白石和泰ほか『プライバシーポリシー作成のポイント』—見よう見まねのプラポリ作りからの卒業
プライバシーポリシーの作成アドバイスだけに専門特化した、ユニークな書籍を紹介します。個人情報保護法等の法律を起点にした解説書とはまったく違い、プラポリ作成者が実務でつまずく疑問にストレートに答えます。
はじめての「プライバシーポリシー」専門書
企業がビジネスを行うにあたって準備しておかなければならない法律文書の中で、近年、にわかにその検討・作成の難易度が高まっているのが、企業における個人情報の取扱い方針を明文化した「プライバシーポリシー」です。
プライバシーポリシーは、ある時期まで、サービス利用規約や特定商取引法と同様に、法律専門誌で紹介されるひな形、同業他社のプライバシーポリシー、弁護士が解説するセミナー情報などを参考に、担当者が見よう見まねで作る文書のたぐいだったと言っても過言ではありませんでした。しかし近年では、そうした安易な方法で作成しようとしても、参考にしたプラポリがそもそも検討不十分なものであるケースや、その記載の意図を読み間違って文言だけ取り入れてしまうケース、自社への当てはめにそぐわないケースも増えているように見受けられます。
どうしてここまで難易度が上がったのか?その理由を整理してみると、
- 個人情報保護法等、関連する法令や業界ガイドラインの改正スピードが早く、その改正内容も複雑
- Web広告やAI等のデータ取扱いに関わる技術を熟知した上での検討が求められる
- GDPR等諸外国のプライバシー関連法規制についても把握し、必要に応じこれを反映する必要がある
そうした事情が背景にあります。
このように、いつの間にか幅広く深い専門性が必要になったプライバシーポリシー検討の視点と具体的作文方法について、まるまる1冊300ページの紙幅を使って概説しようと試みるのが、本書『プライバシーポリシー作成のポイント』です。
法律上の根拠や論点の整理はもちろん、プライバシーポリシーの具体的ひな形と変更パターンの提示、法律上義務はないものの実務上配慮すべき点まで取り上げた、単行本としては日本初のプライバシーポリシー専門書となります。
これまでの法律文献が口を濁してきた疑問に正面から回答
本書の特徴は、これまで個人情報・プライバシー保護法関連の書籍や法律論文等で詳しく言及されなかった、プライバシーポリシーを作成する実務の段階で企業が抱くピンポイントな疑問について、思い切り踏み込んだ記述に富んでいる点にあります。
外国への第三者提供
その踏み込み度合いが伝わる一例として、外国委託先への個人情報の第三者提供に関する解説パートを挙げてご紹介します。
2022年4月施行の改正個人情報保護法では、外国の委託先等に個人情報を提供する場合に、当該国の個人情報保護措置に関する情報を提供する義務が設けられました。ただし、その情報提供ができない場合は、「情報提供をできない旨とその理由」を、プライバシーポリシーに記載する必要があります。
とはいえ実務では、プライバシーポリシー策定時にはまだ委託先が具体的に定まっていない等の理由により、提供先の第三者が所在する外国が特定できないケースがあります。こうしたケースについて、プライバシーポリシーにどう記載し同意をとるべきか、個人情報保護委員会のガイドラインやQ&Aにも具体的な示唆はありません。
これに対し本書P130以降では、プライバシーポリシー内に記載するひな形条文案として
「なお、適宜適切な事業者を選定して委託を行うべく、現時点では受託業者及びその所在国が特定できていないものの、下記以外の外国の受託業者に対して個人データの委託(提供)を行う場合があります。この場合、改めてお客様の同意を取得せず、新たな受託業者に対する委託を開始することがあります。」
と条文案を提示した上で、以下の解説を加えています。
ひな形では、委託先が具体的に定まっていない場合であっても同意を取得することを企図した記載例を示しています。もっとも、このような記載で足りるかどうかについて、個人情報保護委員会の解釈は発表されていません。将来的な委託先変更の可能性とガイドライン Q & A において「情報提供に際してはどのような場面で外国にある第三者に個人データの提供を行うかについて、具体的に説明することが望ましい」とされていることとのバランスが必要になると思われ、今後の実務の展開を注視する必要があります。(太字は筆者による)
個人情報保護法の専門書は改正に伴って雨後の筍のように出版されており、その中でプライバシーポリシー修正の必要性をうたうものもあります。しかし、上記のように法解釈が定まらない点については具体的な変更ポイントに触れずに逃げたり、個人情報保護委員会のガイドライン等にすでに書いてあることだけを丸写ししただけの書籍も少なくありません。
そんな中、上記のようにプライバシーポリシーへ落とし込んだ姿まで提案した上で、企業法務が当然に抱く疑問に誠実に向き合い、少しでも多くの手がかりや考えるヒントを少しでも多く提示しようとする姿勢がありがたいです。
委託と共同利用の使い分け
特にグループ会社を多く抱える大手企業において、個人情報をグループ間でどこまで適法に「融通」できるかに関してしばしば論点となるのが、委託と共同利用の使い分け問題です。
委託も共同利用も、個人情報保護法施行初期には、本人の同意を取らずに個人情報を他社に渡そうとする企業の抜け穴のように濫用されていた感がありますが、近年、これらの類型に対する目線と規制は厳しくなっています。
本書P108以降では、委託を選択した場合・共同利用を選択した場合それぞれについて、本人同意に基づく第三者提供とも比較しながらメリット・デメリットについて整理、特に、委託構成で犯しがちな安易なデータ流用に警鐘を鳴らします。
Cookieの取扱い
セキュリティエンジニアがCookieの取扱いに関する注意点を述べた記事や文献は多数見られるのに対して、弁護士等が著者となる法律文献において、いわゆるCookieポリシーとプライバシーポリシーとの関係を具体的に整理したものは、そう多くありません。
しかし、実態としてはCookieをすでに保有している個人情報と紐づけて追跡に利用している企業が多いと思われること、また、改正個人情報保護法に「個人関連情報」に対する規制が設けられたことからも、そろそろこの問題にもはっきり決着をつける必要があります。
この点、本書P160以降で、Cookieだけでなくこれに類似する広告ID技術のトレンド解説もコラムで交えながら、
Cookieの使用につき、プライバシーポリシーで定めることは法令上必須ではありませんが、①Cookieにより情報収集がなされていたとしても一般ユーザーがこれを認識することは困難であり、使用する解析ツールの種類や内容を公表しておくことでユーザーの信頼を得られると考えられること、②また、解析ツールによっては、プライバシーポリシーにてその理由を明らかにしておくことが求められることから、利用する具体的なCookieの種類や内容、管理・選択方法等を一律にしてあらかじめプライバシーポリシーにて記載し、公表しておくことが考えられます。
と、その取扱いについての定めもプライバシーポリシーに含めることを推奨。
- 含めるとすれば、どのように記載すべきか
- Google アナリティクスや他のDMP事業者等によるCookie利用文言はなぜ必要か
- 個人関連情報として第三者に提供する場合、改正個人情報保護法が求める「提供先による同意取得」・「提供元による同意取得の代行」を具体的にどうやればよいか
こうした点について、ひな形とあわせて解説がなされています。
プライバシーポリシーの外国法対応にも踏み込む
本書はさらに、グローバルにビジネス展開する企業がプライバシーポリシーを作成する際に、外国法令にどこまで・どのように対応すべきかについても踏み込みます。
グローバル共通型・通則/特則型・各国型の選択
海外市場でもビジネス行うための、外国法に対応したプライバシーポリシーの策定・管理方法としては、
- グローバル共通のプライバシーポリシーを1つにまとめて定める方法
- 適用法のうち共通部分は通則でまとめるが、国ごとに特則を細かく定めていく方法
- 各国別にプライバシーポリシーを制定する方法
と、大きく分けて3つの方向性があります。たとえば、1のグローバル共通型は、GAFAMなどが採用してきたプライバシーポリシーの策定手法です。
本書P184ではそれぞれ選択時のメリットとデメリット、たとえばグローバル共通型のデメリットについて
A法とB法に対応した「グローバル共通型」のプライバシーポリシーを策定する場合、ある論点についてA法が「80」を要求し、B法が「100」を要求しているとき、「大は小を兼ねる」の要領でB法の「100」に合わせることになります。このとき、A法に関して(本来的には対応が不要な)「20」の過剰な対応が生じてしまいます。(太字は筆者による)
このような分かりやすいたとえで説明がなされ、どの方法が自社にとって適切な選択肢となりうるかの検討を親身にサポートしてくれます。
EUのGDPR対応に加え、米国FTC・COPPA・CCPA、中国データ保護法まで
日本企業でも、大手企業から、GDPR対策と思われる記述を加えたプライバシーポリシーを見かけるようになってきましたが、それ以外のグローバル法規制となると、概要の認識はしていても、対策まで手が回っていない実情があると思います。
本書は、GDPRはもちろんのこと、米国のFTC・COPPA・CCPAといったデータ保護規制によってどのような条文の追加が求められるのか、果ては中国でプライバシーポリシーの法的要件を定めた個人情報安全規範までカバーし、英語・中国語のひな形の紹介や、最低限どのようなルール取り決めを行っておくべきかについても検討しています。
この分野の専門家は、「GDPRをはじめとする外国法対応は、実態を伴った管理方法の見直しがあってこそであり、プライバシーポリシーにそれらしい規定を置いただけで完了するわけではない」とよく言います。とはいえ、本書のように「後々文書としてはこう規定し公表する必要が出てくる」というものを先に提示してもらえることで、そこから逆算して実務で何をやらなければならないかの具体がイメージできるという効能もあると思います。
本書全体を通読して改めて、法律面についての解説の確からしさだけでなく、技術と法適用の整合性検証、企業の実務上の悩みポイントに関する知見、さらに外国法のリサーチ力と、総合力を備えていないと出版できない書籍だと思いました。インターネットビジネスにまつわるプライバシーと法の課題を、顧客に寄り添いながら国内外で解決・蓄積してきたTMI総合法律事務所だからこそ出せた1冊ではないでしょうか。
見よう見まねでプライバシーポリシーを作るステージから本格的に卒業したい企業法務・情報セキュリティ担当者に、自信をもってお勧めします。
