英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範
こんにちは、丸山満彦です。
英国政府から、アプリストア運営者及びアプリ開発者のための実践規範を公表していますね。。。これは興味深いです。。。
実践規範は次の8つです。。。
アプリストア運営者 | アプリ開発者 | プラットフォーム開発者 | |
1. コードのセキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにすること | ● | ||
2. アプリがセキュリティとプライバシーの基本要件に準拠していることを確認すること。 | ● | ● | |
3. 脆弱性開示プロセスの実装 | ● | ● | |
4. ユーザを保護するためにアプリを更新し続ける | ● | ● | ● |
5. セキュリティやプライバシーに関する重要な情報を、利用者にわかりやすい形で提供すること。 | ● | ● | |
6. セキュリティとプライバシーに関するガイダンスを開発者に提供する | ● | ||
7. 開発者への明確なフィードバックの提供 | ● | ||
8. 個人情報漏洩が発生した場合、適切な措置が取られるようにすること。 | ● | ● |
● U.K. Government - Department for Digital, Culture, Media & Sport
プレス...
・2022.12.09 New rules for apps to boost consumer security and privacy
New rules for apps to boost consumer security and privacy | 消費者のセキュリティとプライバシーを強化するアプリの新ルール |
World-first Code of Practice to strengthen consumer protections across the app market. | アプリ市場全体で消費者保護を強化する世界初の実践規範 |
・New measures include better reporting of software vulnerabilities and more transparency for users on the privacy and security of apps available on all app stores | ・ソフトウェアの脆弱性報告の改善、すべてのアプリストアで利用可能なアプリのプライバシーとセキュリティに関するユーザーへの透明性の向上など、新たな対策が盛り込まれています。 |
・Government will work with operators and developers over nine-month period to ensure adoption of voluntary rules | ・政府は9ヶ月間にわたり、事業者や開発者と協力し、自主ルールの採用を確保します。 |
Consumers will be better protected from malicious apps which can steal data and money, thanks to new privacy and security rules for app store operators and developers. | アプリストアの運営者と開発者向けの新しいプライバシーおよびセキュリティ規則により、データや金銭を盗む悪質なアプリから消費者をより保護することができます。 |
Millions of people across the UK use apps on their smartphones, game consoles and smart TVs for a wide range of everyday activities such as work, communication, entertainment and banking. | 英国では、何百万人もの人々が、スマートフォン、ゲーム機、スマートテレビで、仕事、コミュニケーション、エンターテインメント、銀行業務など、日常のさまざまな場面でアプリを使用しています。 |
However, there’s a lack of rules governing the security of apps and the app stores where they are accessed. It means there is a threat that people’s privacy and security could be put at risk because apps containing corrupted software, known as malware, can allow criminals to steal data and money, and mislead users. | しかし、アプリのセキュリティや、アプリがアクセスされるアプリストアを管理するルールが不足しています。マルウェアと呼ばれる破損したソフトウェアを含むアプリは、犯罪者がデータや金銭を盗んだり、ユーザーを欺いたりすることができるため、人々のプライバシーやセキュリティが危険にさらされる恐れがあることを意味します。 |
Consumers are also often unable to make informed choices when deciding to download an app because they don’t have important information such as who has access to their data, or where it is stored and processed. | また、消費者は、アプリのダウンロードを決定する際に、誰が自分のデータにアクセスできるのか、データはどこに保存され処理されるのかといった重要な情報がないため、十分な情報に基づいて選択できないことが多いのです。 |
In response to a call for views earlier this year, the government will request that the app industry signs up to a new code of practice which will boost security and privacy requirements on all apps and app stores available in the UK. | 今年初めに行われた意見募集を受け、政府はアプリ業界に対し、英国で利用可能なすべてのアプリとアプリストアのセキュリティとプライバシー要件を強化する新しい実践規範への署名を要請する予定です。 |
The voluntary code of practice for app developers and operators is a world-first and will protect the UK’s app market, with the mobile app market alone generating more than £74 billion in revenue last year. | アプリ開発者と運営者のための自主的な実践規範は世界初のもので、モバイルアプリ市場だけで昨年740億ポンド以上の収益を上げている英国のアプリ市場を保護することになります。 |
The new measures include requiring apps to have a process so that security experts can report software vulnerabilities to developers, making sure security updates are highlighted properly to users and that security and privacy information is provided to users in a clear and easy-to-understand way. | 新しい対策には、セキュリティ専門家がソフトウェアの脆弱性を開発者に報告できるようなプロセスをアプリに義務付けること、セキュリティアップデートがユーザーに適切に強調されるようにすること、セキュリティおよびプライバシー情報が明確でわかりやすい方法でユーザーに提供されるようにすることなどが含まれます。 |
Cyber minister Julia Lopez said: | サイバー相のジュリア・ロペス氏は次のように述べました。 |
“More people are using apps to pay bills, play games and stay in touch with loved ones, with so much of our day-to-day activities now online.” | 「請求書の支払いやゲーム、大切な人との連絡にアプリを利用する人が増え、日々の活動の多くがオンラインで行われるようになりました。」 |
“Consumers should be able to trust that their money and data is in safe hands when using apps and these measures will not only boost our digital economy but also protect people from fraud.” | 「消費者は、アプリを使用する際に、自分のお金やデータが安全に管理されていることを信頼できるようになるべきです。これらの措置は、デジタル経済を後押しするだけでなく、人々を詐欺から保護することにもつながります。」 |
“We’ve already strengthened our laws to boost security in consumers’ digital devices and the telecoms networks we rely on. Today we are taking steps to get app stores and developers to keep customers even safer in the online world.” | 「私たちはすでに、消費者のデジタル機器と、私たちが信頼している通信ネットワークのセキュリティを強化するために法律を強化しています。今日、私たちは、アプリストアと開発者が、オンラインの世界でお客様をより安全に守るための措置を講じます。」 |
The government will work with operators and developers to support them with implementing the voluntary code over a nine-month period. This includes companies such as Apple, Google, Amazon, Huawei, Microsoft, LG, Epic Games, Nintendo, Valve, Sony and Samsung. | 政府は、通信事業者や開発者と協力し、9カ月間にわたって自主規範の実施を支援します。これには、Apple、Google、Amazon、Huawei、Microsoft、LG、Epic Games、Nintendo、Valve、Sony、Samsungといった企業が含まれています。 |
Alongside this, the Department for Digital, Culture, Media and Sport (DCMS) will work to explore what current laws could be extended to cover apps and app stores and whether regulation is needed to mandate the code in the future. | これと並行して、デジタル・文化・メディア・スポーツ省(DCMS)は、アプリとアプリストアを対象とする現行法の拡張可能性や、将来的にコードを義務付けるための規制が必要かどうかを検討する作業を行う予定です。 |
Under the code, app store operators and developers will need to: | この規範に基づき、アプリストアの運営者と開発者は以下のことを行う必要があります。 |
・Share security and privacy information in a user-friendly way with consumers. Examples include when an app is made unavailable on an app store, when an app was last updated and the locations where users’ data are stored and processed for each app. | ・セキュリティとプライバシーに関する情報を消費者に分かりやすく伝えること。例えば、アプリがアプリストアで利用できなくなった時期、アプリの最終更新日、アプリごとにユーザーのデータが保存・処理される場所などが含まれます。 |
・Allow their apps to work even if a user chooses to disable optional functionality and permissions, such as preventing the app accessing a microphone or knowing a user’s location. | ・アプリがマイクにアクセスしたり、ユーザーの位置情報を把握したりすることを防ぐなど、ユーザーが任意の機能や許可を無効にすることを選択した場合でも、そのアプリが動作することを許可すること。 |
・Have a robust and transparent app vetting process in place which ensures only apps which meet the code’s minimum security and privacy rules are published on their stores. | ・堅牢かつ透明性のあるアプリ審査プロセスを導入し、コードの最小限のセキュリティおよびプライバシールールを満たすアプリのみがストアで公開されるようにすること。 |
・Provide clear feedback to developers when an app is not published on their store for security or privacy reasons. | ・セキュリティやプライバシーの理由でアプリがストアで公開されない場合、開発者に明確なフィードバックを提供すること。 |
・Have a vulnerability disclosure process in place, such as a contact form, so software flaws can be reported and resolved without being made publicly known for malicious actors to exploit. | ・悪意ある者に悪用されることなく、ソフトウェアの欠陥を報告し、解決できるように、問い合わせフォームなどの脆弱性開示プロセスを整備すること。 |
・Ensure developers keep their apps up to date to reduce the number of security vulnerabilities in apps. | ・アプリのセキュリティ脆弱性を減らすために、開発者がアプリを常に最新の状態に保つようにすること。 |
Many developers and operators already follow some of these requirements and those which adopt the code will be able to demonstrate they’re following its principles by declaring this on their company website, app website or app store. | 多くの開発者や事業者はすでにこれらの要件のいくつかに従っており、コードを採用した事業者は、自社のウェブサイト、アプリのウェブサイト、またはアプリストアでこのことを宣言することにより、その原則に従っていることを証明することができるようになる予定です。 |
The government is collaborating with international partners to develop international support for the code and will explore the possibility of creating an international standard for apps and app stores. | 政府は、国際的なパートナーと協力して、このコードの国際的なサポートを開発し、アプリとアプリストアの国際標準を作成する可能性を検討する予定です。 |
The new voluntary rules are part of the government’s £2.6 billion National Cyber Strategy which aims to protect and promote the digital economy, strengthen the UK’s cyber resilience and ensure businesses have the best security standards in place to protect their users. | この新しい自主ルールは、デジタル経済の保護と促進、英国のサイバーレジリエンスの強化、および企業がユーザーを保護するための最高のセキュリティ基準を確保することを目的とした、政府の26億ポンドの国家サイバー戦略の一部です。 |
Paul Maddinson, NCSC Director of National Resilience and Strategy, said: | NCSCの国家レジリエンス・戦略担当ディレクターであるPaul Maddinsonは、次のように述べています。 |
“Our devices and the apps we rely on are increasingly essential to everyday life, and it’s important that developers and app store operators take steps to protect users.” | 「私たちのデバイスとそれに依存するアプリは、ますます日常生活に欠かせないものとなっており、開発者とアプリストアの運営者がユーザーを保護するための措置を講じることが重要となっています。」 |
“By signing up to this code of practice, developers and operators can demonstrate how they are delivering security as standard, as well as protect users from malicious actors and vulnerable apps.” | 「この実践規範に署名することで、開発者と運営者は、セキュリティを標準として提供していることを証明できるだけでなく、悪意のある行為者や脆弱なアプリからユーザーを保護することができます。」 |
Rocio Concha, Which? Director of Policy and Advocacy, said: | 政策・提言担当ディレクターであるRocio Conchaは、次のように述べています。 |
“Apps bring a lot of convenience to our everyday lives, but rogue apps making their way onto the biggest app stores are a security and privacy minefield – putting consumers at huge risk from data theft and scams.” | 「アプリは私たちの日常生活に多くの利便性をもたらしますが、最大のアプリストアに出回る不正アプリは、セキュリティとプライバシーの地雷原であり、消費者をデータ盗難や詐欺の危険にさらしています。」 |
“The government’s announcement of a new voluntary code is a positive step towards making apps more secure. The app market must now be monitored closely for improvements and to check whether tech firms are falling short in protecting consumers.” | 「政府が新たな自主規範を発表したことは、アプリの安全性を高めるための前向きな一歩です。今後、アプリ市場が改善され、技術系企業が消費者保護に遅れをとっていないかを注意深く監視する必要があります。」 |
Ends | 以上 |
Notes to Editors: | 編集後記 |
・App stores are available for various devices, including desktops, smartphones, game consoles, smart TVs, wearable devices and smart speakers. | ・アプリストアは、デスクトップ、スマートフォン、ゲーム機、スマートテレビ、ウェアラブル端末、スマートスピーカーなど、さまざまなデバイスで利用可能です。 |
・The full call for views response can be found here | ・意見募集の回答全文はこちらでご覧いただけます。 |
・The voluntary Code of Practice for App Store Operators and App Developers can be found here | ・アプリストア運営者およびアプリ開発者のための自主規範は、こちらでご覧いただけます。 |
・There is more information in the Written Ministerial Statement to Parliament | ・詳しくは、国会での閣僚声明の中で説明しています。 |
・DCMS is backing the country’s powerhouse sectors to grow the economy and make a difference where people live. | ・DCMSは、経済を成長させ、人々が暮らす場所に変化をもたらすために、国内の有力セクターを支援しています。 |
・The digital sector contributes approximately £143 billion to the economy. There are 1,822,000 jobs in the sector, 250,000 more than in 2019 before the pandemic. Exports of services by the digital sector were worth £56 billion in 2020, which is around a fifth of the UK’s total service exports. | ・デジタル部門は経済に約1430億ポンド貢献している。同セクターには1,822,000の雇用があり、パンデミック前の2019年より25万人増加している。デジタル・セクターによるサービスの輸出額は2020年に560億ポンドで、これは英国のサービス輸出総額の約5分の1に相当します。 |
・As part of the government’s work to boost cyber resilience, it has also today published the second wave of the Cyber Security Longitudinal Study which shows how organisations are making steady progress in adopting cyber security measures, with 85 per cent of businesses and 86 per cent of charities taking action to improve their cyber security in the past 12 months | ・また、政府はサイバーレジリエンスを高めるための取り組みの一環として、本日、「サイバーセキュリティ縦断調査」の第2波を発表し、企業の85%、慈善団体の86%が過去12カ月間にサイバーセキュリティを改善するための行動を起こし、組織のサイバーセキュリティ対策が着実に進展していることを示しています。 |
・2022.12.09 Policy paper: Code of practice for app store operators and app developers
Policy paper: Code of practice for app store operators and app developers | ポリシーペーパー:アプリストア運営者及びアプリ開発者のための実践規範 |
This code of practice sets out minimum security and privacy requirements for app store operators and app developers. | この実践規範は、アプリストア運営者およびアプリ開発者に対する最低限のセキュリティおよびプライバシー要件について定めたものである。 |
Details | 詳細 |
Applications (“apps”) are increasingly essential to everyday life and work. Apps are primarily accessed via app stores across a range of devices, including desktops, smartphones, smart TVs, games consoles, smart speakers and wearables. The UK government has investigated the app ecosystem and found a range of threats relating to malicious and poorly developed apps. | アプリケーション(以下、「アプリ」)は、日常生活や業務にますます欠かせないものとなっている。アプリは主に、デスクトップ、スマートフォン、スマートテレビ、ゲーム機、スマートスピーカー、ウェアラブルなど、さまざまなデバイスでアプリストアを通じてアクセスされる。英国政府は、アプリのエコシステムを調査した結果、悪意のあるアプリや開発不十分なアプリに関連するさまざまな脅威を発見した。 |
The government’s intention is to ensure consumers are protected from online threats by taking forward a robust set of interventions which are proportionate, pro-innovation and future-facing. | 政府の意図は、適切で、イノベーションを促進し、将来を見据えた強固な一連の介入策を講じることにより、消費者をオンラインの脅威から確実に保護することにある。 |
Following a public consultation, the government has developed this updated code of practice for all app store operators and app developers. | 公開協議の後、政府は、すべてのアプリストアの運営者とアプリ開発者のために、この最新の実践規範を開発した。 |
The code sets out the minimum security and privacy requirements which should be followed by app store operators and app developers. The government strongly believes this code will help protect users from malicious and poorly developed apps. | この規範は、アプリストアの運営者とアプリ開発者が従うべき最低限のセキュリティとプライバシーの要件を定めています。政府は、この規範が悪意のあるアプリや不十分な開発のアプリからユーザーを保護するのに役立つと強く確信している。 |
For more information, please see: | 詳細については、こちらを参照。 |
the press notice | プレスリリース |
the call for views response | 意見募集の回答 |
the written ministerial statement to Parliament | 国会での閣僚声明文 |
To view all documents relating to app security and privacy, please visit the app security and privacy collection page. | アプリのセキュリティとプライバシーに関するすべての文書を閲覧するには、アプリのセキュリティとプライバシーのコレクションページを参照のこと。 |
This work is part of the government’s £2.6 billion National Cyber Strategy which is helping to protect and promote the UK digital economy. A key part of this is improving cyber resilience across the economy and making sure the technology we use every day at home and at work is secure. | この取り組みは、英国政府の26億ポンドの国家サイバー戦略の一部であり、英国のデジタル経済の保護と促進に寄与しています。その主要な部分は、経済全体のサイバーレジリエンスを向上させ、家庭や職場で毎日使っている技術を安全にすることである。 |
・2022.12.09 Policy paper: Code of practice for app store operators and app developers
・[PDF]
Policy paper: Code of practice for app store operators and app developers | ポリシーペーパー アプリストア運営者及びアプリ開発者のための実践規範 |
Background | 背景 |
The Code of Practice | 実践規範 |
1.Ensure only apps that meet the code’s security and privacy baseline requirements are allowed on the app store | 1.セキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにする。 |
2.Ensure apps adhere to baseline security and privacy requirements | 2.アプリがセキュリティとプライバシーの基本要件を遵守していることを確認すること |
3.Implement a vulnerability disclosure process | 3.脆弱性の開示プロセスを実施すること |
4.Keep apps updated to protect users | 4.ユーザを保護するためにアプリを常に更新する |
5.Provide important security and privacy information to users in an accessible way | 5.セキュリティおよびプライバシーに関する重要な情報を利用しやすい方法で提供すること |
6.Provide security and privacy guidance to Developers | 6.開発者に対するセキュリティ及びプライバシーに関するガイダンスの提供 |
7.Provide clear feedback to developers | 7.開発者に対する明確なフィードバックの提供 |
8.Ensure appropriate steps are taken when a personal data breach arises | 8.個人情報漏洩が発生した場合、適切な措置を取るようにすること |
Annex A: UK data protection law | 附属書 A: 英国データ保護法 |
Annex B: Making a referral to the ICO | 附属書 B:ICOに照会する場合 |
Annex C: Further information | 附属書 C: 追加情報 |
Background | 背景 |
This voluntary Code of Practice sets out practical steps for App Store Operators and App Developers to protect users. The eight principles within the Code refer to globally recognised security and privacy practices. They are not written in a priority order as they are each important in helping to protect users’ security and privacy. The ICO has provided input for Annex A which highlights legal obligations from UK data protection law relevant to the Code of Practice. Some of the principles within the Code are mandated through existing legislation, including data protection law and other principles will help stakeholders demonstrate steps towards adherence. There are also obligations in existing legislation to notify particular regulators in specific circumstances. The ICO has also provided input for Annex B which provides an overview of how a stakeholder can make a referral to the ICO if they find details of security and/or privacy concerns in apps. Annex C includes details of an additional requirement on securing the mechanism for creating enterprise app stores which applies to particular types of app stores. | この自主的な行動規範は、アプリストア運営者およびApp開発者がユーザを保護するための実践的なステップを定めている。本規範の8つの原則は、世界的に認知されたセキュリティおよびプライバシーに関する慣行に言及している。これらは、ユーザのセキュリティとプライバシーを保護するためにそれぞれ重要であるため、優先順位をつけて書かれていない。ICOは、本規範に関連する英国のデータ保護法の法的義務を強調した附属書 Aについて意見を述べた。コード内の原則のいくつかは、データ保護法を含む既存の法律で義務付けられており、その他の原則は、ステークホルダーが順守に向けた手順を示すのに役立つ。また、既存の法律には、特定の状況下で特定の規制当局に通知する義務がある。ICOは、アプリのセキュリティやプライバシーに関する懸念の詳細を見つけた場合に、利害関係者がICOに照会する方法の概要を示す附属書 Bにも意見を提供した。附属書 Cには、特定の種類のアプリストアに適用されるエンタープライズ向けアプリストアの作成メカニズムの保護に関する追加要件の詳細が含まれている。 |
The responsibility to implement the principles falls on App Store Operators, App Developers and Platform Developers. However, given the role of App Store Operators in setting policies and processes for their app stores, reasonable steps should be taken by them to verify that App Developers and Platform Developers are adhering to the principles set out in this Code. This Code will be reviewed, and if necessary, updated no later than every two years in light of technological developments, further clarifications, modifications to regulations and changes to the threat landscape in this area. For example, we may in the future consider if the Code should be expanded to include practices for Software Development Kit providers. | この原則を実施する責任は、アプリストア運営者、アプリ開発者、プラットフォーム開発者にある。しかし、アプリストアのポリシーやプロセスを設定するアプリストア運営者の役割を考えると、アプリ開発者やプラットフォーム開発者がこの規範に定められた原則を遵守していることを確認するために、運営者は合理的な手段を講じるべきである。本規定は、技術的発展、さらなる明確化、規制の修正およびこの分野における脅威の状況の変化に照らして、遅くとも2年ごとに見直され、必要に応じて更新される予定である。例えば、将来的には、この規範をソフトウェア開発キットプロバイダー向けの業務に拡大すべきかどうかを検討することもある。 |
Audience | 想定読者 |
An indication is given for each principle within this Code as to which stakeholder is primarily responsible for implementation. Stakeholders are defined as: | この規範の各原則には、どのステークホルダーがその実施に主な責任を持つかが示されている。ステークホルダーは以下のように定義されている。 |
Stakeholder: Description | ステークホルダー 説明 |
App Store Operators: The persons or organisations responsible for operating the app store. The App Store Operator will have capability to add and remove apps. They will also decide on the requirements that apps will need to meet to be included in the app store, taking into account any legal requirements. | アプリストア運営者:アプリストアの運営に責任を持つ個人または組織。アプリストア運営者は、アプリを追加・削除する機能を有する。また、法的な要件を考慮した上で、アプリがアプリストアに登録されるために満たすべき要件を決定する。 |
App Developers: Persons or organisations which create or maintain apps on the app store. App Developers are responsible for ensuring their app meets the requirements of the app store, as well as any legal requirements. | アプリ開発者:アプリストアのアプリケーションを作成または管理する個人または組織である。アプリ開発者は、アプリがアプリストアの要件および法的要件を満たしていることを確認する責任を負う。 |
Platform Developers: Persons or organisations responsible for producing the operating system, default functionality and the interface that enables third parties to implement additional functionality, such as through apps. | プラットフォーム開発者:オペレーティングシステム、デフォルト機能、および第三者がアプリなどを通じて追加機能を実装できるようにするためのインターフェースの作成に責任を有する個人または組織。 |
Business-to-Business application programming interface (API) providers are not required to comply with the Code because it is the Developers’ responsibility to understand what API codes/services they use and then develop their apps. | Business-to-Businessアプリケーション・プログラミング・インターフェース(API)プロバイダは、本コードに準拠する必要はありません。なぜなら、どのAPIコード/サービスを使用しているかを理解し、アプリを開発するのは開発者の責任だからである。 |
Key terms | 主な用語 |
Term: Definition | 用語:定義 |
App Store: A digital marketplace that allows users to download apps created by developers, including developers other than the app store’s developers. App stores do not only host apps, as they also serve as storefronts that allow users to browse for apps, such as via search functionality. | アプリストア:アプリストアの開発者以外の開発者も含め、開発者が作成したアプリをユーザがダウンロードできるようにするデジタルマーケットプレイス。アプリストアはアプリをホストするだけでなく、検索機能などでユーザがアプリを閲覧するための店頭の役割も果たす。 |
Malicious app: A malicious app is one which intentionally seeks to illegally take user data, money, or control of their device, outside of the understood purpose of the app. It also incorporates apps that make a user or device undertake illegal activity. Indications that an app is malicious include (but are not limited to) phishing for credentials or illicitly collecting multiple types of sensitive data (e.g. contacts, messages), coupled with indicators of detection evasion such as obfuscation, dynamic loading, or cloaking of malicious behaviour. | 悪意のあるアプリ:悪意のあるアプリとは、意図的にユーザのデータ、金銭、またはデバイスの制御を不正に取得しようとするもので、アプリの理解された目的以外には含まれない。また、ユーザまたはデバイスに違法行為を行わせるアプリも含まれる。アプリが悪質であることを示す指標としては、難読化、動的ロード、悪意のある動作の隠蔽などの検出回避の指標と相まって、認証情報のフィッシングや複数の種類の機密データ(連絡先、メッセージなど)の不正収集が含まれる(ただし、これらに限定されません)。 |
Vulnerabilities: A vulnerability is a weakness in an app that may be exploited by an attacker to deliver an attack. They can occur through flaws and features, and attackers will look to exploit any of them, often combining one or more, to achieve their end goal. | 脆弱性:脆弱性とは、攻撃者が攻撃を行うために悪用する可能性のあるアプリの弱点のことである。脆弱性は、欠陥や機能を通じて発生する可能性があり、攻撃者は、最終的な目標を達成するために、これらのいずれかを悪用しようとする。 |
Assessing adherence to the voluntary code | 自主規範の遵守状況の評価 |
There will be a nine month period for Operators and Developers to adhere to the Code. DCMS are only initially focusing on assessing adherence of the Code with App Store Operators. This is because the vast majority of users access apps from platforms offered by Operators. DCMS intends to commence meetings with Operators from early 2023 to determine if Operators have started to enact changes in their processes, including requirements for Developers based on the Code. Operators are welcome to organise additional meetings with DCMS to seek any clarifications and to highlight what actions they are taking. DCMS intends to also request written reports from Operators in Spring 2023 which will be treated as confidential. The reports should clearly state how they meet the provisions in the Code and/or the steps that are being taken to adhere to the Code. | 事業者と開発者が自主規範を遵守するための期間は9ヶ月間である。DCMSは、当初、アプリストア運営者の規範遵守の評価にのみ重点を置いている。これは、大多数のユーザが、事業者が提供するプラットフォームからアプリにアクセスするためである。DCMSは、2023年初頭から事業者との会合を開始し、事業者が規範に基づく開発者に対する要件を含むプロセスの変更に着手しているかどうかを判断する予定である。事業者は、明確な説明を求め、どのような行動をとっているかを明らかにするために、DCMSとの追加の会合を開くことを歓迎する。DCMSは、2023年春に事業者に対し、機密事項として扱われる書面による報告書を要求する予定である。報告書には、当規範の規定をどのように満たしているか、および/または当規範を遵守するためにどのような措置がとられているかを明確に記載すべきである。 |
Once these meetings and written reports have been reviewed, if DCMS determines that insufficient data has been provided and/or that many Operators are not taking steps towards adherence, then we intend to commission our own independent research. This is a voluntary Code, therefore Operators and Developers will also be able to differentiate themselves by affirming publicly that they comply with the Code. We will work with the Operators and Developers to check this is the case. We will also welcome any feedback from other stakeholders and will liaise closely with cyber security companies who have published research reports on areas that overlap with provisions in the Code. | これらの会議と報告書を確認した後、DCMSが、データの提供が不十分で、多くのオペレーターが規範遵守のための措置をとっていないと判断した場合には、独自の調査を依頼する予定である。これは自主的な規範であるため、事業者と開発者は、この規範を遵守していることを公言することで、差別化を図ることができる。私たちは、オペレーターやデベロッパーと協力して、この点を確認するつもりである。また、他のステークホルダーからのフィードバックも歓迎し、本規範の規定と重複する領域に関する調査報告書を発表しているサイバーセキュリティ企業とも密接に連携していく。 |
The Code of Practice | 実践規範 |
1. Ensure only apps that meet the code’s security and privacy baseline requirements are allowed on the app store | 1. コードのセキュリティとプライバシーの基本要件を満たすアプリのみがアプリストアで許可されるようにすること |
[footnote 1] |
[脚注1] |
Primarily applies to: App Store Operators | 主に適用される者: アプリストア運営者 |
1.1 App Store Operators shall clearly set out security and privacy requirements for apps on the app store, published in a location that does not require purchasing access by Developers. This shall include those provisions set out in principle 2. | 1.1 アプリストア運営者は、アプリストアに掲載するアプリについて、開発者の購入アクセスが不要な場所で公開されるセキュリティおよびプライバシーの要件を明確に定めなければならない。これには、原則 2 に定める規定が含まれなければならない。 |
1.2 App Store Operators shall have a vetting process which includes security checks in which the above requirements are reviewed prior to approving app submissions and updates. Operators shall notify the Developer if an app or update is rejected for security reasons (see principle 7 for more detail). | 1.2 アプリストア運営者は、アプリの申請および更新を承認する前に、上記の要件を確認するセキュリティチェックを含む審査プロセスを持たなければならない。運営者は、アプリやアップデートがセキュリティ上の理由で拒否された場合、開発者に通知しなければならない(詳細は原則7を参照)。 |
1.3 App Store Operators shall provide an overview of the security checks that are undertaken for apps and updates in a publicly accessible location. | 1.3 アプリストア運営者は、アプリやアップデートのセキュリティチェックの概要を、一般にアクセス可能な場所で提供しなければならない。 |
Example of information provided by an Operator on their security checks | 運営者が提供するセキュリティチェックの情報例 |
Apps undergo a security check which consists of both automated and manual activities. The following activities will be undertaken: | アプリは、自動的および手動的な活動からなるセキュリティチェックを受けます。以下の活動が実施される。 |
・Use of static analysis tools | ・静的解析ツールの使用 |
・Confirmation of necessity of permissions | ・パーミッションの必要性の確認 |
・Confirmation of Software Development Kit versions | ・ソフトウェア開発キットのバージョン確認 |
・Scanning for default credentials | ・デフォルトのクレデンシャルのスキャン |
・Sharing of submission with a third party for further static analysis and vulnerability scanning. | ・さらなる静的解析と脆弱性スキャンのために、第三者と提出物を共有すること。 |
1.4 App stores shall have an app reporting system (such as visible contact details or a contact form), so that users and security researchers can report malicious apps, and Developers can report fraudulent copies of their own apps to the app store. | 1.4 アプリストアは、ユーザやセキュリティ研究者が悪意のあるアプリを報告できるように、また開発者が自身のアプリの不正コピーをアプリストアに報告できるように、アプリ報告システム(連絡先の可視化や問い合わせフォームなど)を備えていなければならない。 |
1.5 Once an App Store Operator has verified that an app is clearly malicious, they shall make the app unavailable on the app store as soon as possible but no later than 48 hours. Operators shall notify the Developer that their app has been made unavailable. | 1.5 アプリストア運営者は、アプリが明らかに悪質であると確認した場合、できるだけ早く、遅くとも48時間以内に、当該アプリをアプリストアで利用できないようにしなければならない。運営者は、開発者に対し、アプリが利用できなくなったことを通知しなければならない。 |
1.6 Once an App Store Operator verifies that an app or an update is malicious, they should initiate a proportionate review of other apps that have been produced by the same Developer. | 1.6 アプリストア運営者は、アプリまたはアップデートが悪質であることを確認したら、同じ開発者によって作成された他のアプリについても、相応のレビューを開始すべきである。 |
1.7 App Store Operators and Developers should consider working with independent parties to assess app security and privacy. | 1.7 アプリストア運営者と開発者は、アプリのセキュリティとプライバシーを評価するために、独立した第三者と協力することを検討すべきである。 |
2. Ensure apps adhere to baseline security and privacy requirements | 2. アプリがセキュリティとプライバシーの基本要件に準拠していることを確認すること。 |
Primarily applies to: App Developers and Platform Developers | 主に適用される者:アプリ開発者、プラットフォーム開発者 |
2.1 Developers shall use industry standard encryption within their apps, specifically in relation to data in transit and where an app needs to encrypt data locally. | 2.1 開発者は、特に転送中のデータ及びアプリがローカルにデータを暗号化する必要がある場合、アプリ内で業界標準の暗号化を使用しなければならない。 |
Apps utilise, receive and transmit data that is often sensitive in nature. This may include data relating to users, an enterprise, functionality or other information necessary for the app to operate securely. This data needs to be encrypted at rest and in transit in order to ensure it cannot be compromised by an attacker. | アプリは、多くの場合、本質的に機密性の高いデータを利用し、受信し、送信する。これには、ユーザ、エンタープライズ、機能、またはアプリが安全に動作するために必要なその他の情報に関連するデータが含まれる場合がある。このようなデータは、攻撃者によって侵害されないようにするために、静止時および転送時に暗号化する必要がある。 |
This may be done by APIs native to the platform, which will often integrate with secure hardware on the device. | これは、プラットフォームにネイティブなAPIによって行われる場合があり、多くの場合、デバイス上の安全なハードウェアと統合される。 |
2.2 Developers shall ensure that the primary function of an app operates if a user chooses to disable its optional functionality and permissions.[footnote 2] | 2.2 開発者は、ユーザがオプション機能およびパーミッションの無効化を選択した場合、アプリの主要機能が動作することを保証しなければならない[脚注2]。 |
2.2.1 If the user isn’t presented with any optional functionalities, developers shall ensure that their app only requires the enabled functions and permissions necessary to operate. | 2.2.1 ユーザに任意の機能が表示されない場合、開発者は、アプリが動作するために必要な有効な機能とパーミッションのみを必要とすることを保証しなければならない。 |
2.3 Developers should not request permissions and privileges which are not functionally required by the app.[footnote 3] | 2.3 開発者は、アプリが機能的に必要としない許可や特権を要求してはならない[脚注3]。 |
2.3.1 Developers shall share the permissions and privileges requested by the app in the app manifest with the App Store Operator, to allow for this to be cross-checked. | 2.3.1 開発者は、アプリが要求する許可と権限をアプリマニフェストでアプリストア運営者と共有し、これを相互確認できるようにしなければならない。 |
A functional requirement is defined as one that is necessary for the user-facing operation of the app. This does not include any background operation which does not offer the user any features or an improved experience. | 機能要件は、アプリのユーザ向け操作に必要なものと定義される。これには、ユーザに機能やエクスペリエンスの向上を提供しないバックグラウンドの操作は含まれない。 |
2.4 Developers shall take steps to make their app adhere to security requirements, data protection by design, broader requirements set out in data protection law[footnote 4] and other appropriate laws to the app’s purpose.[footnote 5] | 2.4 開発者は、アプリがセキュリティ要件、デザインによるデータ保護、データ保護法[脚注4]に規定される広範な要件、およびアプリの目的に対するその他の適切な法律を遵守するように、措置を講じなければならない[脚注5]。 |
2.5 Developers shall ensure there exists a simple uninstall process for their app.[footnote 6] | 2.5 開発者は、アプリの簡単なアンインストールプロセスが存在することを保証しなければならない[脚注 6]。 |
2.6 Developers should have a process to readily update and monitor their software dependencies for known vulnerabilities in all the published versions of their app. | 2.6 開発者は、そのアプリの公開されているすべてのバージョンにおいて、既知の脆弱性がないか、ソフトウェアの依存関係を容易に更新し、監視するプロセスを持つべきである。 |
2.7 Developers should provide users with a mechanism to delete locally held data, and request deletion of personal data gathered by an app.[footnote 7] | 2.7 開発者は、ローカルに保持されたデータを削除し、アプリが収集した個人データの削除を要求するメカニズムをユーザに提供すべきである[脚注7]。 |
3. Implement a vulnerability disclosure process | 3. 脆弱性開示プロセスの実装 |
Primarily applies to: App Developers and App Store Operators | 主に適用される者:アプリ開発者、アプリストア運営者 |
3.1 Every app shall have a vulnerability disclosure process, such as through contact details or a contact form, which is created and maintained by the Developer. | 3.1 すべてのアプリは、開発者が作成し維持する、連絡先や問い合わせフォームなどによる脆弱性開示プロセスを備えていなければならない。 |
3.2 Operators shall check that every app on their platform has a vulnerability disclosure process which is accessible and displayed on their app store. This process shall ensure that vulnerabilities can be reported without making them publicly known to malicious actors. | 3.2 運営者は、自社のプラットフォーム上のすべてのアプリが、自社のアプリストアでアクセス・表示可能な脆弱性開示プロセスを有していることを確認しなければならない。このプロセスは、悪意のある行為者に知られることなく、脆弱性を報告できることを保証するものでなければならない。 |
3.3 App Store Operators shall ensure their app store has a vulnerability disclosure process, such as contact details or a contact form, which allows stakeholders to report to the Operator any vulnerabilities found in the app store platform. | 3.3 アプリストア運営者は、アプリストアのプラットフォームで発見された脆弱性を関係者が運営者に報告できるように、連絡先や問い合わせフォームなど、脆弱性開示プロセスを備えていることを確認しなければならない。 |
3.3.1 App Store Operators should accept vulnerability disclosure reports from stakeholders for apps on their platforms if the Developer has not issued acknowledgement specific to said report after 15 working days. App Store Operators should assess the merit of these reports, and contact the Developer if they are deemed credible. | 3.3.1 アプリストア運営者は、開発者が15営業日経過しても当該報告に対する承認が得られない場合、自社プラットフォーム上のアプリに関する関係者からの脆弱性開示報告書を受理すべきである。アプリストア運営者は、これらの報告のメリットを評価し、信頼性が高いと判断した場合には開発者に連絡すべきである。 |
3.3.2 If App Store Operators don’t receive an acknowledgement from the Developer, after a further 15 working days, then they should make the app unavailable on the store. | 3.3.2 15 営業日経過しても開発者からの確認がない場合、アプリストア運営者はストア上でアプリを利用できないようにすべきである。 |
The NCSC’s Vulnerability Disclosure Toolkit exists to help organisations implement an effective vulnerability disclosure process. Such a process should: | NCSC の 脆弱性開示ツールキットは、組織が効果的な脆弱性開示プロセスを実装するのを支援するために存在する。そのようなプロセスには、次のようなものがある。 |
・Enable the reporting of found vulnerabilities | ・発見された脆弱性を報告できるようにする |
・Be clear, simple and secure | ・明確、シンプル、かつ安全であること |
・Define how the organisation will respond | ・組織がどのように対応するかを定義する |
The Toolkit defines how to effectively communicate with finders of vulnerabilities, and how to make a sensible policy that will be clear to the necessary stakeholders. We recognise that vulnerability disclosure reports could be abused for various reasons, such as attempting to make an app unavailable. | このツールキットでは、脆弱性の発見者と効果的にコミュニケーションをとる方法、および、必要な利害関係者にとって明確な賢明な方針を立てる方法を定義している。私たちは、脆弱性開示レポートが、アプリを利用できなくしようとするなど、さまざまな理由で悪用される可能性があることを認識している。 |
App Store Operators and App Developers may also benefit from the following standards: | アプリストア運営者及びアプリ開発者は、以下の規格も参考にされると良いでしょう。 |
ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure | ISO/IEC 29147:2018 情報技術 - セキュリティ技術 - 脆弱性の開示 |
ISO/IEC 30111:2019 - Vulnerability handling processes | ISO/IEC 30111:2019 - 脆弱性ハンドリングプロセス |
4. Keep apps updated to protect users | 4. ユーザを保護するためにアプリを更新し続ける |
Primarily applies to: App Store Operators, App Developers and Platform Developers | 主に適用される者: アプリストア運営者、アプリ開発者、プラットフォーム開発者 |
4.1 Developers shall provide updates to fix security vulnerabilities within their app.[footnote 8] | 4.1 開発者は、アプリ内のセキュリティ脆弱性を修正するためのアップデートを提供しなければならない[脚注8]。 |
4.2 Developers shall update their app when a third-party library or software development kit (SDK) that they are using receives a security or privacy update.[footnote 9] See principle 6.4 for the proposed actions on App Store Operators. | 4.2 開発者は、利用しているサードパーティのライブラリやソフトウェア開発キット(SDK)がセキュリティやプライバシーのアップデートを受けた場合、アプリをアップデートしなければならない[脚注 9]。 アプリストア運営者に対して提案されている対応については、原則6.4を参照。 |
4.3 When a Developer submits a security update for an app, App Store Operators shall encourage users to update the app to the latest version. | 4.3 開発者がアプリのセキュリティアップデートを提出した場合、アプリストア運営者は、利用者に対して、アプリを最新版にアップデートしなければならない。 |
4.4 App Store Operators shall not reject standalone security updates without providing a strong and clear justification to the Developer as to why this has happened. In cases where an Operator is not approving the update due to concerns that they are engaging with a malicious Developer, an Operator shall have flexibility on the time period and detail of said feedback. | 4.4 アプリストア運営者は、開発者に対してその理由を明確に説明することなく、単体のセキュリティアップデートを拒否してはならない。悪意のあるデベロッパーとの関わりを懸念してアップデートを承認しない場合、運営者は、その期間およびフィードバックの詳細について柔軟に対応できなければならない。 |
A standalone security update is one which affects only the security and privacy functionality of the app, with no changes to user functionality, or non-security background operation. | スタンドアロンセキュリティアップデートとは、アプリのセキュリティおよびプライバシー機能のみに影響し、ユーザ機能またはセキュリティ以外のバックグラウンド動作には変更を与えないものをいう。 |
4.5 App Store Operators shall contact a Developer if an app has not received an update for 2 years to check that the app is still being supported. If the Operator does not receive a response from this process within 30 days, then they shall make the app unavailable on the store. | 4.5 アプリストア運営者は、アプリが2年間アップデートされていない場合、デベロッパに連絡し、アプリがまだサポートされているかどうかを確認しなければならない。このプロセスから30日以内に返答がない場合、運営者はそのアプリをストア上で利用できないようにしなければならない。 |
5. Provide important security and privacy information to users in an accessible way | 5. セキュリティやプライバシーに関する重要な情報を、利用者にわかりやすい形で提供すること。 |
Primarily applies to: App Store Operators and App Developers | 主に適用される者: アプリストア運営者、アプリ開発者 |
5.1 When an app is removed or made unavailable from an app store, the Operator shall notify users of said app and link to instructions on how a user would remove the app from their device within 30 days.[footnote 10] | 5.1 アプリがアプリストアから削除された場合、または利用できなくなった場合、運営者は、当該アプリのユーザに通知し、ユーザが30日以内にアプリをデバイスから削除する方法に関する説明へのリンクを提供しなければならない[脚注10]。 |
The term “unavailable” refers to when an app is hidden from new users so they can’t download the app, but may still be on the app store so current users may be able to receive updates. | 「利用できない」という用語は、アプリが新規ユーザから隠されてアプリをダウンロードできないが、現在のユーザがアップデートを受け取ることができるようにアプリストアに残っている可能性がある場合を指す。 |
The term “removed” includes when an app is completely removed from the app store; this could be by either the operator or developer. This may be for security or other reasons. | 「削除」とは、アプリがアプリストアから完全に削除されることを指す。これは、運営会社または開発会社のいずれかによって行われる可能性がある。これは、セキュリティ上の理由またはその他の理由によるものである可能性がある。 |
5.2 Developers shall provide the following information about an app’s behaviour: where a user’s data is stored, shared and processed within a privacy policy; when the app was last updated; and other relevant security information.[footnote 11] | 5.2 開発者は、アプリの動作について、次の情報を提供しなければならない。プライバシーポリシーの中でユーザのデータが保存、共有、処理される場所、アプリの最終更新日、その他の関連するセキュリティ情報[脚注11]。 |
5.3 App Store Operators shall display the below information (provided by Developers) for all apps on their app store, such as in a dedicated security and privacy section:[footnote 12] | 5.3 アプリストア運営者は、自社のアプリストアにあるすべてのアプリについて、セキュリティとプライバシーに関する専用のセクションなどにおいて、以下の情報(開発者から提供されたもの)を表示しなければならない[脚注12]。 |
5.3.1 The jurisdictions where a user’s data is stored and processed for each app.[footnote 13] | 5.3.1 各アプリについて、ユーザのデータが保存され処理される法域[脚注13]。 |
5.3.2 The stakeholders that are given access to a user’s data. The categories of stakeholders that are displayed to a user should include third party companies, the app’s organisation, specific governments or not shared with anyone. | 5.3.2 ユーザのデータにアクセスすることを許可された利害関係者。ユーザに表示される利害関係者のカテゴリには、第三者企業、アプリの組織、特定の政府、または誰とも共有されないことが含まれるべきである。 |
5.3.3 The purpose of accessing or using a user’s data. Categories should include marketing, analytics, user services. | 5.3.3 ユーザのデータにアクセスする、またはデータを使用する目的。カテゴリには、マーケティング、分析、ユーザサービスが含まれるべきである。 |
5.3.4 When the app was last updated and any other relevant security information, as well as the information linked to permissions noted in principle 2. | 5.3.4 アプリの最終更新日、その他の関連するセキュリティ情報、および原則2に記載された許可に関連する情報。 |
5.3.5 The above information shall be written in an accessible format for all users and be clearly available prior to purchase and download. | 5.3.5 上記の情報は、すべての利用者がアクセス可能な形式で記述され、購入およびダウンロードの前に明確に利用可能でなければならない。 |
5.4 Developers shall provide information about the permissions which an app may request, such as access to contacts, location and the device’s microphone, along with justifications for why each of these permissions are needed. This information shall be provided to app stores and any users who install the app without an app store. Operators shall display this information for all apps on their app store prior to purchase and download. | 5.4 開発者は、連絡先、位置情報、デバイスのマイクへのアクセスなど、アプリが要求する可能性のある許可に関する情報を、それぞれの許可が必要な理由の正当性と共に提供しなければならない。この情報は、アプリストアおよびアプリストアを介さずにアプリをインストールするユーザに対して提供されなければならない。運営者は、購入およびダウンロードの前に、アプリストア上のすべてのアプリについてこの情報を表示しなければならない。 |
6. Provide security and privacy guidance to Developers | 6. セキュリティとプライバシーに関するガイダンスを開発者に提供する |
Primarily applies to: App Store Operators | 主に適用される者:アプリストア運営者 |
6.1 App Store Operators shall signpost this Code of Practice to Developers prior to an app’s submission. | 6.1 アプリストア運営者は、開発者に対し、アプリの投稿前に本実施規範を案内しなければならない。 |
6.2 App Store Operators should publicise any upcoming changes to be introduced to their Developer guidelines / policies. | 6.2 アプリストア運営者は、開発者向けガイドラインやポリシーに今後導入される変更について、公表すべきである。 |
6.3. App Store Operators should provide information on what is considered best security and privacy practice where that goes beyond the Code’s baseline requirements, such as information on other standards that have been produced. | 6.3. アプリストア運営者は、セキュリティとプライバシーのベストプラクティスと考えられるものについて、規範の基本要件を超えている場合は、他の作成された基準に関する情報などを提供すべきである。 |
See DCMS’s mapping of the app security standards landscape for more information.[footnote 14] | 詳細については、DCMSのアプリセキュリティ基準のマッピングを参照 [脚注14]。 |
6.4. App Store Operators should support App Developers in implementing effective supply chain management, such as by monitoring common third-party libraries and services and sharing relevant information, highlighting potential threat vectors across multiple apps. | 6.4. アプリストア運営者は、共通のサードパーティライブラリやサービスを監視して関連情報を共有し、複数のアプリにまたがる潜在的な脅威のベクトルを明らかにするなど、アプリ開発者による効果的なサプライチェーン管理の実施を支援すべきである。 |
NCSC has published Supply Chain Security Guidance which is designed to help organisations establish effective control and oversight of their supply chain. We encourage organisations that are part of the app ecosystem to adopt this guidance (where relevant). | NCSCは、組織がサプライチェーンの効果的な管理と監視を確立するのを支援するために設計されたサプライチェーンセキュリティガイダンスを発行している。アプリのエコシステムの一部である組織には、このガイダンスを採用することを推奨する(関連する場合)。 |
7. Provide clear feedback to developers | 7. 開発者への明確なフィードバックの提供 |
Primarily applies to: App Store Operators | 主に適用される者:アプリストア運営者 |
7.1. When an app submission is rejected, the App Store Operator should provide consistent and actionable feedback, justifying the rejection of the app and making clear what elements would need to change in order for the app to be accepted. | 7.1. アプリの申請が却下された場合、アプリストア運営者は、却下の理由と、アプリを受け入れるためにどのような要素の変更が必要かを明確にし、一貫した実用的なフィードバックを提供すべきである。 |
7.2. When an App Store Operator removes or makes an app unavailable for security or privacy reasons, they shall notify the Developer of this step, and provide feedback explaining the reasoning behind the decision. Operators shall take into consideration that the feedback they provide does not help malicious actors. | 7.2. アプリストア運営者は、セキュリティやプライバシーの観点からアプリを削除したり利用不可にする場合、その旨を開発者に通知し、決定の理由を説明するフィードバックを行うものとする。運営者は、提供するフィードバックが悪意のある行為者の助けにならないように配慮する。 |
8. Ensure appropriate steps are taken when a personal data breach arises | 8. 個人情報漏洩が発生した場合、適切な措置が取られるようにすること。 |
Primarily applies to: App Developers and App Store Operators | 主に適用される者:アプリ開発者、アプリストア運営者 |
8.1. If a Developer or App Store Operator becomes aware of a security incident in an app which involves a personal data breach, they should inform other relevant stakeholders including App Developers, App Store Operators, and library/SDK Developers. | 8.1. 開発者やアプリストア運営者は、個人情報漏洩を伴うアプリのセキュリティ事故に気付いた場合、アプリ開発者、アプリストア運営者、ライブラリ/SDK開発者を含む他の関連するステークホルダーに通知すべきである。 |
8.2. Developers shall assess the impact of said incident and follow appropriate steps set out under data protection law.[footnote 15] | 8.2. 開発者は、当該インシデントの影響を評価し、データ保護法の下で定められた適切な手順に従うものとする[脚注15]。 |
8.3. When a personal data breach occurs through an app, the Developer shall inform affected users and signpost instructions for users to protect themselves. | 8.3. アプリを通じて個人情報漏洩が発生した場合、開発者は影響を受けるユーザに通知し、 ユーザが自らを守るための指示を示すものとする。 |
8.4. When Operators are notified about a personal data breach in an app, Operators should consider whether the app should be made unavailable to users. | 8.4. アプリでの個人データ侵害について通知を受けた場合、オペレーターは、アプリをユーザが利用できないようにすべきかどうかを検討すべきである。 |
Annex A: UK data protection law | 附属書 A:英国データ保護法 |
App Store Operators and App Developers shall comply with the broader requirements of data protection law, including the Data Protection Act 2018 and UK General Data Protection Regulation, but the sections below have been added to highlight requirements of particular relevance to the Code of Practice.[footnote 16] | アプリストア運営者およびアプリ開発者は、2018年データ保護法および英国一般データ保護規則を含むデータ保護法の広範な要件を遵守する必要があるが、本実施規範に特に関連する要件を強調するために、以下のセクションが追加されている[脚注16]。 |
Controllers and processors | 管理者と処理者 |
・Understanding your role in relation to the personal data you are processing is crucial to ensuring compliance with the UK General Data Protection Regulations (GDPR) and the fair treatment of individuals. | ・処理している個人データに関連する自分の役割を理解することは、英国一般データ保護規則(GDPR)の遵守と個人の公正な扱いを確保する上で極めて重要である。 |
・Your obligations under the UK GDPR will vary depending on whether you are a controller, joint controller or processor. | ・英国のGDPRに基づくあなたの義務は、あなたが管理者、共同管理者、処理者のいずれであるかによって異なる。 |
・The ICO has the power to take action against controllers and processors under the UK GDPR. | ・ICOは、英国GDPRに基づき、管理者および処理者に対して措置を講じる権限を有する。 |
・Individuals can bring claims for compensation and damages against both controllers and processors. | ・個人は、管理者と処理者の両方に対して補償と損害賠償の請求を行うことができる。 |
・You should take the time to assess, and document, the status of each organisation you work with in respect of all the personal data and processing activities you carry out. | ・あなたが実施するすべての個人データおよび処理活動に関して、一緒に仕事をする各組織の状況を時間をかけて評価し、文書化すべきである。 |
・Whether you are a controller or processor depends on a number of issues: The key questions are; 1.) who determines the purposes for which the data are processed (the “why”) and 2.) the means (the “how”) of processing? | ・管理者であるか処理者であるかは、いくつかの問題によって決まります。1.) データを処理する目的(「なぜ」)を決定するのは誰か、2.) データ処理の手段(「どのように」)を決定するのは誰か、が主な問題である。 |
・Organisations that determine the purposes and means of processing will be controllers regardless of how they are described in any contract about processing services. | ・処理の目的と手段を決定する組織は、処理サービスに関する契約にどのように記載されているかにかかわらず、管理者になる。 |
Relevant UK GDPR articles: 4(7), 4(8), 5(1), 5(2), 26, 28-36 | 英国のGDPRの関連条文。4(7), 4(8), 5(1), 5(2), 26, 28-36 |
ICO guidance for data controllers and processors | データ管理者および処理者のためのICOガイダンス |
Security | セキュリティ |
・A key principle of the UK GDPR is that you must process personal data securely by means of ‘appropriate technical and organisational measures’. This is the ‘security principle’. | ・英国GDPRの主要原則は、「適切な技術的および組織的措置」によって個人データを安全に処理しなければならないということである。これは、「セキュリティの原則」である。 |
・Doing this requires you to consider things like risk analysis, organisational policies, and physical and technical measures. | ・そのためには、リスク分析、組織的な方針、物理的・技術的な措置などを考慮する必要がある。 |
・You also have to take into account additional requirements about the security of your processing and these also apply to data processors. | ・また、データ処理のセキュリティに関する追加要件も考慮する必要があり、これらはデータ処理者にも適用される。 |
・You can consider the state of the art and costs of implementation when deciding what measures to take, but they must be appropriate both to your circumstances and the risk your processing poses. | ・どのような対策を講じるかを決定する際には、最新技術と導入コストを考慮することができるが、お客様の状況とお客様の処理がもたらすリスクの両方に対して適切なものでなければならない。 |
・Where appropriate, you should look to use measures such as pseudonymisation and encryption. | ・適切な場合には、仮名化や暗号化などの手段を使用することを検討すべきである。 |
・Your measures must ensure the ‘confidentiality, integrity and availability’ of your systems and services and the personal data you process within them. | ・対策は、システムおよびサービス、ならびにその中で処理される個人データの「機密性、完全性、可用性」を確保するものでなければならない。 |
・The measures must also enable you to restore access and availability to personal data in a timely manner in the event of a physical or technical incident. | ・また、物理的または技術的な事故が発生した場合、個人データへのアクセスと可用性を適時に回復できるような対策でなければならない。 |
・You also need to ensure that you have appropriate processes in place to test the effectiveness of your measures, and undertake any required improvements. | ・また、対策の有効性をテストし、必要な改善を行うための適切なプロセスがあることを確認する必要がある。 |
Relevant UK GDPR articles: 5(1)(f) and 32 | 英国のGDPRの関連条文。5(1)(f)および32 |
ICO guidance on security | セキュリティに関するICOのガイダンス |
ICO guidance on security outcomes | セキュリティの成果に関するICOのガイダンス |
Data protection by design and default | 設計およびデフォルトによるデータ保護 |
・The UK GDPR requires you to put in place appropriate technical and organisational measures to implement the data protection principles effectively and safeguard individual rights. This is ‘data protection by design and by default’. | ・英国のGDPRは、データ保護の原則を効果的に実施し、個人の権利を保護するために、適切な技術的および組織的な措置を講じることを求めている。これは、「設計およびデフォルトによるデータ保護」である。 |
・In essence, this means you have to integrate or ‘bake in’ data protection into your processing activities and business practices, from the design stage right through the lifecycle. | ・要するに、設計段階からライフサイクルに至るまで、データ保護を処理活動やビジネス慣行に組み込む、または「焼き付ける」必要があるということである。 |
・This concept is not new. Previously known as ‘privacy by design’, it has always been part of data protection law. The key change with the UK GDPR is that it is now a legal requirement. | ・このコンセプトは新しいものではありません。以前は「プライバシー・バイ・デザイン」として知られ、常にデータ保護法の一部となっていました。英国のGDPRの主な変更点は、それが法的要件になったことである。 |
・Data protection by design is about considering data protection and privacy issues upfront in everything you do. It can help you ensure that you comply with the UK GDPR’s fundamental principles and requirements, and forms part of the focus on accountability. | ・デザインによるデータ保護とは、データ保護とプライバシーの問題を、あなたが行うすべてのことに前もって考慮することである。これは、英国GDPRの基本原則と要件に確実に準拠するのに役立ち、説明責任に重点を置くことの一部を形成する。 |
・Data protection by design is particularly important in the context of mobile apps; for example, understanding the various software components involved, how these relate to the personal data the app processes and what steps you need to take to build in privacy from the design stage. | ・設計によるデータ保護は、モバイルアプリのコンテキストにおいて特に重要である。例えば、関係するさまざまなソフトウェアコンポーネント、これらがアプリが処理する個人データにどのように関連するか、設計段階からプライバシーを組み込むためにどのような手順が必要かを理解することが挙げられます。 |
Relevant UK GDPR articles: 25 | 英国のGDPR関連記事 25 |
ICO guidance Data protection by design and default | ICOガイダンス 設計とデフォルトによるデータ保護 |
Personal data breaches | 個人データの侵害 |
・The UK GDPR introduces a duty on all organisations to report certain personal data breaches to the ICO. You must do this within 72 hours of becoming aware of the breach, where feasible. | ・英国のGDPRは、すべての組織に対して、特定の個人データ侵害をICOに報告する義務を導入している。可能な限り、違反の認識から72時間以内にこれを行う必要がある。 |
・If the breach is likely to result in a high risk of adversely affecting individuals’ rights and freedoms, you must also inform those individuals without undue delay. | ・違反が個人の権利と自由に悪影響を及ぼす高いリスクをもたらす可能性がある場合、その個人にも過度の遅滞なく通知しなければならない。 |
・You should ensure you have robust breach detection, investigation and internal reporting procedures in place. This will facilitate decision-making about whether or not you need to notify the relevant supervisory authority or the affected individuals, or both. | ・堅牢な違反の検出、調査、および内部報告手順を確実に実施すべきである。これにより、関連する監督官庁、影響を受ける個人、またはその両方に通知する必要があるかどうかの意思決定が容易になる。 |
・You must also keep a record of any personal data breaches, regardless of whether you are required to notify the ICO. | ・また、ICOに通知する必要があるかどうかにかかわらず、個人データの侵害を記録しておく必要がある。 |
Relevant UK GDPR articles: 33, 34, 58, 83 | 関連する英国のGDPRの条文 33, 34, 58, 83 |
Transparency | 透明性 |
・You must be clear, open and honest with people from the start about how you will use their personal data. | ・個人データをどのように使用するかについて、最初から明確、オープン、かつ正直に人々に伝えなければならない。 |
・Individuals have the right to be informed about the collection and use of their personal data. This is a key transparency requirement under the UK GDPR. | ・個人は、自分の個人データの収集と使用について知らされる権利を有する。これは、英国のGDPRに基づく重要な透明性の要件である。 |
・You must provide individuals with information including: your purposes for processing their personal data, your retention periods for that personal data, and who it will be shared with. The ICO calls this ‘privacy information’. | ・個人データの処理目的、個人データの保存期間、共有先などの情報を個人に提供する必要がある。ICOはこれを「プライバシー情報」と呼んでいる。 |
・You must provide privacy information to individuals at the time you collect their personal data from them. | ・個人から個人データを収集する際に、個人に対してプライバシー情報を提供する必要がある。 |
・If you obtain personal data from other sources, you must provide individuals with privacy information within a reasonable period of obtaining the data and no later than one month. | ・他の情報源から個人データを取得する場合は、データを取得してから合理的な期間内に、遅くとも1ヶ月以内に、個人に対してプライバシー情報を提供する必要がある。 |
・There are a few circumstances when you do not need to provide people with privacy information, such as if an individual already has the information or if it would involve a disproportionate effort to provide it to them. | ・ただし、個人がすでにその情報を持っている場合や、その情報を提供することが不相応な労力を要する場合など、個人に対してプライバシー情報を提供する必要がない場合もいくつかある。 |
・The information you provide to people must be concise, transparent, intelligible, easily accessible, and it must use clear and plain language. | ・提供する情報は、簡潔で透明性があり、分かりやすく、簡単にアクセスできるものでなければならず、また明確で平易な言語を使用しなければならない。 |
・It is often most effective to provide privacy information to people using a combination of different techniques including layering, dashboards, and just-in-time notices. | ・プライバシー情報の提供は、階層化、ダッシュボード、ジャストインタイム通知など、さまざまな手法を組み合わせて行うのが最も効果的な場合がある。 |
・User testing is a good way to get feedback on how effective the delivery of your privacy information is. | ・プライバシー情報の提供の効果についてフィードバックを得るには、ユーザテストが有効である。 |
・You must regularly review, and where necessary, update your privacy information. You must bring any new uses of an individual’s personal data to their attention before you start the processing. | ・お客様は、プライバシー情報を定期的に見直し、必要に応じて更新する必要がある。個人データの新たな利用がある場合は、処理を開始する前に、その利用について本人の注意を喚起する必要がある。 |
・Getting the right to be informed correct, can help you to comply with other aspects of the GDPR and build trust with people, but getting it wrong can leave you open to fines and lead to reputational damage. | ・情報提供の権利を正しく取得することは、GDPRの他の側面への準拠や人々との信頼関係の構築に役立つが、それを誤ると、罰金の対象となり、風評被害につながる可能性がある。 |
Relevant UK GDPR articles: 5(a), 12-14 | 関連する英国のGDPRの条文 5(a), 12-14 |
ICO guidance on lawfulness, fairness and transparency ICO guidance on individuals’ right to be informed | 合法性、公平性、透明性に関するICOガイダンス 情報提供を受ける個人の権利に関するICOガイダンス |
Annex B: Making a referral to the ICO | 附属書 B: ICOに照会する場合 |
The Information Commissioner’s Office (ICO) has responsibility for promoting and enforcing the UK General Data Protection Regulation (UK GDPR), the Data Protection Act 2018 (DPA18), the Freedom of Information Act 2000 (FOIA), the Privacy and Electronic Regulations 2003 (PECR), the Network and Information Systems Regulations 2018 (NIS), and the Environmental Information Regulations 2004 (EIR). | 情報コミッショナー事務所(ICO)は、英国一般データ保護規則(英国GDPR)、データ保護法2018(DPA18)、情報公開法2000(FOIA)、プライバシーおよび電子規則2003(PECR)、ネットワークおよび情報システム規則2018(NIS)、環境情報規則2004(EIR)を推進し執行する責任を負っている。 |
Should you believe that you have information, or evidence that indicates an organisation or individual has poor app security and/or privacy practices in place, you can refer your concerns to the ICO. The ICO will consider your referral to establish if the matter should be developed further. | 組織または個人が貧弱なアプリセキュリティおよび/またはプライバシー慣行を実施していることを示す情報、または証拠をお持ちだと思われる場合、その懸念をICOに照会することができる。ICOは、その問題をさらに発展させるべきかどうかを決定するために、あなたの付託を検討する。 |
Potential outcomes include: | 想定される結果は以下の通りである。 |
・After assessment, your referral may be submitted to an ICO department for further consideration and action as deemed appropriate. The ICO will record your referral and log the matter for future reference. | ・評価後、あなたの照会は、さらなる検討と適切とみなされる行動のためにICOの部門に提出される場合がある。ICO はあなたの紹介を記録し、将来の参考のためにその問題を記録する。 |
・The referral procedure outlined in this code does not apply to Data Protection, FOI and EIR complaints, nuisance calls and messages, and complaints about cookies. Information or how you can make a complaint in relation to these, and other information rights issues can be accessed via the ICO website. | ・この規範で説明されている照会手続きは、データ保護、FOIおよびEIRに関する苦情、迷惑電話およびメッセージ、Cookieに関する苦情には適用されません。これらの苦情やその他の情報権利に関する問題についての情報は、ICOのウェブサイトから入手することができる。 |
It is also important to note that the above procedure does not apply to the following: Personal data breaches under Freedom of Information and Data Protection GDPR or DPA 2018, which must be considered and where relevant reported to the ICO as outlined in the following guidance: Protected Disclosures to the ICO - A whistleblower may be making a qualified protected disclosure under the Public Interest Disclosure Act 1998 (PIDA) or the Public Interest Disclosure (Northern Ireland) Order 1998. The ICO has produced guidance on whether an individual may be afforded protection under these pieces of legislation. However, the ICO cannot advise whether a disclosure would be protected, and the individual must satisfy Voluntary Code of Practice for all app store operators and developers themselves that this would be the case through seeking their own independent legal advice. | また、以下の場合は、上記の手続きは適用されないので注意すること。情報公開およびデータ保護GDPRまたはDPA 2018に基づく個人データ侵害は、以下のガイダンスに概説されているように検討し、関連する場合はICOに報告する必要がある。ICOへの保護された開示 - 内部告発者は、1998年公益開示法(PIDA)または1998年公益開示(北アイルランド)令に基づく適格保護開示を行う可能性がある。ICOは、個人がこれらの法律の下で保護を受けることができるかどうかについてのガイダンスを作成している。ただし、ICOは、開示が保護されるかどうかを助言することはできません。個人は、独立した法的アドバイスを求めることによって、すべてのアプリストア運営者および開発者のための自主規範がそうであることを自ら納得する必要がある。 |
If you believe you have identified a potential app related security or privacy concern, please forward your concern to the ICO using the following email address: IH@ico.org.uk We would encourage you to provide as much detail as possible and to include your contact details - if you are comfortable in doing so. Any evidence, which supports your concern, should be included in your referral. | アプリに関連するセキュリティやプライバシーに関する潜在的な懸念を確認された場合は、以下のメールアドレスからICOに報告すること。 IH@ico.org.uk できるだけ詳細な情報を提供し、差し支えなければ連絡先を記載していただくことを推奨する。あなたの懸念を裏付ける証拠があれば、照会に含める必要がある。 |
As part of any assessment process, the ICO may need to contact you to seek further information but will not routinely enter into any correspondence with you regarding your referral. It is important that your referral to the ICO remains confidential, subject to any other reporting obligations. This is to ensure that any future potential investigation we may undertake is not compromised. | 評価プロセスの一環として、ICOはさらなる情報を求めるためにあなたに連絡する必要があるかもしれませんが、あなたの紹介状に関してあなたと日常的に連絡を取り合うことはない。ICOに照会する場合は、他の報告義務に従うことを前提に、機密情報として扱われることが重要である。これは、当社が将来行う可能性のある調査が損なわれないようにするためである。 |
Annex C: Further information | 附属書 C:詳細情報 |
Protecting the mechanism for allowing enterprise app stores | エンタープライズのアプリストアを許可する仕組みの保護 |
App stores can offer organisations mechanisms to set up private app stores, curated for their employees. Thus far, this has predominantly been offered by some operators for mobile and desktop devices. App Store Operators shall ensure that their platform is protected from malicious actors who may use the mechanism for creating enterprise app stores as a backdoor into their customer’s organisation or as a mechanism to distribute malicious apps to consumers. If an organisation intends to create an app store that involves processing employee data, it shall be required to implement security measures which are required under data protection law to ensure that employee data is protected.[footnote 17] | アプリストアは、企業が従業員向けにカスタマイズしたプライベートアプリストアを構築するための仕組みを提供することができる。これまで、主に一部の事業者がモバイルデバイスとであるクトップデバイス向けに提供してきた。アプリストア事業者は、エンタープライズ向けアプリストアを作成する仕組みを、顧客の組織へのバックドアとして、または消費者に悪意のあるアプリを配布する仕組みとして利用する可能性のある悪意のある行為者から、そのプラットフォームを確実に保護すべきである。組織が従業員データの処理を伴うアプリストアを作成しようとする場合、従業員データを確実に保護するために、データ保護法に基づいて要求されるセキュリティ対策を実施すべきである[脚注17]。 |
1. Please note: relevant authorities such as NHS England and the Medicines and Healthcare products Regulatory Agency (MHRA) are exploring whether an enhanced regime focused on clinical safety for health apps are appropriate.↩ | ご注意:NHSイングランドや医薬品・医療製品規制庁(MHRA)などの関連当局は、健康アプリの臨床安全性に焦点を当てた強化体制が適切かどうかを調査している。 |
2. Developers should be aware that the standards of the ICO’s Children’s Code require that certain functionality, in particular geolocation (under standard 10), is off by default unless the service provider can justify why it should be on by default, taking into account the best interests of the child. See: “Age appropriate design: a code of practice for online services”. Guidance to support the implementation of the Children’s Code can be found here: The Children’s code design guidance↩ | ICOのChildren's Codeの基準では、特定の機能、特にジオロケーション(基準10の下)は、サービス提供者が子どもの最善の利益を考慮し、デフォルトでオンにすべき理由を正当化できない限り、デフォルトでオフにすることが求められていることを開発者は知っておくべきである。参照: 「年齢に応じたデザイン:オンラインサービスのための実践規範」。子どもコードの実施を支援するガイダンスは、こちらを参照。 チルドレンズ・コード・デザイン・ガイダンス |
3. Relevant stakeholders must adhere to requirements under UK GDPR Articles 13/14 to explain the purposes for processing personal data, which would include processing facilitated via permissions or optional functions.↩ | 関係者は、英国GDPR第13/14条の要件に従い、個人データの処理目的について説明する必要があり、これには許可またはオプション機能によって促進される処理が含まれる。 |
4. Mandated in data protection law; see UK GDPR Article 5(1)(f), 25 and 32 and Annex A. For further information on security requirements and data protection by design and default see: Information Commissioner’s Office, “Guide to the General Data Protection Regulation (GDPR)” and “Data protection by design and default”↩ | データ保護法で義務付けられている。英国GDPR第5条(1)(f)、25、32条および附属書 Aを参照。セキュリティ要件および設計とデフォルトによるデータ保護に関する詳細については、以下を参照すること。情報コミッショナー事務局、"一般データ保護規則(GDPR)の手引き "および "設計とデフォルトによるデータ保護" |
5. With regard to regulatory requirements for health-related apps that qualify as medical devices, please refer to UK Medical Device Regulation and accompanying guidance Medical devices: software applications (apps) for Great Britain and to Regulation (EU) 2017/745 for Northern Ireland. The NHS Digital Technology Assessment Criteria (DTAC) sets out the standards that are required from health apps and digital health technologies.↩ | 医療機器として認定される健康関連アプリの規制要件に関しては、グレートブリテンについてはUK Medical Device Regulationおよび付随するガイダンスMedical devices: Software Applications (apps)、北アイルランドについてはRegulation (EU) 2017/745を参照すること。NHSデジタル技術評価基準(DTAC)は、健康アプリやデジタルヘルス技術に要求される基準を定めている。 |
6. This may be by using the standard functionality of the operating system. However, when using a platform without that functionality, this may involve providing an uninstall script.↩ | これは、OSの標準機能を利用することで実現できるかもしれません。ただし、その機能がないプラットフォームを使用する場合、アンインストールスクリプトを提供することが含まれる場合がある。 |
7. Mandated in data protection law where the right to erasure applies under UK GDPR Article 17. See Annex A for more information.↩ | 英国GDPR第17条に基づき消去の権利が適用されるデータ保護法において義務付けられている。詳しくは附属書 Aを参照。 |
8. In line with data protection law requirements of UK GDPR Article 32. See Annex A for further information.↩ | 英国GDPR第32条のデータ保護法の要件に沿うもの。詳しくは附属書 Aを参照。 |
9. In line with data protection law requirements of UK GDPR Article 32. See Annex A for further information.↩ | 英国GDPR第32条のデータ保護法の要件に沿ったもの。詳しくは附属書 Aを参照。 |
10. This should not supersede principle 1.4 and 1.5 related to malicious apps.↩ | これは、悪意のあるアプリに関連する原則1.4および1.5に取って代わるものではない。 |
11. See UK GDPR Article 4(1) and (2) for definitions of personal data and details on processing: https://www.legislation.gov.uk/eur/2016/679/article/4↩ | 個人データの定義と処理に関する詳細は、英国GDPR第4条(1)および(2)を参照:https://www.legislation.gov.uk/eur/2016/679/article/4 |
12. There are services offered by industry to help operators with verifying this data so that factual information is signposted to users.↩ | 事実に基づく情報がユーザに示されるように、このデータの検証を行う事業者を支援するために、産業界が提供するサービスが存在する。 |
13. NCSC Cloud Security guidance (see principle 2 on physical location and legal jurisdiction). Additionally, the guidance notes that the service provider should be able to tell you where your data is processed, where it will be stored, and in what country the company (and any of its providers that handle your data) is legally based. See: https://www.ncsc.gov.uk/collection/cloud/the-cloud-security-principles/principle-2-asset-protection-and-resilience↩ | NCSC Cloud Security ガイダンス(物理的な場所と法的な管轄権に関する原則 2 を参照)。さらに、このガイダンスでは、サービスプロバイダは、あなたのデータがどこで処理され、どこに保存され、その会社(およびあなたのデータを扱うそのプロバイダ)が法的にどの国に拠点を置いているかをあなたに伝えることができるはずであると指摘している。参照: https://www.ncsc.gov.uk/collection/cloud/the-cloud-security-principles/principle-2-asset-protection-and-resilience |
14. DCMS commissioned mapping by Copper Horse Ltd, ‘Application Security Mapping’, November 2022. https://appsecuritymapping.com/↩ | DCMSがCopper Horse Ltdに委託して作成したマッピング、「Application Security Mapping」、2022年11月 https://appsecuritymapping.com/. |
15. ICO guidance on this can be found here: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/↩ | これに関するICOのガイダンスは、こちらを参照。: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/personal-data-breaches/ |
16. ICO Glossary of Terms: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-fee/glossary/↩ | ICOの用語集:https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-fee/glossary/ |
17. See for example, UK GDPR Articles 5(1)(f), 24, 25 and 32↩ | 例えば、英国GDPR第5条(1)(f)、24、25、32条を参照。 |
Comments