HromitsuTakagiさんによるスマートフォンアプリとそのモジュールによる固有ID送信に関する一連のツイート

Hiromitsu Takagi @HiromitsuTakagi

三井住友銀行「すまーと収支」が改善。①要求パーミッションが「完全なインターネット アクセス」のみに。②GREE RewardとAppAnalyzerが削除されたもよう。③http://t.co/gpCW5fwN に「パーミッションの説明」が記載。

Hiromitsu Takagi @HiromitsuTakagi

「すまーと収支」の顛末について検討。GREE RewardもAppAnalyzerもIMEI又はANDROID_IDを送信するものである時点で、少なくとも、それらモジュール採用のアプリ提供者は、送信事実の告知義務がある。こうした告知は、採用アプリ提供者が個別に説明するのではなく…

Hiromitsu Takagi @HiromitsuTakagi

…ではなく、モジュール提供者（GREE等）が説明文をWebサイト等に掲示し、モジュール採用者がその説明文へのリンクを示して当該モジュール採用の事実を説明するのが正しい。しかし、GREE Rewardは、説明らしきものが見つからないばかりか、存在自体未公表と推定される。そのような…

Hiromitsu Takagi @HiromitsuTakagi

…そのような得体の知れないモジュールを、アプリの本来機能とは無関係であるにも関わらず、秘密裏に組み込んで提供するというのは、（不正指令電磁的記録罪に該当するほどのものではないと思うが）銀行という一定の公共性と信用性が求められる事業者にとっては、良き慣行とは言えないだろう。

Hiromitsu Takagi @HiromitsuTakagi

「すまーと収支」におけるGREE Rewardモジュールの働きは、リワード広告における成果確認（このアプリがどこかの広告で宣伝されていて、その広告経由でダウンロードした人が実際にアプリ起動にまで至ったかの確認）のために、アプリ起動時にIMEIをGREEに送信しているものと推察。

Hiromitsu Takagi @HiromitsuTakagi

結果として、GREEは、広告対象としたことのある全てのアプリについて、全てのAndroid端末毎に、その使用の有無を把握することができる状態になる。これは、ミログが言うところの「アプリ情報」に相当するもの（後述）であり、ミログ同様の構想を持っていたとすれば、それは問題が大きい。

Hiromitsu Takagi @HiromitsuTakagi

GREE Rewardの意図は公表されておらず不明であるが、いくつもの可能性が考えられる。(1)起動する度にそれを通知し、オーディエンス分析に利用、(2)初回起動時にだけ通知し、オーディエンス分析に利用、(3)初回起動時にだけ通知し、オーディエンス分析には用いない。

Hiromitsu Takagi @HiromitsuTakagi

リワード広告の本来目的には(3)でなければならない。(1)だとするとミログの行為に近い。ただし、(1)だとしてもミログに比べて相対的には問題は小さめ。その理由は、http://t.co/vwMQR1Wp で述べている通り、アドネットワークの外に出ていないから。

Hiromitsu Takagi @HiromitsuTakagi

どこから不正指令電磁的記録罪に該当し得るか。おそらく意見は分かれる。(1)としても、手段から見ると、ミログのようにローカルリソースに触っているわけではないという理由で伝統的なスパイウェアには当たらないと言うこともできるし、結果から見ると、先のようにアドネットワークから出ていない。

Hiromitsu Takagi @HiromitsuTakagi

しかし、アドネットワークから出ていないにしても、IMEIを用いてオーディエンスの人物像を作り上げているなら、そのこと自体をプライバシーリスクとして問題視し、不正指令電磁的記録に該当するという主張もあり得る。（現時点では、私はこの立場をとらない。）

Hiromitsu Takagi @HiromitsuTakagi

(3)の場合も複数に分けられる。(3-a)通知されたIMEIは成果確認後に消去する。(3-b)通知されたIMEIは（複数クリック防止のため）永久保存する。http://t.co/vwMQR1Wp によると、 園田教授は、IMEIを無断で取得しただけで該当し得るという立場のようだ。

Hiromitsu Takagi @HiromitsuTakagi

私は、現時点では、IMEIを無断送信しただけで不正指令電磁的記録罪に該当というのは、非現実的だという立場。なぜなら、ガラケーで、iモードIDやX-UP-SUBNOが送信されている既成事実と整合しないし、個人情報保護法解釈の現行通説とも整合しない。（将来的にあり得るのは否定しない）

Hiromitsu Takagi @HiromitsuTakagi

なお、ガラケーのケータイID送信が不正指令電磁的記録罪に当たらないのは、「既成事実だから」ではなく、初めからそういう機能の装置であって後から追加するプログラムが引き起こしている挙動ではないから、プログラムに対する社会的信頼を害しているわけではない……というのが私の説。

Hiromitsu Takagi @HiromitsuTakagi

なお、ガラケーのケータイID送信が不正指令電磁的記録罪に当たらないのは、「既成事実だから」ではなく、初めからそういう機能の装置であって後から追加するプログラムが引き起こしている挙動ではないから、プログラムに対する社会的信頼を害しているわけではない……というのが私の説。

Hiromitsu Takagi @HiromitsuTakagi

加えて、GREE Rewardが前記(3)であるならば、リワード広告を実現するために必要不可欠な手段だという理由で、「正当な理由がないのに」に該当せず、不正指令電磁的記録罪に当たらないという考え方も成り立つかもしれない。その点、(2)や(1)であるなら、その道はない。

Hiromitsu Takagi @HiromitsuTakagi

(2)や(1)の場合でも、オーディエンスターゲティング広告のために必要だから「正当な理由がないのに」に該当しないとする主張があり得るが、それが認められるかというと、(3)の場合よりは弱い。なぜなら、オーディエンスターゲティング広告のために、永久不変のIDを用いることは必須ではなく

Hiromitsu Takagi @HiromitsuTakagi

…必須ではなく、実際、米国ではWebのターゲティング広告において、トラッキング期間を区切ることが要求されていて、真っ当な事業者は業界ガイドラインに従っている。ただし、Androidにおいて、IMEI等を用いずに、一時的なIDを用いてトラッキングができるのかという技術的課題はある。

Hiromitsu Takagi @HiromitsuTakagi

ここで、リワード広告実現のためにはIMEI等の端末IDが必須なのかという点が論点となる。これについては、UDID非推奨化のときに http://t.co/wgmadBzU で検討されていた。

Hiromitsu Takagi @HiromitsuTakagi

む、ちょっと間違ったか。一般にリワード広告においては、報酬還元先のアプリでユーザ管理がされているから、「複数クリック防止」は不要で、前記(3-b)の必然性は全くない…のかな？ 「(3)であるならば、リワード広告を実現するために必要不可欠な手段だという理由で」も成り立たないかも。

Hiromitsu Takagi @HiromitsuTakagi

次に、不正指令電磁的記録の罪に当たらないなら問題ないというわけではない…と言うべきという話で、こちらが本題。ただし、これは、日本では現行法では法的拘束力のない話で、モラルの話というしかない。

Hiromitsu Takagi @HiromitsuTakagi

続き。

Hiromitsu Takagi @HiromitsuTakagi

最初に戻って、「すまーと収支」ではGREE RewardもAppAnalyzerも削除された。両者はIMEI又はANDROID_IDを送信するものだった。それぞれ、リワード広告の成果確認のため、Google Analytics的な機能実現のためであろうが、前者には…

Hiromitsu Takagi @HiromitsuTakagi

…前者には端末IDを使わない方法があるかもしれず、後者では明らかに端末IDを使う必然性がない。

Hiromitsu Takagi @HiromitsuTakagi

Google Analyticsは、今や従来からのWeb向けのみならず、スマホアプリに組み込んで使うモジュールも提供しており、アプリ内の様々な利用者の操作を、Webのページビューやイベントに見た立てて、従来のGoogle Analyticsと同様に分析結果を閲覧できるというもの。

Hiromitsu Takagi @HiromitsuTakagi

その実現に際しては端末IDは不要であり、モジュールを埋め込むアプリ内でローカルなUUIDv4値を用いれば十分で、Google Analyticsはそのようにしている（はずで要確認）。（この目的のモジュールは全て、この方式で実現するべきで、端末ID使用のものは潰したい。）