【GDPR対応】プライバシーポリシー作成の基礎

GDPRの施行は、EU加盟国を含む欧州経済領域で低起用される法令ですが、EU加盟国などと取引を行う日本企業も対応に迫られるケースがでてきています。
そして、GDPRと似た概念として、プライバシーポリシーという言葉を聞いたことがある方もいるのではないのでしょうか？
本記事では、GDORの意味やプライバシーポリシーの意味、そしてそれらの関係性を徹底解説していきます。

1.GDPRとプライバシーポリシーの関係性

まずは、GDPRとプライバシーポリシーの関係性を知るにあたって、それぞれの意味をおさらいしておきましょう。

1-1.GDPRとは

GDPRとは、日本語訳で「一般データ保護規則」と訳されています。
これは、EU（イタリア・オランダ・ドイツ・フランス等の欧州連合）に居住する人々の個人情報の収集と、その処理に関するガイドラインを定めた法律枠組みです。

EU加盟国を含む欧州経済領域では、そのほとんどがGDPRの適用国となっています。
※GDPRはEU諸国で適用される法令ですが、EUと取引をする企業や個人も適用御なる場合があります。

1-2.プライバシーポリシーとは

プライバシーポリシーとは、特定のユーザーを識別することができる情報（個人情報）や、そのユーザーの行動に関する情報（位置情報や購買履歴などのパーソナルデータ）を定めた文書のことです。
ただし、このプライバシーポリシーは、GDPRのように法令として規定されているものではなく、個人情報保護の観点からユーザーに周知する手段として提示されるようになっています。

2.プライバシーポリシー作成時の必要項目

GDPRが目的とするものは、EU域内の国民の個人情報を守ることです。それにあたり、EU諸国と取引を行う日本企業では、プライバシーポリシーの作成により、個人情報の取り扱いについて明記することが求められます。以下では、その際に最低限必要とされる項目を2つ紹介いたします。

2-1.適法根拠の明示

GDPRの第13・14条では、「データ処理の適法性に関する根拠」の明示が挙げられています。これは、従来の日本の個人情報保護法で作成されたプライバシーポリシーになかった要素です。
適法根拠の明示の対策では、最低限「ユーザーが自社に対して、データ処理に同意をした」という具合に記載して、ユーザーからプライバシーポリシー改定の同意を取り直しておくことが必要となります。

2-2.取得情報と利用目的の対応

ユーザーからの「取得情報」とその情報の「利用目的」の対応についてもプライバシーポリシーに記載する必要があります。
これまで、日本でのプライバシーポリシーの多くは、第1条に取得する情報を記したあと、第2条に利用目的を明示することが多くありました。
ただ、これでは取得する情報のそれぞれに利用目的を記せていないため、従来のプライバシーポリシーでは、GDPRに対応しきれていない印象がありました。そのため、上記を踏まえた上で、新たにプライバシーポリシーを作成する際には、取得情報と利用目的の対応をする必要があります。

2-3.利用目的の明確化

個人情報の取得利用は、「マーケティング活動のため」といった幅広い解釈ができる記載方法では、GDPR対策として不適切である可能性があります。
そのため、GDPR対策を兼ねたプライバシーポリシーの作成では、さらに明確な利用目的として記載する必要があります。

2-4.データ主体の権利の明記

　
これまでの日本のプライバシーポリシーには、アクセス権や訂正権がデータ主体にあると記載されていたものの、消去権やポータビリティ権といったものは記載されていなかったと思います。
GDPR対策としてプライバシーポリシーを作成する際には、個人データをデータベースから削除したり、取り出したりできるようにしておくことが求められます。
ただ、このような対応をいちから始めるような企業であれば、データ主体の権利の明記は大変かもしれません。

2-5.保存期間を定義する基準の明記

これまでのプライバシーポリシーには、個人データの保存期間が明記されていなかったものが多くあったように思います。
しかし、GDPR対策としてプライバシーポリシーを作成する際には、個人データを保存する年限を明記することが求められます。
ただし、保存年限を明確に定めて、そのデータが期限を過ぎても必要であった際に、保持し続けてしまったら、違反をしてしまう恐れがあります。
そのため、確定的な年限を定めずとも、「保存期間を決定する際に用いられる基準」を明記することが落としどころとして、賢明であると考えられます。

2-6.英語明記verの作成

GDPR対応としてはプライバシーポリシーを作成する際には、日本国内でなくEU圏内の人を想定することになるため、日本語版のみの明記では分かりやすいとはいえません。そのため、プライバシーポリシー作成時には、絶対事項ではありませんが、日本語での作成とは別に英語版やその他の対象国の言語で作成することが推奨されています。

3.プライバシーポリシー作成の見本

GDPR対策としてプライバシーポリシーを作成する際に、参考にできる企業をご紹介いたします。
それは配車アプリを運営する「UBER」です。
UBERのプライバシーポリシーの特徴は3つにまとめることができます。

➀法的な観点での本文の隙のなさ
プライバシーポリシーを作成する上で、重要なチェックポイントに、「法的な観点での隙のなさ」を挙げることができると思います。

具体的に以下の内容を明記することが求められます。
a.”適法根拠の明示”、
b.”取得する情報項目の対応”
c.”取得する利用目的の対応”
d.”利用目的の記載の明確化”
e.”データ主体の権利明示”
f.”保存期間を定義する基準の明示”

Uberのプライバシーポリシーでは、これらを全てクリアしていると思われます。

ただし、これら全て満たし、法的な観点からは隙のない文章がつくれても、文章が長くなることで、読み手にその内容が伝わらなければ本末転倒です。そのため、上記の項目を満たすことと、相手に伝わりやすい文章の長さにすること、のバランスが大切になってきます。

とはいえ、UBERのプライバシーポリシーは参考になりますので、作成時には一度覗いてみることをお勧めします。

➁親しみやすさと分かりやすさを兼ね備えたガイドコンテンツのデザイン
UBERでは、別途ガイドコンテンツを用意して、プライバシーポリシーの内容を分かりやすくしています。
これにより、➀でお伝えした「文章が長くなることで読み手に伝わらない」デメリットを補うことができると思われます。
そのため、ユーザーにとって親しみやすいイラストを差し込んだり、するなどのUIを意識することで、相手に伝わるプライバシーポリシーを作成することができると考えられます。

➂責任者への連絡先を明示
プライバシーポリシーの作成理由は、個人情報などの管理を徹底している旨を伝える手段ですが、仮に情報漏洩などの問題が発生した時には、相手側はその件について、問い合わせをする可能性があります。
多くの企業の対応では、部門名と住所を記載するに留まっていますが、UBERの場合では、DPO宛専用メールアドレスも公開しています。
これにより、問題が起こった際にも、きちんと責任の所在を明らかにしているため、顧客などにとって信頼を得やすいプライバシーポリシーとなっています。

4.まとめ

本記事では、GDORの意味やプライバシーポリシーの意味、そしてそれらの関係性を解説してきました。
GDPRとはEUに居住する人々の個人情報の収集と、その処理に関するガイドラインを定めた法律枠組みであり、プライバシーポリシーとは特定のユーザーを識別することができる情報や、そのユーザーの行動に関する情報を定めた文書です。
つまり、GDPR対策の手段としてプライバシーポリシーがあるという位置づけでした。

そして、本記事でお伝えしてきたGDPR は、 EU 域内の企業だけでなく、欧州市民向けに商品とサービスを提供している世界中の企業にも適用されます。

株式会社UPF（ユーピーエフ）では、業界に関係なくお客様の GDPR コンプライアンス対策を構築するサポートプログラムをご用意しております。
GDPRの対策で、お悩みの企業様・ご担当社様は、Pマーク取得の実績No.1のコンサル会社UPFまでどうぞお気軽にお問い合わせください。

お問い合わせはこちらから。
株式会社UPFについて詳しくはこちらから。