スマートフォンアプリと広告ビジネスにおけるプライバシー問題
スマートフォンの急速な普及によって、プライバシーに関する新たなトラブルが出てきた。「モバイル&ソーシャルWEEK」(日経BP社主催)で、「スマホアプリと広告ビジネスを巡るプライバシーとセキュリティ」と題して、産業技術総合研究所 セキュアシステム研究部門 主任研究員 高木浩光氏が講演を行った。
近年の動向
2年前の2010年、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」は第二次提言を発表した。その「ライフログ活用サービスに関する検討について」の中で、ウェブの行動ターゲティング広告について検討、業界による自主ガイドライン策定を促した。インターネット広告推進協議会(JIAA)は同年「行動ターゲティング広告ガイドライン」を改定。「透明性の確保」と「オプトアウト手段の提供」については、日本でもここ数年徹底されるようになってきた。
そして今年、スマートフォンに関するさまざまなトラブルについて報道がなされたことから、急遽1月から「スマートフォンを経由した利用者情報の取扱いに関するWG」が開かれ、6月に「スマートフォン プライバシー イニシアティブ」という報告書案を発表した。
WGが出した2つの結論
「スマートフォンを経由した利用者情報の取扱いに関するWG」は今年1月から6月までの間に8回開催されており、主に2つの結論が出た。ひとつは基本的に「オプトイン方式(事前にユーザーの同意を得ること)」という方向性。スマートフォンの電話帳、GPSによる位置情報、通話内容や履歴などについては、個別の情報に関する同意を取得するとしている。
もうひとつ、「契約者ID」「端末ID」については、個人情報に準じた扱いが適切という方針。これらのIDを「GPS位置情報や電話帳と同列に位置付けていることは画期的」と高木氏は評価している。
オプトインの3つのレベル
一言で「同意」といってもいろいろなレベルがある。高木氏は、オプトイン方式として以下の3つを挙げている。
「情報取得手段ごとに相当な同意確認基準の提案」
(産業技術総合研究所 情報セキュリティ研究センター 高木浩光氏)より
高木氏は、総務省がいうところの「個別に同意を求めよ」というのはこの「個別的選択オプトイン」を求めなさいという意味だと思うと説明。その具体例としてFacebookのアプリを挙げ、「友達を探す機能を使うとき、“電話帳をアップロードして友達を探しますか”という確認画面が出てくる。こういった使い方をすることが望ましく、求められている」と語った。
ウェブではブラウザがやってくれた、アプリでは開発者が自分で考える
しかし、WGの資料では、アプリ事業者から「すべてオプトインとするのは困る」という声が寄せられている。また、「すぐオプトアウトできるようになっていればよいのでは。オプトアウトであるからまったく許されないという制限はおかしい」という主張もなされている。
オプトインかオプトアウトか。この問題が浮上した背景には、ウェブからスマホアプリへの移行がある。ウェブでは少数のブラウザベンダーによって標準が確立しており、ブラウザの仕様にもとづいてセキュリティにかかわる機能が制限されている。情報収集する場合、利用者が自発的に入力した情報(ID・パスワード、住所・氏名)に限られ、「端末ID」にあたるようなものは徹底排除されてきた。結果として、コンテンツプロバイダーは何も考えなくてもよかった。
一方、スマホアプリはPCのようにワームやウイルスはつくれない。大事なところは禁止されているので、比較的ほいほいインストールされている。しかし、電話帳を盗む、履歴をとられるといった新しい問題が出てきた。これらの問題については、個々のアプリ開発者の裁量にかかっているため、問題の解決が難しくなっているというのが現状のようだ。
