2022年版プライバシーポリシー作成の最新トレンド

Transcript

1. 2022年版 プライバシーポリシー 作成の最新トレンド 2022/09/13 インハウスハブ東京法律事務所 弁護⼠ 世古修平 1

2. 講師紹介 世古修平（せこ しゅうへい） • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

   • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E 2

3. 本⽇のテーマ 3 2022年版プライバシーポリシー作成の最新トレンド

4. トレンド！ 4 2022年版プライバシーポリシー作成の最新トレンド 「2022年4⽉個⼈情報保護法改正対応の〜」セミナーに⾒えてしまうと、 もう終わったんだから聞かなくていいな、となってしまうので、 もうそこじゃないんですよ！ということが伝わるほうが重要かなと思った次第でして。

5. とはいえ個⼈情報保護法は外せませんよね 5 2022/04 令和2年改正法施⾏ トレンド1 トレンド2 トレンド3

6. 次回の改正も実はそう遠くはありません 6 2022/04 令和2年改正法施⾏ 202Y/MM 次回改正法施⾏ 附 則 （検討） 第⼗条

   政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について 検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 トレンド1 トレンド2 トレンド3

7. 改正に向けた議論にそろそろアンテナを 7 2022/04 令和2年改正法施⾏ 202Y/MM 次回改正法施⾏ 改正に向けた議論 附 則 （検討）

   第⼗条 政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について 検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 トレンド1 トレンド2 トレンド3 202Y/MM 次回改正法成⽴

8. 電気通信事業法も外せない重要な法律です 8 2022/06 改正電気通信事業法 成⽴ トレンド1 トレンド2 トレンド3 2022/MM 改正電気通信事業法

   総務省令？ 202Y/MM 改正電気通信事業法 ガイドライン？

9. 同意取得についても考えてみましょう 9 トレンド1 トレンド2 トレンド3 出所：https://www.yomiuri.co.jp/science/20220903-OYT1T50092/

10. 個⼈情報保護法 電気通信事業法 同意取得 本⽇はこの3つのトレンドを検討します 10 トレンド 1 トレンド 2 トレンド

    3 トレンド1 トレンド2 トレンド3

11. 11 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 3.まとめ

12. 12 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 3.まとめ

13. q ノーティス Ø “A privacy notice is an external communication

    to individuals, customers or data subjects that describes how the organization collects, uses, shares, retains and discloses its personal information based on the organizationʼs privacy policy.” q ポリシー Ø “A privacy policy is an internal document addressed to employees and data users. This document clearly states how personal information will be handled, stored and transmitted to meet organizational needs as well as any laws or regulations. It will define all aspects of data privacy for the organization, including how the privacy notice will be formed, if necessary, and what it will contain.” 13 2つの側⾯から説明することができます 出所：Privacy program management （https://iapp.org/store/books/a191P000003FK31QAG/） トレンド1 トレンド2 トレンド3

14. 14 ⽇本法上PPの作成は必須ではありません q ⽶国州法（CPRA） Ø The privacy policy shall include

    the following information: Ø the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information Ø An explanation of the rights that the CCPA confers on consumers regarding their personal information Ø An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process Ø Date the privacy policy was last updated. n ⽇本法 Ø 法律上は明⽂の定めなし Ø 個⼈情報保護法上の公表等事項 • ⽒名⼜は名称及び住所 （法⼈の場合代表者の⽒名） • 保有個⼈データの利⽤⽬的 • 権利⾏使の対応⼿続 • 政令で定めるもの （安全管理措置など） トレンド1 トレンド2 トレンド3

15. 15 通知公表事項と同意事項が混在しています q 同意 Ø 27条 個⼈情報取扱事業者は、次に掲げる 場合を除くほか、あらかじめ本⼈の 同意を得ないで、個⼈データを第三 者に提供してはならない。

    q 通知公表 Ø 21条 個⼈情報取扱事業者は、個⼈情報を 取得した場合は、あらかじめその利 ⽤⽬的を公表している場合を除き、 速やかに、その利⽤⽬的を、本⼈に 通知し、⼜は公表しなければならな い。 トレンド1 トレンド2 トレンド3

16. 16 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 3.まとめ

17. 17 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 ア.令和2年改正 イ.次回改正 (2)電気通信事業法 (3)同意取得 3.まとめ

18. 18 皆さん令和2年改正法対応どうでしたか？ 越境移転 漏えい等の報告 個⼈関連情報 仮名加⼯情報 提供記録 トレンド1 トレンド2 トレンド3

19. 19 PPに跳ねた部分を振り返ってみましょう 越境移転 漏えい等の報告 個⼈関連情報 仮名加⼯情報 提供記録 トレンド1 トレンド2 トレンド3

20. 20 【個⼈関連情報】 定義の説明に苦労した⽅も多いのでは （定義） 第⼆条 ７ この法律において「個⼈関連情報」とは、⽣存する個⼈に関する情報であって、個⼈情報、仮名加⼯情報及び 匿名加⼯情報のいずれにも該当しないものをいう。 n そもそも

    Ø 「全体集合Uのうち、AでもBでもCでもないもの」という定義がまず難しい Ø 「で、それって結局何なの」「いや、なので…」というループになりがち n 前提知識 Ø 前提として個⼈情報、仮名加⼯情報、匿名加⼯情報を理解している必要 Ø 個⼈情報の定義⾃体、全社員が正確に理解しているかというと… Ø 個⼈関連情報の説明をしたいのに、まずは仮名/匿名加⼯の説明が必要 n しかしながら Ø 新しい概念のため、事業部⾨のヒアリングから始めないと情報がない Ø ⾔葉を尽くすものの、、、 トレンド1 トレンド2 トレンド3

21. 21 【個⼈関連情報】 知識の所在と義務の所在がズレがちでした （個⼈関連情報の第三者提供の制限等） 第三⼗⼀条 個⼈関連情報取扱事業者は、第三者が個⼈関連情報（個⼈関連情報データベース等を構成するものに 限る。以下この章及び第六章において同じ。）を個⼈データとして取得することが想定されるときは、第⼆⼗七条 第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。 ⼀

    当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取 得することを認める旨の当該本⼈の同意が得られていること 個⼈関連情報取扱事業者（提供側） 第三者（受領側） n アドテク知識の蓄積：あり n 改正法の検討：済 n 同意取得の義務：なし トレンド1 トレンド2 トレンド3 n アドテク知識の蓄積：なし n 改正法の検討：未済 n 同意取得の義務：あり アドテク企業 ユーザー企業

22. 22 【個⼈関連情報】 受領側でも確認はしていたはずですが… 2021年内 2022年3⽉ 個⼈関連情報って 取得してます？ いや…多分してない と思います ASPからチェック

    シートが届いたん ですが… ざわ… 法務 事業 事業 法務 トレンド1 トレンド2 トレンド3 （個⼈関連情報の第三者提供の制限等） 第三⼗⼀条 個⼈関連情報取扱事業者は、第三者が個⼈関連情報（個⼈関連情報データベース等を構成するものに 限る。以下この章及び第六章において同じ。）を個⼈データとして取得することが想定されるときは、第⼆⼗七条 第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。 ⼀ 当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取 得することを認める旨の当該本⼈の同意が得られていること

23. 23 【個⼈関連情報】 短期間での同意取得は茨の道ですよね ⽉曜⽇ ⽕曜⽇ ⽔曜⽇ ⽊曜⽇ ⾦曜⽇ ⼟曜⽇ ⽇曜⽇

    3/1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ★ 18 19 20 21 22 23 24 25 26 27 28 29 30 31 トレンド1 トレンド2 トレンド3 ASPからチェック シートが届いたん ですが… ざわ…

24. 24 【越境移転】 条⽂が⾮常に難解でした （外国にある第三者への提供の制限） 第⼆⼗⼋条 個⼈情報取扱事業者は、外国（本邦の域外にある国⼜は地域をいう。以下この条及び第三⼗⼀条第⼀ 項第⼆号において同じ。）（個⼈の権利利益を保護する上で我が国と同等の⽔準にあると認められる個⼈情報の保 護に関する制度を有している外国として個⼈情報保護委員会規則で定めるものを除く。以下この条及び同号におい て同じ。）にある第三者（個⼈データの取扱いについてこの節の規定により個⼈情報取扱事業者が講ずべきことと されている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとし

    て個⼈情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号 において同じ。）に個⼈データを提供する場合には、前条第⼀項各号に掲げる場合を除くほか、あらかじめ外国に ある第三者への提供を認める旨の本⼈の同意を得なければならない。この場合においては、同条の規定は、適⽤し ない。 トレンド1 トレンド2 トレンド3

25. 25 【越境移転】 条⽂が⾮常に難解でした （外国にある第三者への提供の制限） 第⼆⼗⼋条 個⼈情報取扱事業者は、外国（本邦の域外にある国⼜は地域をいう。以下この条及び第三⼗⼀条第⼀ 項第⼆号において同じ。）（個⼈の権利利益を保護する上で我が国と同等の⽔準にあると認められる個⼈情報の保 護に関する制度を有している外国として個⼈情報保護委員会規則で定めるものを除く。以下この条及び同号におい て同じ。）にある第三者（個⼈データの取扱いについてこの節の規定により個⼈情報取扱事業者が講ずべきことと されている措置に相当する措置（第三項において「相当措置」という。）を継続的に講ずるために必要なものとし

    て個⼈情報保護委員会規則で定める基準に適合する体制を整備している者を除く。以下この項及び次項並びに同号 において同じ。）に個⼈データを提供する場合には、前条第⼀項各号に掲げる場合を除くほか、あらかじめ外国に ある第三者への提供を認める旨の本⼈の同意を得なければならない。この場合においては、同条の規定は、適⽤し ない。 トレンド1 トレンド2 トレンド3

26. 26 【越境移転】 取りうる選択肢は4つありました 同意取得 基準適合体制 我が国と同等の⽔準 （EU, UK） 第三者提供の制限の例外 Option

    1 Option 3 Option 2 Option 4 トレンド1 トレンド2 トレンド3

27. 27 【越境移転】 それぞれのメリットは何でしょうか 同意取得 基準適合体制 Option 1 Option 2 我が国と同等の⽔準

    （EU, UK） 第三者提供の制限の例外 Option 3 Option 4 トレンド1 トレンド2 トレンド3

28. 28 【越境移転】 要件充⾜を説明しやすいのがメリットです “いざ”という時、個⼈情報保護委員会等に28条の義務を遵守していることを説明しやすい 1 同意取得 基準適合体制 Option 1 Option

    2 我が国と同等の⽔準 （EU, UK） 第三者提供の制限の例外 Option 3 Option 4 トレンド1 トレンド2 トレンド3

29. 29 【越境移転】 本質的な対応が取れる点に注⽬しましょう ユーザーは「同意」を求められても、越境移転のリスクを真の意味で判断できないのでは 越境移転のリスクを低減するためには、⾃社で質的な⽔準を確保するのが本質的では 1 同意取得 基準適合体制 Option 1

    Option 2 CBPR EU, BR Option 3 Option 4 トレンド1 トレンド2 トレンド3

30. 30 同意に関し悩ましい部分が多かったですよね 越境移転 漏えい等の報告 個⼈関連情報 仮名加⼯情報 提供記録 トレンド1 トレンド2 トレンド3

31. 31 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 ア.令和2年改正 イ.次回改正 (2)電気通信事業法 (3)同意取得 3.まとめ

32. 改正が議論されそうな領域はどこでしょう 32 附 則 （検討） 第⼗条 政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について 検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 トレンド1

    トレンド2 トレンド3

33. PPCの問題意識から予想ができる？ 33 出所：https://www.ppc.go.jp/files/pdf/220831_zyuuten.pdf 令和２年改正法附則第 10 条に基づき、個⼈情報の保護に関する国 際的動向、デジタル技術の進展、それに伴う個⼈情報等を活⽤した 新たな産業の創出及び発展の状況等を勘案し、個⼈情報保護法の施 ⾏の状況や課題等につい て調査研究等を⾏う。

    ＡＩ利⽤を含む映像解析技術、⾳声解析技術、認証技術等の⾼度 なデジタル技術が仮想空間（メタバース）を含む様々な場⾯で利 ⽤されるようになっていることを踏まえ、⾼度デジタル技術によ る個⼈情報等の処理の在り⽅や、プライバシー保護のための技術 等の利⽤について、国内外の法制度、技術動向の実態に関する調 査を⾏う。 企 業ヒアリング等を通じて、PIA（Privacy Impact Assessment）の取 組及び個⼈デー タの取扱いに関する責任者の設置に係る実施事例 の⼿順や課題を把握し、これ らを PIA の取組の解説や事例集に反映 させることにより、⺠間事業者の理解や意識の向上を図る。 トレンド1 トレンド2 トレンド3

34. PFによる規制強化が反映される？ 34 出所：https://developer.apple.com/jp/news/?id=12m75xbj トレンド1 トレンド2 トレンド3

35. 制定が続く⽶国法の影響がある？ 35 出所：https://iapp.org/media/pdf/resource_center/State_Comp_Privacy_Law_Chart.pdf トレンド1 トレンド2 トレンド3

36. 36 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 3.まとめ

37. 改正法⾃体は既に成⽴しています 37 2022/06 改正電気通信事業法 成⽴ トレンド1 トレンド2 トレンド3 2022/MM 改正電気通信事業法

    総務省令？ 202Y/MM 改正電気通信事業法 ガイドライン？

38. 38 出所：https://www.soumu.go.jp/main_content/000797453.pdf トレンド1 トレンド2 トレンド3 外部送信規律について取り上げます 外部送信規律

39. 39 タグや情報収集モジュール使ってますよね 出所：https://www.soumu.go.jp/main_content/000829032.pdf トレンド1 トレンド2 トレンド3 ⽴案担当者解説

40. 40 またしても難解な条⽂が爆誕しました （情報送信指令通信に係る通知等） 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者（内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は、その利⽤ 者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信（利⽤者の電 気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利⽤者以外 の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信 をいう。以下この条において同じ。）を⾏おうとするときは、総務省令で定めるところにより、あらかじめ、当該

    情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利⽤者に関する情報の内容、当該情 報の送信先となる電気通信設備その他の総務省令で定める事項を当該利⽤者に通知し、⼜は当該利⽤者が容易に知 り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。 トレンド1 トレンド2 トレンド3

41. 41 少し分解して読んでみましょう （情報送信指令通信に係る通知等） 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者（内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は その利⽤者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信（利 ⽤者の電気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利 ⽤者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通 信の送信をいう。以下この条において同じ。）を⾏おうとするときは、

    総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信される こととなる当該利⽤者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項 を当該利⽤者に通知し、⼜は当該利⽤者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に 掲げるものである場合は、この限りでない。 主体 対象⾏為 義務内容 トレンド1 トレンド2 トレンド3

42. 42 規制対象になる主体は広いです （情報送信指令通信に係る通知等） 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者（内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は（後略） 電気通信事業者 電気通信事業を営むことについて、第九条の登録を受 けた者及び第⼗六条第⼀項（同条第⼆項の規定により 読み替えて適⽤する場合を含む。）の規定による届出

    をした者をいう。 第三号事業を営む者 n 利⽤者間のメッセージ媒介サービス等 n SNS・電⼦掲⽰板、動画共有サービス、オンライン ショッピングモール等 n オンライン検索サービス n 各種情報のオンライン提供（例：ニュース配信、 気象情報配信、動画配信、地図等） 出所：https://www.soumu.go.jp/main_content/000831301.pdf トレンド1 トレンド2 トレンド3 主体

43. 43 まず対象⾏為のイメージを理解しましょう （情報送信指令通信に係る通知等） 第⼆⼗七条の⼗⼆ （前略）その利⽤者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先 とする情報送信指令通信（利⽤者の電気通信設備が有する情報送信機能（利⽤者の電気通信設備に記録された当該 利⽤者に関する情報を当該利⽤者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。）を 起動する指令を与える電気通信の送信をいう。以下この条において同じ。）を⾏おうとするときは 出所：https://www.soumu.go.jp/main_content/000829032.pdf トレンド1

    トレンド2 トレンド3 対象⾏為

44. 44 選択肢は複数あるが公表が現実的でしょうか （情報送信指令通信に係る通知等） 第⼆⼗七条の⼗⼆ （前略）総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情 報送信機能により送信されることとなる当該利⽤者に関する情報の内容、当該情報の送信先となる電気通信設備そ の他の総務省令で定める事項を当該利⽤者に通知し、⼜は当該利⽤者が容易に知り得る状態に置かなければならな い。 出所：https://www.soumu.go.jp/main_content/000831301.pdf トレンド1

    トレンド2 トレンド3 義務内容

45. 45 通知公表の⽅法に関しても⾔及があります 出所：https://www.soumu.go.jp/main_content/000831301.pdf トレンド1 トレンド2 トレンド3

46. 46 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 ア.積極⽅向の議論 イ.消極報告の議論 3.まとめ

47. 適法性だけでなく妥当性の話をしませんか 47 トレンド1 トレンド2 トレンド3

48. 同意を正しく取る積極⽅向の議論があります 48 n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正（個⼈関連情報）

    ⽅向性① トレンド1 トレンド2 トレンド3

49. 同意の意味を問う消極報告の議論も 49 n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正（個⼈関連情報）

    n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書（公取委） Ø 「その規約、読みますか?」 Ø 個情法令和2年改正（越境移転） ⽅向性① ⽅向性② トレンド1 トレンド2 トレンド3

50. 50 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 ア.積極⽅向の議論 イ.消極報告の議論 3.まとめ

51. 51 同意が満すべき要件を詳細に解説しています n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正（個⼈関連情報）

    ⽅向性① 出所：https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf n freely given n specific n informed n unambiguous indication of wishes トレンド1 トレンド2 トレンド3

52. 52 電気通信事業法上の同意の解説⽂書です n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正（個⼈関連情報）

    ⽅向性① n 個別具体的 n 明確 ＋ n 個別事例におけるリスク 出所：https://www.soumu.go.jp/main_content/000734726.pdf トレンド1 トレンド2 トレンド3

53. 53 反省点はきちんと改善したいですよね n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正（個⼈関連情報）

    ⽅向性① 28 【個⼈関連情報】 短期間での同意取得は茨の道 ⼤ 中 ⼩ ⽉曜⽇ ⽕曜⽇ ⽔曜⽇ ⽊曜⽇ ⾦曜⽇ ⼟曜⽇ ⽇曜⽇ 3/1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ★ 18 19 20 21 22 23 24 25 26 27 28 29 30 31 ASPから何か変な チェックシートが 届いたんですが… ざわ… n 2022年2⽉まで Ø チキンレース的な空気感 n 2022年3⽉ Ø ⾚信号 みんなで渡れば的な空気感 トレンド1 トレンド2 トレンド3

54. 54 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 ア.積極⽅向の議論 イ.消極報告の議論 3.まとめ

55. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書（公取委） Ø 「その規約、読みますか?」 Ø 令和2年改正（越境移転） 55

    利⽤規約/PPは読まれない？ ⽅向性② n 利⽤規約を知っていると答えたのは27.7% n 利⽤規約を必ず読んでいると答えたのは12.3% 出所：https://www.jftc.go.jp/houdou/pressrelease/2020/apr/digital/200428betten.pdf トレンド1 トレンド2 トレンド3

56. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書（公取委） Ø 「その規約、読みますか?」 Ø 令和2年改正（越境移転） 56

    開⽰や同意を問い直す主張がされています ⽅向性② 出所：https://www.keisoshobo.co.jp/book/b605810.html n 開⽰義務は良いという根拠がほとんどなくて も、明⽰的な害がほとんどないので魅⼒的で ある n 通常、⽴法者が開⽰を義務づける内容は、素 ⼈に太⼑打ちできるものではない トレンド1 トレンド2 トレンド3

57. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書（公取委） Ø 「その規約、読みますか?」 Ø 令和2年改正（越境移転） 57

    その領域は同意で本質的解決ができますか ⽅向性② 40 【越境移転_28条】 真に同意できるユーザーはどれほどいたか ⼤ 中 ⼩ ユーザーは「同意」を求められても、越境移転のリスクを真の意味で判断できない 越境移転のリスクを低減するためには、越境移転が許容される質的⽔準を確保すべきでは 1 同意 基準適合体制 Op$on 1 Option 2 CBPR EU, BR Option 3 Op$on 4 n 越境移転について、リスクを把握した上 で同意ができるユーザーがどれだけいた のか トレンド1 トレンド2 トレンド3

58. ⽬次 58 1.プライバシーポリシーとは 2.トレンドの検討 (1)個⼈情報保護法 (2)電気通信事業法 (3)同意取得 3.まとめ

59. 59 改正に向けた議論にアンテナを張りましょう トレンド1 トレンド2 トレンド3 2022/04 令和2年改正法施⾏ 202Y/MM 次回改正法施⾏ 改正に向けた議論

    202Y/MM 次回改正法成⽴

60. 60 追加資料を待ちつつ準備を始めましょう トレンド1 トレンド2 トレンド3 2022/06 改正電気通信事業法 成⽴ 2022/MM 改正電気通信事業法

    総務省令？ 202Y/MM 改正電気通信事業法 ガイドライン？

61. 61 同意が適した領域かは⼀度考えてみましょう n 同意で解決するべき領域は厳選すべきでは Ø ⽴法論的にも、安易に同意を要件とすること は避けるべきなのでは Ø 企業としても、選択肢が複数あるのであれば 同意が効果的な場⾯かは検討すべきでは

    トレンド1 トレンド2 トレンド3

62. 62 同意で解決するなら質を担保しましょう n 質の低い同意取得はいざというとき意味をなさない Ø 問題が顕在化しないうちは良い Ø いざという時には必ず「真に同意があったと ⾔えるのか」と問題になる n

    同意を取るのであれば、その質は担保すべき Ø GDPR Ø freely given Ø Specific Ø Informed Ø unambiguous indication of wishes Ø 参照⽂書 Ø 個別具体的 Ø 明確 トレンド1 トレンド2 トレンド3

63. ご清聴 ありがとうございました！ インハウスハブ東京法律事務所 世古修平（せこしゅうへい） Website ：https://www.seko-law.info/ Twitter ：@seko_law Mail ：[email protected]

    63