プライバシーポリシーのGDPR対応でお手本となる2つの企業

ついに施行日を迎えたGDPR。ズバリGDPR対応のお手本となるプライバシーポリシーを、編集部調査と「イケてる利用規約・プライバシーポリシーのURL募集」でいただいた情報の中から、ご紹介したいと思います。

圧倒的完成度のUberプライバシーポリシー

今回、編集部が調査対象とした「GDPR対応」をうたうポリシーの中で、抜群に見やすく、また内容面でもほとんど隙が見当たらなかったのが、配車アプリUberの新しいプライバシーポリシー（個人情報保護方針）でした。

その特徴は、大きく3つにまとめることができます。

1．法的な意味での本文の隙の無さ

何よりも重要なのが、プライバシーポリシー本文の法的な意味での隙の無さです。

先日、「GDPR対応版プライバシーポリシー作成にあたって抑えるべき5つのポイント」と題する記事で、

（1）適法根拠の明示
（2）取得する情報項目と利用目的の対応
（3）利用目的の記載の明確化
（4）データ主体の権利の明示
（5）保存期間を定義する基準の明示

この5つを挙げて解説しました。Uberのプライバシーポリシーは、そのいずれの項目についても要件をクリアしています。

特に法律対応の徹底ぶりが確認できる点として、全体としては一般的なプライバシーポリシーの形式を崩さぬよう維持しながらも、その中に「EUユーザーに関する特別情報」という項目を建て、GDPRが求めるプライバシーノーティスの型に忠実に、同じ内容を書き直している点です。文章全体が長くなってしまうというデメリットはありますが、形式面からも細かくチェックしてくるであろうGDPRへの対応策として、真似する企業が増えそうな予感がします。

また、個人データの保存期間について「7年間」と明示している点などは、社内のデータマネジメントに対する自信のほどもうかがえました。

2．親しみやすさと分かりやすさを兼ね備えたガイドコンテンツのデザイン

プライバシーポリシー本文の概要を見やすく伝えるために、別途ガイドコンテンツも用意。

こちらでは、親しみやすいイラストを随所に差し込んだり、プライバシーポリシー本文で読み取りづらさも否定できない「取得する情報項目」と「利用目的」の対応を分かりやすく、インタラクティブに必要な部分を表示できるUIにしています。

プライバシーポリシー本文との整合性を保つメンテナンスには労力が掛かりそうですが、ユーザーライクであることは間違いありません。

3．責任者への連絡先の明示

問題や紛争が起きた時に、責任部署やDPOにはどうやったら連絡がつくのか？多くの会社のプライバシーポリシーでは、せいぜい連絡先として部門名と住所を記載するにとどまっています。

これに対し、Uberは、部門名や住所に加えて電話番号も明記。さらにDPOに直接メールを送れるように、DPO宛専用メールアドレスも公開していました。

これらすべてをマネすることはできなくとも、本文の書きっぷりを参考にできるだけでもありがたい、お手本となるプライバシーポリシーだと思います。

DuckDuckGoによる究極のプライバシーポリシー

番外編として、Uberとは対照的な意味で、究極のお手本とも言うべき例をあわせてご紹介します。

それが、「イケてる利用規約・プライバシーポリシーのURL募集中」をご覧くださった読者の方から情報提供をいただいた、検索エンジンサービスDuckDuckGoです。

プライバシーポリシー全文がこちら。

「私たちのプライバシーポリシーはシンプルです。ユーザーの情報収集は一切致しません。」

拍子抜けするこの短さの秘密は、アクセス解析のためのクッキーを含めて、あらゆるパーソナルデータの取得を放棄したこと。検索結果の画面に表示される広告スペースの販売と、企業とのパートナーシップのみで収益を得るビジネスモデルに振り切っているのが彼らです。

「そもそも個人データを取得しなければ、EUから持ち出しようもない。」これこそが究極のGDPR対応の姿と言えるかもしれません。

情報を提供くださったmさまには、薄謝進呈いたします。ありがとうございました。

（橋詰）