総務省は、スマートフォンアプリが順守すべきプライバシー保護の基準などを示した提言「スマートフォン プライバシー イニシアティブ」を公開する。提言案を2012年6月29日に公表し、7月20日までの意見募集を経て正式公開へ進める。「企業がスマホのプライバシー保護へ自主的に取り組む上で参考になる基準ととらえてほしい」(総務省)。

 提言を見たセキュリティ専門家は「これまでの指針とは異なり、基準が極めて詳細かつ具体的」と口をそろえる()。消費者向けにアプリを提供している企業は、アプリの仕様やプライバシーポリシーなどを見直す必要が出てきそうだ。

図●総務省が示したスマートフォン利用者情報取り扱い指針の要点
[画像のクリックで拡大表示]

 これまで総務省は、スマートフォンを含むITサービスのプライバシー保護について二つの指針を公開していた。一つは、個人情報保護法などに基づいて事業者が順守すべき基本事項を定めたガイドライン。もう一つは、ガイドラインほどの拘束力はないものの、プライバシー情報を扱う事業者に一定の配慮を求めた「配慮原則」だ。

 今回の提言は、事業者への拘束力が弱い点は配慮原則と同じだが、各スマートフォンに固有のIDの扱いや、プライバシーポリシーに記述する項目の具体的な基準を示すなど、適正か、不適かの線引きをはっきりさせた点が大きく異なる。

 例えば、利用者が簡単に変更できない契約者・端末固有IDについては、氏名などの個人情報に準じた形で取り扱うことが適切としている。固有IDは単体では個人を特定できないが、IDにひも付く情報が蓄積、流通することで個人を特定できる可能性があるためだ。具体的には、取得の事実や利用目的をプライバシーポリシーに明記する必要がある。

 IDや利用履歴といった情報の利用目的をポリシーに記載する際は「マーケティングのため」「広告のため」など具体的な用途を示すのが望ましいとした。例えば「利便性を向上する」という記述だけで、市場分析や行動ターゲティング広告に使うのは望ましくない。

 今回の提言では、プライバシー情報を適正に扱っているアプリに「安全マーク」を付与する第三者機関を民間主導で立ち上げる案を示している。こうした仕組みは世界でも珍しく、実現すれば日本のアプリ市場の信頼性向上につながりそうだ。