FTC(米国連邦取引委員会:米国において、公正な取引を監督・監視する連邦政府機関)は、eコマースにおけるセキュリティ上の欠陥に対する執行強化に向けての取り組みを進めている。テレビミーティングプロバイダーZoom Video Communications社による不適切行為に対する同委員会の最近の動向は、注目すべき例といえよう。
FTCは、Zoomとの和解において、同社の提供サービスに関連するセキュリティとプライバシー問題に関して、大幅な具体的な要件を課した。は、12月中旬に公衆意見聴取期間が終了した後、正式なものとなった。
FTCは、Zoomとの合意において、「Zoomは、強固な情報セキュリティプログラムを実装し、ユーザーのセキュリティを損なう一連の欺瞞的で不公正な行為を実行していたという疑惑を解決することが求められている」と述べた。
Zoom側は、同社の和解案の受け入れに伴う委員会の主張について、否定も肯定もしていない。
eコマースへの広範な波及効果
eコマースの世界にとって重要なことは、Zoom事件に関するFTCの動向が、eコマース問題に対する執行強化を図るという内部方針以上のものを示していることである。Cleary Gottlieb社(ニューヨークを拠点とするグローバル法律事務所)のケース分析によると、今回のFTC動きは、連邦裁判所の判決を反映したものでもあり、より一般的なコンプライアンス要件とは異なり、同委員会による更に強力でターゲットを絞った執行措置につながることになるという。
さらに、今回のFTCの措置は、ビデオミーティングサービスへの適用をはるかに超えており、幅広いeコマース活動に影響を与えている。Alston and Bird社(国内外のクライアントに法的サービスを行うグローバル法律事務所)のパートナーKathleen Benway氏は、「Zoomに関する決定が、広範囲に適用されることは確実である」と述べ、「今回のFTCの決定は、電子的に消費者の個人情報を収集するあらゆる企業にとって教訓となるだろう。該当企業は、Zoomに対する告発を綿密に検討し、自社のシステムやプロセスが同様の問題を起こさないようにすることが賢明だろう」と語った。
Zoom事件におけるFTCの申し立ての具体性は、同委員会が懸念し、執行に影響を及ぼす可能性のあるeコマース取引の種類に関するインサイトを提供している。
FTCの申し立てによると、Zoomは、少なくとも2016年から、「実際にはより低レベルのセキュリティを提供しているにも拘わらず、ユーザーの安全な通信を実現するために“256ビットキーを使用したエンドツーエンドの暗号化”を提供している」といった顧客に対して虚偽の主張をしていたという。エンドツーエンドの暗号化とは、安全な通信を確保する方法で、送信者と受信者のみがコンテンツを閲覧可能にするものであり、それ以外は、プラットフォーム・プロバイダーでさえもコンテンツの閲覧ができないことを意味するとFTCは説明している。
Zoomは、実質的に顧客のミーティング内容にアクセスできる暗号化キーを維持し、一部では提示していたものよりも低い暗号化レベルで電話ミーティングの保護を行っていた、とFTCは指摘。Alston and Bird社の事例分析によると、2020年4月、Zoomは、自社サービスが通常ではエンドツーエンドの暗号化に対応していないことを認めた。
FTC の申し立てによると、Zoom はまた、記録したミーティングをZoomのクラウドストレージに保存したいと考えるユーザーに対し、ミーティング終了後すぐに会議内容が暗号化されるという虚偽の主張をして誤解を与えたという。実際は、一部の記録は、安全なクラウドストレージに転送される前に、暗号化されていない状態でZoomのサーバーに最大60日間保存されていたとされている。
さらにZoomは、ユーザーへの十分な通知や同意なしに、FTCがSafariのセキュリティとプライバシー保護を回避する手法とみなすAppleのSafariブラウザ関連の操作メカニズムを展開していた。同委員会は、このメカニズム導入は、不公正な行為または慣行に相当すると主張した。
複数のコンプライアンス対策が必要となる和解内容
FTCによると、Zoomが2019年12月時点で1,000万人、COVID-19パンデミック禍の2020年4月には3億人に急増したユーザーベースを保護するため、包括的なセキュリティプログラムを確立して実施し、その他詳細な対策を遵守することに合意したとされる。Zoomは、和解の一環として以下を実行する。
- 潜在的な内部および外部のセキュリティリスクを毎年評価し、文書化し、同リスクの回 避方法の開発。
- 脆弱性管理プログラムの実装。
- ネットワークへの不正アクセスから保護するための多要素認証などの防止措置を導入、データの削除制御の実施、および、既知の危殆化したユーザー認証情報の使用防止措置を講じる。
加えて、Zoom の担当者は、セキュリティ上の欠陥がないかどうかソフトウェアのアップデートを確認し、アップデートによって Apple Safari のメカニズムで起こったようなサードパーティのセキュリティ機能への妨害が生じていないことを確認する必要がある。
また、和解では、個人情報の収集、使用、維持、開示方法、セキュリティ機能、および、ユーザーが個人情報のプライバシーやセキュリティを管理できる範囲などを含む、同社のプライバシーやセキュリティに関する慣行についての虚偽の陳述を禁止している。
Zoomは、和解合意を受け、「ユーザーのセキュリティは、当社にとって最優先事項である」と言及。
Zoomの広報担当者Kelsey Markovich氏は、次のように述べている。「当社は、とりわけこの未曾有の世界的危機の中で、ユーザーが我々に寄せる信頼を日々真摯に受け止めており、セキュリティとプライバシープログラムを継続的に改善している。我々は、今回実行した当社のプラットフォームの進歩を誇りに思い、すでにFTCから指摘を受けた問題には対処している。FTC との和解内容は、安全なビデオ通信体験を提供することで製品を革新し、強化していくという当社のコミットメントに沿ったものである」。
FTCはセキュリティとプライバシーに関する警戒を維持
今回のZoomに関する決定事項は、FTCの更に積極的な執行姿勢を明確に示している。Cleary GottliebのパートナーであるAlexis Collins氏は、「FTCは、さまざまな業界や企業に及ぶデータのプライバシーとセキュリティの強化に、より一層力を入れることになるだろう」と述べている。
Collins氏は、「近年、FTCは、消費者のデータを収集したり取り扱ったりすること、また、eコマース活動を行うさまざまなタイプの企業に対し、それらの企業が直接的に消費者に対応しているかどうかに関係なく、プライバシーポリシーの遵守や、合理的なサイバーセキュリティ対策の実施に不備があると判断した場合には措置を講じてきた」と語る。
例えばFTCは、Equifax(米国の消費者信用情報機関大手)やUber(米国発の配車サービス)のような消費者向け製品やサービスを提供する企業から、サードパーティのサービスプロバイダーInfoTrax(連鎖販売取引業者向けにバックエンド運用サービスを提供)に至るまで、さまざまな企業との間で和解に達したと、Collins氏は述べている。
FTC がプライバシーとセキュリティの問題について積極的な姿勢を維持することを示すもう一つのシグナルは、今回の案件で提出された意見書での 2 人の現職コミッショナーのコメントである。彼らは、それぞれ、FTCが Zoom 和解においてより強力な執行姿勢をとるべきであったと示唆している。
Cleary Gottliebの Collins氏による投稿によれば、コミッショナーのRohit Chopra氏は、この和解案には、Zoomの不実表示により被害を受けたユーザーに対する意味のある救済規定が欠けていることへの懸念を示している。例えば、不実表示に基づいてZoomのサービスを購入した中小企業向けの契約解除、返金、またはクレジット規定などである。そして、影響を受けたユーザーへの通知を義務付けていないこと、そして金銭的罰則がないことも指摘している。
FTCのコミッショナーであるRebecca Slaughter氏は、Alston and Birdの事例分析によると、「より効果的な命令」によって、Zoomの製品やサービスが、セキュリティの他に、消費者のプライバシーに及ぼすリスクの再検討を求めるべきであったと示唆した。
※当記事は米国メディア「Ecommerce Times」の12/29公開の記事を翻訳・補足したものです。