はじめに
GDPRでは、事業者は、個人データの収集・取得に際し、データ主体(本人)に対して一定の情報を提供しなければなりません。このため、提供しなければならない情報をまとめて「プライバシーノーティス」として準備しておくことが望ましいとされています。
これに対して、多くの国内事業者は、従前、日本の個人情報保護法を前提にプライバシーポリシーを作成し、公開してきました。
もっとも、従前のプライバシーポリシーでは、必ずしもGDPRの求める事項を網羅できているわけではありません。
それでは、従前のプライバシーポリシーを、GDPRに対応するようにどのように改正すれば良いでしょうか。
透明性について
情報提供にあたっては、GDPRの求める「透明性の原則」に注意しなければなりません。
「透明性の原則」に適合するには、次の要件を充たしている必要があります。
1)簡潔で(concise)、透明で(transparent)、分かりやすく(intelligible)、容易にアクセス可能(easily accessible)でなければならない(第12条1項)。
2)明瞭かつ平易な文言(clear and plain language)を使用しなければならない(第12条1項)。
3)明瞭かつ平易な文言の要件は、子供に情報を提供する場合に重要である(第12条1項)。
4)書面で、または適切な場合は電子的手段その他の手段によって行われなければならない(12条1項)。
5)データ主体が要求する場合、口頭で提供することができる(第12条1項)。
6)一般的に無償で提供されなければならない(第12条5項)
「分かりやすさ」「アクセスのし易さ」は、従前の利用規約やプライバシーポリシーでも注意されてきたことではありますが、GDPRでは、これらが「透明性の原則」として明確になりました。
よって、GDPR対応としては、まずは自社のプライバシーポリシーが「透明性の原則」を充たすものかをチェックし、必要に応じて用語やレイアウトなどを修正する必要があります。
GDPRの求める通知事項
GDPR13条・14条に基づきデータ主体に提供しなければならない主な情報は次のとおりです(事業者が直接本人から取得する場合)。
| 必要となる情報の種類 | 関連条文 |
| 管理者(および代理人)の本人特定事項および連絡先 | 13条1(a)項 |
| データ保護オフィサーの連絡情報(該当する場合) | 13条1項(b) |
| 処理の目的および法的根拠 | 13条1項(c) |
| 合法的利益(第6.1条(f))が処理の法的根拠である場合、管理者または第三者が追求した正当な利益 | 13条1項(d) |
| 第三国への移転の詳細、その事実、関連する保護措置の詳細(欧州委員会の十分性認定の有無を含む)、およびそれらのコピーを入手する手段または入手可能となった場所 | 13条1項(f) |
| 保管期間(または可能でない場合は、その期間の決定に使用される基準) | 13条2項(a) |
| データ主体の権利: ・開示 ・訂正 ・消去 ・処理の制限 ・処理に対する異議 ・ポータビリティ |
13条2項(b) |
| 処理が同意(または明示的同意)に基づいている場合、いつでも同意を取り消す権利 | 13条2項(c) |
| 監督機関に苦情を申し立てる権利 | 13条2項(d) |
| 情報を提供するための法的または契約上の要件、または契約を締結する必要があるかどうか、または情報を提供する義務があるかどうか、また失敗の可能性があるかどうか。 | 13条2項(e) |
GDPR対応として最低限追記すべき事項
従前のプライバシーポリシーでは、一般的に、利用目的を中心に、事業者の名称や苦情処理の窓口が記載されています。しかし、これでは、前記の事項を網羅できていません。
そこで、EU域内の人へ向けては、欠けている事項(保管期間や、同意を撤回できる権利があることなど)について追記する必要があります。
実務的には、EU域内の人向けにこれら追記事項をまとめたプライバシーポリシー(プライバシーノーティス)を作成しておくことが望ましいといえます。
おわりに
このように、プライバシーポリシーのGDPR対応としては、1)透明性原則を充たしているか、2)通知事項を網羅しているか、の2点を中心に、従前のプライバシーポリシーをチェックし、加筆修正していくことが考えられます、
この場合、全面的な改訂をすることも考えられますが、より簡便な方法としては、EU域内の人向けの特別規程などを設けて対応することでも足りますので、ご検討ください。
