2012年10月07日

全国電話帳アプリのアドレス帳漏洩と、住所でポン!について個人的まとめ

各社報道も出揃ったようなので自分の理解をまとめてみる。

現状の報道
http://www3.nhk.or.jp/news/html/20121006/t10015569881000.html
http://www.jiji.com/jc/c?g=soc_30&k=2012100700067
http://www.tokyo-np.co.jp/article/national/news/CK2012100702000096.html
http://mainichi.jp/select/news/20121007k0000m040072000c.html
などなど。

@tottoriloop氏の提供する『全国電話帳』アプリは、ユーザーの電話帳70万件以上を公開状態に置いていたとして捜査されている。
この問題は、複数の法律にまたがったややこしい問題を含んでいる。

問題視された点は
・全国電話帳アプリがユーザ端末内のアドレス帳をアップロードした点
・作者のサーバでは、ユーザがアップロードしたデータが誰でも閲覧・検索可能になっていた点
・上記の点が正確にユーザーに伝わっていない点

また直接は関係ないが、同一作者の
・「住所でポン!」というサイトでの電話帳情報公開
も関連して語っている人が居る。


@ アドレス帳のアップロード
これは、不正指令電磁的記録の供用、所謂コンピュータウイルスの悪用として、問題視されている。

高木先生の解説などが詳しいが、法令の定義上、『ユーザーが意図しない事』を実行するプログラム全般がウイルスとみなされる。

アプリ解説には、
過去のハローページとタウンページに掲載された約3800万件の情報をもとにデータベースを作成しています。加えて、アプリ利用者のアドレス帳、GPSの情報も利用します
とあり、この一文によって、作者はユーザーの同意を得て、ユーザーの意図通りアップロードしたもの、と考えて居るようだ。
これは http://causeless.seesaa.net/article/296089367.html に書いた。

これは作者が意図してグレーゾーン、それもかなり黒い側ギリギリを狙って書かれたアプリ説明と思う。
もし自分なら、
全てのアプリ利用者のアドレス帳を対象に検索することができ、そのためにサーバーに各利用者のアドレス帳をアップロードします。
のように明記し、アプリ起動時にも同様の警告を行なって利用の可否をユーザーに尋ねるよう、実装するだろう。グレーゾーンに踏み込む必要など無い。


A サーバー上での公開
これは個人情報保護法について問題視されている。
個人情報保護法には例外規定があり、総務省のガイドラインには
http://www.meti.go.jp/policy/it_policy/privacy/kaisei-guideline.pdf
個人情報データベース等が、以下の要件のすべてに該当する場合は、その個人情報データベース等を構成する個人情報によって識別される特定の個人の数は、上記の「特定の個人の数」には算入しない。

@個人情報データベース等の全部又は一部が他人の作成によるものであること。
A氏名、住所・居所、電話番号のみが掲載された個人情報データベース等(例えば、電話帳やカーナビゲーション)であること、又は、不特定かつ多数の者に販売することを目的として発行され、かつ、不特定かつ多数の者により随時に購入することができる又はできた個人情報データベース等(例えば、自治体職員録、弁護士会名簿等)であること。
B事業者自らが、その個人情報データベース等を事業の用に供するに当たり、新たに個人情報を加えることで特定の個人を増やしたり、他の個人情報を付加したりして、個人情報データベース等そのものを編集・加工していないこと。
とある。 不正指令電磁的記録として問題がなかった場合、アプリがユーザーの意図通りアドレス帳データベースを作成することは、作者側にとってみれば、ユーザーから他人が作成したデータベースを受け取るだけになる。複数のデータベースを持っていても、加工・編集しなければガイドラインの3に当たらない。(NTTの電話帳と名刺一枚を持っているからと言って個人情報取扱い業務にあたらない)
つまり、個人情報保護法の対象外になる可能性がある。

アプリの説明文にある通り、誰でもユーザのアドレス帳からの検索をするためには、何らかの形でユーザーのアドレス帳を誰でもアクセス出来る状態=公開状態に置く必要がある。
したがって、「アプリ利用者が論理的に考えれば、何処かで公開されることに同意したとみなせ、不正指令電磁的記録に当たらない。」作者が法廷に立たされれば、そう反論するのが予想される。これも意図的にギリギリの説明を悪用して、ユーザーの誤解を引き起こそうという考えが透けて見える。


B説明は十分か

各社の報道、たとえばNHKには、
セキュリティ会社「ネットエージェント」の杉浦隆幸社長は、「電話帳を利用すると記載していたとしても、目的などを十分に説明しておらず問題だ。スマートフォンの情報を収集するアプリは少しずつ増えており、注意が必要だ」と話しています。
とあり、説明が不十分だったと問題視している。

カレログ、the Movieといった過去に問題となったアプリは、全く記載なく、あるいはユーザ以外の第三者が端末に導入することを推奨して、データ漏洩を引き起こすため問題視されていた。

しかし、全国電話帳アプリの説明は、論理的に考えるば、アップロードと公開アクセスが推論でき、第三者の端末に勝手に導入することを推奨していないので、この説明が不十分であるということは、もっと直接でわかりやすい記載を要求することになる。

ところが、既にFacebookやLINEのように、電話帳をアップロードするアプリは多数あり、個々アプリの機能説明において、アップロードについて説明がどの程度直接的かは怪しい

どの程度直接的な説明なら利用者の同意とみなせるかは、非常に難しい問題と考えられ、特定商取引法表示のような法で決まった表示規定が無い現状、事例ごとに裁判で個別に判断するしか無い。
全国電話帳アプリは黒に近いグレーゾーンで、"問題視"されるのは当然だが、違法だと断言してしまうと、他のアプリも黒であるという事になりかねない。

各社報道は、(捜査中なので当然だが)問題点・懸念として指摘し、違法と断言しているわけではない。
もちろん情報を収集される側のユーザとしては、黒であるほうが望ましい。


ついでに、
C住所でポンとの連携について。

@saronpasu氏が
https://twitter.com/saronpasu/status/254454228813242368
で、全国電話帳で収集した個人情報が、住所でぽんに利用されている、と指摘していた。
これは自分は確認できていない。

住所でポンは、作者の説明や乗っているデータから考えるに、NTTの電話帳を機械的に一般公開しているサイトで。それ自体は例外規定によって個人情報保護法の対象ではない。(=NTTが電話帳を公開できる理由)
しかし、複数のデータベースから名寄せしてデータ新たなデータベースを作って利用・公開する場合、例外規定ガイドラインの3に反するので、個人情報保護法対象となり、公開ができなくなる。

作者の過去ツイートをおうと、その点は考慮して公開しているようだ。


結論として、
・自衛として、アプリ説明や利用規約をしっかり読むこと
・わかりやすい定式化された説明の表示義務の法制化を急ぐこと
が非常に重要だ。
前者は多くの報道で指摘されているが、後者は指摘されている様子がない。

意地悪な言い方をすれば、ユーザデータを収集して利用する営利企業にとってみれば、表示義務が強くなると収集に支障をきたしたりコスト増を招くので、ユーザに自衛してもらうほうが好ましい。

現状、アプリに限らず迂遠な説明・利用規約でユーザ情報を収集しようとすることが多いと考えている。
わかりやすい説明の迅速な義務化を切に願う。

https://twitter.com/cause_less/status/254560614360424452





追記。
「情報に詳しい通りすがり」さんのコメントに対して、
http://causeless.seesaa.net/article/297244474.html
にエントリとして返答を書きました。

追記。
一週間経過し連絡らしきものが無いため削除しました。
http://megalodon.jp/2012-1021-0148-04/causeless.seesaa.net/article/296187376.html


posted by ko-zu at 15:06| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。