連邦裁判所は、連邦通信委員会(FCC)が通信業界に対してより厳格なデータ侵害通知規則を課す権限を支持しました。これには、ハッキングによって個人を特定できる情報が漏洩した場合に、業界が顧客に通知することを義務付ける要件が含まれます。
米国第6巡回区控訴裁判所は2対1の判決で、FCCが昨年、既存のデータ侵害通知要件を更新し、通信事業者にデータ侵害時に失われた顧客の個人情報(PII)を報告することを義務付けた際、法定権限を逸脱していなかったと結論付けました。
判決の意見書で、多数派は「法文、文脈、構造に基づき、[既存法]はFCCに顧客PIIのデータ侵害が発生した場合の報告要件を課す権限を与えている」と述べました。
2024年、バイデン政権下のFCCは、データ侵害の影響を報告する際の通信業界に対する連邦規則を更新しました。
以前の規則では、通信事業者は顧客の専有ネットワーク情報(通信サービスの数量、技術構成、種類、宛先、位置、利用量などに関する顧客情報)が漏洩した場合にのみ政府への報告が義務付けられていました。
2024年の命令では、通信事業者は顧客のPII(氏名、住所、生年月日など)に加え、「個人またはデバイスにリンクされている、または合理的にリンク可能なあらゆる情報」を保護する責任があると結論付けました。
この拡大された規則は、オハイオ通信協会、テキサスビジネス協会、USTelecomなど、通信事業者を代表する業界団体によってすぐに法廷で異議が唱えられました。
第6巡回区で統合された訴訟において、これらの団体は、FCCが引用した2つの法律の下では、データ侵害報告要件に顧客PIIを含める権限がないと主張しました。さらに、2024年の命令は議会審査法(CRA)に違反しているとも主張しました。なぜなら、議会は2016年に同様のデータ侵害通知セクションを含むFCCのネット中立性規則の大部分を正式に阻止していたからです。
判決で、多数派はFCCが通信法で議会が指定した情報を超えて不十分なデータプライバシー慣行を規制したり、規則を制定したりする法的権限がないという通信業界団体の主張に同意しませんでした。
しかし、裁判所は、議会が明確に連邦政府、特にFCCに通信事業者のデータプライバシーを規制させる意図があったと結論付けました。連邦取引委員会法(FTC法)などの法律は、他の業界に対する不十分なデータプライバシーの規制権限をFTCに与えるだけでなく、通信事業者についてはその業界のデータプライバシー規制がFCCの管轄下にあるため、明示的に除外しています。
「請願者の主張に反し、これは『長年存在する法律の中に、アメリカ経済の重要な部分を規制する新たな権限を発見した』という状況ではありません」と多数派は述べました。「むしろ、これは進化するデータ収集・保持環境における[既存法]のデータ規制へのFCCの長年にわたる柔軟かつ段階的な適用の一部です。」
元FCC職員や法律専門家はCyberScoopに対し、規則の最終的な行方はまだ不確実であるものの、第6巡回区の判決はサイバーセキュリティおよびデータプライバシーを規制するFCCの権限にとって明確な勝利だと述べました。
FCC執行局の元局長Loyaan Egal氏はCyberScoopのインタビューで、「多くの人はこのデータ侵害通知要件の拡大は裁判所に却下されるだろうと思っていたが、驚くべきことにそうはならなかった」と述べました。
通信業界団体は最高裁判所に上訴する可能性があります。現FCC委員長のBrendan Carr氏は昨年、データ侵害通知規則に反対票を投じた2人の委員のうちの1人でした。しかし、今年議長に就任した後もCarr氏は規則の撤回には動いておらず、FCCは引き続き法廷でその有効性を強く擁護しています。
過去1年間、政策立案者たちは、中国のハッカーが米国の通信インフラを組織的に侵害したことによる影響に対処してきました。
複数の情報筋がCyberScoopに語ったところによると、過去1年間にSalt TyphoonやVolt Typhoonキャンペーンが出現し、ハッカー集団が広範なサイバーセキュリティの脆弱性を悪用して通信ネットワークへのアクセスを維持していたことが明らかになったことで、FCCのデータ侵害規則のようなサイバーセキュリティ関連規制を廃止しようとする試みが頓挫した可能性があります。
法律事務所Clark Hillのサイバーセキュリティ弁護士Rick Halm氏は、FCCのサイバーセキュリティおよびデータプライバシーを規制する権限は、ハッカーや外国のスパイから業界が直面している継続的な脅威という観点から見る必要があると述べました。
「私はこの判決を、中国による重要インフラへの侵入という差し迫った国家サイバーセキュリティの脅威を背景に見ています。実際に紛争が発生した場合に被害を与える準備のためです」とHalm氏は述べました。
Chevron判決は終わったが、サイバーセキュリティ規制は生き続ける
結論に至る過程で、裁判所はLoper Bright Enterprises対Raimondo事件—2024年の最高裁判決で「連邦機関ではなく裁判所が議会の法律を解釈する権限を持つ」としたもの—を少なくとも15回引用しました。
最高裁が法律の解釈を自動的に機関に委ねる慣行を終わらせたことで、多くの人がサイバーセキュリティ規制の合法性が危うくなるのではと懸念しました。なぜなら、FCCのデータ侵害規則のような多くの規則は、古い法律を新しい技術に適用することに依存しており、より厳格な法的審査に耐えられない可能性があるからです。
しかし今回、第6巡回区は独自の権限でFCCに同意し、企業がPIIをどのように扱い、保護するかを規制することはFCCの責務の中核であると認めました。
FCCの元首席補佐官兼代理執行局長Peter Hyun氏はCyberScoopに対し、「実質的な観点から、FCCがここで権限を逸脱していなかったことを明確に示すシグナルだった」と述べました。
「言い換えれば、FCCは正当な立場で、これらの通信事業者の慣行を調査し、顧客情報やPIIを保護しているかどうかを確認しているのです」と彼は述べました。
しかし、他の観測筋は、今後のサイバーセキュリティ規制にはより厳しい基準が課されると考えています。
「私はこの判決が、FCCや他の連邦機関に対し、データプライバシーやサイバーセキュリティ規則を明確な法的根拠に直接結びつける必要があるという警告だと思います」とHalm氏は述べました。
裁判所はまた、2016年に議会によって正式に阻止されたデータプライバシー規則と「実質的に類似した」規制を提案したとしても、FCCが議会審査法に違反していないと判断しました。
阻止された2016年の命令にも同様のデータ侵害通知要件が含まれていましたが、裁判所はそれが「はるかに広範で、ブロードバンドインターネットアクセスサービスに対して幅広いプライバシー規則を課していた」と判断し、FCCの2024年規則とは異なるとしました。
「データ侵害通知要件は、[2016年]命令のより広範なプライバシー規則の一部分に過ぎませんでした」と多数派は述べました。「2024年命令は対照的に、データ侵害報告要件のみに対応しています。両者は実質的に同じではありません。」
第6巡回区の判決は、「一部の企業が望んでいたよりもCRA(議会審査法)を狭く解釈していることを再確認したようだ」と、国際プライバシー専門家協会のマネージングディレクター、Cobun Zweifel-Keegan氏はCyberScoopに語りました。
多数派の結論に対し、Richard Griffin判事は反対意見で「[議会審査法]の解釈においては、行政機関の意思よりも議会の意思を優先すべきだ」と述べて批判しました。
翻訳元: https://cyberscoop.com/court-upholds-fcc-data-breach-regulations-pii/