お知らせ
2012年12月3日
一般社団法人日本スマートフォンセキュリティ協会
本意見書について
JSSECは、2012年12月3日付けで「スマートフォン情報流出アプリ事件の対応に関する意見書」を取りまとめ、消費者庁消費者制度課個人情報保護推進室宛てに申し入れを行いました。また、内閣官房情報セキュリティセンター、総務省消費者行政課、総務省セキュリティ対策室、経済産業省情報政策局情報経済課、経済産業省セキュリティ政策室、 警察庁へ、消費者庁へ申し入れを行ったことをお伝えいたしました。
スマートフォン情報流出アプリ事件の対応に関する意見書
一般社団法人 日本スマートフォンセキュリティ協会
会長 安田 浩
スマートフォン(高機能携帯電話=スマホ)の連絡先(電話帳)に登録されている個人情報を抜き取り、インターネットに送信するアプリケーション(アプリ)を配布したとして、警視庁サイバー犯罪対策課は10月30日、IT関連会社の元経営者らを不正指令電磁的記録供用容疑で逮捕した。しかし、11月20日、東京地検は「現時点で起訴するだけの証拠がない」として、処分保留のまま釈放したとの報道がなされた。 スマートフォンアプリの性質を踏まえ、不正指令電磁的記録供用について、これまでと同様に、今後とも厳正な捜査が行われることを要望する。
一方、スマートフォンの安心安全な利用環境を確保していくために犯罪捜査以外にも、被害拡大の防止、情報流出の二次被害防止等の観点から、関係機関の連携と迅速な対応が急務であると考える。本件においては1000万件もの電話番号やメールアドレスなどが外部のサーバーに送信されたと報じられているが、その被送信者は、当該アプリ利用者ではなく、アプリ利用者のスマートフォンの電話帳に登録されていただけの人物であり、どのような目的で情報を収集したか不明の第三者に自身の個人情報を保持されていた事実を知らない可能性が高いものであり、その影響は大きいためである。 不正に取得され送信された情報が悪用される懸念を払拭できない中、少なくとも第三者に利用目的が不明なまま保持された事実を、被取得者本人に知らせ選択肢を提供することが、国民を守る意味で重要と考える次第である。
また、現状、スマホでアプリインストール時に自動的に表示されるアプリ使用権限の表記だけでは、アプリ配布者による情報の外部送信の有無や利用目的等の明確な説明はなされず不十分と考える。きちんと情報の取得目的や第三者提供の有無などスマートフォンから取得する情報の取扱いに関する透明性を高め、利用者に選択の機会を持たせることも急務であると考えるものであり、以下の点を要望するもの
である。
1)1000万人を超えるとされる個人情報の流出があったことを改めて確認し、その事実を伝えるとともに、再発防止に向けて関係者が協力して可及的速やかに適切な処置を行うことを切に要請する。
2)現在、処分保留とのことであるが、適切な目的のために収集していたものか判断できない状態であり、被害の拡大を防止する観点から、関係者により悪用の防止が図られることを要請する。
3)当該アプリ配布者が個人情報取扱事業者である場合、必要に応じその監督官庁より個人情報保護法にのっとった指導を要請する。
スマートフォンにおける利用者情報の適正な取扱いの在り方については、平成24年8月に総務省の研究会が透明性を高めるために適切なプライバシーポリシーの作成や同意取得を行うよう提言を発表し、平成24年10月にはスマートフォンの利用者情報等に関する連絡協議会が関係する業界団体、企業など民間主導により関係省庁の協力も得つつ設立されたところである。また、利用者に対するセキュリティ分野
の情報発信についても進められている。
利用者が今後同様の被害に会うことなく安心安全にスマートフォンのアプリケーションを活用できる環境整備を確保するため、民間主導の下で関係省庁を含めた官民連携した取組を加速し、利用者への適切な情報提供を図っていくことを提案する。
以上