スマホの端末IDなどの取扱いに関する指針を発表 (プライバシーマーク)


プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、2014年1月14日付けで「(スマートフォン等のアプリケーション配信事業者対象)利用者情報の取扱い、アプリケーション・プライバシーポリシーについて」という文書を公表しました。
プライバシーマーク認定を受けているアプリケーション配信事業者は、今後はこの内容に従う必要があります。


スマホの端末IDなどの取扱いに関する指針



■「対象となる事業者」

対象となるのは、「アプリケーション配信事業を行う事業者」のみです。

具体的には、以下2つの事業者が対象になります。
(1)マーケット運営事業者が提供するアプリ・マーケットから、利用者に対してアプリケーションを配信する事業者
(2)広告配信等のためにアプリケーションに組み込む情報収集モジュールを提供する事業者
※ ブラウザ経由で情報配信する事業者は対象にはなっていません。



■新たに「個人情報と同等に取り扱う利用者情報」という概念を設定

スマートフォンで取り扱う情報と言っても、特定の個人が識別できる情報(氏名、住所、メールアドレス、購買履歴、閲覧履歴など個人に紐づくものは全て)は従来通り個人情報保護法やJIS Q 15001でいう個人情報なので変更はありません。

従来、個人情報には含まれていないと考えられていた「(特定の個人が識別できない)契約者・端末固有ID、位置情報、通信履歴、アプリケーション利用履歴など」について、他の情報と照合などすることで個人が特定・識別できる可能性がある情報であるため、新たに「個人情報と同等に取り扱う利用者情報」という概念が設定され、その他の個人情報と同等にリスクの認識、分析及び対策を実施することとなりました。

具体的には、個人情報管理台帳に「アプリケーションの利用者情報」を追加して、リスク分析を実施し、適切な安全対策を立てることが求められています。


※ここで誤解してはいけないのが、「端末固有ID」の全てが「個人情報と同等に取り扱う利用者情報」となるわけではないということです。
あくまでも、端末固有IDが特定の個人と紐付けされていない場合に、従来は個人情報として取り扱われていなかったものを、新たに「個人情報と同等に取り扱う利用者情報」という範疇に指定したので、端末固有IDが特定の個人と紐付けされている場合には、従来通り 個人情報であり、今後もそれは変わらないということです。



■「アプリケーション・プライバシーポリシー」の公表を要求

「個人情報と同等に取り扱う利用者情報」に関しては、JIS Q 15001が求める事項の明示や本人の同意は要求されません。しかし、新たに設定された「アプリケーション・プライバシーポリシー」という文書を通知または公表することが求められるようになりました。
「アプリケーション・プライバシーポリシー」とは、事業者が透明性の確保を目的とし、アプリケーションごとに取得する情報の項目や目的等の事実関係を明らかにするものです。


「アプリケーション・プライバシーポリシー」とは、総務省から出された「スマートフォン プライバシー イニシアティブ」の中で提唱されたもので、下記の内容を含むものです。


(1)情報を取得するアプリケーション提供者等の氏名又は名称
(2)取得される情報の項目
(3)取得方法(利用者の入力によるものか、自動取得するものなのか等)
(4)利用目的の特定・明示(広告などに利用する場合はその旨明示)
(5)通知・公表又は同意取得の方法、利用者関与の方法
(6)外部送信・第三者提供・情報収集モジュールの有無
(7)問合せ窓口(電話番号、メールアドレス等)
(8)プライバシーポリシーの変更を行う場合の手続



ナレッジソリュションズ コーポレーション
代表取締役 中村 豊成
Copyright(c) Knowledge Solutions Corporation.