2014-01-20_2157
(画面はJIPDECサイトより)

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、1月14日付けで「(スマートフォン等のアプリケーション配信事業者対象)利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」という文書を公表しました。この中で、従来から個人情報の範疇には含まれていなかった端末IDなどを取扱う際にどのようにすればいいのかの指針が示されました。プライバシーマーク認定を受けているアプリケーション配信事業者は、今後はこの内容に従う必要があります。

今回の指針の内容は、なかなか分かりにくいのですが、まとめると下記のようになると思われます。(あくまでも私の理解によるものです)

(1)対象となるのは「アプリケーション配信」のみ

今回の対象となるのは、「アプリケーション配信事業を行う事業者」のみです。具体的には(1)マーケット運営事業者が提供するアプリ・マーケットから、利用者に対してアプリケーションを配信する事業者、(2)広告配信等のためにアプリケーションに組み込む情報収集モジュールを提供する事業者となっています。ブラウザ経由で情報配信する事業者は対象にはなっていません。

(2)新たに「個人情報と同等に取り扱う利用者情報」という概念を設定

スマートフォンで取り扱う情報と言っても、特定の個人が識別できる情報(氏名、住所、メールアドレス、購買履歴、閲覧履歴など個人に紐づくものは全て)は従来通り個人情報保護法やJIS Q 15001でいう個人情報ですので、何ら変更はありません。

従来、個人情報には含まれていないと考えられていた「(特定の個人が識別できない)契約者・端末固有ID、位置情報、通信履歴、アプリケーション利用履歴など」について、その後の他の情報との照合など利用方法によっては特定の個人が識別できる可能性がある情報でもあるので、新たに「個人情報と同等に取り扱う利用者情報」という概念を設定し、その他の個人情報と同等にリスクの認識、分析及び対策を実施することとされました。

具体的には、個人情報管理台帳に「アプリケーションの利用者情報」という一行を追加して、リスク分析を実施し、適切な安全対策を立てることが求められます。

※ここで誤解してはいけないのは、「端末固有ID」の全てが「個人情報と同等に取り扱う利用者情報」となるわけではないということです。あくまでも、端末固有IDが特定の個人と紐付けされていない場合に、従来は個人情報として取り扱われていなかったものを新たに「個人情報と同等に取り扱う利用者情報」という範疇に指定したのであり、端末固有IDが特定の個人とひも付けされている場合には、従来からそれは個人情報であり、今後もそれは変わらないということです。

(3)「アプリケーション・プライバシーポリシー」の公表を要求

「個人情報と同等に取り扱う利用者情報」に関しては、JIS Q 15001が求める事項の明示や本人の同意は要求されない代わりに、新たに設定された「アプリケーション・プライバシーポリシー」という文書を通知または公表することが求められるようになりました。

「アプリケーション・プライバシーポリシー」とは、総務省が出した「スマートフォン プライバシー イニシアティブ」の中で提唱されたもので、下記の内容を含むものです。

(1) 情報を取得するアプリケーション提供者等の氏名又は名称
(2) 取得される情報の項目
(3) 取得方法(利用者の入力によるものか、自動取得するものなのか等)
(4) 利用目的の特定・明示(広告などに利用する場合はその旨明示)
(5) 通知・公表又は同意取得の方法、利用者関与の方法
(6) 外部送信・第三者提供・情報収集モジュールの有無
(7) 問合せ窓口(電話番号、メールアドレス等)
(8) プライバシーポリシーの変更を行う場合の手続

※ここでも誤解してほしくないのですが、この規定によらず、特定の個人が識別できる情報を取得する場合にはJIS Q 15001が求める事項を明示して同意を取ることが必要です。理論上、上記の「アプリケーション・プライバシーポリシー」を掲載する必要があるのは、「個人情報」を一切取得せず、「個人情報と同等に取り扱う利用者情報」だけを取得するアプリに限定されるのではないかと思います。単なる時計アプリだと思っていたら、バックグラウンドで端末IDやら位置情報を送ってターゲッティング広告配信していたというような例もあるようですので、そういう場合にはこの「アプリケーション・プライバシーポリシー」を通知または公表することになるかと思います。

http://privacymark.jp/news/2014/0114/index.html

(私のコメント)
プライバシーマークは、従来は「個人情報(特定の個人が識別できる情報=一人の人に紐付けできる情報)」のみを取り扱ってきました。しかし、社会全体のIT化やスマホ化が進む中で、従来の個人情報の概念の外側にある情報であっても、個人情報と同様に一定の基準の下で管理することが期待されるようになったという状況を考えて、今回の指針の発表があったのだと思います。しかしまあ、分かりにくいです。特に今回の指針の母体となった総務省の「スマートフォン プライバシー イニシアティブ」が個人情報とそうでない情報を一緒にして取り扱っているので、余計に分かりにくくなったのではないかという印象を受けます。当面の間は、このようなハイブリッドというか、いろんな考え方を取り込んで進むしかないのだろうと思います。







●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)