The requirements for the data protection of smartphone users : Ensuring a safe and secure usage environment
2012 Volume 55 Issue 9 Pages 629-637
Details
2012 Volume 55 Issue 9 Pages 629-637
スマートフォンの利用者数が急激に増加する一方で,利用者が不安を覚える問題の発生も増加している。スマートフォンを介してどのような情報が取得され利用されているのか,利用者が認識することができないまま,不透明な情報の取扱環境が存在する。不正アプリによる,スマートフォン内部に記録されているさまざまな個人情報の不正取得および外部送信が問題となる事件が発生している。そこで,本稿では,現行の個人情報保護法に照らして,スマートフォンを介して取得し利用される個人情報の取扱いにあたって,具体的にどのような対応が求められるのか整理をした上で,スマートフォンを安全・安心に利用するにあたっての指針として,セキュリティとプライバシー・個人情報保護の両面からの取り組みを紹介する。
スマートフォンの利用者数の急速な増加1)は目覚ましいものがあり,その増加率は昨年1年間で倍増との調査結果注1)もある。スマートフォンのメリットは,フィーチャーフォンとは異なり,パソコンの利用環境に近い情報処理能力を有し,利用者が自らが利用する機能やアプリケーションを都合に合わせて取捨選択することができる点にある。なお,「フィーチャーフォン」とは,スマートフォンに該当しない既存の多機能携帯電話で「ガラパゴス携帯」とも呼ばれる既存の携帯電話端末のことである。野村総合研究所の北俊一上級コンサルタントが,日本国内における携帯電話の動向をガラパゴスという用語を用いて表現したことが,現在の国内における携帯電話市場の状況を的確に表した表現として広く用いられるようになったものである。
しかし,以前は小型の携帯端末と言えば,ウォークマンをはじめとして日本製の装置が世界を席巻していたが,スマートフォンについては日本製品は後塵を拝している感は否めない。スマートフォンのOSも,アップル(iOS),グーグル(Android),マイクロソフト(Windows Phone+Windows Mobile),Research In Motion(BlackBerry)のいずれかの事業者が提供するプラットフォームを利用せざるを得ない状況にある。
スマートフォンをめぐる問題は,契約や通信料金(とりわけパケット代)をめぐる問題,機器の操作や利用環境をめぐる問題など,それを利用するにあたっての問題,ならびに,個人の権利利益侵害やセキュリティの問題など,その利用に伴う問題に分けられる。つまり,スマートフォンの利用をめぐる問題(トラブル)は,新たな法律問題にとどまらず従来からの通信サービスの利用と同様の問題も多い。
したがって,法的課題を論ずる以前の問題として,そもそもスマートフォンを利用するにあたって利用者が最低限注意すべきことがある。
例えば,スマートフォンは,「携帯端末」ではあるが「携帯電話」とは異なる特性を有するという認識を持つ必要がある。スマートフォンは携帯電話と同様に通信や通話をする装置ではあるものの,携帯電話よりはむしろパソコンに近い。通信路(通信の方法)についても,携帯電話事業者が提供するネットワークにとどまらず,回線設置事業者や個別の基地局を介した無線LANによる通信も可能である。よって,電話を掛けることが主な利用目的であるならば,スマートフォンは必ずしも必要がない場合もある。しかし,携帯電話事業者も,スマートフォンを積極的に売り込む営業戦略を展開しており,本来,スマートフォンが必要のない人たちにまでその利用が拡大していることも,新たな問題を発生させる原因にもなっている。
表示される注意事項を読んでいない,何でも同意またはOKのボタンを押してしまうなど,本来守るべき基本的かつ最低限必要な事柄が行われていないことによって生ずる問題も多い。
単に,利用者がスマートフォンの特性や問題を「理解していない」,「理解することができない」ことによる問題だけでなく,利用者には「理解できないようになっている」ことや「理解しづらい」ことに起因する問題もある。
ネットワークに関するさまざまなサービスにおいては,実際にどのように情報が取り扱われ,どのように機能が動作しているのか,目に見えない部分も多いことから,違法・不正な情報処理がなされていても利用者が認識できないことも多い。
パケット通信のパケット量は,通信を行っている際には感覚的にどの程度の通信量があるのか把握することが困難であり,また,スマートフォンは自動的に通信を行っているため,予想以上にパケットを消費していることがある。携帯電話会社の交換機が大量の通信量によってダウンし,携帯電話の利用に支障が生じた事例が発生したことは記憶に新しい。大量のパケットを消費する通信を制限すれば問題は解決するが,そのような通信を制御したりサービスを制限することは,自由なインターネット環境の確保に反するものとして規制される方向にある。これを,「ネットワーク中立性」2)という。
さらに,スマートフォンの長所は,さまざまなアプリケーションの大変便利な機能を自分の好みに合わせて利用することができる点が醍醐味である。ところが,便利な機能に乗じて,不正なアプリによって不正な情報の取得が横行していることは後述の通りである。利用者にとっては,どのような情報が取り扱われているのか,実際に把握することが困難であり,具体的に,どのようなセキュリティ対策を実施しなければならないのか,未だ十分に理解されていない側面が多いのは事実であろう。
スマートフォンの利用者が不安を覚える問題の1つとして,不正アプリの問題がある。最近の動向3)は,スマートフォン内部に記録されているさまざまな個人情報の不正取得および外部送信,広告の強制表示,有料SMSの強制送信等であり,また不正に金銭を要求する「ワンクリック詐欺」型のアプリも出現しているとされる。
大きく報道がなされた事例を列挙すると,「カレログ」(恋愛支援アプリと称し,位置情報,バッテリー残量,アプリ一覧,通話記録の閲覧が可能),「アップティービー」(端末固有番号,アプリ一覧,アプリ起動歴などの情報を無断で収集し送信),金魚すくいゲーム(位置情報を米国の広告会社に送信するアプリ。150万人が利用),「ビューン」(電子書籍閲覧ソフトが,利用者が読んだ雑誌などの内容やページごとの閲覧時間を記録し送信),iPhone 用のアプリケーション「マガストア」(閲覧履歴を送信),「ANDROIDOS_FAKETIMER(フェイクタイマー)」(画面に金銭請求を促すポップアップを表示),「the Movie」(スマートフォン利用者の個人情報などを外部送信),電池の寿命を延ばすと銘打って情報を窃取する,いわゆる「電池長持ち」アプリ(「Android.Ecobatry」「Android.Sumzand」「Android.Ackposts」「わんこアプリ発見~w」)なども登場している。
これら不正アプリの中には,スマートフォン内部に記録されている個人情報を不正に取得するものもあるが,当該行為は「不正」ではなく「違法」行為として処罰の対象にもなり得る。平成23年7月14日に施行された「情報処理の高度化等に対処するための刑法等の一部を改正する法律」(平成23年6月24日公布)において,不正指令電磁的記録に関する罪(いわゆる「ウイルス作成罪」)が定められた。不正アプリの動作が,正当な理由がないのに,人の電子計算機における実行の用に供する目的で,人が電子計算機を使用するに際してその意図に沿うべき動作をさせず,またはその意図に反する動作をさせるべき不正な指令を与える電磁的記録等を作成または提供した場合等に該当する場合には,不正アプリの供用がウイルス作成罪にあたる場合もあるといえよう。
スマートフォンを介して取り扱われる情報が「個人情報」に該当する場合であって,かつ,その情報を取り扱う者が,「個人情報取扱事業者」に該当する場合は,「個人情報の保護に関する法律」(個人情報保護法)(平成15年法律第57号)が定める義務が適用される。
個人情報保護法の基本理念は,「個人情報は,個人の人格尊重の理念の下に慎重に取り扱われるべきものであることにかんがみ,その適正な取扱いが図られなければならない。(第3条)」と謳っており,個人情報保護法の義務規定が適用されない者であっても,個人情報の適正な取扱いを行わなければならないことはいうまでもない。
また,個人情報取扱事業者が電気通信事業法の定める電気通信事業者にあたる場合は,「電気通信事業における個人情報保護に関するガイドライン(平成16年総務省告示第695号)」も遵守する必要がある。
その他,総務省「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」の第二次提言(http://www.soumu.go.jp/menu_news/s-news/02kiban08_02000041.html)が2010年(平成22年)5月に発表され,「ライフログ活用サービスに関する配慮原則」が示されていることから,いわゆるビッグデータの活用や行動ターゲティング広告等において個人情報等を利用する場合には,当該配慮原則に留意した上での取扱いが求められる。
以上を踏まえ,現行の個人情報保護法に照らして,スマートフォンを介して取得し利用される個人情報の取扱いにあたって,具体的にどのような対応が求められるのか私論を表1に示しておきたい。
| 1)「アプリの機能に応じた最低限度の個人情報の取扱い」 |
|---|
| アプリの機能等に応じた利用目的の範囲内における個人情報の取得(アプリケーションの機能・動作のために必要最低限の個人情報の取扱い)(法15条) |
| 2)「アプリによる取得される個人情報の取得と透明性の確保」 |
| 適正な取得の徹底(アプリにおいてどのような個人情報が取得され利用されるのか,透明性確保すること)(法17条) |
| 3)「わかりやすい表示」 |
| 表示画面による個人情報の利用目的の明示(取得される個人情報の利用目的の明示の徹底。第三者提供も利用目的に含まれることを徹底。抽象的な利用目的ではなく,取得される個人情報の種類に応じて具体的な利用目的が示されていること)(法16条) |
| 4)「適切なプライバシーポリシーの公表」 |
| プライバシーポリシーにおける個人情報の取扱状況の適正な表示の担保(個人情報の取扱いについて適正な表示が行われていること。表示内容と実際の個人情報の取扱いの整合性が保たれていること)(法18条・法24条) |
| 5)「個人情報の取扱い状況の透明性の確保」 |
| 個人情報の取扱状況の明確化(第三者提供,共同利用の状況を明らかにすること)(法23条) |
| 6)「情報セキュリティ対策」 |
| 安全管理措置義務(法19条から22条) |
| 7)「利用者の本人関与」 |
| 情報の取得停止や利用停止等の利用者関与の手段の提供(法25条から30条) |
| 8)「苦情相談」 |
| 端末やネットワークを介した苦情相談だけでなく,苦情・質問に適切かつ迅速に対応できる体制の整備(法31条) |
スマートフォンを安全・安心に利用するにあたっては,利用者情報が適切に取り扱われ,かつ,セキュリティが確保された上で利用することが前提となる。
スマートフォンの普及に伴い,職場においても従業員が利用する携帯端末を業務において積極的に利用することを目指す,BYOD(Bring Your Own Device,業務における私物利用)が提唱されている。そもそも,情報セキュリティを確保する上で携帯端末の管理は情報漏洩の危険性が高いことから,従来からその利用にあたっては管理の難しさが指摘されてきた。その点を踏まえて,情報セキュリティを確保し適切に利用するための方策を慎重に検討した上で,業務における私物スマートフォンを利用することが求められる。
セキュリティに関する具体的な対応策は,総務省「スマートフォン・クラウドセキュリティ研究会」の最終報告として,「スマートフォンを安心して利用するために実施されるべき方策」(http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000020.html)(平成24年6月29日)が公表されている。
研究会では,スマートフォンの情報セキュリティレベルの向上,特にマルウェアや外部からの攻撃に対処するために早急に講ずべき対策として,携帯電話事業者および端末製造事業者が導入を検討すべき情報セキュリティ対策,ならびに利用者への普及啓発の内容や周知の方法について,有効かつ現実に即した方策を,昨年12月に中間報告としてとりまとめが行われている。その後,利用者から実際の被害に関する相談・報告が寄せられるなど,脅威が現実のものとなってきたこともあり,スマートフォンからのクラウド利用に付随する課題やその対策,スマートフォンを安全に利用するためにクラウドを活用する方策を含めて,最終報告としてとりまとめがなされている。
最終報告では,「スマートフォンを安心して利用するために実施されるべき方策」が公表されるとともに,スマートフォンの特性に応じたセキュリティ対策のあり方について検討がなされ,盗難・紛失対策や他人による不正利用防止対策など,従来の携帯電話と同様の対策が必要であることから,利用者が最低限実施すべき情報セキュリティ対策について,「スマートフォン情報セキュリティ3か条」(表2)が公表されている。
| 1.OS(基本ソフト)を更新 |
|---|
| スマートフォンは,OSの更新(アップデート)が必要です。古いOSを使っていると,ウイルス感染の危険性が高くなります。更新の通知が来たら,インストールしましょう。 |
| 2.ウイルス対策ソフトの利用を確認 |
| ウイルスの混入したアプリケーションが発見されています。スマートフォンでは,携帯電話会社などによってモデルに応じたウイルス対策ソフトが提供されています。ウイルス対策ソフトの利用については,携帯電話会社などに確認しましょう。 |
| 3.アプリケーションの入手に注意 |
| アプリケーションの事前審査を十分に行っていないアプリケーション提供サイト(アプリケーションの入手元)では,ウイルスの混入したアプリケーションが発見される例があります。OS提供事業者や携帯電話会社などが安全性の審査を行っているアプリケーション提供サイトを利用するようにしましょう。インストールの際にはアプリケーションの機能や利用条件に注意しましょう。 |
「スマートフォンを安心して利用するために実施されるべき方策」では,スマートフォンを取り巻く状況について,昨今のスマートフォンの急激な普及に伴いさまざまな問題が生じていることをはじめとして,スマートフォンの特性に起因する問題を確認し,携帯電話とは異なるスマートフォンの利用に関する利便性や利用者の意識について現状分析を行っている。スマートフォンの利用は,ここ数年普及が始まったものである。具体的にどのようなセキュリティ上の問題があるのか,本報告書以前には具体的な検討が行われたことはなかったことから,そもそも,スマートフォンの利用に伴いいかなる問題が生ずるのか確認をすることは重要といえる。
スマートフォンに関わる新たな問題に対応するためには,個人(利用者),事業者および政府による対応が必要となる。しかし,利用者自身が講ずることができる情報セキュリティ対策は限られており,すべての対策を実施することは困難である。そのため,利用者には「スマートフォン情報セキュリティ3か条」に基づく取り組みを促すものの,スマートフォンにおける情報セキュリティを確保するための取り組みは,第一義的には事業者による取り組みが実施され,その推進と枠組みの策定および課題の検討に関し政府が果たすべき役割が明確になっていることが必要といえる。
さらに,スマートフォンはネットワークに関するさまざまなサービスを利用できるだけでなく,ネットワークを介してクラウド・サービス注2)など新たなサービスを利用することができる点も大きなメリットである。しかし,そのような大きなメリットには何らかの脅威や課題が存在することも多い。実際にどのような課題が存在するのか,クラウドを利用することに伴う脅威はどのようなものがあるのか,詳細な分析がなされたことは,スマートフォンを利用した今後のクラウド・サービスの活用を促進する上でも大きな意義があるといえる。
スマートフォンは,個人情報の取扱いに関して大量の情報の取得ツールであるだけでなく,日常的に携帯するため個人のプライバシーにも直結する情報が取得されている。
利用者情報は,パソコンを通じて取得される情報とは異なり,携帯端末は本人が「携帯」して利用することを前提としているため,利用者の通信履歴にとどまらず行動履歴や位置情報等の詳細な情報がリアルタイムで取得される。スマートフォンで取得できる情報がそのように多岐にわたることや,その利用および発展の可能性が携帯電話とは比較にならないほど高く自由であることから,スマートフォンの利用者およびサービスを提供する事業者や関係者が,より積極的な情報(個人情報および非個人情報)の取扱いを目指すのは当然のことといえる。
しかし,スマートフォンにおけるそれらの情報の取扱いは,実際にどのような情報が取得され利用されているのか,情報の取扱状況が可視化されているわけではない。そのため,ブラックボックス内における情報の取扱いに乗じて,利用者が知らないうちにさまざまな情報が取得され利用されかねない状況が存在している。
利用者側にも自覚を促し,利用するにあたって最低限注意すべき事項は前述の通りであるが,不正アプリを介した不正な情報取得などに利用者個人が対抗できるはずがない。事業者側にとっても,不透明な情報の取扱いが行われることが,結果的に安全・安心なスマートフォンの利用環境を阻害することとなり,スマートフォンの発展そのものに悪影響を及ぼしかねないことが懸念されている。そのような状況を踏まえて,総務省に「スマートフォンを経由した利用者情報の取扱いに関するWG」が設置され,2012年1月から検討が開始された。
研究会の成果は,「スマートフォン プライバシー イニシアティブ -利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-」(http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000087.html)として,2012年8月7日に公表されている。
この報告書は,スマートフォンを経由した利用者情報の取扱いに関する現状,取り組み,課題認識と具体的対応が取りまとめられており,利用者自身がどのような点に注意すべきなのかを示した「スマートフォン・プライバシー・ガイド」(表3),事業者に対しては具体的な指針として「スマートフォン利用者情報取扱指針」(図1)が公表されている。
| 1 スマートフォンのサービス構造を知りましょう |
|---|
|
| 2 アプリの信頼性に関する情報を自ら入手し理解するように努めましょう |
|
| 3 利用者情報の許諾画面等を確認しましょう |
|
総務省作成資料。総務省「スマートフォン プライバシー イニシアティブ -利用者情報の適正な取扱いとリテラシー向上による新時代イノベーション-」(http://www.soumu.go.jp/menu_news/s-news/01kiban08_02000087.html)
「スマートフォン・プライバシー・イニシアティブ」では,スマートフォンの現状とそれに伴う問題については,前述の情報セキュリティに関する報告書同様に,スマートフォンの急激な普及ならびに従来の携帯電話とは異なるさまざまな特性を踏まえた上での検討が行われている。
情報セキュリティ対策と個人情報保護対策が異なる点として,情報セキュリティは保護の対象となる情報の機密性,完全性,可用性を確保することがその目的である。一方,個人情報保護をめぐる問題においては,情報セキュリティの確保は,情報の適切な安全管理措置を実施する対策という観点からは情報セキュリティ対策と同様ではあるが,情報の取扱いをめぐるさまざまな課題への対応,とりわけ,情報を取得してから利用・管理・保存・廃棄する一連の流れ(ライフサイクル)に沿って,情報の適正な取扱いに求められる対応を検討することが,その取り組みの内容といえる。つまり,情報セキュリティ対策を実施さえすれば個人情報保護への対応も完了するという考えは誤りである。情報セキュリティ対策は個人情報保護のための対応の1つの要素に過ぎない。
以上の点を踏まえて,「スマートフォン・プライバシー・イニシアティブ」では,スマートフォンを介して利用される利用者情報にはどのような種類の情報があるのかを分析した上で,その種類と性質に応じて具体的にどのような問題が生じる可能性があるのか検討を行っている。
とりわけ,スマートフォンにおける利用者情報の取扱いには不透明な部分が多いことはすでに述べたとおりである。したがって,実際に取得されている情報の種類や内容については利用者にとって認識できないことが多いことから,本報告書において具体的にどのような情報が取得され利用されているのか詳細な分析を行った意義は大きい。
個人情報保護制度についても国内外においてさまざまな取り組みがなされており,その制度全体について日々新たな対策が検討され実施されていることから大変複雑な状況となっている。そのようなわが国および諸外国における現状を詳細に分析していることも,今後のスマートフォンにおける利用者情報の取扱いにとどまらず,個人情報保護とりわけ新たなサービスにおける個人情報の取扱いに伴う課題および対応を分析する上でも,この検討結果を活用することが期待される。
個人情報の取扱いについても,個人情報保護法の解釈を踏まえ利用者情報の性質および分類に応じた個人情報の取扱いにあたって遵守しなければならない義務が分析されている。スマートフォンにおける利用者情報の取扱いについて,個人情報の取扱いという観点からは個人情報取扱事業者が遵守すべき義務と基本的には異なる対応が必要ではないとの前提に基づき,「スマートフォン利用者情報取扱指針」の内容は,本来,個人情報取扱事業者が遵守すべき事項を確認する内容となっている。
| (1)スマートフォンにおける利用者情報の適正な取扱いの在り方 |
|---|
|
| (2)利用者に対する情報提供・周知等の在り方 |
| スマートフォンの一層の普及が見込まれる中で,広く青少年から高齢者までの幅広い利用者が安全・安心に利用できる環境を整備するためには,利用者のリテラシー向上のための環境作りの方策について整理 |
| (3)国際的な連携の推進 |
| スマートフォンにおけるプライバシー問題が諸外国においても政策課題となっており,こうした課題の解決には外国事業者を含む多くの関係事業者の連携が極めて重要になっていることから,国際的な連携の推進の在り方について整理 |
スマートフォンは,サービスの構造も仕組みも従来の携帯電話(フィーチャーフォン)とは異なるがゆえに,不正アプリによる個人情報の不正取得等の新たな問題が生じていることから,利用者・事業者双方とも,スマートフォンの特性に応じた対応・対策が求められている。
しかし,スマートフォンを利用することで非常に詳細な情報が利用者から取得され,取得される情報も契約者の個人情報から通信履歴,位置情報に至るまで多岐にわたる。利用者にとっては利用できるアプリの選択肢の幅が広いことから便利さを実感する一方で,OSの選択肢は限られているため利用者が選択できるプラットフォームは限られており,アプリによってどのような情報が取得され利用されているのかを把握・認識できる機会も少ない。つまり,スマートフォン利用者に関する情報の取扱いの観点からは事業者側の選択肢が広く,どのような情報を取得し利用するのかは事業者の裁量に委ねられている一方で,利用者側の選択肢や利用者が知りうる情報は限られているのが現状である。ところが,数多くのアプリから利用者が自分の好みに合わせて必要なアプリをダウンロードし利用者の希望する利用環境を実現できるがゆえに,利用者情報の取扱いに関し利用者が限られた範囲でしか関与できないことを,多くの利用者が認識することなくスマートフォンの利便性に浸っている状況があるといえよう。
そのような不均衡な情報の取扱いが,結果的に利用者に不利な状況を招いている。これは,スマートフォンに限らずネットワーク関連のさまざまなサービスに共通している問題ではあるものの,スマートフォンを介して取得される情報の多くが,利用者の日常生活と密接に関わる情報であるためその影響は大きい。換言すれば,情報の非対称性が極めて顕著に現れているのがスマートフォンにおける利用者とサービスを提供する事業者との関係といえる。
スマートフォンや携帯端末をはじめとする電気機器製品の国際市場におけるわが国の地位低下は憂慮せざるを得ない状況となっている。ネットワークに関連するサービスに対する法執行の状況についても,国境を越えた情報流通がネットワークにおいては日々当然のように行われている現状において,諸外国には設置されている個人情報やプライバシーの問題を統一的に国内法を執行し国際的な越境協力執行に対応するプライバシーコミッショナーのような機関がないことは,ハード面における地位低下同様に,国際的な法執行の共助においても地位低下を招いていることを認識する必要がある。
日本国内において提供されている各種さまざまな有力なサービスの多くが国外の事業者によって提供され,国際的にもそのような事業者等が主導権を握っている現状においては,国際的に通用する基準に基づき,諸外国の法執行機関とも協力し適切な法執行を行うことが不可欠である。
「スマートフォン・プライバシー・イニシアティブ」は,スマートフォンを対象とした利用者情報の取扱いに関する指針として,諸外国における対応状況と比較しても先駆的な取り組みであると評価できる。スマートフォンを経由した利用者情報の適正な取扱いを確保するための国内における対応が,諸外国における取り組みに先駆けて進んでいる現状において,今後は,この分野の問題の取り組みにおいて国際的にイニシアティブをとることができるかが問われているといえよう。
