ブログ

グローバル・プライバシー・ノーティスを考える

国際的なサービスを提供する、特に、ウェブ上でのサービスを提供する企業にとっては、プライバシーポリシー保護/プライバシーノーティスを、ウェブ上で公表しておくことはいわば、必須ということができます。活動が、国際的な場合には、適用される法規が、重畳的になったりするので、適用されうる各法域のプライバシー法規制をながめて、できるだけ全部に共通的に対応できるような形で、

グローバルプライバシーポリシー

を準備する企業が増えてきているという実感です。ですが、どうつくるのか?ということを考えると、なかなか手頃な参考文献がないような気がします。

日本語だと

あたりでしょうか(ただし、肝心のところは、クローズド)。あと、オンラインのサービスで検索すると、ビジネスロージャーナル2020年3月号が引っかかってくるくらいです。

欧州については、一般データ保護規則(GDPR)を、アメリカだとカリフォルニア消費者プライバシー法(CCPA)(個人情報保護委員会の翻訳は、こちら)を抑えておきたいところです。

でもって、Bing Chatに尋ねてみます。

1 Bing Chatの回答

1.1 一般的な回答

グローバルプライバシーポリシーを作成することは、収集されるデータの種類、使用方法、保存場所など、さまざまな要因を慎重に考慮する必要がある複雑なタスクです。以下は、グローバルプライバシーポリシーを作成するための一般的な手順です。
1. ポリシーの範囲を特定する
2. 収集するデータとその使用方法を決定する
3. データを保護する方法を説明する
4. データの共有方法を説明する
5. 質問や懸念事項に対する連絡先情報を提供する」

でもって、参考として

(1) グローバル プライバシー ポリシー – Cisco. https://www.cisco.com/c/ja_jp/about/trust-center/global-privacy-policy.html アクセス日時 2023/4/19.
(2) グローバルプライバシーコンプライアンス – KPMGジャパン. https://kpmg.com/jp/ja/home/insights/2019/03/global-privacy-compliance.html アクセス日時 2023/4/19.
(3) ヤマハ発動機グループ グローバルプライバシーポリシー …. https://global.yamaha-motor.com/jp/privacy/ アクセス日時 2023/4/19.

が引用されています。

次のグローバル プライバシー ポリシー – Ciscoを要約して日本語で答えなさい

と聞くと、シスコのGPPは

以下は、シスコのグローバルプライバシーポリシーの要約です。

「シスコは、従業員、顧客、ビジネスパートナー、その他の個人の個人データのプライバシーを保護することに取り組んでいます。そのため、シスコは、高い基準を確立し、維持するためのグローバルプライバシープログラムを実施しています。このプログラムには、個人データの作成、収集、使用、開示、保存、保護、アクセス、移転などに関する高い基準が含まれます。」

となります。オリジナルは、こちらです。なので、要約としては、なかなかのレベルですね。ただし、原文は、さらにいろいろなことを教えてくれます。

1.2 フレームワークをみる

さて、KPMGについて聞きます。

KPMGジャパンのウェブサイトによると、KPMGが開発した「グローバルプライバシーデータ管理フレームワーク」を活用し、個人情報保護法改正への対応を総合的に支援していることがわかります。¹ また、同社は、グローバル企業グループにおける世界各国のデータ保護規制対応を支援し、独自に開発した「グローバルプライバシーデータ管理フレームワーク」を活用して、効果的にリスク低減を図るマネジメントシステムの構築をサポートしています。²

以上の情報から、KPMG Japanのグローバルプライバシーポリシーは、同社が開発した「グローバルプライバシーデータ管理フレームワーク」を活用し、個人情報保護法改正への対応を総合的に支援することがわかります。また、同社は、グローバル企業グループにおける世界各国のデータ保護規制対応を支援し、独自に開発した「グローバルプライバシーデータ管理フレームワーク」を活用して、効果的にリスク低減を図るマネジメントシステムの構築をサポートしています。

という回答が返ってきます。でもって、

KPMGが開発した「グローバルプライバシーデータ管理フレームワーク」は、「10の原則」と「12の構成要素」からなるグローバルプライバシー管理フレームワークで、各種サービスを提供しています。 このフレームワークに基づき、同社は、世界各国のデータ保護規制対応を支援し、独自に開発した「グローバルプライバシーデータ管理フレームワーク」を活用して、効果的にリスク低減を図るマネジメントシステムの構築をサポートしています。

だそうです。「10の原則」と「12の構成要素」というのをBing Chatに聞いたのですが、他のを翻訳して出してきました。ので、手作業で、「「グローバルプライバシーデータ管理フレームワーク」の提供を開始」のページを翻訳します。

GPP枠組み立方体(CUBE)になっています。こんな感じ(上のKPMGのウェブページより)。

 

 

 

 

 

 

 

でもって、「10の原則」といわれている部分です。

  1. 管理態勢
  2. 本人通知
  3. 選択提供と同意取得
  4. 収集の制限
  5. 利用・保持・廃棄
  6. 情報へのアクセス
  7. 第三者への開示等
  8. プライバシー保護のセキュリティ
  9. データ品質
  10. モニタリングと苦情対応等

です。12の構成要素は、手法やプロセスを指すということですが、情報ライフサイクルマネジメントがハイライトされていて、それ以外の11として

  • ガバナンスとオペレーティングモデル
  • 棚卸/データマッピング
  • 法令要件
  • リスク&コントロール
  • ポリシー
  • プロセス・手続き・技術
  • プライバシー保護のセキュリティ
  • 委託先管理
  • 教育・周知
  • モニタリング
  • インシテント管理

があげられています。

個人的な感想としては、キューブにしたいために、レベルの違う要素を並列的にしているのであり、あまりピンとこないなあという感じではあります。

1.3 フレームワークを考える

でもって、自分なりに考えてみます。ポイントは、

  • 情報ライフサイクルマネジメントであること
  • 個人データ/情報という概念についての組織の取扱のミッション・原則・具体的な仕組みであること
  • 守られるべき資産として個人データ/個人情報という概念が中核であること(しかしながら、法により・範囲・定義に微妙な違いがあること)
  • 組織内部でのポリシ・利用者へのノーティス・ポリシ遵守のモニタリング・ポリシ/ノーティスの見直しのサイクルであること
  • 情報主体の権利の遵守が組み込まれるべきこと

あたりかと思います。

これをもとにつくってみたのが、こんな感じです

 

 

 

 

 

 

 

 

KPMGの要素を取り入れながら、自分なりの資産の保護・活用の枠組で用いているものを用いて、3D的に展開してみました。

意外にイケてる感じがしています。

2 ポリシー 対ノーティス その他用語(概論)

2.1 プライバシーポリシー 対 プライバシーノーティス

一般的には、プライバシーポリシーという用語を使っていますが、プライバシーノーティスという用語も見るようになってきました。

まずこの違いについて調べます。Bign Chatです。

What Are the Differences Between a Website’s Privacy Notice and Privacy Policy?によると、プライバシーポリシーは、どのような情報を収集し、その情報がどのように使用されるかを広範に詳述するものである。これに対して、プライバシーノーティスは、プライバシーポリシーの短い要約であり、ウェブサイト訪問者に全文を読むよう促すためにポップアップボックスに表示されます。

この違いを簡単に説明すると、プライバシーポリシーは、従業員が個人情報を使って何をすることができるかを伝える内部向けのもので、プライバシーノーティスは、組織が個人情報を使って何をするのかを顧客、規制当局、およびその他の利害関係者に伝える外部向けのものです ²。

(1)ソース Bing との会話 2023/4/20(1) プライバシー通知とプライバシーポリシーの違い… https://legalvision.com.au/privacy-notice-and-privacy-policy/ アクセス日時 2023/4/20.
(2)プライバシーポリシーとプライバシー通知の違いとは?| cso … https://www.csoonline.com/article/3063601/privacy-policies-and-privacy-notices-whats-the-difference.html アクセス日時2023/4/20.
(3)プライバシー通知とプライバシーポリシーの違い: https://termly.io/resources/articles/privacy-notice-vs-privacy-policy/ アクセス日時2023/4/20.

これは、Bing Chatの回答は、圧巻ですね。いい論文がネットにでていると、その回答をまとめてるBing Chatも優秀です。

2.2 プライバシーポリシー 対個人情報保護の基本方針

ところで日本でのプライバシーポリシーという用語はどのように使われているのでしょうか。白石 和泰 ほか「プライバシーポリシー作成のポイント」という本をみてみます。

本書のテーマである「プライバシーポリシー」は,一般的に,「個人情報等の取得,利用,管理,提供,本人の権利行使等の取扱いの方針を明文化したもの」などと説明されますが,わが国においてはプライバシーポリシーが何を指すのかということについて確立した定義はありません。
まず,法令上プライバシーポリシーの定義は定められておらず,個人情報保護法にも,その他の関連法令にも,プライバシーポリシーという文言は用いられていません。

となります(同書 2ページ)。

日本法では、個人情報を取り扱う事業者は、個人情報を適切に管理するための措置を講じることが求められます。また、個人情報を取り扱う事業者は、個人情報保護方針を策定し、その内容を公表することが求められます。ガイドライン通則編では

10-1 基本方針の策定
個人情報取扱事業者は、個人データの適正な取扱いの確保について組織として取り組むために、基本方針を策定することが重要である。

具体的に定める項目の例としては、「事業者の名称」、「関係法令・ガイドライン等の遵守」、「安全管理措置に関する事項」、「質問及び苦情処理の窓口」等が考えられる。

となっています。組織内部の規律をメインに定義されていますが、実際に定められている事項は、公表を前提とする事項というようにもおえます。

では、この個人情報保護の基本方針と一般に企業のホームページで公表されているプライバシーポリシーの関係については、どうかということになります。個人情報保護法において公表が前提となっている事項としては

  • 個人情報の利用目的を特定し(改正前法15条₁項,令和₃年法17条₁項),本人に通知または公表すること(改正前法18条₁項,令和₃年法21条₁項)
  • 当該個人情報取扱事業者の氏名または名称や当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先などを本人の知り得る状態に置かなければならない等としています(令和₃年法32条₁項₁号・₄号,令和₃年令10条₁号)。

があり、個人情報等の取得,利用,管理,提供,本人の権利行使等の取扱いの方針を明文化して、それを公表することで、上記の個人情報保護法における義務を果たしている、ということになるだろうと思われます。

3 グローバルプライバシーポリシー/ノーティスの法的位置づけ

一般的な用語としては、上のようなことになるとして具体的にどのように位置づけられるのかというのを見ていきます。

3.1 CPA上のプライバシーポリシーの用語

CCPAの第1798.130条の(a)(5)は、以下のように記載しています。

事業者が、オンライン・プライバシー・ポリシーを有している場合にはそのオンライン・プライバシー・ポリシー、及び、消費者プライバシー権についてのカリフォルニア固有の記述において、プライバシー・ポリシーを持たない場合には、その事業者のインターネット・ウェブサイトにおいて、以下の情報を開示し、少なくとも12か月に1回その情報をアップデート
する。

(A)第1798.100条、第1798.105条、第1798.110条、第1798.115条及び第1798.125条による消費者の権利の記述、及び、一つ又はそれ以上の要求の提出の指定された方法。

(B)第1798.110条第(c)項の目的のために、収集された個人情報を最も厳密に記述する第(c)項に列挙された類型を参照した、過去12か月に事業者が収集した消費者の個人情報の類型の一覧。

(C)第1798.115条第(c)項(1)号及び(2)号のために、二つの別々の一覧:
(i)販売された個人情報を最も厳密に記述する第(c)項に列挙された類型を参照した、過去12か月間に販売された消費者の個人情報の類型の一覧。もし事業者が過去12か月間に消費者の個人情報を販売していなかった場合には、事業者はその事実を開示する。

(ii)開示された個人情報を最も厳密に記述する第(c)項に列挙された類型を参照した、過去12か月間に事業目的のために開示された消費者に関する個人情報の類型の一覧。もし事業者が過去12か月間に事業目的のために消費者の個人情報を開示していなかった場合には、事業者はその事実を開示する。

CCPAの詳細については、カリフォルニア民事規則が定めています。ChatGPTにカリフォルニア消費者プライバシー保護法規則を翻訳させてみる-プライバシーポリシーの記載事項 でもふれました。その11 CCR § 7001の(w)

「プライバシーポリシー」とは、民法1798.130条の(a)(5)項および1798.135条の(c)(2)項で言及されているもので、事業者が消費者に提供することが求められる声明であり、事業者のオンラインおよびオフライン情報に関する実践、および消費者が自分自身の個人情報に関して持つ権利を説明するものです。

としています。セクション7011は

(a) プライバシーポリシーの目的は、事業者のオンラインおよびオフライン情報の取り扱いに関する包括的な説明を消費者に提供することです。また、個人情報に関する権利について消費者に通知し、それらの権利を行使するために必要な情報を提供することも求められます。
(b) プライバシーポリシーは、セクション7003のサブセクション(a)および(b)に準拠する必要があります。
(c) プライバシーポリシーは、消費者が文書として印刷できる形式で利用できるようにする必要があります。
(d) プライバシーポリシーは、ビジネスのウェブサイトのホームページまたはモバイルアプリケーションのダウンロードまたはランディングページで「プライバシー」という言葉を使用して、セクション7003のサブセクション(c)および(d)に準拠した目立つリンクを介してオンラインで公開され、アクセス可能である必要があります。ビジネスがウェブサイト上でカリフォルニア特有の消費者プライバシー権利の説明を有している場合、プライバシーポリシーはその説明に含まれる必要があります。ウェブサイトを運営していないビジネスは、プライバシーポリシーを消費者が目立つ場所で入手できるようにする必要があります。モバイルアプリケーションでは、アプリケーションの設定メニューにプライバシーポリシーへのリンクを含めることができます。

となっています。そこで、記載されている具体的な内容は「ChatGPTにカリフォルニア消費者プライバシー保護法規則を翻訳させてみる-プライバシーポリシーの記載事項」でふれましてた。

3.2 GDPRにおけるプライバシーノーティス

関連するサイトでは、A guide to GDPR data privacy requirements10 Must-Have Elements of Every GDPR-Compliant Privacy Policyなどがあります。

A guide to GDPR data privacy requirementsでは、条文との関係を論じています。

GDPRの第3章は、すべての「自然人」がEU法の下で保証されるデータプライバシーの権利と原則を定めています。組織として、これらの権利を促進することが義務付けられています。これを怠ると、罰則を受ける可能性があります(「GDPRの罰金」参照)。ここでは、第3章以下の各条項について、ごく基本的な概要を説明します。

として第12条「透明性とコミュニケーション」が、プライバシーノーティスの根拠となるとされています。12条1項は、

管理者は、データ主体に対し、簡潔で、透明性があり、理解しやすく、容易にアクセスできる方式により、明確かつ平易な文言を用いて、取扱いに関する第13条及び第14条に定める情報並びに第15条から第22条及び第34条に定める連絡を提供するために、特に、子どもに対して格別に対処する情報提供のために、適切な措置を講じる。その情報は、書面により、又は適切であるときは電子的な手段を含めその他の方法により、提供される。データ主体から求められたときは、当該データ主体の身元が他の手段によって証明されることを条件として、その情報を口頭で提供できる

と明らかにしています。

ここで

  • 取扱いに関する第13条(データ主体から個人データが取得される場合において提供される情報 )及び第14条(個人データがデータ主体から取得されたものではない場合において提供される情報)に定める情報
  • 第15条から第22条及び第34条に定める連絡

が基本的な記載の要求事項であることがわかります。

13条は、

1項

(a) 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。
(b) 該当する場合は、データ保護オフィサーの連絡先。
(c) 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
(d) その取扱いが第6条第1項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
(e) もしあれば、個人データの取得者又は取得者の類型。
(f) 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46条若しくは第47条に定める移転の場合又は第49条第1項第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。

2項

(a) その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
(b) 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
(c) その取扱いが第6条第1項(a)又は第9条第2項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
(d) 監督機関に異議を申立てる権利。
(e) その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について。
(f) プロファイリングを含め、第22条第1項及び第4項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。

が記載されるべき事項であることが明らかにされています。

3.3 UK GDPRにおけるプライバシーノーティス

英国の情報コミッショナーは、中小企業(SME)向けに「あなたのプライバシーノーティスをつくりましょう(Make your own privacy notice)」というページを準備しています(リンク)。

個人情報保護方針(プライバシーポリシー)の作成に取り掛かる前に、いくつかの重要な情報を手元に用意しておく必要がありますとして

  • お客様の完全な連絡先
  • あなたが収集する個人データの種類;
  • 個人情報をどこから入手したか(本人からの情報でない場合);
  • 個人情報を保有する理由と、その情報を使って何をしようとしているのか;
  • 関連する場合、あなたの合法的な根拠とあなたの正当な利益;
  • 個人情報を誰と共有するか。
  • 個人情報を安全に破棄するまでの保有期間。

の情報があげられています。

その上で、

これらの点について、人々が理解しやすいように文書で説明できるようにする必要があります。また、人々のデータの使用を開始する前に、合法的な根拠を決定する必要があります。私たちの便利な合法的根拠チェッカーは、あなたの助けとなるでしょう

とされています。

また、

トップアドバイス 個人情報保護方針は、長くて複雑なものにする必要はありません。特にお子様のデータを収集・利用する場合は、短くシンプルな方がよいでしょう。

文言は自由に選択できますが、オープンであることと、簡単な言葉を使うことが重要で、人々(子供のデータを使用している場合は子供を含む)が自分の立場を正確に把握できるようにします。

というのは、興味深いです。

4 グローバルプライバシーポリシー/ノーティスの構成

4.1 グローバルプライバシーポリシー(GPP)の要素

CCPAの文脈でのプライバシーポリシーという用語は、結構、実用的に思えます。このように考えるときに

事業者のオンラインおよびオフライン情報の取り扱いに関する包括的な説明を消費者に提供し、かつ、個人情報に関する権利について消費者に通知し、それらの権利を行使するために必要な情報を提供するための、取扱いの方針を明文化した包括的な声明

ということで、GPPを構築するということになります。

4.2 GPPを構成する具体的な要素

4.2.1 CPAとプライバシーポリシー

CPAにおける要素は、ChatGPTにカリフォルニア消費者プライバシー保護法規則を翻訳させてみる-プライバシーポリシーの記載事項 でもふれました。

4.2.2 英国情報コミッショナー

英国の情報コミッショナー(ICO)は、プライバシーノーティスという用語を使っています。ページはこちら。その作成の仕方の案内は、こちらです。

テンプレートの内容ですが

  1. [組織名を入れてください)
  2. お問い合わせ先
  3.  当社が収集する個人情報の種類
  4. 個人情報の入手方法とその理由
  5. お客様の個人情報の保存方法
  6. お客様のデータ保護に関する権利
  7. 苦情の申し出方法

からなりたっています。

4.2.3 GDPRにおけるプライバシーポリシー

10 Must-Have Elements of Every GDPR-Compliant Privacy Policy は、「GDPRに準拠したプライバシーポリシーのためのエストプラクティス」として、上の12条を基準に、プライバシーポリシーの内容を確認する必要があるとしています。そこで、記載事項とされているのは、

  • 1) 誰がデータを処理しているのか
  • 2) どのような法的根拠でユーザーデータを収集することができるのか
  • 3) 個人データの収集目的
  • 4) どのような種類の個人データを収集するか
  • 5) データを保存する期間
  • 6) 国際的なデータ転送の有無
  • 7) 自動意思決定でデータを使用するかどうか
  • 8) どのような第三者とデータを共有するか
  • 9) データ主体の権利とは
  • 10) ポリシーの変更について、どのようにユーザーに通知するか
    があげられています。

4.2.4 実例

シスコ

GPPの構成は、上は、シスコは、

  • 目的
  • 対象範囲
  • ポリシーステートメント
  • ポリシーの遵守
  • 関連するポリシーおよび補足文書

になっています。作成、収集、使用、開示、保存、保護、アクセス、移転などについて述べるという形です。

5 GPPの共通要素と特別要素を並べてみる

CCPA GDPR/UK GDPR PIPA(日本・個人情報保護法)
1 一般的事項
1.1 目的
個人データ等の概念
1.2 対象範囲
適用される要件
カリフォルニアの住人 欧州とのネクサス 域外適用(171条)
1.3 原則
1.4 遵守体制
取扱責任者・問い合わせ先・責任者 事業者のプライバシーポリシーと実践に関する質問や懸念事項に対する連絡先。 DPO/代理人
2 事業者のオンラインおよびオフライン情報に関する実践
2.1 収集
2.1.1 収集の目的 13条1項(C) 17条・18条
2.1.2 収集する個人情報の種類 過去12か月間に収集した個人情報のカテゴリを識別する
2.1.3 個人情報の入手方法とその理由 個人情報が収集されるソースのカテゴリを識別すること。
2.2 取扱 取扱の法的根拠 不適正利用禁止(19条)
自動的意思決定の利用の有無(第12条2項(f))
2.3 保存
保存のセキュリティ 安全管理措置(23条)・従業者の監督(24条)・委託先の監督(25条)
保存期間
2.4 移転
どのような第三者 提供制限の原則(27条1項)
国際的な移転 外国にある第三者提供の制限(28条)
2.5 消去
3 権利行使のために必要な情報
個人情報の収集、開示、または販売に関する知る権利 情報を得る権利
アクセス権 保有個人データの開示
修正する権利 保有個人データの訂正等
個人情報の削除を要求する権利 抹消権
 個人情報の販売からのオプトアウトの権利 処理を制限する権利 保有個人データの利用停止等
データポータビリティの権利
異議申立権
行使の方向の情報 開示等の請求等に応じる手続
消費者のプライバシー権利の行使に対する差別禁止の権利

となります。

この表をもとにCCPA、GDPR、PIPA(個人情報保護法)の各論点をマッピングしていくと非常に興味深い作業になるだろうと思います。

その作業にどれだけの価値があるのか、という気もしないでもないのですが、国際的なサービスを提供しているところは、意外に役に立つのではないかと考えたりしています。

 

 

関連記事

  1. イギリス競争市場庁のプライバシーサンドボックスについての見方「グ…
  2. グローバル・プライバシー・ノーティスとCCPA・GDPR・PIP…
  3. 新ブランダイス派は、所詮ヒップスター(流行り物好き)なので、葬送…
  4. 図解 アップル・エピックゲームズ事件判決の理論的?分析
  5. 「プラットフォームにおけるプライバシーの保護に関する個人データ保…
  6. AI時代の証券取引(その1)
  7. 「公然性ある通信」再訪-「電気通信サービスにおける情報流通ルール…
  8. 欧州において権利者とアクセスプロバイダは、「原理的に」違法コンテ…
PAGE TOP