分析米国議員らは、携帯電話ネットワークが緊急サービス専用として特別に保護されたユーザーの位置データを販売していたことが明らかになったことを受け、改めて同ネットワークの調査を求めた。
携帯電話事業者によるプライバシー侵害を繰り返し指摘してきたロン・ワイデン上院議員(オレゴン州民主党)は本日、特に最近の違反について、アメリカの通信監視機関FCCのトップであるアジット・パイ氏を非難した。
「これは単なる見落としではない。アメリカ国民の安全とセキュリティに対する、あからさまかつ故意の無視だ。一方、FCCとアジット・パイ氏は、これらの通信事業者を取り締まるどころか、電話会社の利益を増やすために規則を書き換えている」と彼はツイートした。
FCC のジェシカ・ローゼンウォーセル委員長も衝撃を受けた。同委員長は、いわゆる A-GPS データに特定のプライバシー保護を課す規則に署名した。A-GPS は、アパート内で人物がどこにいるかを特定できるよう、高さなど数フィート単位の精度でユーザーの位置情報を提供するように設計されている。
「この携帯電話データ位置情報スキャンダルは悪化の一途を辿っています。FCC(連邦通信委員会)は捜査を強化し、完了させるべき時です」と彼女はツイートした。「数百人の賞金稼ぎが数百ドルを支払えば、私たちのモバイル端末の位置情報を把握できるというのは、根本的に間違っていると思います。」
一方、プライバシー擁護者らは、A-GPSデータに関する特定のプライバシー保護を求めて戦い、それを達成したとして憤慨している。
「とんでもないことです」と、プライバシー擁護団体パブリック・ナレッジのシニアバイスプレジデント、ハロルド・フェルド氏は語った。「まさに私たちが懸念していた危険です」
フェルド氏はまた、FCCのアジット・パイ委員長にも責任があると明確に非難した。「職務を遂行する気のない委員長がいる。たとえ法律で定められているとしても、パイ委員長はFCCがプライバシーを守るべきではないと明確に述べている。」
プライバシー要件
1996年にGPS要件が導入されて以来、通信法第222条に基づき、モバイルネットワークはユーザーのプライバシーを考慮することが義務付けられてきました。しかし、2015年にFCCが、固定電話よりも携帯電話の利用が増えていることを理由に、より正確な位置情報の収集を提案した際、プライバシー擁護団体は警戒を強め、追跡されていることを明確に通知し、データの共有前に同意を得ることを義務付ける追加条項の追加を求めて闘いました[PDF]。
2年間のプロセスを経て、携帯電話ネットワーク業界は2017年にユーザーのプライバシー保護に関する「ロードマップ」を発表し、FCCはそれをパブリックコメントにかけた。しかし、Motherboardが閲覧した文書によると、バウンティハンターたちは既にこれらの保護策をすべて回避する方法を見つけ出していたという。
携帯電話ネットワークは、適切な監査を行わないまま、非常に緩いプロセスで位置情報を第三者に販売していました。その後、第三者はデータを他者に販売し、最終的にデータは一般市民の手に渡りました。
A-GPSデータの場合、関係者全員が、このケースの第三者であるCerCareOneという会社が、そのサービスを賞金稼ぎ業界内で厳重に守られた秘密として保持するためにあらゆる努力を払っていることによる特別な保護が必要であることを知っていたようです。
お金がものを言う
同社のウェブサイトは長年「工事中」となっていたものの、特定の電話番号の正確な位置情報を提供する、完全に機能する並行ポータルを運営していた。このサービスの利用を希望する者は、サービスの秘密保持を義務付ける契約に署名する必要があり、位置情報検索1回につき最大1,100ドルの料金が請求されていた。
刑務所の審問を逃れた人物の居場所を突き止めるのに役立つなら、支払う価値はあります。なぜなら、賞金稼ぎは10万ドルの保釈金を払った人物を見つければ1万ドルの報酬を期待できるからです。そもそも保釈金を提供する保釈保証会社にとっては、なおさら理にかなっています。
CerCareOneの内部文書によると、同社のサービスは数万回利用されており、市場規模は年間数百万ドルに上る。モバイルネットワーク大手が保護された個人データの販売でどれだけの利益を上げているかは不明だが、彼らがリスクを負うには十分な利益だったことは明らかだ。
A-GPSデータの要件がFCCによって承認されたとき、規制当局の委員全員が、正確な位置データの不足のために名前の挙がった人々が亡くなったという悲痛な話を語った。
当時、これらの企業はいずれも公のコメントでプライバシーに関する懸念に触れておらず、第222条が適用されると考えられていました。しかし、2017年にFCCが刑務所に電話サービスを販売する企業Securusの事例を調査していた際、関係企業から位置情報の不正利用について明確に繰り返し指摘されました。
セキュラス社は、受刑者と彼らが電話をかけた相手に関する膨大なデータベースを構築していました。このデータベースはA-GPSデータを使用し、他の場所から収集した情報と組み合わせていました。ライト請願者と呼ばれる受刑者家族グループは、FCCへの書簡の中で、このデータベースの位置データは誰からも同意を得ていないため、明らかに第222条に違反していると指摘しました。
パイ委員長率いるFCCは、「同法第222条違反の可能性に関する申し立て、特にセキュラス社の料金や慣行に関する申し立てを深刻に受け止めているが、これらの規則違反に関する申し立ては、取引ではなく、執行手続きの文脈で処理する方が適切である」と述べ、この問題を却下した。
積極的な不作為
プライバシー侵害の調査を拒否する姿勢は、パイ氏の下でFCCによって繰り返し悪化した。
まずFCCは、数日後に施行される予定だったブロードバンドインターネット利用者向けの新たなプライバシー保護措置を積極的に撤回しました。さらに昨年、携帯電話会社が適切な許可なく位置情報データを販売していたことが明らかになった際、FCCは繰り返し調査を拒否しました。FCCは、携帯電話大手各社が問題となっている第三者との取引を遮断したという主張を鵜呑みにしたかに見えました。
AT&T、スプリント、TモバイルUSによる位置情報販売スキャンダルに対するFCCの回答:頭を地面に埋める
続きを読む
しかし数ヶ月後、位置情報が依然として複数の第三者を通じて販売されていることが明らかになりました。ワイデン上院議員をはじめとする議員がFCCからの報告を強く求めたところ、パイ氏は政府機関の一部閉鎖のためFCCは報告できないと主張しました。
緊急サービス専用に確保されていた、最も機密性の高い位置情報データでさえも、販売されていたことが明らかになりました。この種のデータのプライバシー面を長年調査してきた人々は、モバイルネットワークがこのようなデータの提供を早期に停止しなかったのは、FCCが自らの規則違反を調査しないという明確なシグナルを発していたためだと確信しています。
電気通信は法的に「タイトルII」通信に指定されているため、FCCの管轄下に明確に位置付けられています。ユーザーが携帯電話事業者に対し、個人の位置情報へのアクセスを許可したとして裁判所に提訴できるかどうかさえ明確ではありません。責任はFCCにあります。そして、FCCは自らの職務を積極的に拒否しています。
実際、FCCのパイ委員長は昨日、携帯電話大手に対し、より正確なGPSデータを提供するよう求める新たな文書を発表しました。もちろん、これは緊急警報にのみ使用される予定です。
「アメリカ国民は、無線警報で利用できる最も正確な標的設定を含め、可能な限り最高の公共安全サービスを望み、期待し、そして受けるに値する」とパイ氏は述べた。®
