スマートフォンにおける固有IDの問題については、これまでもさまざまな場所で訴えられてきており、アップルのiOSにおけるアプリのUDID利用禁止もその流れの1つだ。国内でも、総務省の「スマートフォンを経由した利用者情報の取扱いに関するWG」が4月10日に中間とりまとめを公表している。
この中で固有IDは、「契約者の識別に係わる情報」として分類され、「直ちに氏名に到達できなくても、特定の契約者や端末等に付与された契約者固有のID についてどのように取り扱うことが適当であるか」との問題提起がなされている。こうした課題は、今後最終の提言に向けて議論が進められる方針だ。
このように、国も固有IDを含めたスマートフォンの利用者情報の扱いに関して対応を進めている。前回に引き続き、改めて固有IDの問題点を紹介したい。
固有IDの取得は慎重に
固有IDは、スマートフォンの端末やSIMなどに固有で割り当てられた識別IDで、それぞれIDが重ならないように個別に割り当てられている。一意の固有のIDは、端末やSIM、利用者を区別するのに役立つ情報ではある。
その固有IDが問題視されるのは、強力な識別性と、ユーザー側で変更できない永続性があるからだ。その端末を使っている限り、常に同じIDになるため、固有IDを取得すれば常にユーザーを識別できる。ユーザーにとってはいつ取得され、いつ送信され、そしてどのように利用されているかが判断の付かない情報だ。
同様の問題は、過去にPCの世界でもあった。例えば1999年発売のCPU「Pentium III」には「PSN(Processor Serial Number)」と呼ばれる固有IDが割り当てられていたが、これはリリース前から問題視され、インターネット経由での本人確認など、当初想定していた用途では使われることがなかった。
また、IPv6では端末のMACアドレスを使って一意のIPアドレスを生成するが、プライバシー保護のために「匿名(一時)アドレス」という仕組みが用意されている。2001年発行のRFC3041であり、すでに10年以上にわたってPC・インターネット業界では「固有IDを使ったユーザーの識別・認証」といった仕組みは排除されてきたと言っていいだろう。
そうした過去を追っていると言えるのが、現在のスマートフォンだ。PCに比べてさらに固有IDが多く、過去のPCに比べて常にネットワークに接続するスマートフォンでは、PCよりも固有IDの問題は大きい。それにもかかわらず、スマートフォンで固有IDを使うことに、危機感がない例が散見される。
多くのアプリで「携帯のステータスとIDの読み取り」が要求されているのが現状で、実際に固有IDが取得しながら、なぜ取得しているのか分からないアプリというのもある。この権限は、電話が通話中かどうかも取得するため、例えば音楽アプリで着信時にミュートする、といった用途にも使われるので、一概に固有IDを取得しているとは限らないが、説明がない限り、ユーザーには何を取得しているのか分からない(そもそもその説明が信用できるかどうかも分からない)。
収集された固有IDは、前回述べたとおり、名寄せやスーパーCookieといったプライバシーリスクのある使われ方をするかもしれない。固有IDの他者提供や漏えいなどといった問題も起こりうる。こうした場合にも、ユーザーは固有IDを変更することができず、端末を変えるしか手はなく、大きな負担をユーザーに課すことになってしまう。
固有IDは、UDIDやIMEI、Android IDといったものに加え、無線LAN端末が持つMACアドレスもある。ネット上では一部で、UDIDの代わりにMACアドレスを取得して同じ機能を実現しようという動きもあるが、固有IDであることには変わりなく、これまで記してきた問題を抱えているため、安易なMACアドレスの利用は問題がある。繰り返すが、IPv6で匿名アドレスが用意されているのは、プライバシーの問題があるからだ。
固有ID利用におけるプライバシーリスク以外で、セキュリティの問題としてユーザー認証で使うべきでないという点が挙げられる。かんたんログインでは使われていたが、これは特殊な条件があるからで、インターネットに直接接続できるスマートフォンでは有効に機能しない。
ユーザー認証であれば、ユーザーID・パスワードを使う、Open IDを使うといった方法があり、Cookieを使うなどしてログイン時間を長くすれば、これまでのかんたんログインと同様のことは実現できる。もちろん、長時間ログアウトしないことで、不正ログインなどの危険性は増すが、これはかんたんログインでもあった問題だし、ユーザーはログアウトすれば追跡されず、固有IDのような問題は起きない。
安易なパスワードで不正ログインされた場合はユーザー側の責任でもあるが、固有IDを認証に使っていてなりすましや不正アクセスが行われた場合、アプリ側の設計の問題であることは考慮しておきたい。
そもそも固有IDが必要なシーンはしっかり検討すべきだ。スマートフォンで利用できる機能で、固有IDの代わりになるものとしてはCookieがあり、アプリで作成したローカルIDも使えるだろう。アプリをアンインストールした場合に、再インストールでサービスを継続利用させたいというだけなら、ユーザーIDとパスワードでいい。そもそも、機種変更などで端末が変わったら追跡できない固有IDの方が、サービス継続性という意味では問題があると思う。
第三者Cookieの仕組みがないため、固有IDを使わないとターゲティング広告が難しいという側面はある。これに関しては、きちんとユーザーに説明を行い、納得できる形で提供することが大事だろう。広告のSDKが取得するからといって、ユーザーにとってはアプリのどの機能で固有IDを取得しているか分からないので、権限取得の理由を示さなければ、アプリの信用問題にもつながってくる。ユーザーに判断する材料をきちんと提示し、例えば固有IDを取得しない(広告のない)有料アプリを用意するといった選択肢を設けるのも手だろう。
現時点で、固有IDの利用を完全に排除するのは難しく、固有IDがなければならないというシーンもあるかもしれないが、深く考えずに固有IDの取得を行っていないだろうか。開発者は、固有IDの取得に関しては再検討を行い、必要性を考慮して欲しい。必要であるならば、それを明記することで、ユーザーの安心感は増し、アプリの信頼感も向上する。広告用途であるならば、アプリ開発者は固有IDを収集する必要はないし、開発者とは異なる広告側なら、アプリのサービスと固有IDを紐付けることはできないし、そもそも個人を特定する必要もない。
固有IDを取得するのがすべて問題なのではなく、必要最小限のものを、適切に取得して、適正に管理・運用するのなら、取得自体は(現状では)仕方のない面もあるだろう。プライバシーポリシーや利用規約で説明すれば何でも取得できるというものではないが、必要性と取得範囲を明確にし、最小限の取得であれば、ユーザーの納得も得やすい。それでも、なりすまし防止のようなセキュリティ用途としては不備があるばかりか、プライバシーの問題を引き起こしかねない固有IDの取得は、慎重になるべきだ。
