「～ the Movie」はシロだったのか？

　JSSEC（日本スマートフォンセキュリティ協会）は12月3日、10月30日にスマートフォン向けに情報流出アプリを作成、配布した疑いで逮捕された業者が11月20日に処分保留となった件について、内閣官房情報セキュリティセンター（NISC）、警察庁、消費者庁などに対して「スマートフォン情報流出アプリ事件の対応に関する意見書」を提出した。

　逮捕された業者というのは、「～ the Movie」というアプリを開発、配布していた企業だ。このアプリは、インストールされた端末の電話帳情報などを外部のサーバに不正に（無断で）送信していたということが発覚し、問題となった。流出した個人情報は1000万件超ともいわれている。

　この事件で警察は、不正指令電磁的記録供用容疑でアプリを配布した企業の役員らを逮捕した。ちなみに不正指令電磁的記録供用罪とは、俗に「ウイルス作成罪」と呼ばれているものだ。しかしその後、アプリに「利用規約」が存在しており、業者の不正行為の意図が明確でないと、東京地検が処分保留のまま容疑者を釈放した。

　この事件の一連の流れについては、「ウイルス作成罪」の適用について、民間の活動を必要以上に制限しないか、恣意的な運用がなされないかといった視点で、警察や地検が慎重に行動していると評価する向きもあった。

　一方で、無実の容疑者が自白調書をとられ、起訴までされた「遠隔操作ウイルス事件」とのアンバランスを指摘する声もある（なお、警視庁は遠隔操作ウイルス事件に関して、『インターネットを利用した犯行予告事件における警察捜査の問題点等について』という報告書を14日に公表している）。

　もちろん、2つの事件を同列に並べて単純な比較はできないが、企業なら慎重に捜査され、個人ならば自白の強要が安易に行われるなどということはあってはならないはずだ。

JSSECの3つの提言の意味は

　JSSECが公表した意見書の中では、主に次の3点の提言が行われている。

1. 1000万人を超えるとされる個人情報の流出があったことを改めて確認し、その事実を伝えるとともに、再発防止に向けて関係者が協力して可及的速やかに適切な処置を行うことを切に要請する。
2. 現在、処分保留とのことであるが、適切な目的のために収集していたものか判断できない状態であり、被害の拡大を防止する観点から、関係者により悪用の防止が図られることを要請する。
3. 当該アプリ配布者が個人情報取扱事業者である場合、必要に応じその監督官庁より個人情報保護法にのっとった指導を要請する。

　それぞれの意味するところを筆者なりの解釈でまとめると、「業者の意図は確かに不明かもしれないが、1000万件もの個人情報が流出している事実は重く、被害者への連絡や一般への周知を徹底してほしい。そして、可能ならば流出データの回収や破棄、アプリの悪用防止などの措置もとってほしい。また、個人情報保護法から問題の業者に対しても適切な措置が必要ではないか」ということになるだろう。

【次ページ】スマートフォンアプリの不透明さ