Webサイトの利用規約

プライバシーポリシーのQ&A

このページの内容の作成日:2020/1/10
このページの最終更新日:2021/12/3

プライバシーポリシーとは

Q1.プライバシーポリシーとは何ですか?

プライバシーポリシーとは、その法人(又はサービス)における「個人情報」の取扱いを定めた文書です。「個人情報」だけでなく広く「パーソナルデータ」の取扱いについて定めている場合もあります。

Q2.「個人情報」や「パーソナルデータ」とは何ですか?

「個人情報」とは、生存する個人に関する情報であって、ア)情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、イ)個人識別符号(運転免許証のナンバーなど)が含まれるもの、のいずれかです。

これに対して「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴など、特定の個人を識別できるか否かを問わず、個人と関係性が見出される広範囲の情報を指すものと考えられています。

Q3.なぜプライバシーポリシーを定める必要があるのですか?

「個人情報」を取得する場合には、あらかじめその利用目的を公表しなければなりません(詳しくは個人情報保護法18条1項)。このため、個人情報を取得するウェブサービスでは、少なくともこの「利用目的」を公表するためにプライバシーポリシーを定める義務があります。

この他、国外ルールへの対応のためや、自社の個人情報保護体制をアピールするためにも、プライバシーポリシーは定められています。

Q4.ウェブサービスでは、どのような点に注意してプライバシーポリシーを定める必要がありますか?

個人情報は、利用目的をできる限り特定して取得しなければならず、その範囲を超えて取扱いをすることもできません。よって、想定される利用目的については、過不足なくプライバシーポリシーに定めておかなければなりません。

また、個人情報を他社と共有したり、第三者提供する場合にも、個人情報法に則った定めをしておく必要があります。

この他、ウェブサービスの特殊性として世界中からのアクセスが可能であるため、国外ルールの適用可能性があるかを見極めたうえ、必要な場合には、それらに準拠した定めをおかなければなりません。

GDPRとは

Q5.GDPRとは何ですか?

EUにおいては、個人データの処理と移転に関するルールを定めた規則として、2017年4月にEU一般データ保護規則(General Data Protection Regulation:GDPR)が制定され、2018年5月から適用が開始されることとなりました。

GDPRは、EU(EEA。以下同じ。)域内の自然人の個人データを扱う企業等を直接規制する規則です。つまり、EU域内の企業に限らず、国内企業であってもEU域内の個人データを扱う企業等であれば規制の対象となる可能性があります。特に、EU域内へ商品やサービスを提供している企業やEU域内の企業から個人データの処理を受託している企業は注意が必要です。

GDPRへの違反行為には高額の制裁金が課されるリスクがありますので、対象となる企業は、適用開始までに適切な措置をとっておく必要があります。

Q6.どのようなウェブサービスがGDPRの対象となりますか?

GDPRは、EU域外の事業者であっても、EU域内のデータ主体(人)を対象とすることが明らかな場合(EU域内の人へ商品・サービスを提供するなど)には適用されます。ウェブサービスがEU域内の人へ商品・サービスを提供することが想定されているかは、ア)EU域内からのアクセス可能性、イ)使用されている言語、ウ)決済通貨、エ)ウェブサイト上の記載などから判断されます。

Q7.国内向けウェブサービスであってもGDPRの対象となりますか?

言語が日本語のみ、決済通貨も日本円のみというウェブサービスでは、この他に特別な要素がなければ、「EU域内のデータ主体(人)を対象とすることが想定されている」ことが明らかとはいえないため、GDPRの対象とはなりません。

Q8.GDPRの対策は、プライバシーポリシーの変更で足りますか?

EU域内に拠点を持たない事業者がGDPRの対象となる場合には、代理人(Representatives)を選任しなければならない可能性があるなど、プライバシーポリシーの変更のみでなく、別途対応な必要な事項があります。

Q9.クッキーについてはどのような対策が必要ですか?

GDPRで保護される「個人データ」は「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。

この「識別され得る自然人」の例としては、「氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。」とされています。

よって、クッキーのようなオンライン識別子についても、それによって個人を識別できうるものと考えて、氏名等と同等の対策をするべきといえます。

Q10.クッキーに関する確認フォーム・バナーにはどのような意味がありますか?

GDPRに加え、ePrivacy規則でも、クッキー取得にはデータ主体の主体的な同意が必要と解されています。よって、プライバシーポリシーを掲載するだけでなく、確認フォーム・バナーにより同意をえたうえでクッキーを取得することが重要です。

Q11.プライバシーポリシーは日本語のみで足りますか?

GDPRの対象となるサービスにおいては、プライバシーポリシーはEU域内の人が理解できる言語で記載されている必要があります。よって、このようなサービスでは、少なくとも英語で記載されたプライバシーポリシーを用意しておく必要があります。

コンテンツ庵