プライバシーポリシーのトレンド分析—GDPRに学ぶ多言語化対応の必要性
シリーズ「プライバシーポリシーのトレンド分析」では、日本法ベースで作成したプライバシーポリシーを、どのようにグローバルビジネスに耐えうるものに進化させていくべきかについて検討していきます。GDPRの要請に基づくプラポリ多言語化対応は、日本の個人情報保護法にはない義務であるとともに、実務上の負荷の高さから早期の対策が必要になります。
1. GDPRが義務付けるプライバシーポリシーの多言語化対応
1.1 GDPR12条がプライバシーポリシーに求める透明性確保の原則
日本企業がプライバシーポリシーを作成する際、個人情報保護法の要請にもれなく対応していることは当然として、将来のグローバル化・海外進出を見据えて外国法適用を早めに意識しておくことも重要です。
その観点から、作成当初より意識しておくとよいことがらの一つに、プライバシーポリシー(プライバシーノーティス)の多言語化対応の必要性が挙げられます。
規約条文の現地語化を法令によって義務化する国はいくつかありますが、法務実務においてぜひ押さえておきたい法令に、EUのGDPR(General Data Protection Regulation:一般データ保護規則)があります。
GDPRがプライバシーポリシー(プライバシーノーティス)の多言語化を義務付けるのには、どういった理由があるのでしょうか。
その根拠条文として、12条1項が挙げられます。個人情報保護委員会による仮日本語訳から引用します。
1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.
1. 管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、 明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な 措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる。
ここに定められた「データ主体に対する透明性確保の原則」から、多言語対応が求められていると解釈されています。
1.2 GDPR「透明性に関するガイドライン」に定められたプライバシーポリシーの使用言語ルール
この12条1項の主旨を説明する文献として、GDPRの「Guidelines on transparency(透明性に関するガイドライン)」があります。
多言語対応について言及しているのが、同ガイドライン13項です。こちらも個人情報保護委員会による仮日本語訳より引用します。
13. Language qualifiers such as “may”, “might”, “some”, “often” and “possible” should also be avoided. Where data controllers opt to use indefinite language, they should be able, in accordance with the principle of accountability, to demonstrate why the use of such language could not be avoided and how it does not undermine the fairness of processing. Paragraphs and sentences should be well structured, utilizing bullets and indents to signal hierarchical relationships. Writing should be in the active instead of the passive form and excess nouns should be avoided. The information provided to a data subject should not contain overly legalistic, technical or specialist language or terminology. Where the information is translated into one or more other languages, the data controller should ensure that all the translations are accurate and that the phraseology and syntax makes sense in the second language(s) so that the translated text does not have to be deciphered or re-interpreted. (A translation in one or more other languages should be provided where the controller targets data subjects speaking those languages.)
13. 「may(可能性がある)」、「might(かもしれない)」、「some(ある程度)」、「often(しばしば)」及び「possible(ありうる)」などの修飾語も避けるべきである。データ管理者が曖昧 な表現を利用する場合には、アカウンタビリティの原則に従い、そのような表現を利用せざるを得ない理由とそれによって取扱いの公正さが損なわれない理由を証明できる必要がある。階層関係を示すため、文頭の中黒や字下げを利用し、段落と文章の構成を適切に行うべ きである。文体は受動態ではなく能動態にし、余分な名詞の使用は避けるべきである。データ主体に提供される情報には、過度に法律的、技術的又は専門的な表現又は用語を含めるべ きではない。情報を他の一つの又は複数の言語に翻訳する場合、データ管理者は確実に、全ての翻訳が正確であること、及び翻訳されたテキストを解読又は再翻訳する必要がないよう、表現及び構文がその言語で意味をなすようにするべきである。(管理者がこれらの他の言語を話すデータ主体を対象としている場合、その一つの又は複数の言語の翻訳を提供するべきである)。
このようにして、サービスの透明性の確保の観点から、ユーザーが安心して読みこなせる言語の選択肢を用意すべきことが定められています。
1.3 TikTokプライバシーポリシーに対するGDPR違反の制裁事例
実際に、プライバシーポリシーを多言語化対応させていなかったがために、GDPRに基づく制裁を受けた事例も存在します。
2021年4月、オランダのデータ保護局は、16歳未満の子どもを含むユーザーに対し、プライバシーポリシーを英語のみで提供しオランダ語で提供していなかったTikTokを問題視しました。そして、このことが上記で解説したGDPR12条1項および「透明性に関するガイドライン」に違反し、プライバシー侵害にあたると認定されています。
TikTokには、このGDPR違反によって750,000ユーロ(日本円換算で約1億円 2022年7月時点)の罰金が科されています(オランダデータ保護局プレスリリース:TikTok fined for violating children’s privacy)。
このような取締事例を実際に見ると、プライバシーポリシーのグローバル対応は、とりあえず英語版を作っておけばヨシ、とはいかない時代になっていることが分かります。
2. プライバシーポリシー多言語化対応の具体事例
2.1 外国企業の多言語プライバシーポリシー事例
では、実際のプライバシーポリシーの多言語化対応の実例を見てみましょう。外国企業の先進的な実例として、Meta(メタ)のプライバシーポリシーをチェックします。
同社は、Facebook時代から何度かのプライバシーに関するトラブルを経験しているだけあって、GDPR対応にも相当なコストをかけ、多言語化対応も早期から実現していた企業です。2022年7月26日付で更新された最新バージョンのプライバシーポリシーでは、地域とそこに属する国の言語を選択でき、対応していない言語は存在していないのではないかというぐらいに徹底した多言語化対応を実現しています。
言語設定を選択すると、プライバシーポリシーもその言語で表示されます。新プライバシーポリシーの本文中には動画も組み込まれているのですが、その動画の字幕言語も、ユーザーが設定画面で選択した言語に対応して変化します(ナレーション音声は英語)。
2.2 EU進出日本企業の多言語プライバシーポリシー事例
日本からEUに進出する企業のプライバシーポリシー(プライバシーノーティス)についても事例を探してみました。すると、多言語化対応に一定の「型」があるように見受けられました。その「型」を踏襲したプラポリの一例が、コナミデジタルエンタテインメントのプライバシーノーティスです。
同社では、①EU向けのものと②その他国向けの大きく二種類にわけ、GDPR対応のプライバシーノーティスについては、
- Deutsch
- English
- Español
- Indonesia
- Italiano
- 日本語
- 한국어
- Português
- 簡体中文
- 繁體中文
の10言語を、画面右上のプルダウンメニューから選択できるようにしています。
EU進出日本企業のプライバシーポリシーでは、このような10〜16言語程度の選択肢をユーザーに与えるタイプのものを多く見かけます。
3. 日本語版プライバシーポリシー作成の初期段階から、多言語化対応を意識すべき理由
ひと昔前なら、日本語版に加えて英語版・中国語版の合計3言語があれば十分、と考えられていたプライバシーポリシー。
しかし、サービスのグローバル化に伴う多言語化の要請が高まってきた今、いますぐは多言語化しないにしても、日本法ベースのプライバシーポリシーを作成する初期段階から意識しておくべき2つのポイントがあります。それは、
- 条文構造をシンプルにする
- 日本語的なまわりくどい言い回しを使わない
の2点です。
日本では、2005年の個人情報保護法施行以降、2017年、2022年と改正のたびに規制が強化され、それにあわせるかたちで各社のプラポリの説明も詳細に・複雑になる一方の歴史をたどってきました。
その影響で、日本人が日本語で読むのであれば理解できたかもしれないプライバシーポリシーも、いざこれを英語・ドイツ語・フランス語・スペイン語…と多言語に翻訳しようとすると、日本語特有の「主語のない文章」「あいまいな受動態表現の多用」をどう訳すかについて悩ましい検討を余儀なくされ、コストも時間もかかってしまうものになりがちです。また、このような日本語的表現は、1.2で紹介した透明性ガイドライン13項にも沿わないものとなりかねません。
プライバシーポリシーを作成する際は、将来英語を含む多数の言語に翻訳する必要性を意識して、訳しにくさにつながる日本語表現ははじめからできる限り削ぎ落としておくことをおすすめします。
