これからのプライバシーポリシー

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年6月4日 
• タイトル： これからのプライバシーポリシー
• 発表者：弁護士ドットコム株式会社 クラウドサイン事業本部 リーガルデザインチーム 橋詰卓司氏 

プライバシー規約の読みやすさをAIで解析

日本経済新聞の2020年5月25日朝刊に「データ利用規約『わかりやすさ』Google首位、日本低調」と題する記事が掲載されました。この記事は、国内外の大手IT企業のプライバシーポリシーやデータ利用の説明文の（1）文章がわかりやすいか（読みやすさ）、（2）説明ページの設計が親切か（理解しやすさ）、（3）データ利用を検証できるか（検証しやすさ）をそれぞれ3点満点で評価し、ランキングした調査結果に基づくものです。

同記事の調査協力者の1人だった橋詰卓司氏をお招きし、プライバシーポリシーのあり方について伺いました。

記事によると調査対象は、Google、Apple、Facebook、Amazon、Microsoft、ヤフー、楽天、LINE、メルカリという9社のプライバシー規約です。読みやすさについては、産業技術総合研究所や東京大学の研究者が提唱するモデルを用いて、プライバシー規約の文章をAIで言語解析したそうです。ランキングの結果を眺めるとGoogleを筆頭に米国勢の優位が目立ちます。Googleは過去5年間に新機能の追加などに併せてプライバシーポリシーを15回改定し、変更履歴を利用者が検証できるように開示するほか、専門用語に説明をつけるなどわかりやすさを重視したページ設計である、と記事には論評されています。

企業がプライバシーポリシーを開示する理由

「なぜプライバシーポリシーが読まれないのか。ユーザーにとってストレスの原因は大きく2つあると考えています。1つは、情報として理解しづらいということ。もう1つが、事業者とユーザーが対等ではない、ということです。混同しがちですが、きちんと分けて検討・対応する必要があります。そして重要なのは後者です」（橋詰氏）

前者の理解しづらさ（長い、難しい、まぎらわしい）のストレスを解消するための工夫として橋詰氏は、短さ、易しさ、明瞭さに配慮をすることを提言します。

「長さについては、文字数はせめて1万字を超えないことが望ましいと思います。またスマートフォンのような小さな画面でも確認しやすいUIを追求するべきでしょう。易しさに関しては、法律用語や専門用語、カタカナ用語をなるべく避けるか用語解説を加え、目次や索引、FAQの整備、さらに動画やイラストを援用するのはよい方法でしょう。明瞭さでは、サービスごとにプライバシーポリシーを分けたほうが読みやすく、現状のポリシーと過去のポリシーの具体的な差分情報や変更履歴が明らかなことはユーザーの視点で重要です。事業者側で担当する責任者や苦情受付先も明示すると親切です」（橋詰氏）

橋詰氏は、ベストプラクティスの1つとして、リーガルテック企業のJURO社のWebサイトに掲示されたプライバシーポリシーのわかりやすさを紹介しました。

「あくまで、これは参考例です。企業各社はそれぞれ営む事業が異なり、歩んできた歴史や培った文化はそれぞれ違います。したがってプライバシーポリシーは単にどこかの文章を拝借して形式的に書けばいい、というものではないし、無論私が押し付けるものでもありません」（橋詰氏）

ランチタイムトークに参加したデータサインの太田はこれを受けつつ、「ユーザーがサービスを利用するために納得して入力するメールアドレスなど、ユーザーが意図した通りにしか使わない情報について、その取り扱いをくどくどとプラポリで説明する必要はありません。なぜ、プラポリを書くのか。そもそも事業者が特に理由もなく漫然と、会員登録情報の入力画面で『性別』『年齢』『よく訪れるサイト』などをユーザーに尋ねて取得している場合、問題はないでしょうか」と問いかけながらコメントしました。

「対等ではない」とユーザーに思わせない事業者側の対応

橋詰氏は、「ユーザーのストレスの本質的な原因とは、『対等ではない』という点にあると考えます。『事業者が紛らわしい表現を用いてユーザーの権利を掠め取りにくる』『どうせユーザーには事業者に対抗する術などない』といった疑念やあきらめを持たせないためにどうするか。ユーザーのことを考えずに、企業が独りよがりのプライバシーポリシーを書いてもだめでしょう」と、ユーザーを起点にプライバシーポリシーを考えることを強調しました。

「『シンプルで素人にも親しみやすいユーザーライクな読み物型プラポリ』と『プロが見てもぐうの音も出ないほど精緻で隙のない法的文書型プラポリ』のどちらがいいのか、という論争があります。それに対する私の回答は、インハウスハブ東京法律事務所の世古修平先生の言葉をお借りすると『レイヤード・ノーティス』です。

これは、まずシンプルな説明を記載し（第一レイヤー）、必要な箇所を深堀ることで、詳細な説明が表示される（第二レイヤー）というページ構造のことです」

橋詰氏は「ダブル・レイヤード・ノーティス」がより望ましいと私見も付け加えました。これは、先程紹介したJUROのように、「ひと目で分かるあなたのプライバシー」というレイヤーを最上位に追加し、合計３レイヤーとするページ構造のことです。

皆さんの会社のプライバシーポリシー（プライバシーノーティス）を、見直してみてはいかがでしょうか？

関連記事

• 原案作成者にきく「DX企業のプライバシーガバナンスガイドブック」の注目点
• 伝わるプライバシーポリシー。意味ある同意取得