GDPR対応型プライバシーポリシーのリーガルデザイン

投稿日:

GDPR対応を含め、今後のプライバシーポリシーはどうあるべきかを徹底的に考えてデザインし、実装している企業の事例をご紹介します。

ユーザーが「読みたい」と思えるプライバシーポリシーをデザインする

GDPR(EU一般データ保護規則)が施行されしばらく経ちましたが、取り締まりの水準や実態が明らかでないこともあり、日本企業ではいまだ様子見ムードが強いところです。

以前もご紹介したUberの事例のように、一部のグローバル企業では、GDPRに対応するために、

プライバシーポリシーを作成・公表するようになりました。しかしながらそのデザインは、引き続き従来型のプライバシーポリシーをベースとして、より法的に厳密な文書とするアプローチが一般的で、ユーザーにとっての読みやすさ・理解しやすさが優先されているかについては疑問です。

その点を問題視し、「GDPR施行を機会ととらえ、ユーザーが本当に読みたいと思えるプライバシーポリシーとなるよう、デザインから考え直すべき」と提唱し、これを自ら実装したのが、英国発リーガルテック企業のJuro社です。

Legal Design Geek | Reimagining legal #1: privacy notices

At Juro we ran a design sprint on our privacy policy ahead of the GDPR implementation day, with the simple aim of making this document something that people would actually want to read. We started by understanding who the privacy policy is aimed at, and what they want from it; we then put together a multidisciplinary team of designers, lawyers and developers to make it happen. Our marketing team were also closely involved as this is, first-and-foremost, a customer communication.

こうした思想でデザインされたJuroのプライバシーポリシーの中でも、特に先進的・特徴的と思われる部分をご紹介します。

法的文書に「タグ」を使うというチャレンジ

本メディアでご案内した「GDPR対応版プライバシーポリシー作成にあたって抑えるべき5つのポイント」の中でも、もっとも大切、かつもっとも表現が難しいのが、ユーザーから個人情報を取得することについての適法性根拠(Legal Basis)の明示を行う部分です。

Juroのプライバシーポリシーでは、その適法性根拠(Legal Basis)を説明する文書が親しみやすいのもさることながら、法的文書では使われることがめずらしい「タグ」を大胆に取り入れ、適法性根拠を明瞭にラベリングし明示しています。

適法性根拠(Legal Basis)を文章だけでなくタグでクリアに記載

タグという手段自体はウェブの世界で見慣れたものではありますが、こうした法的文書に使われた事例は無かったのではないでしょうか?

そして、クリアなタグで明示した適法性根拠について、折りたたみ部をクリックして展開すると、その意味をさらに詳細に理解することができるようになっています。

折りたたみ部を展開すると、適法性根拠についてのさらに詳細な説明が読める

GDPR対応特有の手当てとして、同意(consent)に基づいて提供した個人情報についてはユーザーに撤回権を認め、その権利があることを明示しなければなりませんが、「You can change your mind!」という囲み記事でそれを強調しているのも、大変わかりやすく参考になります。

すっきりとしたクッキーの一覧方法(そして翻訳しやすいプレーンイングリッシュ)

複数のクッキーを使用してユーザーの行動ターゲティングを行うことは、きめ細やかで使いやすいウェブサービスを提供しようとする以上、必須と言ってよいでしょう。しかし、プライバシーポリシーにおいてどうやってユーザーにクッキーを一覧してもらい、コントロール権を把握してもらうかについては、ベストプラクティスがなかった ように思います。

もっと言えば、日本では、法的文書であるプライバシーポリシー本体からこれを切り離し、「クッキーポリシー」として別途掲示することで、法務部門がこの問題に向き合おうとすらしていなかったのではないでしょうか?

Juroのプライバシーポリシーでは、この問題に真正面から取り組み、いかにコンパクトにすっきりとクッキーの利用状況をユーザーに理解してもらうか腐心した結果、以下のようなサービス提供者・キークッキー・目的・オプトアウトの方法を一覧できる表組みスタイルに辿りついています。

ベストプラクティスになりそうな見やすい一覧表スタイル

「キークッキー」まで明示している事例は初めて見ましたが、プライバシーポリシー内への組み込み方として、こうしたスタイルがベストプラクティスとして今後広まるのではないでしょうか。

ちなみにこのスクリーンショットが日本語になっているのは、Google翻訳によるもの。それでもかなり自然な日本語に訳されているのは、原文がいかにわかりやすいプレーンイングリッシュで書かれているかということの証と言えます。

ユーザーが最も喜ぶ「早見表」まで完備

プライバシーポリシーに関するユーザーリサーチやアンケートを行うと、必ずでてくるのが

といった、長々とした文章で構成されていることに対する不満 です。

こうした要望は本当にごもっとも。しかしいざコンパクトにしようと思っても、法的には外したくないリスク免責文言も多く、また曖昧な文言による解釈のブレを嫌う法律家の特性も手伝って、長い文章から離れられないでここまできてしまいました。せいぜいの工夫が、上記で見てきたような折りたたみ式スタイルにするか、イメージがぱっと見で伝わりやすいようイラストを添えるか、という程度のものです。

juroのプライバシーポリシーでは、そうした折りたたみやイラストの工夫も活用しつつ、それとは別に、かなり思い切った「早見表(Your Privacy at a glance)」を公開しているのが特徴的です。

法務的にはリスクでしかない早見表も、「ユーザーが読みたい」を優先し公開

こうした一覧表を見ても、これまでの法務部門の価値観からすれば非常識の一言で片付けられてしまっていた「ユーザーが読みたいと思う文書」を追求し、リスクを天秤にかけつつこれを優先していく必要性を痛感します。

以上、GDPR対応のタイミングをチャンスと捉え、ユーザーの目線に立ったリーガルデザインを徹底的に実践したJuroの事例を紹介しました。

関連記事

(橋詰)