SPSI（スマートフォン プライバシー セキュリティ イニシアティブ）

SPSI策定の背景・沿革

SPSIが策定された背景には、スマートフォンの急速な普及に伴う、プライバシーやセキュリティリスクの高まりがあります。

現代社会では、スマートフォンは単なる通話機器から、生活に欠かせない情報インフラへと変化しました。その利便性を支えているのが、多種多様なアプリです。便利さの一方で、不正なアプリによって、本人が気づかないうちに位置情報や連絡先、行動履歴などの利用者情報が収集・処理され、外部へ送信される被害が社会問題化しました。

このような状況を受け、総務省は利用者が安全にスマートフォンを利用できる環境を整備するため、2012年以降、スマホアプリ提供者など関係事業者が取り組むべき指針を定めて公表しています。

SPSIの沿革

SPSIは、2012年8月に初めて公表された「SPI（スマートフォン プライバシー イニシアティブ）」に始まり、2回の改定を経て、2024年11月にセキュリティ関連の対策などを加えた「SPSI（スマートフォン プライバシー セキュリティ イニシアティブ）」が最新となっています。

SPIからSPSIに至る沿革は、以下の通りです。

総務省「スマートフォン プライバシー セキュリティ イニシアティブ」を基にニュートン・コンサルティングが作成

SPSIは、法令から一歩進んだベストプラクティスとして望ましい対応を記載したほか、諸外国の制度動向を踏まえ、ダークパターン（※1）に係る対応やプロファイリングに係る予見性確保、センシティブ情報への配慮やこどもの利用者情報保護などが新たに明記されました。また、民間事業者の取り組みを踏まえた、必要最小限でのデータ取得や同意撤回方法についてのプライバシーポリシーへの掲載、事業者横断的トラッキングのほか、位置情報や写真データなどの適正な取り扱いについても記されています。

※1：利用者を意図的に誤解させたり、不利な選択をさせたりするよう設計されたユーザーインターフェース

2025年6月24日に開催された利用者情報に関するワーキンググループ（第27回）では、SPSIの改定案が示されました。改定案では「スマートフォン利用者情報・セキュリティ取扱指針」に、脆弱性を有するまたは不正なアプリケーションにおける利用者情報の取り扱いについて関係事業者のセキュリティ確保対策が求められることと、青少年の安全・安心な利用に向けて関係事業者などが青少年の発達段階に対応した支援を行うことが求められる、という内容が新たに加えられています。

SPSIの対象となる事業者

SPSIの適用対象は、主にスマートフォンアプリケーション提供者と情報収集モジュール提供者（※2）です。さらに、アプリストア運営事業者やOS提供事業者、移動体通信事業者、端末製造事業者なども、それぞれの役割に応じた取り組みが求められています。SPSIの改定案では、目的に「セキュリティの確保及び青少年の保護」が追記されたことから、対象者としてこれに係るあらゆる関係事業者等において、それぞれの役割に応じた形で適用されることを想定しています。

※2：アプリケーションに組み込むための利用者情報取得機能を提供する事業者

SPSIの7つの基本原則

SPSIでは、アプリケーション提供者などは、以下の7つの基本原則に従うことが望ましいと明記しています。SPSIの改定案では「望ましい」が「求められる」に変更されています。

1：透明性の確保

利用者情報の取得や保存、利活用、第三者提供、消去および利用者関与の方法などを利用者に通知またはわかりやすく公表する。利用者に通知・公表する、または同意を取得する場合は、利用者がアプリケーションを利用する際の方法を考慮して利用者が容易に認識・理解できるものにする。

2：利用者関与の機会の確保

取得する情報や利用目的、第三者提供の範囲など必要事項について、利用者に通知・公表し、必要に応じて同意を取得する。また、利用者情報の取得停止や利用停止などの手段を提供する。このような機会を確保するにあたり、利用者が容易に理解できる方法で情報提供を行う。

3：適正な手段による取得・不適正利用の禁止

利用者情報を適正な手段により取得する。また、取得した利用者情報について、違法または不当な行為を助長・誘発するおそれのある方法で取り扱わない。

4：適切な安全管理の確保

取り扱う利用者情報の漏えい、滅失、き損の防止と、その他の利用者情報の安全管理のために必要・適切な措置を講じる。

5：苦情相談への対応体制の確保

利用者情報の取り扱いに関する苦情や相談に適切かつ迅速に対応する体制を整備する。

6：プライバシー・バイ・デザイン／セキュリティ・バイ・デザイン

開発・設計段階から、利用者の個人情報やプライバシーが保護されるように設計する。利用者の個人情報・プライバシーに関する権利や期待を認識し、利用者の視点で利用者が理解しやすいアプリケーションやサービスなどの設計・開発を行う。また、開発時からセキュリティの確保について検討し、適切な仕組みを組み込む。

7：特定の情報及び利用者の属性に応じた配慮

利用者本人に対する不当な差別や偏見、不利益が生じないよう特定の情報について適切な配慮を行うとともに、利用者の属性（こども・高齢者など）に応じ必要な対応を行い、情報を適正に取り扱う。

アプリケーション提供者の取り組み例

SPSIでは、基本原則を踏まえ、各関連事業者が実施することが望ましいとされる具体的な取り組み例が示されています。ここでは、SPSIの中心となるアプリケーション提供者における取り組みを紹介します。

プライバシーポリシーの作成

SPSIでは、アプリごとに、あらかじめ以下の事項を明示したプライバシーポリシーを、日本語で作成し、利用者が容易に参照できる場所に掲示またはリンクを張ることが望ましいとしています。SPSIの改定案では「望ましい」を「強く求められる」とし、対応をより強く求める表現を用いられています。

1. アプリケーション提供者の氏名または名称および連絡先など
2. アプリケーション提供者が取得する利用者情報の項目など
3. アプリケーション提供者による取得方法
4. 利用目的の特定・明示
5. 第三者提供、外国の第三者に対する提供、共同利用および情報収集モジュールに関する記載事項
6. 同意取得の方法および利用者関与の方法
7. 問い合わせ窓口
8. プライバシーポリシーの変更を行う場合の手続き
9. 利用者の選択の機会の内容、データポータビリティに係る事項
10. 委託に関する事項

プライバシーポリシーなどの運用

作成したプライバシーポリシーは、アプリをダウンロードまたは利用を開始しようとする者が容易に参照できる場所に掲示またはリンクを張って公表することが望ましいとしています。

また、プライバシー性が高く、利用者情報を取得・利用する際には同意書の取得など個別の対応が望ましいとされている事項は次の通りです。SPSIの改定案では「望ましい」を「求められる」としています。

1. 個人情報を含む電話帳情報
2. センシティブ情報（※3）
3. こどもの利用者情報
4. 利用者行動のトラッキング
5. 契約者・端末固有IDなど
6. GPSなどによる位置情報
7. 通信内容・履歴、メール内容・送受信履歴などの通信履歴の取得
8. スマートフォンのアプリケーションの利用履歴やスマートフォンに保存された写真・動画

※3：人種・信条・病歴など、不当な差別や偏見、不利益が生じないよう、取り扱いに特に配慮を要する情報

その他のプライバシー確保に係る取り組み

SPSIでは、アプリケーション提供者のプライバシー確保に係る取り組みとして、上記のプライバシーポリシーの作成・運用のほかに、以下の事項の具体的な取り組み内容についても示されています。

• 苦情相談への対応体制の確保
• 適切な安全管理措置
• アプリケーションの開発時における留意事項（プライバシー・バイ・デザイン）
• ダークパターン回避の対応
• 電気通信事業法への対応

セキュリティ確保に係る取り組み

また、セキュリティの確保に係る取り組みも追加され、主に以下の2点が示されています。

• アプリケーションの企画および設計の段階から、セキュリティを適切に確保するための仕組みを組み込むことが望ましい（セキュリティ・バイ・デザイン）
• アプリケーションの脆弱性情報を継続的に収集するとともに、窓口・連絡先を設置し、脆弱性が発見された場合には、適切かつ迅速に報告を受けられるよう必要な体制を整えることが望ましい

取り組み内容の詳細や、アプリケーション提供者以外の関連事業者の取り組みについては、総務省「スマートフォン プライバシー セキュリティ イニシアティブ」から確認できます。

SPSIの正しい理解と実践を

SPSIは法的拘束力を持つものではありませんが、利用者の信頼を確保し、ビジネスを成長させるための重要な指針です。利用者情報を取得するアプリケーション提供者をはじめとした関連事業者は、その趣旨を正しく理解し実践することが求められます。

IoTやAIなどの新技術・サービスの発展にともない、SPSIは継続的に見直されていくことが予想されます。常に最新の情報をキャッチアップし、利用者情報の適切な取扱いとセキュリティ確保に取り組みましょう。

参考情報