FCC、ISP向けにより厳格なプライバシーフレームワークを採用

FCCは、ISPに対し「機密性の高い」顧客情報の利用および共有前に許可を求めることを義務付ける新たな規則を採択しました。また、データセキュリティとデータ侵害に関する新たな規則も採択されました。

ISPと通信事業者によるプライバシー侵害の歴史

ここ数年、ISPや携帯電話事業者がデフォルトで全ユーザーを追跡し、その情報を商業目的で利用しようとしているのを目にしてきました。当初はこうした行為の多くは秘密裏に行われていましたが、後に発覚し、AT&TやVerizonなどの企業は、スマートフォンの閲覧行動追跡を「オプトアウト」するオプションをユーザーに提供すると約束しました。

AT&Tも、削除不可能な「スーパークッキー」を使ってワイヤレスユーザーの追跡を行っていましたが、Gigapowerサービスではさらに踏み込んだ対策を講じました。FCCの新しいプライバシーフレームワークが間もなく導入されることを知ったと思われる最近まで、同社はGigapowerの顧客に対し、閲覧行動の追跡を希望しない場合、月額30ドルの追加料金を請求していました。

最近の報告書では、AT&Tが令状なしに顧客の個人情報をDEA（そしておそらくNSA）と秘密裏に共有していたことが明らかになりました。これは、AT&Tが諜報機関にとって最も信頼できるパートナーであり、法律で義務付けられている以上の行動をとったことを示す、またしても事例となりました。

FCCの3つの主要なプライバシー規則

FCC の新しいプライバシーフレームワークは、3 つの主要なプライバシールール、つまりプライバシーカテゴリによって管理されています。

1. オプトイン

ISP は、正確な地理的位置、財務情報、健康情報、子供の情報、社会保障番号、Web 閲覧履歴、アプリの使用履歴、通信内容などの情報を使用および共有するために、顧客からの明示的な (オプトインの) 許可が必要になります。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

2. オプトアウト

顧客のメールアドレスやサービス階層情報といった「非機密」情報は、ユーザーがこの種のデータ共有を「オプトアウト」しない限り、ISPによって自動的に利用・共有されます。（おそらくISPは、顧客のオンラインアカウント内、あるいは契約締結時に、これらの情報を公開するでしょう。）

3. 同意要件の例外

プライバシールールの 3 番目のカテゴリは、サービスが機能するために必要な情報に関係するため、契約の署名以外に顧客からの追加の同意は必要ありません。

新しいプライバシーフレームワークによって提供されるその他のルール

これら 3 つの主要なルールに加えて、ISP は、データがどのように収集され、どのように使用され、誰と共有されるか、またプライバシー設定を変更する方法などについて、顧客に明確な情報を提供することも求められます。

ISPは、データセキュリティに関する業界のベストプラクティスにも準拠する必要があります。また、顧客のプライバシーとセキュリティに関するFTC（連邦取引委員会）および消費者プライバシー権利章典のガイドラインと要件にも従う必要があります。

ISPは、データ侵害が発生した場合、または顧客のデータ保護に失敗した場合には、消費者と当局の両方に通知する必要があります。消費者には侵害発生後30日以内に通知する必要があり、FCCとFBIには、5,000人以上の顧客に影響するデータ侵害が発生した場合、7日以内に通知する必要があります。

FCCは、これらの新しい規則は、ISP自身のウェブサイトやオンラインサービスを含む、ISPネットワーク上で動作する「エッジ」サービスには適用されないと指摘しました。適用されるのはブロードバンドインターネットアクセスサービスのみです。

さらに、これらの規則は政府の監視や法執行には適用されません。つまり、ISPは引き続き諜報機関や法執行機関を支援する目的で顧客に関するデータを可能な限り収集できる可能性がありますが、FCCの新しいプライバシーフレームワークで規定されているように、商業目的でデータを使用することは許可されません。しかし、AT&Tが最近報じた当局との「営利目的」のデータ共有がこれに該当するかどうかは不明です。