GDPRに対応したプライバシーポリシーを策定するためのポイントとは?
欧州のプライバシー法である「EU一般データ保護規則」(以下、GDPR)が施行されて、はや5年が経過しました。しかし、今でもなおGDPRへの対応が追いついていない企業も少なくありません。
本記事では、GDPRに対応したプライバシーポリシーを作成する際のポイントをご説明します。
1. プライバシーポリシーについておさらい
1-1. プライバシーポリシーとは
プライバシーポリシーとは、一言で説明すると「サイト上で集めた個人情報をどのように利用するか」を公開したものです。
プライバシーポリシーの作成自体は、法律で定められている訳ではありません。
しかし、GDPRや個人情報保護法においては、個人情報の取扱いについて公開を義務付けられている事項があり、その義務を果たすためにプライバシーポリシーの公開という手段が活用されています。
>>「プライバシーポリシーはなぜ必要? 理由と作成上の注意とポイント」
1-2. 従来の「日本型」プライバシーポリシーでは、GDPR対応に不十分
GDPRは世界で最も厳格なプライバシー法とも言われるほどであり、当たり前ですが日本法に対応したプライバシーポリシーを用意するだけでは不十分です。場合によっては、プライバシーポリシーの記載文を整えるだけでなく、個人情報の管理体制から見直す必要も出てきます。
GDPRと日本法の違いについてもしっかりと理解した上で、社内体制の整備やプライバシーポリシーの作成を行うようにしましょう。
もっとも、適用される外国法を特定した後に、プライバシーポリシーの作成を行うことが重要です。
例えば、「最近、『GDPR』と言う言葉をよく聞くので、当社もプライバシーポリシーもGDPRに対応したものに修正しよう」とGDPRに対応したプライバシーポリシーを作成したとしても、本来であれば対応が不必要だった場合、過剰な負担が生じてしまいます。ですから、まずは必ず適用外国法の特定をしましょう。
2. GDPRに対応したプライバシーポリシー
GDPRに対応したプライバシーポリシーとは、具体的にどのようなものなのでしょうか。ここからは、GDPRにおけるプライバシーポリシーの基本と、とりわけ通知事項について詳しくご説明します。
2-1. GDPRにおけるプライバシーポリシーの基本
GDPRでは、個人データを取得する場合、個人に対して一定の情報を提供すべきという義務が定められています。
情報提供の方法は下記のように定められており、これに加えデータ主体(識別された自然人又は識別可能な自然人、すなわち本人のこと)から求められたときは口頭で提供できます。(GDPR12条1項)
- 書面
- または適切な場合は電子的な手段を含めその他の方法
また、その情報提供については、以下のようにする必要があるとも定められています。(同12条1項)
- 簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式であること
- 明瞭かつ平易な文言を用いていること
GDPRでは、これらをまとめて「透明性の原則」と呼んでいます。GDPR対応のプライバシーポリシーを作成する際は、この「透明性の原則」をすべて満たしているかという観点でも確認が必要です。
2-2.GDPRに対応したプライバシーポリシーの主要条項と記載のポイント
GDPRに対応したプライバシーポリシーを作成する際、下記2つが主要条項として挙げられます。ここでは、主要条項の記載のポイントをご説明いたします。
- 前文
- 収集する情報の特定、その方法
一般的に、プライバシーポリシーの前文においてはプライバシーポリシーの目的や適用対象が記載されていることが多いです。
GDPRに対応したプライバシーポリシーを作成する際は、このプライバシーポリシーの適用対象がGDPRが適用される地域(同3条)となることを明示すると良いでしょう。
次に、収集する情報の特定とその方法についてです。日本法対応のプライバシーポリシーにおいても、自社が収集する個人情報にどのようなものがあるか、どうやって収集するのか、という記述は見受けられると思います。
GDPRにおいても同様に、収集する情報とその方法の記載が必要です。ここで注意が必要なのが、GDPRと日本法では個人データの範囲が異なるということです。日本法においては個人情報(個人情報保護法2条1項)ではない情報も、GDPRでは個人データ(GDPR4条1項)となる可能性があるのです。
よって、自社の業務プロセスから、取り扱っている情報とその収集経路を漏れなく洗い出すことが求められます。その際、収集する個人データや方法はできる限り具体的に記載するようにしましょう。
2-3. GDPRが定めるプライバシーポリシーでの通知事項
ここからは、GDPRが定めるプライバシーポリシーでの通知事項についてご説明します。
GDPRでは、データ主体から個人データを直接取得する場合、その個人データを取得する時点において、下記全ての情報を提供しなければならないと定められています(同13条及び14条)。
- A. 管理者(及び代理人)の身元及び連絡先
- B. データ保護責任者(DPO)の連絡先
- C. 個人データの取扱いの目的及び法的根拠
- D. 合法的利益(第6.1条(f))が処理の法的根拠である場合、管理者または第三者が追求した正当な利益
- E. 個人データの取得者又は取得者の類型
- F. 第三国移転に該当する場合は、当該事実/十分性認定の有無/保護措置の詳細/そのコピーを取得するための方法またはそれらが利用可能となった場所
- G. 個人データの保有期間、または保有期間の決定に使用される基準
- H. データ主体の権利の内容
- _a. 開示
- _b. 訂正
- _c. 消去
- _d. 処理の制限
- _e. 処理に対する異議
- _f. データポータビリティ
- I. 処理が本人の同意に基づいている場合、いつでも同意を撤回する権利があること
- J. 監督機関に異議を申立てる権利があること
- K. 情報を提供するための法的または契約上の要件/契約を締結する必要性の有無、ならびに情報を提供する義務の有無/提供をしない場合に生じうる結果についての情報
- L. 個人データを取得した情報源、及び、公衆がアクセス可能な情報源から取得したかどうか
- M. 自動処理による意思決定(プロファイリングを含む)を行う場合、自動処理のロジック/データ主体にとっての重要性及び生じ得る結果に関する情報
このうち、日本法には同様の定めがないため、特に注意したいのが下記の条項です。
B. データ保護責任者(DPO)の連絡先
D. 合法的利益(第6.1条(f))が処理の法的根拠である場合、管理者または第三者が追求した正当な利益
E. 個人データの取得者又は取得者の類型
I. 処理が本人の同意に基づいている場合、いつでも同意を撤回する権利があること
J. 監督機関に異議を申立てる権利があること
K. 情報を提供するための法的または契約上の要件/契約を締結する必要性の有無、ならびに情報を提供する義務の有無/提供をしない場合に生じうる結果についての情報
M. 自動処理による意思決定(プロファイリングを含む)を行う場合、自動処理のロジック/データ主体にとっての重要性及び生じ得る結果に関する情報
ただし、上記以外の条項においても一部追記などが必要だと考えられるものもありますので、上記を確認しておけばGDPRに対応できている、とは言えません。
漏れなく対応するためには、全通知事項に関して自社は記載の必要があるのか、必要がある場合はどのように記載するのかなどを丁寧に検討することが重要です。
3. GDPRに対応したプライバシーポリシー策定にお悩みなら、専門家に相談するのもあり
GDPRをはじめとするプライバシー関連法については書籍やネットでの情報はあるものの、知見がないとなかなか理解が難しい分野です。また、定期的に改定も行われるため、随時キャッチアップしていく必要もあります。さらに、外国法が外国語で記述されていることも相まって、網羅的かつ丁寧に検討することが困難な場合も少なくありません。
思い切って専門家に任せてみることも、検討してみてはいかがでしょうか。そうすることで、社内の手間を減らしリスクを最小限に抑えることができます。
弊社Priv Techではプライバシーコンサルティングを提供しており、プライバシーポリシー改定のアドバイザリーも実施しています。また、代理人サービスをはじめとする海外プライバシー法に関するサービスを提供するPrighter社とも提携しており、海外プライバシー関連法の専門家へのご相談も可能です。
気になる方は、ぜひ下記よりお問合せください。
>>Priv Techの「プライバシーコンサルティング」はこちら
4. まとめ
この記事では、GDPRに対応したプライバシーポリシーを作成する際のポイントをご説明しました。
日本の改正個人情報保護法のみに目を向けていると、ついついGDPRなど海外プライバシー関連法への対応は後回しになってしまいがちです。
ぜひここでご紹介した内容を参考に、各国法に対応したプライバシーポリシーの作成を進めましょう。
公開日:2023年2月1日
パーソナルデータの取扱いにお悩みの方に
- 海外ツールは同意取得バナーがごちゃごちゃしていてわかりにくい…
- 誰にどこまで同意を取ったか管理するのが大変…
- ツールを導入するたびに手作業で全部同意を取り直すのは面倒…
- 同意は管理できても他社システムを上手く連携して使えないと…
で、すべて解決!