Upgrade to Pro — share decks privately, control downloads, hide ads and more …

規約プラポリ作成の最新トレンドアップデート

SEKO_Shuhei
November 09, 2023
2.8k

 規約プラポリ作成の最新トレンドアップデート

11/10(金)の12:00-13:00において、弁護士ドットコム株式会社様で実施した、
「規約プラポリ作成の最新トレンドアップデート」の登壇資料です。

11/20(月), 22(水)の12:00-13:00で再放送も致します。
https://cs.cloudsign.jp/seminar_terms-conditions_20231110

SEKO_Shuhei

November 09, 2023
Tweet

Transcript

  1. #規約プラポリ作成の最新トレンドアップデート それでもなぜ、事業者がプライバシーポリシーを作成するかというと… 14 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2.

    全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 知り得る状態に置かなければならない
  2. #規約プラポリ作成の最新トレンドアップデート 具体的に、「知り得る状態」に置くべき事項を見てみましょうか 15 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2.

    全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 法律の定め
  3. #規約プラポリ作成の最新トレンドアップデート アメリカ(カリフォルニア州)での位置付けを見てみましょう 21 CCPA / CPRA § 7011. Privacy Policy.

    (e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated.
  4. #規約プラポリ作成の最新トレンドアップデート § 7011. Privacy Policy. (e) The privacy policy shall

    include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated. 単純化すると、「データの取扱い」と「権利」の記載を求めています 22 CCPA / CPRA プライバシーポリシーには、以下の情報を含めるものとする: ・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行 ・CCPAが消費者に与える個人情報に関する権利の説明 ・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明 ・プライバシー・ポリシーの最終更新日
  5. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 24 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)

    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先
  6. #規約プラポリ作成の最新トレンドアップデート 25 ①「データの取扱い」についての記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。)

    3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです
  7. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 26 ②「権利」についての記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.

    全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先
  8. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 27 ③その他の事務的な記載 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態(本人の求めに応じて遅滞なく回答 する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.

    全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続(第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置(本人の知り得る状態(本人の求めに応じて遅滞なく回答す る場合を含む。)に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。) •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先
  9. #規約プラポリ作成の最新トレンドアップデート まずは、事業者における取得〜消去までのデータの取扱いを書きます 29 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと n 個人情報保護法 Ø 保有個人データの適正な取扱いの確保に関

    し必要な事項 n CCPA / CPRA Ø 個人情報の取得、利用、販売、共有、およ び保持に関する事業者のオンラインおよび オフラインでの慣行 取得 利用 安全 管理 提供 消去
  10. #規約プラポリ作成の最新トレンドアップデート つづいて、本人に法律上認められた権利とその行使方法を書きます 30 1.事業者のデータの取扱い 3.その他事務的なこと 2.本人の権利 What How n 個人情報保護法

    Ø 請求に応じる手続 n CCPA / CPRA Ø CCPAが消費者に与える個人情報に関する 権利の説明 Ø 消費者がCCPAの権利を行使する方法と、 そのプロセスから消費者が期待できること の説明
  11. #規約プラポリ作成の最新トレンドアップデート 【上級】ボトムアップで作るなら、データフローの把握から始めましょう 36 【概要】Data Flow Diagram 【詳細】Data Flow 取得 保存

    利⽤ 提供 Wサービス スマートフォンアプリ Amazon RDS XXX region Win / Macアプリ WWW端末 ウェブサイト ユーザー登録 Amazon RDS XXX region YYYエンジン Google Cloud BigQuery ZZZ ZZZ株式会社 ZZZ株式会社 YYY CMS ZZZ 出所:https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f
  12. #規約プラポリ作成の最新トレンドアップデート まずは、不足しがちな内容から見ていきましょう 46 ①不足しがちな内容 n 取得 p 直接取得以外についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ
  13. #規約プラポリ作成の最新トレンドアップデート プラポリの「取得」の部分も、3パターンに分けて書くといいと思います 52 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 (ア) 自動的に付与 (イ) 分析結果の付与 ウ 第三者からの取得 (ア) 公開情報からの取得 (イ) 他社からの取得
  14. #規約プラポリ作成の最新トレンドアップデート 「自社による付与」は、2パターンくらいに分類して理解するといいです 53 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 (ア) 自動的に付与 (イ) 分析結果の付与 ウ 第三者からの取得 (ア) 公開情報からの取得 (イ) 他社からの取得 n IPアドレス n 行動履歴、アクセスログ 自動的に 付与 n IPアドレス →IPアドレスに基づく位置情報推定 n 行動履歴、アクセスログ →属性情報の推定(興味関心 etc) 分析結果 の付与
  15. #規約プラポリ作成の最新トレンドアップデート 「第三者からの取得」は、公開情報からの取得が最近顕著に増えてますよね 54 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 (ア) 自動的に付与 (イ) 分析結果の付与 ウ 第三者からの取得 (ア) 公開情報からの取得 (イ) 他社からの取得 n ウェブクローリング 公開情報 からの取得 n 個人データの第三者提供 n 個人関連情報の第三者提供 他社 からの取得
  16. #規約プラポリ作成の最新トレンドアップデート 不足しがちな内容の2つ目は、個人関連情報です 55 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ
  17. #規約プラポリ作成の最新トレンドアップデート そうすると、他社との協業検討時点でこういうことが起こります 62 プラポリ作成時点 不足しがち 書き過ぎ 他社との協業検討時点 (説明よくわからんし) いや、そういう 予定はないですね

    個人関連情報の 取得予定って あります? 法務 事業 すいません、 A社から個人関連情報 を取得したいのですが 事業 ...!!! いや、取得の同意 取ってないです 法務
  18. #規約プラポリ作成の最新トレンドアップデート データの「取得」からデータの「提供」の話に移ります 64 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ
  19. #規約プラポリ作成の最新トレンドアップデート あれ、利用する権限が与えられていれば「提供」に… 70 不足しがち 書き過ぎ 改めて定義 登録情報の公開設定 他社など 自社 本人

    取得 公開 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報(以下 この項において「個人データ等」という。)を、自己以外の者が利用可能な状態に置くことをいう。個人 データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人 データ等を利用できる状態にあれば(利用する権限が与えられていれば)、「提供」に当たる。
  20. #規約プラポリ作成の最新トレンドアップデート つづいては、一番出現率が高い第三者提供同意にいきます 74 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ
  21. #規約プラポリ作成の最新トレンドアップデート ざっくりと、カスタマーマッチの仕組み(の一例)をご説明します 76 不足しがち 書き過ぎ 自社 個人情報 データベース等 ハッシュ化 個人データ

    【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み
  22. #規約プラポリ作成の最新トレンドアップデート 「提供元基準」の下、個人データの提供が発生します 77 不足しがち 書き過ぎ 提供 自社 他社 (プラットフォーマー) 個人情報

    データベース等 ハッシュ化 個人データ 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み
  23. #規約プラポリ作成の最新トレンドアップデート 他社は、受け取った個人データを、個人情報データベース等にぶつけます 78 不足しがち 書き過ぎ 提供 自社 他社 (プラットフォーマー) 個人情報

    データベース等 個人情報 データベース等 ハッシュ化 個人データ 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み
  24. #規約プラポリ作成の最新トレンドアップデート 浮かび上がったターゲットユーザーに対して、広告等を配信します 79 不足しがち 書き過ぎ 提供 広告配信 自社 他社 (プラットフォーマー)

    個人情報 データベース等 個人情報 データベース等 ハッシュ化 個人データ 個人情報 データベース等 他社 (広告ネットワーク) 【凡例】 :メールアドレスなど :ハッシュ化したメールアドレスなど :ターゲットユーザーの情報 カスタマーマッチの仕組み
  25. #規約プラポリ作成の最新トレンドアップデート 「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 82 ほとばしるジャイアニズム 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

    (2)データの利用目的 (3)データの安全管理 (4)データの提供 当社は、上記「(2)データの利用目的」の 達成に必要な範囲で、「(1)取得するデー タ」記載のデータを第三者に提供すること があります。
  26. #規約プラポリ作成の最新トレンドアップデート 「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 83 ほとばしるジャイアニズム 不足しがち 書き過ぎ 「本人の同意」とは、本人の個人情報が、個人 情報取扱事業者によって示された取扱方法で 取り扱われることを承諾する旨の当該本人の 意思表示をいう(当該本人であることを確認で

    きていることが前提となる。)。 また、「本人の同意を得(る)」とは、本人の承 諾する旨の意思表示を当該個人情報取扱事 業者が認識することをいい、事業の性質及び 個人情報の取扱状況に応じ、本人が同意に 係る判断を行うために必要と考えられる合理 的かつ適切な方法によらなければならない。 出所:https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-16 ガイドライン上の定義 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ (2)データの利用目的 (3)データの安全管理 (4)データの提供 当社は、上記「(2)データの利用目的」の 達成に必要な範囲で、「(1)取得するデー タ」記載のデータを第三者に提供すること があります。
  27. #規約プラポリ作成の最新トレンドアップデート 最後に、従業員向けプライバシーポリシーの話をします 84 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ
  28. #規約プラポリ作成の最新トレンドアップデート n 公開状況 Ø 顧客向けのため対外的に公開 n サンプル数 Ø 同業他社のサンプルが大量に存在 従業員向けのプライバシーポリシー忘れがち問題、ありますよね

    86 顧客向け プライバシーポリシー n 公開状況 Ø 社内向けのため対外的に非公開 n サンプル数 Ø 同業他社のサンプルが見えにくい ※従業員情報を各種SaaSに取込む、従 業員のエンゲージメントを分析をする等の 取組みが想定され、対応の必要性は全く 低くない 従業員向け プライバシーポリシー 不足しがち 書き過ぎ
  29. #規約プラポリ作成の最新トレンドアップデート 個人情報保護法上の要求は、実はかなり低く設定されています 93 不足しがち 書き過ぎ 法第32条(第1項) 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 (本人の求めに応じて遅滞なく回答する場合を含む。)に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者

    の氏名 2. 全ての保有個人データの利用目的(第21条第4項第1号から第3号までに該当する場合を 除く。) 3. 次項の規定による求め又は次条第1項(同条第5項において準用する場合を含む。)、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続(第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。) 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 「遅滞なく回答」でもOK
  30. #規約プラポリ作成の最新トレンドアップデート もう見るのも嫌だと思いますが、こんな条文でした 101 (情報送信指令通信に係る通知等) 第二十七条の十二 電気通信事業者又は第三号事業を営む者(内容、利用者の範囲及び利用状 況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務 を提供する者に限る。)は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通 信設備を送信先とする情報送信指令通信(利用者の電気通信設備が有する情報送信機能(利用者 の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に

    送信する機能をいう。以下この条において同じ。)を起動する指令を与える電気通信の送信をいう。 以下この条において同じ。)を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該 情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情 報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者 に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次 に掲げるものである場合は、この限りでない。
  31. #規約プラポリ作成の最新トレンドアップデート これらは、プライバシーポリシーで言えば「取得」の場面の話です 107 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

    ア 当社による取得 イ 他社による取得 当社のウェブサイトやアプリケーションに設置した タグやモジュールにより、他社が、お客様のデータを 取得することがあります。 具体的には…
  32. #規約プラポリ作成の最新トレンドアップデート 皆さんご存知の通り、「個人情報」の定義ってめちゃめちゃ広いですよね? 118 情報資産 個人情報 非個人情報 単独で特定個人 識別性のあるデータ ・ユーザーID ・氏名

    ・住所 容易照合性の下で 特定個人識別性のあるデータ ・ユーザーID ・利用履歴 容易照合性の下で 特定個人識別性のあるデータ ・ユーザーID ・属性情報
  33. #規約プラポリ作成の最新トレンドアップデート この「提供」の段階で取りうるオプションは、主として3つあります 123 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務
  34. #規約プラポリ作成の最新トレンドアップデート 第三者提供は、提供先にデータをあげてしまうことです 124 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務
  35. #規約プラポリ作成の最新トレンドアップデート 委託は、自社の責任の下で提供先にデータを預けることです 125 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務
  36. #規約プラポリ作成の最新トレンドアップデート クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 126 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務
  37. #規約プラポリ作成の最新トレンドアップデート そして、第三者提供においては原則同意が必要なので… 142 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 同意取得

    自社プラポリ 監督義務 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 自社プラポリ 自社プラポリ 監督義務 監督義務
  38. #規約プラポリ作成の最新トレンドアップデート 生成AIの利用は、「委託」として整理するのが穏当でしょう 143 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務
  39. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る)

    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 3つのオプションはまた、「第三者」「提供」の該当性にも差異があります 145 第三者 第三者 提供 提供 第三者 提供
  40. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る)

    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 第三者提供は、文字通り「第三者」への「提供」にあたります 146 第三者 第三者 提供 提供 第三者 提供
  41. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る)

    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 委託は、「提供」にはあたりますが「第三者」にはあたりません 147 第三者 第三者 提供 提供 第三者 提供
  42. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る)

    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する そして、そのどちらにもあたらないのがクラウド例外です 148 第三者 第三者 提供 提供 第三者 提供
  43. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n 委託 提供先にデータを預ける(=管理権限は提供元に残る)

    →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 【再掲】提供に該当するのは、「第三者提供」と「委託」でした 154 第三者 第三者 提供 提供 第三者 提供
  44. #規約プラポリ作成の最新トレンドアップデート え…学習に利用しないなら、クラウド例外でいけるってこと? 160 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) →「第三者」に対してデータを「提供」する 2 n

    委託 提供先にデータを預ける(=管理権限は提供元に残る) →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 第三者 第三者 提供 提供 第三者 提供
  45. #規約プラポリ作成の最新トレンドアップデート クラウド例外として整理できる方が、利用事業者としては非常に楽です 161 1 n 第三者提供 提供先にデータをあげてしまう(=管理権限が提供先に移る) その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 2

    n 委託 提供先にデータを預ける(=管理権限は提供元に残る) その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 同意取得 同意取得 自社プラポリ 自社プラポリ 監督義務 監督義務 3 n 「取り扱わないこととなっている場合」(クラウド例外) 提供先にデータを預ける(=管理権限が提供元に残る) その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 自社プラポリ 監督義務
  46. #規約プラポリ作成の最新トレンドアップデート 個人的には、こういうことなんじゃないのかなぁと思うんですけどね 164 入力した情報について、生成AIが 学習データとして利用する 入力した情報について、生成AIが 学習データとして利用しない 個人データを 提供したことになる FAQ7-53の要件*1を満たせば

    個人データを提供したことに ならない場合がある*2 クラウド例外は不可 (第三者提供 or 委託) 第三者提供 or 委託 or クラウド例外 パターン1 パターン2 *1「契約条項によって取り扱わない旨が定められている」「適切にアクセス制御を行っている」 *2 例えば、編集・分析等の処理は機械的に行われ、個人データの取得を防止するための措置が講じられている場合とか(cf. FAQ 7-55)