最低限おさえておくべき「プライバシーポリシー」のポイント(後編)
この内容の前編を読んでおく。
個人情報を第三者に提供するときはポリシーに明記し同意を取る
個人情報保護法は、取得した個人情報を第三者に提供する際には、原則として本人から同意を得ることを求めています。そのため、個人情報を第三者に提供する場合は、プライバシーポリシーにおいてその旨を明記する必要があります(もちろん、プライバシーポリシーに対してユーザーが同意することが前提となります)。
個人情報の「利用目的」については、前述のように明示すれば良いとされています。しかし、個人情報を第三者に提供することは、より本人にとってインパクトが大きいため、本人の「同意」まで要求しているのです。
この個人情報の「第三者提供」は、ユーザーが抵抗を感じやすい事項ではありますが、以下のように、意外と多くあります。
広告モデルのウェブサービスの場合で、広告出稿者にマーケティングのための参考情報として、ユーザー情報を提供する場合
マッチングサービスや、オークションなどのCtoCサービスなどで、ユーザー同士の情報をある程度開示しなければならない場合
APIなどを通じて第三者が提供するウェブクライアントやアプリを認証し、ウェブサービスへアクセスできるようにする場合
そのため、思い込みで「第三者提供なんて行わない」などと安易に判断してしまわないよう、注意してください。
委託先への開示も明示しておく
他方、個人情報保護法においては、個人情報取扱事業者が利用目的の達成に必要な範囲内において、個人データの取り扱いの全部または一部を委託する場合は、本人の同意を得ることなく、委託先へ個人情報を提供することを認めています。通販サービスにおいては、宅配事業者へ配送委託する場合がこれに該当します。
本来は、委託先といえども第三者なので、ユーザーから個別に同意を取るべきとも考えられます。しかし、法律が一定の条件の下、その条件を緩和しているわけです。
委託に伴う第三者への個人情報提供は、プライバシーマーク取得事業者であるなどの特殊事情がない限り、個人情報保護法上はその旨を明示する必要はありません。しかし、「ユーザーの信頼を獲得する」という観点では、「当社が利用目的の達成に必要な範囲内で、個人情報の取り扱いの全部または一部を委託する場合」には、第三者に個人情報を提供する場合がある旨を記載するなど、わかりやすく明示しておくことが重要です。また、委託先に対しては、個人情報保護法上の監督義務が発生し、委託先の行為にウェブサービス事業者が責任を負う場合があることも記憶にとどめておいてください。
個人情報を共同利用するときに配慮すべきこと
単に第三者へ個人情報を提供する場合とは別に、個人情報をグループ会社などの間で共同して利用する場合において、
- 共同利用をする旨
- 共同して利用される個人データの項目
- 共同して利用する者の範囲
- 利用する者の利用目的および当該個人データの管理について責任を有する者の氏名または名称
をあらかじめ本人に通知し、または本人が容易に知り得る状態に置いているときには、本人から同意を得ずに、共同利用者へ個人情報を提供することも、個人情報保護法は認めています。
この「本人への通知」「本人が容易に知り得る状態」を確保するために、プライバシーポリシー上に共同利用について明記する例も少なくありません。
しかしながら、共同利用については、共同利用者間でその管理について共同の責任を負う可能性があります。そのため、
ユーザーからも一体としてみられ、お互いに責任を負うことができるような特定企業(資本関係のあるグループ企業等)との間で限定して用いる
それ以外の場合は、個別に同意を得て「第三者への提供」の形をとる
のが良いでしょう。
また、本人の求めに応じて共同利用を停止する機会を与えるよう、十分に留意してください。
開示や訂正などの請求に関連する情報はどう扱えばいいか
個人情報保護法は、事業者が保有している個人情報の開示や訂正を求める権限を情報主体に認めています。そして、その前提となる情報として以下について定め、本人の知り得る状態においておく必要があります。
- 当該個人情報取扱事業者の氏名または名称
- 個人情報の利用目的
- 個人情報保護法上の開示等の求めに応じる手続
- 個人情報取り扱事業者が行う保有個人データの取り扱いに関する苦情の申出先など
cに関しては、開示等の求めを受け付ける方法を定めることができます。本人以外の第三者からの申出によって個人情報の開示等を行ってしまうとトラブルにもなります。以下を定めておき、本人による申出であることを十分に確認できるようにしておくと良いでしょう。
- 開示等の求めの申出先
- 開示等の求めに際して提出すべき書面の様式、その他開示等の求めの受付方法
- 開示等の求めをする者が本人又はその代理人であることの確認方法
- 開示をする際に徴収する手数料の徴収方法
なお、開示や訂正などの請求に関連する情報については、すべての個人情報を明示することが求められているわけではありません。個人情報保護法において「保有個人データ」と定義されている情報、すなわち
個人情報取扱事業者が開示、内容の訂正、追加または削除、利用の停止、消去および第三者への提供の停止を行うことのできる権限を有する個人データ
が該当します。
「個人情報」「個人データ」「保有個人データ」の関係は、図1-3のとおりです。
もっとも、ウェブサービスがビジネスの一環として個人情報を収集している場合には、ほとんどのケースで個人情報は保有個人データに該当するため、両者を分けて認識する必要はあまり多くありません。
どこに設置すればいいか
プライバシーポリシーは、「ユーザーがその内容を容易に知り得た」といえる状況を整えるため、ウェブサービスのトップページから1回の遷移で到達できる場所へ掲載しておくべきです。
特に利用目的については、個人情報保護法が直接本人から書面や電磁的方法で個人情報を取得する場合に「あらかじめ、本人に対し、その利用目的を明示」することを求めています。そのため、個人情報の登録を受けるウェブサービスにおいては、その登録の過程でユーザーが確実にプライバシーポリシーを閲覧できるように、利用規約と同等の方法でプライバシーポリシーをユーザーに提示する必要があります。
さらに、第三者提供の場合のように本人の「同意」を要する場合は、プライバシーポリシーに対してより明示的に承諾を得ることを検討しましょう。
なお、海外の事例ではありますが、米デルタ航空がマイル会員ユーザー向けに提供している「Fly Delta」モバイルアプリにおいて、プライバシーポリシーを明示せずに個人情報を収集したことが同州の法律に抵触していると問題になり、カリフォルニア州が1件あたり2,500ドルの損害賠償請求をするという事件もありました。スマートフォンアプリでは、画面の表示域が狭いこともあり、このようなプライバシーポリシーの明示・設置漏れが生じがちなので、注意が必要です。
この記事は、書籍 『良いウェブサービスを支える「利用規約」の作り方』 の内容の一部を、Web担向けに特別にオンラインで公開しているものです。
「利用規約なんてどうせ読まれないし」
「まるごとパクればいいんじゃないの」
「免責しとけばなんとかなるよ」
と思ってませんか?
本書は,多くのベンチャー企業の支援を通じてウェブサービスに関するリーガルサポートを数多く手がけている弁護士と,スタートアップ企業から上場企業までさまざまな規模・業態の企業でウェブサービスの運営をサポートしてきた法務担当者2人が,その経験をもとに,「ウェブサービスを安全に・円滑に運営するために本当に気を配る必要のある事項」をわかりやすく解説。
ウェブサービスを守るために欠かせない「利用規約」にととまらず,関連する以下のトピックも取り上げています。
- サービスを通じてプライバシー情報を取り扱う際に重要となる「プ ライバシーポリシー」
- 有償でサービスを提供する際に表示すべき「特定商取引法に基づく 表示」
- ウェブサービスに関する法規制の必須知識
ウェブサービスに携わるエンジニア,ディレクター,プロデューサー,経営者に欠かせない1冊!
- ウェブサービスに携わるエンジニア,ディレクター,プロデューサー,経営者の方
ソーシャルもやってます!