VoIPの規則と規制:プロバイダーは業界に準拠していますか?

公開: 2016-04-05

1970年代のサイエンスフィクション番組を見ていると想像してみてください。 あなたは医者が遠くの世界からロボットを操作することによって患者を診断しているのを見ます。 あなたは消費者が彼らに個人的な買い物の推薦を与えるスクリーンでカスタマーサービスエージェントと話しているのを見ます。 指紋で保護された小さなパッドにファイルされたレポートが表示されます。 原子力の空飛ぶ車が見えます。 さて、最後のものを除いて、私たちはVoIPと最新のクラウドテクノロジーでほとんどそこにいます。

大きくてゴムのような怪物を使った漫画やショーは、それらの技術が善のためだけに使われていることを示しました。

しかし、現実の世界には、実際のリスクとそれらのリスクを軽減するための実際の規制があります。 貴重な情報は毎秒これらのケーブルとサーバーを通過します。一部のセクターには特別なルールがあり、高度なテクノロジーに適応するために時間とともに進化してきました。 これは、VoIPやその他のデータネットワークに関して知っておく必要のある規制基準のリストです。

注:私たちは、電子通信、およびデジタルまたは個人情報の保存に関連する規制のみを対象としています。

1. CPNI

- それは何ですか?
Customer Proprietary Network Informationは、電気通信サービスプロバイダーが加入者に関して収集する情報です。 具体的には、加入者が使用するサービスの種類、使用量、および種類をリンクします。 たとえば、ワイヤレスプロバイダーは、電話の使用頻度や、ソーシャルネットワーキングと通話の両方に使用していることを追跡できます。 情報は非公開にされることになっていますが、それは顧客がオプトアウトした場合に限られます。 顧客がオプトアウトしない場合、プロバイダーは、顧客に通知されている限り、その情報をマーケターに渡して他のサービスを販売することができます。 あなたがあなたのプロバイダーを別のプロバイダーに任せた場合、会社はあなたを取り戻すためにCPNIを使用することを禁じられています。 CPNIをオプトアウトする場合は、Googleの「CPNIオプトアウト(プロバイダー名)」を使用して、見つけた指示に従うことができます。

–誰に影響しますか?
すべての電気通信プロバイダーは、CPNIの制限の対象となります。 ただし、各プロバイダーが自由に使用できる情報の量、したがってデータを(合法的にまたはその他の方法で)渡すリスクは、提供されるサービスの種類によって異なります。 ケーブル会社、電話会社、およびワイヤレスプロバイダーは、インターネットプロバイダーから電話をかけ、電話を使用してインターネットにアクセスするため、今日ではますます互換性が高まっています。 この情報はすべて、ISPで利用できる場合があります。 2007年、FCCは、1996年の電気通信法に関する委員会のCPNI規則の適用を、相互接続されたVoIPサービスのプロバイダーに明示的に拡張しました。 奇妙なことに、最小限の制限でマーケティング会社に渡すことができる同じ情報には、法執行機関がアクセスするための令状が必要です。

–リスクは何ですか?
2015年、AT&Tは、28万人の名前と完全または部分的なSSNが許可なくアクセスされた後、記録的な2500万ドルのペナルティでFCCと和解しました。 FCCによると、メキシコ、コロンビア、フィリピンのAT&Tコールセンターの従業員は、合法的に携帯電話のロックを解除しながら情報にアクセスできましたが、その情報を第三者に渡して、盗まれた携帯電話のロックを解除しました。 これは、データセキュリティアクションの最大の和解でした。 2番目に大きいのはVerizonWirelessで、これは200万人の顧客に情報を使用して何千ものマーケティングキャンペーンを実施していることを通知できなかったため、2014年に740万ドルを支払わなければなりませんでした。

2.COPPA

- それは何ですか?
1998年の児童オンラインプライバシー保護法は、子供への欺瞞的なマーケティング、または親に開示せずに個人情報を収集することを禁じています。 判決は2000年に発効し、2011年に改正され、収集されたデータは一定期間後に消去され、情報が第三者に渡される場合は、子供の保護者が簡単に情報を入手できるようにする必要があります。その情報を保護します。 この場合の個人情報には、子供の名前、住所またはIPアドレス、ユーザー名/画面名、社会保障番号、写真などがあります。 企業は子供たちにその情報を提出するよう促すことは許可されていません。

–誰に影響しますか?
COPPAはFTCによって施行されます。 COPPAの規則は、13歳未満であることがわかっているユーザーに関する情報を収集するすべてのWebサイト運営者またはオンラインサービスプロバイダーに適用されます。非営利団体は、特定の状況でCOPPAを免除されます。 2014年、FTCは、アプリとアプリストアには「検証可能な保護者の同意」が必要であるというガイドラインを発行しました。 クレジットカード番号に関する規則が変更され、クレジットカード番号を検証するために購入(つまり、お金を使う)は必要ないが、クレジットカード番号だけでは親の同意を証明するものではなく、秘密の質問などの他の手段と組み合わせて。

–リスクは何ですか?
オンラインブログおよびソーシャルネットワーキングプラットフォームであるXangaは、開示なしに子供のオンラインプライバシーを侵害したとして、2006年に最大の和解金100万ドルを支払いました。 Xangaは、FarmVilleやその他のカウクリッカーゲームの背後にある会社であるZyngaと混同しないでください。 CandyCrushやPetRescueのようなゲームは、Facebookによってホストされているため、不明確な領域に分類されます。Facebookは、理論上、少なくとも13歳以上の人間に限定されています。多くのプライバシー擁護者や消費者保護グループは、これらに関するより厳しい規則を求めています。アプリ。

RingPopsの親会社であるToppsCompanyは、ソーシャルメディアキャンペーン「#RockThatRock」でプライバシーグループの怒りを買っており、13歳未満の子供に販売されたと述べています。十代の若者たち。 この記事を書いている時点では、まだ罰金は科されていません。

3. HIPAA

- それは何ですか?
医療保険の相互運用性と説明責任に関する法律は1996年にさかのぼり、タイトルIIは電子医療取引のルールを具体的に定めています。 言い換えれば、デジタルで保存されているあなたの健康に関する情報は、厳格なプライバシー規則の対象となります。 医師と患者のNDAの機密保持があるのと同様に、あなたの情報も機密であり、あなたの許可または裁判官の命令がある場合にのみ共有できます。

–誰に影響しますか?
対象となるエンティティはすべてHIPAAの対象となります。 Health and Human Servicesによると、これは医療提供者(医師、歯科医、薬局)、医療計画(保険、HMO、メディケア、メディケイド、VA)、または医療クリアリングハウス(公的機関または民間機関)である可能性があります。業界の専門用語で情報を取得し、素人が読みやすくします。)

–患者をどのように保護する必要がありますか?
違反を防ぐための管理上、物理的、および技術的な保護手段があります。 管理上の保護手段とは、情報へのアクセスを必要とする/必要としないスタッフへのアクセスの許可/制限、パスワードが定期的に変更されることの確認、従業員の行動に関する特定の書面によるポリシーの設定などです。 物理的な安全対策とは、デバイスや場所に直接アクセスできることを指し、安全なロックやアラーム、警備員やカメラ、古いドライブを安全に廃棄する方法を知っていることなどが含まれます。 技術的な保護手段とは、ワークステーションへのログインとログアウト、ユーザーアクティビティの追跡、および安全なデータ暗号化を指します。

–リスクは何ですか?
情報が侵害された場合、影響を受けるエンティティは、情報が漏洩した人に電子メールまたはファーストクラスのメールで通知する必要があります。 より大きな違反の場合、いずれかのイベントが500人を超える個人に影響を与える場合は、「著名なメディア」とHHS長官に通知する必要があります。 ここでは、500人を超える人々に影響を及ぼしている報告されたすべての情報違反のリストを表示できます。 あなたまたはあなたが知っている誰かがメール、ファックス、または電子メールによってプライバシーを侵害されたかどうかを確認するために、HHSに独自の苦情を申し立てることができます。

HIPAAに違反すると、重い罰金や刑事罰につながる可能性があります。 2014年、HHSは、6,800人の患者に関するデータが公開検索エンジンで利用可能になった後、ニューヨーク長老派病院とコロンビア大学医療センターにハンマーを落としました。 2つの病院は合わせて480万ドルの罰金を科されました。

4. SOX

- それは何ですか?
2002年のサーベンス・オクスリー法は、不正な金融活動を防ぐために、2002年のクラッシュをきっかけに作成されました。 証券取引所で上場されている会社はすべてSOXの対象となります。 SOXのセクション404は、企業が内部統制構造および財務記録の正確性に関する情報を公開することを要求しています。

法案自体を引用するために、SECは企業に対し、「財務諸表に重大な影響を与える可能性のある発行者の資産の不正な取得、使用、または処分の検出」を適時に防止または検出することを要求しています。

–誰に影響しますか?
証券取引所で上場されている会社はすべてSOXの対象となります。 SOXのセクション404は、企業が内部統制構造および財務記録の正確性に関する情報を公開することを要求しています。

Sarbanes-Oxleyは、有形資産と無形資産を区別していません。 つまり、企業は将来の事業計画、まだテスト段階にある未発表の製品、および企業秘密と見なすことができるすべてのものに価値を置く必要があります。 企業はまた、元従業員が企業秘密を持ち歩くことから、さらには競合他社の元従業員から企業秘密を与えられることからも身を守る必要があります。

–リスクは何ですか?
SOXの対象となる企業は、信頼できる第三者機関による情報の監査も受けている必要があります。 これは送信および保存される機密情報であり、監査人および企業は、情報が安全であることを確認するために細心の注意を払う必要があります。 会社の文書が漏洩し、少なからぬ困惑、投資家の信頼の喪失、ビジネスの喪失、そして時には罰金や刑事罰を引き起こしていることを聞くために、昨日の見出しにあったものよりも遠くを見てください。 NDAへの署名を要求し、情報を持っている人に関する情報を収集し、データが悪意のある人の手に渡る可能性を判断するインタビューを実施し、誰が情報に合法的にアクセスできるか、誰がアクセスできないかを厳密に記録することがベストプラクティスです。

5.電話消費者保護法/全国電話禁止レジストリ

- それは何ですか?
1991年の電話消費者保護法は、ロボコール、自動ダイヤラ、およびその他の通信方法の使用を制限していました。 連邦通信委員会は、独自の電話禁止リストを作成することを個々の企業に任せていたため、大きな失敗でした。 2003年のDo-Not-Call実施法の一環として、連邦取引委員会によってNational Do Not Call Registryが正式に設立されたのは2003年のことでした。多くのVoIPコンタクトセンターは、 National Do Not CallRegistry。

誰に影響しますか? FTCによると、企業が顧客との関係を確立している場合、最大18か月間顧客に電話をかけることができます。 たとえば、消費者が会社に電話して製品やサービスに関する情報を求めた場合、会社は3か月以内に会社に連絡します。 どちらの場合も、顧客が電話を受けないように要求した場合、会社は電話をやめるか、罰金の対象となる必要があります。

次の種類の通話は、特定の苦情を除いて、Do Not CallRegistryから免除されます。

  • 非営利のB組織からの電話。 すべての非営利団体が自動的に免除されるわけではありません。
  • 特定の種類の情報メッセージ。ただし、プロモーションメッセージは含まれません(たとえば、フライトのキャンセルは免除されますが、飛行機のチケットの販売は免除されません)。
  • 政治家候補に投票するよう呼びかけます。
  • 慈善寄付の勧誘。
  • ビジネスへの電話、さらには売り上げを引き出すためのコールドコール。
  • 債権回収者からの電話ですが、債権回収者には、誰にいつ電話をかけることができるかについて独自の法律があります。

–リスクは何ですか?
DNCRで誰かに電話をかけた場合の最高罰金は16,000ドルです。 電話をレジストリに登録するのは、Webサイトdonotcall.govにアクセスするか、リストにある電話から1-888-382-1222に電話するのと同じくらい簡単です。 逆にメールやソーシャルメディアの投稿を読んだことがあるかもしれませんが、番号がリストに追加されると、積極的に削除されない限り、その番号は永久にリストに残ります。 デフォルトでは、すべての携帯電話がリストに含まれています。 この記事の執筆時点では、「テキストメッセージを送信しない」レジストリなどはなく、いわゆる「ジャンクファックス」は独自の規制の対象となっています。

6.個人情報のプライバシーとセキュリティに関する法律

- それは何ですか?
個人情報の盗難に対する懸念の高まりと、情報を保存、通信、および計算する世界の技術的能力の成長に対応して、2009年の個人データプライバシーおよびセキュリティ法は、一部の種類の個人情報の盗難およびコンピューターのハッキングに対する罰則を強化しました。

–誰に影響しますか?
10,000人以上の米国人の個人を特定できる機密情報を電子形式またはデジタル形式で維持する事業体に個人データのプライバシーおよびセキュリティプログラムの要件を課します。 多くのVoIPプロバイダーには100,000を超える顧客がいます。 選択したビジネスVoIPプロバイダーがこの要件を満たしている可能性は十分にあります。 このルールは、5,000人を超える情報を持つ州間高速道路のデータブローカーにも適用されますが、VoIPプロバイダーはデータブローカーとは見なされません。

–リスクは何ですか?
意図的に許可なくコンピュータにアクセスしている犯罪自体の実行者は、ゆすりで起訴される可能性があります。 しかし、この攻撃の被害者である企業に関しては、「個人を特定できる機密情報」のセキュリティ違反を故意に隠すと、罰金や5年の懲役が科せられる可能性があります。 これには、被害者の名前、社会保障番号、自宅の住所、指紋/生体認証データ、生年月日、銀行口座番号が含まれます。

違反した会社は、影響を受ける個人にメール、電話、または電子メールで通知する必要があります。メッセージには、会社に関する情報と、信用報告機関に連絡する方法(つまり、信用の修正を支援する方法)が含まれている必要があります。 また、違反を消費者報告機関に報告する必要があります。 5,000人以上の影響を受けた個人が1つの州にいる場合は、違反を主要なメディアにも報告する必要があります。

また、次の1つ以上が発生した場合、会社は14日以内にシークレットサービスに連絡する必要があります。データベースには100万人を超える個人に関する情報が含まれています。 違反は10,000人以上の個人に影響を及ぼします。 データベースは連邦政府のデータベースです。 この違反は、国家安全保障または法執行に関与する公務員または請負業者であることがわかっている個人に影響を及ぼします。 その後、その情報はシークレットサービスからFBI、米国郵便局、および影響を受ける各州の司法長官に渡されます。

結論は:

2日ごとに、2003年までのすべての書面による履歴よりも多くの情報が生成されます。これの多くは、過去10年ほどまでは適切に文書化できず、さらに最近までは保存が非現実的で移動が不可能な情報です。 。 これらの法律のような保護手段は、その情報を、患者、クライアント、または関係が何であれ、正しいことを行うことができる倫理的な人々に制限できるようにするために存在します。 私たちは常にデータベースが侵害されていると聞いていますが、ハッキングを許した会社に何が起こるのか、そしてそれを防ぐために彼らが何をすべきだったのかについて、あなたはより良い考えを持っています。 これらのルールにより、消費者であるあなたがより安全であることを知って安心してください。