こうした方式をどう選べばいいか。高木氏は、「利用者の意図に反した動作にならないようにする」と話し、不正指令電磁的記録に関する罪や個人情報保護法、社会通念、技術的必然性といった観点から、利用者が予見し、理解して同意できる、分かりやすい同意確認の仕掛けが必要だと訴える。
|
高木氏の基本的な考え方。いわゆるウイルス作成罪や個人情報保護法など、一定の基準から判断することになる |
固有IDは使うべきではない
高木氏はユーザーを識別するIDについても言及。IDには「アプリ間で共通で使用されるID(グローバルID)」「第三者Cookie」「アプリごとにローカルなID」の3種類に分けられ、グローバルIDはIMEIやMACアドレス、Android IDなどの端末に固有のIDに加え、それらをハッシュ値などに変換したものも含まれる。これはほかの情報と組み合わせるなどをすれば、個人の特定が可能なIDであり、高木氏は「匿名のIDとは言うべきではない」と強調する。米国の消費者プライバシー権利章典では、個人データとリンクできる端末固有のIDをプライバシーとして扱うとしており、「国際標準に合わせるなら、日本も同等のやり方が必要」(高木氏)になる。
|
|
|
IDの匿名性レベル。固有IDは「匿名」のIDではなく、米国では個人データに紐付くスマートフォンのIDなどは個人情報として扱われる |
|
第三者Cookieは、スマートフォンアプリでは現在利用できないが、仮に流出しても個人の特定が基本的にはできず、いわゆる「匿名ID」という場合はこういったものを指す、という。ローカルなIDは、そのアプリでしか利用できないIDで、いわゆる第一者Cookieにあたる。これは流出しても個人は特定できず、「利用者の同意なく使っていい」(高木氏)IDだ。利用者の同意確認において、オプトインが不要なケースは、ユーザーが自発的に入力した情報で、例えば会員登録のための住所などの入力、ログイン時のID入力、カメラの撮影、ファイルのアップロードなど、目的外使用をしない限りは同意が必要ないと高木氏はいう。
|
オプトインを必要としないケース |
Webブラウザが自動で送信するのと同じ、IPアドレスやブラウザのUser Agent、URLなどの送信もオプトインは不要。アプリでローカルなID、電話帳アプリでの電話帳へのアクセスのような、必然性のある機能もオプトインの同意は不要とされる。
オプトアウトが許容されるのは、第三者CookieのIDを使ってアドネットワークで情報を収集するような場合で、目的外利用がなければオプトアウトで問題ないという。
|
|
オプトアウトが許容される例 |
それでも高木氏は「オプトアウト方式は原則的には望ましくない」という位置づけで、オプトアウトを知らない利用者のように、知らないまま情報を取得されてしまうようなユーザーが存在するからだ。
|
|
個別の適用例では、例えばアドレス帳は最初の機能利用時に同意確認する。アドレス帳アプリは、アドレス帳へのアクセスすることが目的なので、そういった場合は黙示の同意でいい場合もある。コンテンツ内でアクセス解析をする場合、第一者Cookieならば黙示の同意でいいが、第三者Cookieならオプトアウト方式、グローバルIDは許容できない |
OpenIDのようにほかのIDと連携する場合、登録済みの住所などのデータを利用する場合、閲覧履歴の利用などには個別的選択オプトインが必要 |
ただし、例えば第三者Cookieを使った広告、無線LANアクセスポイントを使った位置測位システム、Google Street Viewの写真撮影など、現実的にオプトインが難しく、社会的便益がある場合には許容される、という。
それに対して、端末に固有のIDは「そもそも不必要であることがほとんど」と高木氏は強調する。「かんたんログイン」のようにログイン状態を維持したいならアプリローカルのIDをセッションIDとして使えばいいし、IDの偽装を防ぐことが原理的に不可能なため、複数アカウントの防止にも有効ではない、という。その上、なりすましが可能な脆弱性になると指摘する。
|
|
端末固有IDは使用する必要がなく、脆弱性となる可能性もある |
行動ターゲティング広告でも固有IDの利用は脆弱性につながる |
行動ターゲティング広告でも端末IDを用いているとなりすましが可能になり、ユーザー嗜好が盗み見られる可能性があるので問題がある。第三者Cookieを使えばその心配はないが、「スマートフォンにはそれに相当する機能がない」(高木氏)。
|
|
|
UDIDのMD5値を別の端末に差し替えると、他人の属性情報が表示され、ここから個人の趣味嗜好が漏えいする危険性がある |
|
この問題に対して高木氏は、例えばOS側でそれに相当する機能を提供することで解決できるかもしれないと話し、広告モジュールで位置情報を使う場合やアプリのインラインフレーム機能を提案する。
|
|
第三者Cookieは、漏えいでも基本的に個人が特定されず、米国ではアドネットワーク自体が個人情報を取得しないことを条件に、オプトアウトが許容されている |
第三者Cookieが利用できないスマートフォンで端末IDが使えない場合、アプリをまたがっての行動ターゲティングができないため、OS側に必要な機能を実装するなどの解決策を提案する |
高木氏は、「スマートフォンを経由した利用者情報の取扱いに関するWG」は6月にも結論を出す予定で、聴講者に対してはその際にはパブリックコメントを出すように要請。高木氏は、端末に固有のIDを使うことは、「15年の歴史を振り返って、Webでは排除してきた」と強調したうえで、「必ず時間が解決して淘汰される」と指摘し、「正しい方向に向けて欲しい」と話して講演を終えた。
|
今後の対応 |
(記事提供: AndroWire編集部)