プライバシーポリシー地獄
2012年、総務省からスマートフォンアプリのプライバシーに関する提言(プライバシーイニシアティブ)が発表され、それを受けてプライバシーマークの審査機関の一つであるモバイルコンテンツフォーラムからガイドラインが発表されました。
総務省 プライバシーイニシアティブ
MCFガイドライン
これまでも事業者は、個人情報保護方針に関するJIS Q 15001の要求、直接書面取得以外の方法で取得した個人情報の利用目的の公表、開示対象個人情報に関する各種公表事項を網羅した個人情報保護方針あるいはそれに付随する文書をウェブサイト等で公表することを強いられていました。
その上で、スマートフォンアプリの提供者は、スマートフォンアプリに関するプライバシーポリシーを公表することが義務付けられることとなりました。まさに罰ゲーム、プライバシーポリシー地獄です。
事業者を不憫に思ったKDDI研究所は、アプリベンダー向けに雛形を公開してくれています。
参考にしましょう。
プライバシーポリシーに掲載すべき事項は下記のとおりです。
・アプリケーション提供者等の名称、連絡先等を記載する。
2) 取得される情報の項目
・取得される利用者情報の項目・内容を列挙する。
3)取得方法
・利用者の入力によるものか、アプリケーションがスマートフォン内部の情報を自動取得するものなのか等を示す。
4)利用目的の特定・明示
・利用者情報を、アプリケーション自体の利用者に対するサービス提供のために用いるのか、それ以外の目的のために用いるのか記載する。
・広告配信・表示やマーケティング目的のために取得する場合には、その旨明示する。
5)通知・公表又は同意取得の方法、利用者関与の方法
・通知・公表の方法、同意取得の方法:プライバシーポリシー等の掲示場所や掲示方法、同意取得の対象、タイミング等について記載する。
・利用者関与の方法:利用者情報の利用を中止する方法等を記載する。
6)外部送信・第三者提供・情報収集モジュールの有無
・外部送信・第三者提供・情報収集モジュールの組込みの有無を記載する。
7)問合せ窓口
・問合せ窓口の連絡先等(電話番号、メールアドレス等)を記載する。
8)プライバシーポリシーの変更を行う場合の手続
・プライバシーポリシーの変更を行った場合の通知方法等を記載する。
(当初取得した同意の範囲が変更される場合、改めて同意取得を行う。)
形式的対応ではなく「プライバシー・バイ・デザイン」を考えるべき
アプリが取得する情報の多くは、特定の個人とは紐づかない端末情報や位置情報等です。ところが個人情報以上に公表すべきことが多いのは少しアンバランスに感じます。
このような流れは、いわゆる「ミログ事件」がきっかけになったのだと思いますが、またしても大量のコピペ文書が世の中に出回ると思うと、少し気持ちが暗くなってしまいます。
特定電子メール法は迷惑メール業者を駆逐するために策定されたものですが、適正な事業者にも余計な負担が発生しています。今回のガイドラインも不正なアプリベンダーを駆逐する目的なのですが、適正なアプリベンダーに余計な負担が発生し、ユーザが読まされるコピペポリシーが、さらに増えることになりました。
お役所目線ではなく、ユーザ目線に立った「プライバシー・バイ・デザイン」を考える必要があると感じています。事業者がアプリの設計にあたってプライバシー面についもプロアクティブに考えることが本当に重要だと考えます。
<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ