<前の日記(2013年04月04日) 次の日記(2013年05月07日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2493   昨日: 2857

2013年04月29日

国の機関・地方公共団体にスマホアプリポリシーが求められる

財務省と日本銀行、国立印刷局が、近く公式スマホアプリを国民に提供するという。

当然、IMEI等の端末識別番号を送信するなどといったことのない品行方正なアプリが作られるはずだと思うが、しかしそれは、現時点では、おそらく担当者の意識に依存した暗黙の期待でしかないだろう。

今のところ国の機関が提供しているスマホアプリには、内閣広報室による「首相官邸アプリ」くらいしかないようだが、今後、行政機関や地方公共団体による公式スマホアプリが続々と登場するようになるだろう。

そのとき、総務省の「スマートフォン・プライバシー・イニシアティブ」はどういう位置付けになるのか。これは、あくまでも民間事業者の自主的な取組みを提言するものであり、国の機関や自治体は、事業者を指導する立場としてこそ登場するものの、自らを規律する対象としては何ら書かれていない。

そんな中、京都市が「京都市スマートフォンアプリケーション活用ガイドライン」を策定した。

これは、京都市(市役所)が開発する(開発を事業者に委託する)スマホアプリについて、自らを規律するガイドライン(市の情報化推進室が他の部局に義務付けるもの)であり、以下の点を義務付けている。

  • 「利用者情報を取得する場合の判断基準」に従うこととしている。
    • 電話帳データの取得、通話履歴の取得、ウェブページ上の行動履歴の取得を「原則取得不可」とする。
    • 端末固有IDの取得、アプリの利用履歴の取得については「他に方法がなく安全を確保*1できる場合は取得可能*2」とする。
  • 取得した利用者情報について「原則、第三者提供してはいけない」としている。
  • アプリケーション・プライバシーポリシーを作成し掲載することとしている。
  • 利用者情報を取得する場合には同意を得ること*3としている。

総務省の「スマートフォン・プライバシー・イニシアティブ」は、電話帳データの取得を禁止しているわけではなく、利用者の同意を得ることを求めているにすぎないのだが、京都市の「利用者情報を取得する場合の判断基準」は、これを「原則取得不可」としている。これは、民間事業者が基本的に自由であるべきとされるのと対照に、地方公共団体はよりいっそうの配慮が求められると、京都市が独自に判断した結果であろう。

これは素晴らしい取り組みであり、こういうものが自発的に登場したことに新鮮さすら覚える。同時に策定されている「ソーシャルメディアガイドライン」は珍しくもないが、スマホアプリのポリシーが自発的に登場するとは、正直驚きである。

この驚きは、過去13年、Webサイトのポリシーがちっともろくなものにならなかったのと対照的だから感じるのだろう。アクセシビリティのガイドラインは普及したが、プライバシーポリシーやセキュリティポリシーにはろくなものがない。

それはそのはずで、セキュリティポリシーといっても、脆弱性を生まない開発基準を明文化するのは簡単なことではなかったし、プライバシーポリシーといっても、Webサイトにおいては、第三者cookieの扱いくらい*4しか問題となり得ず、国や自治体のサイトがアドネットワークの広告を貼ることもないため、策定すべきポリシーがあまりないという状況だったからだろう。

それが、スマホアプリを提供するとなると話が違ってくる。スマホアプリは、Webとは異なり、電話帳データを読んだり端末固有IDを読めたり各種履歴を読めたりと、セキュリティ上の制限が緩い。Webサイトの提供では、脆弱性のないよう注意する必要があってもプライバシーに配慮する必要性がほとんどなかったのに対して、スマホアプリの提供では、プライバシーへの配慮について自ら責任を負うことになる。

日本の組織はこれまでずっと、プライバシーに関するポリシーを明確にして示すということに慣れておらず、個人情報保護法における「個人情報」に該当するかという観点でしか物事を考えられない体になってしまっているが、 今後、サービスの提供手段がWebからスマホアプリへとシフトしていくにつれ、否応なしに自分の頭で考えてプライバシーポリシーを策定する必然に迫られることになるだろう。

*1 「安全を確保」が条件とされているあたり、「端末固有ID」の取得を控えるべき理由がここでも勘違いされているようで残念である。

*2 なぜ「ウェブページ上の行動履歴の取得」が「原則取得不可」なのに、アプリの利用履歴が「他に方法がなく安全を確保できる場合は取得可能」なのか疑問がある。

*3 しかし、同意を得る手段が、「『ダウンロード前』、『インストール前』又は『初回起動時』」にポリシーを表示して同意を得よとされており、機能を利用する段階で個別に同意を取る方法を示していないことは残念である。

*4 他に、アクセス解析ツールやその他のWebガジェットの埋め込みの問題もあるのだが。

検索

<前の日記(2013年04月04日) 次の日記(2013年05月07日)> 最新 編集

最近のタイトル

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
<前の日記(2013年04月04日) 次の日記(2013年05月07日)> 最新 編集