プライバシーポリシーの2つの役割とは
プライバシーポリシーとは、個人情報およびプライバシー情報の取り扱い方針(ポリシー)を定めた文書です。利用規約とプライバシーポリシーは、いずれもサービス提供に関する条件などを記載した文書であるため、理屈のうえではプライバシーポリシーの内容を利用規約の中に埋め込むこともできます。
しかし、個人情報やプライバシー情報を取り扱うウェブサービスは、ほとんど必ず、独立したプライバシーポリシーを用意しています。これは、それだけ情報の取り扱いに慎重さが求められていることの表れと言えます。
また、個人情報保護法においては、「利用目的」「第三者提供」「保有個人データに関する事項」などに関する規制があり、ユーザーから個人情報を収集し、また利用等をする際には、一定の事項について公表することが義務づけられています。プライバシーマークを取得している会社では、さらに法律よりも厳しいルールが適用されます。
そのような法律・ルールの下で、プライバシーポリシーは、まず「個人情報保護法での公表義務や、プライバシーマークの要請に対応する」という役割を担っています。
そもそも、ユーザーにとって、ウェブサービス事業者にプライバシー情報を収集されるのは、あまり気持ちの良いことではありません。特に最近では、氏名、住所、電話番号といった単純な情報にとどまらず、位置情報やウェブサイトの閲覧履歴に代表される、行動パターンやユーザーの嗜好といった「人となり」まで浮き彫りにできる情報まで収集される傾向が進んでいることから、プライバシー情報に対するユーザーの警戒感はとても高いのが現状です。
そのため、法律の要請を満たしているサービスであっても、プライバシー情報の取り扱いを誤ると、ユーザーから強い反発を受けてしまうことにつながります。
このような状況下で、プライバシーポリシーは、「(個人情報に限らない)プライバシー情報の取り扱い方針をわかりやすく明示することによって、ユーザーの不安を和らげる」という役割も担っています。
プライバシー=個人情報?
ところで、プライバシーポリシーという文書の標題にも含まれている「プライバシー」とはなんでしょうか。そして、個人情報保護法にいう「個人情報」との違いはどこにあるのでしょうか。
この後も何度か出てくるのですが、個人情報保護法の第2条では、個人情報を以下のように定義しています。
この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
この定義を限定的に・狭く捉えると、「特定の個人を識別できる情報」のみが個人情報なのであって、そういった特定の個人を識別できる情報を含まないその他の「生存する個人に関する情報」、たとえば以下のような情報は個人情報にはあたらないようにも解釈することができます。
ある女性が朝8:00に日野市の一軒家を出て、京王線高幡不動の改札を8:20に通過。車中、シャープ社製のAndroidスマートフォンを使って、G社・D社が提供する6本のゲームを次々プレイした後、俳優S・Mについて10分間検索。JR恵比寿駅の改札を9:30にくぐり、途中コンビニチェーンNでサンドイッチとコカコーラ、そしてフィリップモリスを購入。恵比寿ガーデンプレイスに9:45に到着した。
たしかに、そういった考え方も「まちがい」とは言い切れないでしょうし、実際プライバシーポリシーで保護の対象とする情報を「特定の個人を識別できる情報」と限定的に、狭く定義している企業も少なくありません。
しかし、この匿名の女性にしてみれば、個人は特定されていなくとも、スマートフォンやICカードなどを通じて上記のように位置情報、アプリ利用履歴、検索履歴、改札入札情報、買物情報を時系列で並べられると、生活をのぞかれているような、えも言われぬ気持ち悪さを感じるでしょう。そして、「万が一何かの拍子に、自分のスマートフォンやICカード利用履歴と自分を特定・識別できる情報がひもづいてしまったら」とか、「自分を知る人の中には、日野市から恵比寿ガーデンプレイスの勤務先に通っているという事実を手がかりに、自分のことだと特定できてしまう人もいるかも」と不安を感じるはずです。これがプライバシーの問題です。
こういったプライバシーの保護については、個人情報保護法のように明確な法律が存在しません。しかし、憲法13条に定義される「幸福追求権」の1つのかたちとして、「私生活をみだりに公開されない法的保証ないし権利」として保護を認めた裁判例がいくつか存在します。それを侵害するような行為が発生すれば、憲法および民法の下に保護されるケースがあります。
この関係をかんたんに表すと、図1-2のようになります。
つまり、(狭義の)個人情報は「個人情報保護法で保護すべき情報」として定義されているので議論の余地がないのに対し、その外縁にある「生存する個人に関する情報」、すなわち広義の個人情報・プライバシー情報の取り扱いについては「ケースバイケースで侵害の有無の判断がなされる」という関係にあります。
対象となるのはどんな情報?
従来型のプライバシーポリシーは、個人情報保護法で定められた「個人情報」、つまり、以下のみをターゲットとすることが一般的でした。
1生存する個人に関する情報であり、かつ
2a当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができる情報、または
2b他の情報と容易に照合することができ、それにより特定の個人を識別することができる情報
しかし、仮に特定の個人を識別できず、個人情報保護法による保護を受けられない情報であっても、たとえば
- 端末固有のID
- ウェブサイトの閲覧履歴
- 外出時のGPSログ
など、ユーザーのプライバシーに深く関わりうる情報とひもづいた情報については、憲法上の権利であるプライバシー権による保護を受けられる可能性があります。その意味では、プライバシーポリシーの対象情報を個人情報保護法上の個人情報にとどめるのは、あくまで最低限のラインと考えるべきです。実際に、国外のウェブサービスはもちろん、国内のウェブサービスの中にも、プライバシーポリシーの対象を個人情報保護法上の個人情報にとどめることなく、その他の利用者に関する情報も対象とする動きは徐々に広まっています。
さらに、2012年の8月7日に、総務省の研究会から「スマートフォン プライバシー イニシアティブ(SPI)」という提言が出されました。SPIはスマートフォンを対象としていますが、ウェブサービスにも共通する内容が非常に多く含まれています。SPIでは、ユーザーからどのような情報を取得し、どのような目的で利用していくのかを、ユーザーにあらかじめ明示することが推奨されています。特にプライバシーに深く関わりうる情報については、あらかじめ明確に同意をとることを求めており、今後の流れに大きく影響する可能性があります。
利用目的は具体的に特定し、明示しなければならない
物販系ウェブサービスでダイエット食品を販売したときに、配送のために必要な情報として、ユーザーから住所・名前といった情報を収集するとします。その場合、ウェブサービス事業者としては、単に注文されたダイエット食品を配送するだけでなく、ダイエット食品業者各社から広告を受注して、その広告をDMとして送付したくなるかもしれません。
しかし、プライバシーポリシーにおいて、「ダイレクトメールを郵送します」と記載していなかった場合、このようなDMを送付するのは「目的外利用」として個人情報保護法に違反する可能性が高くなります。
サービス運営者としては、取得した個人情報を、将来のビジネスもふまえて、ある程度積極的に活用していきたいと考えがちです。しかし、他方でユーザーとしては、自分が関知していない目的で個人情報を利用されることには抵抗を受けるのが通常です。
そこで、個人情報保護法は、個人情報を収集するにあたっては、
その利用目的をできる限り特定し
明示しなければ(「公表」または「本人の知り得る状況」におかなければ)ならず
かつ、あらかじめ本人の同意を得ない限り特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない
というルールを定めています。
また、個人情報保護法は、利用目的をかなり具体的に特定することを求めている点に注意が必要です。たとえば、
「事業活動に用いるため」
「提供するサービスの向上のため」
などというレベルでは、「利用目的を具体的に特定できていない」と考えられています。
「○○事業における商品の発送、関連するアフターサービス、新商品・サービスに関する情報のお知らせを送信するため」
といったレベルまで、目的を特定することが求められているのです。
なお、DMを郵送ではなく、電子メールで送付する場合には、プライバシーポリシーにおける明示だけではなく、いわゆる「特定電子メール法」などによる規制があり、広告メールの送付について事前の同意を明確に得ておく必要があります。これについては、第2章を参照してください。
後編に続く(近日公開予定)
この記事は、書籍 『良いウェブサービスを支える「利用規約」の作り方』 の内容の一部を、Web担向けに特別にオンラインで公開しているものです。
「利用規約なんてどうせ読まれないし」
「まるごとパクればいいんじゃないの」
「免責しとけばなんとかなるよ」
と思ってませんか?
本書は,多くのベンチャー企業の支援を通じてウェブサービスに関するリーガルサポートを数多く手がけている弁護士と,スタートアップ企業から上場企業までさまざまな規模・業態の企業でウェブサービスの運営をサポートしてきた法務担当者2人が,その経験をもとに,「ウェブサービスを安全に・円滑に運営するために本当に気を配る必要のある事項」をわかりやすく解説。
ウェブサービスを守るために欠かせない「利用規約」にととまらず,関連する以下のトピックも取り上げています。
- サービスを通じてプライバシー情報を取り扱う際に重要となる「プ ライバシーポリシー」
- 有償でサービスを提供する際に表示すべき「特定商取引法に基づく 表示」
- ウェブサービスに関する法規制の必須知識
ウェブサービスに携わるエンジニア,ディレクター,プロデューサー,経営者に欠かせない1冊!
- ウェブサービスに携わるエンジニア,ディレクター,プロデューサー,経営者の方
- 内容カテゴリ:サイト企画/制作/デザイン
- コーナー:良いウェブサービスを支える「利用規約」の作り方
※このコンテンツはWebサイト「Web担当者Forum - 企業ホームページとネットマーケティングの実践情報サイト - SEO/SEM アクセス解析 CMS ユーザビリティなど」で公開されている記事のフィードに含まれているものです。
オリジナル記事:最低限おさえておくべき「プライバシーポリシー」のポイント(前編) [良いウェブサービスを支える「利用規約」の作り方] | Web担当者Forum
Copyright (C) IMPRESS BUSINESS MEDIA CORPORATION, an Impress Group company. All rights reserved.