ホワイトハウスは、データブローカーが合法的に米国人の個人データを敵対国の事業体に販売することを阻止する新たな取り組みを開始し、これは重大なプライバシーおよび国家安全保障上のリスクだと主張した。
バイデン大統領は昨日、米国人のデータセキュリティを守るためにこれまでで最も重要な措置だと述べる大統領令(EO)に署名した。
これは、商業データブローカーやその他の企業が個人・金融データを「懸念国」またはそれらの国に支配される事業体へ合法的に販売することに関するものだ。
ホワイトハウスは、この活動により、外国の情報機関、軍、あるいは外国政府に支配される企業の手に渡ることが多く、プライバシー、対諜報、恐喝など、その他の国家安全保障上の懸念を引き起こすと主張した。
また、軍将校や国家安全保障コミュニティの関係者に加え、抑圧的な政権にとって脅威となり得る反体制派、ジャーナリストなどをプロファイリングし、標的化するために利用され得ると付け加えた。
ホワイトハウスのファクトシートは、「大統領の大統領令は、ゲノムデータ、生体認証データ、個人の健康データ、位置情報データ、金融データ、ならびに特定の種類の個人を特定できる情報を含む、米国人の最も個人的で機微な情報に焦点を当てている」と説明している。
「悪意ある行為者はこのデータを使って米国人(軍人を含む)を追跡し、私生活を詮索し、そのデータを他のデータブローカーや外国の情報機関に渡すことができる。このデータは、侵入的な監視、詐欺、恐喝、その他のプライバシー侵害を可能にし得る。」
この大統領令は、司法省(DoJ)に対し、以下を行う権限を付与する:
- 敵対国への大規模なデータ移転を防ぐ規則を制定する
- 機微な政府関連データの保護を強化するための規則を制定する
- 国土安全保障省と連携し、投資や雇用関係など他の商業的手段によって敵対国が米国人のデータを入手することを防ぐ
- いかなる措置も、金融サービスに必要な情報の流れ、または他国との消費者・経済・科学・貿易関係に必要な情報の流れを妨げないよう確保する
「本日、米国市民の機微で個人的なデータは、敵対勢力に売るものではないことを明確にする」と、リサ・モナコ司法副長官は述べた。
「司法省は長年、いわゆる裏口から脅威アクターがデータを盗むのを防ぐことに注力してきた。この大統領令は、懸念国が米国人の最も機微な個人データにアクセスすることを拒むことで、正面玄関を閉ざす。」
大きな障害
Symmetry Systemsでデータセキュリティ担当チーフ・エバンジェリストを務めるクロード・マンディは、この大統領令は連邦のプライバシー法には踏み込まず、代わりに超党派の立法の必要性を促すにとどまっていると説明した。
さらに、多くの組織が、自社がどのような機微データを保有しているのか、それがデータブローカーと共有されているのか、そしてそのデータが最終的に懸念国に販売されてしまうのかを把握する能力を欠いているという点で、大きな障害に直面する可能性があると付け加えた。
「この分野の専門家として私たちには明らかだが、組織は現時点でこうした能力を持っておらず、さらに重要なのはデータブローカーも同様だ。これには、自分たちがどのデータを持っているのか、誰がそれにアクセスできるのか、どこからアクセスされているのかを精査する基本的な能力が含まれる」と彼は主張した。
「短期的に司法長官が行う今後の措置は、明らかに、特定された懸念国へのこの情報の販売を禁じるデータブローカーに対する法的制限に焦点を当てるだろう。しかし、この課題の規模は大きく、どの種類のデータかを特定することは、特に仲介者となる当事者が懸念対象となる場合、執行が困難だ。」
翻訳元: https://www.infosecurity-magazine.com/news/biden-bans-mass-sale-data-hostile-1/
