「IDやプライバシーにかかわる情報を送信するAndroidアプリケーションは、400本のうち約45.3%にも上る」---。KDDI研究所の竹森敬祐研究主査によるAndroidアプリケーションの挙動の調査結果が話題を呼んでいる。竹森主査がAndroid Market(2012年3月7日から「Google Play」に名称変更)から400本のアプリを選び出して調査したところ、半数近くのアプリが、Android IDや端末ID(IMEI)、位置情報、電話番号など、利用者のプライバシーに関わる情報を外部に送信していた。そして、そのうち適切な説明や許諾があったアプリは、わずか2%程度しかないとも指摘する。
このように、利用者が意図しない形でモバイル端末から情報を取られるケースが横行している。とりわけ目立つのがAndroid端末だ。竹森主査は「実害はほとんど報告されていない」とするものの、今後、悪意あるアプリケーションが登場してくる可能性はある。
ユーザーへの許諾がないがしろに
こうした事態に対し総務省は2012年1月、「利用者視点を踏まえたICTサービスに係わる諸問題に関する研究会」の中に「スマートフォンを経由した利用者情報の取り扱いに関するWG」を設置。課題を整理し、利用者情報の取り扱いについて必要な対応の検討を始めた。
同WGで主査を務める慶應義塾大学 総合政策学部の新保史生准教授は「スマートフォンでは情報の取り扱いや、本人に明示して許諾を取る手段が徹底されていない」と課題を指摘する。プライバシーに関わる情報を基にして便利なサービスを提供する場合は、明確な同意を伴うオプトイン方式をとることが不可欠。それがないがしろにされているという指摘だ。
Androidではアプリをインストールする場合に、必ず利用者に対してパーミッションを要求する。アプリの動作権限やアクセスするデータの種類・範囲について利用者の承認を得るための仕組みで、拒否すればインストールされず、情報を外部に送られることもない。ただ、実際に取得される情報と説明の内容にズレがある場合が少なくない。
スマートフォンアプリのプライバシー問題について指摘を続ける産業技術総合研究所の高木浩光主任研究員は「アプリ開発者の知識不足から、技術的に必要無いのに必要以上に情報を取得しているケースも多い」と語る。
このような状況は、利用者とアプリ/サービス提供者の双方に不幸な状況だ。利用者にとっては、どんな情報を見られているのか、常に不安がつきまとう。アプリ/サービス提供者にとっても、どこまで利用者情報を取得してよいのか分からず、“炎上”のリスクがある(図1)。
「法的にシロ」とも言い切れない
新保准教授は「現在横行している過剰な個人情報の取得は法的にもグレー。故意に取得したわけではなくても、知らなかったでは済まされないのが法の大原則」と続ける。
例えば利用範囲を超えた個人情報の取得は、個人情報保護法に抵触する可能性があるという。個人情報保護法においては個人情報そのものでなく、利用目的を特定する義務が課される。広く利用目的をうたえばよいかと言えばそうではなく、「法解釈的には個人情報はその利用に必要な範囲で集めることが求められる」(同)。必要もないのに電話番号のような個人を特定可能な情報を取得する場合は、法的にグレーとなるわけだ。このほかにも刑法の不正指令電磁的記録に関する罪など、抵触する可能性がある法規制はまだまだある(図2)。
