本連載では、「DX時代の法務・知財」と題し、新しいタイプのITビジネスに関連する契約類型や法令について解説するとともに、そのようなビジネスを保護するための権利の取得・活用の考え方についても解説します。

今回は、顧客・ユーザの個人データを扱うにあたって策定すべきプライバシーポリシーにつき、令和2年個人情報保護法の改正に伴い見直すべきポイントも含めて解説します。

連載記事一覧

Vol.1 DX時代に求められる法務・知財の視点
Vol.2 開発段階における契約①――プラットフォーム事業者との契約
Vol.3 デジタルプラットフォーム取引透明化法
Vol.4 開発段階における契約②――外部への開発委託契約
Vol.5 社内開発と知的財産権の確保を巡る留意点
Vol.6 事業化段階における契約①――利用規約(総論)
Vol.7 外部への開発委託と下請法
Vol.8 事業化段階における契約➁
  ――利用規約(責任制限条項・契約内容の一方的変更・SaaS利用規約)

Vol.9 事業化段階における契約③――プライバシーポリシー
Vol.10 事業化段階における契約④――販売代理店契約

ポイント

検討のポイント

  • プライバシーポリシーは、個人情報保護法上の公表事項を定め、かつ、個人情報の取り扱い全般についてユーザに開示し、安心してサービスを利用してもらうという役割を担います。
  • 令和2年個人情報保護法の改正及びこれに伴う個人情報保護法ガイドラインの改正に伴い、プライバシーポリシーについても一部見直しが必要となっています。

解説

プライバシーポリシーを策定する目的

個人情報保護法においては、個人情報を取り扱う事業者に対して、個人情報の利用目的(法15条)や本人への周知事項(法27条)など、「公表」や「容易に知りうる状態に置く」ことを求めている項目があります。これらの義務を履行することが、企業がウェブサイトにおいてプライバシーポリシーを掲示する目的の一つといえます。

また、その他にも、個人データの第三者提供が予定されている場合などに、プライバシーポリシーへの同意をもって、法律上要求される本人の同意(法23条)を取得することもありますし、個人データの取扱いの委託が予定されている場合についてユーザに対する便宜のためにその旨を明示しておくなど、個人情報の取り扱い全般についてユーザに情報を開示し、安心してサービスを利用してもらうという役割も担っています。

また、個別のサービスに関する利用規約において個人情報の取扱いにつき同意を取得する場面においては、個人情報の取扱いについての定めをそのサービスの利用規約に置くことも可能ですが、利用規約と別のプライバシーポリシーに同意を求める形をとることも多く見受けられます。

令和2年個人情報保護法改正とプライバシーポリシー

個人情報保護法は令和2年に改正され(詳しくは別記事をご参照ください)、一部を除き、令和4年(2022年)4月に施行されることとなっています。また、関連する政令・規則についても令和3年3月24日に公布されており、ガイドライン案も公表がなされたところです(令和3年5月25日時点)。ガイドラインの確定及びQ&Aの公表は夏以降になるものと思われますが、以下のチェックポイントにおいては、個人情報保護法上記載しておくべき点に加え、現時点で判明している内容に照らし、サービス事業者がプライバシーポリシーについて令和4年4月の全面施行に向けて準備しておきたい点についても解説します。

プライバシーポリシーのチェックポイント

利用目的

個人情報保護法は、「個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。」としており、利用目的の通知又は公表を求めています(法15条)。プライバシーポリシーで利用目的を公表するのは、この義務を満たすためです。なお、インターネット上で本人が自発的に公にしている個人情報を取得した場合であっても、本人への通知又は公表は必要となりますので注意が必要です。

利用目的の記載については、かねてより、「事業活動に用いるため」などといったざっくりとした目的では足りず、具体的な特定が必要とされてきたところです。現行の「個人情報の保護に関する法律についてのガイドライン(通則編)」(以下、「ガイドライン(通則編)」といいます。)においても、「最終的にどのような事業の用に供され、どのような目的で個人情報を利用されるのかが、本人にとって一般的かつ合理的に想定できる程度に具体的に特定することが望ましい」とされています(ガイドライン通則編26頁)。

一方で、これまでは、ガイドライン(通則編)上も、個人情報がどのような方法で処理されるかについてまでは、本人に明示することは求められてきませんでした。しかしながら、AIなどの技術の進展に伴い、利用目的からは想定できないような方法で個人情報の処理が行われる場合(プロファイリング(個人の属性や性向などの推測を行うこと)など)については、そのことも明示する必要があるのではないか、といった議論がなされました(例えば、GDPRにおいても、「プロファイリングを含む自動的処理のみに依拠した重要な決定に服さない権利」がデータ主体に認められるなど(GDPR22条1項)、プロファイリングは規制の対象となっているところです。)。

そこで、改正に伴う新たなガイドライン(通則編)案においては、「本人が、自らの個人情報がどのように取り扱われることとなるか、利用目的から合理的に予測・想定できないような場合は、この趣旨に沿ってできる限り利用目的を特定したことにはならない」とされています。ガイドライン(通則編)案においては、以下のような事例が例として挙げられており、参考になるものと思われます。

【本人から得た情報から、行動・関心等の情報を分析する場合に具体的に利用目的を特定している事例】

事例1)「取得した閲覧履歴や購買履歴等の情報を分析して、趣味・嗜好に応じた新商品・サービスに関する広告のために利用いたします。」

事例2)「取得した行動履歴等の情報を分析し、結果をスコア化した上で、当該スコアを第三者へ提供いたします。」

本人への周知事項

個人情報保護法は、保有個人データにつき27条各号所定の事項(当該個人情報取扱事業者の氏名又は名称、保有個人データの利用目的など)を本人の知りうる状態に置くことを求めています。これは、個人情報保護法上に定められた本人の権利(開示請求など)を担保するための規定です。

本人への周知事項については、現在要求されている事項に加え、「住所」「(法人にあっては、その)代表者の氏名」が追加されました(27条1項1号)。形式面ではありますが、変更が必要な事業者も多いと思われますので、注意が必要です。

また、今回の改正で、政令において、安全管理のために講じた措置(20条)に関する情報についても公表義務が定められました(改正後施行令8条)。公表する内容としては、「法令及びガイドライン(通則編)に沿って安全管理措置を実施している」といった程度では不十分であり、実際に講じている措置を記載する必要があると解釈される見込みです(ガイドライン(通則編)案)。ただし、公表により安全管理に支障を及ぼすおそれがあるもの(セキュリティ上公表できないもの)については除外されており、公表する必要はありません(改正後施行令8条カッコ書)。

個人データの第三者提供

個人データを第三者に提供する場合は原則として同意が必要です(23条1項)。第三者提供が予定されている場合には、その旨をプライバシーポリシーに明記し同意を求めることで、第三者提供の同意とすることも可能です。

また、同意が不要となる例外として、23条2項所定の事項を「あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置」き、かつ個人情報保護委員会に届け出た場合(オプトアウト)や、委託、共同利用、事業承継の場合がありますが、そのうち、オプトアウトによる場合と共同利用の場合については、プライバシーポリシーなどによる公表が必要となります。

具体的には、オプトアウトによる第三者提供を行う場合、23条2項所定の事項(第三者への提供を利用目的とすることや、第三者に提供される個人データの項目など)について、プライバシーポリシーにおいてこれを公表することになります。

また、個人データにつき、グループ会社間などで共同して利用する場合については、次の①から⑤までの情報を公表することにより、共同利用(23条5項3号)として、第三者提供に当たらず、同意なしに提供することが可能となります。

① 共同利用をする旨

② 共同して利用される個人データの項目

③ 共同して利用する者の範囲

④ 利用する者の利用目的

⑤ 当該個人データの管理について責任を有する者の氏名又は名称

匿名加工情報の作成

個人データを利活用する場面において、匿名加工情報(特定の個人を識別することができないように個人情報を加工し、当該個人情報を復元できないようにした情報)が作成されることがあります。匿名加工情報は、一定のルールの下で、本人同意を得ることなく、データの利活用が可能となります。

匿名加工情報を作成した場合は、当該匿名加工情報に含まれる個人に関する情報の項目、第三者に提供される匿名加工情報に含まれる個人に関する情報の項目及びその提供の方法を公表しなければならないとされています(36条3項4項)。

(新設)開示請求・利用停止請求における個人の権利の強化への対応

改正法においては、本人の権利がかなり強化されていることから、プライバシーポリシーにおける本人の請求権に関する項目も、これに対応した記載に変更する必要があります。

具体的には、本人への開示方法につき、これまでは書面によることとなっていたところ、改正法においては、本人が事業者に開示方法を指定できることとなっており、電子ファイルでの提供も可能となっております(改正法28条2項)。また、これまで開示の対象外であった第三者提供記録が本人からの開示請求の対象となります(改正法28条5項)。さらに、利用する必要がなくなった場合や、漏えいの恐れがある場合など、個人の権利又は正当な利益が害される恐れがある場合について、本人からの利用停止等の請求権が認められています(改正法30条5項)。

(新設)個人関連情報に関する同意(ターゲティング広告を行っている場合など)

今回の改正において、「個人関連情報」なる概念が新設されました(詳しくは別記事をご参照ください)。個人関連情報とは、生存する個人に関する情報であって、個人情報、仮名加工情報及び匿名加工情報のいずれにも該当しないもの(新法26条の2柱書)をいい、例えばCookie等の識別子に紐づいた個人情報ではない情報などがこれに当たります。

「個人関連情報」の新設に伴い、個人関連情報取扱事業者が、提供先が個人関連情報を個人データとして取得することが想定されるときは、あらかじめ当該個人関連情報に係る本人の同意等が得られていることを確認しないで、当該個人関連情報を提供してはならないこととなりました。

ここにいう「個人データとして取得」することが想定される場合とは、提供先において、個人データに個人関連情報を付加する等、個人データとして利用しようとする場合を意味する(ガイドライン(通則編)案)とする方向で検討中です。

具体的には、例えばDMP事業者から分析結果の提供を受け、広告主において個⼈データと紐づけることが想定される場合には、広告主が本人から同意を取得しておかなければなりません(DMP事業者が同意取得を代行することも可能です)。

同意の方法については、ガイドライン(通則編)案において、以下のとおり明示的な同意による必要があると述べられています。

同意取得の方法としては、様々な方法があるが、例えば、本人から同意する旨を示した書面や電子メールを受領する方法、確認欄へのチェックを求める方法がある。ウェブサイト上で同意を取得する場合は、単にウェブサイト上に本人に示すべき事項を記載するのみでは足りず、それらの事項を示した上でウェブサイト上のボタンのクリックを求める方法等によらなければならない。

なお、広告主による同意の取り方の例として、個人情報保護委員会資料(令和2年11月20日)において、「当社は、第三者が運営するデータ・マネジメント・プラットフォームからCookieにより収集されたウェブの閲覧履歴及びその分析結果を取得し、これをお客様の個人データと結びつけた上で、広告配信等の目的で利用いたします。」と記載し、「上記の取扱いに同意する」とされたボタンを明示的にクリックすることによって、本人同意を取得する方法が挙げられており、参考になるものと思われます。

なお、個人関連情報を個人データとして取得した後の利用目的については、提供先の第三者において法第 18 条により通知又は公表を行う必要があります。提供先において同意を取得する際に、同時に利用目的についても本人に示すことが望ましいといえます。

本記事に関するお問い合わせはこちらから

(文責・秦野)

連載記事一覧

Vol.1 DX時代に求められる法務・知財の視点
Vol.2 開発段階における契約①――プラットフォーム事業者との契約
Vol.3 デジタルプラットフォーム取引透明化法
Vol.4 開発段階における契約②――外部への開発委託契約
Vol.5 社内開発と知的財産権の確保を巡る留意点
Vol.6 事業化段階における契約①――利用規約(総論)
Vol.7 外部への開発委託と下請法
Vol.8 事業化段階における契約➁
  ――利用規約(責任制限条項・契約内容の一方的変更・SaaS利用規約)

Vol.9 事業化段階における契約③――プライバシーポリシー
Vol.10 事業化段階における契約④――販売代理店契約