Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2022年版プライバシーポリシー作成の最新トレンド

SEKO_Shuhei
September 30, 2022

 2022年版プライバシーポリシー作成の最新トレンド

2022/09/13に弁護士ドットコム株式会社で実施した、セミナーの登壇資料です。

【セミナーページ】
https://www.cloudsign.jp/media/seminar_termhub-pp-trend/
【Webサイト】
https://www.seko-law.info/

SEKO_Shuhei

September 30, 2022
Tweet

More Decks by SEKO_Shuhei

Other Decks in Business

Transcript

  1. 講師紹介 世古修平(せこ しゅうへい) • インハウスハブ東京法律事務所 弁護⼠ • インターネットサービス企業 Privacy Counsel

    • IPA 独⽴⾏政法⼈ 情報処理推進機構 試験委員 • 経済産業省 電⼦商取引及び情報財取引等に関する準則 研究会委員 • 総合系のコンサルティングファーム2社を経て現職 • セキュリティ、プライバシー領域の案件を中⼼に活動中 • CISSP, CIPM, CIPP/E 2
  2. 次回の改正も実はそう遠くはありません 6 2022/04 令和2年改正法施⾏ 202Y/MM 次回改正法施⾏ 附 則 (検討) 第⼗条

    政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について 検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 トレンド1 トレンド2 トレンド3
  3. 改正に向けた議論にそろそろアンテナを 7 2022/04 令和2年改正法施⾏ 202Y/MM 次回改正法施⾏ 改正に向けた議論 附 則 (検討)

    第⼗条 政府は、この法律の施⾏後三年ごとに、個⼈情報の保護に関する国際的動向、情報通信技術の進展、それ に伴う個⼈情報を活⽤した新たな産業の創出及び発展の状況等を勘案し、新個⼈情報保護法の施⾏の状況について 検討を加え、必要があると認めるときは、その結果に基づいて所要の措置を講ずるものとする。 トレンド1 トレンド2 トレンド3 202Y/MM 次回改正法成⽴
  4. q ノーティス Ø “A privacy notice is an external communication

    to individuals, customers or data subjects that describes how the organization collects, uses, shares, retains and discloses its personal information based on the organizationʼs privacy policy.” q ポリシー Ø “A privacy policy is an internal document addressed to employees and data users. This document clearly states how personal information will be handled, stored and transmitted to meet organizational needs as well as any laws or regulations. It will define all aspects of data privacy for the organization, including how the privacy notice will be formed, if necessary, and what it will contain.” 13 2つの側⾯から説明することができます 出所:Privacy program management (https://iapp.org/store/books/a191P000003FK31QAG/) トレンド1 トレンド2 トレンド3
  5. 14 ⽇本法上PPの作成は必須ではありません q ⽶国州法(CPRA) Ø The privacy policy shall include

    the following information: Ø the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information Ø An explanation of the rights that the CCPA confers on consumers regarding their personal information Ø An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process Ø Date the privacy policy was last updated. n ⽇本法 Ø 法律上は明⽂の定めなし Ø 個⼈情報保護法上の公表等事項 • ⽒名⼜は名称及び住所 (法⼈の場合代表者の⽒名) • 保有個⼈データの利⽤⽬的 • 権利⾏使の対応⼿続 • 政令で定めるもの (安全管理措置など) トレンド1 トレンド2 トレンド3
  6. 15 通知公表事項と同意事項が混在しています q 同意 Ø 27条 個⼈情報取扱事業者は、次に掲げる 場合を除くほか、あらかじめ本⼈の 同意を得ないで、個⼈データを第三 者に提供してはならない。

    q 通知公表 Ø 21条 個⼈情報取扱事業者は、個⼈情報を 取得した場合は、あらかじめその利 ⽤⽬的を公表している場合を除き、 速やかに、その利⽤⽬的を、本⼈に 通知し、⼜は公表しなければならな い。 トレンド1 トレンド2 トレンド3
  7. 20 【個⼈関連情報】 定義の説明に苦労した⽅も多いのでは (定義) 第⼆条 7 この法律において「個⼈関連情報」とは、⽣存する個⼈に関する情報であって、個⼈情報、仮名加⼯情報及び 匿名加⼯情報のいずれにも該当しないものをいう。 n そもそも

    Ø 「全体集合Uのうち、AでもBでもCでもないもの」という定義がまず難しい Ø 「で、それって結局何なの」「いや、なので…」というループになりがち n 前提知識 Ø 前提として個⼈情報、仮名加⼯情報、匿名加⼯情報を理解している必要 Ø 個⼈情報の定義⾃体、全社員が正確に理解しているかというと… Ø 個⼈関連情報の説明をしたいのに、まずは仮名/匿名加⼯の説明が必要 n しかしながら Ø 新しい概念のため、事業部⾨のヒアリングから始めないと情報がない Ø ⾔葉を尽くすものの、、、 トレンド1 トレンド2 トレンド3
  8. 21 【個⼈関連情報】 知識の所在と義務の所在がズレがちでした (個⼈関連情報の第三者提供の制限等) 第三⼗⼀条 個⼈関連情報取扱事業者は、第三者が個⼈関連情報(個⼈関連情報データベース等を構成するものに 限る。以下この章及び第六章において同じ。)を個⼈データとして取得することが想定されるときは、第⼆⼗七条 第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。 ⼀

    当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取 得することを認める旨の当該本⼈の同意が得られていること 個⼈関連情報取扱事業者(提供側) 第三者(受領側) n アドテク知識の蓄積:あり n 改正法の検討:済 n 同意取得の義務:なし トレンド1 トレンド2 トレンド3 n アドテク知識の蓄積:なし n 改正法の検討:未済 n 同意取得の義務:あり アドテク企業 ユーザー企業
  9. 22 【個⼈関連情報】 受領側でも確認はしていたはずですが… 2021年内 2022年3⽉ 個⼈関連情報って 取得してます? いや…多分してない と思います ASPからチェック

    シートが届いたん ですが… ざわ… 法務 事業 事業 法務 トレンド1 トレンド2 トレンド3 (個⼈関連情報の第三者提供の制限等) 第三⼗⼀条 個⼈関連情報取扱事業者は、第三者が個⼈関連情報(個⼈関連情報データベース等を構成するものに 限る。以下この章及び第六章において同じ。)を個⼈データとして取得することが想定されるときは、第⼆⼗七条 第⼀項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個⼈情報保護委員会規則で定めるとこ ろにより確認することをしないで、当該個⼈関連情報を当該第三者に提供してはならない。 ⼀ 当該第三者が個⼈関連情報取扱事業者から個⼈関連情報の提供を受けて本⼈が識別される個⼈データとして取 得することを認める旨の当該本⼈の同意が得られていること
  10. 23 【個⼈関連情報】 短期間での同意取得は茨の道ですよね ⽉曜⽇ ⽕曜⽇ ⽔曜⽇ ⽊曜⽇ ⾦曜⽇ ⼟曜⽇ ⽇曜⽇

    3/1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ★ 18 19 20 21 22 23 24 25 26 27 28 29 30 31 トレンド1 トレンド2 トレンド3 ASPからチェック シートが届いたん ですが… ざわ…
  11. 27 【越境移転】 それぞれのメリットは何でしょうか 同意取得 基準適合体制 Option 1 Option 2 我が国と同等の⽔準

    (EU, UK) 第三者提供の制限の例外 Option 3 Option 4 トレンド1 トレンド2 トレンド3
  12. PPCの問題意識から予想ができる? 33 出所:https://www.ppc.go.jp/files/pdf/220831_zyuuten.pdf 令和2年改正法附則第 10 条に基づき、個⼈情報の保護に関する国 際的動向、デジタル技術の進展、それに伴う個⼈情報等を活⽤した 新たな産業の創出及び発展の状況等を勘案し、個⼈情報保護法の施 ⾏の状況や課題等につい て調査研究等を⾏う。

    AI利⽤を含む映像解析技術、⾳声解析技術、認証技術等の⾼度 なデジタル技術が仮想空間(メタバース)を含む様々な場⾯で利 ⽤されるようになっていることを踏まえ、⾼度デジタル技術によ る個⼈情報等の処理の在り⽅や、プライバシー保護のための技術 等の利⽤について、国内外の法制度、技術動向の実態に関する調 査を⾏う。 企 業ヒアリング等を通じて、PIA(Privacy Impact Assessment)の取 組及び個⼈デー タの取扱いに関する責任者の設置に係る実施事例 の⼿順や課題を把握し、これ らを PIA の取組の解説や事例集に反映 させることにより、⺠間事業者の理解や意識の向上を図る。 トレンド1 トレンド2 トレンド3
  13. 40 またしても難解な条⽂が爆誕しました (情報送信指令通信に係る通知等) 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者(内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は、その利⽤ 者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信(利⽤者の電 気通信設備が有する情報送信機能(利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利⽤者以外 の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信 をいう。以下この条において同じ。)を⾏おうとするときは、総務省令で定めるところにより、あらかじめ、当該

    情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利⽤者に関する情報の内容、当該情 報の送信先となる電気通信設備その他の総務省令で定める事項を当該利⽤者に通知し、⼜は当該利⽤者が容易に知 り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。 トレンド1 トレンド2 トレンド3
  14. 41 少し分解して読んでみましょう (情報送信指令通信に係る通知等) 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者(内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は その利⽤者に対し電気通信役務を提供する際に、当該利⽤者の電気通信設備を送信先とする情報送信指令通信(利 ⽤者の電気通信設備が有する情報送信機能(利⽤者の電気通信設備に記録された当該利⽤者に関する情報を当該利 ⽤者以外の者の電気通信設備に送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通 信の送信をいう。以下この条において同じ。)を⾏おうとするときは、

    総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信される こととなる当該利⽤者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項 を当該利⽤者に通知し、⼜は当該利⽤者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に 掲げるものである場合は、この限りでない。 主体 対象⾏為 義務内容 トレンド1 トレンド2 トレンド3
  15. 42 規制対象になる主体は広いです (情報送信指令通信に係る通知等) 第⼆⼗七条の⼗⼆ 電気通信事業者⼜は第三号事業を営む者(内容、利⽤者の範囲及び利⽤状況を勘案して利⽤者 の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。)は(後略) 電気通信事業者 電気通信事業を営むことについて、第九条の登録を受 けた者及び第⼗六条第⼀項(同条第⼆項の規定により 読み替えて適⽤する場合を含む。)の規定による届出

    をした者をいう。 第三号事業を営む者 n 利⽤者間のメッセージ媒介サービス等 n SNS・電⼦掲⽰板、動画共有サービス、オンライン ショッピングモール等 n オンライン検索サービス n 各種情報のオンライン提供(例:ニュース配信、 気象情報配信、動画配信、地図等) 出所:https://www.soumu.go.jp/main_content/000831301.pdf トレンド1 トレンド2 トレンド3 主体
  16. 同意の意味を問う消極報告の議論も 49 n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正(個⼈関連情報)

    n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書(公取委) Ø 「その規約、読みますか?」 Ø 個情法令和2年改正(越境移転) ⽅向性① ⽅向性② トレンド1 トレンド2 トレンド3
  17. 51 同意が満すべき要件を詳細に解説しています n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正(個⼈関連情報)

    ⽅向性① 出所:https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf n freely given n specific n informed n unambiguous indication of wishes トレンド1 トレンド2 トレンド3
  18. 52 電気通信事業法上の同意の解説⽂書です n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正(個⼈関連情報)

    ⽅向性① n 個別具体的 n 明確 + n 個別事例におけるリスク 出所:https://www.soumu.go.jp/main_content/000734726.pdf トレンド1 トレンド2 トレンド3
  19. 53 反省点はきちんと改善したいですよね n 同意を積極的に捉える⽅向性の議論 Ø GDPRガイドライン Ø 同意取得の在り⽅に関する参照⽂書 Ø 個情法令和2年改正(個⼈関連情報)

    ⽅向性① 28 【個⼈関連情報】 短期間での同意取得は茨の道 ⼤ 中 ⼩ ⽉曜⽇ ⽕曜⽇ ⽔曜⽇ ⽊曜⽇ ⾦曜⽇ ⼟曜⽇ ⽇曜⽇ 3/1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 ★ 18 19 20 21 22 23 24 25 26 27 28 29 30 31 ASPから何か変な チェックシートが 届いたんですが… ざわ… n 2022年2⽉まで Ø チキンレース的な空気感 n 2022年3⽉ Ø ⾚信号 みんなで渡れば的な空気感 トレンド1 トレンド2 トレンド3
  20. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書(公取委) Ø 「その規約、読みますか?」 Ø 令和2年改正(越境移転) 55

    利⽤規約/PPは読まれない? ⽅向性② n 利⽤規約を知っていると答えたのは27.7% n 利⽤規約を必ず読んでいると答えたのは12.3% 出所:https://www.jftc.go.jp/houdou/pressrelease/2020/apr/digital/200428betten.pdf トレンド1 トレンド2 トレンド3
  21. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書(公取委) Ø 「その規約、読みますか?」 Ø 令和2年改正(越境移転) 56

    開⽰や同意を問い直す主張がされています ⽅向性② 出所:https://www.keisoshobo.co.jp/book/b605810.html n 開⽰義務は良いという根拠がほとんどなくて も、明⽰的な害がほとんどないので魅⼒的で ある n 通常、⽴法者が開⽰を義務づける内容は、素 ⼈に太⼑打ちできるものではない トレンド1 トレンド2 トレンド3
  22. n 同意を消極的に捉える⽅向性の議論 Ø デジタル広告の取引実態に関する中間 報告書(公取委) Ø 「その規約、読みますか?」 Ø 令和2年改正(越境移転) 57

    その領域は同意で本質的解決ができますか ⽅向性② 40 【越境移転_28条】 真に同意できるユーザーはどれほどいたか ⼤ 中 ⼩ ユーザーは「同意」を求められても、越境移転のリスクを真の意味で判断できない 越境移転のリスクを低減するためには、越境移転が許容される質的⽔準を確保すべきでは 1 同意 基準適合体制 Op$on 1 Option 2 CBPR EU, BR Option 3 Op$on 4 n 越境移転について、リスクを把握した上 で同意ができるユーザーがどれだけいた のか トレンド1 トレンド2 トレンド3
  23. 62 同意で解決するなら質を担保しましょう n 質の低い同意取得はいざというとき意味をなさない Ø 問題が顕在化しないうちは良い Ø いざという時には必ず「真に同意があったと ⾔えるのか」と問題になる n

    同意を取るのであれば、その質は担保すべき Ø GDPR Ø freely given Ø Specific Ø Informed Ø unambiguous indication of wishes Ø 参照⽂書 Ø 個別具体的 Ø 明確 トレンド1 トレンド2 トレンド3