プライバシーポリシーへの同意・再同意【前編】

1.背景

先日株式会社リクルートと弁護士ドットコム株式会社が、利用規約の掲出・更新、ユーザーの同意状況を一元管理できるサービスである『termhub』についてリリースを出しました。

非常に興味深いサービスであり、こういったサービスが必要な環境こそあるべき姿だよな…と思ったので、日頃同意について思っていることをまとめてみます。あまり論点が散らからないように、「プライバシーポリシー(ノーティス)」での「個人情報保護法」の同意に絞って書いてみます。

2.前提整理(通知公表 / 明示 / 同意)

個人情報保護法上では、個人情報取扱事業者がユーザー本人に対して取るべきコミュニケーションとして複数のレベルを設定しています。

(1)通知公表

例えば、個人情報の利用目的は本人への通知又は公表が求められています。最低限公表をしておけば足りるので、プライバシーポリシーなどに利用目的を書き込み自社Webサイトのフッターからリンクを貼っておいたりするわけですね。

(取得に際しての利用目的の通知等)
第二十一条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

なお公表について実務上は、「1回程度の操作で到達」というのがよく言われる所です。

【公表に該当する事例】
事例 1)自社のホームページのトップページから 1 回程度の操作で到達できる場所への掲載

出典:個人情報の保護に関する法律についてのガイドライン(通則編)

(2)明示

他方で、直接書面に記載された個人情報を取得する場合は、利用目的の明示が求められています。

本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。

以下のガイドラインの記載を踏まえ、登録フォームなんかで情報を取得する場合にはフォームに利用目的を具体的に書き込んだり、プライバシーポリシーへのリンクを添えたりする運用が見られます。

「本人に対し、その利用目的を明示」とは、本人に対し、その利用目的を明確に示すことをいい、事業の性質及び個人情報の取扱状況に応じ、内容が本人に認識される合理的かつ適切な方法による必要がある。

出典:個人情報の保護に関する法律についてのガイドライン(通則編)

注意したいのは、ここで求められているのは同意ではないということです。

  • 個人情報を取得するには同意を取らなければいけない
  • とりあえずプライバシーポリシーに同意させればいい

的な考えが持たれがちですが、個人情報一般については、取得することに本人の同意は求められていません。「明示」より「同意」の方が保護レベルが高いんだから別にいいじゃないかという考え方もあり得そうですが、私は同意疲れを避けるためにも真に同意を取るべきものは絞り、その上で一定水準の同意取るのがあるべき姿なんじゃないかと考えています。

(3)同意

そしていよいよ今回のテーマである同意です。

よく目にするのは、やはり第三者提供についての同意でしょうか。

(第三者提供の制限)
第二十七条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。

この「同意」についてはガイドラインでは以下の通り定められています。今回はここを掘り下げていきます。

「本人の同意」とは、本人の個人情報が、個人情報取扱事業者によって示された取扱方法で取り扱われることを承諾する旨の当該本人の意思表示をいう

(中略)

事業の性質及び個人情報の取扱状況に応じ、本人が同意に係る判断を行うために必要と考えられる合理的かつ適切な方法によらなければならない。

出典:個人情報の保護に関する法律についてのガイドライン(通則編)

3.令和2年改正対応の振返り

ここから本編です。

当事者として改正法対応に明け暮れ、またユーザーとしてプライバシーポリシー改定のお知らせを沢山受け取った者のひとりとして、そろそろここを振り返っておきたいと思います。

(1)令和2年改正での要対応事項

「同意」に関していうと、以下の辺りが主たる検討事項だったように思います。個別に振り返りたいことは色々あるのですが、一旦今回は見送り、列挙するに留めます。

  • 「混ぜるな危険」の解釈確定に伴う第三者提供同意
  • 個人関連情報の提供同意
  • 越境移転の同意

(2)同意・再同意

a.新規ユーザーの同意

上記のような同意は、多くの場合プライバシーポリシー内で説明を行い、そのプライバシーポリシーに対してユーザーに同意をさせることで獲得されています。

新規ユーザーの場合、ユーザー登録の段階で同意を取得してからサービスの利用が開始されることになるので、漏れなくユーザー登録時点のプライバシーポリシーについて同意が取れているということになります。*1

b.既存ユーザーの再同意

他方、時系列として

  1. 現行プライバシーポリシーの作成
  2. ユーザー登録・プライバシーポリシー同意
  3. プライバシーポリシーの改定

となった場合、既存ユーザーについてはユーザー登録を経ない「4.プライバシーポリシー再同意」が単独で必要になる場合があり得ます。が、ここのハードルが高いというのがよく言われるので以下で説明します。

(3)再同意取得のハードル

既存ユーザーに再同意を求める場合、まず

  • 同意を必須にする(現行プライバシーポリシーに同意したままでは利用不可)
  • 同意を任意にする(現行プライバシーポリシーに同意したままでも利用可能)

のどちらにするかを判断する必要があります。その上で、

  • どのタイミングで同意の再取得を行うか
  • 移行期間を設けるか
  • アプリの強制アップデートをかけるか

などなど検討することになります。

 

しかし、仮に同意を必須にしたとしても、全ての既存ユーザーが毎日当該サービスを利用しているわけではなく、バージョンを最新にしているわけでもありません。一方で、過去に当該サービスを利用していたのであれば、企業として(同意を取ってでも)利用したいそのユーザーの情報は、既に企業内に溜まってしまっているわけです。

新規ユーザーの場合には「ユーザー登録」というゲートがあるためそこまで面倒ではないですが、既存ユーザーの場合にはユーザーごとに同意状況のフラグ管理が必要になります。ここがハードルが高い・面倒だと言われる部分です。

(4)多くの企業で取られていた対応?

上記のようなハードルの高さを踏まえ、多くの企業では以下の「附則第4条第1項」を根拠に「現行プライバシーポリシーでも既に同意は取れていたが、よりわかりやすくプライバシーポリシーを改定した」との立場を取っていたように思います。

(処分等に関する経過措置)
第四条 この法律の施行前にこの法律による改正前のそれぞれの法律(これに基づく命令を含む。以下「旧法令」という。)の規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為は、法令に別段の定めがあるもののほか、この法律の施行後は、この法律による改正後のそれぞれの法律(これに基づく命令を含む。以下「新法令」という。)の相当規定によりされた免許、許可、認可、承認、指定その他の処分又は通知その他の行為とみなす。

つまり、改正法対応で必要になる同意の全部または一部は、実質的には既に現行プライバシーポリシーでも取れていたという判断です。これにより全てのユーザーは、ユーザー登録時点で「改正法対応で必要になる同意」についても同意していたと判断することになります。

(これは推測でしかありませんが、3月末に明確に再同意を求められたサービスが少なかったことから、おそらく多くのサービスではこのように解釈していたのだと思います)

(5)ふりかえり

関係者の皆さんの間でも再同意取得のハードルが高いことは以前から共通認識だったと思います。

そのため改正法の内容が明らかになった後も「これ本当にどこまで必要なの」みたいな空気の読み合いの中で3月を迎えてしまい、実際問題としてもう開発が間に合わないという状況の中で上記のような意思決定をされた企業も多いのではないかと想像します。

個人的には、この「ハードルが高い」という認識が各企業に現に存在することを前提として

  • こういう条件を満たす場合には、既に同意があると考えて良いよ
  • こういう条件を満たす場合には、腹を括って再同意取得してね

みたいな、痒いところに手が届く(きちんと引導を渡す)一歩踏み込んだガイドが早い段階であると、皆踏ん切りがついて良かったんじゃないのかなと思うのです。

------------------------

という訳で、少し長くなりそうなので続きは【後編】に譲ります。