総務省SPIの成立と対応
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

総務省SPIの成立と対応

  • 392 views
Uploaded on

日本Androidの会熊本支部LT用

日本Androidの会熊本支部LT用

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
392
On Slideshare
392
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
1
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 総務省 SPI の成立と対応 日本 Android の会 「 Android と HTML5 」 全国縦断セミナー in 熊本 2013/9/8( 日 )
  • 2. 自己紹介
  • 3. id:greenz  個人情報保護に関る業務を実施。  私的に熊本情報セキュリティ勉強会「セキュ リティさくら」を運営。  「セキュリティさくら」は、年4回程度で 60 名程度の参加者。学生が 1/3 、県外が 1/3 、新 規が 1/3 といった構成。  外部から講師を連れてくる+ LT の形で地元か らの参加者を増やす等取り組みを実施。
  • 4. セキュリティさくら 1 . 大木「マネジメントという視点から見る『セキュ リティ』」 2. 愛甲「世界大会 DEFCON CTF に行ってきました」 3. 高倉「 Advanced Persistent Threat 」、前田「 Android マル ウェアと対策ソフトの実情」 4. 相戸「やってみよう緊急対策訓練」 5. 辻「 WHAT IS ANONYMOUS 」 6. 岡谷「サイバー攻撃を技術オバービューから国際 情勢まで俯瞰して見て繋がりを体感してみよう」 7. 河野「情報セキュリティの地頭作り。どんなリス クにも対応できる考え方をもう一度」 8. 初田「不正アクセス調査におけるコンピュータフ ォレンジック」
  • 5. スマートフォンへの脅威
  • 6. McAfee 脅威レポート :2013 年第 1 四半期
  • 7. McAfee 脅威レポート :2013 年第 1 四半期
  • 8. 利用目的という問題
  • 9. 利用目的という問題 マルウェアによる脅威が加速度的に増えている が、それとは属性を異にする問題も以前残って いる。 Android の場合、「パーミッション」により利用 する機能は説明する。 ただし、「何のために利用するのか」が置き去 りにされており、一般ユーザには判断が難しい 。 結果として、過剰な「パーミッション」を要求 するマルウェアもしくはそれに類するものが現 れている。
  • 10. 総務省スマートフォンプライバシー イニシアチブ
  • 11. 総務省スマートフォン プライバシーイニシアチブ  H24.8.7  総務省「スマートフォンプライバシーイニシア チブ」公開  H24.11.13 MCF「スマートフォンのアプリケーション・ プライバシーポリシーに関するガイドライン」公開  H25.7.3  総務省「利用者視点を踏まえた ICT サービスに 係る諸問題に関する研究会提言「スマートフォン安心安全 強化戦略」(案)に対する意見募集」  H25.9.4  総務省「スマートフォン安心安全強化戦略」の 公表
  • 12. 総務省スマートフォン プライバシーイニシアチブ スマートフォンの安心安全な利用環境を構築するこ とを目的としたイニシアチブ。 個人情報だけでなく利用者情報も対象としている。 アプリケーション毎のプライバシーポリシーを明ら かにする仕組みの導入を検討。 初期公開時より総務省が中心となり Google 等への働 きかけを進め、一定の進捗が見られる。 一方、 MCF 等を通じて業界ガイドラインは整備が 進んでいるが、開発側へは中々浸透していない。
  • 13. ポリシー掲載事項 ① 情報を取得するアプリケーション提供者等の氏名又は名称  ・アプリケーション提供者等の名称、連絡先等を記載する。 ② 取得される情報の項目  ・取得される利用者情報の項目・内容を列挙する。 ③ 取得方法  ・利用者の入力によるものか、アプリケーションがスマートフォン   内部の情報を自動取得するものなのか等を示す。 ④ 利用目的の特定・明示  ・利用者情報を、アプリケーション自体の利用者に対するサービス   提供のために用いるのか、それ以外の目的のために用いるのか記   載する。  ・広告配信・表示やマーケティング目的のために取得する場合には 、   その旨明示する。
  • 14. ポリシー掲載事項 ⑤ 通知・公表又は同意取得の方法、利用者関与の方法  ・通知・公表の方法、同意取得の方法:プライバシーポリシー等の   掲示場所や掲示方法、同意取得の対象、タイミング等について記   載する。  ・利用者関与の方法:利用者情報の利用を中止する方法等を記載す   る。 ⑥ 外部送信・第三者提供・情報収集モジュールの有無  ・外部送信・第三者提供・情報収集モジュールの組込みの有無を記   載する。 ⑦ 問合せ窓口  ・問合せ窓口の連絡先等(電話番号、メールアドレス等)を記載す   る。 ⑧ プライバシーポリシーの変更を行う場合の手続  ・プライバシーポリシーの変更を行った場合の通知方法等を記載す   る。  (当初取得した同意の範囲が変更される場合、改めて同意取得を行う。)
  • 15. アプリケーションのプライバシーポリシーの 作成・掲載状況 アプリケーションのプライバシーポリシーをあらかじめ 作成し、①アプリケーション内表示、②アプリケーション 提供サイトへの掲示(又はハイパーリンク)、③アプリ提 供者ホームページ掲載などの方法で公表している事例も多 く見られた。 一方、① ~③ のいずれも掲載がない場合が最も人気の高い アプリの中でも約2割程度あった。 日米を比較すると、①のアプリ内における掲載は米国が 約5割弱、日本が約4割弱であった。②のアプリケーショ ン提供サイト におけるハイパーリンクの割合が米国は高く約5割強、 一方日本は約2.5割であった。
  • 16. アプリケーション プライバシーポリシーの作成支援
  • 17. KDDI 研究所の取り組み H25.9.5 KDDI 研究所はスマートフォンアプリ開 発者向けにプライバシーポリシー作成支援ツー ルを公開。 Android アプリのプライバシーポリシー作成を支 援する Eclipse プラグイン。同プラグインを利用す ることで、総務省が公開する「スマートフォン プライバシー イニシアティブ ( 以下、 SPI) 」に 定められた要件を満たすアプリケーションプラ イバシーポリシーをアプリ開発と並行して容易 に作成が行える。
  • 18. 支援ツール
  • 19. 支援ツールの使用方法 Eclipse の [Help] から [Install New Software..] からイン ストール (Location: 欄に http://www.kddilabs.jp/ppcpluginsite/) Package Explore 上でスキャンしたいプロジェクト のルートを選択し分析。 分析に基づくポリシーが出力されるため、 [ 事 業者情報 ] 、 [ 外部送信 ] 、 [ 関与手段 ] 、 [ ファイル情報 ] 、 [PrivacyPolicy.xml] を編集する 。 概要版、詳細版の 2 つを Export する。
  • 20. 簡単なまとめ
  • 21. 総務省スマートフォンプライバシーイニシア チブ自体は強制力を持たない。 ただし、調査等で浸透していないことは把握 しており、徐々に包囲網が狭まってくる。 早い段階から、利用目的等の作成に馴染んで おくと後から苦労しなくてもいいかも。