個人の位置情報販売で米連邦通信委が携帯4社に計約225億円の罰金

次の記事

アマゾンがインドのフードデリバリー市場にまもなく参入か

FCC(米連邦通信委員会)は最終的に、米国の携帯通信大手が、ほとんど何の制約も開示もなしに、加入者の位置情報を何年にもわたり密かに販売してきたことが法律違反だと正式に判断した。だが委員らは、桁外れの利益を稼ぐ企業が支払う金額として、2億800万ドル(約225億円)の罰金は「消費者の損害に見合っていない」と非難している。

罰金の金額は、T-Mobile(Tモバイル)が9100万ドル(約98億円)、AT&Tが5700万ドル(約62億円)、Verizon(ベライゾン)が4800万ドル(約52億円)、 Sprint(スプリント)が1200万ドル(約13億円)だ。(開示:TechCrunchはVerizon Mediaが所有している。これによる本稿への影響はほとんどない)。

この問題は発覚してから1年半以上続いている。最初の報道は、民間企業が加入者のリアルタイムの位置情報にアクセスし、金さえ払えばそれを誰にでも販売しているというものだった。こうした消費者のプライバシーのあからさまな悪用はすぐに批判の対象となった。携帯各社は遺憾の意を表明したが、販売プログラムをすぐに終了するどころか検証さえしなかった。販売プログラムはほとんど誰にも監督されておらず、コンプライアンスを確保するために責任は第三者に転嫁されていたことがわかった。

法律違反の内容を調査するよう要求されたFCCは調査に1年以上かけたが、その間ほぼ完全に沈黙を守った。身内であるFCCの委員らでさえ、問題の深刻さを考えればFCCの情報発信は足りないと指摘した。

ついにFCCのAjit Pai(アジット・パイ)議長は1月、「調査の結果は、各携帯会社が連邦法に違反しており、まもなく罰せられるというものだ」と発表した。注目すべきは、パイ氏が以前、名前が挙がっている主要企業の1つであるSecurus(セキュラス)で働いていたことだ。

2月28日、罰金の正式文書と委員会からのコメントが公表された。文書では、携帯各社の行為が悪かっただけでなく、手法もひどかったと説明されている。特にTモバイルの場合、停止すると表明した後もうまくやっていた。

Tモバイルは顧客の位置情報を本人の承諾なしに、受信を許可されていない第三者に開示した。このことが広く一般に知れ渡り、顧客の位置情報を保護するための安全対策が不十分であると同社が認識した後も、合理的な安全対策を取ることなく、顧客の位置情報へのアクセス権をほぼ1年にわたって販売し続けたことは明らかだ。そのため、顧客のデータが不正に開示される不当なリスクにさらすことになった。

一般的な受け止め方は、法律違反と判断して相当な罰金を求めることは称賛に値するものの、全体として見れば、Rosenworcel(ローゼンウォーセル)委員が述べたように「遅きに失した」というものだろう。

委員らによると、罰金の金額は犯罪の規模とはほとんど関係がない。なぜなら、犯罪の規模が適切に調査されなかった、または調査が試みられなかったためだ。Starks(スタークス)委員が長い声明で以下のように述べている。

数カ月間にわたり調査したにも関わらず、FCCは各携帯会社が不適切に扱った消費者データの規模を把握していない。

我々には権限と、この調査の期間を踏まえれば、時間も与えられていた。その権限と時間があれば、開示を強制して消費者の被害実態を理解できたはずだ。だが今回の通告で計算した罰金の金額は、携帯会社とロケーションアグリゲーター間の契約数、アグリゲーターと位置情報を利用するサードパーティーのサービスプロバイダー間の契約数に基づいている。各携帯会社が引き起こしたプライバシー侵害の損害額をこの計算方法で代替する必要はないし根拠も貧弱だ。各携帯会社には個人データを悪用された数千万人の顧客がいる。

そもそもFCCは実際の被害件数や内容を調査していない。契約数を開示するよう各携帯会社に要求しただけだ。スタークス氏が指摘したように、契約の1つ1つが、何千件ものプライバシー侵害に遭った可能性がある。

我々は、さらに多くの、おそらく何百万人もの被害者がいることを知っている。被害者らにはそれぞれ固有の被害状況がある。残念ながらFCCが実施した調査では被害件数がわからず、それが罰金の金額に反映されていない。

なぜ個々の携帯会社を追及しないのか。スタークス氏はSecurusが「とんでもないことをした」と言う。だが同社はまったく罰金を科されていない。FCCに罰金を科す権限がないとしても、同様の会社が他の法律に違反しているか判断できる司法省や地方当局に本件を引き渡すことができたはずだ。

ローゼンウォーセル氏が自身の声明で述べているように、罰金の計算方法そのものも最小限に抑えられているが、それ以上に非常に寛大な措置が講じられている。

FCCは、違反に対し4万ドル(約430万円)の罰金を求めているが、それは初日についてのみだ。2日目以降は1日あたり、違反ごとに2500ドル(約27万円)に減額されている。FCCは、法律上各携帯会社が負う可能性のある罰金を大幅に割り引いており、問題の大きさを考慮に入れていない。その上FCCは各携帯会社に、この計算から逃れる30日間のチケットを与えた。 この30日間の「脱獄自由」チケットは、どこからともなく湧き出てきた。

本件の調査が非常に長い期間にわたったことを考えると、違反した企業を召喚したり、市民から詳細な情報を集めなかったのは奇妙だ。一方、各携帯会社はFCCの質問に対する回答の大部分を、それに含まれる公開情報も含めて機密扱いにしようとしたが、スタークス氏とローゼンウォーセル氏が介入するまでFCCは携帯会社の主張に疑問を挟まなかった。

2億800万ドル(約225億円)は一見多額のようだが、数十億ドル(数千億円)規模の複数の通信会社がそれを分割して負担するため少額だ。各携帯会社が位置情報の販売契約期間に得た利益が、罰金よりはるかに大きい可能性を考えればなおさらだ。加入者のプライバシーが侵害された回数と、その侵害からいくら稼いだのかを正確に把握しているのは各携帯会社だけだ。こうした問題について当局が質問することなく調査は終了してしまったため、もはや知る由もない。

罰金を求める通告「Notice of Apparent Liability」は暫定的な所見にすぎず、各携帯会社は30日以内に回答するか実施延長を求めることができる。後者の可能性が高い。仮に携帯会社が回答すると(おそらく金額などに異議を申し立てる)、FCCは最終的な罰金の金額の決定にかけたいだけ時間をかけることができる。通告発行後、FCCには罰金を実際に徴収する義務はない。FCCは過去、ほとぼりが冷めた頃に徴収を拒否したことがある。もっとも、今回のような規模の罰金ではなかった。

「ついにFCCがこのひどい行為に対して罰金を求めたのはうれしいが、携帯会社にとっては事業を遂行するためのコストにすぎない」と民主党ニュージャージー州選出のFrank Pallone(フランク・パロン)下院議員(D-NJ)は声明で述べた。「これからFCCが罰金を徴収し、企業に完全な説明責任を果たさせるには長い道のりが待っている」

この問題を調査に持ち込むことになった唯一の力は世間の注目だ。そして世間の注目が政府に確実に義務を遂行させるためにも必要なのは明らかだ。

画像クレジット:Bryce Durbin / TechCrunch

[原文へ]

(翻訳:Mizoguchi