米連邦取引委員会(FTC)は、米国の大手テクノロジー企業に対し、データセキュリティを弱体化させたり、暗号化を損なったり、プラットフォーム上で検閲を課したりするような外国政府の要求に屈しないよう警告しています。
FTC委員長のアンドリュー・N・ファーガソンは、Akamai、Alphabet(Google)、Amazon、Apple、Cloudflare、Discord、GoDaddy、Meta、Microsoft、Signal、Snap、Slack、X(Twitter)などの大手米国企業に送付した書簡に署名しました。
ファーガソン委員長は、特にユーザーに通知せずに外国政府の要請でデータセキュリティを弱体化させることは、FTC法違反となり、企業が法的責任を問われる可能性があると強調しています。
ファーガソン委員長の書簡では、EUのデジタルサービス法や英国のオンライン安全法・捜査権限法など、外国の法律が具体的に挙げられています。
今年初め、Appleは英国で、政府が暗号化アカウントにアクセスできるバックドアの追加を求める要求に屈する代わりに、iCloudのエンドツーエンド暗号化のサポートを削除せざるを得ませんでした。
英国の要求はAppleの暗号化を世界的に弱体化させるものでしたが、今週初め、米国の外交的圧力を受けて撤回されました。
FTCのテック企業宛て書簡では、外国政府による新たな法律が、米国ユーザーの検閲されていない情報へのアクセスやデータセキュリティの自由を損なうと警告しています。
「私は、外国勢力による検閲の強要やエンドツーエンド暗号化の弱体化が、米国民の自由を侵害し、外国政府による監視や、なりすまし・詐欺のリスク増加など、さまざまな被害をもたらすことを懸念しています」と、ファーガソン委員長は記しています。
「また、貴社のような企業が、外国政府の法律や要求、または予想される要求への対応を簡素化するため、外国政府の要請が技術的には必要としない場合でも、米国民に対する検閲や外国による監視の強化を行うのではないかという懸念もあります。」
ファーガソン委員長は、米国企業には何よりもまずFTC法(第5条、15 U.S.C. § 45)に基づく法的義務があり、これは商取引における不公正または欺瞞的な行為や慣行を禁じていると強調しています。
この法的枠組みの下では、正確なデータセキュリティ・プライバシーに関する説明、合理的なデータセキュリティ対策(エンドツーエンド暗号化を含む)の実施、そして外国組織からコンテンツの検閲やセキュリティ低下の要求があった場合の開示義務が求められます。
FTCの書簡では、これらの義務に関する過去の執行事例として、2021年のZoom Video Communicationsによるエンドツーエンド暗号化の誤認マーケティング、2023年のRingによる顧客のビデオフィード暗号化の不備などが明示的に挙げられています。
書簡の締めくくりとして、受取人に対し、2025年8月28日にファーガソン委員長との面会を招待し、外国の規制圧力について、顧客のデータセキュリティを損なうことなくどのように対応できるかを議論する場を設けています。
