CHAPTER 04. プライバシーポリシー

本日の対談のテーマは、プライバシーポリシーの最新動向です。個人情報保護法の令和２年改正が本年４月１日に施行されたことに合わせ、多くの会社がプライバシーポリシーのアップデートを行っていますし、弊所でも数多くの案件を担当しました。私も、多くの案件を受ける中でノウハウを蓄積し、事務所内の若手弁護士向けに、プライバシーポリシーに関するセミナーを行いました。今日はよろしくお願いします。

プライバシーポリシーの法改正対応や具体的な記載例は、さきほど、私からセミナーでお話ししたとおりです。法改正対応以外だと、プライバシーポリシーについては、どのような相談を受けることが多いでしょうか。まずは、北山弁護士いかがでしょうか。

新しくサービスを始める場合に、そのサービス用のプライバシーポリシーの作成をご依頼いただくことが多いですが、それに関連して、一つの会社が複数の事業やサービスを行っている場合に、プライバシーポリシーをどう構成していくべきか、という相談をよく受けます。

どのようなアドバイスをしていますか。私がすぐに思いつくのは、個別のサービスや事業ごとにプライバシーポリシーを個別に作っていく方法ですね。

はい。その派生形として、事業やサービスごとに個別にプライバシーポリシーを作成しつつも、それぞれのプライバシーポリシー上で共通する項目は、別途、まとめることもよくあります。

確かにそうですね。令和２年改正に関していうと、同一の会社であれば、事業やサービスごとに個別にプライバシーポリシーを作成していた場合でも、保有個人データに関して情報提供が求められている事項、すなわち、本人の権利行使に関する事項（法32条1項3号）や、安全管理措置に関する事項（法32条1項4号、施行令10条1号）については、同じ記載内容になるケースが多いかもしれません。

はい。プライバシーポリシーの数があまりに多くなると、更新した際に漏れが生じるなど、適切な管理ができていないことがあります。小川弁護士のご指摘のとおり、同じ記載内容になるケースが多い事項についても、微妙に異なった内容になっていることがあり、その違いの理由を把握できていない事例もありました。そのような事態を改善するには、数学で因数分解するのと同じように、同じ記載内容とすべき事項については一つにまとめてくくりだした方が、すっきりする場合もあると思います。

そこで、事業やサービスごとに、個別にプライバシーポリシーは定めつつも、共通する内容については、共通プライバシーポリシーを作成し、そこにリンクを貼って参照させるということが考えられます。

そうですね。ただ、例えば個人データの第三者提供の場面等でプライバシーポリシーへの同意を取得することが法律上必要となる場合などには、同意を求める内容は、わかりやすく示す必要があるので、わかりにくいリンク先に同意事項が記載されているだけだと、同意の有効性に疑義が生じる場合もあるかもしれません。

ありがとうございます。共通版にリンクを貼る方法で、個別のプライバシーポリシーを作成するときは、同意の点は留意しておいた方がいいですね。

逆に、複数の事業やサービスでプライバシーポリシーを作る場合、個別に作るのではなく、一つのプライバシーポリシーに全ての事業やサービスについてまとめて記載するのは、どうでしょうか。

あり得る方法の一つだとは思います。事業やサービスごとのプライバシーポリシーを敢えて定めず、一つのプライバシーポリシー内において、「X事業についての個人情報の利用目的は、次のとおりです。」「次に、Y事業についての個人情報の利用目的は、次のとおりです。」と書くような事例も実際にはあります。多様なサービスやアプリケーションを提供している事業者が、同意してもらうことを想定したポリシーを定めようとする場合、どのユーザーがどのポリシーに同意しているのか、という同意管理が非常に複雑になりかねないことから、単一のポリシーで管理したいという目的があるのかもしれません。

ただ、多くの事業やサービスがある事例で、一つにまとめると、プライバシーポリシーが長くなりすぎてしまうようなケースでは、まとめることは、必ずしもおすすめできない場合もあります。

というのも、利用者からすると、自分とは無関係の事業やサービスについて延々と記載がなされているプライバシーポリシーを読むことになるので、利用者目線ではわかりにくくなってしまう可能性もあります。また、あまりに広汎で多岐にわたる内容について全てを一括して同意するか否かというオプションしか与えないと、ユーザーが真に必要とするサービスとは全く無関係なデータ取扱いの同意が事実上強制されてしまうという弊害が生じることもありますので、同意の粒度を細かくしてユーザーの選択の事由を確保すべきというグローバルな趨勢にも反してしまいます。サービス設計に際しては、同意の取り方だけでなく、同意の撤回を認めるべきか、認めるとしてその範囲や方法なども問題となることが増えています。

確かにそのとおりですね。複数の事業やサービスがある場合に、どのようにプライバシーポリシーを構成していくかは、いろいろなアプローチがありますね。

プライバシーポリシーに関して、田中弁護士はどういう相談を受けることが多いでしょうか。

私は特にグローバル・プライバシーポリシーに関する相談を多く受けますね。

ユーザーが日本だけでなく外国にもいるオンラインサービスやアプリなどの場合に、日本法準拠で作られたプライバシーポリシーをグローバル化させたい、という相談や、その逆、すなわち、グローバル企業から、GDPR等に対応させて作成したプライバシーポリシーを日本法向けにローカライズさせたいという相談も多いですね。

日本向けのプライバシーポリシーをグローバル化させる場合、まず、どの外国の個人情報保護制度をスコープに含めるかどうかを検討する必要がありますね。

世界には、約200の国や地域があると思いますが、グローバル・プライバシーポリシーの検討対象に含める外国は、どのように選べばよいでしょうか。

一般論として、世界中にユーザーがいるのであれば、世界中のすべての国・地域を検討対象に含めるのが正論にはなります。もっとも、そのような方法は、現実的ではないですし、実践している事業者がいるとも思えません。ドラスティックな対策の一つとしては、たとえば、ユーザーのIPアドレスから国を判別して、特定の国のユーザーのみがサービスを利用できるように選別したうえで、その国の法規制のみを検討対象とする方法はありますよね。

確かに、ユーザーをIPアドレスでブロックする方法はありますね。ほかに、モバイル・アプリであれば配信地域を指定したり、ユーザー登録時に、ユーザーの所在国を選択してもらって特定の国の所在者しか登録できないようにしたりする、という方法もありますよね。

ただ、実際には、そうしたユーザー選別をできない場合も多いと思います。この場合、どうやってグローバル・プライバシーポリシーの検討対象に含める国を絞り込んでいくべきでしょうか。

多くの法域で要求される項目を共通項目として入れておくことで、一定のレベルまでの対応は可能です。しかし、各国法の個別対応（別紙作成等）も必要になり、この場合、一般的には、リスクベースド・アプローチに基づいて、対象となる国を選別することになると思います。

これは、つまり、対象となる外国を、クライアントの事業との関係で特に関係が深い国かどうか、その国は制裁が厳しい国となのかどうか、取り扱う個人データの量やセンシティブさなどの考慮要素を総合的に判断して選別し、クライアントの事業との関係で高いリスクを有する外国を優先的に個別対応することになります。

グローバル対応といえども、リスクが低い外国については、個別対応のスコープからは外しているケースは多いです。

サイバーセキュリティの文脈でも、リスクベースドアプローチは、有用なアプローチの一つですね。サイバー攻撃の複雑化・多様化に伴って、セキュリティ対策も多様化・複雑化していますが、全ての対策を取ることはできませんし、中には各々の対策が競合する等して両立しない場合もあります。費用対効果の観点から過剰な対策にならないようにする必要もありますね。ですので、リスク評価を行った上で必要な対策を選択することとなります。グローバルデータ保護法対応でいうと、リスクが高めとして対応を要する国・地域というと、やはりGDPRの対象となるEEA諸国や、GDPRと同等の法規制を有する英国が思い当たりますが、その他にはどうでしょうか。

最近は、アメリカのカリフォルニア州や中国についても対応する会社が増えてきています。他は、各社の事業の実態次第といえますが、たとえば、タイについてもGDPR類似の厳格な規制があるため、個別対応を検討することも多いです。弊所のタイオフィス(CMHM)には、個人情報保護規制を主要取扱分野とするタイ人弁護士もおり、多くのタイPDPA案件に対応しています。また、この他、中国・台湾・ベトナムも現地有資格者が複数おり、これらの法域についても弊所内部リソースのみでも助言可能となっています。

具体的には、プライバシーポリシーをグローバル化させる場合には、どのような構成とするのがよいでしょうか。

いろいろな方法が考えられます。

グローバルに共通に適用される共通部分（日本企業の場合は日本法対応を含む）を作り、そこでカバーしきれない部分については別紙を作ることが一例です。たとえば、GDPR対応の別紙やCCPA対応の別紙を作ることになります。それぞれの法域毎に別々のポリシーを用意することも可能です。

日本の個人情報保護法とGDPRとでは、共通する点も多いと思いますが、異なる点も多くありますね。嶋村弁護士、いくつか具体例を挙げていただけますでしょうか。

はい。たとえば、日本法には、GDPRにはない「共同利用」の概念があります。

また、日本法は、個人データの第三者提供について、原則として本人の同意を要するという規制がありますが、GDPRは、個人データの第三者提供を含めて、あらゆる処理に同意や正当な利益などの「法的根拠」を必要とする（GDPR6条）など、基本的な考え方が日本法と大きく異なりますね。またGDPRでは、本人に通知すべき点も日本法と異なっています。

どのようにグローバル・プライバシーポリシーを構成していくかについては、私は、いつも頭を悩ませながら案件に取り組んでいます。

ところで、グローバル・プライバシーポリシーの一類型だと思うのですが、世界中にグループ会社を有する日本企業から、グループ・プライバシーポリシーの作成を頼まれることはありますか。

はい。よくあります。全てのグループ会社に共通で適用されるポリシーを作りたいというニーズは高いです。この場合、全グループ会社共通の本体のポリシーと各国法別紙を作る方法が考えられます。しかし、このように統一的なポリシーを作る前提として、グループ全体の個人情報の管理体制がある程度統一化されている必要があるかと思います。たとえば、地域毎に事業形態も管理体制もバラバラであるという場合に無理矢理ポリシーを一つにしようとしても、実態にあわないものができあがってしまうことになるかと思います。一つにするにしても、ポリシーのなかで、たとえば、一定事業毎に記載項目を分けたり、事業分野毎にポリシーを用意したりすることも一案です。グループ共通ポリシーがあるとしても、たとえば特定のアプリだけはまた個別のポリシーを用意したりすることも可能であるため、各社が無理のない方法で進めていくべきかと思います。外部向けと内部の役職員向けのものは分けて作成して、後者についてはウェブサイトで一般公開はせずに、役職員だけに見せていることが多いかと思います。外部向けでも、顧客向けと採用候補者向けや株主向けを分けたりする例もあります。

世界中にグループ会社を有する場合、グループ会社だからといって一括りに扱うことはできず、資本関係の程度はもとより、グループ会社となった背景や日本本社との関係性などをきちんと把握したうえでプライバシーポリシーの設計をアドバイスすることが求められます。日本本社がゼロから立ち上げた現地拠点と、M&Aによって傘下となった拠点とでは企業カルチャーもポリシーも違うことが多いです。また、日本本社と現地拠点の関係性についても、現地の自主的な判断がどの程度尊重されてきたのか、現地のデータ保護責任者がどのようなキャラクターの人物であるのか等、単純に資本関係だけからでは判断できない様々な背景事情などもあります。そのような点も総合的に加味したうえで、プライバシーポリシーの設計方針も依頼者に応じてカスタマイズしていくことはよくあります。

先ほどのセミナーでは、保有個人データに関する権利行使の範囲が広がったこと、安全管理措置についての開示請求も認められるようになったこと、そして、これらの改正についてはプライバシーポリシーに影響を与え得ることについて話をしました。

実際に、企業から、そのような権利行使や開示請求などの相談を受けることは、よくあるのでしょうか。

金融分野や世界的にもユーザーを多く抱えているプラットフォーマーを除くと、数としてはかなり少ないと認識しています。私が個人情報保護委員会事務局に出向していた際に、保有個人データの開示請求に関する論点についてのガイドライン及びQ＆Aの改訂も担当しましたが、数として、そのような事例が多いという印象はありませんでした。

私も実際に請求を受けた、というご相談はそこまで多くはないですね。ただ、2020年の改正によって、利用停止や消去等を請求できる要件が拡大し（法35条3項）、個人データ漏えい等の報告対象事態が生じた場合（法26条、施行規則7条）も、法律上の権利として利用停止や消去を請求できるようになったことは留意が必要だと思っています。このとき、本人通知も義務ですので、通知を受けた、または漏えい等に関するプレスリリースを見た本人が、事業者に対して自らの保有個人データの消去を求めるケースが増えてくるのではないかと予想されますので、どうせ請求なんて来ない、と油断しない方がよいかと思います。

私としては、今回の改正法によって、個人データの授受の記録が開示請求できるようになったというのは、大きいと思います。

実際、変な営業の電話があったときに、「私の個人情報をどうやって入手したのか教えてほしい」と尋ねたことがあるのですが、「教えられない」などと一蹴されて、気持ち悪い思いをすることもよくありました。今は、個人データの第三者提供を受けた記録の開示請求をすれば、個人情報の出所がわかることになりますよね。

本人目線でいえば、今回の法改正で、行使できる請求権の範囲が拡大され、必要なときに権利行使しやすくなったということがいえます。

他方で、事業者目線では、従前よりも本人から請求権の行使を受ける可能性が高くなったということでもあり、いざ請求を受けた場合に適切に対応できるように準備しておくことが必要です。業種にもよりますが、典型的な事例をいくつか想定し、対応の指針を作成しておくことは有益だと思います。

先ほどのセミナーでも触れましたが、法律上の要求を超えて、個人情報の取り扱いについて、わかりやすい工夫を凝らしている企業が増えていることがレポートでも触れられていますね。

私は友人に、プライバシーポリシーを作る案件を多数担当している、という話をすると、「プライバシーポリシーはよく目にするけど、結局、よく読まないで同意しちゃいますよね」などと言われてしまうこともあり、せっかくの力作プライバシーポリシーが、やや軽視されているのが実情ではないか、と思うこともあります。

さて、法律で求められていないのに、企業が個人情報の取り扱いについて、わかりやすい工夫を凝らすようになった背景には、どのような事情があるのでしょうか。

ユーザーからのプライバシー上の懸念を払しょくし、安心してサービスを利用してもらうことが、ユーザーの維持・拡大につながると考えているからだと思います。

特に最近は、プライバシーや個人情報を気にするユーザーも増えてきています。そうしたユーザーの懸念に対して、単に法律を遵守するということを超えて、より高い透明性を確保してユーザーの個人情報を適切に扱う方針を積極的に打ち出していくことは、企業にとってもユーザーの信頼を得るために重要なことなのだろうと思いますね。プライバシーポリシーよりも更に高次の原理・原則を明らかにしていく「データ憲章」の策定のような試みも、その一環として位置づけられます。データ憲章を策定するために、企業としての在るべき姿について様々な部署の責任者の皆様と議論を重ねる機会も多いですが、そのようなインタラクティブな議論のプロセス自体が、より実効的なプライバシーガバナンス実現のための重要な要素であると感じています。

以前は、プライバシーポリシーの作成や改訂のご相談をいただく際、とりあえず法律との関係で最低限の準備ができればよいという前提でご相談いただくことが、少なからずあったのが実情です。しかし、ここ最近は、このような前提も徐々に変化しているように感じますね。特にグローバルプライバシーを作成する際は、より透明性をもった内容にする必要がありますから、比較法的な観点からもこのような変化は望ましいと思っています。

第1部で嶋村弁護士が触れたいわゆるダッシュボードの事例のように、第三者提供の許否を、ユーザー自身がいつでも自由に設定できるようにするという取り組みは、特にわかりやすいと思います。

そうですね。そろそろ時間がきましたので、第４回の対談はこれにて終わりにしたいと思います。

今回で4回に分けてお送りしてきた、改正個人情報保護法施行後セミナーに連動した対談企画は最終回となります。

日本の個人情報保護法の解釈は、今後も進展していくと思いますし、国外に目を向けると定期的に重要なアップデートがあるというような状況ですので、今後も皆様に適時に情報提供していきたいですね。

そうですね。また、最近では、電気通信やヘルスケア、金融、HRといった個々の業界に特有の問題意識に基づいて深堀りしたデータ関係のアドバイスを必要とされることも非常に増えていますし、AIなどのテクノロジーの特性をふまえてどのように柔軟な法解釈をしていくかという視点も重要です。弊所データ・セキュリティプラクティスグループでは、今後も、最新の動向を注視しつつ、依頼者の皆様の状況に応じて適切なアドバイスができるよう心掛けてまいります。

皆様には、お忙しいところ、弊所の連続セミナーをご覧いただき、また、対談記事を読んでいただいたことに感謝申し上げるとともに、今後も、弊所の弁護士がセミナーなどをする際には、ぜひご参加いただけると幸いです。ありがとうございました。