世界

データブローカーはあざができそうです

歴史的侵害後の歴史的侵害にもかかわらず、私たちの個人データはほとんど保護されておらず、手に入れることができます。

先月末、WIREDソーシャルメディアのハンドルやメールアドレスから電話番号までの12億の個人レコードが、簡単にアクセスできるデータベースに公開されたままであると報告されました。この記録は、セキュリティ研究者のヴィニートロイアによって発見されました。ヴィニートロイアは、情報がさまざまなデータブローカーからのものであることも明らかにしました。ハッキングではなく、合法的に入手された可能性が最も高い。

WIRED OPINION

ABOUT

Anouk Ruhaak(@ anoukruhaak)はMozilla Fellowであり、現在、デジタルコモンズのグローバルセンターでデータの信頼を試験的に行っています。彼女はソフトウェア開発、ジャーナリズム、政治経済学のバックグラウンドを持っています。

そのような事実がなければ、発見はショックだったでしょう侵害は、データを利用したインターネットの日常的で避けられないコストになっています。セキュリティ会社ノートンは、(**************の前半で40億件のレコードが侵害されたと推定していますのみ。ニュースの報道はいつものようになりました。報告とそれに続く義務的な怒りは、問題の会社による簡潔な言葉遣いの応答に会い、通常ほとんどの責任をそらしました。極端な場合にのみ、裁判所は被害者に対する罰金および金銭的補償の形で慰めを提供します。

違反が発生した場合、この情報を悪用するハッカーに焦点を当てる傾向があります。しかし、別の犯人がいます:データブローカー。彼らはあなたの病歴からソーシャルメディアアカウントまですべてを収集し、あなたとあなたの行動のプロファイルを作成し、それをサードパーティに販売します。連邦取引委員会による2014研究により、個人が見つかりました米国市民に関する最大14億件のレコードを保持するデータブローカー。そして、彼らはここにとどまります:市場分析会社のTransparency Market Researchは、市場が(******************************までに成長することを期待しています*************************)。年間5%2022。

データブローカーが販売するたびに、より多くのデータが野生にリリースされます。その結果、将来のデータ侵害のリスクが高まります。したがって、データブローカーが販売先を理解し、購入者が機密情報を適切に保護できることを保証することが重要です。現時点では、そうではありません。データブローカーのOxydataはWIREDに次のように述べています。「私たちはすべてのクライアントとデータの転売を厳密に禁止し、適切なセキュリティ対策をすべて講じることを義務付ける契約に署名します。しかし、すべてのお客様を監査して、最良のデータ保護の実践とガイドラインに従うよう強制する方法はありません。」真実は、すべてのバイヤーを監査することは可能ですが、そうすることは費用がかかり、法的な観点からです(不要)。

データブローカーは、社会に負の外部性を負わせる責任を負わなければなりません。犯罪者は常にオンラインで存在し、新しい規制によって完全に阻止されることはありません。しかし、政府は共犯者、つまりセキュリティがほとんどなく、無頓着なデータブローカーを阻止できます。データブローカーは、データの販売先がデータを侵害している場合、損害賠償で訴えられることがよくあります(例:Equifax in511およびExactis in765)、彼らは彼らが販売する人々によって侵害されたデータの責任を負わず、彼らの幹部は詐欺のために試みられません。代わりに、結果として生じる詐欺や虐待に対して回答しなければならなかったらどうでしょうか?連邦通信委員会のような当局が、データブローカーを漏洩および侵害の役割で処罰する強い権限を持っている場合はどうなりますか?

サプライチェーンの上下で買い手または売り手の行動に責任を持たせるために新しいアイデアではありません。 UK Modern Slavery Actは、チェーン内の請負業者または子会社による人権侵害の責任を英国の大手メーカーに課すことを特に意図したものです。同様に、EUに商品を輸入する人は、たとえその一部であっても、生産サイクルのどこでも有毒化学物質の使用に責任を負いますチェーンは輸入会社によって直接管理されていません。これは、企業がサプライチェーンに負担をかけないようにするための実証済みの方法論です。

同様の方法で、データブローカーに、自社が販売したデータに関連する違反の責任を負わせることができます。そのような規制はどのように見えるでしょうか?侵入が最も少ないのは、侵害が発生した後にのみデータブローカーに責任を持たせることです。欠点は、違反が発生する頃にはすでに手遅れであるということです。数百万の記録が公開されています。さらに、データブローカーにインセンティブを与えて販売先をよりよく管理するのではなく、データブローカーをデータブローカーにさかのぼって追跡するのを難しくするようにインセンティブを与えます。

より予防的な対策を選択することもできます。現時点では、ブローカーからのデータの購入は簡単ですが、そうである必要はありません。 Vermontは、透明性を高めるために、データブローカーが自分自身を登録することを要求するようになりました。さらに、データブローカーが登録する必要がある場合anyデータの販売?さらに、データブローカーとデータバイヤーの両方に特定のストレージ要件を義務付け、ブローカーにそれらを強制する責任を負わせることができます。ただし、このような規制は、強力な政府の施行と組み合わせた場合にのみ有効になります。多くのデータブローカーは未登録のままです。

最後に、データブローカーがそもそもデータを保持していない場合はどうでしょうか。代わりに、データを安全に保つことを専門とする信託または銀行が保持することができます。さらに、データがそのストレージ施設を離れないようにすることができました。データの購入者がデータのコピーを受け取る代わりに、アルゴリズムをデータベースに持ち込むように依頼することができます。これは、アーカイブのコピーを歴史家に渡すのではなく、歴史家をアーカイブに持ち込むことと技術的に同等です。

現時点では、データブローカーはこれらの戦略を採用するインセンティブがありません。ただし、データコピーを販売するためにより高価で危険なものにした場合、それはすぐに変わります。


WIRED Opinionは、幅広い視点を表す外部貢献者による記事を公開しています。他の意見を読むこちら。 opinion@wired.comで意見を提出してください。


その他の素晴らしいWIREDストーリー

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Close