規約プラポリ作成の最新トレンドアップデート

#規約プラポリ作成の最新トレンドアップデート規約プラポリ作成の最新トレンドアップデート 2023.11.10 於弁護士ドットコム

#規約プラポリ作成の最新トレンドアップデート国内外の、個人情報保護法と電気通信事業法だけをやっている弁護士です世古修平（せこしゅうへい） n 法律事務所LEACT n LINEヤフー株式会社 n
IPA（試験委員） n 経済産業省（電子商取引及び情報財取引等に関する準則研究会委員） 2

#規約プラポリ作成の最新トレンドアップデート今日は、去年やったセミナーのアップデートをやります 3

#規約プラポリ作成の最新トレンドアップデート感想はぜひ、随時X（旧Twitter）で教えてください 4 #規約プラポリ作成の最新トレンドアップデート

#規約プラポリ作成の最新トレンドアップデートこちら、私の執務環境なのですが… 5

#規約プラポリ作成の最新トレンドアップデートマルチモニターで確認しながら進めるつもりではおります 6 セミナー用 X（旧Twitter）用

#規約プラポリ作成の最新トレンドアップデート 2023年の最新トレンド… 7 出所：https://prtimes.jp/main/html/rd/p/000000081.000020799.html

#規約プラポリ作成の最新トレンドアップデート【トレンド1】外部送信規律（cookie法） 8 出所：https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

#規約プラポリ作成の最新トレンドアップデート【トレンド2】生成AI（Generative AI） 9 出所：https://openai.com/blog/chatgpt

#規約プラポリ作成の最新トレンドアップデート本日のお品書き n 1.プライバシーポリシーの基本 Ø プライバシーポリシーとは Ø プライバシーポリシーの作り方 Ø プライバシーポリシーのTips
n 2.最新トレンドアップデート Ø 外部送信規律 Ø 生成AI

#規約プラポリ作成の最新トレンドアップデート日本には、プライバシーポリシーの作成を義務付ける法律はありません 13

#規約プラポリ作成の最新トレンドアップデートそれでもなぜ、事業者がプライバシーポリシーを作成するかというと… 14 法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの知り得る状態に置かなければならない

#規約プラポリ作成の最新トレンドアップデート具体的に、「知り得る状態」に置くべき事項を見てみましょうか 15 法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの法律の定め

#規約プラポリ作成の最新トレンドアップデートそして「政令で定めるもの」は、具体的にいうと… 16 政令第10条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 1. 法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） 2.
当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 3. 当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先政令の定め

#規約プラポリ作成の最新トレンドアップデートうーんと、なるほど…？ 17

#規約プラポリ作成の最新トレンドアップデートプライバシーポリシーとは「何か」を定めていないので、理解が定着しない 18 えーっと、なんか… 利用目的とか安全管理措置を定めた文書ですよね。

#規約プラポリ作成の最新トレンドアップデート【ボトムアップ】ではなく、【トップダウン】で俯瞰的に考えてみましょう 19

#規約プラポリ作成の最新トレンドアップデートそこで、Privacy policyの作成が義務付けられている国の法律を見てみます 20

#規約プラポリ作成の最新トレンドアップデートアメリカ（カリフォルニア州）での位置付けを見てみましょう 21 CCPA / CPRA § 7011. Privacy Policy.
(e) The privacy policy shall include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated.

#規約プラポリ作成の最新トレンドアップデート § 7011. Privacy Policy. (e) The privacy policy shall
include the following information: 1.the business’s online and offline practices regarding the collection, use, sale, sharing, and retention of personal information 2.An explanation of the rights that the CCPA confers on consumers regarding their personal information 3.An explanation of how consumers can exercise their CCPA rights and consumers can expect from that process 4.Date the privacy policy was last updated. 単純化すると、「データの取扱い」と「権利」の記載を求めています 22 CCPA / CPRA プライバシーポリシーには、以下の情報を含めるものとする：・個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行・CCPAが消費者に与える個人情報に関する権利の説明・消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明・プライバシー・ポリシーの最終更新日

#規約プラポリ作成の最新トレンドアップデートなるほど、そうだとすると翻って… 23

#規約プラポリ作成の最新トレンドアップデート日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 24 法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。）
3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第10条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

#規約プラポリ作成の最新トレンドアップデート 25 ①「データの取扱い」についての記載法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。）
3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第10条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです

#規約プラポリ作成の最新トレンドアップデート日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 26 ②「権利」についての記載法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第10条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

#規約プラポリ作成の最新トレンドアップデート日本法の内容も、主に「データの取扱い」と「権利」に再分類できそうです 27 ③その他の事務的な記載法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者の氏名 2.
全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの政令第10条法第32条第1項第4号の政令で定めるものは、次に掲げるものとする。 •法第23条の規定により保有個人データの安全管理のために講じた措置（本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置くことにより当該保有個人データの安全管理に支障を及ぼすおそれがあるものを除く。） •当該個人情報取扱事業者が行う保有個人データの取扱いに関する苦情の申出先 •当該個人情報取扱事業者が認定個人情報保護団体の対象事業者である場合にあっては、当該認定個人情報保護団体の名称及び苦情の解決の申出先

#規約プラポリ作成の最新トレンドアップデート【まとめ】結局、プライバシーポリシーには何を書けばいいのか 28 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

#規約プラポリ作成の最新トレンドアップデートまずは、事業者における取得〜消去までのデータの取扱いを書きます 29 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと n 個人情報保護法 Ø 保有個人データの適正な取扱いの確保に関
し必要な事項 n CCPA / CPRA Ø 個人情報の取得、利用、販売、共有、および保持に関する事業者のオンラインおよびオフラインでの慣行取得利用安全管理提供消去

#規約プラポリ作成の最新トレンドアップデートつづいて、本人に法律上認められた権利とその行使方法を書きます 30 1.事業者のデータの取扱い 3.その他事務的なこと 2.本人の権利 What How n 個人情報保護法
Ø 請求に応じる手続 n CCPA / CPRA Ø CCPAが消費者に与える個人情報に関する権利の説明 Ø 消費者がCCPAの権利を行使する方法と、そのプロセスから消費者が期待できることの説明

#規約プラポリ作成の最新トレンドアップデート最後に、その他の事務的な（けれども大事な）ことを書きます 31 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと n 個人情報保護法 Ø 当該個人情報取扱事業者の氏名又は名称及
び住所並びに法人にあっては、その代表者の氏名 n CCPA / CPRA Ø プライバシー・ポリシーの最終更新日

#規約プラポリ作成の最新トレンドアップデートプライバシーポリシーには何を書けばいいか、ざっくり理解できましたか？ 32 プライバシーポリシーの要素 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

#規約プラポリ作成の最新トレンドアップデート【初級】とりあえず作るってケース、結構多いですよね 34 同業他社のコピペ「特商法と合わせて5万円でお願いします」

#規約プラポリ作成の最新トレンドアップデート【中級】サンプルを見ながら作るなら、ちゃんとこの辺の本を読むべき 35 出所：https://gihyo.jp/book/2019/978-4-297-10326-2, https://www.biz-book.jp/isbn/978-4-502-41961-4 主に国内向け主に国外向け

#規約プラポリ作成の最新トレンドアップデート【上級】ボトムアップで作るなら、データフローの把握から始めましょう 36 【概要】Data Flow Diagram 【詳細】Data Flow 取得保存
利⽤提供 Wサービススマートフォンアプリ Amazon RDS XXX region Win / Macアプリ WWW端末ウェブサイトユーザー登録 Amazon RDS XXX region YYYエンジン Google Cloud BigQuery ZZZ ZZZ株式会社 ZZZ株式会社 YYY CMS ZZZ 出所：https://aquatic-leopon-c91.notion.site/Privacy-Impact-Assessment-eab79eb6b878400c901f286945d3746f

#規約プラポリ作成の最新トレンドアップデートなぜなら、プライバシーポリシーには「データの取扱い」を書くからです 37 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと取得利用安全管理
提供消去

#規約プラポリ作成の最新トレンドアップデートあれやこれがダメなのは、答えを知らないのに答えを書いているからです 38 同業他社のコピペ「特商法と合わせて5万円でお願いします」

#規約プラポリ作成の最新トレンドアップデートデータフローの記載ルールは、別に法定されている訳ではありません 39 出所：https://www.ppc.go.jp/files/pdf/pia_overview.pdf

#規約プラポリ作成の最新トレンドアップデートが、個人情報保護委員会のツールは詳細過ぎて難易度がやや高いと思います 40 出所： https://www.ppc.go.jp/personalinfo/independent_effort/

#規約プラポリ作成の最新トレンドアップデートアジャイル的な開発・発想が広まった現代、情報はすぐに鮮度が落ちます 41 詳細だが使われず更新されないデータフロー簡略だが使われ更新されるデータフロー N月３１日までに、今年度の XX管理台帳の更新をお願いします

#規約プラポリ作成の最新トレンドアップデート【再掲】とはいえ、仕方なく「とりあえず作る」ケースも多いと想像します 43 同業他社のコピペ「特商法と合わせて5万円でお願いします」

#規約プラポリ作成の最新トレンドアップデートそこで、「とりあえず」作ったプラポリをチェックするTipsを紹介します 44 ①不足しがちな内容 ②書き過ぎな内容

#規約プラポリ作成の最新トレンドアップデート Tipsを説明する上では、以下のようなプライバシーポリシーを想定します 45 【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ (2)データの利用目的 (3)データの安全管理 (4)データの提供
(5)データの消去 2.お客様の権利 (1)権利の内容 (2)権利の行使方法 3.その他 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと

#規約プラポリ作成の最新トレンドアップデートまずは、不足しがちな内容から見ていきましょう 46 ①不足しがちな内容 n 取得 p 直接取得以外についての記載 p 個人関連情報の取得同意
n 提供 p 登録情報の公開設定 p 広告事業者への第三者提供同意 n そもそも p 従業員向けプライバシーポリシー不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート個人情報って、本人から直接取得する以外のケースもありますよね？ 47 ①不足しがちな内容 n 取得 p 直接取得以外についての記載 p 個人関連情報の取得同意

#規約プラポリ作成の最新トレンドアップデート最も典型的な、ユーザーがウェブサイト等から情報を入力するケースです 48 ケース1：本人から直接取得不足しがち書き過ぎ取得

#規約プラポリ作成の最新トレンドアップデートユーザーに対して、自社で情報を付与するケースってありますよね？ 49 ケース1：本人から直接取得不足しがち書き過ぎケース2：自社による付与取得取得分析

#規約プラポリ作成の最新トレンドアップデート本人でも自社でもなく、第三者から取得してくるケースもあるはずです 50 ケース1：本人から直接取得不足しがち書き過ぎケース2：自社による付与取得取得分析
第三者提供ケース3：第三者からの取得

#規約プラポリ作成の最新トレンドアップデートケース2,3が個人情報に該当することを忘れがちなので注意してください 51 ケース1：本人から直接取得不足しがち書き過ぎ取得第三者提供ケース3：第三者からの取得ケース2：自社による付与
取得分析

#規約プラポリ作成の最新トレンドアップデートプラポリの「取得」の部分も、3パターンに分けて書くといいと思います 52 不足しがち書き過ぎ【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータア
お客様からの取得イ自社による付与（ア）自動的に付与（イ）分析結果の付与ウ第三者からの取得（ア）公開情報からの取得（イ）他社からの取得

#規約プラポリ作成の最新トレンドアップデート「自社による付与」は、2パターンくらいに分類して理解するといいです 53 不足しがち書き過ぎ【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータア
お客様からの取得イ自社による付与（ア）自動的に付与（イ）分析結果の付与ウ第三者からの取得（ア）公開情報からの取得（イ）他社からの取得 n IPアドレス n 行動履歴、アクセスログ自動的に付与 n IPアドレス →IPアドレスに基づく位置情報推定 n 行動履歴、アクセスログ →属性情報の推定（興味関心 etc）分析結果の付与

#規約プラポリ作成の最新トレンドアップデート「第三者からの取得」は、公開情報からの取得が最近顕著に増えてますよね 54 不足しがち書き過ぎ【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータア
お客様からの取得イ自社による付与（ア）自動的に付与（イ）分析結果の付与ウ第三者からの取得（ア）公開情報からの取得（イ）他社からの取得 n ウェブクローリング公開情報からの取得 n 個人データの第三者提供 n 個人関連情報の第三者提供他社からの取得

#規約プラポリ作成の最新トレンドアップデート不足しがちな内容の2つ目は、個人関連情報です 55 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

#規約プラポリ作成の最新トレンドアップデート令和2年改正で新たに追加された個人関連情報、わかりにくいですよね 56 不足しがち書き過ぎ（個人関連情報の第三者提供の制限等）第三十一条個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。

#規約プラポリ作成の最新トレンドアップデート他社が、非個人情報である個人関連情報を持っている状況を想定します 57 不足しがち書き過ぎ（個人関連情報の第三者提供の制限等）第三十一条個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。他社個人関連情報【凡例】：端末識別子、ブラウザ識別子など：ユーザー識別子など

#規約プラポリ作成の最新トレンドアップデート自社は、各「ユーザー」と「端末/ブラウザ」の対応関係を把握しています 58 不足しがち書き過ぎ（個人関連情報の第三者提供の制限等）第三十一条個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。自社個人情報【凡例】：端末識別子、ブラウザ識別子など：ユーザー識別子など

#規約プラポリ作成の最新トレンドアップデート他社は、自社に対して非個人情報である個人関連情報を提供します 59 不足しがち書き過ぎ（個人関連情報の第三者提供の制限等）第三十一条個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。提供他社自社個人関連情報個人情報【凡例】：端末識別子、ブラウザ識別子など：ユーザー識別子など

#規約プラポリ作成の最新トレンドアップデートすると自社は、テーブルを繋げてよりリッチな情報を得ることができます 60 不足しがち書き過ぎ（個人関連情報の第三者提供の制限等）第三十一条個人関連情報取扱事業者は、第三者が個人関連情報（個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。）を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定める
ところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。個人情報個人情報自社ここで繋げる（JOINする）ことができる個人関連情報【凡例】：端末識別子、ブラウザ識別子など：ユーザー識別子など

#規約プラポリ作成の最新トレンドアップデート協業を前提とした規定なので、作成時点では必要性を認識しにくいです 61 プラポリ作成時点不足しがち書き過ぎ（説明よくわからんし）いや、そういう予定はないですね個人関連情報の
取得予定ってあります？法務事業

#規約プラポリ作成の最新トレンドアップデートそうすると、他社との協業検討時点でこういうことが起こります 62 プラポリ作成時点不足しがち書き過ぎ他社との協業検討時点（説明よくわからんし）いや、そういう予定はないですね
個人関連情報の取得予定ってあります？法務事業すいません、 A社から個人関連情報を取得したいのですが事業 ...！！！いや、取得の同意取ってないです法務

#規約プラポリ作成の最新トレンドアップデート書くのであれば、「他社からの取得」に記載するのがわかりやすいです 63 個人関連情報の取得不足しがち書き過ぎ【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ
アお客様からの取得イ自社による付与ウ第三者からの取得（ア）公開情報からの取得（イ）他社からの取得・個人データの取得・個人関連情報の取得

#規約プラポリ作成の最新トレンドアップデートデータの「取得」からデータの「提供」の話に移ります 64 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

#規約プラポリ作成の最新トレンドアップデート前提として、「提供」の定義をおさらいしましょう 65 不足しがち書き過ぎ「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-17

#規約プラポリ作成の最新トレンドアップデートイメージしやすいのは、USBメモリに入れて渡すような物理的な提供です 66 不足しがち書き過ぎ「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。物理的な提供
USBメモリの提供他社自社

#規約プラポリ作成の最新トレンドアップデートアクセス権限を設定するだけでも、「提供」に該当するので注意です 67 不足しがち書き過ぎ「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。物理的な提供
論理的な提供 USBメモリの提供ネットワークでのアクセス権限の付与他社自社他社自社

#規約プラポリ作成の最新トレンドアップデートもう少し、この「論理的な提供」を深掘りしていきましょう 68 これが提供にあたり得ることに疑いはない不足しがち書き過ぎ取得他社自社
開示本人典型的な提供

#規約プラポリ作成の最新トレンドアップデート登録情報の公開設定って、法的にどう整理されるか考えたことありますか 69 これが提供にあたり得ることに疑いはないこちらはあんまり意識しないまま適法だと考えているところも多い不足しがち書き過ぎ取得
他社自社開示本人他社など自社本人取得公開登録情報の公開設定典型的な提供

#規約プラポリ作成の最新トレンドアップデートあれ、利用する権限が与えられていれば「提供」に… 70 不足しがち書き過ぎ改めて定義登録情報の公開設定他社など自社本人
取得公開「提供」とは、個人データ、保有個人データ、個人関連情報、仮名加工情報又は匿名加工情報（以下この項において「個人データ等」という。）を、自己以外の者が利用可能な状態に置くことをいう。個人データ等が、物理的に提供されていない場合であっても、ネットワーク等を利用することにより、個人データ等を利用できる状態にあれば（利用する権限が与えられていれば）、「提供」に当たる。

#規約プラポリ作成の最新トレンドアップデート理論的根拠や、法的な位置付けが不明確な「解されない」という説明 71 ガイドラインの記載出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-6-1 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート FAQでは、明示的な同意と合わせて「黙示的」な同意に言及されています 72 ガイドラインの記載 FAQの記載出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q13-33 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート「プライバシーポリシー」と「UI」の二段構えでの対処がおすすめです 73 プライバシーポリシー（明示的な同意） UI（黙示的な同意）出所：https://line.me/ja/terms/policy/ https://www.facebook.com/ 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデートつづいては、一番出現率が高い第三者提供同意にいきます 74 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

#規約プラポリ作成の最新トレンドアップデート皆さん大好き（私も大好き）「混ぜるな危険」の話をしましょうか 75 出所：https://bruceclay.jpn.com/column/customer-match/ 不足しがち書き過ぎカスタマーマッチの仕組み

#規約プラポリ作成の最新トレンドアップデートざっくりと、カスタマーマッチの仕組み（の一例）をご説明します 76 不足しがち書き過ぎ自社個人情報データベース等ハッシュ化個人データ
【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

#規約プラポリ作成の最新トレンドアップデート「提供元基準」の下、個人データの提供が発生します 77 不足しがち書き過ぎ提供自社他社（プラットフォーマー）個人情報
データベース等ハッシュ化個人データ【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

#規約プラポリ作成の最新トレンドアップデート他社は、受け取った個人データを、個人情報データベース等にぶつけます 78 不足しがち書き過ぎ提供自社他社（プラットフォーマー）個人情報
データベース等個人情報データベース等ハッシュ化個人データ【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

#規約プラポリ作成の最新トレンドアップデート浮かび上がったターゲットユーザーに対して、広告等を配信します 79 不足しがち書き過ぎ提供広告配信自社他社（プラットフォーマー）
個人情報データベース等個人情報データベース等ハッシュ化個人データ個人情報データベース等他社（広告ネットワーク）【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど：ターゲットユーザーの情報カスタマーマッチの仕組み

#規約プラポリ作成の最新トレンドアップデートここでいう提供が、委託ですか？第三者提供ですか？という議論でした 80 不足しがち書き過ぎ他社（プラットフォーマー）【凡例】：メールアドレスなど：ハッシュ化したメールアドレスなど
：ターゲットユーザーの情報「混ぜるな危険」って何だっけ提供自社個人情報データベース等ハッシュ化個人データ

#規約プラポリ作成の最新トレンドアップデート議論の余地はもはやなく、死んだ論点ですしきちんと対応しましょう 81 不足しがち書き過ぎ「第三者提供」の同意が必要です出所：https://www.ppc.go.jp/personalinfo/faq/APPI_QA/#q7-41

#規約プラポリ作成の最新トレンドアップデート「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 82 ほとばしるジャイアニズム不足しがち書き過ぎ【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ
(2)データの利用目的 (3)データの安全管理 (4)データの提供当社は、上記「(2)データの利用目的」の達成に必要な範囲で、「(1)取得するデータ」記載のデータを第三者に提供することがあります。

#規約プラポリ作成の最新トレンドアップデート「当社が必要だと思った時に」「何でも」渡すよ、はさすがに無理ですよ 83 ほとばしるジャイアニズム不足しがち書き過ぎ「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう（当該本人であることを確認で
きていることが前提となる。）。また、「本人の同意を得（る）」とは、本人の承諾する旨の意思表示を当該個人情報取扱事業者が認識することをいい、事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。出所：https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-16 ガイドライン上の定義【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ (2)データの利用目的 (3)データの安全管理 (4)データの提供当社は、上記「(2)データの利用目的」の達成に必要な範囲で、「(1)取得するデータ」記載のデータを第三者に提供することがあります。

#規約プラポリ作成の最新トレンドアップデート最後に、従業員向けプライバシーポリシーの話をします 84 ①不足しがちな内容 n 取得 p 間接取得についての記載 p 個人関連情報の取得同意

#規約プラポリ作成の最新トレンドアップデート n 公開状況 Ø 顧客向けのため対外的に公開 n サンプル数 Ø 同業他社のサンプルが大量に存在ここまでの説明は、主として顧客向けプライバシーポリシーの話でした
85 顧客向けプライバシーポリシー不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート n 公開状況 Ø 顧客向けのため対外的に公開 n サンプル数 Ø 同業他社のサンプルが大量に存在従業員向けのプライバシーポリシー忘れがち問題、ありますよね
86 顧客向けプライバシーポリシー n 公開状況 Ø 社内向けのため対外的に非公開 n サンプル数 Ø 同業他社のサンプルが見えにくい ※従業員情報を各種SaaSに取込む、従業員のエンゲージメントを分析をする等の取組みが想定され、対応の必要性は全く低くない従業員向けプライバシーポリシー不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデートそれなりに成熟した企業でも、こういう発言はよく見ますが… 87 まぁ、うちの従業員はそういう面倒なことは言わないんで大丈夫かと。不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデートこういう発言と、意味しているところには大差がないです 88 まぁ、子供なんてね。大人が何言ってるかなんか分かってないんで、言いくるめて同意とっておけばいいんですよ不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています 89 出所：https://www.ppc.go.jp/files/pdf/doui_guideline.pdf https://edpb.europa.eu/news/news/2023/edpb-informs-stakeholders-about-implications-dpf-and-adopts-statement-first-review_en 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート GDPRでは未成年と同じく、力の不均衡として雇用関係を問題視しています 90 同時に、EDPBは、特に、日本の法律における「仮名化」された個人情報の新しいカテゴリーや、力の不均衡な状況における同意の使用に関して、欧州委員会によるより緊密な監視が必要な分野もあると考えている。したがって、EDPBは、これらの問題を注意深く監視するという欧州委員会のコミットメントを歓迎する。
不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート続いて、書き過ぎな内容について考えます 91 ②書き過ぎな内容 n 「本人の知り得る状態」（個情法32条） n その規約、読みますか？ n 説明し過ぎることで生じる不信感
不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデートどれくらい詳細に書くのがいいかもまた悩ましい問題ですよね 92 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート個人情報保護法上の要求は、実はかなり低く設定されています 93 不足しがち書き過ぎ法第32条（第1項）個人情報取扱事業者は、保有個人データに関し、次に掲げる事項について、本人の知り得る状態（本人の求めに応じて遅滞なく回答する場合を含む。）に置かなければならない。 1. 当該個人情報取扱事業者の氏名又は名称及び住所並びに法人にあっては、その代表者
の氏名 2. 全ての保有個人データの利用目的（第21条第4項第1号から第3号までに該当する場合を除く。） 3. 次項の規定による求め又は次条第1項（同条第5項において準用する場合を含む。）、第34 条第1項若しくは第35条第1項、第3項若しくは第5項の規定による請求に応じる手続（第38 条第2項の規定により手数料の額を定めたときは、その手数料の額を含む。） 4. 前三号に掲げるもののほか、保有個人データの適正な取扱いの確保に関し必要な事項として政令で定めるもの「遅滞なく回答」でもOK

#規約プラポリ作成の最新トレンドアップデートその規約、読みますか？ 94 n 開示義務は良いという根拠がほとんどなくても、明示的な害がほとんどないので魅力的である n 通常、立法者が開示を義務づける内容は、素人に太刀打ちできるものではない不足しがち
書き過ぎ出所：https://www.keisoshobo.co.jp/book/b605810.html

#規約プラポリ作成の最新トレンドアップデート非専門家に対して、詳しく説明し過ぎると逆に不信感を招く？ 95 不足しがち書き過ぎ出所： https://engineering.linecorp.com/ja/blog/ACM-CCS-2022-report

#規約プラポリ作成の最新トレンドアップデート必要十分な、ミニマムなプライバシーポリシーって何だろうか 96 不足しがち書き過ぎ

#規約プラポリ作成の最新トレンドアップデート【トレンド1】外部送信規律（cookie法） 100 出所：https://www.soumu.go.jp/main_sosiki/joho_tsusin/d_syohi/gaibusoushin_kiritsu.html

#規約プラポリ作成の最新トレンドアップデートもう見るのも嫌だと思いますが、こんな条文でした 101 （情報送信指令通信に係る通知等）第二十七条の十二電気通信事業者又は第三号事業を営む者（内容、利用者の範囲及び利用状況を勘案して利用者の利益に及ぼす影響が少なくないものとして総務省令で定める電気通信役務を提供する者に限る。）は、その利用者に対し電気通信役務を提供する際に、当該利用者の電気通信設備を送信先とする情報送信指令通信（利用者の電気通信設備が有する情報送信機能（利用者の電気通信設備に記録された当該利用者に関する情報を当該利用者以外の者の電気通信設備に
送信する機能をいう。以下この条において同じ。）を起動する指令を与える電気通信の送信をいう。以下この条において同じ。）を行おうとするときは、総務省令で定めるところにより、あらかじめ、当該情報送信指令通信が起動させる情報送信機能により送信されることとなる当該利用者に関する情報の内容、当該情報の送信先となる電気通信設備その他の総務省令で定める事項を当該利用者に通知し、又は当該利用者が容易に知り得る状態に置かなければならない。ただし、当該情報が次に掲げるものである場合は、この限りでない。

#規約プラポリ作成の最新トレンドアップデート ①まず、ユーザーがサービス提供環境（1st環境）にアクセスをします 102 【1st 環境】 ①アクセスユーザー

#規約プラポリ作成の最新トレンドアップデート ②すると、ウェブサイトに仕込まれていたタグが発火*1します 103 【1st 環境】 ②タグ発火 etc *1 タグが作動して、その後の一連の処理が開始されることユーザー

#規約プラポリ作成の最新トレンドアップデート ③1st環境からユーザーに、「情報送信指令通信」が送られます 104 【1st 環境】 ③情報送信指令通信ユーザー

#規約プラポリ作成の最新トレンドアップデート ④その結果、ユーザーの端末に記録された情報が外部に送信されます 105 【1st 環境】【1st or 3rd環境】 ④端末に記録された当該利用者に関する情報を送信ユーザー

#規約プラポリ作成の最新トレンドアップデート詳細説明資料をSpeaker Deckで公開しているのでよろしければご覧ください 106 出所：https://speakerdeck.com/seko_shuhei/enzinianojie-yang-xiang-ke-gai-zheng-dian-qi-tong-xin-shi-ye-fa-wai-bu-song-xin-gui-lu-nogoshuo-ming

#規約プラポリ作成の最新トレンドアップデートこれらは、プライバシーポリシーで言えば「取得」の場面の話です 107 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ
ア当社による取得イ他社による取得当社のウェブサイトやアプリケーションに設置したタグやモジュールにより、他社が、お客様のデータを取得することがあります。具体的には…

#規約プラポリ作成の最新トレンドアップデート 5ヶ月弱経ちましたが、その後メンテナンスはできていますか？ 108

#規約プラポリ作成の最新トレンドアップデートこの制度への対応は、やはりメンテナンス体制の構築が肝だと思います 109 外部送信規律あるある n 6月以降、知らない間にタグやモジュールが追加されていた n 6月以降、知らない間にウェブサイトやアプリがクローズしていた n 6月以降、知らない間に開発側
/ マーケ側の担当者が引継ぎをしないまま退職してしまった

#規約プラポリ作成の最新トレンドアップデート総務省による監査？が、あるとかないとかという噂を聞いています 110

#規約プラポリ作成の最新トレンドアップデート【トレンド2】生成AI（Generative AI） 112

#規約プラポリ作成の最新トレンドアップデート翻ってこちらは、プライバシーポリシーで言えば「提供」の場面の話です 113 1.事業者のデータの取扱い 2.本人の権利 3.その他事務的なこと【XXX社プライバシーポリシー】 1.当社におけるデータの取扱い (1)取得するデータ
(2)データの利用目的 (3)データの安全管理 (4)データの提供ア同意に基づく提供 … イ法律に基づく提供 (ア) 委託 (イ) 共同利用

#規約プラポリ作成の最新トレンドアップデート今年は、生成AIについての社内ルールの整備に追われた方も多いのでは 114 出所：https://www.jdla.org/document/

#規約プラポリ作成の最新トレンドアップデート十分伝わっていないことを理解しながら、言い続けなければいけない辛さ 115 「個人情報」（2条1項）は入力しないでくださいあー、はいはい個人情報（氏名、住所）は入れないです

#規約プラポリ作成の最新トレンドアップデートでもちょっと待ってください 116 「個人情報」（2条1項）は入力しないでくださいその言葉の意味、理解してますよね？

#規約プラポリ作成の最新トレンドアップデート本当に「個人情報」の入力を禁止しては、活用余地など殆ど無いのでは？ 117 情報資産個人情報非個人情報ここ

#規約プラポリ作成の最新トレンドアップデート皆さんご存知の通り、「個人情報」の定義ってめちゃめちゃ広いですよね？ 118 情報資産個人情報非個人情報単独で特定個人識別性のあるデータ・ユーザーID ・氏名
・住所容易照合性の下で特定個人識別性のあるデータ・ユーザーID ・利用履歴容易照合性の下で特定個人識別性のあるデータ・ユーザーID ・属性情報

#規約プラポリ作成の最新トレンドアップデートサーバのメモリ使用率（＝法的に正しい非個人情報）でも分析しますか？ 119 情報資産個人情報非個人情報 …ここ？

#規約プラポリ作成の最新トレンドアップデート有益な情報は、ほとんどこっち側の島にあるんじゃないですかね 120 情報資産個人情報非個人情報有益な情報 …ここ？

#規約プラポリ作成の最新トレンドアップデートそれって法的に正しく、会社・事業として間違ったアドバイスでは？ 121 「個人情報」（2条1項）は入力しないでください…

#規約プラポリ作成の最新トレンドアップデート章の冒頭で言及した通り、生成AIの利用って「提供」の話じゃないですか 122 取得保存利用提供

#規約プラポリ作成の最新トレンドアップデートこの「提供」の段階で取りうるオプションは、主として3つあります 123 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
n 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得同意取得自社プラポリ自社プラポリ自社プラポリ監督義務監督義務監督義務

#規約プラポリ作成の最新トレンドアップデート第三者提供は、提供先にデータをあげてしまうことです 124 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#規約プラポリ作成の最新トレンドアップデート委託は、自社の責任の下で提供先にデータを預けることです 125 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#規約プラポリ作成の最新トレンドアップデートクラウド例外は、委託の特殊パターンだと理解するのが良いと思います 126 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#規約プラポリ作成の最新トレンドアップデートクラウド例外について簡単におさらいしましょう 127 出所：https://www.ppc.go.jp/all_faq_index/faq1-q7-53/ 1 2

#規約プラポリ作成の最新トレンドアップデートデータに対する、提供元/提供先それぞれの影響力の度合いが異なります 128 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1
第三者提供提供元提供先

#規約プラポリ作成の最新トレンドアップデートクラウド例外は、提供元の影響力が一番強いオプションです 129 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#規約プラポリ作成の最新トレンドアップデート委託は、3つのオプションの中でちょうど中間地点に位置します 130 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#規約プラポリ作成の最新トレンドアップデート第三者提供は、提供先の影響力が一番強いオプションです 131 提供元の影響力提供先の影響力オプション3 クラウド例外オプション２委託オプション1

#規約プラポリ作成の最新トレンドアップデート「編集・分析等の処理」を行う場合には、該当しないとの判断が出ています 132 出所：https://www8.cao.go.jp/kisei-kaikaku/kisei/hotline/siryou2/k_siryou2_r4.pdf

#規約プラポリ作成の最新トレンドアップデートここで言っていることを少し単純化してみましょうか 133 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている
場合」には該当し得るクラウド例外は不可（第三者提供 or 委託）第三者提供 or 委託 or クラウド例外パターン1 パターン2

#規約プラポリ作成の最新トレンドアップデートまずは、クラウドサービスが編集・分析等の処理を行う場合… 134 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデートそれは日本語の解釈として、取扱っていると考えるのが自然ですよね 135 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデートよって、「第三者提供」か「委託」として整理します 136 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデート他方、クラウドサービスが編集・分析等の処理を行わない場合… 137 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデート契約条項やアクセス制御によっては、取扱っていない場合があり得る 138 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデートよって、3つのうちどのオプションもあり得ます 139 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデートでは、生成AIにあてはめてみましょうか 140 「編集・分析等の処理」を行わない生成AI

#規約プラポリ作成の最新トレンドアップデートとすると、生成AIは基本的にパターン1と整理する以外ないように思います 141 クラウドサービスが編集・分析等の処理を行うクラウドサービスが編集・分析等の処理を行わない「取り扱わないこととなっている場合」には該当しない「取り扱わないこととなっている

#規約プラポリ作成の最新トレンドアップデートそして、第三者提供においては原則同意が必要なので… 142 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない同意取得
自社プラポリ監督義務２ n 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得同意取得自社プラポリ自社プラポリ監督義務監督義務

#規約プラポリ作成の最新トレンドアップデート生成AIの利用は、「委託」として整理するのが穏当でしょう 143 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２

#規約プラポリ作成の最新トレンドアップデートなる…ほど？ 144

#規約プラポリ作成の最新トレンドアップデート 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する２ n 委託提供先にデータを預ける（＝管理権限は提供元に残る）
→「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する 3つのオプションはまた、「第三者」「提供」の該当性にも差異があります 145 第三者第三者提供提供第三者提供

→「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する第三者提供は、文字通り「第三者」への「提供」にあたります 146 第三者第三者提供提供第三者提供

→「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する委託は、「提供」にはあたりますが「第三者」にはあたりません 147 第三者第三者提供提供第三者提供

→「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制するそして、そのどちらにもあたらないのがクラウド例外です 148 第三者第三者提供提供第三者提供

#規約プラポリ作成の最新トレンドアップデート最近、個情委から「生成AIサービスの利用に関する注意喚起」が出ました 149 出所：https://www.ppc.go.jp/files/pdf/generativeAI_notice_leaflet2023.pdf 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために学習データとして利用することとしている場合に、利用者が個人データもしくは保有個人情報を入力すると、利用者から提供者に対し、個人データもしくは保有個人情報を提供したことになります。

#規約プラポリ作成の最新トレンドアップデートこの注意喚起は、当然のことを言っているだけのように見えるんです 150 入力した情報について、生成AIが学習データとして利用する個人データを提供したことになるクラウド例外は不可（第三者提供 or
委託）パターン1

#規約プラポリ作成の最新トレンドアップデート入力した情報を、サービス提供のためだけでなく学習にも利用するなら… 151 入力した情報について、生成AIが学習データとして利用する個人データを提供したことになるクラウド例外は不可（第三者提供 or

#規約プラポリ作成の最新トレンドアップデートそれは、個人データの提供に該当するといっています 152 入力した情報について、生成AIが学習データとして利用する個人データを提供したことになるクラウド例外は不可（第三者提供 or

#規約プラポリ作成の最新トレンドアップデート提供に該当するのであれば、第三者提供か委託と整理する必要があります 153 入力した情報について、生成AIが学習データとして利用する個人データを提供したことになるクラウド例外は不可（第三者提供 or

→「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する【再掲】提供に該当するのは、「第三者提供」と「委託」でした 154 第三者第三者提供提供第三者提供

#規約プラポリ作成の最新トレンドアップデートところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます 155 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために学習データとして利用することとしている場合に、利用者が個人データもしくは保有個人情報を入力すると、利用者から提供者に対し、個人データもしくは保有個人情報を提供したことになります。 ↓
【問い合わせ内容】学習データとして利用しないならば、提供に該当しない？

#規約プラポリ作成の最新トレンドアップデートところが、個情委への問い合わせ結果が思わぬ波乱を生んでいます 156 生成AIサービスの利用者が入力した情報について、生成 AIサービスの提供者が自らのAIの精度向上等のために学習データとして利用することとしている場合に、利用者が個人データもしくは保有個人情報を入力すると、利用者から提供者に対し、個人データもしくは保有個人情報を提供したことになります。 ↓
【問い合わせ内容】学習データとして利用しないならば、提供に該当しない？【問い合わせ結果】 YES（との証言が複数…）

#規約プラポリ作成の最新トレンドアップデート入力した情報を、学習データとして利用しないなら… 157 入力した情報について、生成AIが学習データとして利用する入力した情報について、生成AIが学習データとして利用しない個人データを提供したことになる個人データを
提供したことにならない？クラウド例外は不可（第三者提供 or 委託）クラウド例外パターン1 パターン2

#規約プラポリ作成の最新トレンドアップデートそれは、個人データを提供したことにはならないのでしょうか？ 158 入力した情報について、生成AIが学習データとして利用する入力した情報について、生成AIが学習データとして利用しない個人データを提供したことになる個人データを
提供したことにならない？クラウド例外は不可（第三者提供 or 委託）クラウド例外パターン1 パターン2

#規約プラポリ作成の最新トレンドアップデートそうだとすると、クラウド例外が適用できることになりそうです 159 入力した情報について、生成AIが学習データとして利用しない個人データを提供したことにならない？クラウド例外パターン2 入力した情報について、生成AIが
学習データとして利用する個人データを提供したことになるクラウド例外は不可（第三者提供 or 委託）パターン1

#規約プラポリ作成の最新トレンドアップデートえ…学習に利用しないなら、クラウド例外でいけるってこと？ 160 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る） →「第三者」に対してデータを「提供」する２ n
委託提供先にデータを預ける（＝管理権限は提供元に残る） →「提供」はするが、相手は「第三者」ではなく自社の延長としての委託先 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る） →提供先は取り扱わないので、「第三者」も「提供」も該当しないと擬制する第三者第三者提供提供第三者提供

#規約プラポリ作成の最新トレンドアップデートクラウド例外として整理できる方が、利用事業者としては非常に楽です 161 1 n 第三者提供提供先にデータをあげてしまう（＝管理権限が提供先に移る）その後の適用プラポリは、提供先同意取得が必要だが、提供元に監督義務は残らない２
n 委託提供先にデータを預ける（＝管理権限は提供元に残る）その後の適用プラポリは、提供元同意取得は不要だが、提供元に監督義務が残る同意取得同意取得自社プラポリ自社プラポリ監督義務監督義務 3 n 「取り扱わないこととなっている場合」（クラウド例外）提供先にデータを預ける（＝管理権限が提供元に残る）その後の適用プラポリは、提供元同意取得等は不要だが、提供元に監督義務は残らない同意取得自社プラポリ監督義務

#規約プラポリ作成の最新トレンドアップデートいやいやいや…言うてたやん 162

#規約プラポリ作成の最新トレンドアップデートえ、本当に…？ 163 「編集・分析等の処理」を行わない生成AI

#規約プラポリ作成の最新トレンドアップデート個人的には、こういうことなんじゃないのかなぁと思うんですけどね 164 入力した情報について、生成AIが学習データとして利用する入力した情報について、生成AIが学習データとして利用しない個人データを提供したことになる FAQ7-５３の要件*1を満たせば
個人データを提供したことにならない場合がある*2 クラウド例外は不可（第三者提供 or 委託）第三者提供 or 委託 or クラウド例外パターン1 パターン2 *1「契約条項によって取り扱わない旨が定められている」「適切にアクセス制御を行っている」 *2 例えば、編集・分析等の処理は機械的に行われ、個人データの取得を防止するための措置が講じられている場合とか（cf. FAQ 7-55）

#規約プラポリ作成の最新トレンドアップデート（当日音声のみ） 165 出所：https://www.ppc.go.jp/

#規約プラポリ作成の最新トレンドアップデートご清聴いただきありがとうございました！世古修平（せこしゅうへい） Website（事務所）：https://www.leact.law/ Website（個⼈）：https://www.seko-law.info/ X（旧Twitter）：@seko_law Mail
：[email protected] 166 「具体的にどうすれば」とのご相談お待ちしております

規約プラポリ作成の最新トレンドアップデート

規約プラポリ作成の最新トレンドアップデート

More Decks by SEKO_Shuhei

Featured

Transcript