ウィザード形式でGDPRやCalOPPAに対応したプライバシーポリシーを作成できる「TermsFeed」


EUの一般データ保護規則(GDPR)やカリフォルニア州オンラインプライバシー保護法(CalOPPA)をはじめ、世界各国の個人情報保護法制が厳格化しています。それにあわせて、プライバシーポリシーの記述もより透明性が求められ、改定を迫られている企業も多いことと思います。

必ずしも法律に明るくないサービス運営者が、世界各国の法律が求める形式にミートするプライバシーポリシーを作成するにあたり、サポートしてくれるツールがないものか?そんなニーズに応えてくれそうなサービス「TermsFeed」を見つけたので、早速試してみました。

質問に答えていくだけでプライバシーポリシーが完成

自社サービスがどのような個人データを取得して、それをどのように利用するか。それをもれなく把握し、文書に反映できるのは、サービス運営者自身にほかなりません。この点で、弁護士等にある程度お任せしてサッと作ってもらえる契約書とプライバシーポリシーとは大きく異なります。とはいえ、法律が求めている形式に当てはめながら具体的な文書に書き起こすのは、サービス運営者にとっては骨の折れる作業です。

今回紹介する「TermsFeed」は、法律用語を知らなくても回答できるかんたんなウィザード(対話)形式で選択肢を選択・フォームに必要事項を埋めていくだけで、その回答を反映したプライバシーポリシーが作成できる手軽さが特徴となっています。そして、その各質問項目の深堀り度合いも、上手にポイントを抑えている感じがあります。

ウィザード形式のインターフェースがわかりやすい
ウィザード形式のインターフェースがわかりやすい

たとえば、個人データの利用目的として、単に「マーケティングのため」と抽象的に定めるのはGDPR上も日本の個人情報保護法上も認められなくなっています。この点を踏まえ、リマーケティング(過去のウェブサイト訪問履歴に応じて広告を表示する技術)を使うか、「使う」を選択すると、さらにどの広告プラットフォームサービスを利用してリマーケティングを行うか、といった質問がインタラクティブに繰り出されます。

ここでの回答によって、最終的に出力されるプライバシーポリシーの記載が変わる、という仕組みです。

対応する法域や広告サービスを増やすごとに課金額が増加

本サービスのように、ウィザード形式で回答を入力していくことでプラポリや利用規約を作成してくれるサービスはこれまでもありました。そんな中でも、このサービスがユニークなのは、GDPRやCalOPPAといった、各国の法域ごとに求められた明示すべき事項に積極的に対応しようとしているところでしょう。

日本のサービスなら日本法、イギリスのサービスなら英国法など、それが提供されている国の法律のみを対象にしたサービスがほとんどだった中で、選択に応じGDPR・CalOPPA双方に対応したプラポリも作成できるようにしたのは、大胆なチャレンジだと思います。

追加課金でGDPR・CalOPPA双方に対応
追加課金でGDPR・CalOPPA双方に対応

しかも、対応する法域や広告サービスを一つ増やすごとに、その難易度に応じた追加料金が細かく加算されるというのも、これまでの類似サービスにはなかった面白い仕様です。たとえば、GDPR対応はプラス24ドルなのに対し、CalOPPA対応はプラス14ドルといった具合に値段設定がされています。

なお、TermsFeedが運営するオウンドメディアでも、GDPR遵守型プライバシーポリシーのポイントがまとめられていました。この記事では、文書の内容面だけでなく、有効な同意であることをより主張しやすくするためのUIの形式も詳しく解説されており、参考になります。

品質面はどうか

さて、肝心の品質はどうでしょうか?Google Analyticsによるユーザー情報の分析やAdwords広告利用などを行う想定で、GDPR・CalOPPA両対応型のプライバシーポリシーを出力してみました。ちなみに、このケースでは課金額は80ドル(1ドル111円として9千円弱)程度になりました。

実際に課金してプライバシーポリシーを出力
実際に課金してプライバシーポリシーを出力

出力したものの全文をこちらに貼るのはサービス運営者に失礼かと思いますので控えますが、同社サイトのTestimonial(ユーザーのレビュー・推奨コメント)一覧からもリンクされている利用者のプライバシーポリシー実例などをご覧いただくと、参考になると思います。

GDPRやCalOPPAが記載すべき事項として求めているものは、項目レベルとしてはひととおりカバーされているのかなといった印象です。一方で、単語数をチェックすると13,000ワードほどと、最近では20,000ワードを超えることも珍しくなくなったグローバル企業のプライバシーポリシーと比較すると、短めになっています。こうした企業のプラポリとの差異を比較してみて、特に不安が残ったのは、

  • 取得する情報のバリエーション(ウィザード上での選択肢)の少なさ
  • 取得情報と利用目的との紐付けの甘さ

でした。

先日、欧州消費者機構(BEUC)らがAIソフトウェアを使って大手IT企業のプライバシーポリシーのGDPR対応の評価付けを行なったことが報道されました。この評価基準を見ると、利用目的の透明度はかなり高いレベルを求めていることが伝わってきます。これに照らすと、本サービスで出力されるプラポリをそのまま使ったのでは、抽象度が高すぎると評価されてしまいそうな印象を持ちました。

また細かい点ですがもう一点、実際に使う際に注意したいのが、課金してプラポリを生成した瞬間にユーザー専用のURLがホストされてしまう仕様になっている点です。運営にメールで尋ねたところ、「こちらから勝手にURLは公開しないし、it’s not indexable by Googleだから安心してよ」と返信が来ましたが、念のため削除を依頼するというハメに陥りました。

そうした不安な点もあったものの、自社サービスの個人データ利用実態を一定程度反映した上での、グローバル版プライバシーポリシーのフレーム作りをアドバイスしてくれるツールとして、値段相応のフィードバックが得られるものになっていると思います。今後のブラッシュアップにも期待したいところです。

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら

こちらも合わせて読む

電子契約の国内標準
クラウドサイン

日本の法律に特化した弁護士監修の電子契約サービスです。
さまざまな外部サービスと連携でき、取引先も使いやすく、多くの企業や自治体に活用されています。