1. 情報セキュリティブログ ホーム
  2. 月イチIT総括
  3. 携帯電話の「端末ID」開放とプライバシーリスクの問題

携帯電話の「端末ID」開放とプライバシーリスクの問題

モバイル向けのコンテンツやサービス、広告などで、いわゆる「端末ID」といわれる携帯電話固有の個体識別IDが活用されるケースが増えてきている。例えば、モバイル向けのサイトで、ログイン時にパスワード不要でログインできる「簡単ログイン機能」などだ。

従来、各キャリアは利用者に固有の「端末ID」を公式サイトの運営者にのみ提供してきた。これが、今年3月末にドコモが公式サイト以外の一般サイトに開放したことにより、現在では全キャリアが一般サイトでの利用を可能にしている。

この「端末ID」の開放に伴い、プライバシーやセキュリティ上の問題点を指摘する記事が報じられているので以下に紹介していきたい。

携帯ID開放の危うさ・事件が起きる前に対策を(NIKKEI NET)


悪質ユーザーの特定、追放に役立つとの理由

記事によると、端末IDの開放は、単にサービスや広告といったユーザー向けのサービスだけが目的ではないという。

端末を認識したりユーザーの行動履歴を追跡したりするのは、サービスのカスタマイズ化や広告だけが目的ではない。携帯電話サイトの健全性を審査・認定する民間機関、モバイルコンテンツ審査・運用監視機構(EMA)は、サイトを認定する条件として端末IDなどを記録し、管理することをサイト運営者に求めている。これは端末IDが悪質ユーザーの排除や、違法な書き込みなどを行った利用者の追跡に役立つからだと考えられる。

このように、固有の端末IDの開放は、携帯サイトにおける有害情報や犯罪行為の取り締まりのために、「一番現実的な方法」として推進されてきた側面があるということだ。


セキュリティ上のリスク

各キャリアが端末IDを公式サイトにしか送信していなかったときは、ユーザーが一般サイトを閲覧中にサーバーに端末の製造番号を送信するような必要が生じた場合には、携帯電話の端末側に確認画面が現れ、ユーザーが同意ボタンを押さなければ送信されないという運用方式が採られてきた。

それでは、現在のように、端末IDが全サイトに開放されたことによって、セキュリティ上の問題はないのか。記事では、端末IDと個人情報とをひも付けることはそれほど難しいことではないと警鐘を鳴らす。

例えば、コミュニティーサイトや占いサイトを装って本名、生年月日を入力させるなど、端末IDと個人情報とをひも付けることは技術的には容易に可能である。

ユーザーの氏名、生年月日と端末IDの取得が容易になるとなれば、悪意の犯罪者が、より巧妙かつ高度な架空請求詐欺を企てるという危険性も十分に懸念される。


プライバシー上のリスク

さらに、個人の嗜好情報が横流しされるというプライバシー上の問題点を指摘する声もある。携帯の端末IDを用いた行動ターゲティング広告の手法については、以下の記事に詳しい。

行動ターゲティング広告はどこまで許されるのか(NIKKEI NET)

仮に、どこのWebサイトを訪れても同じ広告会社が提供する広告画像が貼り付けられているとする。すると、携帯利用者はWebサイトを訪れると同時に広告会社のサーバーにもアクセスすることになる。

このとき、広告会社のサーバーにも携帯IDが送信される。広告会社は、携帯IDで人を識別しながらアクセス履歴を集計することで、同じ人がいつどこのWebサイトを訪れたかを知ることができる。これによりその人の嗜好を推定することができ、好みに合った広告を配信できるというわけである。

記事では、ひとたび契約者に割り振られた携帯電話の端末IDは不変であるため、広告会社により嗜好を追跡される期間は、携帯電話を解約するまでの長期間にわたる点を指摘している。

しかも、端末IDが全サイトに開放されていることは、ユーザーに対して周知徹底されているとはいえない。つまり、ユーザーがプライバシー上のリスクをきちんと理解しているとはいえない状態だというのだ。

さらに、記事では、ユーザーにとってプライバシーであるはずの嗜好情報が、端末IDを通じて住所や氏名といった個人情報とひも付けられ、業者間で売買される可能性についても言及している。


セキュリティ・プライバシーポリシーの明示を

こうした危険を現実のものにしないためにも、セキュリティ・プライバシーポリシーの確立が急がれる。前述の両記事では、個人情報保護法の整備による取り締まりの強化に加え、以下のような対策を提言しているので最後に要約する。

(1)プライバシーポリシーの明示
・嗜好情報の売買を行わないという旨の表明
・広告主側によるチェック
・行動追跡期間を必要最小限に抑える
・その期間をポリシーとして表明
(2)データ流出のリスクを低減するためのセキュリティポリシーの確立
(3)端末IDと個人情報の名寄せを防ぎ、端末IDを悪用された場合の被害を最小化する技術的手段の開発

関連キーワード:
  • セキュリティめがね 第12回 怪しくなくても怪しい時代、相次ぐ正規サイトの乗っ取りや改ざん
  • カテゴリートップへ
  • レインボー攻撃とは