このページの内容の作成日:2020/01/10
このページの最終更新日:2022/09/08
プライバシーポリシーとは、その法人(又はサービス)における「個人情報」の取扱いを定めた文書です。「個人情報」だけでなく広く「パーソナルデータ」の取扱いについて定めている場合もあります。
「個人情報」とは、生存する個人に関する情報であって、ア)情報に含まれる氏名、生年月日その他の記述等(中略)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)、イ)個人識別符号(運転免許証のナンバーなど)が含まれるもの、のいずれかです。
これに対して「パーソナルデータ」は、個人の属性情報、移動・行動・購買履歴など、特定の個人を識別できるか否かを問わず、個人と関係性が見出される広範囲の情報を指すものと考えられています。
「個人情報」を取得する場合には、あらかじめその利用目的を公表しなければなりません(詳しくは個人情報保護法21条1項)。このため、個人情報を取得するウェブサービスでは、少なくともこの「利用目的」を公表するためにプライバシーポリシーを定める義務があります。
この他、国外ルールへの対応のためや、自社の個人情報保護体制をアピールするためにも、プライバシーポリシーは定められています。
他方、情報提供のみを目的とするウェブサービスなど、個人情報を取得しないウェブサービスであれば、ウェブサイト上にプライバシーポリシーを掲載する義務はありません。もっとも、(ウェブサービス外で)個人情報を収集するに際しては、他の方法で利用目的等を本人に通知する必要があります。
個人情報は、利用目的をできる限り特定して取得しなければならず、その範囲を超えて取扱いをすることもできません。よって、想定される利用目的については、過不足なくプライバシーポリシーに定めておかなければなりません。
また、個人情報を他社と共有したり、第三者提供する場合にも、個人情報法に則った定めをしておく必要があります。
この他、ウェブサービスの特殊性として世界中からのアクセスが可能であるため、国外ルールの適用可能性があるかを見極めたうえ、必要な場合には、それらに準拠した定めをおかなければなりません。
2022年4月施行の改正個人情報保護法により、住所と、法人はその代表者の氏名も「本人の知り得る状態」におかなければならなくなりました。
よって、これまでプライバシーポリシーに法人の名称のみを記載していた場合には、これに加えて、住所(本店所在地)と、代表者氏名を記載することが適切です。
ただし、「本人の知り得る状態」には「本人の求めに応じて遅滞なく回答する場合を含む。」とされていますので、何らかの事情でこれらをプライバシーポリシーに記載できない場合には、遅滞なく回答する体制を整えておくことでも足ります。
2022年4月施行の改正個人情報保護法により、保有個人データの安全管理のために講じた措置(施行令第8条1号)も、公表するか、又は求めに応じて遅滞なく回答することで「本人の知り得る状態」に置かなければならなくなりました(法27条1項本文)。
ただし、安全管理措置に支障を及ぼすおそれがあるものは、その必要はありません。
よって、安全管理措置については、プライバシーポリシーへの記載は必須ではありませんが、いつでも開示できるように内部的には準備しておく必要があります。
法改正によって、クッキーやIPアドレスが「個人情報」にあたるとされたわけではありません。これらは、2022年4月施行の改正個人情報保護法により、「個人情報」ではない、「個人関連情報」(第26条の2)として規制されることになったのです。
このため、クッキーには、取得・利用・提供等に関する「個人情報」としての規制は適用されません。
*但し、これはクッキー単体での単体です。クッキーが、他の情報と紐づいて個人を識別できる状態となっている場合は「個人情報」にあたりますので、注意が必要です。
クッキーは、単体では「個人情報」ではありませんので、原則的に個人情報保護法による規制はありません。しかし、クッキーを提供される企業(提供先)が、クッキーを自社の個人情報と紐づける場合には、提供先は、本人の同意を得なければなりません。
これに対応して、クッキーを提供する企業(提供元)の側では、提供先がクッキーを個人情報と紐づけることが「想定」される場合には、提供先が上記の同意を得ていることを「確認」しなければなりません。
改正電気通信事業法が施行されることにより(成立から1年以内に施行されます)、電気通信事業者等の事業者(*1)は、クッキーを利用する場合に、利用者に対して一定の事項(*2)を少なくとも通知又は公表しなければならなくなります。
但し、いわゆる必須クッキーやファーストパーティクッキーは対象外となります(ファーストパーティクッキーの全部が対象外となるかは現段階では明らかになっていません)。
なお、Google Analyticsは、Googleの説明によればファーストパーティクッキーですので、改正法の対象外となると考えられます。
よって、少なくとも電気通信事業者であり、且つ、サードパーティクッキーを利用する事業者は対象となりえますが、更にどこまでの事業者が対象となるのかは、今後の発表を注視する必要があります。
【*1】
改正法は、対象となる事業者を「電気通信事業者又は第三号事業を営む者」(改正法27条の12柱書)としていますが、本Q&A執筆時点(2022年8月)では、まだ「第三号事業を営む者」にどのような事業者が含まれるのか明らかになっていません。
【*2】
1.利用者の端末から送信される利用者情報の内容、2.情報の送信先及び3.その他総務省令で定める事項の3点です。
EUにおいては、個人データの処理と移転に関するルールを定めた規則として、2017年4月にEU一般データ保護規則(General Data Protection Regulation:GDPR)が制定され、2018年5月から適用が開始されることとなりました。
GDPRは、EU(EEA。以下同じ。)域内の自然人の個人データを扱う企業等を直接規制する規則です。つまり、EU域内の企業に限らず、国内企業であってもEU域内の個人データを扱う企業等であれば規制の対象となる可能性があります。特に、EU域内へ商品やサービスを提供している企業やEU域内の企業から個人データの処理を受託している企業は注意が必要です。
GDPRへの違反行為には高額の制裁金が課されるリスクがありますので、対象となる企業は、適用開始までに適切な措置をとっておく必要があります。
GDPRは、EU域外の事業者であっても、EU域内のデータ主体(人)を対象とすることが明らかな場合(EU域内の人へ商品・サービスを提供するなど)には適用されます。ウェブサービスがEU域内の人へ商品・サービスを提供することが想定されているかは、ア)EU域内からのアクセス可能性、イ)使用されている言語、ウ)決済通貨、エ)ウェブサイト上の記載などから判断されます。
言語が日本語のみ、決済通貨も日本円のみという国内向けウェブサービスでは、この他に特別な要素がなければ、「EU域内のデータ主体(人)を対象とすることが想定されている」ことが明らかとはいえないため、GDPRの対象とはなりません。
実態としてEU域内からのアクセス・利用がある場合には個別の判断が必要です。
EU域内に拠点を持たない事業者がGDPRの対象となる場合には、代理人(Representatives)を選任しなければならない可能性があるなど、プライバシーポリシーの変更のみでなく、別途対応な必要な事項があります。
GDPRで保護される「個人データ」は「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。
この「識別され得る自然人」の例としては、「氏名、識別番号、位置データ、オンライン識別子のような識別子、又は当該自然人に関する物理的、生理的、遺伝子的、精神的、経済的、文化的若しくは社会的アイデンティティに特有な一つ若しくは複数の要素を参照することによって、直接的に又は間接的に、識別され得るものをいう。」とされています。
よって、クッキーのようなオンライン識別子についても、それによって個人を識別できうるものと考えて、氏名等と同等の対策をするべきといえます。
GDPRに加え、ePrivacy規則でも、クッキー取得にはデータ主体の主体的な同意が必要と解されています。よって、プライバシーポリシーを掲載するだけでなく、確認フォーム・バナーにより同意をえたうえでクッキーを取得することが重要です。
GDPRの対象となるサービスにおいては、プライバシーポリシーはEU域内の人が理解できる言語で記載されている必要があります。よって、このようなサービスでは、少なくとも英語で記載されたプライバシーポリシーを用意しておく必要があります。