企業法務マンサバイバル : 『スマートフォンプライバシーイニシアティブ』がやばいので、法務系LTイベントで喋ることにしました（追記あり）

　
何がやばいかって、読んでみたら全然スマートフォンの話に限定されていない総務省による「新しい個人情報保護法解釈基準」と「プライバシーポリシー作成ガイドライン」だったのです。タイトルにだまされて、スルーするところでした。

▼総務省がスマホプライバシー基準を公開端末IDに個人情報並みの扱い求める（日経コンピュータレポート）

今回の提言は、事業者への拘束力が弱い点は配慮原則と同じだが、各スマートフォンに固有のIDの扱いや、プライバシーポリシーに記述する項目の具体的な基準を示すなど、適正か、不適かの線引きをはっきりさせた点が大きく異なる。

　例えば、利用者が簡単に変更できない契約者・端末固有IDについては、氏名などの個人情報に準じた形で取り扱うことが適切としている。固有IDは単体では個人を特定できないが、IDにひも付く情報が蓄積、流通することで個人を特定できる可能性があるためだ。具体的には、取得の事実や利用目的をプライバシーポリシーに明記する必要がある。

この記事で紹介されているスマホプライバシー基準というのが、今回の文書『スマートフォンプライバシーイニシアティブ（案）』です。

容易に変更できない情報は個人情報

「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）をいう。

こちらは、もう皆様見飽きてしまったどころかすらすら暗誦さえできると思われる、個人情報保護法第2条に書かれた個人情報の定義。この定義をとってもシンプルにまとめれば、
　１）生存性
　２）個人識別性
の２つの要素に集約されるわけですが、今回の文書のすごいところは、今までハッキリと定義されてこなかったこの2番めの“個人識別性”の判断基準・評価軸として、“利用者が容易に変更できるか否か”がポイントであると具体的に言及しているところ。

そしてその“変更可能性”基準に従って、スマートフォンに内蔵される情報について、個人識別性を評価・分類した表がこれ。

ところがこの表、タイトルこそ「スマートフォンにおける～」となっていますが、よく見るとGPSやAndroidIDなどのスマホ特有の情報だけでなく、普通にPCでウェブサービスを運営していても収集してしまいそうな項目も含まれているんですね。「スマホに限らず、ここで変更可能性に×や△がついた情報は個人識別性が高い＝個人情報として取り扱うべし」と総務省は考えているように私には読めます。

プライバシーポリシーを詳細化せよ

さらにP47あたりには、保護法の利用目的の特定（15条）義務についても、

例えば「マイニングすれば何か役に立つ情報を抽出できるかもしれない」等との意図の下、明確な利用目的を示さずに個人情報を取り扱うことは、法第 15 条の違反となる可能性が高い。

と、スマホの話はどこかに忘れて、よくあるプライバシーポリシーテンプレート文言への具体的ダメ出しに。

さらにP59に各論として、プライバシーポリシーのお手本までもが掲示されています。

③、④、⑥、⑧あたりは特に注意したいところ。特に⑧にはさり気なく

当初取得した同意の範囲が変更される場合、改めて同意取得を行う。

と、企業がよく使う「利用者に通知して◯日後に変更（みなし同意）」はＮＧと書いてありますよ・・・。

この『スマートフォンプライバシーイニシアティブ（案）』に素直に従うと、ざっくり見積もって７～８割方の企業のプライバシーポリシーは、修正する必要がでてくるんじゃないでしょうか。事実、すでに「この文書を読んで気づいたセキュリティ・法務担当者が何人も相談に来ている」とは、ある弁護士先生の談。

読む時間がない人は、法務系LTに参加しよう（未承諾広告）

確かにウェブ利用環境がPC前提であった時代から個人情報の塊であるスマホの時代に変わり、ブラウザだけ気にしていればよかった時代からブラックボックス化したアプリの時代に変われば、総務省の考え方も変わるんだといわれればそうですが、いやーそれにしても恐ろしい。これはよく読んで皆さんとディスカッションしたい・・・。

ということで、7/31（火）19:00より、三軒茶屋のレクシスネクシス・ジャパンさんの会議室をお借りして、第２回の法務LT（ライトニングトーク）イベントで、この『スマートフォンプライバシーイニシアティブ』についてしゃべることにしました！はい、そうです。イベントの宣伝です。

▼第２回法務系ライトニングトーク（ATND）

詳細は上記ATNDのページでご確認を。あ、もちろん『スマートフォンプライバシーイニシアティブ』について喋るのは私だけで、他の参加者のみなさんはそれぞれご自身のご専門についてお話いただけるので、どうぞご安心を。ふるってご参加ください！

2012/7/22　14:00　追記

このエントリについて高木浩光先生よりtwitterでRTおよびコメントを頂きました。ありがとうございます。

難なくできるはずのことがこれまでこんなことになっていたのは、要するに、この期に及んで「やばい」とか言っちゃう企業法務部風情が「そんなの書かなくていいよ、個人情報じゃないし。」とか言っちゃってきたからなんだろうね。
— Hiromitsu Takagi (@HiromitsuTakagi) July 22, 2012

企業法務部風情・・・相変わらず手厳しくていらっしゃいますが、企業法務部の多くのみなさんは「そんなの書かなくていいよ、個人情報じゃないし。」とは思っても言ってもいなかったと思います。むしろこのような解釈を社内で述べても、経営者を説得できずにいたところに、今回この文書というある意味の“援軍”が来た、というのが本音じゃないかと。ただし確かに私自身、情けないですが一部において経営者を説得しきれなかった経験はあり、そのことは反省しております。あと、迷いながらもキャッチーさを狙って「やばい」という語を使ったのも、よくなかったなと思います。
　