今回は、GDPR対応に向けて実際にプライバシーポリシーを見直し改定していく際に、どのような点に注意する必要があるのか考えたいと思います。GDPRが規定する内容は幅広く、基本的にEU域内の個人のデータ保護を目的としているためその規制範囲はオンライン、オフラインを問いません。ここでは、企業がデジタルマーケティング施策を実施する上で自社のWebサイトに掲示すべき内容に焦点を絞って解説します。
こちらは先日お伝えした、『プライバシーポリシー改定にまつわる5つの疑問』の後編です。
プライバシーポリシー5つの疑問
【前編】
1. そもそも、プライバシーポリシー改定の必要性があるのか?
2. 英語版のプライバシーポリシーは英訳版を用意すればOK?
3. GDPRと改正個人情報保護法の違いとは?
【後編】
4. GDPR対応のプライバシーポリシーには何が盛り込まれている必要があるのか?
5. プライバシーポリシーとクッキーポリシーは分ける必要があるのか?
前編の内容についてはこちら:
4.GDPR対応のプライバシーポリシーには何が盛り込まれている必要があるのか?
GDPR対応を念頭に自社のプライバシーポリシーを改定していく上で、具体的な項目として何を記載する必要があるのでしょうか。主な見直しポイントは以下の通りです。
・個人データの利用目的:
GDPRは、個人データの利用に関して目的外の利用の禁止を明確に定めています。
・個人データの保持期限:
データ処理に関する規定の中の「データ最小化の原則」とも関連しますが、GDPRはデータ取得時点で保存期間を定めておくことを規定しています。但し、具体的な期間の提示が困難な場合は必要な保存期間を決定する基準を記載します。
・個人データの第三者による利用有無および具体的な第三者のサービス提供者、サービスサイト、広告関連ベンダーの提示:
GDPRは、プロファイリング等自動化された個人データの処理を含むマーケティング目的の個人データの利用を厳格に規制しています。後述するデータ主体(ユーザー等個人データの提供元)による異議を唱える権利とも関連しますが、第三者が提供するサービスを使ってマーケティング活動を行っている場合は、明示的にその他の情報とは分離して記載することが求められています。
・個人データの域外移転の有無:
GDPRは、域内から域外へのデータ移転を一定の要件を満たす場合を除き規制しています。規制対象外となる一定の要件として、十分性認定やSCC(SDPC)/BCRの実施等が挙げられますが、日本も近い将来、十分性認定を受けることが見込まれており規制緩和の可能性が高くなっていますので今度の動向に注目です。
・データ主体の権利:
GDPRは、データ主体(ユーザー等個人データの提供元)による権利行使に関する情報提供義務を定めており、具体的には個人データのアクセス権、訂正権、拒否権等が挙げられます。データ主体に認められる権利には、消去権(忘れられる権利)、異議を唱える権利等、現在の改正個人情報保護法には含まれない権利もありますので注意が必要です。
その他にも、以下の項目がプライバシーポリシーに盛り込まれている必要があります。
・取得する個人データの内容
・個人データの取得方法
・問い合わせ先
・データ保護責任者(DPO)が存在する場合はその情報
※ドイツではDPOの設置は必須
なお、実務上、個人データの取得や利用については、データ主体からプライバシーポリシーの内容に関する同意を得ることで適切に取り扱っていることの証明とするわけですが、GDPRではオプトインを前提とした同意の取得を明確に規定している点にも留意する必要があります。
このため、例えば個人データの入力フォーム上で、フォームを送信したら「プライバシーポリシーに同意するものとみなします」といった記載や、デフォルトでプライバシーポリシー同意のチェックをオンにしている行為は厳密に言えばGDPR違反と判断される可能性があります。
5.プライバシーポリシーとクッキーポリシーは分ける必要があるのか?
最後の疑問点として、最近Webサイト上でプライバシーポリシーと並んでよく目にするようになったクッキーポリシーについて考えたいと思います。
クッキーポリシーとは、自社が取り扱うクッキーに関して、利用目的や管理方法、具体的に利用しているクッキー内容等について定めた規定です。もともとEU内では、クッキーも個人データとして取り扱うべきとの考えが根強く、企業のマーケティング活動に利用されるクッキーは制限されるべきというスタンスで、GDPR以前から「クッキー指令」が定められ、EU加盟国の国内法で徐々に法整備が進んできた背景があります。
そうした経緯もあり、EU内を中心にプライバシーポリシーとクッキーポリシーを別々に定める企業が増えてきていますが、現状のGDPRは、クッキーポリシーを個別に定めることを明確に規定しているわけではありません。そのため、多くの企業で見られるように、プライバシーポリシーにクッキーポリシーの内容を含める形でも今の段階では即GDPR違反とは言えない現状があります。
なお、全てのクッキー利用に同意取得が必要かというと必ずしもそういうわけではありません。クッキーにはWebサイトが正常に動作する上で必要不可欠なものやユーザビリティを良くするためのもの等、様々な利用用途があり、個人データ保護との関連で規制対象となっているのは、あくまでマーケティング目的のクッキーに限定されているという点も念頭に置いておくと良いでしょう。
以上、前編後編の2回にわたり、GDPR対応に向けた自社のプライバシーポリシー改定を考える際に生じるよくある5つの疑問について解説しました。ただし、GDPRの条文は曖昧な記述もあり、専門家内でも解釈が異なるケースや、具体的なアクションとしてまだまだ不透明な内容も多く、○○をすれば絶対大丈夫とは断言できない現状もあります。
そのため、プライバシーポリシーを改定した際には、GDPRに詳しい専門の弁護士事務所にリーガルチェックを依頼する等して専門家に助言を得るようにすると良いでしょう。 また、今後、日本における十分性認定やeプライバシーの内容が出てきた際に規制内容がより明確化されることも考えられるため、今後の動向を注視しておくことも大切です。
※参考文献 中崎尚『Q&Aで学ぶGDPRのリスクと対応策』商事法務、2018年
