総務省SPIの成立と対応

342
-1

Published on

日本Androidの会熊本支部LT用

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
342
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

総務省SPIの成立と対応

  1. 1. 総務省 SPI の成立と対応 日本 Android の会 「 Android と HTML5 」 全国縦断セミナー in 熊本 2013/9/8( 日 )
  2. 2. 自己紹介
  3. 3. id:greenz  個人情報保護に関る業務を実施。  私的に熊本情報セキュリティ勉強会「セキュ リティさくら」を運営。  「セキュリティさくら」は、年4回程度で 60 名程度の参加者。学生が 1/3 、県外が 1/3 、新 規が 1/3 といった構成。  外部から講師を連れてくる+ LT の形で地元か らの参加者を増やす等取り組みを実施。
  4. 4. セキュリティさくら 1 . 大木「マネジメントという視点から見る『セキュ リティ』」 2. 愛甲「世界大会 DEFCON CTF に行ってきました」 3. 高倉「 Advanced Persistent Threat 」、前田「 Android マル ウェアと対策ソフトの実情」 4. 相戸「やってみよう緊急対策訓練」 5. 辻「 WHAT IS ANONYMOUS 」 6. 岡谷「サイバー攻撃を技術オバービューから国際 情勢まで俯瞰して見て繋がりを体感してみよう」 7. 河野「情報セキュリティの地頭作り。どんなリス クにも対応できる考え方をもう一度」 8. 初田「不正アクセス調査におけるコンピュータフ ォレンジック」
  5. 5. スマートフォンへの脅威
  6. 6. McAfee 脅威レポート :2013 年第 1 四半期
  7. 7. McAfee 脅威レポート :2013 年第 1 四半期
  8. 8. 利用目的という問題
  9. 9. 利用目的という問題 マルウェアによる脅威が加速度的に増えている が、それとは属性を異にする問題も以前残って いる。 Android の場合、「パーミッション」により利用 する機能は説明する。 ただし、「何のために利用するのか」が置き去 りにされており、一般ユーザには判断が難しい 。 結果として、過剰な「パーミッション」を要求 するマルウェアもしくはそれに類するものが現 れている。
  10. 10. 総務省スマートフォンプライバシー イニシアチブ
  11. 11. 総務省スマートフォン プライバシーイニシアチブ  H24.8.7  総務省「スマートフォンプライバシーイニシア チブ」公開  H24.11.13 MCF「スマートフォンのアプリケーション・ プライバシーポリシーに関するガイドライン」公開  H25.7.3  総務省「利用者視点を踏まえた ICT サービスに 係る諸問題に関する研究会提言「スマートフォン安心安全 強化戦略」(案)に対する意見募集」  H25.9.4  総務省「スマートフォン安心安全強化戦略」の 公表
  12. 12. 総務省スマートフォン プライバシーイニシアチブ スマートフォンの安心安全な利用環境を構築するこ とを目的としたイニシアチブ。 個人情報だけでなく利用者情報も対象としている。 アプリケーション毎のプライバシーポリシーを明ら かにする仕組みの導入を検討。 初期公開時より総務省が中心となり Google 等への働 きかけを進め、一定の進捗が見られる。 一方、 MCF 等を通じて業界ガイドラインは整備が 進んでいるが、開発側へは中々浸透していない。
  13. 13. ポリシー掲載事項 ① 情報を取得するアプリケーション提供者等の氏名又は名称  ・アプリケーション提供者等の名称、連絡先等を記載する。 ② 取得される情報の項目  ・取得される利用者情報の項目・内容を列挙する。 ③ 取得方法  ・利用者の入力によるものか、アプリケーションがスマートフォン   内部の情報を自動取得するものなのか等を示す。 ④ 利用目的の特定・明示  ・利用者情報を、アプリケーション自体の利用者に対するサービス   提供のために用いるのか、それ以外の目的のために用いるのか記   載する。  ・広告配信・表示やマーケティング目的のために取得する場合には 、   その旨明示する。
  14. 14. ポリシー掲載事項 ⑤ 通知・公表又は同意取得の方法、利用者関与の方法  ・通知・公表の方法、同意取得の方法:プライバシーポリシー等の   掲示場所や掲示方法、同意取得の対象、タイミング等について記   載する。  ・利用者関与の方法:利用者情報の利用を中止する方法等を記載す   る。 ⑥ 外部送信・第三者提供・情報収集モジュールの有無  ・外部送信・第三者提供・情報収集モジュールの組込みの有無を記   載する。 ⑦ 問合せ窓口  ・問合せ窓口の連絡先等(電話番号、メールアドレス等)を記載す   る。 ⑧ プライバシーポリシーの変更を行う場合の手続  ・プライバシーポリシーの変更を行った場合の通知方法等を記載す   る。  (当初取得した同意の範囲が変更される場合、改めて同意取得を行う。)
  15. 15. アプリケーションのプライバシーポリシーの 作成・掲載状況 アプリケーションのプライバシーポリシーをあらかじめ 作成し、①アプリケーション内表示、②アプリケーション 提供サイトへの掲示(又はハイパーリンク)、③アプリ提 供者ホームページ掲載などの方法で公表している事例も多 く見られた。 一方、① ~③ のいずれも掲載がない場合が最も人気の高い アプリの中でも約2割程度あった。 日米を比較すると、①のアプリ内における掲載は米国が 約5割弱、日本が約4割弱であった。②のアプリケーショ ン提供サイト におけるハイパーリンクの割合が米国は高く約5割強、 一方日本は約2.5割であった。
  16. 16. アプリケーション プライバシーポリシーの作成支援
  17. 17. KDDI 研究所の取り組み H25.9.5 KDDI 研究所はスマートフォンアプリ開 発者向けにプライバシーポリシー作成支援ツー ルを公開。 Android アプリのプライバシーポリシー作成を支 援する Eclipse プラグイン。同プラグインを利用す ることで、総務省が公開する「スマートフォン プライバシー イニシアティブ ( 以下、 SPI) 」に 定められた要件を満たすアプリケーションプラ イバシーポリシーをアプリ開発と並行して容易 に作成が行える。
  18. 18. 支援ツール
  19. 19. 支援ツールの使用方法 Eclipse の [Help] から [Install New Software..] からイン ストール (Location: 欄に http://www.kddilabs.jp/ppcpluginsite/) Package Explore 上でスキャンしたいプロジェクト のルートを選択し分析。 分析に基づくポリシーが出力されるため、 [ 事 業者情報 ] 、 [ 外部送信 ] 、 [ 関与手段 ] 、 [ ファイル情報 ] 、 [PrivacyPolicy.xml] を編集する 。 概要版、詳細版の 2 つを Export する。
  20. 20. 簡単なまとめ
  21. 21. 総務省スマートフォンプライバシーイニシア チブ自体は強制力を持たない。 ただし、調査等で浸透していないことは把握 しており、徐々に包囲網が狭まってくる。 早い段階から、利用目的等の作成に馴染んで おくと後から苦労しなくてもいいかも。
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×