最近、携帯電話サービスプロバイダーのAT&Tからメッセージが届きました。AT&Tが私の「顧客専用ネットワーク情報」(CPNI)をAT&Tグループ内で自社のマーケティング目的で使用することを制限できるという内容です。メッセージは簡潔に書かれていましたが、全く理解できませんでした。例えば、CPNIの定義は以下のとおりです。
「現在ご購入いただいている通信サービスおよび相互接続VoIPサービスの種類、それらのご利用方法、およびそれらのサービスに関する請求情報です。CPNIには、お客様の電話番号、氏名、住所は含まれません。」
CPNIに電話番号、氏名、住所が含まれていないことは安心できますが、「どのように使用するか」という表現は不明瞭です。AT&TはCPNIプライバシーポリシーで、「通話情報」もCPNIに含まれるなど、もう少し詳しい情報を提供しています。
困惑した私は、長年にわたりTidBITSで電気通信とデータプライバシーに関する記事を多数執筆してきたGeoff Duncan氏に相談しました。彼によると、CPNIはもともと請求書に記載される可能性のあるあらゆる情報を指すものだったが、現在ではサービスやキャリアによって大きく異なるとのことです。携帯電話キャリアの場合、データプランや使用量、デバイス情報、位置情報履歴、Web閲覧履歴、さらには人口統計情報まで含まれる可能性があります。
CPNIは何に使われるのでしょうか?AT&Tは「提携関係のない第三者にCPNIを販売することはありません」と述べており、CPNIに関する別のページでは、この情報を使用できる企業が具体的にどのような企業なのかが明確に示されています。対象となる企業は数多くあります。
「AT&T グループ企業とは、通信関連の製品および/またはサービスを提供する AT&T 企業であり、AT&T 市内電話会社および長距離電話会社、AT&T Corp.、AT&T Long Distance、AT&T Internet Services、AT&T Mobility、およびこれらの製品および/またはサービスを提供、設計、マーケティング、または販売する AT&T Inc. のその他の子会社または関連会社が含まれます。」
ジェフ氏によると、FCCの当初の規制枠組みは、2つの行為を防止することを目的としていた。1つ目は、競争上の優位性を損なうアップセルである。これは、例えば通信会社が自社のCPNIを利用して、特定の顧客向けの追加サービスの価格を競合他社が追随できない方法で調整するといった行為に起こり得る。2つ目は、「プリテキスティング」である。これは、CPNIが外部の第三者によって購入され、電話会社を装って顧客に開示させたり、通常は行わないような行動を取らせたりするのを防ぐものだ。
CPNI法の最新の改正は2007年に遡りますが、ジェフ氏によると、AT&Tが顧客にCPNIの使用について通知し始めたのは2012年です。実際、私が「CPNI」で自分のメールアーカイブを検索したところ、ヒットしたのは2012年8月にAT&Tから送られた全く同じ文面のメッセージ1件だけでした。
CPNIの不正利用は実際にあるのでしょうか?はい。電子プライバシー情報センター(EPIC)の多くの事例に加え、追加の調査により、2014年にVerizonが顧客に通知せずにCPNIをマーケティング目的で使用したとして740万ドルの罰金を支払ったことが明らかになりました。さらに悪いことに、AT&Tは2015年に、メキシコ、コロンビア、フィリピンにある3つのAT&Tコールセンターの従業員に賄賂を渡し、盗難携帯電話や
グレーマーケットの携帯電話のロックを解除させたことで、米国顧客の約28万人の個人情報を開示(およびCPNIデータの不正使用)したとして、2,500万ドルの罰金を支払わなければなりませんでした。
通信事業者によるCPNIの利用を制限しても、その収集を完全に防ぐことはできないことを認識することが重要です。そのため、オプトアウトしても、AT&Tのようなデータ侵害に巻き込まれる可能性は低いかもしれませんが、決して無駄にはなりません。いずれにせよ、FCCが通信事業者にそのようなオプトアウトを提供することを義務付けることが重要だと考えたという事実は、実施する価値があると私には思えます。
AT&TによるCPNIの利用を制限するのは難しくありませんが、必要な情報が必要になる場合があります。お手元にない場合もありますので、以下の手順に従ってください(または、800-315-8303の音声応答システムをご利用いただくか、800-288-2020にお電話ください)。
- http://att.com/ecpnioptout にアクセスしてください。(面白いことに、メールメッセージ内の関連テキストの下にあるリンクにはトラッキングリンクが使用されていました。クリックすると CPNI に反映されるのではないかと考えさせられます。)
- アカウント番号または顧客 ID と請求先郵便番号を入力し、「My CPNI の使用を制限する」を選択して、「送信」をクリックします。
ここで難しいのは、アカウント番号を取得することです。アカウント番号は、請求書、またはAT&Tのサイトにログインしてプロフィールを確認することで簡単に確認できます。AT&Tは、CPNI通知にも記載されていると言っていますが、これは事実ではありません。上記の私の通知にはIDが記載されていません。
他の通信事業者や、収集され、共有または販売される可能性のある他の種類の個人情報についてはどうでしょうか? MITの情報システム&テクノロジー・ナレッジベースのページには、AT&T、Verizon Wireless、Sprintのこれらのプログラムやその他のプログラムをオプトアウトするためのリンクが掲載されています。ぜひこれらのリンクを調べてみてください。私たちの電話番号はAT&Tの「外部マーケティング&アナリティクスレポート」からオプトアウトされていたにもかかわらず、「関連性の高いワイヤレス広告」を受信する設定になっていたのです。それが何なのかは分かりませんが。MITのページにはT-MobileはCPNIを販売していないと記載されており、これはT-MobileのCPNIページの内容と一致しているようです。
個人的には、企業が商品やサービスを提供する際に自分の情報が利用されることに、特に抵抗はありません。しかし、もしこの情報がそれほど価値があるのであれば、なぜ企業は(私たちが料金を払っているサービスから!)それを無料で収集し、利用できるのでしょうか?個人情報をマーケットプレイスに出し、どのような目的で、いくらで購入できるかを自分で決められるようにしたら面白いと思いませんか? 2014年にはイタリアの研究者が個人データの経済性に関する研究を行っており、Handshakeという企業も
この研究を目指していますが、2013年からクローズドベータ版のままです。これは良い兆候とは言えません。とはいえ、考えさせられる話ではあります…。