2022年版プライバシーポリシー作成の最新トレンド

2022年版
プライバシーポリシー
作成の最新トレンド
2022/09/13
インハウスハブ東京法律事務所
弁護⼠世古修平
1

View Slide

講師紹介
世古修平（せこしゅうへい）
• インハウスハブ東京法律事務所弁護⼠
• インターネットサービス企業 Privacy Counsel
• IPA 独⽴⾏政法⼈情報処理推進機構試験委員
• 経済産業省電⼦商取引及び情報財取引等に関する準則
研究会委員
• 総合系のコンサルティングファーム2社を経て現職
• セキュリティ、プライバシー領域の案件を中⼼に活動中
• CISSP, CIPM, CIPP/E
2

View Slide

本⽇のテーマ
3
2022年版プライバシーポリシー作成の最新トレンド

View Slide

トレンド！
4
2022年版プライバシーポリシー作成の最新トレンド
「2022年4⽉個⼈情報保護法改正対応の〜」セミナーに⾒えてしまうと、
もう終わったんだから聞かなくていいな、となってしまうので、
もうそこじゃないんですよ！ということが伝わるほうが重要かなと思った次第でして。

View Slide

とはいえ個⼈情報保護法は外せませんよね
5
2022/04
令和2年改正法施⾏
トレンド1
トレンド2
トレンド3

View Slide

次回の改正も実はそう遠くはありません
6
2022/04
202Y/MM
次回改正法施⾏
附則
（検討）
第⼗条政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ
に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について
検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。
トレンド1
トレンド2
トレンド3

View Slide

改正に向けた議論にそろそろアンテナを
7
2022/04
202Y/MM
改正に向けた議論
附則
（検討）
トレンド1
トレンド2
トレンド3
202Y/MM
次回改正法成⽴

View Slide

電気通信事業法も外せない重要な法律です
8
2022/06
改正電気通信事業法
成⽴
トレンド1
トレンド2
トレンド3
2022/MM
総務省令？
202Y/MM
ガイドライン？

View Slide

同意取得についても考えてみましょう
9
トレンド1
トレンド2
トレンド3
出所：https://www.yomiuri.co.jp/science/20220903-OYT1T50092/

View Slide

個⼈情報保護法
電気通信事業法
同意取得
本⽇はこの3つのトレンドを検討します
10
トレンド
1
トレンド
2
トレンド
3
トレンド1
トレンド2
トレンド3

View Slide

11
1.プライバシーポリシーとは
2.トレンドの検討
(1)個⼈情報保護法
(2)電気通信事業法
(3)同意取得
3.まとめ

View Slide

12
(3)同意取得
3.まとめ

View Slide

q ノーティス
Ø “A privacy notice is an external
communication to individuals,
customers or data subjects that
describes how the organization
collects, uses, shares, retains and
discloses its personal information
based on the organizationʼs privacy
policy.”
q ポリシー
Ø “A privacy policy is an internal
document addressed to employees
and data users. This document
clearly states how personal
information will be handled,
stored and transmitted to meet
organizational needs as well as any
laws or regulations. It will define all
aspects of data privacy for the
organization, including how the
privacy notice will be formed, if
necessary, and what it will contain.”
13
2つの側⾯から説明することができます
出所：Privacy program management
（https://iapp.org/store/books/a191P000003FK31QAG/）
トレンド1
トレンド2
トレンド3

View Slide

14
⽇本法上PPの作成は必須ではありません
q ⽶国州法（CPRA）
Ø The privacy policy shall include the following
information:
Ø the business’s online and offline practices
regarding the collection, use, sale, sharing,
and retention of personal information
Ø An explanation of the rights that the CCPA
confers on consumers regarding their
personal information
Ø An explanation of how consumers can
exercise their CCPA rights and consumers
can expect from that process
Ø Date the privacy policy was last updated.
n ⽇本法
Ø 法律上は明⽂の定めなし
Ø 個⼈情報保護法上の公表等事項
• ⽒名⼜は名称及び住所
（法⼈の場合代表者の⽒名）
• 保有個⼈データの利⽤⽬的
• 権利⾏使の対応⼿続
• 政令で定めるもの
（安全管理措置など）
トレンド1
トレンド2
トレンド3

View Slide

15
通知公表事項と同意事項が混在しています
q 同意
Ø 27条
個⼈情報取扱事業者は、次に掲げる
場合を除くほか、あらかじめ本⼈の
同意を得ないで、個⼈データを第三
者に提供してはならない。
q 通知公表
Ø 21条
個⼈情報取扱事業者は、個⼈情報を
取得した場合は、あらかじめその利
⽤⽬的を公表している場合を除き、
速やかに、その利⽤⽬的を、本⼈に
通知し、⼜は公表しなければならな
い。
トレンド1
トレンド2
トレンド3

View Slide

16
(3)同意取得
3.まとめ

View Slide

17
ア.令和2年改正
イ.次回改正
(3)同意取得
3.まとめ

View Slide

18
皆さん令和2年改正法対応どうでしたか？
越境移転
漏えい等の報告
個⼈関連情報
仮名加⼯情報
提供記録
トレンド1
トレンド2
トレンド3

View Slide

19
PPに跳ねた部分を振り返ってみましょう
越境移転
個⼈関連情報
仮名加⼯情報
提供記録
トレンド1
トレンド2
トレンド3

View Slide

20
【個⼈関連情報】
定義の説明に苦労した⽅も多いのでは
（定義）
第⼆条
７この法律において「個⼈関連情報」とは、⽣存する個⼈に関する情報であって、個⼈情報、仮名加⼯情報及び
匿名加⼯情報のいずれにも該当しないものをいう。
n そもそも
Ø 「全体集合Uのうち、AでもBでもCでもないもの」という定義がまず難しい
Ø 「で、それって結局何なの」「いや、なので…」というループになりがち
n 前提知識
Ø 前提として個⼈情報、仮名加⼯情報、匿名加⼯情報を理解している必要
Ø 個⼈情報の定義⾃体、全社員が正確に理解しているかというと…
Ø 個⼈関連情報の説明をしたいのに、まずは仮名/匿名加⼯の説明が必要
n しかしながら
Ø 新しい概念のため、事業部⾨のヒアリングから始めないと情報がない
Ø ⾔葉を尽くすものの、、、
トレンド1
トレンド2
トレンド3

View Slide

21
知識の所在と義務の所在がズレがちでした
（個⼈関連情報の第三者提供の制限等）
第三⼗⼀条個⼈関連情報取扱事業者は、第三者が個⼈関連情報（個⼈関連情報データベース等を構成するものに
限る。以下この章及び第六章において同じ。）を個⼈データとして取得することが想定されるときは、第⼆⼗七条
第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ
ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。
⼀当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取
得することを認める旨の当該本⼈の同意が得られていること
個⼈関連情報取扱事業者（提供側）第三者（受領側）
n アドテク知識の蓄積：あり
n 改正法の検討：済
n 同意取得の義務：なし
トレンド1
トレンド2
トレンド3
n アドテク知識の蓄積：なし
n 改正法の検討：未済
n 同意取得の義務：あり
アドテク企業ユーザー企業

View Slide

22
受領側でも確認はしていたはずですが…
2021年内 2022年3⽉
個⼈関連情報って
取得してます？
いや…多分してない
と思います
ASPからチェック
シートが届いたん
ですが…
ざわ…
法務事業事業法務
トレンド1
トレンド2
トレンド3
（個⼈関連情報の第三者提供の制限等）
第三⼗⼀条個⼈関連情報取扱事業者は、第三者が個⼈関連情報（個⼈関連情報データベース等を構成するものに
限る。以下この章及び第六章において同じ。）を個⼈データとして取得することが想定されるときは、第⼆⼗七条
第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ
ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。
⼀当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取
得することを認める旨の当該本⼈の同意が得られていること

View Slide

23
短期間での同意取得は茨の道ですよね
⽉曜⽇⽕曜⽇⽔曜⽇⽊曜⽇⾦曜⽇⼟曜⽇⽇曜⽇
3/1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17
★
18 19 20
21 22 23 24 25 26 27
28 29 30 31
トレンド1
トレンド2
トレンド3
ASPからチェック
シートが届いたん
ですが…
ざわ…

View Slide

24
【越境移転】
条⽂が⾮常に難解でした
（外国にある第三者への提供の制限）
第⼆⼗⼋条個⼈情報取扱事業者は、外国（本邦の域外にある国⼜は地域をいう。以下この条及び第三⼗⼀条第⼀
項第⼆号において同じ。）（個⼈の権利利益を保護する上で我が国と同等の⽔準にあると認められる個⼈情報の保
護に関する制度を有している外国として個⼈情報保護委員会規則で定めるものを除く。以下この条及び同号におい
て同じ。）にある第三者（個⼈データの取扱いについてこの節の規定により個⼈情報取扱事業者が講ずべきことと
されている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとし
て個⼈情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号
において同じ。）に個⼈データを提供する場合には、前条第⼀項各号に掲げる場合を除くほか、あらかじめ外国に
ある第三者への提供を認める旨の本⼈の同意を得なければならない。この場合においては、同条の規定は、適⽤し
ない。
トレンド1
トレンド2
トレンド3

View Slide

25
【越境移転】
条⽂が⾮常に難解でした
（外国にある第三者への提供の制限）
第⼆⼗⼋条個⼈情報取扱事業者は、外国（本邦の域外にある国⼜は地域をいう。以下この条及び第三⼗⼀条第⼀
項第⼆号において同じ。）（個⼈の権利利益を保護する上で我が国と同等の⽔準にあると認められる個⼈情報の保
護に関する制度を有している外国として個⼈情報保護委員会規則で定めるものを除く。以下この条及び同号におい
て同じ。）にある第三者（個⼈データの取扱いについてこの節の規定により個⼈情報取扱事業者が講ずべきことと
されている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとし
て個⼈情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号
において同じ。）に個⼈データを提供する場合には、前条第⼀項各号に掲げる場合を除くほか、あらかじめ外国に
ある第三者への提供を認める旨の本⼈の同意を得なければならない。この場合においては、同条の規定は、適⽤し
ない。
トレンド1
トレンド2
トレンド3

View Slide

26
【越境移転】
取りうる選択肢は4つありました
同意取得基準適合体制
我が国と同等の⽔準
（EU, UK）
第三者提供の制限の例外
Option 1
Option 3
Option 2
Option 4
トレンド1
トレンド2
トレンド3

View Slide

27
【越境移転】
それぞれのメリットは何でしょうか
Option 1 Option 2
（EU, UK）
Option 3 Option 4
トレンド1
トレンド2
トレンド3

View Slide

28
【越境移転】
要件充⾜を説明しやすいのがメリットです
“いざ”という時、個⼈情報保護委員会等に28条の義務を遵守していることを説明しやすい
1
Option 1 Option 2
（EU, UK）
Option 3 Option 4
トレンド1
トレンド2
トレンド3

View Slide

29
【越境移転】
本質的な対応が取れる点に注⽬しましょう
ユーザーは「同意」を求められても、越境移転のリスクを真の意味で判断できないのでは
越境移転のリスクを低減するためには、⾃社で質的な⽔準を確保するのが本質的では
1
Option 1 Option 2
CBPR EU, BR
Option 3 Option 4
トレンド1
トレンド2
トレンド3

View Slide

30
同意に関し悩ましい部分が多かったですよね
越境移転
個⼈関連情報
仮名加⼯情報
提供記録
トレンド1
トレンド2
トレンド3

View Slide

31
ア.令和2年改正
イ.次回改正
(3)同意取得
3.まとめ

View Slide

改正が議論されそうな領域はどこでしょう
32
附則
（検討）
トレンド1
トレンド2
トレンド3

View Slide

PPCの問題意識から予想ができる？
33
出所：https://www.ppc.go.jp/files/pdf/220831_zyuuten.pdf
令和２年改正法附則第 10 条に基づき、個⼈情報の保護に関する国
際的動向、デジタル技術の進展、それに伴う個⼈情報等を活⽤した
新たな産業の創出及び発展の状況等を勘案し、個⼈情報保護法の施
⾏の状況や課題等について調査研究等を⾏う。
ＡＩ利⽤を含む映像解析技術、⾳声解析技術、認証技術等の⾼度
なデジタル技術が仮想空間（メタバース）を含む様々な場⾯で利
⽤されるようになっていることを踏まえ、⾼度デジタル技術によ
る個⼈情報等の処理の在り⽅や、プライバシー保護のための技術
等の利⽤について、国内外の法制度、技術動向の実態に関する調
査を⾏う。
企業ヒアリング等を通じて、PIA（Privacy Impact Assessment）の取
組及び個⼈データの取扱いに関する責任者の設置に係る実施事例
の⼿順や課題を把握し、これらを PIA の取組の解説や事例集に反映
させることにより、⺠間事業者の理解や意識の向上を図る。
トレンド1
トレンド2
トレンド3

View Slide

PFによる規制強化が反映される？
34
出所：https://developer.apple.com/jp/news/?id=12m75xbj
トレンド1
トレンド2
トレンド3

View Slide

制定が続く⽶国法の影響がある？
35
出所：https://iapp.org/media/pdf/resource_center/State_Comp_Privacy_Law_Chart.pdf
トレンド1
トレンド2
トレンド3

View Slide

36
(3)同意取得
3.まとめ

View Slide

改正法⾃体は既に成⽴しています
37
2022/06
成⽴
トレンド1
トレンド2
トレンド3
2022/MM
総務省令？
202Y/MM

View Slide

38
出所：https://www.soumu.go.jp/main_content/000797453.pdf
トレンド1
トレンド2
トレンド3
外部送信規律について取り上げます
外部送信規律

View Slide

39
タグや情報収集モジュール使ってますよね
トレンド1
トレンド2
トレンド3
⽴案担当者解説

View Slide

40
またしても難解な条⽂が爆誕しました
（情報送信指令通信に係る通知等）
第⼆⼗七条の⼗⼆電気通信事業者⼜は第三号事業を営む者（内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者
の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は、その利⽤
者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信（利⽤者の電
気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利⽤者以外
の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信
をいう。以下この条において同じ。）を⾏おうとするときは、総務省令で定めるところにより、あらかじめ、当該
情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利⽤者に関する情報の内容、当該情
報の送信先となる電気通信設備その他の総務省令で定める事項を当該利⽤者に通知し、⼜は当該利⽤者が容易に知
り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。
トレンド1
トレンド2
トレンド3

View Slide

41
少し分解して読んでみましょう
の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は
その利⽤者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信（利
⽤者の電気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利
⽤者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通
信の送信をいう。以下この条において同じ。）を⾏おうとするときは、
総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信される
こととなる当該利⽤者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項
を当該利⽤者に通知し、⼜は当該利⽤者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に
掲げるものである場合は、この限りでない。
主体
対象⾏為
義務内容
トレンド1
トレンド2
トレンド3

View Slide

42
規制対象になる主体は広いです
の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は（後略）
電気通信事業者
電気通信事業を営むことについて、第九条の登録を受
けた者及び第⼗六条第⼀項（同条第⼆項の規定により
読み替えて適⽤する場合を含む。）の規定による届出
をした者をいう。
第三号事業を営む者
n 利⽤者間のメッセージ媒介サービス等
n SNS・電⼦掲⽰板、動画共有サービス、オンライン
ショッピングモール等
n オンライン検索サービス
n 各種情報のオンライン提供（例：ニュース配信、
気象情報配信、動画配信、地図等）
トレンド1
トレンド2
トレンド3
主体

View Slide

43
まず対象⾏為のイメージを理解しましょう
第⼆⼗七条の⼗⼆（前略）その利⽤者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先
とする情報送信指令通信（利⽤者の電気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該
利⽤者に関する情報を当該利⽤者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を
起動する指令を与える電気通信の送信をいう。以下この条において同じ。）を⾏おうとするときは
トレンド1
トレンド2
トレンド3
対象⾏為

View Slide

44
選択肢は複数あるが公表が現実的でしょうか
第⼆⼗七条の⼗⼆（前略）総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情
報送信機能により送信されることとなる当該利⽤者に関する情報の内容、当該情報の送信先となる電気通信設備そ
の他の総務省令で定める事項を当該利⽤者に通知し、⼜は当該利⽤者が容易に知り得る状態に置かなければならな
い。
トレンド1
トレンド2
トレンド3
義務内容

View Slide

45
通知公表の⽅法に関しても⾔及があります
トレンド1
トレンド2
トレンド3

View Slide

46
(3)同意取得
ア.積極⽅向の議論
イ.消極報告の議論
3.まとめ

View Slide

適法性だけでなく妥当性の話をしませんか
47
トレンド1
トレンド2
トレンド3

View Slide

同意を正しく取る積極⽅向の議論があります
48
n 同意を積極的に捉える⽅向性の議論
Ø GDPRガイドライン
Ø 同意取得の在り⽅に関する参照⽂書
Ø 個情法令和2年改正（個⼈関連情報）
⽅向性①
トレンド1
トレンド2
トレンド3

View Slide

同意の意味を問う消極報告の議論も
49
n 同意を消極的に捉える⽅向性の議論
Ø デジタル広告の取引実態に関する中間
報告書（公取委）
Ø 「その規約、読みますか?」
Ø 個情法令和2年改正（越境移転）
⽅向性① ⽅向性②
トレンド1
トレンド2
トレンド3

View Slide

50
(3)同意取得
3.まとめ

View Slide

51
同意が満すべき要件を詳細に解説しています
⽅向性①
出所：https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf
n freely given
n specific
n informed
n unambiguous indication of wishes
トレンド1
トレンド2
トレンド3

View Slide

52
電気通信事業法上の同意の解説⽂書です
⽅向性①
n 個別具体的
n 明確
＋
n 個別事例におけるリスク
トレンド1
トレンド2
トレンド3

View Slide

53
反省点はきちんと改善したいですよね
⽅向性①
28
短期間での同意取得は茨の道
⼤中⼩
⽉曜⽇⽕曜⽇⽔曜⽇⽊曜⽇⾦曜⽇⼟曜⽇⽇曜⽇
3/1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17
★
18 19 20
21 22 23 24 25 26 27
28 29 30 31
ASPから何か変な
チェックシートが
届いたんですが…
ざわ…
n 2022年2⽉まで
Ø チキンレース的な空気感
n 2022年3⽉
Ø ⾚信号みんなで渡れば的な空気感
トレンド1
トレンド2
トレンド3

View Slide

54
(3)同意取得
3.まとめ

View Slide

Ø 令和2年改正（越境移転）
55
利⽤規約/PPは読まれない？
⽅向性②
n 利⽤規約を知っていると答えたのは27.7%
n 利⽤規約を必ず読んでいると答えたのは12.3%
出所：https://www.jftc.go.jp/houdou/pressrelease/2020/apr/digital/200428betten.pdf
トレンド1
トレンド2
トレンド3

View Slide

56
開⽰や同意を問い直す主張がされています
⽅向性②
出所：https://www.keisoshobo.co.jp/book/b605810.html
n 開⽰義務は良いという根拠がほとんどなくて
も、明⽰的な害がほとんどないので魅⼒的で
ある
n 通常、⽴法者が開⽰を義務づける内容は、素
⼈に太⼑打ちできるものではない
トレンド1
トレンド2
トレンド3

View Slide

57
その領域は同意で本質的解決ができますか
⽅向性②
40
【越境移転_28条】
真に同意できるユーザーはどれほどいたか
⼤中⼩
ユーザーは「同意」を求められても、越境移転のリスクを真の意味で判断できない
越境移転のリスクを低減するためには、越境移転が許容される質的⽔準を確保すべきでは
1
同意基準適合体制
Op$on 1 Option 2
CBPR EU, BR
Option 3 Op$on 4
n 越境移転について、リスクを把握した上
で同意ができるユーザーがどれだけいた
のか
トレンド1
トレンド2
トレンド3

View Slide

⽬次
58
(3)同意取得
3.まとめ

View Slide

59
改正に向けた議論にアンテナを張りましょう
トレンド1
トレンド2
トレンド3
2022/04
202Y/MM
改正に向けた議論
202Y/MM
次回改正法成⽴

View Slide

60
追加資料を待ちつつ準備を始めましょう
トレンド1
トレンド2
トレンド3
2022/06
成⽴
2022/MM
総務省令？
202Y/MM

View Slide

61
同意が適した領域かは⼀度考えてみましょう
n 同意で解決するべき領域は厳選すべきでは
Ø ⽴法論的にも、安易に同意を要件とすること
は避けるべきなのでは
Ø 企業としても、選択肢が複数あるのであれば
同意が効果的な場⾯かは検討すべきでは
トレンド1
トレンド2
トレンド3

View Slide

62
同意で解決するなら質を担保しましょう
n 質の低い同意取得はいざというとき意味をなさない
Ø 問題が顕在化しないうちは良い
Ø いざという時には必ず「真に同意があったと
⾔えるのか」と問題になる
n 同意を取るのであれば、その質は担保すべき
Ø GDPR
Ø freely given
Ø Specific
Ø Informed
Ø unambiguous indication of wishes
Ø 参照⽂書
Ø 個別具体的
Ø 明確
トレンド1
トレンド2
トレンド3

View Slide

ご清聴
ありがとうございました！
インハウスハブ東京法律事務所
世古修平（せこしゅうへい）
Website ：https://www.seko-law.info/
Twitter ：@seko_law
Mail ：[email protected]
63

View Slide

2022年版プライバシーポリシー作成の最新トレンド

2022年版プライバシーポリシー作成の最新トレンド

SEKO_Shuhei

More Decks by SEKO_Shuhei

Other Decks in Business

Featured

Transcript