クラウドサインブログ

日本型プライバシーポリシーをGDPR対応させるために足りない要素まとめ


日本型のプライバシーポリシーをGDPR対応させるには、どこをどう直さなければならないか。法務に詳しくない方にもパッと見せて伝えられる一覧表を作ってみました。

日本型プライバシーのGDPR対応

GDPRが施行されてそろそろ半年を迎えようとしています。EUに拠点があるグローバル企業では対策を済ませていることと思いますが、これから海外展開を本格化しようかという企業などでは、なかなか重い腰が上がらないところだと思います。

これからという企業が真っ先に気になるのが、プライバシーポリシーのGDPR対応でしょう。インターネットを使った販路を持たない企業はほとんどないであろうことを考えると、いつ自社のプライバシーポリシーをGDPR対応させるのか、心配なところかと思います。

そこで、日本企業が定めるプライバシーポリシーの一般的な水準と、GDPRが要求する情報提供義務の水準とを比較し、その差異をできるだけわかりやすく示す ことにチャレンジしてみました。

現行の日本型プライバシーポリシーにない要素を一覧評価

以下、左から、GDPRで提供義務が定められた「情報項目」ごとに、

  • 義務の概要
  • 義務の根拠条文
  • 日本企業のプライバシーポリシーの一般的な水準からみて対応が必要か否か

を一覧表にまとめたものです。

日本型プライバシーポリシーをGDPR対応させるために足りない要素一覧表

日本型プライバシーポリシーをGDPR対応させるために足りない要素一覧表
日本型プライバシーポリシーをGDPR対応させるために足りない要素一覧表

「日本企業のプライバシーポリシーの一般的な水準」といっても、企業によって現行プラポリの出来は大きく異なりますので一概には言えませんが、ここでは、雨宮・片岡・橋詰『良いウェブサービスを支える「利用規約」の作り方』のひな形を一般的な水準として、

 ◎ そのままでもほぼ問題ない項目 
 △ 一部追記対応等が必要な項目 
 ✕ 日本型プラポリには要素自体がなく大幅な追記対応等が必要な項目 

の3段階で差分を表現しています。

対応難易度が特に高い項目とは

プライバシーポリシーをGDPR型に修正するということは、たんに文章を修正するだけではなく、EUがGDPRで求めている個人データ保護の水準にあわせ、自社の管理体制を見直したり、水準を持ち上げたりする必要がある、ということを意味します。

この意味での「対応難易度」を、表の一番右に<high/middle/low>で表現してみました。中でも、特に以下の3つは、人員の手配・システムの改修・サービス運用の大きな見直しを伴うものであり、多くの企業にとって対応難易度は高くなるものと考えられます。

  • DPOの設置
  • データ主体の権利の確保(特にデータポータビリティに対応したデータベース構築)
  • 同意の撤回権の実務上の担保(同意撤回したユーザーをサービス上どう扱うかの整理)

以上、概観してみると、日本型プライバシーポリシーでは現状求められていない要素がたくさんあることがわかります。これをすべて一つのポリシーとして詰め込んで一体化すべきか、それとも、EUサービス向けにプライバシーポリシー(さらにはデータ管理主体)を分けるべきか自体も、検討の対象となります。

日本語で書かれたプライバシーポリシーでGDPR対応を含んだものとして参考になる事例として、Uber社のプライバシーポリシーを以前ご紹介しました。これに続く事例が(日本企業では)あまり見られないことを考えると、多くの企業がポリシーの一体化には躊躇している様子も感じられます。

画像:
weyo/ PIXTA(ピクスタ)

(橋詰)

契約のデジタル化に関するお役立ち資料はこちら

こちらも合わせて読む

電子契約の国内標準
クラウドサイン

日本の法律に特化した弁護士監修の電子契約サービスです。
さまざまな外部サービスと連携でき、取引先も使いやすく、多くの企業や自治体に活用されています。