プライバシーポリシーへの「同意」再考 —利用規約から分離すべき5つの理由

利用規約内からプラポリへのリンクを張り、包括的同意を求めるような方法でも、適切な同意取得と言えるのか？改正民法で定型約款について新しい規律が導入される前に、改めて整理してみました。

プラポリと規約を峻別していく必要性はあるか

プライバシーポリシーと利用規約。これらは、場面によってはこの二つをまとめて「規約」と呼ぶこともよくあるように、サービス提供者にとっては特にその違いを意識せずに一体の法律文書として取り扱っているケースも多いと思います。

これに関し、先日、法律書籍『約款の基本と実践』を紹介した本メディア記事の末尾で、プライバシーポリシーにリンクを張った利用規約全体への同意をもってプラポリ自体への同意も取得したことにする「規約内リンク型同意方式」のリスクについて問題提起したところ、賛成・反対それぞれ複数のご意見・コメントをいただきました。

そこで改めて、約款規制やプライバシー・個人情報保護法に関する文献を紐解き、なぜ利用規約とプライバシーポリシーの文書と同意プロセスを分けて取り扱っていくべきなのか、また日本の実務の現状はどうなっているのかについて、整理し確認しておきたいと思います。

文書と同意の取得を分けるべき5つの理由

個人情報保護法上、情報の利用目的等を定めるプライバシーポリシーは、原則としては公表・通知すればよく、同意取得は必須ではありません（個人情報保護法15条、16条および18条1項・2項）。だからこそ、利用規約の条文から別文書であるプライバシーポリシーを参照する「規約内リンク型同意方式」が多く採用されてきました。

しかし、個人情報やプライバシーに対する問題意識の高まりと法制度の厳格化傾向を踏まえると、

• 文書
• 同意取得のプロセス

は、いずれも利用規約とは明確に分けた上で、規約とプラポリのそれぞれについて独立して同意を取得する必要が生じる のではと考えています。その理由につき、以下5点に整理します。

（1）個人情報保護法の同意要件を満たさない疑義がある

前述のとおり、プライバシーポリシーは必ずしも同意の取得が必要な文書ではありません。ただし以下に該当する場合には、個人情報保護法の定めにより同意をする必要がでてきます。

1. 個人データを第三者に提供する場合
2. 個人データを外国にある第三者に提供する場合
3. 要配慮個人情報を取得する場合
4. 公表・通知した目的以外で用いる場合

特に1・2はサービス開始当初は行なっていなくとも、サービスを展開する中で将来プライバシーポリシーを改定して行うようになる可能性があります。そのようなケースに備えて、当初から明示的な同意を取得するプロセスを構築しておく必要があるでしょう。

そして、同意の取得が法的にも必要となるケースにおいて、こうした規約内リンク型同意方式によっても「適切な同意」と言いうるのかについては疑義があります。規約への同意が包括的な同意だと主張するとしても、ユーザーがリンク先のプラポリにまで目を通したと主張しうるのか、目を通したとしてどのバージョン・記載事項を確認させたのかが不明確または立証しづらくなるためです。

（2）個人情報の利用に関する同意は契約への合意とは性質を異にする

上記（1）の問題点については、別の観点からも指摘があります。

プライバシーポリシーへの同意は、自分の個人情報がどのように取り扱われるかについての同意であり、法律行為である契約とは異なると解されています。個人情報の取り扱いの同意は、本人から撤回することができるとする解釈も存在します（宇賀説。なお2020年の個人情報保護法見直しにおいて条文で明確化される見込み）。

このように、締結した以上は一方的に解除できない「契約」とプライバシーポリシーへの「同意」は、性質を異にするものです。「撤回できては困る（規約への）合意」と「撤回できる（プライバシーポリシーへの）同意」とを同じ文書単位で管理するのは実務に混乱を招くため、避けておくべきという考え方です。

（3）規約変更が行いにくくなる（定型約款法制のメリットを享受しづらくなる）

もしプライバシーポリシーが定型約款として取り扱えるのであれば、変更を行なっても、個々の相手方の個別の同意を要することなく変更することができ（改正民法548条の4）、事業者にとっては都合がよさそうです。

しかしプライバシーポリシーに対する同意は、（2）でも述べたように契約の合意とは異なるため、2020年4月に施行される改正民法に定められた定型約款法制の対象には入らないと解されています。以下は、この点について改正民法の立法担当官が解説する『定型約款の実務Q&A』P79からの引用です。

個人情報の利用目的や第三者への提供等の個人情報保護法上必要となる事項についての規約を設けた上で、顧客に当該規約が適用されることについての同意を求めることがあります。
これらの事項についての顧客の同意は、あくまでも個人情報保護法に基づく同意であり、契約の成立に向けられたものではないことからすると、上記の規約は、「契約の内容とすることを目的としてその特定の者より準備された条項の総体」には該当せず、（略）、定型約款に関する規律が直接適用されることはないと考えられます。

せっかく利用規約が改正民法によって個別同意なく変更可能となるにもかかわらず、プライバシーポリシーと同意プロセスを一体にしてしまったがために、そのメリットが享受できなくなってしまうことにもなりかねません。この点からも、規約とプラポリははっきりと峻別しておくべきでしょう。

（4）長文化して読みにくい

当然のことではありますが、規約とプラポリを一体の文書にまとめようとすると、全体としてかなりの長文になってしまいます。

たとえば規約とプラポリが一体化している事例として、東日本旅客鉄道の「JRE POINT会員規約」があります。これ読んでみると、規約全体で約14000文字中3000文字弱がプラポリに相当する部分になっていました。

しかも、23条からなる規約の17条にこの文字数が詰め込まれているため、ユーザー体験としては読みにくいと言わざるを得ず、文章構造としても理解しやすいとは言えません。

（5）GDPRでは一体化が認められていない

現在は想定していなくとも、将来欧州のユーザーも会員とするようなサービスを提供する場合は、GDPR（EU一般データ保護規則）にも対応したプライバシーポリシーの作成や同意の取得が必要となります。

GDPR第7条では、同意は契約とは異なる適法化要件とされています。また契約の中に同意を紛れ込ませることや、契約の締結または履行に個人情報の取扱いへの同意を条件づけてはならないことが明確にされています。

日本の個人情報保護法の第一人者である石井夏生利先生も、著書『EUデータ保護法』（勁草書房, 2020）P372で、日本の個人情報保護法の水準がGDPRと乖離していることについて、以下のように警鐘を鳴らしています。

日本では、利用規約や契約等の中に個人情報の取扱いへの同意条項を含めるという実務が広く容認されている。GDPRやePrivacy規則案では、係る実務は認められない。
こうしたEUのデータ保護法の「同意」概念へのアプローチは、日本でも「同意」概念を正面から解釈すべき必要性を認識させるものといえる。

現状は並列的に同意を求めるサービスが多数派

では、実際の日本のサービスの現状はどうなっているのか、確認してみることにしましょう。

以下一覧表のとおり、日本企業が運営する主なBtoCサービスの中から私も個人的に利用しているものについて、新規登録時の利用規約・プライバシーポリシー同意画面を確認したところ、独立同意型 / 規約並列同意型 / 規約内リンク型の大きく3パターン に分かれました。

見渡してみると、規約とプラポリへのリンクを画面上並列にならべて、1つのボタン・ワンチャンスで同意をとる「規約並列同意型」が多数派 となっています。やはり、ユーザーにボタンを押下させる回数を最小限にし、UI / UXをシンプルにしたいという思惑が伝わってきます。

一方で、本稿で問題提起する「規約内リンク型」を採用しているサービスは3つと、当初思っていたよりも少数派だった のは、意外な結果でした。

独立同意型が主流となる時代へ

そんな中、プラポリに対する同意を規約に対する同意とは厳格に独立させて取得する「独立同意型」を採用していたのが、bitFlyerとマネックス です。

やはり、こうした画面をユーザーとして目の前にすると、「しっかりとリンク先を開いてそれぞれの文書を確認しておこうか」という気になりますし、紛争時に「読んでない」という反論がしにくくなるのは間違いなさそうです。

プライバシーポリシーの確認と同意を、ユーザー体験として邪魔なもの・読みたくないはずのものとして位置づけるか、重要な文書だからこそ手間をかけて確認いただくべきものとするか。

改正民法施行準備に伴い、新しい定型約款の規律にあわせた文言の修正に追われている企業も多いと思いますが、規約同意プロセスの中のプラポリ同意のあり方を再考しておくこともおすすめします。

画像：タカス / PIXTA(ピクスタ), dizanna / PIXTA(ピクスタ)

（橋詰）