規約プラポリ作成の最新トレンドアップデート

Transcript

1. #規約プラポリ作成の最新トレンドアップデート 規約プラポリ作成の最新トレンド アップデート 2023.11.10 於 弁護士ドットコム

2. #規約プラポリ作成の最新トレンドアップデート 国内外の、個人情報保護法と電気通信事業法だけをやっている弁護士です 世古 修平（せこ しゅうへい） n 法律事務所LEACT n LINEヤフー株式会社 n

   IPA（試験委員） n 経済産業省（電子商取引及び情報財取 引等に関する準則 研究会委員） 2

3. #規約プラポリ作成の最新トレンドアップデート 今日は、去年やったセミナーのアップデートをやります 3

4. #規約プラポリ作成の最新トレンドアップデート 感想はぜひ、随時X（旧Twitter）で教えてください 4 #規約プラポリ作成の最新トレンドアップデート

5. #規約プラポリ作成の最新トレンドアップデート こちら、私の執務環境なのですが… 5

6. #規約プラポリ作成の最新トレンドアップデート マルチモニターで確認しながら進めるつもりではおります 6 セミナー用 X（旧Twitter）用

7. #規約プラポリ作成の最新トレンドアップデート 2023年の最新トレンド… 7 出所：https://prtimes.jp/main/html/rd/p/000000081.000020799.html

8. #規約プラポリ作成の最新トレンドアップデート 【トレンド1】外部送信規律（cookie法） 8 出所：https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

9. #規約プラポリ作成の最新トレンドアップデート 【トレンド2】生成AI（Generative AI） 9 出所：https://openai.com/blog/chatgpt

10. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

11. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

12. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

13. #規約プラポリ作成の最新トレンドアップデート 日本には、プライバシーポリシーの作成を義務付ける法律はありません 13

14. #規約プラポリ作成の最新トレンドアップデート それでもなぜ、事業者がプライバシーポリシーを作成するかというと… 14 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 （本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2.

    全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を 除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 知り得る状態に置かなければならない

15. #規約プラポリ作成の最新トレンドアップデート 具体的に、「知り得る状態」に置くべき事項を見てみましょうか 15 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 （本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者 の氏名 2.

    全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を 除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 法律の定め

16. #規約プラポリ作成の最新トレンドアップデート そして「政令で定めるもの」は、具体的にいうと… 16 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 1. 法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る 状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人デ ータの安全管理に支障を及ぼすおそれがあるものを除く。） 2.

    当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、 当該認定個人情報保護団体の名称及び苦情の解決の申出先 政令の定め

17. #規約プラポリ作成の最新トレンドアップデート うーんと、なるほど…？ 17

18. #規約プラポリ作成の最新トレンドアップデート プライバシーポリシーとは「何か」を定めていないので、理解が定着しない 18 えーっと、なんか… 利用目的とか安全管理措置 を定めた文書ですよね。

19. #規約プラポリ作成の最新トレンドアップデート 【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう 19

20. #規約プラポリ作成の最新トレンドアップデート そこで、Privacy policyの作成が義務付けられている国の法律を見てみます 20

21. #規約プラポリ作成の最新トレンドアップデート アメリカ（カリフォルニア州）での位置付けを見てみましょう 21 CCPA / CPRA § 7011. Privacy Policy.

    (e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated.

22. #規約プラポリ作成の最新トレンドアップデート § 7011. Privacy Policy. (e) The privacy policy shall

    include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated. 単純化すると、「データの取扱い」と「権利」の記載を求めています 22 CCPA / CPRA プライバシーポリシーには、以下の情報を含めるものとする： ・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行 ・CCPAが消費者に与える個人情報に関する権利の説明 ・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明 ・プライバシー・ポリシーの最終更新日

23. #規約プラポリ作成の最新トレンドアップデート なるほど、そうだとすると翻って… 23

24. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 24 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答 する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。）

    3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答す る場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

25. #規約プラポリ作成の最新トレンドアップデート 25 ①「データの取扱い」についての記載 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答 する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。）

    3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答す る場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです

26. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 26 ②「権利」についての記載 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答 する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.

    全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答す る場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

27. #規約プラポリ作成の最新トレンドアップデート 日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 27 ③その他の事務的な記載 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答 する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.

    全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、 第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料 の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの 政令第10条 法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答す る場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び 苦情の解決の申出先

28. #規約プラポリ作成の最新トレンドアップデート 【まとめ】結局、プライバシーポリシーには何を書けばいいのか 28 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

29. #規約プラポリ作成の最新トレンドアップデート まずは、事業者における取得〜消去までのデータの取扱いを書きます 29 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと n 個人情報保護法 Ø 保有個人データの適正な取扱いの確保に関

    し必要な事項 n CCPA / CPRA Ø 個人情報の取得、利用、販売、共有、およ び保持に関する事業者のオンラインおよび オフラインでの慣行 取得 利用 安全 管理 提供 消去

30. #規約プラポリ作成の最新トレンドアップデート つづいて、本人に法律上認められた権利とその行使方法を書きます 30 1.事業者のデータの取扱い 3.その他事務的なこと 2.本人の権利 What How n 個人情報保護法

    Ø 請求に応じる手続 n CCPA / CPRA Ø CCPAが消費者に与える個人情報に関する 権利の説明 Ø 消費者がCCPAの権利を行使する方法と、 そのプロセスから消費者が期待できること の説明

31. #規約プラポリ作成の最新トレンドアップデート 最後に、その他の事務的な（けれども大事な）ことを書きます 31 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと n 個人情報保護法 Ø 当該個人情報取扱事業者の氏名又は名称及

    び住所並びに法人にあっては、その代表者 の氏名 n CCPA / CPRA Ø プライバシー・ポリシーの最終更新日

32. #規約プラポリ作成の最新トレンドアップデート プライバシーポリシーには何を書けばいいか、ざっくり理解できましたか？ 32 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

33. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

34. #規約プラポリ作成の最新トレンドアップデート 【初級】とりあえず作るってケース、結構多いですよね 34 同業他社のコピペ 「特商法と合わせて5万円でお願いします」

35. #規約プラポリ作成の最新トレンドアップデート 【中級】サンプルを見ながら作るなら、ちゃんとこの辺の本を読むべき 35 出所：https://gihyo.jp/book/2019/978-4-297-10326-2, https://www.biz-book.jp/isbn/978-4-502-41961-4 主に国内向け 主に国外向け

36. #規約プラポリ作成の最新トレンドアップデート 【上級】ボトムアップで作るなら、データフローの把握から始めましょう 36 【概要】Data Flow Diagram 【詳細】Data Flow 取得 保存

    利⽤ 提供 Wサービス スマートフォンアプリ Amazon RDS XXX region Win / Macアプリ WWW端末 ウェブサイト ユーザー登録 Amazon RDS XXX region YYYエンジン Google Cloud BigQuery ZZZ ZZZ株式会社 ZZZ株式会社 YYY CMS ZZZ 出所：https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f

37. #規約プラポリ作成の最新トレンドアップデート なぜなら、プライバシーポリシーには「データの取扱い」を書くからです 37 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと 取得 利用 安全 管理

    提供 消去

38. #規約プラポリ作成の最新トレンドアップデート あれやこれがダメなのは、答えを知らないのに答えを書いているからです 38 同業他社のコピペ 「特商法と合わせて5万円でお願いします」

39. #規約プラポリ作成の最新トレンドアップデート データフローの記載ルールは、別に法定されている訳ではありません 39 出所：https://www.ppc.go.jp/files/pdf/pia_overview.pdf

40. #規約プラポリ作成の最新トレンドアップデート が、個人情報保護委員会のツールは詳細過ぎて難易度がやや高いと思います 40 出所： https://www.ppc.go.jp/personalinfo/independent_effort/

41. #規約プラポリ作成の最新トレンドアップデート アジャイル的な開発・発想が広まった現代、情報はすぐに鮮度が落ちます 41 詳細だが使われず更新されないデータフロー 簡略だが使われ更新されるデータフロー N月３１日までに、今年度の XX管理台帳の更新を お願いします

42. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

43. #規約プラポリ作成の最新トレンドアップデート 【再掲】とはいえ、仕方なく「とりあえず作る」ケースも多いと想像します 43 同業他社のコピペ 「特商法と合わせて5万円でお願いします」

44. #規約プラポリ作成の最新トレンドアップデート そこで、「とりあえず」作ったプラポリをチェックするTipsを紹介します 44 ①不足しがちな内容 ②書き過ぎな内容

45. #規約プラポリ作成の最新トレンドアップデート Tipsを説明する上では、以下のようなプライバシーポリシーを想定します 45 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ (2)データの利用目的 (3)データの安全管理 (4)データの提供

    (5)データの消去 2.お客様の権利 (1)権利の内容 (2)権利の行使方法 3.その他 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

46. #規約プラポリ作成の最新トレンドアップデート まずは、不足しがちな内容から見ていきましょう 46 ①不足しがちな内容 n 取得 p 直接取得以外についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

47. #規約プラポリ作成の最新トレンドアップデート 個人情報って、本人から直接取得する以外のケースもありますよね？ 47 ①不足しがちな内容 n 取得 p 直接取得以外についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

48. #規約プラポリ作成の最新トレンドアップデート 最も典型的な、ユーザーがウェブサイト等から情報を入力するケースです 48 ケース1：本人から直接取得 不足しがち 書き過ぎ 取得

49. #規約プラポリ作成の最新トレンドアップデート ユーザーに対して、自社で情報を付与するケースってありますよね？ 49 ケース1：本人から直接取得 不足しがち 書き過ぎ ケース2：自社による付与 取得 取得 分析

50. #規約プラポリ作成の最新トレンドアップデート 本人でも自社でもなく、第三者から取得してくるケースもあるはずです 50 ケース1：本人から直接取得 不足しがち 書き過ぎ ケース2：自社による付与 取得 取得 分析

    第三者提供 ケース3：第三者からの取得

51. #規約プラポリ作成の最新トレンドアップデート ケース2,3が個人情報に該当することを忘れがちなので注意してください 51 ケース1：本人から直接取得 不足しがち 書き過ぎ 取得 第三者提供 ケース3：第三者からの取得 ケース2：自社による付与

    取得 分析

52. #規約プラポリ作成の最新トレンドアップデート プラポリの「取得」の部分も、3パターンに分けて書くといいと思います 52 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 （ア） 自動的に付与 （イ） 分析結果の付与 ウ 第三者からの取得 （ア） 公開情報からの取得 （イ） 他社からの取得

53. #規約プラポリ作成の最新トレンドアップデート 「自社による付与」は、2パターンくらいに分類して理解するといいです 53 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 （ア） 自動的に付与 （イ） 分析結果の付与 ウ 第三者からの取得 （ア） 公開情報からの取得 （イ） 他社からの取得 n IPアドレス n 行動履歴、アクセスログ 自動的に 付与 n IPアドレス →IPアドレスに基づく位置情報推定 n 行動履歴、アクセスログ →属性情報の推定（興味関心 etc） 分析結果 の付与

54. #規約プラポリ作成の最新トレンドアップデート 「第三者からの取得」は、公開情報からの取得が最近顕著に増えてますよね 54 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ ア

    お客様からの取得 イ 自社による付与 （ア） 自動的に付与 （イ） 分析結果の付与 ウ 第三者からの取得 （ア） 公開情報からの取得 （イ） 他社からの取得 n ウェブクローリング 公開情報 からの取得 n 個人データの第三者提供 n 個人関連情報の第三者提供 他社 からの取得

55. #規約プラポリ作成の最新トレンドアップデート 不足しがちな内容の2つ目は、個人関連情報です 55 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

56. #規約プラポリ作成の最新トレンドアップデート 令和2年改正で新たに追加された個人関連情報、わかりにくいですよね 56 不足しがち 書き過ぎ （個人関連情報の第三者提供の制限等） 第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するも のに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七 条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める

    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

57. #規約プラポリ作成の最新トレンドアップデート 他社が、非個人情報である個人関連情報を持っている状況を想定します 57 不足しがち 書き過ぎ （個人関連情報の第三者提供の制限等） 第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するも のに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七 条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める

    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。 他社 個人関連情報 【凡例】 ：端末識別子、ブラウザ識別子など ：ユーザー識別子など

58. #規約プラポリ作成の最新トレンドアップデート 自社は、各「ユーザー」と「端末/ブラウザ」の対応関係を把握しています 58 不足しがち 書き過ぎ （個人関連情報の第三者提供の制限等） 第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するも のに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七 条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める

    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。 自社 個人情報 【凡例】 ：端末識別子、ブラウザ識別子など ：ユーザー識別子など

59. #規約プラポリ作成の最新トレンドアップデート 他社は、自社に対して非個人情報である個人関連情報を提供します 59 不足しがち 書き過ぎ （個人関連情報の第三者提供の制限等） 第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するも のに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七 条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める

    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。 提供 他社 自社 個人関連情報 個人情報 【凡例】 ：端末識別子、ブラウザ識別子など ：ユーザー識別子など

60. #規約プラポリ作成の最新トレンドアップデート すると自社は、テーブルを繋げてよりリッチな情報を得ることができます 60 不足しがち 書き過ぎ （個人関連情報の第三者提供の制限等） 第三十一条 個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するも のに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七 条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める

    ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。 個人情報 個人情報 自社 ここで繋げる（JOINする） ことができる 個人関連情報 【凡例】 ：端末識別子、ブラウザ識別子など ：ユーザー識別子など

61. #規約プラポリ作成の最新トレンドアップデート 協業を前提とした規定なので、作成時点では必要性を認識しにくいです 61 プラポリ作成時点 不足しがち 書き過ぎ （説明よくわからんし） いや、そういう 予定はないですね 個人関連情報の

    取得予定って あります？ 法務 事業

62. #規約プラポリ作成の最新トレンドアップデート そうすると、他社との協業検討時点でこういうことが起こります 62 プラポリ作成時点 不足しがち 書き過ぎ 他社との協業検討時点 （説明よくわからんし） いや、そういう 予定はないですね

    個人関連情報の 取得予定って あります？ 法務 事業 すいません、 A社から個人関連情報 を取得したいのですが 事業 ...！！！ いや、取得の同意 取ってないです 法務

63. #規約プラポリ作成の最新トレンドアップデート 書くのであれば、「他社からの取得」に記載するのがわかりやすいです 63 個人関連情報の取得 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

    ア お客様からの取得 イ 自社による付与 ウ 第三者からの取得 （ア） 公開情報からの取得 （イ） 他社からの取得 ・個人データの取得 ・個人関連情報の取得

64. #規約プラポリ作成の最新トレンドアップデート データの「取得」からデータの「提供」の話に移ります 64 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

65. #規約プラポリ作成の最新トレンドアップデート 前提として、「提供」の定義をおさらいしましょう 65 不足しがち 書き過ぎ 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下 この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個 人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個 人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-17

66. #規約プラポリ作成の最新トレンドアップデート イメージしやすいのは、USBメモリに入れて渡すような物理的な提供です 66 不足しがち 書き過ぎ 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下 この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人 データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人 データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。 物理的な提供

    USBメモリの提供 他社 自社

67. #規約プラポリ作成の最新トレンドアップデート アクセス権限を設定するだけでも、「提供」に該当するので注意です 67 不足しがち 書き過ぎ 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下 この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人 データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人 データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。 物理的な提供

    論理的な提供 USBメモリの提供 ネットワークでの アクセス権限の付与 他社 自社 他社 自社

68. #規約プラポリ作成の最新トレンドアップデート もう少し、この「論理的な提供」を深掘りしていきましょう 68 これが提供にあたり得る ことに疑いはない 不足しがち 書き過ぎ 取得 他社 自社

    開示 本人 典型的な提供

69. #規約プラポリ作成の最新トレンドアップデート 登録情報の公開設定って、法的にどう整理されるか考えたことありますか 69 これが提供にあたり得る ことに疑いはない こちらはあんまり意識しないまま 適法だと考えているところも多い 不足しがち 書き過ぎ 取得

    他社 自社 開示 本人 他社など 自社 本人 取得 公開 登録情報の公開設定 典型的な提供

70. #規約プラポリ作成の最新トレンドアップデート あれ、利用する権限が与えられていれば「提供」に… 70 不足しがち 書き過ぎ 改めて定義 登録情報の公開設定 他社など 自社 本人

    取得 公開 「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下 この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人 データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人 データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

71. #規約プラポリ作成の最新トレンドアップデート 理論的根拠や、法的な位置付けが不明確な「解されない」という説明 71 ガイドラインの記載 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-1 不足しがち 書き過ぎ

72. #規約プラポリ作成の最新トレンドアップデート FAQでは、明示的な同意と合わせて「黙示的」な同意に言及されています 72 ガイドラインの記載 FAQの記載 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q13-33 不足しがち 書き過ぎ

73. #規約プラポリ作成の最新トレンドアップデート 「プライバシーポリシー」と「UI」の二段構えでの対処がおすすめです 73 プライバシーポリシー（明示的な同意） UI（黙示的な同意） 出所：https://line.me/ja/terms/policy/ https://www.facebook.com/ 不足しがち 書き過ぎ

74. #規約プラポリ作成の最新トレンドアップデート つづいては、一番出現率が高い第三者提供同意にいきます 74 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

75. #規約プラポリ作成の最新トレンドアップデート 皆さん大好き（私も大好き）「混ぜるな危険」の話をしましょうか 75 出所：https://bruceclay.jpn.com/column/customer-match/ 不足しがち 書き過ぎ カスタマーマッチの仕組み

76. #規約プラポリ作成の最新トレンドアップデート ざっくりと、カスタマーマッチの仕組み（の一例）をご説明します 76 不足しがち 書き過ぎ 自社 個人情報 データベース等 ハッシュ化 個人データ

    【凡例】 ：メールアドレスなど ：ハッシュ化したメールアドレスなど ：ターゲットユーザーの情報 カスタマーマッチの仕組み

77. #規約プラポリ作成の最新トレンドアップデート 「提供元基準」の下、個人データの提供が発生します 77 不足しがち 書き過ぎ 提供 自社 他社 （プラットフォーマー） 個人情報

    データベース等 ハッシュ化 個人データ 【凡例】 ：メールアドレスなど ：ハッシュ化したメールアドレスなど ：ターゲットユーザーの情報 カスタマーマッチの仕組み

78. #規約プラポリ作成の最新トレンドアップデート 他社は、受け取った個人データを、個人情報データベース等にぶつけます 78 不足しがち 書き過ぎ 提供 自社 他社 （プラットフォーマー） 個人情報

    データベース等 個人情報 データベース等 ハッシュ化 個人データ 【凡例】 ：メールアドレスなど ：ハッシュ化したメールアドレスなど ：ターゲットユーザーの情報 カスタマーマッチの仕組み

79. #規約プラポリ作成の最新トレンドアップデート 浮かび上がったターゲットユーザーに対して、広告等を配信します 79 不足しがち 書き過ぎ 提供 広告配信 自社 他社 （プラットフォーマー）

    個人情報 データベース等 個人情報 データベース等 ハッシュ化 個人データ 個人情報 データベース等 他社 （広告ネットワーク） 【凡例】 ：メールアドレスなど ：ハッシュ化したメールアドレスなど ：ターゲットユーザーの情報 カスタマーマッチの仕組み

80. #規約プラポリ作成の最新トレンドアップデート ここでいう提供が、委託ですか？第三者提供ですか？という議論でした 80 不足しがち 書き過ぎ 他社 （プラットフォーマー） 【凡例】 ：メールアドレスなど ：ハッシュ化したメールアドレスなど

    ：ターゲットユーザーの情報 「混ぜるな危険」って何だっけ 提供 自社 個人情報 データベース等 ハッシュ化 個人データ

81. #規約プラポリ作成の最新トレンドアップデート 議論の余地はもはやなく、死んだ論点ですしきちんと対応しましょう 81 不足しがち 書き過ぎ 「第三者提供」の同意が必要です 出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41

82. #規約プラポリ作成の最新トレンドアップデート 「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 82 ほとばしるジャイアニズム 不足しがち 書き過ぎ 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

    (2)データの利用目的 (3)データの安全管理 (4)データの提供 当社は、上記「(2)データの利用目的」の 達成に必要な範囲で、「(1)取得するデー タ」記載のデータを第三者に提供すること があります。

83. #規約プラポリ作成の最新トレンドアップデート 「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 83 ほとばしるジャイアニズム 不足しがち 書き過ぎ 「本人の同意」とは、本人の個人情報が、個人 情報取扱事業者によって示された取扱方法で 取り扱われることを承諾する旨の当該本人の 意思表示をいう（当該本人であることを確認で

    きていることが前提となる。）。 また、「本人の同意を得（る）」とは、本人の承 諾する旨の意思表示を当該個人情報取扱事 業者が認識することをいい、事業の性質及び 個人情報の取扱状況に応じ、本人が同意に 係る判断を行うために必要と考えられる合理 的かつ適切な方法によらなければならない。 出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-16 ガイドライン上の定義 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ (2)データの利用目的 (3)データの安全管理 (4)データの提供 当社は、上記「(2)データの利用目的」の 達成に必要な範囲で、「(1)取得するデー タ」記載のデータを第三者に提供すること があります。

84. #規約プラポリ作成の最新トレンドアップデート 最後に、従業員向けプライバシーポリシーの話をします 84 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

    n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー 不足しがち 書き過ぎ

85. #規約プラポリ作成の最新トレンドアップデート n 公開状況 Ø 顧客向けのため対外的に公開 n サンプル数 Ø 同業他社のサンプルが大量に存在 ここまでの説明は、主として顧客向けプライバシーポリシーの話でした

    85 顧客向け プライバシーポリシー 不足しがち 書き過ぎ

86. #規約プラポリ作成の最新トレンドアップデート n 公開状況 Ø 顧客向けのため対外的に公開 n サンプル数 Ø 同業他社のサンプルが大量に存在 従業員向けのプライバシーポリシー忘れがち問題、ありますよね

    86 顧客向け プライバシーポリシー n 公開状況 Ø 社内向けのため対外的に非公開 n サンプル数 Ø 同業他社のサンプルが見えにくい ※従業員情報を各種SaaSに取込む、従 業員のエンゲージメントを分析をする等の 取組みが想定され、対応の必要性は全く 低くない 従業員向け プライバシーポリシー 不足しがち 書き過ぎ

87. #規約プラポリ作成の最新トレンドアップデート それなりに成熟した企業でも、こういう発言はよく見ますが… 87 まぁ、うちの従業員は そういう面倒なことは言わないんで大丈夫かと。 不足しがち 書き過ぎ

88. #規約プラポリ作成の最新トレンドアップデート こういう発言と、意味しているところには大差がないです 88 まぁ、子供なんてね。 大人が何言ってるかなんか分かってないんで、 言いくるめて同意とっておけばいいんですよ 不足しがち 書き過ぎ

89. #規約プラポリ作成の最新トレンドアップデート GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています 89 出所：https://www.ppc.go.jp/files/pdf/doui_guideline.pdf https://edpb.europa.eu/news/news/2023/edpb-informs-stakeholders-about-implications-dpf-and-adopts-statement-first-review_en 不足しがち 書き過ぎ

90. #規約プラポリ作成の最新トレンドアップデート GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています 90 同時に、EDPBは、特に、日本の法律における「仮 名化」された個人情報の新しいカテゴリーや、力の 不均衡な状況における同意の使用に関して、欧州 委員会によるより緊密な監視が必要な分野もある と考えている。したがって、EDPBは、これらの問題 を注意深く監視するという欧州委員会のコミットメン トを歓迎する。

    不足しがち 書き過ぎ

91. #規約プラポリ作成の最新トレンドアップデート 続いて、書き過ぎな内容について考えます 91 ②書き過ぎな内容 n 「本人の知り得る状態」（個情法32条） n その規約、読みますか？ n 説明し過ぎることで生じる不信感

    不足しがち 書き過ぎ

92. #規約プラポリ作成の最新トレンドアップデート どれくらい詳細に書くのがいいかもまた悩ましい問題ですよね 92 不足しがち 書き過ぎ

93. #規約プラポリ作成の最新トレンドアップデート 個人情報保護法上の要求は、実はかなり低く設定されています 93 不足しがち 書き過ぎ 法第32条（第1項） 個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態 （本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者

    の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を 除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項とし て政令で定めるもの 「遅滞なく回答」でもOK

94. #規約プラポリ作成の最新トレンドアップデート その規約、読みますか？ 94 n 開示義務は良いという根拠がほとんどなくても、明示的 な害がほとんどないので魅力的である n 通常、立法者が開示を義務づける内容は、素人に太刀 打ちできるものではない 不足しがち

    書き過ぎ 出所：https://www.keisoshobo.co.jp/book/b605810.html

95. #規約プラポリ作成の最新トレンドアップデート 非専門家に対して、詳しく説明し過ぎると逆に不信感を招く？ 95 不足しがち 書き過ぎ 出所： https://engineering.linecorp.com/ja/blog/ACM-CCS-2022-report

96. #規約プラポリ作成の最新トレンドアップデート 必要十分な、ミニマムなプライバシーポリシーって何だろうか 96 不足しがち 書き過ぎ

97. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

98. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

99. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

    n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

100. #規約プラポリ作成の最新トレンドアップデート 【トレンド1】外部送信規律（cookie法） 100 出所：https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

101. #規約プラポリ作成の最新トレンドアップデート もう見るのも嫌だと思いますが、こんな条文でした 101 （情報送信指令通信に係る通知等） 第二十七条の十二 電気通信事業者又は第三号事業を営む者（内容、利用者の範囲及び利用状 況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務 を提供する者に限る。）は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通 信設備を送信先とする情報送信指令通信（利用者の電気通信設備が有する情報送信機能（利用者 の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に

     送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信をいう。 以下この条において同じ。）を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該 情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情 報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者 に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次 に掲げるものである場合は、この限りでない。

102. #規約プラポリ作成の最新トレンドアップデート ①まず、ユーザーがサービス提供環境（1st環境）にアクセスをします 102 【1st 環境】 ①アクセス ユーザー

103. #規約プラポリ作成の最新トレンドアップデート ②すると、ウェブサイトに仕込まれていたタグが発火*1します 103 【1st 環境】 ②タグ発火 etc *1 タグが作動して、その後の一連の処理が開始されること ユーザー

104. #規約プラポリ作成の最新トレンドアップデート ③1st環境からユーザーに、「情報送信指令通信」が送られます 104 【1st 環境】 ③情報送信指令通信 ユーザー

105. #規約プラポリ作成の最新トレンドアップデート ④その結果、ユーザーの端末に記録された情報が外部に送信されます 105 【1st 環境】 【1st or 3rd環境】 ④端末に記録された当該利用者に関する情報を送信 ユーザー

106. #規約プラポリ作成の最新トレンドアップデート 詳細説明資料をSpeaker Deckで公開しているのでよろしければご覧ください 106 出所：https://speakerdeck.com/seko_shuhei/enzinianojie-yang-xiang-ke-gai-zheng-dian-qi-tong-xin-shi-ye-fa-wai-bu-song-xin-gui-lu-nogoshuo-ming

107. #規約プラポリ作成の最新トレンドアップデート これらは、プライバシーポリシーで言えば「取得」の場面の話です 107 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

     ア 当社による取得 イ 他社による取得 当社のウェブサイトやアプリケーションに設置した タグやモジュールにより、他社が、お客様のデータを 取得することがあります。 具体的には…

108. #規約プラポリ作成の最新トレンドアップデート 5ヶ月弱経ちましたが、その後メンテナンスはできていますか？ 108

109. #規約プラポリ作成の最新トレンドアップデート この制度への対応は、やはりメンテナンス体制の構築が肝だと思います 109 外部送信規律あるある n 6月以降、知らない間にタグやモジュールが追加されていた n 6月以降、知らない間にウェブサイトやアプリがクローズしていた n 6月以降、知らない間に開発側

     / マーケ側の担当者が引継ぎをしないまま退職してしまった

110. #規約プラポリ作成の最新トレンドアップデート 総務省による監査？が、あるとかないとかという噂を聞いています 110

111. #規約プラポリ作成の最新トレンドアップデート 本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips

     n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

112. #規約プラポリ作成の最新トレンドアップデート 【トレンド2】生成AI（Generative AI） 112

113. #規約プラポリ作成の最新トレンドアップデート 翻ってこちらは、プライバシーポリシーで言えば「提供」の場面の話です 113 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと 【XXX社 プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ

     (2)データの利用目的 (3)データの安全管理 (4)データの提供 ア 同意に基づく提供 … イ 法律に基づく提供 (ア) 委託 (イ) 共同利用

114. #規約プラポリ作成の最新トレンドアップデート 今年は、生成AIについての社内ルールの整備に追われた方も多いのでは 114 出所：https://www.jdla.org/document/

115. #規約プラポリ作成の最新トレンドアップデート 十分伝わっていないことを理解しながら、言い続けなければいけない辛さ 115 「個人情報」（2条1項）は 入力しないでください あー、はいはい 個人情報（氏名、住所）は 入れないです

116. #規約プラポリ作成の最新トレンドアップデート でもちょっと待ってください 116 「個人情報」（2条1項）は 入力しないでください その言葉の意味、理解してますよね？

117. #規約プラポリ作成の最新トレンドアップデート 本当に「個人情報」の入力を禁止しては、活用余地など殆ど無いのでは？ 117 情報資産 個人情報 非個人情報 ここ

118. #規約プラポリ作成の最新トレンドアップデート 皆さんご存知の通り、「個人情報」の定義ってめちゃめちゃ広いですよね？ 118 情報資産 個人情報 非個人情報 単独で特定個人 識別性のあるデータ ・ユーザーID ・氏名

     ・住所 容易照合性の下で 特定個人識別性のあるデータ ・ユーザーID ・利用履歴 容易照合性の下で 特定個人識別性のあるデータ ・ユーザーID ・属性情報

119. #規約プラポリ作成の最新トレンドアップデート サーバのメモリ使用率（＝法的に正しい非個人情報）でも分析しますか？ 119 情報資産 個人情報 非個人情報 …ここ？

120. #規約プラポリ作成の最新トレンドアップデート 有益な情報は、ほとんどこっち側の島にあるんじゃないですかね 120 情報資産 個人情報 非個人情報 有益な情報 …ここ？

121. #規約プラポリ作成の最新トレンドアップデート それって法的に正しく、会社・事業として間違ったアドバイスでは？ 121 「個人情報」（2条1項）は 入力しないでください…

122. #規約プラポリ作成の最新トレンドアップデート 章の冒頭で言及した通り、生成AIの利用って「提供」の話じゃないですか 122 取得 保存 利用 提供

123. #規約プラポリ作成の最新トレンドアップデート この「提供」の段階で取りうるオプションは、主として3つあります 123 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務

124. #規約プラポリ作成の最新トレンドアップデート 第三者提供は、提供先にデータをあげてしまうことです 124 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務

125. #規約プラポリ作成の最新トレンドアップデート 委託は、自社の責任の下で提供先にデータを預けることです 125 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務

126. #規約プラポリ作成の最新トレンドアップデート クラウド例外は、委託の特殊パターンだと理解するのが良いと思います 126 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務

127. #規約プラポリ作成の最新トレンドアップデート クラウド例外について簡単におさらいしましょう 127 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 1 2

128. #規約プラポリ作成の最新トレンドアップデート データに対する、提供元/提供先それぞれの影響力の度合いが異なります 128 提供元の影響力 提供先の影響力 オプション3 クラウド例外 オプション２ 委託 オプション1

     第三者提供 提供元 提供先

129. #規約プラポリ作成の最新トレンドアップデート クラウド例外は、提供元の影響力が一番強いオプションです 129 提供元の影響力 提供先の影響力 オプション3 クラウド例外 オプション２ 委託 オプション1

     第三者提供 提供元 提供先

130. #規約プラポリ作成の最新トレンドアップデート 委託は、3つのオプションの中でちょうど中間地点に位置します 130 提供元の影響力 提供先の影響力 オプション3 クラウド例外 オプション２ 委託 オプション1

     第三者提供 提供元 提供先

131. #規約プラポリ作成の最新トレンドアップデート 第三者提供は、提供先の影響力が一番強いオプションです 131 提供元の影響力 提供先の影響力 オプション3 クラウド例外 オプション２ 委託 オプション1

     第三者提供 提供元 提供先

132. #規約プラポリ作成の最新トレンドアップデート 「編集・分析等の処理」を行う場合には、該当しないとの判断が出ています 132 出所：https://www8.cao.go.jp/kisei-kaikaku/kisei/hotline/siryou2/k_siryou2_r4.pdf

133. #規約プラポリ作成の最新トレンドアップデート ここで言っていることを少し単純化してみましょうか 133 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

134. #規約プラポリ作成の最新トレンドアップデート まずは、クラウドサービスが編集・分析等の処理を行う場合… 134 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

135. #規約プラポリ作成の最新トレンドアップデート それは日本語の解釈として、取扱っていると考えるのが自然ですよね 135 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

136. #規約プラポリ作成の最新トレンドアップデート よって、「第三者提供」か「委託」として整理します 136 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

137. #規約プラポリ作成の最新トレンドアップデート 他方、クラウドサービスが編集・分析等の処理を行わない場合… 137 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

138. #規約プラポリ作成の最新トレンドアップデート 契約条項やアクセス制御によっては、取扱っていない場合があり得る 138 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

139. #規約プラポリ作成の最新トレンドアップデート よって、3つのうちどのオプションもあり得ます 139 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

140. #規約プラポリ作成の最新トレンドアップデート では、生成AIにあてはめてみましょうか 140 「編集・分析等の処理」を行わない生成AI

141. #規約プラポリ作成の最新トレンドアップデート とすると、生成AIは基本的にパターン1と整理する以外ないように思います 141 クラウドサービスが 編集・分析等の処理を行う クラウドサービスが 編集・分析等の処理を行わない 「取り扱わないこととなっている 場合」には該当しない 「取り扱わないこととなっている

     場合」には該当し得る クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2

142. #規約プラポリ作成の最新トレンドアップデート そして、第三者提供においては原則同意が必要なので… 142 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない 同意取得

     自社プラポリ 監督義務 ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 自社プラポリ 自社プラポリ 監督義務 監督義務

143. #規約プラポリ作成の最新トレンドアップデート 生成AIの利用は、「委託」として整理するのが穏当でしょう 143 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 同意取得 同意取得 自社プラポリ 自社プラポリ 自社プラポリ 監督義務 監督義務 監督義務

144. #規約プラポリ作成の最新トレンドアップデート なる…ほど？ 144

145. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る）

     →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 3つのオプションはまた、「第三者」「提供」の該当性にも差異があります 145 第三者 第三者 提供 提供 第三者 提供

146. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る）

     →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 第三者提供は、文字通り「第三者」への「提供」にあたります 146 第三者 第三者 提供 提供 第三者 提供

147. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る）

     →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 委託は、「提供」にはあたりますが「第三者」にはあたりません 147 第三者 第三者 提供 提供 第三者 提供

148. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る）

     →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する そして、そのどちらにもあたらないのがクラウド例外です 148 第三者 第三者 提供 提供 第三者 提供

149. #規約プラポリ作成の最新トレンドアップデート 最近、個情委から「生成AIサービスの利用に関する注意喚起」が出ました 149 出所：https://www.ppc.go.jp/files/pdf/generativeAI_notice_leaflet2023.pdf 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために 学習データとして利用することとしている場合に、利用者 が個人データもしくは保有個人情報を入力すると、利用者 から提供者に対し、個人データもしくは保有個人情報を提 供したことになります。

150. #規約プラポリ作成の最新トレンドアップデート この注意喚起は、当然のことを言っているだけのように見えるんです 150 入力した情報について、生成AIが 学習データとして利用する 個人データを 提供したことになる クラウド例外は不可 （第三者提供 or

     委託） パターン1

151. #規約プラポリ作成の最新トレンドアップデート 入力した情報を、サービス提供のためだけでなく学習にも利用するなら… 151 入力した情報について、生成AIが 学習データとして利用する 個人データを 提供したことになる クラウド例外は不可 （第三者提供 or

     委託） パターン1

152. #規約プラポリ作成の最新トレンドアップデート それは、個人データの提供に該当するといっています 152 入力した情報について、生成AIが 学習データとして利用する 個人データを 提供したことになる クラウド例外は不可 （第三者提供 or

     委託） パターン1

153. #規約プラポリ作成の最新トレンドアップデート 提供に該当するのであれば、第三者提供か委託と整理する必要があります 153 入力した情報について、生成AIが 学習データとして利用する 個人データを 提供したことになる クラウド例外は不可 （第三者提供 or

     委託） パターン1

154. #規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n 委託 提供先にデータを預ける（＝管理権限は提供元に残る）

     →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 【再掲】提供に該当するのは、「第三者提供」と「委託」でした 154 第三者 第三者 提供 提供 第三者 提供

155. #規約プラポリ作成の最新トレンドアップデート ところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます 155 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために学 習データとして利用することとしている場合に、利用者が個 人データもしくは保有個人情報を入力すると、利用者から 提供者に対し、個人データもしくは保有個人情報を提供し たことになります。 ↓

     【問い合わせ内容】 学習データとして利用しないならば、提供に該当しない？

156. #規約プラポリ作成の最新トレンドアップデート ところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます 156 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために学 習データとして利用することとしている場合に、利用者が個 人データもしくは保有個人情報を入力すると、利用者から 提供者に対し、個人データもしくは保有個人情報を提供し たことになります。 ↓

     【問い合わせ内容】 学習データとして利用しないならば、提供に該当しない？ 【問い合わせ結果】 YES（との証言が複数…）

157. #規約プラポリ作成の最新トレンドアップデート 入力した情報を、学習データとして利用しないなら… 157 入力した情報について、生成AIが 学習データとして利用する 入力した情報について、生成AIが 学習データとして利用しない 個人データを 提供したことになる 個人データを

     提供したことにならない？ クラウド例外は不可 （第三者提供 or 委託） クラウド例外 パターン1 パターン2

158. #規約プラポリ作成の最新トレンドアップデート それは、個人データを提供したことにはならないのでしょうか？ 158 入力した情報について、生成AIが 学習データとして利用する 入力した情報について、生成AIが 学習データとして利用しない 個人データを 提供したことになる 個人データを

     提供したことにならない？ クラウド例外は不可 （第三者提供 or 委託） クラウド例外 パターン1 パターン2

159. #規約プラポリ作成の最新トレンドアップデート そうだとすると、クラウド例外が適用できることになりそうです 159 入力した情報について、生成AIが 学習データとして利用しない 個人データを 提供したことにならない？ クラウド例外 パターン2 入力した情報について、生成AIが

     学習データとして利用する 個人データを 提供したことになる クラウド例外は不可 （第三者提供 or 委託） パターン1

160. #規約プラポリ作成の最新トレンドアップデート え…学習に利用しないなら、クラウド例外でいけるってこと？ 160 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する ２ n

     委託 提供先にデータを預ける（＝管理権限は提供元に残る） →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 第三者 第三者 提供 提供 第三者 提供

161. #規約プラポリ作成の最新トレンドアップデート クラウド例外として整理できる方が、利用事業者としては非常に楽です 161 1 n 第三者提供 提供先にデータをあげてしまう（＝管理権限が提供先に移る） その後の適用プラポリは、提供先 同意取得が必要だが、提供元に監督義務は残らない ２

     n 委託 提供先にデータを預ける（＝管理権限は提供元に残る） その後の適用プラポリは、提供元 同意取得は不要だが、提供元に監督義務が残る 同意取得 同意取得 自社プラポリ 自社プラポリ 監督義務 監督義務 3 n 「取り扱わないこととなっている場合」（クラウド例外） 提供先にデータを預ける（＝管理権限が提供元に残る） その後の適用プラポリは、提供元 同意取得等は不要だが、提供元に監督義務は残らない 同意取得 自社プラポリ 監督義務

162. #規約プラポリ作成の最新トレンドアップデート いやいやいや…言うてたやん 162

163. #規約プラポリ作成の最新トレンドアップデート え、本当に…？ 163 「編集・分析等の処理」を行わない生成AI

164. #規約プラポリ作成の最新トレンドアップデート 個人的には、こういうことなんじゃないのかなぁと思うんですけどね 164 入力した情報について、生成AIが 学習データとして利用する 入力した情報について、生成AIが 学習データとして利用しない 個人データを 提供したことになる FAQ7-５３の要件*1を満たせば

     個人データを提供したことに ならない場合がある*2 クラウド例外は不可 （第三者提供 or 委託） 第三者提供 or 委託 or クラウド例外 パターン1 パターン2 *1「契約条項によって取り扱わない旨が定められている」「適切にアクセス制御を行っている」 *2 例えば、編集・分析等の処理は機械的に行われ、個人データの取得を防止するための措置が講じられている場合とか（cf. FAQ 7-55）

165. #規約プラポリ作成の最新トレンドアップデート （当日音声のみ） 165 出所：https://www.ppc.go.jp/

166. #規約プラポリ作成の最新トレンドアップデート ご清聴いただきありがとうございました！ 世古修平（せこしゅうへい） Website（事務所） ：https://www.leact.law/ Website（個⼈） ：https://www.seko-law.info/ X（旧Twitter） ：@seko_law Mail

     ：[email protected] 166 「具体的にどうすれば」とのご相談お待ちしております