【前編】プライバシーポリシー改定にまつわる5つの疑問

　
2018年5月25日のEU一般データ保護規則（GDPR）の施行以降、グローバルでビジネスを展開する日本企業にもデータ管理・運用のあり方を見直す動きが広まっています。企業のGDPR対応には様々なタスクがあり、中でもプライバシーポリシーの改定は最初に着手すべき非常に重要な対策の一つです。

今回はマーケティング担当者を悩ませるプライバシーポリシー5つの疑問として、前編後編の2回に分けて考えていきたいと思います。プライバシーポリシーを掲示しているものの、もはや当時の作成担当者もいなくなりどうして良いかわからないという方も多くいるようです。何かしらの指針になれば幸いです。

GDPRの内容についてはこちらの記事を参照ください。
GDPR「EU一般データ保護規則」とは？覚えておくべき3つのポイント

プライバシーポリシー5つの疑問
【前編】
1.　そもそも、プライバシーポリシー改定の必要性があるのか？
2.　英語版のプライバシーポリシーは英訳版を用意すればOK？
3.　GDPRと改正個人情報保護法の違いとは？
　
【後編】
4.　GDPR対応のプライバシーポリシーには何が盛り込まれている必要があるのか？
5.　プライバシーポリシーとクッキーポリシーは分ける必要があるのか？
　
後編の内容についてはこちら：
【後編】プライバシーポリシー改定にまつわる5つの疑問

１．そもそも、プライバシーポリシー改定の必要性があるのか？

まず誰しも感じる大命題ですね。この疑問に対する答えとして、まずは、自社のビジネスはGDPRの適用対象となるのか？という点を考慮する必要があります。

その要件は、以下2つです。
1.　域内のデータ主体に対する商品または役務の提供を行っていること
2.　域内のデータ主体の行動のモニタリングを行っていること
　
1と2共に自社サイトの運用が下記条件に当てはまる場合は、GDPR適用対象と考えたほうが良いと思われます。

【1の条件】
●　EU域内のユーザーが利用している主要な言語での情報提供
●　EU域内のユーザーが利用している通貨での決済機能
●　その他商品または役務の提供を行っていると判断できる記載

【2の条件】
●　ユーザーの属性情報等をプロファイリングを目的に収集している場合
●　閲覧履歴をトラッキングし、広告等マーケティング用途に利用している場合

自社のWebサイト運用が1にも2にも該当しない場合、すなわち自社の事業が日本国内に限定されるのであれば、今のところGDPRの考慮は不要と判断する解釈もありますが、その場合も改正個人情報保護法の要件は満たす必要があると考えます。

２．英語版のプライバシーポリシーは英訳版を用意すればOK？

GDPRは欧州（正確にはEEA域内）を対象とした法律なので、適用対象となる場合、日本語のプライバシーポリシーしか存在しないというのは当然NGです。英語のWebサイトがあるのに、プライバシーポリシーのリンクをクリックすると日本語のポリシーページに遷移してしまうというようなケースは早急に改善する必要があるでしょう。

では、単純に日本語の英訳版を用意すれば良いかというとそういうわけでもありません。日本語のプライバシーポリシーは、日本の法律（改正個人情報保護法等）に基づいて作成されているケースがほとんどでしょう。しかし、GDPRは改正個人情報保護法よりも厳格に規制されています。そのため、GDPRが求める要件を満たしきれていないことを念頭に置くと、英訳したプライバシーポリシーの内容だけではリスクが残ると言えます。

３．GDPRと改正個人情報保護法の違いとは？

次の疑問は、「そもそもGDPRと改正個人情報保護法はどのような違いがあるのか？」です。デジタルマーケティング視点からいうと、改正個人情報保護法との主な違いは、以下の3点が挙げられます。
　

これらの点は、プライバシーポリシーを改定する上で考慮すべき大切なポイントとなるわけですが、後編の記事でも詳細を解説していきます。
　

　
ここまで、プライバシーポリシー改定を考える上で抑えておくべき基本事項について解説しました。後編ではいよいよ実践編として、プライバシーポリシーを改定する際に生じる実務上の疑問点について考えたいと思います。（後編に続く）

※参考文献：中崎尚『Q&Aで学ぶGDPRのリスクと対応策』商事法務、2018年