アプリを利用するのに必要な場合はもちろん、よりよいアプリ開発にも有益な情報となるユーザーの端末情報。その端末情報を開発したアプリで取得するのは一般的な技術であり、多くの開発者が活用している技術だろう。では、利用者の端末情報はアプリを通じてどこまで取得していいものなのか。あれもこれもと取得しすぎると悪意のあるアプリとされてしまうだけに、開発者としてはデリケートに対応しなければならない問題といえる。

 Android Developer Loungeでも、この情報取得の行き過ぎた実例にもとづく問題提起のトピックが立てられた。

アプリが端末から取得する情報を見ると、「これって必要なの?」という許可(パーミッション)の種類が多く見られることがままあります。
ちょっと前にKDDI研究所が調べた結果では、悪意があると思われるスパイウエアではかなりの情報を取得していることが判明しています。
また最近も、「広告を表示するのにそこまで細かい情報が必要なのか」と疑うほどに、取得許可をこれでもかと求めるアプリに疑問視する声が上がっています。
ではそんなアプリはインストールしなければいいじゃないか、というのも難しく、ユーザー側は気にせず(あるいは目を瞑って)許可している面もあるでしょう。

最近各所で問題が指摘されているアプリの端末情報取得につきまして、
・現状についてどう感じますか?
・ユーザーはどうすべき?
・開発者は何をすべき?
・業界として何が必要だと思いますか?

みなさんのご意見やご感想を聞かせてくださいね。

yoshitakさん「アプリの端末情報取得、現状をどう思う?」

 このトピックには、ユーザーへの合意やリテラシーの問題など、開発者とユーザー双方の視点による意見や感想が投稿された。また、重要な問題でありながらいまだに明確なルールがないという背景からか、注目すべきポイントを分けて詳しく説明している投稿もいくつか見られた。

コンピューターリテラシーを養う、すなわちコンピューター教育を小学校から義務づけるぐらいの推進が必要かと思います。「そのメッセージに何の意味があるのか、その裏側で動いているものは何なのか」。それを知っている/知らないの差は非常に大きかったりしますからね。
shotloungeさん「アプリの端末情報取得、現状をどう思う?」

大きなトレンドの話と、一部の悪質なマルウェアの話、あるいはグレーゾーンの話は、別々に考えた方が良いと思ってます。

大きなトレンドとしては、スマートフォンで利用者に関する情報を取得して、サービスの価値に結びつける、という方向にあると思います。Googleの広告表示は、位置情報や検索履歴などを受けて変動していますし、「チェックイン」させるサービスは、利用者の位置情報や行動パターンをユーザーの許可のもと収集している訳で、そのうちお店のクーポンなどのマーケティングに結びついていくと思います。「アカウント情報や連絡先」の情報からソーシャルグラフを辿り、「友達候補」を表示するサービスもありますよね。これらは、許容範囲にあるというコンセンサスは得られていると思います。

(中略)

悪質なアプリは、論外です。利用者が意図しないような各種情報を収集するだけの悪質なアプリは、アンチウイルスなり、Android Marketからの抹消なりで対処していくことになるでしょう。

議論が難しいのは、グレーゾーンです。技術面、モラル面でのコンセンサスを取りつつ、進んでいく、ということになると思います。ちょっと専門的ですが、以下のログも参考になるかもです。

高木浩光氏による行動トラッキングの歴史と境界線についての備忘録

「グレーゾーン」の話は難しいのですが、私が、「これは重要だ」と思ったのは"Androbook"の作者、村上福之さんのBlogで見た意見です。

applog検出ツールのソースコード公開します。

以下、引用します。
一社のために「Androidアプリは危険」だというムードが世に流れるのが怖いです。本当に怖いです。Androidのために長い時間をかけてきた、多くの会社や開発者や仲間たちの努力とノウハウが無駄になることが悲しいです。彼らの多くは、androidコミュニティのために、好奇心と情熱を持って貢献しており、無償で何年も貢献していただいている優秀な技術者も多いです。Androbookなどはその典型です。

これが、開発者たちの気持ちなんだろう、と思います。

hoshiさん「アプリの端末情報取得、現状をどう思う?」

リテラシーを養うのはまず大前提になるでしょうね。この場合のリテラシーは二種類でしょう。
一つ目は、個人情報個人情報と大騒ぎしたり、過度に心配したりもしくはそれを過度に広範囲に適応して話をする人たちがいますが、そもそもそれは個人情報なのか、それをどう守っていくのかという情報リテラシー。

(中略)

アプリ側からみれば、パーミッションに関しては「機密情報のログ」とマーケットに記されていても、じゃあそのログって数ある「機密情報のログ」のどれなの? というのはわからないわけです。取得情報の公開範囲がルール化されていない今は開発者の良心もしくはプライドに頼るしかない。

だいぶはしょりますが、従って現状はユーザーは無知に胡座をかき、開発側はそこに隙を見出そうとしているという状況があるとは言えるでしょう。特に後者は明確な悪意があればあるほど巧妙でしょうし、悪意はなくともサービスの利便性とユーザーの情報を天秤にかけた時、利便性を優先し実際的な合意の取れない情報取得で提供されているサービスもあるかと思います。

あとはhoshiさんが2段落目で書かれている内容に焦点が絞られるかと思います。(現状では拒否したい人が選べる選択肢がないっぽいですが)
業界としては、大きなトレンドとして/そのなかでサービスを提供するもの/そのサービスを提供されるために必要なサービスを提供するもの(キャリアなど)がどう連携していくかを考えることが急務になると思います。

まめさん「アプリの端末情報取得、現状をどう思う?」

まめさんご指摘の「拒否したい人が選べる選択肢」を提供するというのは、オプトインの原則ですよね。

日本の場合、個人情報、プライバシー情報に属するものは、オプトインの原則が適用されています。情報を取る前に、事前に合意を取るのが原則です。

ただ、個人を特定には結びつかない情報を、合意抜きで取得するケースはたくさんあります。Webのアクセス解析などはそうです。アクセスしてきたブラウザの種類とかOSの種類、画面解像度、などの情報を取得する場合には、特に事前の了解は得ていないですよね。

その中間領域で、意見・解釈が分かれているような気がします。

まめさんご指摘のオプトインのための説明責任についても、「こういう説明なら大丈夫」というコンセンサスはまだ取れておれず、ここも火種になりやすいと思います。

そういう意味で見ると、問題はAndroidというプラットフォームの特性だけでなく、むしろスマートフォンをめぐる行動ターゲティング広告なりマーケティング情報取得なりを推進する動きと、個人情報保護やプライバシー保護の原則との乖離にあるように思います。

hoshiさん「アプリの端末情報取得、現状をどう思う?」

 上記のような熱い意見があがるなか、世間ではまさにこの問題を象徴するようなニュースが報じられた。アニメ視聴アプリ『app.tv』によるインストールアプリ情報取得の問題である。