昨日は、MIAUのニコニコ生放送「ネットの羅針盤」に出演してきた。
今回のテーマは、Androidアプリのプライバシー問題。KDDI研究所の竹森さんから、au oneマーケットや、日本スマートフォンセキュリティフォーラム(JSSEC)でのお取り組みのご紹介を頂きつつ、異論のあるところにつっこんでいくという形で議論が進められた。
私から論点にしたかったのは、(1)スパイウェアと刑法168条の2の関係(時間がなかったのでこの件は省略)、(2)ターゲティング広告はどこまで許されるか、(3)有効な同意とは何か、(4)IDと個人に関する情報の保護の4点。このうち、「有効な同意」について言いたいことが多々あった。
竹森さんらの取組みでは、情報取得の事実の開示をアプリ提供者に求めていくという話であったが、私はこれまでの経験*1から言って、その実効性に大いに疑問がある。*2
番組中で私は、「どんな情報の抜き取りでも利用者の同意さえ取ればやっていいという態度の事業者がいるが、同意といったって、ろくに説明もないまま、ただ形式的に同意ボタンを押させるというのは、有効な同意ではない。日本の事業者で、有効な同意になるような、きちんとした説明をしている事業者をひとつも見たことがない。」といった趣旨のことを述べた。
実際、どこかお手本となるような適切な説明をしている事業者があったら、どなたか教えてほしい。
ここで、具体例をひとつ示しておこう。
優良アプリの代表例として、おそらくは多くの人たちの信頼を得ていると考えられる、頓智ドット社の「セカイカメラ」を例にする。
「セカイカメラ」のiOS版は、当初からUDIDを送信することが一部で知られており、2年前に、UDIDを使うのは不適切ではないかとの問い合わせをした人がいたのを覚えている。
その件がその後どうなったのか調べていなかった*3のだが、iPadにも対応しているようなので、さきほど、iPadにインストールして起動してみた。初回起動時に現れたのは以下の図1の画面である。
「本アプリケーションは端末情報を取得します。」と書かれている。
「端末情報」とはいったい何なのか?*4
「端末情報」という名称からして、Webブラウザで言うUser-Agent:のようなものだろうか。OSのバージョンや画面サイズを送信されるのならべつに困らないので送信してくれちゃってかまわない。そのように受け取る人も少なくないのではないか。
しかし、この「端末情報」はUDIDのことを指しているつもりらしい。なぜUDIDと明記しないのか。
百歩譲って、UDIDと明記したところで一般の利用者にはわからないから書かないという理屈は理解できるとしよう。しかし、なぜ「端末識別番号を送信します。」と書かないのか。
「それでもどうせわからないだろうから」と、言い訳する事業者もいるだろうが、「端末識別番号」や「UDID」でググれば、それなりに調べることもできるはず。なぜ書かないのか。
画面では、「取得します。」の続きには、「利用にはサービス利用規約に同意する必要があります」と書かれていて、「利用規約を見る」というボタンがある。
では、この「利用規約を見る」ボタンを押せば、「端末情報を取得します」というのが何であるのかが、わかるようになっているのだろうか。
このボタンを押すと、Webブラウザが開くようになっており、表示されるのは以下のWebページであった。
このページの内容をくまなく見てみたが、どこにも「端末情報」という文字列は存在しないし、「UDID」の文字列もなければ、「端末識別」という文字列もない。内容的にUDIDに関係しそうなところを探して*5も、次の記述しか存在しない。
8. プライバシー
8.1 登録ユーザーが当社に届け出る情報および当社が取得したユーザーに関する情報は、当社が別途本サービスにおいて掲示するプライバシーポリシーに従って取り扱われるものとし、ユーザーは、かかるプライバシーポリシーに基づく個人情報の取扱いにつき同意するものとします。
8.2 当社は、「プライバシーポリシー」に基づき、必要な範囲で個人情報の取扱いを業務委託先に委託することができるものとします。
セカイカメラ サービス利用規約, セカイカメラ サポートセンター
では、プライバシーポリシーに書かれているのだろうかと、ページの末尾にあるリンクを辿って、以下のページを見てみた。
ここにも、「端末情報」という文字列は存在しない。
これがUDIDのことだとわかっている人なら、以下の記述を見つけることができるかもしれない。
2. 収集する個人情報の種類
2.4 ログデータについて
当社は、ユーザーが当社のサービスの一部を利用する際に、ユーザーの投稿したコンテンツ、閲覧、タイムスタンプ、位置、ユーザーが利用するデバイス識別番号などの情報を自動的に記録する場合があります。
3. 個人情報の利用方法
(2) 当社は、当社の製品、サービス、コンテンツおよび広告の開発、提供および向上に役立てるためにも、個人情報を利用します。ログデータやクッキーを用いることでユーザーに何度も同じ情報を入力する必要を無くしたり、ユーザーに最適化された広告を提供したりします。
プライバシーポリシー, 頓智ドット株式会社
さて、これで有効な同意のために必要な説明になっているだろうか。
初回起動時に、図2のような「端末情報を取得します」という同意確認画面を出すようにしたくらいなのだから、UDID取得について同意が必要という認識はあったのだろう。それなのに、利用者にわかるような説明をしないのは、いったいなぜなのか。
ところで、「セカイカメラ」がUDIDを何の目的で使用しているかというと、それはおそらく、不良ユーザのブラックリスト化目的であろう。(「セカイカメラ」ではID・パスワードによるログイン方式をとっている。)
利用規約に違反した利用者をアカウント停止処分にしたときに、再び新しいアカウントを作りにやってくるのを拒否するためと考えられる。
しかし、そうした説明(「端末情報」の取得目的)は、利用規約にもプライバシーポリシーにも書かれていない。利用規約には以下の記述があるだけで、「端末情報」との関係は示されていない。
15. 本サービスの利用停止
15.2 同一ユーザーが複数のアカウントID登録を行い、複数のアカウントIDを取得している場合において、当該ユーザーのカウントIDのうち何れかについて、本条第1項に基づき本サービスの利用を停止された場合には、当社は当該ユーザーが有する全ての本サービスのアカウントIDにおいて、当社が同一ユーザーであると判断したものについて、直ちに利用を停止することができるものとします。
セカイカメラ サービス利用規約, セカイカメラ サポートセンター
「本当のことを書いてしまったら回避されてしまう。だから書かないのだ。」という都合なのかもしれないが、本気で回避する者は、書かれていなくたって回避するものだ。そんな都合で、善良な利用者から有効な同意なくUDIDを取得してよいことの理由にはならない。
なお、利用規約からもプライバシーポリシーからもリンクされていないが、「セカイカメラ 端末情報」でググれば到達できる以下のページには、説明がある。
セカイカメラを最初に起動すると「端末情報を取得します」というダイアログが表示されます。ここで取得される端末情報は、iPhoneのUDID(識別子)を指しています。この他に取得しているiPhoneの端末情報はありません。
UDIDはログインごとに毎回、セカイカメラのサーバに送信されます。セカイカメラでは、端末を識別するためにiPhoneのUDIDを取得しています。もしUDIDの送信をおこないたくない場合には、初回起動時にダイアログが表示されているタイミングで、iPhoneのホームボタンを押してアプリケーションを終了してください。この場合はUDIDの取得をおこないません。
誰がこのページに気付くというのだろう。*6
この会社は、「UDIDのような端末識別番号程度のものは有効な同意なしに取得してしまってかまわない」と、事態を軽視しているのかもしれない。
しかしどうだろうか。出入り禁止者のブラックリストとして使っているのであれば、これは軽微なこととは言えない。特に、ブラックリストを他のサービスや他社と共有しているとすれば問題は大きい。少なくとも、取得とその用途の事実を示した上で、当該ブラックリストを他と共有するのかしないのかを明示する義務がある*7と思う。
こういった、人と直結する番号のブラックリスト利用は、今、政府で検討されている社会保障・税番号制度でも共通する課題であり、社会保障・税番号大綱には以下の記述がある。
(略)番号制度に対し、国民の間に生じるのではないかと考え得る懸念は、次の3点にまとめられる。
(略)
○集積・集約された個人情報によって、本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念
社会保障・税番号大綱, 政府・与党社会保障改革検討本部
これは、国が国民に付番する番号が、民間事業者等でブラックリストに使われることを懸念したものであり、社会保障・税番号制度では、この懸念を払拭するために、法律で定められた目的以外での「番号」の利用を禁止することとしている。
一方、端末識別番号を無断で送信することについては、先日@ITから出た記事に、以下の記述がある。
甲南大学法科大学院教授・弁護士の園田寿氏によると、ここでいう「人」とは、「同意のない人」という意味であり、アプリに関する説明が十分かどうかという点に関わってくる。例えばあるサイトにアクセスした際、それと知らせず、自動的に別のサイトに自らのアプリ情報や
個体番号などが送信された場合は、「意図に反する動作」に該当する という。「AppLogの説明は、この点でかなり不十分であったのではないかと思う」(園田氏)。加えて、「別の新たな犯罪の手段となり得る『個体番号』を抜くという点において、『不正な指令』といえるのではないか」(園田氏)。これに基づくと、ウイルス作成・提供罪ないしは供用罪に該当する可能性があるという。
園田教授の意見では、十分な説明なく端末識別番号を「抜く」だけで、不正指令電磁的記録作成・提供・供用罪が成立する可能性があるということらしい。
私はこの意見には賛同しない*8が、そういう意見もあるということだ。
ここで、ミログの件と比較してみよう。(ミログの事案では、端末識別番号の送信が問題なのではなく、インストールされた全アプリの一覧と、他の各アプリの起動状況の送信が問題となったわけであるが。)
「app.tv」では何ら説明が存在せず論外であったことは前々回の日記に書いた通りであるが、「AppLog」では、一応の同意確認画面が出るようになっていた。初期のバージョンでは以下の図3の画面であった。
送信するものは何かというと、「AppLog(端末のアプリケーション情報等)」だという。
「AppLog」が何かなんて利用者は誰も知らない*9し、「端末のアプリケーション情報」という表現は、何を指すのか、ミログ社関係者にしかわからないだろう。
どうしてこう、「端末情報」だの「端末のアプリケーション情報」だのと、ぼやけた表現を平気で使うのだろう。
しかも、この画面には「AppLogプライバシーポリシーに同意の上」とあるが、そこにちゃんと説明されているかと思いきや、そのリンク先のプライバシーポリシーは以下のものであった。
「アプリケーション情報」の定義はどこにもないが、「アプリ情報」の定義ならある。
(2)「アプリ情報」とは、スマートフォン端末にインストールされているアプリケーションに関する情報(当該アプリケーションの起動履歴に関する情報を含む。)をいいます。
(3)「本件情報」とは、デバイス情報及びアプリ情報を総称したものをいいます。
「アプリ情報」とは「インストールされているアプリケーションに関する情報」だという。これではけっきょく何のことやらわからない。「当該アプリケーションの起動履歴に関する情報」というのも、「当該アプリケーション」というくらいなのだから、AppLogの埋め込まれたアプリのこと(それのみを指す)と思う人も少なくないだろう。
定義はともかく、続く「2. 取得する本件情報」にはちゃんと説明されているのかなと思いきや、書かれている内容は以下の通り。
2.取得する本件情報
弊社は、AppLogSDKを通して、本規約及び「AppLogSDK利用規約」に同意頂いたAppLogSDKを搭載したアプリを使用しているユーザーから、本件情報を取得致します。
「取得する本件情報」は「本件情報」だそうだ。
こんな何も説明していないものでプライバシーマークが掲げられているのは笑うしかない。
さらに言えば、この件が批判を浴びると、ミログ社はAppLogの同意確認画面を以下のように修正した。
「送信する情報は下記の通りです」という部分が書き足されたが、上から順に見ていくと、「端末の機種情報」、「端末のOS」など、送信することにプライバシー上の問題がほとんどないものから先に説明されていて、肝心のものは後ろに書かれている。
こういう事業者に共通しているのは、「利用者が誤解したまま同意ボタンを押してしまうことのないように説明しよう」という意思が無いという点である。
「このくらいで逃げられますか」というスタンスでない限りこうはならないわけで、こういうのはどうともならない。
セカイカメラは、11月2日に「サービス利用規約」を改訂して、「「端末識別情報」とその利用目的について」を記載するとともに、同日発表のお知らせにおいて、「当社では以前より、端末識別情報を利用しない形式への仕様変更を検討しております。」と、UDID利用の廃止を予告していた。
そして、11月28日にセカイカメラのアプリをアップデートし、バージョン2.11.3で「UDID(端末識別情報)を取得しないよう修正しました。」とのこと。また、サービス利用規約プライバシーポリシーを改訂して、「UDIDを取得しないよう改訂したことに伴い、端末識別情報とその利用目的についての記述を削除しました。」とのこと。
*1 ソフトウェアの脆弱性に対する事業者の対応を適正化するための活動をいろいろとしてきたが、日本の事業者はまったくどこもかしこも、利用者に向けて本当のことを書くということをしない(もしくはそれが何らかの原因でできない)。
*2 竹森さんからは、昨年の総務省の利用者視点(略)諸問題研究会の第二次提言とそれを受けて作られたJIAAの「行動ターゲティング広告ガイドライン」を示した上で、それに従わせるという話があったが、オプトアウト方式で許容されるようなWebの行動ターゲティング広告の場合についてはその程度でいいかもしれないが、オプトイン方式が求められるような情報取得では、ただ開示していればいいというものではない。
*3 iPhoneにしか対応しておらず私がiPhoneを持っていなかったため。
*4 「端末情報」が何を指すのか不明という問題の他に、「本アプリケーションは取得する」という表現が、単にアプリケーションがメモリ上に取得するだけなのか、それとも、それをインターネット経由でどこかへ送信するものなのか、それもわからないという問題点もある。(「取得」するのはアプリケーションではなく、頓知ドット社ではないのか。)
*5 「端末情報」が何かわからずに利用規約を読んでいる人が「プライバシーポリシー」に注意する必要があるかなんて気付くことができないわけだが。
*6 ちなみに、「もしUDIDの送信をおこないたくない場合には」「この場合はUDIDの取得をおこないません」と書かれていて、あたかも、UDID送信なしにアプリを利用できるかの如く書かれているが、「ホームボタンを押してアプリケーションを終了してください」とのことなので、実際にはこのアプリを利用自体ができないというのが真の意味である。
*7 現行法で法的根拠があるのかは知らないが。
*8 私は、少なくとも現時点では、端末識別番号のみの無断送信をするプログラムの作成等が、不正指令電磁的記録の罪に当たるとするは、妥当性を欠くと思う(理由はTwitterでのツイート参照)。ミログの「app.tv」事案が問題となるのは、従来のPCにおけるローカルファイル送信に相当する典型的なスパイウェアだからであって、端末識別番号(ミログの場合はANDROID_IDを用いていた)が問題の核心ではない。
*9 利用者は、AppLogなるアプリを自らダウンロードしたわけではなく、無関係な他のアプリをインストールしたときに勝手に同時にAppLogもインストールされる仕組みになっていたわけであるから、「AppLog」と言われても何のことだか全く予備知識はないままこの画面を見ることになる。
今まではほとんどの女性がメル友で科学的に利用されているでしょうか。どうして、メル友を重要視したりするなど、自由奔放だったはずです。実は業界においてはメル友で科学的といってもいいでしょう。やがては、メル友が桁違いとしている以上、興味津々と言えるかもしれま..