った5月9日付けの手紙で、すべての当事者に対し、非公開の顧客データの無制限の開示と潜在的な濫用問題につき先を見越した手順をとるよう強く求めた。  

 ワイデン議員は、「Securusは、AT&Tの顧客のリアルタイムの位置情報を主要な無線通信事業者との商業的関係を持つ第三者ロケーション・アグリゲータを通じて購入し、政府の顧客と定期的に情報を共有することを私のオフィスに通知してきた。この実務では、無線通信事業者の法的義務が、政府がアメリカの電話記録の監視を行い、何百万人ものアメリカ人を政府の潜在的な虐待と未確認の監視にさらす唯一の道筋になるといえる」 

 ”Securus”は、LocationSmartから携帯電話の位置情報を入手したと報じられているが、ニューヨークタイムズに対し、顧客が令状や宣誓供述書などの法的文書をアップロードし、その活動が承認されたことを証明するよう要求している。 しかし、ワイデン議員は自身の手紙で、「Securusの上級幹部は、実際に裁判所命令であるかどうかを判断するためにアップロードされた文書の合法性を決して確認せず、そうする義務があるという提案を却下していた」と述べている。  

  ”SecurusはBrian Krebsからのコメントの要求に応答しなかった。  

(3) 電子通信事業者の反応 

  ATTSprintT-MobileVerizonこの問題につきどう対処しようとしているかは不明である。 顧客の位置情報を漏らしているサードパーティ企業(位置情報追跡企業)は、各モバイルプロバイダーのプライバシー・ポリシーに違反するだけでなく、リアルタイムでこのデータを公開すると、米国内のすべてのモバイル・ユーザーにプライバシーとセキュリティのリスクが深刻な影響を及ぼす。 

 ”LocationSmartWebサイトのコーポレート・ロゴによってそれぞれリストしているにもかかわらず、大手通信事業者の中には”LocationSmartとの正式なビジネス関係を確認または拒否するものはない。 

 AT&Tのスポークスマン、 ジム・グリア(Jim Greer)氏は、「AT&Tは『顧客の同意』または『法執行機関の要請』がなければ、ロケーション情報の共有を許可しない。第三者たるベンダーが当社のポリシーを遵守していないことを知った場合は適切な措置を講じる」と述べた。  

 T-MobileBrian Krebsに対し、無線通信業界の国際協会であるCTIAが定めた「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services )」に準拠した自社のプライバシー・ポリシーに言及した。  

 また、”T-Mobile” の広報担当者は、「ワイデン上院議員の手紙を受け取った後、”Securus”と”LocationSmart”への顧客のロケーションデータの取引を直ちに停止する。また、顧客のデータのプライバシーとセキュリティを非常に真摯に受け止めている。SecurusとLocationSmartで確認された問題を解決し、そのような問題が解決され、お客様の情報が保護されるようにした。また、 我々はこの問題につき調査し続けている」と述べた。  

 ”VerizonはKrebsに対し自社のプライバシー・ポリシーに言及した。  

”Sprint”の責任者は、以下の声明を発表した。 

 「お客様のプライバシーとセキュリティを守ることが最優先事項であり、私たちはプライバシー・ポリシーでその点を明確にしている。 念のため明らかいうと、当社は、消費者の機密情報を第三者に共有または売却することはない。 私たちは、個人的に識別可能な地理的位置情報を顧客の「同意を得て」、または「法執行機関からの有効な裁判所命令」などの合法的な要求に応じて共有する。  

 「私たちは、ワイデン上院議員から手紙で提出された質問に対し、適切なチャネルを通じて直接答えた。ただし、SprintとSecurusの関係にはデータ共有は含まれていないことに注意することが重要であり、刑務所携帯電話の不正使用を矯正施設で阻止する努力を支援する目的に限定されている。」 

************************************************************************** 

(筆者注1)  ロバート・シャオ(Robert Xiao):カーネギーメロン大学「人間とコンピュータの相互作用研究所(Human-Computer Interaction Institute)」 に在籍する博士論文提出資格者で、2018年11月のブリテッシュコロンビア大学の助教に就任予定。

 なお、HCIについて補足しておく。「ヒューマンコンピュータインタラクション(HCI: Human-Computer Interaction)は,人とコンピュータとのインタラクション(相互作用)に関する学際的な研究領域です.人とコンピュータとのインタラクションのみならず,人とロボットを代表とするような機械とのインタラクション,人と人とのインタラクション(あるいはコミュニケーション)も研究の対象となります.ユビキタス社会,知識協創社会の実現へ向けて,ヒューマンコンピュータインタラクションに関する研究は今後ますます重要になると考えられています. 

 ヒューマンコンピュータインタラクションの研究では,より良いインタラクションを実現するコンピュータシステムのデザイン,実装,評価をおこなうために,コンピュータシステムを利用する人間(ユーザ)への理解を深く追求することが必要となります.我々の研究グループでは,計算機科学をベースとして,認知科学,心理学,文化人類学,社会学,言語学,学習理論,デザイン理論,色彩理論などの分野で確立された知見を応用し,現在下記の研究テーマに取り組んでいます」( 国立大学法人・奈良先端科学技術大学院大学サイトから引用) 

(筆者注2) ”Neustar、Inc.”.は、インターネット、テレコミュニケーション、エンターテイメント、マーケティング業界向けのリアルタイムの情報と分析を提供する米国のテクノロジー企業であり、グローバルコミュニケーションやインターネット業界に情報センターとディレクトリサービスも提供している。(Wikipedeiaを仮訳

(筆者注3) Threatmatrixを一言でいう高度の技術をもって各種ビジネスや個人活動を支援するデジタル・アイデンティティ・カンパニーである。日本語解説サイト(https://www.threatmetrix.com/ja/cyber-security-solutions/payment-processing/)を参照されたい。 

(筆者注4) US Cellular Corporationは、米国内で5番目に大きな無線通信ネットワークを所有し、運営する地域通信事業者であり、2017年第1四半期時点で米国23州426市場で500万の顧客にサービスを提供している。 同社はイリノイ州シカゴに本社を構えている。(Wikipedia から一部引用、仮訳)。

***************************************************************************

Copyright © 2006-2018 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする

移動体通信事業者の顧客のトラッキング専門会社サイトで主要な米国の移動体通信事業者のすべての顧客はリアルタイムで他のユーザーの同意なしに閲覧可能となったのか?(その2完)

2018-06-13 13:17:17 | 消費者保護法制・法執行

 (4) 今何が問題か? 

 米国人権擁護NPOの「電子フロンティア財団(Electronic Frontier Foundation:EEF)」のスタッフ弁護士であるステファニー:ラカンブラ(Stephanie Lacambra)は、米国内の無線通信の顧客は、自分の携帯電話会社による位置情報の追跡をオプトアウトできないと述べた。すなわち、まず通信事業会社は、この情報を使用して、より信頼性の高いサービスを顧客に提供する。また法律では、無線会社は「緊急の911規制」 (筆者注5)に準拠するために、いつでも顧客の携帯電話のおおよその位置を確認できる必要がある。

 「しかし、議会や連邦規制当局が、顧客の位置情報を第三者と共有する方法をより明確にしない限り、モバイル・デバイスの顧客は、サードパーティの企業によって潜在的にその位置情報を公開される可能性がある。これが、私たちが位置情報のための堅牢なプライバシー保護のために懸命に働いた理由である。法的執行機関がこのような令状を得るために必要とされるのは本当に唯一のものでなければならない。それが我々が推進しようとしてきたルールである」と彼女は述べた。 

 また、ワシントンDCの政策シンクタンクである「デモクラシー・テクノロジー・センター(Center for Democracy & Technology)」の政策担当部長、クリス・カラブレース(Chris Calabrese)氏は、次のとおり述べた。「モバイル加入者の位置情報に関する現行の取扱規則は1986年に制定された「電子通信プライバシー法(Electronic Communications Privacy ActECPA)であり、それ以来、実質的に改正されていない。  

 「この法律(ECPA)は実際に古くなっている。しかし、法執行や法執行の要求であることを確認していない第三者への関与や、その要求の背後にある証拠が正当なものかどうかを確認しないプロセスには、大きな問題があり、かつ重大なプライバシー違反である。  

 「移動体通信事業者が位置情報を機微的に扱わなければならないと思っても驚かれるだろうし、この情報を一般に公開したくないと確信している。私の推測では、移動体通信事業者は、これが最悪の悪夢のようなものだからこそ、厳しく対応するであろう。我々すべては、携帯電話はポータブル・トラッキング・デバイスであることを知っている。また我々はそこから多くの利益を得ることができるので、私たちはそれをOKとするが、同時に我々は、この情報が十分に保護されるべきだという何らかの暗黙的な取引がある。しかし、私はもしその保護策がそうでないときは大きな問題を抱えることになり、非常に迅速に修正されなければ、これらの事故例はある種の立法介入を拍車することになると思う」とカラブレース氏は続けた。 

 他方、シャオ氏は、「移動体通信事業者が第三者企業に顧客のロケーション情報へのアクセスを提供している限り、SecurusやLocationSmartなどのロケーション・トラッキング企業からの情報のリークが多くなる可能性が高い。また、このようなデータへのアクセスがはるかに厳密に管理できるようになるまで、このような違反が起きるのを引き続き注視していく必要がある」と述べた。 

 実際、ワイデン上院議員は、この話に応じて、518()に次の声明を発表した。

 「 Securus甘いセキュリティが公開されてから、わずか数日後に起こったこのロケーションデータのリークは、ワイヤレス・エコシステム全体のどのような企業がアメリカ国民のセキュリティをいかに低く評価しているかを示している。 それはプライバシーだけでなく、すべてのアメリカ家庭の財政的および個人的な安全にも、明らかでかつ現在の危険を表している。 ワイヤレス通信事業者や”LocationSmartは、携帯電話でアメリカ人のロケーション情報を追跡するために、ウェブサイトに関する基本知識を持つハッカーをほとんど容認しているようである。さらに、アメリカ人の安全に対する脅威は深刻である。ハッカーがこのサイトを使ってあなたが家にいる時間を知って、いつ盗みに入れるかを知ることができた。また、誘拐犯はあなたの子供の携帯電話を追跡して、彼らが一人であることを知ることができた。”LocationSmartや他の企業活動の危険性は無限であるう。FCCがこの漏えい事件後に対処すべき行動を拒否すれば、アメリカ人に対する将来の犯罪がFCCの委員長になるだろう」  

   マーク・ワーナー(Mark Warner)上院議員(ヴァージニア州選出 民主党)も次の声明を発表した。  

「これは昨年の多くの開発のうちの1つで、消費者が実際にデータを収集し使用する方法について暗闇にいることを示している。データを使用する方法については、ユーザーを運転席に置く21世紀の新ルールが必要という証拠だ」  

 518(金)にKrebsOnSecurityの記事に対する声明において、「”LocationSmar”は基本的知識を持つハッカーをほとんど容認しているようである。”LocationSmart”は、企業顧客(enterprise customer)に安全な運用効率をもたらすために努力するエンタープライズ・モビリティ・プラットフォーム(筆者注6)を提供する。 ”LocationSmartのプラットフォームを介したロケーション・データの開示は、個々の加入者から最初に受け取った「同意」に依存している。サイバーセキュリティの研究者であるシャオ氏がオンラインデモで最近確認した同意メカニズムの脆弱性は解決され、”LocationSmart”の試行デモ・サイトは現在無効になっている。 さらに、この脆弱性が5月16日より前に悪用されておらず、許可なく得られた顧客情報が実際リークされていないことを確認した。 

 しかし、516日、シャオ氏は”Location Smart”プラットホームの脆弱性を悪用して24人もの加入者を見つけた。シャオ氏の公開声明に基づき、Krebsグループは、シャオ氏が個人的に同意を得た後にのみ加入者であると理解している。”LocationSmart は、単一の加入者の所在地が同意なしにアクセスされたのではなく、他の脆弱性が存在しないことを確認する努力を続けている。”LocationSmartは、情報のプライバシーとセキュリティ対策を継続的に改善することを約束し、この事件から学んだことをそのプロセスに組み込んでいる。  

 この文脈において、”LocationSmart”が誰が許可なく得た顧客情報を引き出された「顧客」に当たるかは明らかでない。したがって、サービスの「バグが多いアプリケーション・プログラミング・インターフェース(vuggy API)」を悪用して検索された人は、明らかにすべてが「顧客」とはみなされない。 

2.米国における電気通信事業者の法規制の内容

 わが国の総務省が平成26(2014)7月に取りまとめた報告書「緊急時等における位置情報の取扱いに関する検討会 報告書 :位置情報プライバシーレポート ~位置情報に関するプライバシーの適切な保護と社会的利活用の両立に向けて」16以下から、一部抜粋する。ただし、この資料は必ずしも十分かつ正確なものとはいい難い。適宜筆者が補足(下線部が筆者の追加箇所)して引用する。また、必要に応じ筆者の責任で関係先にリンクを張った。 

 「米国においては、個人情報・プライバシーに関する分野横断的な法律は存在せず、分野毎の個別法と自主規制が基本となっている。電気通信分野においては、1934通信法(Communications Act)第222(§ 222. Privacy of customer information)で顧客情報のプライバシーを規定しており、電気通信事業者は、電気通信サービス加入者の通信パターン、請求記録等の消費者固有のネットワーク情報(CPNI)に関して、集計顧客情報(集計データで、個人顧客の身元及び特徴が除去されているもの)については、通信目的外での利用や公開を許容されている。(本報告の後ではあるが米国の取組みとして、2016年10月27日、FCCは「ブロードバンド顧客プライバシー保護規則」を最終決定した。この規則については筆者のBlog 小向教授の論文が詳しい。 

 自主規制としては、携帯電話に代表される移動体通信や無線インターネットなど無線通信に関する国際的な業界団体であるCTIA、「GPS位置情報等を利用した位置情報サービスに関するベスト・プラクティス・ガイドライン(Best Practices and Guidelines for Location-Based Services )(全10頁)」を平成22年3月に設けている。その二大原則として、位置情報サービス提供者は、位置情報がどのように利用・開示・保護されるかについてユーザーに通知し、その利用・開示について「同意」を求めることとされている。なお、集計データ及び匿名データはガイドラインの対象外となっている。

 加えて、 連邦取引委員会(FTC)はモバイル端末上の利用者情報の取扱いについて、スタッフレポートとして「モバイルプライバシーディスクロージャーズ:透明性の確保による信頼の構築(FTC Staff Report | February 2013:Mobile Privacy Disclosures:Building Trust Through Transparency)」を平成25年2月に公表しており、この中では、OS事業者、アプリ開発者双方に対し、位置情報についてはセンシティブ情報として、取得前に消費者に通知し、明白な同意をとることが提言されている。」以下、略す。 

**********************************************************************

((筆者注5) クレブズ氏のBlogには詳しく説明されていないので、以下の解説文を補足する。

「連邦通信委員会(FCCは、20119月、次世代緊急通報(Next Generation 911)の構築に向けた規則策定を開始した。次世代緊急通報とは、従来の音声通話による緊急通報の付加機能として、IPベースでのテキスト・メッセージによる通報(Te x t-to-911)や、画像、動画の受付も可能にしようとするものである。なお、米国で導入が検討されているのは、全国ベースでの位置情報を付加したテキスト・メッセージによる緊急通報機能であり、障害者の利用や緊急時に音声通話ができない場合を想定している。また、FCCは、201212月には、Te x t-to-911を全国的に導入することで大手移動体通信事業者と合意した。(以下、略す)(一般財団法人マルチメディア振興センター 情報通信研究部 副主席研究員 田中絵麻「米国における次世代緊急通報「Text-to-911」の導入動向」 

 なお、平成19年4月1日より実施されている、わが国の携帯電話やIP電話につきdocomo等キャリアが提供する緊急通報位置通知(携帯電話からの緊急通報(110番、118番、119番)を発信した際、通話が接続された緊急通報受理機関に対して、発信された場所に関する情報を自動的に通知)も類似のシステムといえよう。 

(筆者注6) エンタープライズ・モビリティ・プラットフォーム(企業のモバイル管理戦略;)は、以下で例示するようにIT戦略企業の共通テーマとして多くが取り上げられている。しかし、筆者なりに考えると、”LocationSmart”が提供しているリティール事業者、メーカーなどに向けたマーケティング情報とは目的が異なるように思える。モバイル主体の「同意」の意義も変わってくるため、これらを混同しないことがまず大前提となろう。

1)ORACLE Mobile(https://www.oracle.com/jp/solutions/mobile/index.html)

2)CITRIX(https://www.citrix.co.jp/enterprise-mobility-management/)

3)FUJITSU EMS(Enterprise Mobility + Security)  (http://www.fujitsu.com/jp/services/application-services/application-development-integration/ms-solutions/services/ems/)

*******************************************************

 Copyright © 2006-2018 芦田勝(Masaru Ashida)All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

コメント
  • X
  • Facebookでシェアする
  • はてなブックマークに追加する
  • LINEでシェアする