Havebin

Watch

スマートフォンの位置情報の不正利用に関する国土安全保障省の報告書

Havebin
qlamk
0 Comments
スマートフォンの位置情報の不正利用に関する国土安全保障省の報告書
スマートフォンの位置情報の不正利用に関する国土安全保障省の報告書
シークレットサービス、ICE、CBPに関する国土安全保障省の報告書 | ホワイトハウスのシークレットサービス職員

米国国土安全保障省は、米国シークレットサービスを含む複数の政府機関によるスマートフォンの位置情報の不正利用に関する報告書を公開した。報告書は、3つの米国政府機関がプライバシー保護を侵害し、違法行為を行ったと結論付けている。

この報告書は当初、「法執行機関の機密情報」に分類されていましたが、現在ではこの分類は削除され、編集版が一般に公開されています…

米国政府機関がアプリの位置情報を購入

米国のシークレットサービスやその他の政府機関が、さまざまなアプリから収集されたスマートフォンの位置情報データを購入していたことは、少なくとも3年前からわかっていた。

米国シークレットサービスが人気アプリから収集したスマートフォンの位置情報データを購入したと、本日発表された新たな報告書で明らかになった。この主張は、情報公開法(FOIA)に基づく請求で明らかになった契約書によって裏付けられている。データはデータブローカーから購入された。

このデータを購入している別の機関として、米国税関・国境警備局が特定された。

この合法性の疑問は当時、民主党のロン・ワイデン上院議員によって提起され、同議員はこれが憲法修正第4条に違反すると述べた。

複数の連邦政府機関が、米国民の憲法修正第4条の権利を回避するために、米国民のデータを購入していることは明らかです。

国土安全保障省は、3つの政府機関によるスマートフォンの位置情報の購入について監査を実施し、実際に法律に違反していると結論付けた。

具体的には、米国税関・国境警備局(CBP)、米国移民関税執行局(ICE)、米国シークレット サービスはいずれも、2002 年の電子政府法および 2002 年の国土安全保障法で制定されたプライバシー保護に違反しました。

報告書のコピーは先月、法執行機関には公開されましたが、一般には公開されていませんでした。しかし、編集されたコピーが404 Mediaによってオンラインで公開されました。

米国税関・国境警備局、米国移民・関税執行局、および米国シークレット サービスは、商用テレメトリ データ (CTD) を調達して使用する前に、国防総省のプライバシー ポリシーを遵守せず、十分なポリシーを策定していませんでした。

具体的には、これらのコンポーネントは、CTD などの特定のプライバシーに配慮したテクノロジーまたはそのテクノロジーから取得されたデータについては、そのテクノロジーが開発または調達される前に、承認されたプライバシー影響評価 (PIA) を受けることを義務付ける DHS のプライバシー ポリシーと 2002 年電子政府法に準拠していませんでした。

これは、各部署がDHSのプライバシーポリシーの遵守を確保するための十分な内部統制を備えていなかったこと、そしてDHSプライバシーオフィスが自らのプライバシーポリシーとガイダンスを遵守または施行していなかったことが原因で発生しました。PIA(プライバシーに関する包括的情報アクセス計画)が導入されていないと、プライバシーリスクを特定し、軽減することができない可能性があります。

報告書には8つの勧告があり、そのうち5つは監察官の満足のいく形で実行されたと示唆している。

写真:マット・ポポビッチ/パブリックドメイン

ドラフト レポートに対する回答で提供された情報に基づき、推奨事項 3、4、および 6 は未解決のままであると判断しました。

推奨事項の全セットは以下にリストされており、未解決のものは太字で強調表示されています。

勧告 1: プライバシー影響評価が完了し承認されるまで、米国税関・国境警備局長官は商用テレメトリデータの使用を中止することを推奨します。

勧告 2: 米国税関・国境警備局長官は、識別可能な形式で情報を収集、維持、または配布する情報技術を開発または調達する前に、必要に応じて、DHS のプライバシー ポリシー、具体的にはプライバシー影響評価の承認を確実に遵守するための管理策を開発および実装することをお勧めします。

勧告 3: 米国移民関税執行局長は、プライバシー影響評価が完了し承認されるまで商用テレメトリデータの使用を中止することを推奨します。

勧告 4: 米国移民関税執行局長は、識別可能な形式で情報を収集、維持、または配布する情報技術を開発または調達する前に、必要に応じて、DHS のプライバシー ポリシー、具体的にはプライバシー影響評価の承認を確実に遵守するための制御を開発および実装することを推奨します。

勧告 5: 米国シークレット サービスの長官は、識別可能な形式で情報を収集、維持、または配布する情報技術を開発または調達する前に、必要に応じて、DHS プライバシー ポリシー、具体的にはプライバシー影響評価の承認を確実に遵守するための制御を開発および実装することを推奨します。

推奨事項 6: DHS プライバシー オフィスの最高プライバシー責任者は、承認されたプライバシーしきい値分析に、プライバシーに敏感であると判断されたプロジェクト、プログラム、またはシステムの使用は、必要なプライバシー影響評価が承認されるまで運用上承認されないという声明を含めることを推奨します。

勧告7:国土安全保障省プライバシーオフィスの最高プライバシー責任者は、プライバシー影響評価プロセスを完了するために、デューデリジェンスに基づき技術を調達・テストする必要がある場合、プライバシー要件の趣旨を満たすためにプログラムオフィスに必要なガイダンスを含めるよう、プライバシーポリシーの遵守を確保するか、またはポリシーを改訂することを推奨します。追加のガイダンスを作成する場合は、プライバシー影響評価関連のプライバシーポリシーからの逸脱の正当性、およびプライバシーに配慮した情報の運用上の利用に関する制限について規定する必要があります。また、ガイダンスは、プライバシーに配慮した情報が収集され、運用上使用される前に、プライバシー影響評価が完了することを保証するものでなければなりません。

推奨事項 8: 商業テレメトリ データの使用、プライバシー保護、および適用される法的基準の監視を確実にするために、管理局の最高情報責任者室の最高データ責任者が、コンポーネント ポリシー要件を含む部門全体の商業テレメトリ データ ポリシーを策定し、実装することを推奨します。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like