ユーザーに通知せずにデータを収集して送信するアプリに対して政府の規制当局が介入して何らかの対策を講じるのを待っていた人には朗報がある。カリフォルニア州は、大手テクノロジー企業数社と共同で、水曜日にスマートフォンやタブレットのアプリを購入する消費者のプライバシー保護を世界規模で強化することに合意した。
カリフォルニア州司法長官カマラ・ハリス氏が発表した声明によると、同州はアップル、アマゾン、グーグル、HP、マイクロソフト、リサーチ・イン・モーションと協力し、各社のアプリマーケットを通じて販売されるアプリがカリフォルニア州法に準拠するように努めるという。
カリフォルニア州法では、個人情報を収集するすべてのアプリに、収集する情報とその情報の利用目的を明記したプライバシーポリシーを設けることが義務付けられています。
つまり、アプリ開発者は、カリフォルニア州の怒りを買いたくない限り、事前にユーザーに通知することなく、ユーザーの個人データを好き勝手に扱うことができなくなります。また、これらのアプリストアはインターネット接続があれば世界中のほぼどこからでもアクセスできるため、この新しいガイドラインの恩恵を受けるのはカリフォルニア州の住民だけではありません。
声明によれば、この合意に基づき、アプリマーケットは、スマートフォンやタブレットにアプリをインストールする前に、ユーザーにアプリのプライバシーポリシーを確認する機会を与えなければならず、ユーザーがどこを確認すればよいかわかるよう、「アプリのダウンロード画面で、アプリのプライバシーポリシーを一貫して表示する場所」に配置しなければならない。
これらの基準に準拠しないアプリ開発者は、カリフォルニア州の不正競争法または虚偽広告法に基づき訴追される可能性があります。これらの変更は今後数ヶ月かけて展開される予定です。
この合意は、カリフォルニア州司法長官事務所と6社による6ヶ月にわたる自主的な協力の成果です。カリフォルニア州副司法長官のアレクサンドラ・ロバート・ゴードン氏によると、ハリス司法長官は各社に対し、モバイルアプリのプライバシーを向上させるための方法を検討するよう要請しました。
「プライバシーは極めて重要であり、ユーザーに個人データの使用方法をコントロールするためのツールと情報を提供する必要があります」とロバート・ゴードン氏はPCWorldに語った。「これらのモバイルプライバシー原則は、数十億ものモバイルアプリをダウンロードする何百万人ものユーザーを保護するのに役立ちます。」
ロバート・ゴードン氏によると、カリフォルニア州の現行法では、ウェブサイトやアプリがカリフォルニア州居住者から個人データを収集する場合、たとえ個人を1人でも収集するのであれば、ユーザー向けにプライバシーポリシーを提供しなければならない。つまり、この合意はモバイルアプリを既存の法律により合致させるものとなるだろう。
モバイルアプリのプライバシー:継続的な問題
過去1年ほどの間に、多くのアプリ開発者がユーザーに通知することなく個人情報を収集または共有していたとして非難を浴びてきました。今月初めには、ソーシャルネットワーキングアプリ「Path」がユーザーのアドレス帳データを許可なくアップロードしていたことが発覚しました(同社はその後、この行為を中止し、謝罪しました)。また、昨年4月には、連邦政府がPandoraを含む複数のスマートフォンアプリ開発者のプライバシー慣行を調査しました。
現状では、スマートフォンやタブレットのOS間で、アプリがスマートフォンに保存されている個人情報を利用する際にどのように通知するかを規定する標準規格は存在しません。この点に関しては、モバイルOSによって対応が異なります。
たとえば、Android マーケットからアプリを購入すると、そのアプリが GPS 座標や連絡先リストなど、どのような情報にアクセスできるかを確認できます (ただし、あるアプリ開発者が指摘したように、ユーザーはこの情報を無視することが多いです)。
iOSでは、アプリをダウンロードしてインストールするまでは、このような情報は取得されません。ただし、アプリが位置情報を追跡する場合など、場合によっては、データを使用する前に確認を求められます。Appleは最近、ユーザーの同意なしにアドレス帳情報を収集するアプリは同社のApp Storeガイドラインに違反すると発表し、近日中にアプリがユーザーの許可なく個人情報を収集するのを防ぐアップデートをリリースすると発表しました。
進歩を歓迎する
水曜日に発表された合意は、モバイルアプリのプライバシーを全面的に向上させるための良い第一歩です。アプリ市場の大手企業がほぼ全員参加しているため、事実上すべてのスマートフォンとタブレットのユーザーが恩恵を受けるはずです。しかし、まだやるべきことは多くありません。PCWorldのマーク・サリバン氏が最近述べたように、ユーザーデータを保護するためには、より強力な法的保護が必要です。
[読んでください: 私たちのデータを守ろう!デジタル消費者権利章典]
そして、私たちはさらに一歩踏み込んで考えます。企業は、弁護士だけでなく、一般の人でも理解できるプライバシーポリシーを作成する必要があります。結局のところ、ほとんどの人にとって、専門用語だらけのプライバシーポリシー(または利用規約)は、プライバシーポリシーが全くないのと大差ありません。しかし、ロバート・ゴードン氏は、次の段階は「プライバシーポリシーを本来の目的通りに機能させる」ことだと述べています。つまり、プライバシーポリシーが有用であり、ユーザーのデータがどのように扱われるのかを明確に示すようにすることです。
私たちはこの合意から何が生まれるのかを楽しみにしており、それが企業の誠実さを維持するのに役立つことを願っています。
[カリフォルニア州、ニューヨーク・タイムズとギズモード経由]
