GDPR対応版プライバシーポリシー作成にあたって抑えるべき5つのポイント

GDPR施行を控え、プライバシーポリシーをアップデートする動きもちらほら出てきましたが、EUに拠点のない日本企業からは、対応に重い腰が上がらないという声も。そこで、『Q＆Aで学ぶGDPRのリスクと対応策』を上梓された中崎尚先生に、日本企業の従来型プライバシーポリシーをGDPR対応版に改定する際のポイントを伺います。

EUに拠点がない日本企業のGDPR対応に目立つ遅れ

EUから個人データを越境移転することを原則として禁止するGDPR（欧州一般データ保護規則）。施行スケジュールは2年前から周知されていたわけですが、EUに拠点のない多くの日本企業にとって、自社が対応に迫られているという実感は、なかなか湧かなかったのではないでしょうか。

そんな中、この5月に入ってから、個人向けウェブサービス企業を中心に、プライバシーポリシーをGDPR対応として改定する動きが一段と目立つようにもなっています。こうした動きを見て、「当社もプライバシーポリシーを変更しなければいけないのでは？」といった不安に駆られている担当者も多いはずです。

「これまで対応整備をしてこなかった企業さまから、『当社サービスも域外適用の対象になるのか？』といった、そもそものところからのご相談が増えているのは事実ですね。」

苦笑いを交えながらそう語るのは、4月に『Q＆Aで学ぶGDPRのリスクと対応策』を上梓されたばかりの、アンダーソン・毛利・友常法律事務所 弁護士 中崎尚先生。

GDPRの本質は、適切な情報マネジメントシステムを構築するところにあるはずが、「取り急ぎ外から見えるプライバシーポリシーだけでも整えたい」というご相談も増えていると言います。そこで今回、中崎先生に取材のお時間をいただき、域外適用を受ける日本企業を想定して、従来型のプライバシーポリシーをどのように改定すればよいのか、ポイントをお伺いしました。

従来型プライバシーポリシーをGDPR対応版に改定する際のポイント

GDPR施行に伴い、プライバシーポリシーやノーティスにより事業者がデータ主体に明示すべき項目は、

• 本人から個人データを取得する場合（直接取得）：GDPR 第13条
• 本人以外から個人データを取得する場合（間接取得）：GDPR 第14条

にそれぞれ列挙されています。これらを一覧すると、概略下表のとおりとなります（『Q＆Aで学ぶGDPRのリスクと対応策』P114参照）。

この中でも、特に日本企業の従来型プライバシーポリシーのままでは不足する部分に焦点を絞り、どこを見直していけば良いのかについて、中崎先生にお話を伺いながら5つのポイントを挙げてみます。

（1）適法根拠の明示

日本の個人情報保護法対応を念頭に置いて作成されたプライバシーポリシーにはなかった要素として、GDPRの第13・14条に基づき明示が義務付けられた、「データ処理の適法性に関する根拠」の明示があります。

少なくとも、「（ユーザーが当社に対し）データ処理に同意を与えた」ことが適法性の根拠である旨を含めるように記載した上で、ポリシー改定に対する同意を取り直しておくことが最低限のラインになりそうです。

もっとも、日本の個人情報保護法がある意味「同意万能主義」で何でもかんでも同意に依拠する傾向があるのに対し、GDPRは同意万能主義を否定する傾向があるので、可能であれば、同意以外の適法化根拠を整理しておくことも重要ではないか、とのことです。

（2）取得する情報項目と利用目的の対応

次に中崎先生が指摘するのは、ユーザーから取得する情報の項目と、それを何に用いるかという利用目的との対応についてです。

「日本企業のプライバシーポリシーの多くは、第1条に＜取得する情報＞を列挙した後、第2条に＜利用目的＞を明示するスタイルのものが多かったと思います。しかしながら、このスタイルですと、取得する情報項目それぞれに対する利用目的が特定されていない、と判断される可能性があります。」

そのため、取得する情報項目ごとに利用目的を表形式にまとめるスタイルへの変更が推奨されるとのことでした。

（3）利用目的の記載の明確化

上記2とも関連しますが、利用目的については「マーケティング活動のため」といった幅広い解釈が可能な書き方は不適切と判断される可能性が高い、と中崎先生は指摘します。

この点はGDPR特有のものではなく、日本の個人情報保護法の各種ガイドライン改定においても注意喚起されていることではありますが、依然として幅広い解釈の余地を残したがる企業からの抵抗が根強いところです。

（4）データ主体の権利の明示

「日本企業の従来型プライバシーポリシーには、データ主体にアクセス権・訂正権があることについては記載があったかもしれませんが、消去権・ポータビリティ権といったものについては、記載がなかったのではないでしょうか。」

中崎先生の指摘のとおり、消去権やデータ・ポータビリティ権についてまで言及のあるプライバシーポリシーは、ほとんどなかったと思います。日本の個人情報保護法においては、本人（データ主体）にこうした請求権は明文では記載されておらず、認められないとする見解が有力であったことも、その理由の一つでしょう。

「消去権やデータ・ポータビリティ権について、ユーザーの権利としてプライバシーポリシーに書き込むことは簡単にできます。しかし、それが本当に実行・提供できるかは別問題でしょう。GDPRのドラフトが2012年初頭に公表されたころから、技術の専門家が一貫して対応の難所として指摘していた点がこの問題です。本来は、公布から施行までの猶予期間を生かして、特定の個人データをデータベースから削除したり取り出したりできるよう技術的な手当をしておくべきだったのですが、これからという企業は大変かもしれません。」

（5） 保存期間を定義する基準の明示

最後に中崎先生がピックアップされたポイントが、個人データの保存期間の明示についてです。

将来のデータ分析・トラブル解決・バックアップのために、基本的には取得した個人データは削除せずに長期間残しておきたいという企業がほとんどであり、従来型のプライバシーポリシーに保存期間が明記されていなかったのも、そうしたことが理由だったはずです。

それでは、今回のGDPR施行にあわせ、保存年限を厳守するようポリシーと運用を見直したほうがよいのでしょうか。この点、中崎先生からは、保存年限を区切ることには慎重になったほうがよいとのコメントがありました。

「企業にとっては、『X年保存し、当該保存期間が満了したら削除する』、とはっきり決め打ちするのは危険だと思います。確定的な年数を定めずとも、＜保存期間を決定するために用いられる基準＞を明示することでも可とされていますので、現実的な落としどころとしては、そのあたりがよいように思います。」

最大の難関は代理人の選任

以上を踏まえてプライバシーポリシーの改定をなんとかこなしても、さらにその先に日本企業を待ち構えている難題があると、中崎先生は指摘します。

「EU域内に拠点を置かない企業から、プライバシーポリシーの改定とともに相談が多いのが、代理人の選任義務についてです。当局対応を含め現地での窓口という重要な役割を果たすことが求められているため、必要な能力や経験を備えた適任者が見つからず、困っている企業がたくさんいらっしゃいます。」

確かに、日本企業でGDPR対応をうたっているプライバシーポリシーを見ても、代理人が選任されていることを明示しているものは、ほとんど見当たりません。

現実的な対応策として、域内の業者にアウトソースするという手段があります。ところが、現状ではこのアウトソースサービスを提供する業者の数が限定され引き受け手がおらず、料金も年間ベースで考えると百万円をオーバーする、かなり高額な相場観となっているとのこと。

「GDPR第27条2項に、『センシティブ情報を大規模に取り扱わず、また散発的にデータ処理をするような場合は、代理人の選任義務が免除される』旨の例外事由が規定されています。しかし、この基準の解釈は不透明で、ほとんどのご相談者に対しては、選任義務が免除される可能性については楽観的には考えないほうがよいとお伝えしています。GDPRが適用されるサービスを運営しているのであれば、そうしたアウトソースサービスなどを使ってでも、代理人は選任をして頂いたほうがいいとアドバイスせざるを得ないところです。」

2017年にようやく日本の個人情報保護法改正に伴う体制の見直しが一段落したかと思いきや、2018年からは、他国が定めた法令の域外適用に振り回される日々が始まり、さらに３月に発生したケンブリッジ・アナリティカ事件を契機にして、ネットビジネスの情報管理が一段と厳しく問われる展開になっています。施行日は間もなく到来してしまいますが、中崎先生の著書も参考にしながら、できることから対応をすすめていくしかなさそうです。

（橋詰）