ハクソク

世界を動かす技術を、日本語で。

T-Mobileは同意なしに位置情報を販売することは合法だと主張したが、裁判官たちは異議を唱えた

280日前原文(arstechnica.com)

概要

T-Mobileによる顧客位置情報販売に対する9,200万ドルの罰金を巡り、連邦控訴裁判所がT-Mobileの異議申し立てを棄却。 FCCはT-Mobile、AT&T、Verizonが顧客同意なく位置情報を第三者へ販売したと指摘。 裁判所はFCCの権限行使を適法と認定し、通信事業者側の主張を退けた。 T-MobileとSprintは販売中止に遅れ、十分な安全対策も講じなかったと判断。 今後もAT&T、Verizonによる控訴が他の裁判所で継続中。

T-Mobileへの罰金と連邦控訴裁判所の判決

  • T-Mobile による顧客位置情報販売に対し、 連邦控訴裁判所 が9,200万ドルの罰金を支持
  • FCC (Federal Communications Commission)は2023年、 T-Mobile、AT&T、Verizon に対し、顧客同意なしでの位置情報共有を違法と認定
  • 罰金の内訳は T-Mobileが8,010万ドル、Sprintが1,220万ドル (T-Mobileが2020年にSprintを買収)
  • AT&T、Verizon もそれぞれ5,730万ドル、4,690万ドルの罰金を科され、各社が異なる裁判所で控訴中

違法行為の詳細と経緯

  • 2018年に発覚した リアルタイム位置情報の第三者販売 が問題の発端
  • LocationSmart、Zumigo などの情報アグリゲーターへ顧客位置情報(CLI)を販売
  • 購入者の 顧客同意取得を確認せず、悪質業者による不正利用も発生
  • 事業者側は問題発覚後も 安全対策を強化せず販売継続 したことが判決理由の一つ

通信事業者の主張と裁判所の判断

  • 事業者側は FCCの権限逸脱法律解釈の誤り過大な罰金額 を主張
  • Seventh Amendment(陪審裁判の権利) 違反も訴えたが、裁判所は「罰金を支払って直接控訴を選択した時点で権利放棄」と判断
  • 法律上の「 Customer Proprietary Network Information(CPNI)」定義を巡る争点も、裁判所は「通信サービス利用時の位置情報全般が該当」と解釈
  • 罰金額についても「 悪質性が高い」としてFCCの説明を支持

今後の展開と業界への影響

  • T-Mobile は「裁判所の判断を精査中」とし、今後 全裁判官による再審請求や最高裁への上訴 も可能性
  • AT&T、Verizon も引き続き控訴中で、判決は今後の業界慣行や 顧客情報保護規制 に影響
  • FCC は今後も通信事業者への監督強化方針
  • 事件は 通信事業者による個人情報管理の重要性 と、 規制当局の監視強化 を象徴

Hackerたちの意見

FCCが違法だって最高裁が判断して、なんか理由があってキャリアにお金を払わなきゃいけないっていう判決、楽しみだな。

SCOTUSはDCサーキットが嫌いなのと同じくらい、ナインスも嫌ってるから、この決定は最初から終わってるよ。

この位置情報の共有をブロックする方法ってあるの?他のキャリアはどうなの?アプリにこの情報へのアクセスを拒否させることはいつも考えるけど、キャリアに追跡されるのはマジでヤバいし怖い。リンク先の記事だと、ATTとVerizonもこれやってるみたいだね。

たぶん無理だと思う。インフラは携帯電話と通信するために、どこにあるかを知っておかなきゃいけないからね。前に調べたとき、アメリカの大手キャリアはこの情報を何年も蓄積してるって聞いたよ。

飛行機モード。

うん、結構簡単だよ。スマホを取り出して、次のステップに従ってみて。1. 外に出る 2. スマホを半分に折る 3. 一番近いゴミ箱に捨てる 4. 立ち去る

完全にRMSスタイルで、スマホを持たずに誰かに借りるってのもアリだね。* これって今も通用するの?

スマホ用のファラデーケージを購入することもできるし、自分で作ることもできるよ。

キャリアのトラッキングは、電話のGPSトラッキングほど正確じゃないよ。しばしば1マイル以上ずれてることもある。銀行は、カードのスワイプと電話が同じ都市にいるか確認するために、旅行通知の代わりに使ってたけど、最近はアプリをピン(サイレントプッシュ)してIPや位置情報を取得しようとしてる。キャリアから位置データを買うのは高いからね。

長い間、電話用のリモートデスクトップみたいなものが欲しかったんだ。アイデアとしては、セカンドフォンを使ってメインフォンにインターネット経由で接続するって感じ。これで、実際に自分に関連付けられている電話番号が同じ固定の地理的位置に留まることができる。例えば、すべての通話はプライマリフォンから始まり、インターネットを通じて使い捨てフォンにトンネルされる。

キャリアごとのオプトアウトリンク: ATT - https://www.att.com/consent/ccpa/dnsatt T-Mobile: https://www.t-mobile.com/privacy-center --プライバシーダッシュボードにアクセス プライバシー設定を以下の通り調整(必要に応じてオフにする): - プロファイリングと自動決定(デフォルトでオン) - 詐欺と身分盗用の保護(アカウントと使用情報を共有) - 特定の財務情報の共有(支払い履歴、残高など) - 分析と報告、広告オプション、私の個人情報を販売または共有しない Verizon - MyVerizonにアクセス アカウント > アカウント設定 > プライバシー設定に移動するか、アプリでギアアイコンをタップしてプライバシー設定を管理を選択。以下のトラッキングオプションを見つけて: - カスタムエクスペリエンス - カスタムエクスペリエンスプラス - ビジネス&マーケティングインサイト - CPNI(顧客専用ネットワーク情報)および身分確認プログラム - 各項目について、「使用しない」を選択するかオフにしてオプトアウト。

T-Mobileのプライバシー設定を確認したら、ほとんどの設定がオフになってたけど、いくつかオンになってるのを見つけた(オプトアウトマーケティング設定とか)。全部オプトアウトするのに2回試したけど、やっと無効にできた(面倒くさい)。これが新しい設定みたいで、ちょっとゾッとした: プロファイリングと自動決定についての選択をすることができる。将来的に行うかもしれない「プロファイリング」にあなたの個人データを使わないようにすることができます。このトグルをオフにすると、法的または同様に重要な影響を持つ将来の決定にプロファイリングを使用しないようにオプトアウトすることができます。今はこの種の決定にはプロファイリングを使っていません。この「オフ」にするかグレーにすると、「プロファイリングと自動決定からオプトアウトする」という意味になる。

MVNOにはこれがどう影響するのかな?

Verizonの本人確認って本当に必要なの?第三者が本人確認詐欺を防ぐのに役立つって書いてあるけど、それがどれほど真実で必要なのか気になるな。

脱線するけど、私はGoogle Fiをキャリアとして使ってるけど、基本的にはT-MobileのMVNOだよ。Google Fiが私の位置データを売ってるとは思わないけど(他の方法で既に知ってるし)、T-Mobileのネットワークを使ってるから、もしかしたらできるかもしれないね。でも、T-Mobileのアカウントがないからオプトアウトする方法もないし。とにかく、位置情報の販売とGoogle Fiの関係について知ってることある?それともMVNO全般について。

先月、T-MobileのUSの電話で大陸横断ドライブをしたんだけど、スパム電話の「発信元」エリアコードが州をまたいでついてきて、リアルタイムでこんなことが起こるんだなって驚いた。e: TMoのプライバシー設定でオプトアウトできるものは全部オプトアウトしたと思ってたんだけど、再確認したら半分以上の設定が有効になってた。デフォルトでオンになってる新しい設定を探さなきゃいけないのが本当に嫌だ。

変だな!99%のスパム電話が、私の携帯電話番号と同じエリアコードからかかってくる。

ここでの経済はどうなってるの?データがそんなに安いの?それとも、必要ないのにみんなの位置情報を一日に何回も取得できるの?キャリアには何のメリットがあるんだろう?

パンデミック中に引っ越して、Mint Mobileを使ってロサンゼルスの番号をSFベイエリアに持ってきたんだけど、5年経っても地元のエリアコードからのスパムは全然来ないんだ。たまにかかってくる電話も、過去の地元ビジネスとのやり取りに関連してるのが分かる。MintのMVNOがT-Mobileよりプライバシーに優れてるのかどうかは分からないけど、もしかして旅行先と電話番号を結びつけてるアプリがあるのかな…?

アメリカの限られたキャリアのオリゴポリーを打破するには何が必要なんだろう?こういう行動は、ほとんど影響を受けずに続く気がする。せいぜい軽いお咎め程度。FCCは、意図的かどうかは別にして、無線スペクトルへのアクセスをコントロールすることで、小規模なプレイヤーが彼らを打破するのをほぼ不可能にしてる。MVNOは存在するけど、結局はアメリカの大手3キャリアからスペクトルやネットワークを再販してるだけだし。

かなりの資本が必要で、そのかなりの部分はロビー活動や、あなたがこのことを考える前にスペクトルを割り当ててもらった政党への資金に浪費されることになる。

大統領が王様のような権力を持つようになった今、MAGAが崩壊するのか、何らかの対立が起こって政治がリセットされるのか、別の統治連合が必要になるかもしれないね。政府は電話会社を地域キャリアに分割できるし、市場には何もできる力がない。なぜなら、政府が周波数の割り当てをコントロールしてるから。

EchoStar/DISHが所有するBoost Mobileは、T-MobileとSprintの合併プロセス中にAjit PaiたちによってSprintから切り離された4番目のキャリアだよ。DISHは今、アメリカの人口の70%にカバーできるって主張してるけど、問題はEchoStar/DISHが負債を抱えていて、BoostはAT&Tとの契約を使って、少なくとも一部の顧客を自社のカバーエリアではなくAT&Tのカバーに振り分けてることだね。

こういうインフラは、自然独占の典型的な例だよね。タワーインフラを消費者サービスプロバイダーから切り離す必要があるし、もちろん実際のプライバシー保護も必要だね。

データが漏れたせいで人々が強制収容所に入る「やばい」瞬間があれば、効果があるかもね。実際のところ、私は詳しくないけど、FCCみたいな機関は、この分野が普通の公共事業と同じ方向に進化し続けることを保証するために部分的に存在してるんじゃないの?とにかく、私はEUからこれを書いてるんだけど、ここでは実効的なGDPR規制があるからね。そのラインを越えた場合の罰金は、ただの軽いお咎めじゃないよ。それ以外の点では、あの寡占的な通信業界はちょっと似てるね。