$30 off During Our Annual Pro Sale. View Details »

規約プラポリ作成の最新トレンドアップデート

SEKO_Shuhei
November 09, 2023
1.5k

 規約プラポリ作成の最新トレンドアップデート

11/10(金)の12:00-13:00において、弁護士ドットコム株式会社様で実施した、
「規約プラポリ作成の最新トレンドアップデート」の登壇資料です。

11/20(月), 22(水)の12:00-13:00で再放送も致します。
https://cs.cloudsign.jp/seminar_terms-conditions_20231110

SEKO_Shuhei

November 09, 2023
Tweet

Transcript

  1. #規約プラポリ作成の最新トレンドアップデート
    規約プラポリ作成の最新トレンド
    アップデート
    2023.11.10 於 弁護士ドットコム

    View Slide

  2. #規約プラポリ作成の最新トレンドアップデート
    国内外の、個人情報保護法と電気通信事業法だけをやっている弁護士です
    世古 修平(せこ しゅうへい)
    n 法律事務所LEACT
    n LINEヤフー株式会社
    n IPA(試験委員)
    n 経済産業省(電子商取引及び情報財取
    引等に関する準則 研究会委員)
    2

    View Slide

  3. #規約プラポリ作成の最新トレンドアップデート
    今日は、去年やったセミナーのアップデートをやります
    3

    View Slide

  4. #規約プラポリ作成の最新トレンドアップデート
    感想はぜひ、随時X(旧Twitter)で教えてください
    4
    #規約プラポリ作成の最新トレンドアップデート

    View Slide

  5. #規約プラポリ作成の最新トレンドアップデート
    こちら、私の執務環境なのですが…
    5

    View Slide

  6. #規約プラポリ作成の最新トレンドアップデート
    マルチモニターで確認しながら進めるつもりではおります
    6
    セミナー用 X(旧Twitter)用

    View Slide

  7. #規約プラポリ作成の最新トレンドアップデート
    2023年の最新トレンド…
    7
    出所:https://prtimes.jp/main/html/rd/p/000000081.000020799.html

    View Slide

  8. #規約プラポリ作成の最新トレンドアップデート
    【トレンド1】外部送信規律(cookie法)
    8
    出所:https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

    View Slide

  9. #規約プラポリ作成の最新トレンドアップデート
    【トレンド2】生成AI(Generative AI)
    9
    出所:https://openai.com/blog/chatgpt

    View Slide

  10. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  11. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  12. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  13. #規約プラポリ作成の最新トレンドアップデート
    日本には、プライバシーポリシーの作成を義務付ける法律はありません
    13

    View Slide

  14. #規約プラポリ作成の最新トレンドアップデート
    それでもなぜ、事業者がプライバシーポリシーを作成するかというと…
    14
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
    (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
    の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
    除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
    条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
    条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
    て政令で定めるもの
    知り得る状態に置かなければならない

    View Slide

  15. #規約プラポリ作成の最新トレンドアップデート
    具体的に、「知り得る状態」に置くべき事項を見てみましょうか
    15
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
    (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
    の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
    除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
    条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
    条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
    て政令で定めるもの
    法律の定め

    View Slide

  16. #規約プラポリ作成の最新トレンドアップデート
    そして「政令で定めるもの」は、具体的にいうと…
    16
    政令第10条
    法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
    1. 法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る
    状態(本人の求めに応じて遅滞なく回答する場合を含む。)に置くことにより当該保有個人デ
    ータの安全管理に支障を及ぼすおそれがあるものを除く。)
    2. 当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
    3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、
    当該認定個人情報保護団体の名称及び苦情の解決の申出先
    政令の定め

    View Slide

  17. #規約プラポリ作成の最新トレンドアップデート
    うーんと、なるほど…?
    17

    View Slide

  18. #規約プラポリ作成の最新トレンドアップデート
    プライバシーポリシーとは「何か」を定めていないので、理解が定着しない
    18
    えーっと、なんか…
    利用目的とか安全管理措置
    を定めた文書ですよね。

    View Slide

  19. #規約プラポリ作成の最新トレンドアップデート
    【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう
    19

    View Slide

  20. #規約プラポリ作成の最新トレンドアップデート
    そこで、Privacy policyの作成が義務付けられている国の法律を見てみます
    20

    View Slide

  21. #規約プラポリ作成の最新トレンドアップデート
    アメリカ(カリフォルニア州)での位置付けを見てみましょう
    21
    CCPA / CPRA
    § 7011. Privacy Policy.
    (e) The privacy policy shall include the following information:
    1.the business’s online and offline practices regarding the collection, use, sale, sharing, and
    retention of personal information
    2.An explanation of the rights that the CCPA confers on consumers regarding their personal
    information
    3.An explanation of how consumers can exercise their CCPA rights and consumers can
    expect from that process
    4.Date the privacy policy was last updated.

    View Slide

  22. #規約プラポリ作成の最新トレンドアップデート
    § 7011. Privacy Policy.
    (e) The privacy policy shall include the following information:
    1.the business’s online and offline practices regarding the collection, use, sale, sharing, and
    retention of personal information
    2.An explanation of the rights that the CCPA confers on consumers regarding their personal
    information
    3.An explanation of how consumers can exercise their CCPA rights and consumers can
    expect from that process
    4.Date the privacy policy was last updated.
    単純化すると、「データの取扱い」と「権利」の記載を求めています
    22
    CCPA / CPRA
    プライバシーポリシーには、以下の情報を含めるものとする:
    ・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行
    ・CCPAが消費者に与える個人情報に関する権利の説明
    ・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明
    ・プライバシー・ポリシーの最終更新日

    View Slide

  23. #規約プラポリ作成の最新トレンドアップデート
    なるほど、そうだとすると翻って…
    23

    View Slide

  24. #規約プラポリ作成の最新トレンドアップデート
    日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
    24
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答
    する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
    第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
    の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
    政令第10条
    法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
    •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
    る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
    •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
    •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
    苦情の解決の申出先

    View Slide

  25. #規約プラポリ作成の最新トレンドアップデート
    25
    ①「データの取扱い」についての記載
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答
    する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
    第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
    の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
    政令第10条
    法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
    •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
    る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
    •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
    •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
    苦情の解決の申出先
    日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです

    View Slide

  26. #規約プラポリ作成の最新トレンドアップデート
    日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
    26
    ②「権利」についての記載
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答
    する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
    第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
    の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
    政令第10条
    法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
    •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
    る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
    •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
    •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
    苦情の解決の申出先

    View Slide

  27. #規約プラポリ作成の最新トレンドアップデート
    日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
    27
    ③その他の事務的な記載
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答
    する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、
    第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料
    の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの
    政令第10条
    法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。
    •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す
    る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。)
    •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先
    •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び
    苦情の解決の申出先

    View Slide

  28. #規約プラポリ作成の最新トレンドアップデート
    【まとめ】結局、プライバシーポリシーには何を書けばいいのか
    28
    プライバシーポリシーの要素
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと

    View Slide

  29. #規約プラポリ作成の最新トレンドアップデート
    まずは、事業者における取得〜消去までのデータの取扱いを書きます
    29
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと
    n 個人情報保護法
    Ø 保有個人データの適正な取扱いの確保に関
    し必要な事項
    n CCPA / CPRA
    Ø 個人情報の取得、利用、販売、共有、およ
    び保持に関する事業者のオンラインおよび
    オフラインでの慣行
    取得
    利用
    安全
    管理
    提供
    消去

    View Slide

  30. #規約プラポリ作成の最新トレンドアップデート
    つづいて、本人に法律上認められた権利とその行使方法を書きます
    30
    1.事業者のデータの取扱い
    3.その他事務的なこと
    2.本人の権利
    What How
    n 個人情報保護法
    Ø 請求に応じる手続
    n CCPA / CPRA
    Ø CCPAが消費者に与える個人情報に関する
    権利の説明
    Ø 消費者がCCPAの権利を行使する方法と、
    そのプロセスから消費者が期待できること
    の説明

    View Slide

  31. #規約プラポリ作成の最新トレンドアップデート
    最後に、その他の事務的な(けれども大事な)ことを書きます
    31
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと
    n 個人情報保護法
    Ø 当該個人情報取扱事業者の氏名又は名称及
    び住所並びに法人にあっては、その代表者
    の氏名
    n CCPA / CPRA
    Ø プライバシー・ポリシーの最終更新日

    View Slide

  32. #規約プラポリ作成の最新トレンドアップデート
    プライバシーポリシーには何を書けばいいか、ざっくり理解できましたか?
    32
    プライバシーポリシーの要素
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと

    View Slide

  33. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  34. #規約プラポリ作成の最新トレンドアップデート
    【初級】とりあえず作るってケース、結構多いですよね
    34
    同業他社のコピペ 「特商法と合わせて5万円でお願いします」

    View Slide

  35. #規約プラポリ作成の最新トレンドアップデート
    【中級】サンプルを見ながら作るなら、ちゃんとこの辺の本を読むべき
    35
    出所:https://gihyo.jp/book/2019/978-4-297-10326-2, https://www.biz-book.jp/isbn/978-4-502-41961-4
    主に国内向け 主に国外向け

    View Slide

  36. #規約プラポリ作成の最新トレンドアップデート
    【上級】ボトムアップで作るなら、データフローの把握から始めましょう
    36
    【概要】Data Flow Diagram 【詳細】Data Flow
    取得 保存 利⽤ 提供
    Wサービス
    スマートフォンアプリ
    Amazon RDS
    XXX region
    Win / Macアプリ
    WWW端末
    ウェブサイト
    ユーザー登録 Amazon RDS
    XXX region
    YYYエンジン
    Google Cloud
    BigQuery
    ZZZ
    ZZZ株式会社
    ZZZ株式会社
    YYY CMS
    ZZZ
    出所:https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f

    View Slide

  37. #規約プラポリ作成の最新トレンドアップデート
    なぜなら、プライバシーポリシーには「データの取扱い」を書くからです
    37
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと
    取得
    利用
    安全
    管理
    提供
    消去

    View Slide

  38. #規約プラポリ作成の最新トレンドアップデート
    あれやこれがダメなのは、答えを知らないのに答えを書いているからです
    38
    同業他社のコピペ 「特商法と合わせて5万円でお願いします」

    View Slide

  39. #規約プラポリ作成の最新トレンドアップデート
    データフローの記載ルールは、別に法定されている訳ではありません
    39
    出所:https://www.ppc.go.jp/files/pdf/pia_overview.pdf

    View Slide

  40. #規約プラポリ作成の最新トレンドアップデート
    が、個人情報保護委員会のツールは詳細過ぎて難易度がやや高いと思います
    40
    出所: https://www.ppc.go.jp/personalinfo/independent_effort/

    View Slide

  41. #規約プラポリ作成の最新トレンドアップデート
    アジャイル的な開発・発想が広まった現代、情報はすぐに鮮度が落ちます
    41
    詳細だが使われず更新されないデータフロー 簡略だが使われ更新されるデータフロー
    N月31日までに、今年度の
    XX管理台帳の更新を
    お願いします

    View Slide

  42. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  43. #規約プラポリ作成の最新トレンドアップデート
    【再掲】とはいえ、仕方なく「とりあえず作る」ケースも多いと想像します
    43
    同業他社のコピペ 「特商法と合わせて5万円でお願いします」

    View Slide

  44. #規約プラポリ作成の最新トレンドアップデート
    そこで、「とりあえず」作ったプラポリをチェックするTipsを紹介します
    44
    ①不足しがちな内容 ②書き過ぎな内容

    View Slide

  45. #規約プラポリ作成の最新トレンドアップデート
    Tipsを説明する上では、以下のようなプライバシーポリシーを想定します
    45
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    (2)データの利用目的
    (3)データの安全管理
    (4)データの提供
    (5)データの消去
    2.お客様の権利
    (1)権利の内容
    (2)権利の行使方法
    3.その他
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと

    View Slide

  46. #規約プラポリ作成の最新トレンドアップデート
    まずは、不足しがちな内容から見ていきましょう
    46
    ①不足しがちな内容
    n 取得
    p 直接取得以外についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  47. #規約プラポリ作成の最新トレンドアップデート
    個人情報って、本人から直接取得する以外のケースもありますよね?
    47
    ①不足しがちな内容
    n 取得
    p 直接取得以外についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  48. #規約プラポリ作成の最新トレンドアップデート
    最も典型的な、ユーザーがウェブサイト等から情報を入力するケースです
    48
    ケース1:本人から直接取得
    不足しがち
    書き過ぎ
    取得

    View Slide

  49. #規約プラポリ作成の最新トレンドアップデート
    ユーザーに対して、自社で情報を付与するケースってありますよね?
    49
    ケース1:本人から直接取得
    不足しがち
    書き過ぎ
    ケース2:自社による付与
    取得 取得 分析

    View Slide

  50. #規約プラポリ作成の最新トレンドアップデート
    本人でも自社でもなく、第三者から取得してくるケースもあるはずです
    50
    ケース1:本人から直接取得
    不足しがち
    書き過ぎ
    ケース2:自社による付与
    取得 取得 分析
    第三者提供
    ケース3:第三者からの取得

    View Slide

  51. #規約プラポリ作成の最新トレンドアップデート
    ケース2,3が個人情報に該当することを忘れがちなので注意してください
    51
    ケース1:本人から直接取得
    不足しがち
    書き過ぎ
    取得
    第三者提供
    ケース3:第三者からの取得
    ケース2:自社による付与
    取得 分析

    View Slide

  52. #規約プラポリ作成の最新トレンドアップデート
    プラポリの「取得」の部分も、3パターンに分けて書くといいと思います
    52
    不足しがち
    書き過ぎ
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    ア お客様からの取得
    イ 自社による付与
    (ア) 自動的に付与
    (イ) 分析結果の付与
    ウ 第三者からの取得
    (ア) 公開情報からの取得
    (イ) 他社からの取得

    View Slide

  53. #規約プラポリ作成の最新トレンドアップデート
    「自社による付与」は、2パターンくらいに分類して理解するといいです
    53
    不足しがち
    書き過ぎ
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    ア お客様からの取得
    イ 自社による付与
    (ア) 自動的に付与
    (イ) 分析結果の付与
    ウ 第三者からの取得
    (ア) 公開情報からの取得
    (イ) 他社からの取得
    n IPアドレス
    n 行動履歴、アクセスログ
    自動的に
    付与
    n IPアドレス
    →IPアドレスに基づく位置情報推定
    n 行動履歴、アクセスログ
    →属性情報の推定(興味関心 etc)
    分析結果
    の付与

    View Slide

  54. #規約プラポリ作成の最新トレンドアップデート
    「第三者からの取得」は、公開情報からの取得が最近顕著に増えてますよね
    54
    不足しがち
    書き過ぎ
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    ア お客様からの取得
    イ 自社による付与
    (ア) 自動的に付与
    (イ) 分析結果の付与
    ウ 第三者からの取得
    (ア) 公開情報からの取得
    (イ) 他社からの取得
    n ウェブクローリング
    公開情報
    からの取得
    n 個人データの第三者提供
    n 個人関連情報の第三者提供
    他社
    からの取得

    View Slide

  55. #規約プラポリ作成の最新トレンドアップデート
    不足しがちな内容の2つ目は、個人関連情報です
    55
    ①不足しがちな内容
    n 取得
    p 間接取得についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  56. #規約プラポリ作成の最新トレンドアップデート
    令和2年改正で新たに追加された個人関連情報、わかりにくいですよね
    56
    不足しがち
    書き過ぎ
    (個人関連情報の第三者提供の制限等)
    第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するも
    のに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七
    条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

    View Slide

  57. #規約プラポリ作成の最新トレンドアップデート
    他社が、非個人情報である個人関連情報を持っている状況を想定します
    57
    不足しがち
    書き過ぎ
    (個人関連情報の第三者提供の制限等)
    第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するも
    のに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七
    条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
    他社
    個人関連情報
    【凡例】 :端末識別子、ブラウザ識別子など
    :ユーザー識別子など

    View Slide

  58. #規約プラポリ作成の最新トレンドアップデート
    自社は、各「ユーザー」と「端末/ブラウザ」の対応関係を把握しています
    58
    不足しがち
    書き過ぎ
    (個人関連情報の第三者提供の制限等)
    第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するも
    のに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七
    条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
    自社
    個人情報
    【凡例】 :端末識別子、ブラウザ識別子など
    :ユーザー識別子など

    View Slide

  59. #規約プラポリ作成の最新トレンドアップデート
    他社は、自社に対して非個人情報である個人関連情報を提供します
    59
    不足しがち
    書き過ぎ
    (個人関連情報の第三者提供の制限等)
    第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するも
    のに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七
    条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
    提供
    他社 自社
    個人関連情報 個人情報
    【凡例】 :端末識別子、ブラウザ識別子など
    :ユーザー識別子など

    View Slide

  60. #規約プラポリ作成の最新トレンドアップデート
    すると自社は、テーブルを繋げてよりリッチな情報を得ることができます
    60
    不足しがち
    書き過ぎ
    (個人関連情報の第三者提供の制限等)
    第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するも
    のに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七
    条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
    個人情報 個人情報
    自社
    ここで繋げる(JOINする)
    ことができる
    個人関連情報
    【凡例】 :端末識別子、ブラウザ識別子など
    :ユーザー識別子など

    View Slide

  61. #規約プラポリ作成の最新トレンドアップデート
    協業を前提とした規定なので、作成時点では必要性を認識しにくいです
    61
    プラポリ作成時点
    不足しがち
    書き過ぎ
    (説明よくわからんし)
    いや、そういう
    予定はないですね
    個人関連情報の
    取得予定って
    あります?
    法務 事業

    View Slide

  62. #規約プラポリ作成の最新トレンドアップデート
    そうすると、他社との協業検討時点でこういうことが起こります
    62
    プラポリ作成時点
    不足しがち
    書き過ぎ
    他社との協業検討時点
    (説明よくわからんし)
    いや、そういう
    予定はないですね
    個人関連情報の
    取得予定って
    あります?
    法務 事業
    すいません、
    A社から個人関連情報
    を取得したいのですが
    事業
    ...!!!
    いや、取得の同意
    取ってないです
    法務

    View Slide

  63. #規約プラポリ作成の最新トレンドアップデート
    書くのであれば、「他社からの取得」に記載するのがわかりやすいです
    63
    個人関連情報の取得
    不足しがち
    書き過ぎ
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    ア お客様からの取得
    イ 自社による付与
    ウ 第三者からの取得
    (ア) 公開情報からの取得
    (イ) 他社からの取得
    ・個人データの取得
    ・個人関連情報の取得

    View Slide

  64. #規約プラポリ作成の最新トレンドアップデート
    データの「取得」からデータの「提供」の話に移ります
    64
    ①不足しがちな内容
    n 取得
    p 間接取得についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  65. #規約プラポリ作成の最新トレンドアップデート
    前提として、「提供」の定義をおさらいしましょう
    65
    不足しがち
    書き過ぎ
    「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下
    この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個
    人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個
    人データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
    出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-17

    View Slide

  66. #規約プラポリ作成の最新トレンドアップデート
    イメージしやすいのは、USBメモリに入れて渡すような物理的な提供です
    66
    不足しがち
    書き過ぎ
    「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下
    この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人
    データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人
    データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
    物理的な提供
    USBメモリの提供
    他社
    自社

    View Slide

  67. #規約プラポリ作成の最新トレンドアップデート
    アクセス権限を設定するだけでも、「提供」に該当するので注意です
    67
    不足しがち
    書き過ぎ
    「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下
    この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人
    データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人
    データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
    物理的な提供 論理的な提供
    USBメモリの提供
    ネットワークでの
    アクセス権限の付与
    他社
    自社 他社 自社

    View Slide

  68. #規約プラポリ作成の最新トレンドアップデート
    もう少し、この「論理的な提供」を深掘りしていきましょう
    68
    これが提供にあたり得る
    ことに疑いはない
    不足しがち
    書き過ぎ
    取得
    他社
    自社
    開示
    本人
    典型的な提供

    View Slide

  69. #規約プラポリ作成の最新トレンドアップデート
    登録情報の公開設定って、法的にどう整理されるか考えたことありますか
    69
    これが提供にあたり得る
    ことに疑いはない
    こちらはあんまり意識しないまま
    適法だと考えているところも多い
    不足しがち
    書き過ぎ
    取得
    他社
    自社
    開示
    本人
    他社など
    自社
    本人
    取得 公開
    登録情報の公開設定
    典型的な提供

    View Slide

  70. #規約プラポリ作成の最新トレンドアップデート
    あれ、利用する権限が与えられていれば「提供」に…
    70
    不足しがち
    書き過ぎ
    改めて定義
    登録情報の公開設定
    他社など
    自社
    本人
    取得 公開
    「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下
    この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人
    データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人
    データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。

    View Slide

  71. #規約プラポリ作成の最新トレンドアップデート
    理論的根拠や、法的な位置付けが不明確な「解されない」という説明
    71
    ガイドラインの記載
    出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-1
    不足しがち
    書き過ぎ

    View Slide

  72. #規約プラポリ作成の最新トレンドアップデート
    FAQでは、明示的な同意と合わせて「黙示的」な同意に言及されています
    72
    ガイドラインの記載
    FAQの記載
    出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q13-33
    不足しがち
    書き過ぎ

    View Slide

  73. #規約プラポリ作成の最新トレンドアップデート
    「プライバシーポリシー」と「UI」の二段構えでの対処がおすすめです
    73
    プライバシーポリシー(明示的な同意) UI(黙示的な同意)
    出所:https://line.me/ja/terms/policy/ https://www.facebook.com/
    不足しがち
    書き過ぎ

    View Slide

  74. #規約プラポリ作成の最新トレンドアップデート
    つづいては、一番出現率が高い第三者提供同意にいきます
    74
    ①不足しがちな内容
    n 取得
    p 間接取得についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  75. #規約プラポリ作成の最新トレンドアップデート
    皆さん大好き(私も大好き)「混ぜるな危険」の話をしましょうか
    75
    出所:https://bruceclay.jpn.com/column/customer-match/
    不足しがち
    書き過ぎ
    カスタマーマッチの仕組み

    View Slide

  76. #規約プラポリ作成の最新トレンドアップデート
    ざっくりと、カスタマーマッチの仕組み(の一例)をご説明します
    76
    不足しがち
    書き過ぎ
    自社
    個人情報
    データベース等
    ハッシュ化
    個人データ
    【凡例】 :メールアドレスなど
    :ハッシュ化したメールアドレスなど
    :ターゲットユーザーの情報
    カスタマーマッチの仕組み

    View Slide

  77. #規約プラポリ作成の最新トレンドアップデート
    「提供元基準」の下、個人データの提供が発生します
    77
    不足しがち
    書き過ぎ
    提供
    自社 他社
    (プラットフォーマー)
    個人情報
    データベース等
    ハッシュ化
    個人データ
    【凡例】 :メールアドレスなど
    :ハッシュ化したメールアドレスなど
    :ターゲットユーザーの情報
    カスタマーマッチの仕組み

    View Slide

  78. #規約プラポリ作成の最新トレンドアップデート
    他社は、受け取った個人データを、個人情報データベース等にぶつけます
    78
    不足しがち
    書き過ぎ
    提供
    自社 他社
    (プラットフォーマー)
    個人情報
    データベース等
    個人情報
    データベース等
    ハッシュ化
    個人データ
    【凡例】 :メールアドレスなど
    :ハッシュ化したメールアドレスなど
    :ターゲットユーザーの情報
    カスタマーマッチの仕組み

    View Slide

  79. #規約プラポリ作成の最新トレンドアップデート
    浮かび上がったターゲットユーザーに対して、広告等を配信します
    79
    不足しがち
    書き過ぎ
    提供 広告配信
    自社 他社
    (プラットフォーマー)
    個人情報
    データベース等
    個人情報
    データベース等
    ハッシュ化
    個人データ 個人情報
    データベース等
    他社
    (広告ネットワーク)
    【凡例】 :メールアドレスなど
    :ハッシュ化したメールアドレスなど
    :ターゲットユーザーの情報
    カスタマーマッチの仕組み

    View Slide

  80. #規約プラポリ作成の最新トレンドアップデート
    ここでいう提供が、委託ですか?第三者提供ですか?という議論でした
    80
    不足しがち
    書き過ぎ
    他社
    (プラットフォーマー)
    【凡例】 :メールアドレスなど
    :ハッシュ化したメールアドレスなど
    :ターゲットユーザーの情報
    「混ぜるな危険」って何だっけ
    提供
    自社
    個人情報
    データベース等
    ハッシュ化
    個人データ

    View Slide

  81. #規約プラポリ作成の最新トレンドアップデート
    議論の余地はもはやなく、死んだ論点ですしきちんと対応しましょう
    81
    不足しがち
    書き過ぎ
    「第三者提供」の同意が必要です
    出所:https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41

    View Slide

  82. #規約プラポリ作成の最新トレンドアップデート
    「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ
    82
    ほとばしるジャイアニズム
    不足しがち
    書き過ぎ
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    (2)データの利用目的
    (3)データの安全管理
    (4)データの提供
    当社は、上記「(2)データの利用目的」の
    達成に必要な範囲で、「(1)取得するデー
    タ」記載のデータを第三者に提供すること
    があります。

    View Slide

  83. #規約プラポリ作成の最新トレンドアップデート
    「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ
    83
    ほとばしるジャイアニズム
    不足しがち
    書き過ぎ
    「本人の同意」とは、本人の個人情報が、個人
    情報取扱事業者によって示された取扱方法で
    取り扱われることを承諾する旨の当該本人の
    意思表示をいう(当該本人であることを確認で
    きていることが前提となる。)。
    また、「本人の同意を得(る)」とは、本人の承
    諾する旨の意思表示を当該個人情報取扱事
    業者が認識することをいい、事業の性質及び
    個人情報の取扱状況に応じ、本人が同意に
    係る判断を行うために必要と考えられる合理
    的かつ適切な方法によらなければならない。
    出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-16
    ガイドライン上の定義
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    (2)データの利用目的
    (3)データの安全管理
    (4)データの提供
    当社は、上記「(2)データの利用目的」の
    達成に必要な範囲で、「(1)取得するデー
    タ」記載のデータを第三者に提供すること
    があります。

    View Slide

  84. #規約プラポリ作成の最新トレンドアップデート
    最後に、従業員向けプライバシーポリシーの話をします
    84
    ①不足しがちな内容
    n 取得
    p 間接取得についての記載
    p 個人関連情報の取得同意
    n 提供
    p 登録情報の公開設定
    p 広告事業者への第三者提供同意
    n そもそも
    p 従業員向けプライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  85. #規約プラポリ作成の最新トレンドアップデート
    n 公開状況
    Ø 顧客向けのため対外的に公開
    n サンプル数
    Ø 同業他社のサンプルが大量に存在
    ここまでの説明は、主として顧客向けプライバシーポリシーの話でした
    85
    顧客向け
    プライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  86. #規約プラポリ作成の最新トレンドアップデート
    n 公開状況
    Ø 顧客向けのため対外的に公開
    n サンプル数
    Ø 同業他社のサンプルが大量に存在
    従業員向けのプライバシーポリシー忘れがち問題、ありますよね
    86
    顧客向け
    プライバシーポリシー
    n 公開状況
    Ø 社内向けのため対外的に非公開
    n サンプル数
    Ø 同業他社のサンプルが見えにくい
    ※従業員情報を各種SaaSに取込む、従
    業員のエンゲージメントを分析をする等の
    取組みが想定され、対応の必要性は全く
    低くない
    従業員向け
    プライバシーポリシー
    不足しがち
    書き過ぎ

    View Slide

  87. #規約プラポリ作成の最新トレンドアップデート
    それなりに成熟した企業でも、こういう発言はよく見ますが…
    87
    まぁ、うちの従業員は
    そういう面倒なことは言わないんで大丈夫かと。
    不足しがち
    書き過ぎ

    View Slide

  88. #規約プラポリ作成の最新トレンドアップデート
    こういう発言と、意味しているところには大差がないです
    88
    まぁ、子供なんてね。
    大人が何言ってるかなんか分かってないんで、
    言いくるめて同意とっておけばいいんですよ
    不足しがち
    書き過ぎ

    View Slide

  89. #規約プラポリ作成の最新トレンドアップデート
    GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています
    89
    出所:https://www.ppc.go.jp/files/pdf/doui_guideline.pdf https://edpb.europa.eu/news/news/2023/edpb-informs-stakeholders-about-implications-dpf-and-adopts-statement-first-review_en
    不足しがち
    書き過ぎ

    View Slide

  90. #規約プラポリ作成の最新トレンドアップデート
    GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています
    90
    同時に、EDPBは、特に、日本の法律における「仮
    名化」された個人情報の新しいカテゴリーや、力の
    不均衡な状況における同意の使用に関して、欧州
    委員会によるより緊密な監視が必要な分野もある
    と考えている。したがって、EDPBは、これらの問題
    を注意深く監視するという欧州委員会のコミットメン
    トを歓迎する。
    不足しがち
    書き過ぎ

    View Slide

  91. #規約プラポリ作成の最新トレンドアップデート
    続いて、書き過ぎな内容について考えます
    91
    ②書き過ぎな内容
    n 「本人の知り得る状態」(個情法32条)
    n その規約、読みますか?
    n 説明し過ぎることで生じる不信感
    不足しがち
    書き過ぎ

    View Slide

  92. #規約プラポリ作成の最新トレンドアップデート
    どれくらい詳細に書くのがいいかもまた悩ましい問題ですよね
    92
    不足しがち
    書き過ぎ

    View Slide

  93. #規約プラポリ作成の最新トレンドアップデート
    個人情報保護法上の要求は、実はかなり低く設定されています
    93
    不足しがち
    書き過ぎ
    法第32条(第1項)
    個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態
    (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。
    1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
    の氏名
    2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を
    除く。)
    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34
    条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38
    条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。)
    4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし
    て政令で定めるもの
    「遅滞なく回答」でもOK

    View Slide

  94. #規約プラポリ作成の最新トレンドアップデート
    その規約、読みますか?
    94
    n 開示義務は良いという根拠がほとんどなくても、明示的
    な害がほとんどないので魅力的である
    n 通常、立法者が開示を義務づける内容は、素人に太刀
    打ちできるものではない
    不足しがち
    書き過ぎ
    出所:https://www.keisoshobo.co.jp/book/b605810.html

    View Slide

  95. #規約プラポリ作成の最新トレンドアップデート
    非専門家に対して、詳しく説明し過ぎると逆に不信感を招く?
    95
    不足しがち
    書き過ぎ
    出所: https://engineering.linecorp.com/ja/blog/ACM-CCS-2022-report

    View Slide

  96. #規約プラポリ作成の最新トレンドアップデート
    必要十分な、ミニマムなプライバシーポリシーって何だろうか
    96
    不足しがち
    書き過ぎ

    View Slide

  97. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  98. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  99. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  100. #規約プラポリ作成の最新トレンドアップデート
    【トレンド1】外部送信規律(cookie法)
    100
    出所:https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

    View Slide

  101. #規約プラポリ作成の最新トレンドアップデート
    もう見るのも嫌だと思いますが、こんな条文でした
    101
    (情報送信指令通信に係る通知等)
    第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状
    況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務
    を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通
    信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者
    の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に
    送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。
    以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該
    情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情
    報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者
    に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次
    に掲げるものである場合は、この限りでない。

    View Slide

  102. #規約プラポリ作成の最新トレンドアップデート
    ①まず、ユーザーがサービス提供環境(1st環境)にアクセスをします
    102
    【1st 環境】
    ①アクセス
    ユーザー

    View Slide

  103. #規約プラポリ作成の最新トレンドアップデート
    ②すると、ウェブサイトに仕込まれていたタグが発火*1します
    103
    【1st 環境】
    ②タグ発火 etc
    *1 タグが作動して、その後の一連の処理が開始されること
    ユーザー

    View Slide

  104. #規約プラポリ作成の最新トレンドアップデート
    ③1st環境からユーザーに、「情報送信指令通信」が送られます
    104
    【1st 環境】
    ③情報送信指令通信
    ユーザー

    View Slide

  105. #規約プラポリ作成の最新トレンドアップデート
    ④その結果、ユーザーの端末に記録された情報が外部に送信されます
    105
    【1st 環境】
    【1st or 3rd環境】
    ④端末に記録された当該利用者に関する情報を送信
    ユーザー

    View Slide

  106. #規約プラポリ作成の最新トレンドアップデート
    詳細説明資料をSpeaker Deckで公開しているのでよろしければご覧ください
    106
    出所:https://speakerdeck.com/seko_shuhei/enzinianojie-yang-xiang-ke-gai-zheng-dian-qi-tong-xin-shi-ye-fa-wai-bu-song-xin-gui-lu-nogoshuo-ming

    View Slide

  107. #規約プラポリ作成の最新トレンドアップデート
    これらは、プライバシーポリシーで言えば「取得」の場面の話です
    107
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    ア 当社による取得
    イ 他社による取得
    当社のウェブサイトやアプリケーションに設置した
    タグやモジュールにより、他社が、お客様のデータを
    取得することがあります。
    具体的には…

    View Slide

  108. #規約プラポリ作成の最新トレンドアップデート
    5ヶ月弱経ちましたが、その後メンテナンスはできていますか?
    108

    View Slide

  109. #規約プラポリ作成の最新トレンドアップデート
    この制度への対応は、やはりメンテナンス体制の構築が肝だと思います
    109
    外部送信規律あるある
    n 6月以降、知らない間にタグやモジュールが追加されていた
    n 6月以降、知らない間にウェブサイトやアプリがクローズしていた
    n 6月以降、知らない間に開発側 / マーケ側の担当者が引継ぎをしないまま退職してしまった

    View Slide

  110. #規約プラポリ作成の最新トレンドアップデート
    総務省による監査?が、あるとかないとかという噂を聞いています
    110

    View Slide

  111. #規約プラポリ作成の最新トレンドアップデート
    本日のお品書き
    n 1.プライバシーポリシーの基本
    Ø プライバシーポリシーとは
    Ø プライバシーポリシーの作り方
    Ø プライバシーポリシーのTips
    n 2.最新トレンドアップデート
    Ø 外部送信規律
    Ø 生成AI

    View Slide

  112. #規約プラポリ作成の最新トレンドアップデート
    【トレンド2】生成AI(Generative AI)
    112

    View Slide

  113. #規約プラポリ作成の最新トレンドアップデート
    翻ってこちらは、プライバシーポリシーで言えば「提供」の場面の話です
    113
    1.事業者のデータの取扱い
    2.本人の権利
    3.その他事務的なこと
    【XXX社 プライバシーポリシー】
    1.当社におけるデータの取扱い
    (1)取得するデータ
    (2)データの利用目的
    (3)データの安全管理
    (4)データの提供
    ア 同意に基づく提供

    イ 法律に基づく提供
    (ア) 委託
    (イ) 共同利用

    View Slide

  114. #規約プラポリ作成の最新トレンドアップデート
    今年は、生成AIについての社内ルールの整備に追われた方も多いのでは
    114
    出所:https://www.jdla.org/document/

    View Slide

  115. #規約プラポリ作成の最新トレンドアップデート
    十分伝わっていないことを理解しながら、言い続けなければいけない辛さ
    115
    「個人情報」(2条1項)は
    入力しないでください
    あー、はいはい
    個人情報(氏名、住所)は
    入れないです

    View Slide

  116. #規約プラポリ作成の最新トレンドアップデート
    でもちょっと待ってください
    116
    「個人情報」(2条1項)は
    入力しないでください
    その言葉の意味、理解してますよね?

    View Slide

  117. #規約プラポリ作成の最新トレンドアップデート
    本当に「個人情報」の入力を禁止しては、活用余地など殆ど無いのでは?
    117
    情報資産
    個人情報 非個人情報
    ここ

    View Slide

  118. #規約プラポリ作成の最新トレンドアップデート
    皆さんご存知の通り、「個人情報」の定義ってめちゃめちゃ広いですよね?
    118
    情報資産
    個人情報 非個人情報
    単独で特定個人
    識別性のあるデータ
    ・ユーザーID
    ・氏名
    ・住所
    容易照合性の下で
    特定個人識別性のあるデータ
    ・ユーザーID
    ・利用履歴
    容易照合性の下で
    特定個人識別性のあるデータ
    ・ユーザーID
    ・属性情報

    View Slide

  119. #規約プラポリ作成の最新トレンドアップデート
    サーバのメモリ使用率(=法的に正しい非個人情報)でも分析しますか?
    119
    情報資産
    個人情報 非個人情報
    …ここ?

    View Slide

  120. #規約プラポリ作成の最新トレンドアップデート
    有益な情報は、ほとんどこっち側の島にあるんじゃないですかね
    120
    情報資産
    個人情報 非個人情報
    有益な情報 …ここ?

    View Slide

  121. #規約プラポリ作成の最新トレンドアップデート
    それって法的に正しく、会社・事業として間違ったアドバイスでは?
    121
    「個人情報」(2条1項)は
    入力しないでください…

    View Slide

  122. #規約プラポリ作成の最新トレンドアップデート
    章の冒頭で言及した通り、生成AIの利用って「提供」の話じゃないですか
    122
    取得 保存 利用 提供

    View Slide

  123. #規約プラポリ作成の最新トレンドアップデート
    この「提供」の段階で取りうるオプションは、主として3つあります
    123
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務
    監督義務

    View Slide

  124. #規約プラポリ作成の最新トレンドアップデート
    第三者提供は、提供先にデータをあげてしまうことです
    124
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務
    監督義務

    View Slide

  125. #規約プラポリ作成の最新トレンドアップデート
    委託は、自社の責任の下で提供先にデータを預けることです
    125
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務
    監督義務

    View Slide

  126. #規約プラポリ作成の最新トレンドアップデート
    クラウド例外は、委託の特殊パターンだと理解するのが良いと思います
    126
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務
    監督義務

    View Slide

  127. #規約プラポリ作成の最新トレンドアップデート
    クラウド例外について簡単におさらいしましょう
    127
    出所:https://www.ppc.go.jp/all_faq_index/faq1-q7-53/
    1
    2

    View Slide

  128. #規約プラポリ作成の最新トレンドアップデート
    データに対する、提供元/提供先それぞれの影響力の度合いが異なります
    128
    提供元の影響力
    提供先の影響力
    オプション3
    クラウド例外
    オプション2
    委託
    オプション1
    第三者提供
    提供元 提供先

    View Slide

  129. #規約プラポリ作成の最新トレンドアップデート
    クラウド例外は、提供元の影響力が一番強いオプションです
    129
    提供元の影響力
    提供先の影響力
    オプション3
    クラウド例外
    オプション2
    委託
    オプション1
    第三者提供
    提供元 提供先

    View Slide

  130. #規約プラポリ作成の最新トレンドアップデート
    委託は、3つのオプションの中でちょうど中間地点に位置します
    130
    提供元の影響力
    提供先の影響力
    オプション3
    クラウド例外
    オプション2
    委託
    オプション1
    第三者提供
    提供元 提供先

    View Slide

  131. #規約プラポリ作成の最新トレンドアップデート
    第三者提供は、提供先の影響力が一番強いオプションです
    131
    提供元の影響力
    提供先の影響力
    オプション3
    クラウド例外
    オプション2
    委託
    オプション1
    第三者提供
    提供元 提供先

    View Slide

  132. #規約プラポリ作成の最新トレンドアップデート
    「編集・分析等の処理」を行う場合には、該当しないとの判断が出ています
    132
    出所:https://www8.cao.go.jp/kisei-kaikaku/kisei/hotline/siryou2/k_siryou2_r4.pdf

    View Slide

  133. #規約プラポリ作成の最新トレンドアップデート
    ここで言っていることを少し単純化してみましょうか
    133
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  134. #規約プラポリ作成の最新トレンドアップデート
    まずは、クラウドサービスが編集・分析等の処理を行う場合…
    134
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  135. #規約プラポリ作成の最新トレンドアップデート
    それは日本語の解釈として、取扱っていると考えるのが自然ですよね
    135
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  136. #規約プラポリ作成の最新トレンドアップデート
    よって、「第三者提供」か「委託」として整理します
    136
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  137. #規約プラポリ作成の最新トレンドアップデート
    他方、クラウドサービスが編集・分析等の処理を行わない場合…
    137
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  138. #規約プラポリ作成の最新トレンドアップデート
    契約条項やアクセス制御によっては、取扱っていない場合があり得る
    138
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  139. #規約プラポリ作成の最新トレンドアップデート
    よって、3つのうちどのオプションもあり得ます
    139
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  140. #規約プラポリ作成の最新トレンドアップデート
    では、生成AIにあてはめてみましょうか
    140
    「編集・分析等の処理」を行わない生成AI

    View Slide

  141. #規約プラポリ作成の最新トレンドアップデート
    とすると、生成AIは基本的にパターン1と整理する以外ないように思います
    141
    クラウドサービスが
    編集・分析等の処理を行う
    クラウドサービスが
    編集・分析等の処理を行わない
    「取り扱わないこととなっている
    場合」には該当しない
    「取り扱わないこととなっている
    場合」には該当し得る
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2

    View Slide

  142. #規約プラポリ作成の最新トレンドアップデート
    そして、第三者提供においては原則同意が必要なので…
    142
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない
    同意取得
    自社プラポリ 監督義務

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務

    View Slide

  143. #規約プラポリ作成の最新トレンドアップデート
    生成AIの利用は、「委託」として整理するのが穏当でしょう
    143
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ
    自社プラポリ
    監督義務
    監督義務
    監督義務

    View Slide

  144. #規約プラポリ作成の最新トレンドアップデート
    なる…ほど?
    144

    View Slide

  145. #規約プラポリ作成の最新トレンドアップデート
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    3つのオプションはまた、「第三者」「提供」の該当性にも差異があります
    145
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  146. #規約プラポリ作成の最新トレンドアップデート
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    第三者提供は、文字通り「第三者」への「提供」にあたります
    146
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  147. #規約プラポリ作成の最新トレンドアップデート
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    委託は、「提供」にはあたりますが「第三者」にはあたりません
    147
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  148. #規約プラポリ作成の最新トレンドアップデート
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    そして、そのどちらにもあたらないのがクラウド例外です
    148
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  149. #規約プラポリ作成の最新トレンドアップデート
    最近、個情委から「生成AIサービスの利用に関する注意喚起」が出ました
    149
    出所:https://www.ppc.go.jp/files/pdf/generativeAI_notice_leaflet2023.pdf
    生成AIサービスの利用者が入力した情報について、生成
    AIサービスの提供者が自らのAIの精度向上等のために
    学習データとして利用することとしている場合に、利用者
    が個人データもしくは保有個人情報を入力すると、利用者
    から提供者に対し、個人データもしくは保有個人情報を提
    供したことになります。

    View Slide

  150. #規約プラポリ作成の最新トレンドアップデート
    この注意喚起は、当然のことを言っているだけのように見えるんです
    150
    入力した情報について、生成AIが
    学習データとして利用する
    個人データを
    提供したことになる
    クラウド例外は不可
    (第三者提供 or 委託)
    パターン1

    View Slide

  151. #規約プラポリ作成の最新トレンドアップデート
    入力した情報を、サービス提供のためだけでなく学習にも利用するなら…
    151
    入力した情報について、生成AIが
    学習データとして利用する
    個人データを
    提供したことになる
    クラウド例外は不可
    (第三者提供 or 委託)
    パターン1

    View Slide

  152. #規約プラポリ作成の最新トレンドアップデート
    それは、個人データの提供に該当するといっています
    152
    入力した情報について、生成AIが
    学習データとして利用する
    個人データを
    提供したことになる
    クラウド例外は不可
    (第三者提供 or 委託)
    パターン1

    View Slide

  153. #規約プラポリ作成の最新トレンドアップデート
    提供に該当するのであれば、第三者提供か委託と整理する必要があります
    153
    入力した情報について、生成AIが
    学習データとして利用する
    個人データを
    提供したことになる
    クラウド例外は不可
    (第三者提供 or 委託)
    パターン1

    View Slide

  154. #規約プラポリ作成の最新トレンドアップデート
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    【再掲】提供に該当するのは、「第三者提供」と「委託」でした
    154
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  155. #規約プラポリ作成の最新トレンドアップデート
    ところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます
    155
    生成AIサービスの利用者が入力した情報について、生成
    AIサービスの提供者が自らのAIの精度向上等のために学
    習データとして利用することとしている場合に、利用者が個
    人データもしくは保有個人情報を入力すると、利用者から
    提供者に対し、個人データもしくは保有個人情報を提供し
    たことになります。

    【問い合わせ内容】
    学習データとして利用しないならば、提供に該当しない?

    View Slide

  156. #規約プラポリ作成の最新トレンドアップデート
    ところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます
    156
    生成AIサービスの利用者が入力した情報について、生成
    AIサービスの提供者が自らのAIの精度向上等のために学
    習データとして利用することとしている場合に、利用者が個
    人データもしくは保有個人情報を入力すると、利用者から
    提供者に対し、個人データもしくは保有個人情報を提供し
    たことになります。

    【問い合わせ内容】
    学習データとして利用しないならば、提供に該当しない?
    【問い合わせ結果】
    YES(との証言が複数…)

    View Slide

  157. #規約プラポリ作成の最新トレンドアップデート
    入力した情報を、学習データとして利用しないなら…
    157
    入力した情報について、生成AIが
    学習データとして利用する
    入力した情報について、生成AIが
    学習データとして利用しない
    個人データを
    提供したことになる
    個人データを
    提供したことにならない?
    クラウド例外は不可
    (第三者提供 or 委託)
    クラウド例外
    パターン1 パターン2

    View Slide

  158. #規約プラポリ作成の最新トレンドアップデート
    それは、個人データを提供したことにはならないのでしょうか?
    158
    入力した情報について、生成AIが
    学習データとして利用する
    入力した情報について、生成AIが
    学習データとして利用しない
    個人データを
    提供したことになる
    個人データを
    提供したことにならない?
    クラウド例外は不可
    (第三者提供 or 委託)
    クラウド例外
    パターン1 パターン2

    View Slide

  159. #規約プラポリ作成の最新トレンドアップデート
    そうだとすると、クラウド例外が適用できることになりそうです
    159
    入力した情報について、生成AIが
    学習データとして利用しない
    個人データを
    提供したことにならない?
    クラウド例外
    パターン2
    入力した情報について、生成AIが
    学習データとして利用する
    個人データを
    提供したことになる
    クラウド例外は不可
    (第三者提供 or 委託)
    パターン1

    View Slide

  160. #規約プラポリ作成の最新トレンドアップデート
    え…学習に利用しないなら、クラウド例外でいけるってこと?
    160
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    →「第三者」に対してデータを「提供」する

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する
    第三者
    第三者 提供
    提供
    第三者 提供

    View Slide

  161. #規約プラポリ作成の最新トレンドアップデート
    クラウド例外として整理できる方が、利用事業者としては非常に楽です
    161
    1
    n 第三者提供
    提供先にデータをあげてしまう(=管理権限が提供先に移る)
    その後の適用プラポリは、提供先
    同意取得が必要だが、提供元に監督義務は残らない

    n 委託
    提供先にデータを預ける(=管理権限は提供元に残る)
    その後の適用プラポリは、提供元
    同意取得は不要だが、提供元に監督義務が残る
    同意取得
    同意取得
    自社プラポリ
    自社プラポリ 監督義務
    監督義務
    3
    n 「取り扱わないこととなっている場合」(クラウド例外)
    提供先にデータを預ける(=管理権限が提供元に残る)
    その後の適用プラポリは、提供元
    同意取得等は不要だが、提供元に監督義務は残らない
    同意取得
    自社プラポリ 監督義務

    View Slide

  162. #規約プラポリ作成の最新トレンドアップデート
    いやいやいや…言うてたやん
    162

    View Slide

  163. #規約プラポリ作成の最新トレンドアップデート
    え、本当に…?
    163
    「編集・分析等の処理」を行わない生成AI

    View Slide

  164. #規約プラポリ作成の最新トレンドアップデート
    個人的には、こういうことなんじゃないのかなぁと思うんですけどね
    164
    入力した情報について、生成AIが
    学習データとして利用する
    入力した情報について、生成AIが
    学習データとして利用しない
    個人データを
    提供したことになる
    FAQ7-53の要件*1を満たせば
    個人データを提供したことに
    ならない場合がある*2
    クラウド例外は不可
    (第三者提供 or 委託)
    第三者提供 or 委託
    or クラウド例外
    パターン1 パターン2
    *1「契約条項によって取り扱わない旨が定められている」「適切にアクセス制御を行っている」
    *2 例えば、編集・分析等の処理は機械的に行われ、個人データの取得を防止するための措置が講じられている場合とか(cf. FAQ 7-55)

    View Slide

  165. #規約プラポリ作成の最新トレンドアップデート
    (当日音声のみ)
    165
    出所:https://www.ppc.go.jp/

    View Slide

  166. #規約プラポリ作成の最新トレンドアップデート
    ご清聴いただきありがとうございました!
    世古修平(せこしゅうへい)
    Website(事務所) :https://www.leact.law/
    Website(個⼈) :https://www.seko-law.info/
    X(旧Twitter) :@seko_law
    Mail :[email protected]
    166
    「具体的にどうすれば」とのご相談お待ちしております

    View Slide