伝わるプライバシーポリシー。意味ある同意取得

企業のプライバシーポリシーを真面目と読むと、一年間で200時間もかかるという調査があります。プライバシーポリシーは本当に人々のためになっているのでしょうか?単なる企業の責任逃れになっていないでしょうか?プライバシー通知の国際規格を取りまとめた崎村氏にお話をうかがいました
よろしければこちらもご覧ください
※この記事は読者によって投稿されたユーザー投稿のため、編集部の見解や意向と異なる場合があります。また、編集部はこの内容について正確性を保証できません。

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年8月20日 
  • タイトル: 伝わるプライバシーポリシー。意味ある同意取得
  • 発表者:SC27/WG5 アイデンティティ管理とプライバシー小委員会主査
    東京デジタルアイディアーズ 主席研究員 崎村夏彦氏 

プライバシー告知は誰のために? 

2020年6月に発行されたISO/IEC29184。個人情報を扱うにあたって「プライバシーノーティス(privacy notice、日本語訳では、プライバシー告知)⁠」に何を書くべきか、それに基づいて同意を取得するには何をすべきか、またデータの取り扱いを変更するときには何をすべきか、などをまとめた標準規格です。SC27/WG5 アイデンティティ管理とプライバシー小委員会主査として内容を取りまとめた崎村夏彦氏に、プライバシーや同意取得の考え方について伺いました。

EUデータ一般保護規則(GDRP)では、Cookieのようなオンライン識別子も含めた個人データの利用に対して、自由に与えられた明確な同意を必要とすること、また利用者のデータを透明かつ公平な方法で合理的に扱うことなどが事業者へ求められています。

プライバシーノーティス(告知)とは、個人情報をどのように組織が扱うべきかを示すために外部に公開する文書です。日本では、いわゆるWebサイトなどに掲載された「プライバシーポリシー」と同義とされがちですが、プライバシーに関するISO文書によると、プライバシーポリシーは組織内部向けに定めた文書です。

その上で、崎村氏は「プライバシーノーティスは、個人の権利保護のためになっているでしょうか。組織の責任回避のためになっていませんか」と問いかけます。

「プライバシーノーティスはどの国のサイトでもおおむね長文です。米国のある調査結果では、一年間に訪問するサイトのプライバシーノーティスを真面目に読めば約200時間、1カ月の労働に匹敵するほどの時間を要するという試算が報告されました。本当に必要なことだけを、必要なタイミングで簡潔に告知するべきです」と崎村氏は指摘します。

長文にする理由として、事業者側が個人の同意を得るのが難しいため、意図的に同意に関する文言をまぶし入れるため、という指摘もあります。

「それは、詐欺行為です。同意の契約における必要条件の一つ、自律性つまり内容を理解した上での同意を満たしていません」と崎村氏は指摘します。

明示的な同意は常に必要なのか?

もう一つ、同意が成立するための必要条件として崎村氏は、互恵性すなわち契約の当事者双方の提供物がつり合うことをあげます。とはいえ、互恵性が満たされているとしても、なんとなく不安を持つ利用者が用心して、同意してくれないということは少なくありません。

「同意を取得するということは、とても大変なことです。ただ、GDPRにおいてもあらゆるケースで同意が必要だ、と義務化しているわけではありません。同意は、同意以外の適法性根拠が使えなかった場合にのみ用いる例外処置であるためです」(崎村氏)

日本の個人情報保護法における要配慮個人情報のように、厳密な本人同意が求められる個人データについてはGDPRでも同意を不可欠(※)としています。しかし、それ以外の個人情報の取り扱いが必要になる場合においては、GDPRの第6条に記された適法となる根拠に基づけば良いと崎村氏は説明します…

続きは、DataSignブログで

よろしければこちらもご覧ください
この記事が役に立ったらシェア!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!
メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

Web業界の転職情報

今日の用語

1組織1ドメイン名の原則
1つの組織に対して1つのドメイン名のみを認めるという原則。「go.jp」(政府組 ...→用語集へ

インフォメーション

RSSフィード


Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]