財務省と日本銀行、国立印刷局が、近く公式スマホアプリを国民に提供するという。
当然、IMEI等の端末識別番号を送信するなどといったことのない品行方正なアプリが作られるはずだと思うが、しかしそれは、現時点では、おそらく担当者の意識に依存した暗黙の期待でしかないだろう。
今のところ国の機関が提供しているスマホアプリには、内閣広報室による「首相官邸アプリ」くらいしかないようだが、今後、行政機関や地方公共団体による公式スマホアプリが続々と登場するようになるだろう。
そのとき、総務省の「スマートフォン・プライバシー・イニシアティブ」はどういう位置付けになるのか。これは、あくまでも民間事業者の自主的な取組みを提言するものであり、国の機関や自治体は、事業者を指導する立場としてこそ登場するものの、自らを規律する対象としては何ら書かれていない。
そんな中、京都市が「京都市スマートフォンアプリケーション活用ガイドライン」を策定した。
これは、京都市(市役所)が開発する(開発を事業者に委託する)スマホアプリについて、自らを規律するガイドライン(市の情報化推進室が他の部局に義務付けるもの)であり、以下の点を義務付けている。
総務省の「スマートフォン・プライバシー・イニシアティブ」は、電話帳データの取得を禁止しているわけではなく、利用者の同意を得ることを求めているにすぎないのだが、京都市の「利用者情報を取得する場合の判断基準」は、これを「原則取得不可」としている。これは、民間事業者が基本的に自由であるべきとされるのと対照に、地方公共団体はよりいっそうの配慮が求められると、京都市が独自に判断した結果であろう。
これは素晴らしい取り組みであり、こういうものが自発的に登場したことに新鮮さすら覚える。同時に策定されている「ソーシャルメディアガイドライン」は珍しくもないが、スマホアプリのポリシーが自発的に登場するとは、正直驚きである。
この驚きは、過去13年、Webサイトのポリシーがちっともろくなものにならなかったのと対照的だから感じるのだろう。アクセシビリティのガイドラインは普及したが、プライバシーポリシーやセキュリティポリシーにはろくなものがない。
それはそのはずで、セキュリティポリシーといっても、脆弱性を生まない開発基準を明文化するのは簡単なことではなかったし、プライバシーポリシーといっても、Webサイトにおいては、第三者cookieの扱いくらい*4しか問題となり得ず、国や自治体のサイトがアドネットワークの広告を貼ることもないため、策定すべきポリシーがあまりないという状況だったからだろう。
それが、スマホアプリを提供するとなると話が違ってくる。スマホアプリは、Webとは異なり、電話帳データを読んだり端末固有IDを読めたり各種履歴を読めたりと、セキュリティ上の制限が緩い。Webサイトの提供では、脆弱性のないよう注意する必要があってもプライバシーに配慮する必要性がほとんどなかったのに対して、スマホアプリの提供では、プライバシーへの配慮について自ら責任を負うことになる。
日本の組織はこれまでずっと、プライバシーに関するポリシーを明確にして示すということに慣れておらず、個人情報保護法における「個人情報」に該当するかという観点でしか物事を考えられない体になってしまっているが、 今後、サービスの提供手段がWebからスマホアプリへとシフトしていくにつれ、否応なしに自分の頭で考えてプライバシーポリシーを策定する必然に迫られることになるだろう。