2012年10月06日

示現舎の全国電話帳アプリについて+警告

住所でポン(公開電話帳サイト)で有名?になった人が公開している、
全国電話帳 https://play.google.com/store/apps/details?id=info.jigensha.hellopage というアプリは、複数の人が電話帳を送信していると確認しているようだ。

インストールされている人は直ちに削除をおすすめする。

(追記:個人的なまとめ http://causeless.seesaa.net/article/296187376.html でまとめてみた)

ただ、法的に問題があるのかは疑問におもう。作者は最低限周辺法を調べて問題ない、とTwしていて、個人情報保護法や高木先生のような存在を知らないとも思えない。

まずスラドのコメント
http://yro.slashdot.jp/comments.pl?sid=578428&cid=2227099
が指摘していたように、住所でポン!が、単純なNTTの電話帳由来であり、追加情報を加えていない場合、公開しても問題はないと考えられる。

http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf

個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、上記の「特定の個人の数」には算入しない。

@個人情報データベース等の全部又は一部が他人の作成によるものであること。
A氏名、住所・居所、電話番号のみが掲載された個人情報データベース等(例えば、電話帳やカーナビゲーション)であること、又は、不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる又はできた個人情報データベース等(例えば、自治体職員録、弁護士会名簿等)であること。
B事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。

の通り、
NTTの提供する電話帳は一般公開の意図で取得された単純なデータベースで、NTTとの契約者が公開を許可した情報に何ら付加情報を加えていないので、ソートやファイル分割は機械的な処理であって、情報が追加されているとはいえず、検索出来る内容も公開されている情報だけで、サーバー内にある秘密情報(たとえば趣味や職業)で検索しているわけでないため、公開されているウェブページからは、ただの電話帳テーブル以上の情報が得られない。

つまり、個人情報取扱事業者にあたらず、公開や電話帳アプリから検索といった利用自体は違法ではない。電話帳や名簿業が問題なく行われていることからもこれは明らか。


次に、全国電話帳アプリは、複数の人が電話帳を送信していると確認しているようだ。
この情報がどのように利用されるかは明示されていないが、電話帳取得権限の警告文でもって、利用者はアプリに収集を許可している。
アプリによって端末内で生成された電話帳データベースを、「ユーザが生成した電話帳」とみなし、それをアプリ提供者に送信・提供している解釈すれば、つまり、全国電話帳アプリが複数データベース横断検索をしているだけなら、法に反しない可能性がある。

ウイルス作成罪側で対処できるかについても、「意図せず」をどこまで広く解釈するかになるが、LINEのように電話帳を公開するアプリや広告ライブラリが(問題視されているといえど)容認されている以上、収集自体を法に問うことも難しいとおもわれる。これは判例が出るまでわからないのではなかろうか?


どこから違法になりうるか

これら情報をマージして公開した場合、個人情報取り扱い事業者となって公開に問題が発生する。しかし、現在のザル法(ザル政令)では、マージしていない個人の電話帳そのものの無断公開は法に問えないと思われる。
たとえば、利用者毎に個別のデータベースとして、とある個人が作成した電話帳、として公開された場合、法に問えない可能性がありそうだ。(よっぽど問題に思えるが)
もしこれが直ちに違法と為るならば、名簿を複数所持しているであろうほとんどの事業者は、マージ可能であるという理由で対象になってしまうが、そんな理由で立件されたという話は聞かない。

これが通れば、公開されたデータをマージして利用する側は個人情報保護法の対象になるが、提供する側の個別のデータは対象外になりうる。


結局のところ、名簿業者が行なっているであろう、データを自分で収集せず購入するなどして多数かき集めて販売し、抽出・マージしての利用は購入した側でご自由に、というスタンスの事業は、個人情報取扱事業に含まれないという抜け穴を明確にしている。

政令を改正するにしても、単にマージ可能なデータを持つ場合合算で5000人、などとしてしまったりすると、小企業や個人事業主(電話帳の一冊くらい持っているだろうから、プラス1人の顧客情報で規制対象になる)にものすごいコスト負担を強いることになってしまう。

追記。

元のlumin氏の情報 http://d.hatena.ne.jp/lumin/20121006
に書かれている様に、アプリ側でデータベースを直接操作していた一方、
サーバー側でデータベースに手を加えてたという情報を確認できなかった。

もしかしたら、政令第2条中
当該個人情報データベース等の全部又は一部が他人の作成に係る個人情報データベース等であって、次
の各号のいずれかに該当するものを編集し、又は加工することなく
を字義通り実装しているつもりだったのかもしれない。
本当に法令を確認した上で、ギリギリグレーゾーンを突こうとしているようだ。





posted by ko-zu at 16:21| Comment(1) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
IP 119.47.19.159
2013-11-20 17:03:50
Posted by なお at 2013年11月20日 17:03
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。