HP運用やwebサービスに関する個人情報保護法の注意点
オンラインでのビジネスにおいて個人情報保護の視点から重要なのは、“どのようなデータを何のために利用しているのか”という利用目的の整理であると、弁護士法人大江橋法律事務所の中山貴博弁護士は指摘する。
「諸外国、特に欧州において求められている利用目的の特定の粒度を踏まえると、日本法の下での対応も、今よりもさらに粒度の高い特定が求められるようになることが予想されます。例えば、欧州では、個人情報の項目ごとに利用目的を特定する必要があり、最近のトレンドとしては、法的根拠、保存期間、保存場所、受領者といった点を利用目的とリンクさせることが要求されることもあります。このようなトレンドに従う場合、利用目的に沿った保存期間や場所の検討が必要になり、本人に提供すべき情報のさらなる精査が求められます」。
現状、グローバルの視点で見たときに、どの国・地域を対象とするかによって利用目的の記載が異なることが実務上の課題であろう。黒田佑輝弁護士は、同事務所に多く寄せられる相談について以下のように述べる。「国連貿易開発会議の公表によると、個人情報保護法を有する国は130を超えます。これらすべてに対応することは現実的ではありません。私たちは多くの国での豊富な実績がありますので、“ビジネスや予算を理解した上で、対応する国を絞り込んで基準や取るべきリスクを選定し、提案してほしい”という要望が多く寄せられます」。
システムの図面を法的に読み解く
デジタル化された情報をEメールやクラウド等を通じて送付する場面においては、関係当事者を確定し、誰に、どの情報を、どのような根拠に基づいて提供しているのかを整理することが求められる。
「例えば、利用者に関する情報を広告配信等のために外部事業者に提供するのであれば、“同意に基づく第三者提供”または“委託に基づく提供”といった構成等があり得ますし、グループ会社間で取引先担当者に関する情報を共有する場合は“共同利用の活用”といった点も考えられます。どのような根拠に基づいてデータを移転するかによって、提供元・提供先にて対応すべき事項が異なるため、その活用方法を整理した上で対象者に対する説明の粒度を検討することが重要です」(中山弁護士)。
しかし、これらを整理する際、法務担当者はシステムの知識に必ずしも精通しているとはいえないため、困難なことが多い。「これまで多くのデータ活用整理を手がけてきた知見を活かし、事業部、システム部、法務部の間に入り、いわばシステムの図面を法的に読み解くこと、図面がなくとも整理のための調査からのサポートも行っています」(黒田弁護士)。
日本法下でのcookie情報利用の同意取得は“オプション”に過ぎない
改正電気通信事業法に含まれる外部送信規制は、cookie等の利用者に関する情報について、「個人情報となる/ならないにかかわらず“誰に、どのような情報を、何のために送信させているか”といった点を通知・公表等しなければならない」としている。この点に対応するために真っ先に出てくるのが、cookieバナー/ポップアップによる同意取得だ。GDPRが適用された2018年頃から徐々に浸透し、現在では多くのウェブサイトに導入されている。「欧州のGDPRおよびe-Privacy指令の下では、“使用しているcookieに関する情報提供と同意取得が必須”となっていますが、日本法においては、cookie情報を利用することへの同意取得は必須ではなく、一つのオプションに過ぎません」(黒田弁護士)。
つまり、利用者にとって“快適”とは言い難いcookieバナーを掲示し、不同意によるマーケティング効果の減殺という点を受け入れてまでバナーを導入すべきかどうかは、利用者に対して誠実に説明し、信頼感を獲得するという目的の下で検討する必要がある、というのが黒田弁護士の見解だ。「ここは法律事務所によって見解が分かれるところですが、日本法への対応である限りにおいては、高いコストをかけてまでcookieバナーを導入することはお勧めしません。プライバシーポリシーできちんと記載すれば十分だと思いますね。もっとも、cookieを用いて取得した情報が個人情報になり、それを第三者に提供するような場合には、本人の同意が必要になったりします」(黒田弁護士)。
「そもそもcookieバナー自体が正しく機能していないことが多く、2020年にDataSignが実施した調査では“約65%のサイトで機能していない”という結果が出ています。つまり、“やったつもり”になっていて、不要な作業をユーザーに強いている場面がある、というのが現状です。一方で、黒田弁護士の指摘のように、閲覧履歴一つ取っても、HPやwebサービスがアカウント機能を有している場合はアカウント情報とcookie情報が紐付き、“ある特定のユーザーの閲覧履歴”となりうるケースがよくあります。アカウント機能がなくとも、お問い合わせ機能がある場合、同様にcookie情報と紐付き、全体として個人情報になることも。社内で活用しているcookieを把握した上で、ルールを理解・説明することが必要で、その際は、各部門の垣根を越えたチームを構築することが重要です」(中山弁護士)。
読者からの質問(外部送信規制の対応手順)
黒田 佑輝
弁護士
Yuki Kuroda
08年大阪大学大学院高等司法研究科修了。09年弁護士登録(大阪弁護士会)。15年University of California, Berkeley, School of Law修了(LL.M. with Law & Technology Certificate)。16年ニューヨーク州弁護士登録。19年~大阪大学医学部附属病院AI医療センター特任准教授(非常勤)、23年~京都大学医学部附属病院医療情報企画部客員研究員。
中山 貴博
弁護士
Takahiro Nakayama
11年神戸大学法科大学院修了。12年弁護士登録(大阪弁護士会)。19年University of California, Los Angeles School of Law修了(LL.M.)。19年ニューヨーク州司法試験合格、19~20年Taylor Wessing Partnerschaftsgesellschaft mbB(Germany, Düsseldorf office)勤務。22年ニューヨーク州弁護士登録。Certified Information Privacy Professional/Europe(CIPP/E)。