何がやばいかって、読んでみたら全然スマートフォンの話に限定されていない総務省による「新しい個人情報保護法解釈基準」と「プライバシーポリシー作成ガイドライン」だったのです。タイトルにだまされて、スルーするところでした。

総務省がスマホプライバシー基準を公開 端末IDに個人情報並みの扱い求める(日経コンピュータレポート)
今回の提言は、事業者への拘束力が弱い点は配慮原則と同じだが、各スマートフォンに固有のIDの扱いや、プライバシーポリシーに記述する項目の具体的な基準を示すなど、適正か、不適かの線引きをはっきりさせた点が大きく異なる。

 例えば、利用者が簡単に変更できない契約者・端末固有IDについては、氏名などの個人情報に準じた形で取り扱うことが適切としている。固有IDは単体では個人を特定できないが、IDにひも付く情報が蓄積、流通することで個人を特定できる可能性があるためだ。具体的には、取得の事実や利用目的をプライバシーポリシーに明記する必要がある。


この記事で紹介されているスマホプライバシー基準というのが、今回の文書『スマートフォン プライバシー イニシアティブ(案)』です。

容易に変更できない情報は個人情報


「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。

こちらは、もう皆様見飽きてしまったどころかすらすら暗誦さえできると思われる、個人情報保護法第2条に書かれた個人情報の定義。この定義をとってもシンプルにまとめれば、
 1)生存性
 2)個人識別性
の2つの要素に集約されるわけですが、今回の文書のすごいところは、今までハッキリと定義されてこなかったこの2番めの“個人識別性”の判断基準・評価軸として、“利用者が容易に変更できるか否か”がポイントであると具体的に言及しているところ。

そしてその“変更可能性”基準に従って、スマートフォンに内蔵される情報について、個人識別性を評価・分類した表がこれ。
SPI1
SPI2

ところがこの表、タイトルこそ「スマートフォンにおける〜」となっていますが、よく見るとGPSやAndroidIDなどのスマホ特有の情報だけでなく、普通にPCでウェブサービスを運営していても収集してしまいそうな項目も含まれているんですね。「スマホに限らず、ここで変更可能性に×や△がついた情報は個人識別性が高い=個人情報として取り扱うべし」と総務省は考えているように私には読めます。

プライバシーポリシーを詳細化せよ


さらにP47あたりには、保護法の利用目的の特定(15条)義務についても、

例えば「マイニングすれば何か役に立つ情報を抽出できるかもしれない」等との意図の下、明確な利用目的を示さずに個人情報を取り扱うことは、法第 15 条の違反となる可能性が高い。

と、スマホの話はどこかに忘れて、よくあるプライバシーポリシーテンプレート文言への具体的ダメ出しに。

さらにP59に各論として、プライバシーポリシーのお手本までもが掲示されています。
SPI3

、ぁ↓Α↓┐△燭蠅脇辰肪躇佞靴燭い箸海蹇F辰豊┐砲呂気蟲い覆

当初取得した同意の範囲が変更される場合、改めて同意取得を行う。

と、企業がよく使う「利用者に通知して◯日後に変更(みなし同意)」はNGと書いてありますよ・・・。

この『スマートフォン プライバシー イニシアティブ(案)』に素直に従うと、ざっくり見積もって7〜8割方の企業のプライバシーポリシーは、修正する必要がでてくるんじゃないでしょうか。事実、すでに「この文書を読んで気づいたセキュリティ・法務担当者が何人も相談に来ている」とは、ある弁護士先生の談。

読む時間がない人は、法務系LTに参加しよう(未承諾広告)


確かにウェブ利用環境がPC前提であった時代から個人情報の塊であるスマホの時代に変わり、ブラウザだけ気にしていればよかった時代からブラックボックス化したアプリの時代に変われば、総務省の考え方も変わるんだといわれればそうですが、いやーそれにしても恐ろしい。これはよく読んで皆さんとディスカッションしたい・・・。

ということで、7/31(火)19:00より、三軒茶屋のレクシスネクシス・ジャパンさんの会議室をお借りして、第2回の法務LT(ライトニングトーク)イベントで、この『スマートフォン プライバシー イニシアティブ』についてしゃべることにしました!はい、そうです。イベントの宣伝です。


第2回 法務系ライトニングトーク(ATND)

ATNDLLT2nd


詳細は上記ATNDのページでご確認を。あ、もちろん『スマートフォン プライバシー イニシアティブ』について喋るのは私だけで、他の参加者のみなさんはそれぞれご自身のご専門についてお話いただけるので、どうぞご安心を。ふるってご参加ください!


2012/7/22 14:00 追記

このエントリについて高木浩光先生よりtwitterでRTおよびコメントを頂きました。ありがとうございます。


企業法務部風情・・・相変わらず手厳しくていらっしゃいますが、企業法務部の多くのみなさんは「そんなの書かなくていいよ、個人情報じゃないし。」とは思っても言ってもいなかったと思います。むしろこのような解釈を社内で述べても、経営者を説得できずにいたところに、今回この文書というある意味の“援軍”が来た、というのが本音じゃないかと。ただし確かに私自身、情けないですが一部において経営者を説得しきれなかった経験はあり、そのことは反省しております。あと、迷いながらもキャッチーさを狙って「やばい」という語を使ったのも、よくなかったなと思います。