毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2020年8月20日
- タイトル: 伝わるプライバシーポリシー。意味ある同意取得
- 発表者:SC27/WG5 アイデンティティ管理とプライバシー小委員会主査
東京デジタルアイディアーズ 主席研究員 崎村夏彦氏
プライバシー告知は誰のために?
2020年6月に発行されたISO/IEC29184。個人情報を扱うにあたって「プライバシーノーティス(privacy notice、日本語訳では、プライバシー告知)」に何を書くべきか、それに基づいて同意を取得するには何をすべきか、またデータの取り扱いを変更するときには何をすべきか、などをまとめた標準規格です。SC27/WG5 アイデンティティ管理とプライバシー小委員会主査として内容を取りまとめた崎村夏彦氏に、プライバシーや同意取得の考え方について伺いました。
EUデータ一般保護規則(GDRP)では、Cookieのようなオンライン識別子も含めた個人データの利用に対して、自由に与えられた明確な同意を必要とすること、また利用者のデータを透明かつ公平な方法で合理的に扱うことなどが事業者へ求められています。
プライバシーノーティス(告知)とは、個人情報をどのように組織が扱うべきかを示すために外部に公開する文書です。日本では、いわゆるWebサイトなどに掲載された「プライバシーポリシー」と同義とされがちですが、プライバシーに関するISO文書によると、プライバシーポリシーは組織内部向けに定めた文書です。
その上で、崎村氏は「プライバシーノーティスは、個人の権利保護のためになっているでしょうか。組織の責任回避のためになっていませんか」と問いかけます。
「プライバシーノーティスはどの国のサイトでもおおむね長文です。米国のある調査結果では、一年間に訪問するサイトのプライバシーノーティスを真面目に読めば約200時間、1カ月の労働に匹敵するほどの時間を要するという試算が報告されました。本当に必要なことだけを、必要なタイミングで簡潔に告知するべきです」と崎村氏は指摘します。
長文にする理由として、事業者側が個人の同意を得るのが難しいため、意図的に同意に関する文言をまぶし入れるため、という指摘もあります。
「それは、詐欺行為です。同意の契約における必要条件の一つ、自律性つまり内容を理解した上での同意を満たしていません」と崎村氏は指摘します。
明示的な同意は常に必要なのか?
もう一つ、同意が成立するための必要条件として崎村氏は、互恵性すなわち契約の当事者双方の提供物がつり合うことをあげます。とはいえ、互恵性が満たされているとしても、なんとなく不安を持つ利用者が用心して、同意してくれないということは少なくありません。
「同意を取得するということは、とても大変なことです。ただ、GDPRにおいてもあらゆるケースで同意が必要だ、と義務化しているわけではありません。同意は、同意以外の適法性根拠が使えなかった場合にのみ用いる例外処置であるためです」(崎村氏)
日本の個人情報保護法における要配慮個人情報のように、厳密な本人同意が求められる個人データについてはGDPRでも同意を不可欠(※)としています。しかし、それ以外の個人情報の取り扱いが必要になる場合においては、GDPRの第6条に記された適法となる根拠に基づけば良いと崎村氏は説明します。GDPRの第6条には「データ主体が契約当事者となっている契約の履行のために取扱いが必要となる場合」など6項目にわたって適法性根拠が定義されています。
「英国個人情報保護監督機関(ICO:Information Commissioner Office)などでも同様の指摘をしています。欧州では屋内外に設置した防犯カメラの脇にも『何のために撮影しているか』の理由を大きく掲示・告知しています。重要なのは、GDPRにおける同意以外の適法性を根拠にする場合でも、プライバシー告知は必要になるということです。その告知の仕方について示したのが、ISO/IEC29184です」と崎村氏。ラインタイムトークでは、規格書第5章の告知に関する全体的/個別の管理目的と管理策を中心に要点を説明しました。
※ 命を救うために個人データを使う場合などでは、同意は不要です
プライバシーは「後付け」で対応できない
データサインでも、購入したISO/IEC29184の規格書を参照しながらプライバシーノーティスの見直しを進めています。そこで私たちメンバーが共通して実感しているのは、データサインが提供するアプリやサービスなどユーザーが触れるUIの企画やデザイン、といった最上流の段階から、ユーザーがプライバシーに配慮されていることを感じるような体験(UX)を設計・実装していかなければ、ユーザーからの本当の信頼は得られないだろう、ということです。
「そうです。まさにプライバシー・バイ・デザイン(Privacy by design)なのです。プライバシーは後付けできない。米国の企業などでは、プライバシー配慮を積極的に進めることで顧客からの信頼度が高まり、市場における競争優位性の面で有利になる、とポジティブに捉え行動に移すところもあります」(崎村氏)
組織の責任回避のための「同意ありき」のプライバシーポリシーでは利用者との間に相互不信を招きかねません。ユーザーの権利保護を目的とする本来のプライバシーノーティスになっているかどうか。ISO/IEC29184を参考にチェックしてみてはいかがでしょう。