日本Androidの会熊本支部LT用

1. 総務省 SPI の成立と対応
日本 Android の会 「 Android と HTML5 」
全国縦断セミナー in 熊本
2013/9/8( 日 )

2. 自己紹介

3. id:greenz
 個人情報保護に関る業務を実施。
 私的に熊本情報セキュリティ勉強会「セキュ
リティさくら」を運営。
 「セキュリティさくら」は、年４回程度で 60
名程度の参加者。学生が 1/3 、県外が 1/3 、新
規が 1/3 といった構成。
 外部から講師を連れてくる＋ LT の形で地元か
らの参加者を増やす等取り組みを実施。

4. セキュリティさくら
1 . 大木「マネジメントという視点から見る『セキュ
リティ』」
2. 愛甲「世界大会 DEFCON CTF に行ってきました」
3. 高倉「 Advanced Persistent Threat 」、前田「 Android マル
ウェアと対策ソフトの実情」
4. 相戸「やってみよう緊急対策訓練」
5. 辻「 WHAT IS ANONYMOUS 」
6. 岡谷「サイバー攻撃を技術オバービューから国際
情勢まで俯瞰して見て繋がりを体感してみよう」
7. 河野「情報セキュリティの地頭作り。どんなリス
クにも対応できる考え方をもう一度」
8. 初田「不正アクセス調査におけるコンピュータフ
ォレンジック」

8. スマートフォンへの脅威

9. McAfee 脅威レポート :2013 年第 1 四半期

10. McAfee 脅威レポート :2013 年第 1 四半期

11. 利用目的という問題

12. 利用目的という問題
マルウェアによる脅威が加速度的に増えている
が、それとは属性を異にする問題も以前残って
いる。
Android の場合、「パーミッション」により利用
する機能は説明する。
ただし、「何のために利用するのか」が置き去
りにされており、一般ユーザには判断が難しい
。
結果として、過剰な「パーミッション」を要求
するマルウェアもしくはそれに類するものが現
れている。

14. 総務省スマートフォンプライバシー
イニシアチブ

15. 総務省スマートフォン
プライバシーイニシアチブ
 H24.8.7 総務省「スマートフォンプライバシーイニシア
チブ」公開
 H24.11.13 ＭＣＦ「スマートフォンのアプリケーション・
プライバシーポリシーに関するガイドライン」公開
 H25.7.3 総務省「利用者視点を踏まえた ICT サービスに
係る諸問題に関する研究会提言「スマートフォン安心安全
強化戦略」（案）に対する意見募集」
 H25.9.4 総務省「スマートフォン安心安全強化戦略」の
公表

16. 総務省スマートフォン
プライバシーイニシアチブ
スマートフォンの安心安全な利用環境を構築するこ
とを目的としたイニシアチブ。
個人情報だけでなく利用者情報も対象としている。
アプリケーション毎のプライバシーポリシーを明ら
かにする仕組みの導入を検討。
初期公開時より総務省が中心となり Google 等への働
きかけを進め、一定の進捗が見られる。
一方、 MCF 等を通じて業界ガイドラインは整備が
進んでいるが、開発側へは中々浸透していない。

17. ポリシー掲載事項
① 情報を取得するアプリケーション提供者等の氏名又は名称
・アプリケーション提供者等の名称、連絡先等を記載する。
② 取得される情報の項目
・取得される利用者情報の項目・内容を列挙する。
③ 取得方法
・利用者の入力によるものか、アプリケーションがスマートフォン
内部の情報を自動取得するものなのか等を示す。
④ 利用目的の特定・明示
・利用者情報を、アプリケーション自体の利用者に対するサービス
提供のために用いるのか、それ以外の目的のために用いるのか記
載する。
・広告配信・表示やマーケティング目的のために取得する場合には
、
その旨明示する。

18. ポリシー掲載事項
⑤ 通知・公表又は同意取得の方法、利用者関与の方法
・通知・公表の方法、同意取得の方法：プライバシーポリシー等の
掲示場所や掲示方法、同意取得の対象、タイミング等について記
載する。
・利用者関与の方法：利用者情報の利用を中止する方法等を記載す
る。
⑥ 外部送信・第三者提供・情報収集モジュールの有無
・外部送信・第三者提供・情報収集モジュールの組込みの有無を記
載する。
⑦ 問合せ窓口
・問合せ窓口の連絡先等（電話番号、メールアドレス等）を記載す
る。
⑧ プライバシーポリシーの変更を行う場合の手続
・プライバシーポリシーの変更を行った場合の通知方法等を記載す
る。
（当初取得した同意の範囲が変更される場合、改めて同意取得を行う。）

20. アプリケーションのプライバシーポリシーの
作成・掲載状況
アプリケーションのプライバシーポリシーをあらかじめ
作成し、①アプリケーション内表示、②アプリケーション
提供サイトへの掲示（又はハイパーリンク）、③アプリ提
供者ホームページ掲載などの方法で公表している事例も多
く見られた。
一方、① ~③ のいずれも掲載がない場合が最も人気の高い
アプリの中でも約２割程度あった。
日米を比較すると、①のアプリ内における掲載は米国が
約５割弱、日本が約４割弱であった。②のアプリケーショ
ン提供サイト
におけるハイパーリンクの割合が米国は高く約５割強、
一方日本は約２．５割であった。

21. アプリケーション
プライバシーポリシーの作成支援

22. KDDI 研究所の取り組み
H25.9.5 KDDI 研究所はスマートフォンアプリ開
発者向けにプライバシーポリシー作成支援ツー
ルを公開。
Android アプリのプライバシーポリシー作成を支
援する Eclipse プラグイン。同プラグインを利用す
ることで、総務省が公開する「スマートフォン
プライバシー イニシアティブ ( 以下、 SPI) 」に
定められた要件を満たすアプリケーションプラ
イバシーポリシーをアプリ開発と並行して容易
に作成が行える。

23. 支援ツール

24. 支援ツールの使用方法
Eclipse の [Help] から [Install New Software..] からイン
ストール (Location: 欄に
http://www.kddilabs.jp/ppcpluginsite/)
Package Explore 上でスキャンしたいプロジェクト
のルートを選択し分析。
分析に基づくポリシーが出力されるため、 [ 事
業者情報 ] 、 [ 外部送信 ] 、 [ 関与手段 ] 、
[ ファイル情報 ] 、 [PrivacyPolicy.xml] を編集する
。
概要版、詳細版の 2 つを Export する。

25. 簡単なまとめ

26. 総務省スマートフォンプライバシーイニシア
チブ自体は強制力を持たない。
ただし、調査等で浸透していないことは把握
しており、徐々に包囲網が狭まってくる。
早い段階から、利用目的等の作成に馴染んで
おくと後から苦労しなくてもいいかも。