FCCがデータセキュリティ要件を停止したことでブロードバンドロビイストは歓喜

ブロードバンド業界のロビー団体は、顧客の個人情報をセキュリティ侵害から保護することを目的とした規則の施行を阻止するという連邦通信委員会の決定を歓迎している。

本日発効予定だったデータセキュリティ規則は、ISPと電話会社に対し、社会保障番号、金融情報、健康情報、ウェブ閲覧データといった顧客情報を盗難やデータ漏洩から保護するための「合理的な」措置を講じることを義務付けるものでした。FCCは昨日、この規則の適用を一時停止し、アジット・パイ委員長は、データセキュリティとプライバシーに関する権限を連邦取引委員会（FTC）に全面的に移譲したいと述べました。

「本日、FCCがデータセキュリティ規制の一時停止を発表したことは、インターネットエコシステム全体にわたってプライバシー保護が一貫して適用されることで消費者が最大の利益を得られるという認識を歓迎するものです」と、ケーブル業界最大のロビー団体であるNCTA（インターネット・テレビ協会）は声明で述べた。同団体は、規則の有無にかかわらず、会員は個人情報のセキュリティ保護に尽力していると主張した。

小規模事業者を代表する全米ケーブル協会（ACA）もこれに同意した。FCCはいずれプライバシーとセキュリティに関する包括的な規則を変更する可能性が高いため、ACAは「撤回され、異なる規則に置き換えられる可能性のある規則を今、小規模事業者に強制することは、重大かつ不当な負担となるだろう」と述べた。

AT&T、ベライゾン、その他の通信事業者を代表するUSTelecomは、この新規則は「プライバシー保護を分断する」と主張した。同団体は、政府が「プライバシーに対する統一的で消費者中心のアプローチ」を策定することを期待していると述べた。

ISPとFCCの共和党議員は、ブロードバンドプロバイダーは、FTCによって別途規制されているGoogleやFacebookなどのウェブサイト運営者よりも厳しい規制を受けるべきではないと一貫して主張してきた。パイ委員長とFTCのモーリーン・オールハウゼン委員長代行は昨日、共同声明を発表し、FCCとFTCはISPとウェブサイトの両方に適用される「包括的かつ一貫性のある枠組み」の構築に尽力していると述べた。

パイ氏は「このルールはインターネットユーザーを混乱させるだけだ」と語る

ISPとウェブサイトプロバイダーに2つの異なるルールがあると、インターネットユーザーが混乱するだろうと彼らは主張した。

「米国人はインターネットを使用する際に、自らの情報の全体的なプライバシーを気にしており、インターネット上のどの部分が情報を保管しているかによって情報の保護方法が異なるかどうかを判断するために、弁護士やエンジニアである必要はないはずだ」とパイ氏とオールハウゼン氏は書いている。

本日発効が阻止されたデータセキュリティ規則では、通信事業者は「顧客のPI（専有情報）を不正使用、開示、またはアクセスから保護するために合理的な措置を講じなければならない」と規定されています。FCC規則は、具体的なデータセキュリティ対策を義務付けるのではなく、各ISPが顧客データの保護方法を選択できるようにしていました。

このデータセキュリティ規則は、トム・ウィーラー前FCC委員長の下で施行された、より広範なプライバシー規則制定の一環です。このプライバシー命令で最もよく知られている部分は、ISPに対し、ウェブ閲覧データやその他の個人情報を広告主やその他の第三者と共有する前に、消費者からオプトインによる同意を得ることを義務付けるというものです。このオプトイン規則は2017年12月4日に発効する予定ですが、施行されるまでには時間がかかりそうです。また、データ侵害通知に関する新たな要件も6月2日に発効する予定です。

ISPは、通信事業者を規制する通信法第2編第222条に規定されている、より限定的なプライバシー要件を技術的に遵守する必要があるが、これはパイ氏がISPのタイトルII分類を廃止するという目標を達成するまでの期間である。（第222条にはWeb閲覧データの保護について言及されていないが、これがFCCがブロードバンド向けにより具体的なプライバシー規則を策定した理由の一つである。）FCCは昨日、ISPは依然として「その他の適用される連邦および州のプライバシー、データセキュリティ、および侵害通知に関する法律」を遵守する必要があるとも述べた。

民主党と消費者擁護団体が抗議

FCCの決定は民主党と消費者擁護団体から批判を浴びた。

「この命令はサービスプロバイダーに重大な損害を与えたと主張しているが、それを証明するものは全く何も示していない」とFCCの民主党委員ミニョン・クライバーン氏は反対意見の中で述べた。

FCCの多数派は、ブロードバンドプロバイダーが自主的な「ISPプライバシー原則」を発表していることを指摘して決定を正当化し、この規則が実施されればISPは「多額かつ不必要なコンプライアンスコストを負担することになる」と述べた。

「本日の委員会の措置は、ブロードバンドデータセキュリティに対する包括的な連邦保護策は、自主的な業界規範のみであることを意味する」とクライバーン氏は記した。「プロバイダーが顧客情報を適切に保護せず、侵害が避けられない状況においても通知しない場合、当然ながら補償は行われない。顧客が取れる唯一の手段は、サービスプロバイダーが選択した機関による個別の強制仲裁となる。委員会が調査を主導し、消費者への補償を行うのではなく、各個人が侵害を発見し、自ら訴追しなければならないことになる。」

消費者擁護団体パブリック・ナレッジもこれに同意し、「基本的なデータセキュリティ規則の廃止はISPに自由を与える一方で、オンラインサービスやその他のエッジプロバイダーはFTCの枠組みの下で顧客情報を保護するための合理的な措置を講じる義務を依然として負っている。これは公平な競争条件とは言えない」と述べた。

エドワード・マーキー上院議員（マサチューセッツ州選出、民主党）もFCCの決定を批判し、「消費者を敵視するFCCがブロードバンドのプライバシー規則を損なったり、弱体化させようとするいかなる試みにも対抗する」と述べた。さらに、「パイ委員長と共和党議員は、重要なプライバシー保護を後退させ、消費者がブロードバンドプロバイダーによるプライバシーの侵害に対して無防備な状態にすることを望んでいる」と述べた。共和党は議会で多数派を占めており、FCCが独自に行動を起こさない場合に備えて、プライバシーとセキュリティに関する規則を覆すための立法措置を準備している。

裁判所の判決によりFTCの執行が複雑化

パイ氏とオールハウゼン氏は、FTCがISPに対する管轄権を持つべきだと主張しているが、実現は容易ではないかもしれない。FTCは法令により通信事業者（Common Carrier）の規制を禁じられているため、2015年2月にFCCがネット中立性規則の施行のためにブロードバンドを通信事業者（Common Carrier）サービスに再分類した際に、ISPに対する権限を失った。ウィーラー氏のFCCは、ISP向けに独自のプライバシーおよびセキュリティ規則を施行することで、この監督上のギャップを埋めた。

FCCの新たな共和党指導部は、ISPをCommon Carrier（通信事業者）に分類する決定を覆そうとしている。しかし、そうすることでISPに対するFTCの権限が完全に回復するわけではないかもしれない。

これは、昨年連邦控訴裁判所が、AT&Tは非共通通信事業者サービスを提供している場合でもFTCの監督を免除されるとの判決を下したためです。通信事業者が共通通信事業者サービスと非共通通信事業者サービスの両方を提供するのは一般的であり、FTCは通信事業者が非共通通信事業者事業に関連する違反行為を行った場合、FTCが罰則を科すことができると主張しました。しかし、第9巡回控訴裁判所はこれに異議を唱え、FTCに不利な判決を下しました。

ブロードバンドがコモンキャリアの指定を失ったとしても、AT&Tは固定電話と携帯電話の音声サービスを提供しているため、依然としてコモンキャリアとなります。Verizon、CenturyLink、Frontier、T-Mobile USA、Sprintも引き続きコモンキャリアとなります。ケーブル会社は、VoIP電話サービスの規制が異なるため、自動的にコモンキャリアとなるわけではありません。

つまり、この判決が覆されるか、議会がFTCによる通信事業者の規制を可能にする法律を改正しない限り、FTCはすべてのISPを規制できない可能性がある。クライバーン氏は、「第9巡回区控訴裁判所の判決は…通信事業者の要素を持つあらゆる事業をFTCが規制する能力に深刻な疑問を投げかけた」と指摘した。

パイ氏とオールハウゼン氏による共同声明は、FCCが「ブロードバンド消費者からFTCのプライバシー保護を剥奪している」と批判したが、AT&Tをめぐる判決によって生じた複雑な状況については言及しなかった。両氏は、管轄権はFTCに返還されるべきだと述べつつも、FCCが当面何らかの規則を施行する可能性を示唆した。

リスト画像: Getty Images | Yuri_Arcurs