連邦通信委員会(FCC)は、電気通信およびVoIP(Voice over Internet Protocol)プロバイダーに対し、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行するよう要求しています。この新規則は、発見から7日以内にFCC、FBI(連邦捜査局)、およびシークレットサービスへの侵害報告も義務付けています。FCCによるPIIの定義は広範にわたり、名前、連絡先情報、生年月日、社会保障番号だけでなく、生体認証やその他多くのデータも含まれます。
以前は、FCCは顧客固有ネットワーク情報(CPNI)データが影響を受けた場合にのみ顧客通知を要求していました。CPNIは、電話料金情報、つまり、サブスクリプションプランデータ、使用料金、通話またはメッセージングされた番号などと考えることができます。
FCCの新しいデータ侵害規則によると、「機密個人情報の不正な露出は、顧客に害を及ぼすリスクがあると合理的に考えられる」とし、消費者は自らのプライバシーを危険にさらす重大な侵害の通知を受けることを期待しており、機密個人情報を取り扱う事業者はそのような侵害を報告する義務があるとされています。
ただし、電話プロバイダーは、事件が顧客に害を及ぼす可能性が低いと合理的に判断できる場合、顧客への連絡から免除されます。しかし、機関によって「侵害」の定義は、顧客情報の偶発的なアクセス、使用、または開示を含むように拡大されました。
FCCの侵害報告要件の最後の更新は16年前でした。FCCは、「データ侵害の普及と侵害通知の頻度は、委員会が最初に侵害通知規則を採用した2007年以来、進化し増加している」と述べています。また、このデータ侵害の増加は電気通信セクターにも影響を及ぼしており、過去5年間に最大3つのキャリアの加入者の所有情報が少なくとも一度は侵害されたと指摘しています。
最近では、今月初めに明らかになったVerizonの内部脅威侵害が数万人の従業員の情報を露出させ、T-Mobileは2023年に3つの異なる顧客侵害を経験し、昨年3月のベンダー侵害が900万人のAT&Tワイヤレス顧客のデータの露出につながりました。
【ニュース解説】
連邦通信委員会(FCC)が、電気通信およびVoIP(Voice over Internet Protocol)プロバイダーに対し、個人を特定できる情報(PII)がサイバーインシデントに巻き込まれた場合、顧客へのデータ侵害通知を発行することを義務付ける新規則を発表しました。この規則は、発見から7日以内にFCC、FBI(連邦捜査局)、およびシークレットサービスへの侵害報告も要求しています。これは、以前の規則が最後に更新されてから16年ぶりのことであり、データ侵害の増加とその通知の頻度の変化に対応するための措置です。
この新規則の導入により、消費者は自分の個人情報が不正に露出した場合に通知を受けることができるようになり、プライバシーの保護が強化されます。また、電話プロバイダーは、事件が顧客に害を及ぼす可能性が低いと合理的に判断できる場合を除き、顧客への通知が義務付けられます。これにより、企業は顧客情報の取り扱いにおいてより慎重になることが期待されます。
この規則変更は、過去数年間に大手キャリアで発生した複数のデータ侵害事件を受けてのものです。例えば、Verizon、T-Mobile、AT&Tといった大手通信会社では、顧客や従業員の情報が露出する事件が発生しています。これらの事件は、通信セクターにおけるデータ保護の重要性を浮き彫りにし、FCCによる規則の見直しを促しました。
この新しい規則は、消費者のプライバシー保護を強化する一方で、通信プロバイダーには追加の責任とコストが発生する可能性があります。データ侵害の発生を迅速に特定し、関連する法執行機関への報告と顧客への通知を行うためには、より高度なセキュリティシステムとプロセスの導入が必要になるでしょう。また、この規則は、データ保護に関する規制の強化が進む中で、他の産業にも同様の動きが広がる可能性を示唆しています。
長期的には、この規則変更が通信業界におけるデータ保護の基準を高め、消費者信頼の向上に寄与することが期待されます。しかし、通信プロバイダーは、新しい要件を満たすためにセキュリティとプライバシー保護の取り組みを強化する必要があります。これは、技術的な挑戦だけでなく、組織的な文化の変革も必要とするでしょう。
from FCC Requires Telecom & VoIP Providers to Report PII Breaches.
