プライバシーポリシーは専門家しか作れなくなった
かつて、プライバシーポリシー(個人情報保護方針)はコピペで作成されていました。「個人情報保護頑張ります」というレベルの内容の薄いポリシーが巷に溢れていました。ところが今はそうではありません。
例えば、LINEヤフー株式会社のプライバシーポリシーを見てみましょう。
2万文字を超える長文に専門的な内容が組み込まれ、読んでも意味が分からず、なぜこんなに長く複雑になっているのか理解に苦しむことでしょう。
現在のプライバシーポリシーは、専門家だけが理解でき、専門家しか作成できません。
このコラムでは、プライバシーポリシーがどうしてこれほどに長大で複雑なものになったのか、そして企業の法務担当者がどのような点に注意を払うべきかを説明していきたいと思います。
個人情報保護法への対応
プライバシーポリシーを策定するにあたって、日本の個人情報保護法への対応は当然ながら必要です。関連する条文ごとにプライバシーポリシーへの記載事項を説明します。
第21条(取得に際しての利用目的の通知等)
第21条1項には、“個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない”と定められています。また同条2項では直接書面で取得する場合には“あらかじめ、本人に対し、その利用目的を明示しなければならない”と定められています。
これは最もベーシックな話ですが、プライバシーポリシーが適用される事業、サービスのスキームをベースに利用目的の特定をおこないます。利用目的の特定にあたっては、目的外利用が発生しないよう、現状の利用目的のみならず将来の事業構想も踏まえた検討が必要になります。
第27条(第三者提供の制限)
個人情報の第三者提供をおこなう場合には本人の同意が必要になります。この点についてもプライバシーポリシーに明記した上で同意を得るのが効率的です。
また、第27条5項3号には、第三者提供の例外としての共同利用の記載があります。共同利用をおこなう場合は、共同利用者の範囲等の必要事項を公表する必要があります。共同利用については直接的には同意原則が適用されてないため、事業者は安易に共同利用を採用するケースが多いのですが、注意が必要です。過去にも炎上事例が発生しており、第三者提供とするか共同利用とするかについてはしっかりと吟味する必要があります。
第28条(外国にある第三者への提供の制限)
厳密には同意に基づいて提供する場合と、そうでない場合で実施事項が異なるため、細かい話をすると複雑になってしまいますが、概ね以下のような内容をプライバシーポリシーに記載するのが一般的になりつつあります。
- ・提供先の外国の名称
- ・当該外国における個人情報の保護に関する制度に関する情報
- ・当該第三者が講ずる個人情報の保護のための措置に関する情報
第31条(個人関連情報の第三者提供の制限等)
これはリクナビ内定辞退率推定問題が発端になって加わった条文になりますが、個人関連情報(cookie等の識別子に紐づく履歴情報等)の第三者提供がおこなわれた場合に、提供先が個人関連情報を個人情報として取得する場合に原則として提供先が本人の同意を得ることが求められています。提供元としては提供先が同意を得たことを確認する義務がありますので、提供先が同意を得ることが困難な場合は、提供元側で同意を得る必要があります。
個人関連情報が提供先において個人情報として取得される場合には、そのことについてもプライバシーポリシーで触れることになります。
第32条(保有個人データに関する事項の公表等)
第32条では保有個人データに関して、下記の事項について公表等をおこなうことを求めています。
- ・個人情報取扱事業者の名称及び住所並びに代表者の氏名
- ・全ての保有個人データの利用目的
- ・請求に応じる手続(手数料の額を含む)
- ・保有個人データの安全管理のために講じた措置
- ・苦情の申出先
- ・認定個人情報保護団体の名称及び苦情の解決の申出先
第41条(仮名加工情報の作成等)
事業者は仮名加工情報を作成し、利用する場合は、利用目的の公表が求められています。
第44条(匿名加工情報の提供)
事業者は匿名加工情報を作成し、第三者に提供する場合は、匿名加工情報に含まれる個人に関する情報の項目および提供の方法を公表することが求められています。
その他の法令、ガイドライン等への対応
個人情報保護法だけではなく、別の法令やガイドラインあるいは海外のプライバシー法制において公表が求められる項目があります。
プライバシーマーク
- ① 個人情報保護方針に関する要求事項
コピペだらけのプライバシーポリシーが大量生産された時代がありました。その原因はプライバシーマークにありました。プライバシーマークでは、「個人情報保護方針」に下記の事項を盛り込むことを求めています。この通りに書かないと審査で指摘を受けてしまうため、コンサルティング会社が作成した定型文が世の中にばら撒かれたのです。
- a)事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供に関すること(目的外利用をおこなわないこと及びそのための措置を講じることを含む。)
- b)個人情報の取扱いに関する法令、国が定める指針その他の規範を遵守すること
- c)個人情報の漏えい、滅失又はき損の防止及び是正に関すること
- d)苦情及び相談への対応に関すること
- e)個人情報保護マネジメントシステムの継続的改善に関すること
- f)代表者の氏名
- g)制定年月日及び最終改正年月日
- h)個人情報保護方針の内容についての問い合わせ先
- ② 直接書面取得に関する要求事項
プライバシーマークでは、事業者が個人情報を直接書面により取得する場合に、下記の8項目の明示と同意の取得を求めています。
- a)当社の名称。
- b)個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先。
- c)利用目的。
- d)個人情報を第三者に提供することが予定される場合には次の事項。
- -第三者に提供する目的。
- -提供する個人情報の項目。
- -提供の手段又は方法。
- -当該情報の提供を受ける者又は提供を受ける者の組織の種類、及び属性。
- -個人情報の取扱いに関する契約がある場合はその旨。
- e)個人情報の取扱いの委託を行うことが予定される場合には、その旨。
- f)保有個人データに該当する場合には、保有個人データに対する請求等に応じる旨及び問合せ窓口。
- g)本人が個人情報を与えることの任意性及び当該情報を与えなかった場合に本人に生じる結果。
- h)本人が容易に認識できない方法によって個人情報を取得する場合には、その旨。
プライバシーポリシーに直接書面取得時の明示と同意の機能を持たせる場合は、これらの項目を盛り込む必要があります。
スマートフォン プライバシーイニシアティブ
2012年に総務省が公表したスマートフォンプライバシーイニシアティブでは、スマートフォンアプリを提供する場合に、事業者は以下の内容を含むプライバシーポリシーを策定することを求めています。
- ① 情報を取得するアプリケーション提供者等の氏名又は名称
- ② 取得される情報の項目
- ③ 取得方法
- ④ 利用目的の特定・明示
- ⑤ 通知・公表又は同意取得の方法、利用者関与の方法
- ⑥ 外部送信・第三者提供・情報収集モジュールの有無
- ⑦ 問合せ窓口
- ⑧ プライバシーポリシーの変更を行う場合の手続
現在、インターネットサービスを提供する場合に、スマートフォンアプリとセットで展開することが多いため、上記の内容をプライバシーポリシーに盛り込む必要がります。②⑤⑥の情報を記載するのは比較的厳しい要求と言えます。
行動ターゲティング広告ガイドライン
JIAAが行動ターゲティング広告ガイドラインを定め、個人関連情報(かつてはインフォマティブデータと呼んでいました)の取扱いに関して指針を示しています。その下位文書となるプライバシーポリシーガイドラインにおいてプライバシーポリシーに下記の事項を盛り込むことを求めています。
- ① プライバシーポリシーが適用される範囲
- ② 情報を取得する事業者の氏名または名称
- ③ 想定され得る、取得する個人情報および個人関連情報の種類
- ④ 取得方法が特定できる場合には取得方法
- ⑤ 個人情報および個人関連情報の利用目的
- ⑥ 個人データおよび個人関連情報(検索することができるように体系的に構成されたものに限る)を第三者に提供または個人データを共同利用する場合は、その旨
- ⑦ 保有個人データの安全管理措置および苦情の申出先、ならびに開示等の請求等の受付方法および手数料を定めた場合は、その旨
- ⑧ 個人情報の取扱いに関する問い合わせ窓口や連絡先、連絡方法(手続き)
対象が個人情報だけではなく個人関連情報も含まれているため、とどのつまりcookieポリシーを作成せよ、ということが求められていると捉えることになります。
電気通信事業法
2023年6月から施行された電気通信事業法(2022年改正版)において、第27条12が追加されました。ここで定められている外部送信規律は、電気通信事業者のみならず、 「第3号事業を営むもの」も対象となります。 「第3号事業を営むもの」とは、 ドメイン名電気通信役務、検索情報電気通信役務、媒介相当電気通信役務のいずれかの役務をおこなう事業者であり、思いのほか対象事業者は多いです。
外部送信規律として下記のいずれかを実施することが求められています。
- ・利用目的の公表(原則)
- ・同意の取得
- ・オプトアウト措置
当社は、様々な会社のプライバシーポリシーをウォッチしていますが、改正電気通信事業法が施行された2023年6月のタイミングでプライバシーポリシーを改訂した事業者もいくつか確認されました。
海外法への対応
日本国外で事業を進める場合や、日本国外のユーザの個人情報の日本国内への移転が発生する場合はその国のプライバシー法制に準拠する必要があります。
特に注視すべきなのが、EU一般データ保護規則(GDPR)、中国個人情報保護法(PIPL)、カリフォルニア州消費者プライバシー法(CCPA)でしょうか。域外データ移転を中心に要求事項を確認しつつ、個人情報を取得するための要件や本人への通知事項についてもしっかりと押さえておく必要があります。
まとめ
プライバシーポリシーは、様々な法規制等の要請にしたがって、記載事項が膨れ上がり複雑化しています。
当社では、新規事業や新規サービスのリリースに伴い、プライバシーポリシーや利用規約の策定依頼が増加しています。事業やサービスのスキーム(すでに計画されているものと、将来の構想も含め)を丁寧にヒアリングした上で、適用すべき法規制等の洗い出しをおこない、一から文案を作成していきます。法律家との連携が必要な難易度の高いものも多く、事業者が独力でプライバシーポリシーを作成することは非常に困難です。
2024年7月からプライバシーポリシー策定に絞ったコンサルティングサービスもスタートしたので、お困りの企業はぜひご相談ください。
