先日当サイトでもお伝えした一部のHuaweiスマートフォンがBaiduと謎の通信をしているとの件。

この件については実際にどういった通信が行われているのかなど、結構不安に思っているユーザーもいるようです。

そんな中、このファーウェイの利用規約内の一部であるプラバシーポリシー内に結構ヤバそうな記述があることが判明し、ちょっとした話題になっているようです。

6. データ利用に関する同意 6.1 ユーザーは、当社およびその関連会社/ライセンサがユーザーの端末からデータを収集・利用することに同意するものとします（技術情報、連絡先情報、SMS/音声メッセージなどを含みますが、これらに限定されるものではありません）。当該収集および利用は、本ソフトウェアの利用に関連して行われる場合および/または本ソフトウェアの機能の利用や継続利用の円滑化に関連して実施される場合があります。 ユーザーは、当社がソフトウェアの更新、製品サポート、その他の製品関連サービスを提供できるように、当社およびその関連会社/ライセンサがユーザーの端末から、端末名、システムとアプリケーションのバージョン、地域および言語設定、端末バージョン情報、デバイス識別データ（IMEI、ESN、MEID、SN）、位置情報（デバイスが位置するIDとエリアなどの情報）、サービスプロバイダのネットワークID（PLMN）、IPアドレスなどのシステムおよびアプリケーションデータを収集することができることに同意するものとします。

6.2 当社のEMUIユーザー体験向上プログラムに参加して当社製品およびサービスの向上にご協力いただける場合、当社およびその関連会社/ライセンサは分析のためにユーザーの端末からデータを収集することができます。収集されるデータとして、端末設定データ、アプリケーション統計データ、エラーログデータが含まれます。全てのデータが匿名化されてから、収集および処理されます。

6.3 ユーザーの端末から収集された全てのデータは、ユーザーの居住国以外の国で処理されたり、ユーザーの居住国以外の国で当社およびその関連会社/ライセンサに転送される場合があります。これは、ユーザーが当社製品およびサービスを利用している国以外の他の管轄地からデータの転送またはアクセスが可能であることを意味します。これらの管轄地はデータ保護に関する法律が異なっていたり、当該法律が存在しない場合さえあります。こうした場合、当社は全ての適用法または規制による要求に基づいて、同水準または十分な水準のデータ保護を保証します。

6.4 当社は、長期間の保存が法律により要求または許可されている場合を除いて、本契約および本個人情報保護で概説した目的を遂行するために必要な期間のみユーザーのデータを保持します。当社では、ユーザーのデータへの不正なアクセスや開示を禁止するための適切な技術措置および体制整備を実施していますが、完璧なセキュリティ対策は存在しないことをご理解ください。

6.5 ここでの同意の宣言はいつでも即座に取り消すことができます。取り消す場合、本契約の解約を定めた第7条に記載した規定が適用されます。

この「当社およびその関連会社/ライセンサが・・・」と「ユーザーの端末から収集された全てのデータは・・・」という部分はまさに端末上の情報がHuaweiだけでなく第三者サービス、つまりBaiduなど中国本土にも情報が転送されていることが明言されていることになります。

また、その内容については「連絡先情報、SMS/音声メッセージなどを含みます」とのことなので、位置情報やIPアドレスなどだけではなく、かなりセンシティブな個人情報までサードパーティーに流れている可能性がある、ということになります。

これ、私も最初見た時は「他社も似たようなもんじゃないの？」と思いました。

なのでとりあえずASUSのプライバシーポリシーを見てみた所：

お客様がASUSメンバー・アカウントにサインアップ又はログインする場合、お客様のメールアドレス及び国または地域をご提供いただきます。お客様がご自身のソーシャルメディア・アカウントを使ってASUSメンバー・アカウントにサインアップ又はログインして本件サービスを利用する場合、当社はお客様のソーシャルメディア・アカウントに関連して一般公開されている情報（プロフィール写真、性別、生年月日、言語設定を含みますがこれらに限定されません。）も収集する可能性があります。 ASUSがお客様の情報を開示する相手について

お客様の情報は、以下の例外を除き、第三者に開示されません。

お客様の同意 当社では、お客様の同意がある場合に限り、お客様の情報を他の第三者に開示し、共有します。

ビジネスパートナー 当社は、ハッシュ化及び匿名化した情報を当社のビジネスパートナーに開示することがあります。例えば、そうしたハッシュ化及び匿名化された情報に基づいてデータ解析サービスや、広告・マーケティングコミュニケーションを提供するビジネス―パートナー等です。 サービス提供者 当社は、当社のために又は当社に代わってサービスを提供するサービス提供者にお客様の情報を開示し、共有することがあります。そうしたサービス提供者は、例えば、マーケティングコミュニケーションの送信やカスタマーサポートの提供、購入品の配送や料金請求において当社を支援します。こうしたサービス提供者は、当社の指示に従い、こうした目的の範囲内においてのみお客様の情報を利用するものとします。ASUSは、当社の全てのサービス提供者が本個人情報保護方針を厳守することを保証します。

法律音痴の私でもずいぶん内容に違いがあると感じます。

ASUSの場合、要はASUSのサービスに登録した際にある程度の個人情報が収集され、基本的にはユーザーからの同意があった場合のみ、第三者にユーザー情報を提供する、というスタンス。

また、少なくとも連絡先やメッセージ等まで収集される、という記述はありません。

一方、以下はソニーモバイルの「プライバシーポリシー」からの一部抜粋

（個人情報の取得）

4. ソニーは、個人情報を取得する際は、あらかじめ取り扱う個人情報の項目、利用目的、お問い合わせ窓口等の必要な情報を明示し、ご本人の同意を得るよう努めます。個人情報に人種・信条等の要配慮個人情報が含まれる場合には、法令により認められた場合を除き、ご本人の同意を得ることなく個人情報を取得しません。第三者から個人情報を取得する場合であって、法令上、第三者提供を受ける際の確認義務および記録作成義務が発生する場合には、これを遵守します。

（15歳未満のお客様の個人情報）

5. ソニーは、15歳未満のお客様に関する個人情報の収集、保管および使用に適用される法令のすべてを遵守するよう努めます。もし、お子様が保護者または後見人の同意なく個人情報をソニーに提供したことに気付いた場合、保護者または後見人におかれましては、本ポリシーに定める問い合わせ窓口までご連絡ください。

（安全管理措置）

6. ソニーは、個人情報を利用目的の範囲内で正確・完全・最新の内容に保つよう努め、不正なアクセス、漏えい、改ざん、滅失、き損等を防止するため、現時点での技術水準に合わせた必要かつ適切な安全管理措置を講じ、必要に応じて是正してまいります。

（委託先の監督）

7. ソニーは、利用目的の達成に必要な範囲内において、個人情報の取り扱いを他のソニーグループ会社または第三者に委託する場合があります。その場合、ソニーグループ共通の情報セキュリティポリシーの下、適切な安全管理措置を講じます。また、第三者への業務委託に関しては、個人情報の取り扱いにつき、契約等を通じて、しかるべき安全管理が図られるようにします。 外国にある第三者に業務委託を行う場合であって、法令上、記録作成義務が発生する場合には、これを遵守します。

（第三者への提供）

8. ソニは、法令により認められた場合を除き、ご本人の同意を得ることなく、第三者に個人情報を提供しません。第三者に個人情報を提供する場合であって、法令上、第三者提供を行う際の記録作成義務が発生する場合には、これを遵守します。

さすがは国内企業といったところでしょうか。ASUSよりもさらに個人情報の取扱に対して厳しい基準を設けているようです。

この3社を比べただけでも、第三者に対する個人情報の提供ポリシーおよびその情報内容に大きな違いがあるように思えます。

また、サムスンや親会社が中国企業Lenovoの「Moto」ブランドの個人情報保護方針もざっとですが目を通しましたが、Huaweiほどはっきりと第三者への情報提供と、センシティブな個人情報内容の収集を明言しているものはありませんでした。

先述のように私は法律に関しては全くの素人ですので、これらの記述が法律面で拘束力という意味でどういった違いを生むのかは分かりません。

ひょっとすると、微妙な言い回しの問題だけで、実質似たような内容なのかもしれません。

ただ、ニュアンスだけでもHuaweiと他社では随分と個人情報に対するスタンスが異なる、という印象を受けるのは事実だと思います。

受け取り方は様々だとは思いますが、普段はまず読むことのない利用規約やプライバシーポリシー、今後はちゃんと読み、自分なりにしっかりと解釈をした上で機種選びをした方が良さそうです。

9/17追記：このファーウェイのプラバシーポリシー、現在は内容が一部変更されています。ひょっとすると何らかの問題になって変更したのかもしれませんね。