連邦地方裁判所は、T-MobileとSprintが顧客の位置情報データを第三者に販売したとして、連邦通信委員会(FCC)から科された合計9,200万ドルの罰金について、審査に介入することを拒否しました。議会はこのような情報の「極めて機微な性質」を認識していると述べました。
コロンビア特別区連邦控訴裁判所は全会一致で、FCCが顧客の位置情報データは通信法の下で保護されていると「正しく判断した」とし、「通信会社はしたがって、第三者による不正使用からその情報を保護する義務があった」と判決しました。
判決文を執筆したフローレンス・パン判事は、また、SprintとT-Mobileがその義務に違反したとFCCが「合理的に結論付けた」と述べました。両社は位置情報データへのアクセスを悪用する購入者を防ぐ措置を取らなかったためです。
「実際、通信会社は深刻な悪用を認識した後でさえ、速やかにそのような措置を講じませんでした」とパン判事は記しました。
2018年、ニューヨーク・タイムズはミズーリ州の保安官が通信会社が販売したデータを利用して裁判官や州の法執行官の位置を追跡したと報じました。
これをきっかけに、FCCはT-Mobile、Sprint、Verizon、AT&Tによるデータ販売慣行の大規模な調査を開始しました。T-Mobileは2020年にSprintを買収しました。
調査の結果、4社すべてが少なくとも2019年まで、顧客の位置情報データへのアクセスをLocationSmartとZumigoという2つのデータアグリゲーターに販売するプログラムを実施していたことが判明しました。これらの会社はさらにそのデータを数十の第三者の位置情報サービスプロバイダーや他の企業に販売していました。SprintとT-Mobileの両方の携帯電話は、ネットワークサービスを維持するために常に近くの基地局に信号を送る必要があるため、その位置情報データは個人のリアルタイム追跡を常時可能にしていました。
調査では、通信会社が契約上の文言で責任を第三者の購入者に委ねることで、自社の顧客位置情報データを保護するという規制上の義務を事実上回避していたことが明らかになりました。一方、各社の顧客データ共有プログラムに対する内部監査では、監査人が第三者が契約を守っていないことを認識していた事例が多数見つかりました。
FCCはこれらの企業に合計2億ドルの罰金を科し、T-Mobileは自社の違反とSprint買収に関連して9,200万ドルの罰金を負うことになりました。パン判事は、T-MobileとSprintがFCCの主張に実質的に反論することなく、裁判所に介入を求めたことに驚きを示しました。
「両社ともに事実を否定していません。代わりに、争いのない事実が法律違反に当たらないと主張しています」とパン判事は記し、通信会社による本件に関するこれらおよび他の法的主張は「根拠がない」と付け加えました。
コメントを求められたT-Mobileの広報担当者はCyberScoopに対し、「現在、裁判所の判断を精査中です。現時点で新たに付け加えることはありません」と述べました。昨年、同社はCyberScoopに対し、2019年に第三者アグリゲーターへの位置情報データ販売を停止したと伝えていました。
民主主義と技術センターのプライバシー・データ共同ディレクターであるエリック・ナル氏は、この判決を「歓迎すべき決定」と評価し、このような罰金は「顧客の位置情報データを最高額で売りさばき、法律に違反した」通信会社に責任を取らせるために必要だと主張しました。
「これはプライバシーと、携帯電話を持つすべての人にとって大きな勝利です」とナル氏は声明で述べました。「位置情報データは最も個人的かつ機微な種類のデータの一つであり、悪意ある者の手に渡ると特に有害です。」
翻訳元: https://cyberscoop.com/fcc-court-upholds-92-million-dollar-fine-on-telecoms/